SlideShare ist ein Scribd-Unternehmen logo

Marta Cruellas

JSe
JSe
TechnologieNews & Politik
1 von 11
Downloaden Sie, um offline zu lesen
Ús de certificats en dispositius criptogràfics centralitzats: noves possibilitats i limitacions Marta C ll M t Cruellas 28 d’octubre de 2010
Índex – Nous perfils de certificats: situació – Requisits tecnològics per a una implantació adequada.
NOUS PERFILS DE CERTIFICATS. Situació – Especificació tècnica dels perfils: feta per CertiCA – Seu-e (nivell mig i nivell alt) – Segell-e (nivell mig i nivell alt) – Empleat públic (nivell mig i nivell alt) – Casos d’ús de cada tipus de certificat: emmarcats per – La normativa jurídica: LAECSP Llei 26/2010 Llei 29/2010 etc LAECSP, 26/2010, 29/2010, – Determinació del nivell de seguretat aplicable: segons l’anàlisi de risc preceptiu ( q p p (Esquema Nacional de Seguridad) g ) – Requisits tecnològics per a una implantació adequada – Hi ha certes indefinicions, al voltant de les quals no hi ha consens.
Nivell de seguretat adequat segons risc Risc alt: sc a t Cert. nivell alt en dispositiu certificat Risc i Ri mig: Cert. nivell mig en mitjà equivalent Risc baix: Cert. nivell mig “a l’ús”
Requisits tecnològics Risc baix Seu-e En servidor web “a l’ús” Segell-e En servidor “a l’ús” Empleat públic Instal·lat a: PC, en mòbil (SIM, microSD no certificada), etc
Requisits tecnològics Risc alt Seu-e En HSM accelerador SSL certificat FIPS 140-2 Nivell 2 Segell-e En HSM certificat FIPS 140-2 Nivell 3 Empleat públic En dispositiu criptogràfic certificat Common Criteria EAL4+ amb perfil de protecció CEN CWA 14169 + Aplicació d’accés al dispositiu certificada Common p p Criteria EAL3. Ex/ smartcards, smartcards custodiades en “targeters centralitzats”, microSD certificades.
Requisits tecnològics Risc mig Seu-e En sistema securitzat (hardened): arquitectura, web server, SO,…? server SO ? Segell-e En sistema securitzat (hardened) Ex/ repositoris de claus amb logs segurs, HSM no certificat, …? Empleat públic Repositori de certificats securitzat, HSM no certificat?, HSM certificat FIPS 140-2 Nivell 3?, …?
Requisits tecnològics Però… P ò – “Mitjà equivalent” – E presta a interpretacions diverses. Es t i t t i di – Indefinició del que és acceptable. >> Risc Ri – Certs de Nivell mig quan Risc baix / Risc mig: Confiança: el ciutadà que accedeix a la seu-e no percep la millora en la seguretat de la implementació pel Risc mig respecte a la del Risc baix – El perfil de certificat emprat és el mateix en els dos casos; – La millora en la seguretat ve donada per mesures tècniques del sistema que no són perceptibles pels usuaris.
Requisits tecnològics Certs de Nivell alt: Provisió dels certificats: – Requeriments no definits – Complexa. L’ens sol·licitant ha d’acreditar: – La certificació del dispositiu, – Que la configuració del dispositiu és adequada adequada, – Que l’operació del dispositiu és adequada, – Que les claus s’han generat al dispositiu de manera segura – Etc.
Conclusions – El nous perfils d certificats obren noves possibilitats Els fil de tifi t b ibilit t – Automatització – Mobilitat – Signatura (personal) remota / centralitzada legitimades per les normatives jurídiques – Poden resoldre algunes de les tensions entre seguretat vs usabilitat – Cal anàlisi de riscos!! – Però encara queden zones d’ombra sobre les què no hi ha consens: – Requisits tecnològics per a una implantació adequada: mitjà equivalent, equivalent certs d empleat públic en dispositius d’empleat centralitzats,...
Moltes gràcies. Marta Cruellas mcruellas@catcert.cat Aquesta obra està subjecta a una llicència Reconeixement-No comercial-Sense obres derivades 2.5 Espanya de Creative Commons. Reconeixement No comercial Sense 25 Commons Per veure'n una còpia, visiteu http://creativecommons.org/licenses/by-nc-nd/2.5/es/deed.ca o envieu una carta a Creative Commons, 171 Second Street, Suite 300, San Francisco, California 94105, USA."

Empfohlen

Roberto Boya
Roberto BoyaRoberto Boya
Roberto BoyaJSe
 
Oscar Ruiz
Oscar RuizOscar Ruiz
Oscar RuizJSe
 
Presentació Plataforma tramitació electrònica
Presentació Plataforma tramitació electrònicaPresentació Plataforma tramitació electrònica
Presentació Plataforma tramitació electrònicaTIC.cat
 
P070085 otpica-pd3 guia-d'us_del_servei_aeat_pica_v2.14
P070085 otpica-pd3 guia-d'us_del_servei_aeat_pica_v2.14P070085 otpica-pd3 guia-d'us_del_servei_aeat_pica_v2.14
P070085 otpica-pd3 guia-d'us_del_servei_aeat_pica_v2.14svilaseca
 
Frederic Casanovas
Frederic CasanovasFrederic Casanovas
Frederic CasanovasJSe
 
Josep M Roca
Josep M RocaJosep M Roca
Josep M RocaJSe
 
Jordi Masfarne
Jordi MasfarneJordi Masfarne
Jordi MasfarneJSe
 
Aplicacions i riscos de la IoT
Aplicacions i riscos de la IoTAplicacions i riscos de la IoT
Aplicacions i riscos de la IoTCSUC - Consorci de Serveis Universitaris de Catalunya
 

Empfohlen

Roberto Boya
Roberto BoyaRoberto Boya
Roberto BoyaJSe
 
Oscar Ruiz
Oscar RuizOscar Ruiz
Oscar RuizJSe
 
Presentació Plataforma tramitació electrònica
Presentació Plataforma tramitació electrònicaPresentació Plataforma tramitació electrònica
Presentació Plataforma tramitació electrònicaTIC.cat
 
P070085 otpica-pd3 guia-d'us_del_servei_aeat_pica_v2.14
P070085 otpica-pd3 guia-d'us_del_servei_aeat_pica_v2.14P070085 otpica-pd3 guia-d'us_del_servei_aeat_pica_v2.14
P070085 otpica-pd3 guia-d'us_del_servei_aeat_pica_v2.14svilaseca
 
Frederic Casanovas
Frederic CasanovasFrederic Casanovas
Frederic CasanovasJSe
 
Josep M Roca
Josep M RocaJosep M Roca
Josep M RocaJSe
 
Jordi Masfarne
Jordi MasfarneJordi Masfarne
Jordi MasfarneJSe
 
Aplicacions i riscos de la IoT
Aplicacions i riscos de la IoTAplicacions i riscos de la IoT
Aplicacions i riscos de la IoTCSUC - Consorci de Serveis Universitaris de Catalunya
 
Unitat didàctica 11. Conceptes de seguretat.
Unitat didàctica 11. Conceptes de seguretat.Unitat didàctica 11. Conceptes de seguretat.
Unitat didàctica 11. Conceptes de seguretat.Lluís Campderrich
 
Jornada TIC 23_02_12
Jornada TIC 23_02_12Jornada TIC 23_02_12
Jornada TIC 23_02_12crpvoll
 
Xarxes Multimèdia - PAC 2 - Grau Multimèdia - UOC
Xarxes Multimèdia - PAC 2 - Grau Multimèdia - UOCXarxes Multimèdia - PAC 2 - Grau Multimèdia - UOC
Xarxes Multimèdia - PAC 2 - Grau Multimèdia - UOCPaquita Ribas
 
Coneixent el tràfic per defensar-nos millor (1a part)
Coneixent el tràfic per defensar-nos millor (1a part)Coneixent el tràfic per defensar-nos millor (1a part)
Coneixent el tràfic per defensar-nos millor (1a part)CSUC - Consorci de Serveis Universitaris de Catalunya
 
Matemàtiques per Multimèdia II - Pràctica - Lidia Bria
Matemàtiques per Multimèdia II - Pràctica - Lidia BriaMatemàtiques per Multimèdia II - Pràctica - Lidia Bria
Matemàtiques per Multimèdia II - Pràctica - Lidia BriaLidia Bria
 
Jornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH catJornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH catJordi Garcia Castillon
 
Matemàtiques per Multimèdia II - Pac1 - Lidia Bria
Matemàtiques per Multimèdia II - Pac1 - Lidia BriaMatemàtiques per Multimèdia II - Pac1 - Lidia Bria
Matemàtiques per Multimèdia II - Pac1 - Lidia BriaLidia Bria
 
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUALMYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUALRafael Alcón Díaz [LION]
 
ARSO-M7: Administracio de la seguretat - Resum
ARSO-M7: Administracio de la seguretat - ResumARSO-M7: Administracio de la seguretat - Resum
ARSO-M7: Administracio de la seguretat - ResumAurora Lara Marin
 
Cerificacions IT - Informatica i comunicacions Professions de Futur
Cerificacions IT - Informatica i comunicacions Professions de FuturCerificacions IT - Informatica i comunicacions Professions de Futur
Cerificacions IT - Informatica i comunicacions Professions de FuturTICAnoia
 
ARSO-M2: Administracio de servidors - Presentacio
ARSO-M2: Administracio de servidors - PresentacioARSO-M2: Administracio de servidors - Presentacio
ARSO-M2: Administracio de servidors - PresentacioAurora Lara Marin
 
Activitat 2
Activitat 2Activitat 2
Activitat 2vigavic
 
La plataforma de mitigació d'atacs de DDoS del CSUC
La plataforma de mitigació d'atacs de DDoS del CSUCLa plataforma de mitigació d'atacs de DDoS del CSUC
La plataforma de mitigació d'atacs de DDoS del CSUCCSUC - Consorci de Serveis Universitaris de Catalunya
 
Xarxes Multimèdia - PAC 2 solució - Grau Multimèdia - UOC
Xarxes Multimèdia - PAC 2 solució - Grau Multimèdia - UOCXarxes Multimèdia - PAC 2 solució - Grau Multimèdia - UOC
Xarxes Multimèdia - PAC 2 solució - Grau Multimèdia - UOCPaquita Ribas
 
Presentació pfc disseny mòdul knx
Presentació pfc disseny mòdul knxPresentació pfc disseny mòdul knx
Presentació pfc disseny mòdul knxTOMAS GARCIA VERDUGO
 
Seguretat Informatica
Seguretat InformaticaSeguretat Informatica
Seguretat Informaticaguest4e2fc3
 
Hacking
HackingHacking
HackingJosep Maria Sala Jaime
 
Seguretat
SeguretatSeguretat
Seguretatscholl Garbí
 
Entorn Tangible Digital
Entorn Tangible DigitalEntorn Tangible Digital
Entorn Tangible DigitalJesús Arbués García del Moral
 
Rafael Olañeta
Rafael OlañetaRafael Olañeta
Rafael OlañetaJSe
 
Pablo Rodríguez
Pablo RodríguezPablo Rodríguez
Pablo RodríguezJSe
 
Roman de Blas
Roman de BlasRoman de Blas
Roman de BlasJSe
 

Weitere ähnliche Inhalte

Ähnlich wie Marta Cruellas

Unitat didàctica 11. Conceptes de seguretat.
Unitat didàctica 11. Conceptes de seguretat.Unitat didàctica 11. Conceptes de seguretat.
Unitat didàctica 11. Conceptes de seguretat.Lluís Campderrich
 
Jornada TIC 23_02_12
Jornada TIC 23_02_12Jornada TIC 23_02_12
Jornada TIC 23_02_12crpvoll
 
Xarxes Multimèdia - PAC 2 - Grau Multimèdia - UOC
Xarxes Multimèdia - PAC 2 - Grau Multimèdia - UOCXarxes Multimèdia - PAC 2 - Grau Multimèdia - UOC
Xarxes Multimèdia - PAC 2 - Grau Multimèdia - UOCPaquita Ribas
 
Matemàtiques per Multimèdia II - Pràctica - Lidia Bria
Matemàtiques per Multimèdia II - Pràctica - Lidia BriaMatemàtiques per Multimèdia II - Pràctica - Lidia Bria
Matemàtiques per Multimèdia II - Pràctica - Lidia BriaLidia Bria
 
Jornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH catJornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH catJordi Garcia Castillon
 
Matemàtiques per Multimèdia II - Pac1 - Lidia Bria
Matemàtiques per Multimèdia II - Pac1 - Lidia BriaMatemàtiques per Multimèdia II - Pac1 - Lidia Bria
Matemàtiques per Multimèdia II - Pac1 - Lidia BriaLidia Bria
 
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUALMYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUALRafael Alcón Díaz [LION]
 
ARSO-M7: Administracio de la seguretat - Resum
ARSO-M7: Administracio de la seguretat - ResumARSO-M7: Administracio de la seguretat - Resum
ARSO-M7: Administracio de la seguretat - ResumAurora Lara Marin
 
Cerificacions IT - Informatica i comunicacions Professions de Futur
Cerificacions IT - Informatica i comunicacions Professions de FuturCerificacions IT - Informatica i comunicacions Professions de Futur
Cerificacions IT - Informatica i comunicacions Professions de FuturTICAnoia
 
ARSO-M2: Administracio de servidors - Presentacio
ARSO-M2: Administracio de servidors - PresentacioARSO-M2: Administracio de servidors - Presentacio
ARSO-M2: Administracio de servidors - PresentacioAurora Lara Marin
 
Activitat 2
Activitat 2Activitat 2
Activitat 2vigavic
 
Xarxes Multimèdia - PAC 2 solució - Grau Multimèdia - UOC
Xarxes Multimèdia - PAC 2 solució - Grau Multimèdia - UOCXarxes Multimèdia - PAC 2 solució - Grau Multimèdia - UOC
Xarxes Multimèdia - PAC 2 solució - Grau Multimèdia - UOCPaquita Ribas
 
Presentació pfc disseny mòdul knx
Presentació pfc disseny mòdul knxPresentació pfc disseny mòdul knx
Presentació pfc disseny mòdul knxTOMAS GARCIA VERDUGO
 
Seguretat Informatica
Seguretat InformaticaSeguretat Informatica
Seguretat Informaticaguest4e2fc3
 

Ähnlich wie Marta Cruellas (19)

Unitat didàctica 11. Conceptes de seguretat.
Unitat didàctica 11. Conceptes de seguretat.Unitat didàctica 11. Conceptes de seguretat.
Unitat didàctica 11. Conceptes de seguretat.
 
Jornada TIC 23_02_12
Jornada TIC 23_02_12Jornada TIC 23_02_12
Jornada TIC 23_02_12
 
Xarxes Multimèdia - PAC 2 - Grau Multimèdia - UOC
Xarxes Multimèdia - PAC 2 - Grau Multimèdia - UOCXarxes Multimèdia - PAC 2 - Grau Multimèdia - UOC
Xarxes Multimèdia - PAC 2 - Grau Multimèdia - UOC
 
Coneixent el tràfic per defensar-nos millor (1a part)
Coneixent el tràfic per defensar-nos millor (1a part)Coneixent el tràfic per defensar-nos millor (1a part)
Coneixent el tràfic per defensar-nos millor (1a part)
 
Matemàtiques per Multimèdia II - Pràctica - Lidia Bria
Matemàtiques per Multimèdia II - Pràctica - Lidia BriaMatemàtiques per Multimèdia II - Pràctica - Lidia Bria
Matemàtiques per Multimèdia II - Pràctica - Lidia Bria
 
Jornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH catJornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH cat
 
Matemàtiques per Multimèdia II - Pac1 - Lidia Bria
Matemàtiques per Multimèdia II - Pac1 - Lidia BriaMatemàtiques per Multimèdia II - Pac1 - Lidia Bria
Matemàtiques per Multimèdia II - Pac1 - Lidia Bria
 
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUALMYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
 
ARSO-M7: Administracio de la seguretat - Resum
ARSO-M7: Administracio de la seguretat - ResumARSO-M7: Administracio de la seguretat - Resum
ARSO-M7: Administracio de la seguretat - Resum
 
Cerificacions IT - Informatica i comunicacions Professions de Futur
Cerificacions IT - Informatica i comunicacions Professions de FuturCerificacions IT - Informatica i comunicacions Professions de Futur
Cerificacions IT - Informatica i comunicacions Professions de Futur
 
ARSO-M2: Administracio de servidors - Presentacio
ARSO-M2: Administracio de servidors - PresentacioARSO-M2: Administracio de servidors - Presentacio
ARSO-M2: Administracio de servidors - Presentacio
 
Activitat 2
Activitat 2Activitat 2
Activitat 2
 
La plataforma de mitigació d'atacs de DDoS del CSUC
La plataforma de mitigació d'atacs de DDoS del CSUCLa plataforma de mitigació d'atacs de DDoS del CSUC
La plataforma de mitigació d'atacs de DDoS del CSUC
 
Xarxes Multimèdia - PAC 2 solució - Grau Multimèdia - UOC
Xarxes Multimèdia - PAC 2 solució - Grau Multimèdia - UOCXarxes Multimèdia - PAC 2 solució - Grau Multimèdia - UOC
Xarxes Multimèdia - PAC 2 solució - Grau Multimèdia - UOC
 
Presentació pfc disseny mòdul knx
Presentació pfc disseny mòdul knxPresentació pfc disseny mòdul knx
Presentació pfc disseny mòdul knx
 
Seguretat Informatica
Seguretat InformaticaSeguretat Informatica
Seguretat Informatica
 
Hacking
HackingHacking
Hacking
 
Seguretat
SeguretatSeguretat
Seguretat
 
Entorn Tangible Digital
Entorn Tangible DigitalEntorn Tangible Digital
Entorn Tangible Digital
 

Mehr von JSe

Rafael Olañeta
Rafael OlañetaRafael Olañeta
Rafael OlañetaJSe
 
Pablo Rodríguez
Pablo RodríguezPablo Rodríguez
Pablo RodríguezJSe
 
Roman de Blas
Roman de BlasRoman de Blas
Roman de BlasJSe
 
Pere Vilagut
Pere VilagutPere Vilagut
Pere VilagutJSe
 
Miquel Casademont
Miquel CasademontMiquel Casademont
Miquel CasademontJSe
 
Raimon Nualart
Raimon NualartRaimon Nualart
Raimon NualartJSe
 
Enric Martínez
Enric MartínezEnric Martínez
Enric MartínezJSe
 
Albert Esplugas
Albert EsplugasAlbert Esplugas
Albert EsplugasJSe
 
Mario Alguacil
Mario AlguacilMario Alguacil
Mario AlguacilJSe
 
Alejandro Zamarriego
Alejandro ZamarriegoAlejandro Zamarriego
Alejandro ZamarriegoJSe
 
Laura Cabezas
Laura CabezasLaura Cabezas
Laura CabezasJSe
 
Juan Miguel Velasco
Juan Miguel VelascoJuan Miguel Velasco
Juan Miguel VelascoJSe
 
David Sancho
David SanchoDavid Sancho
David SanchoJSe
 
Xavier Ruiz
Xavier RuizXavier Ruiz
Xavier RuizJSe
 
Enrique Lores
Enrique LoresEnrique Lores
Enrique LoresJSe
 
Roser Latorre
Roser LatorreRoser Latorre
Roser LatorreJSe
 
Francesc Oliveras
Francesc OliverasFrancesc Oliveras
Francesc OliverasJSe
 
Josep Budi
Josep BudiJosep Budi
Josep BudiJSe
 
Jordi Abad
Jordi AbadJordi Abad
Jordi AbadJSe
 
Joaquim Mestres
Joaquim MestresJoaquim Mestres
Joaquim MestresJSe
 

Mehr von JSe (20)

Rafael Olañeta
Rafael OlañetaRafael Olañeta
Rafael Olañeta
 
Pablo Rodríguez
Pablo RodríguezPablo Rodríguez
Pablo Rodríguez
 
Roman de Blas
Roman de BlasRoman de Blas
Roman de Blas
 
Pere Vilagut
Pere VilagutPere Vilagut
Pere Vilagut
 
Miquel Casademont
Miquel CasademontMiquel Casademont
Miquel Casademont
 
Raimon Nualart
Raimon NualartRaimon Nualart
Raimon Nualart
 
Enric Martínez
Enric MartínezEnric Martínez
Enric Martínez
 
Albert Esplugas
Albert EsplugasAlbert Esplugas
Albert Esplugas
 
Mario Alguacil
Mario AlguacilMario Alguacil
Mario Alguacil
 
Alejandro Zamarriego
Alejandro ZamarriegoAlejandro Zamarriego
Alejandro Zamarriego
 
Laura Cabezas
Laura CabezasLaura Cabezas
Laura Cabezas
 
Juan Miguel Velasco
Juan Miguel VelascoJuan Miguel Velasco
Juan Miguel Velasco
 
David Sancho
David SanchoDavid Sancho
David Sancho
 
Xavier Ruiz
Xavier RuizXavier Ruiz
Xavier Ruiz
 
Enrique Lores
Enrique LoresEnrique Lores
Enrique Lores
 
Roser Latorre
Roser LatorreRoser Latorre
Roser Latorre
 
Francesc Oliveras
Francesc OliverasFrancesc Oliveras
Francesc Oliveras
 
Josep Budi
Josep BudiJosep Budi
Josep Budi
 
Jordi Abad
Jordi AbadJordi Abad
Jordi Abad
 
Joaquim Mestres
Joaquim MestresJoaquim Mestres
Joaquim Mestres
 

Marta Cruellas

  • 1. Ús de certificats en dispositius criptogràfics centralitzats: noves possibilitats i limitacions Marta C ll M t Cruellas 28 d’octubre de 2010
  • 2. Índex – Nous perfils de certificats: situació – Requisits tecnològics per a una implantació adequada.
  • 3. NOUS PERFILS DE CERTIFICATS. Situació – Especificació tècnica dels perfils: feta per CertiCA – Seu-e (nivell mig i nivell alt) – Segell-e (nivell mig i nivell alt) – Empleat públic (nivell mig i nivell alt) – Casos d’ús de cada tipus de certificat: emmarcats per – La normativa jurídica: LAECSP Llei 26/2010 Llei 29/2010 etc LAECSP, 26/2010, 29/2010, – Determinació del nivell de seguretat aplicable: segons l’anàlisi de risc preceptiu ( q p p (Esquema Nacional de Seguridad) g ) – Requisits tecnològics per a una implantació adequada – Hi ha certes indefinicions, al voltant de les quals no hi ha consens.
  • 4. Nivell de seguretat adequat segons risc Risc alt: sc a t Cert. nivell alt en dispositiu certificat Risc i Ri mig: Cert. nivell mig en mitjà equivalent Risc baix: Cert. nivell mig “a l’ús”
  • 5. Requisits tecnològics Risc baix Seu-e En servidor web “a l’ús” Segell-e En servidor “a l’ús” Empleat públic Instal·lat a: PC, en mòbil (SIM, microSD no certificada), etc
  • 6. Requisits tecnològics Risc alt Seu-e En HSM accelerador SSL certificat FIPS 140-2 Nivell 2 Segell-e En HSM certificat FIPS 140-2 Nivell 3 Empleat públic En dispositiu criptogràfic certificat Common Criteria EAL4+ amb perfil de protecció CEN CWA 14169 + Aplicació d’accés al dispositiu certificada Common p p Criteria EAL3. Ex/ smartcards, smartcards custodiades en “targeters centralitzats”, microSD certificades.
  • 7. Requisits tecnològics Risc mig Seu-e En sistema securitzat (hardened): arquitectura, web server, SO,…? server SO ? Segell-e En sistema securitzat (hardened) Ex/ repositoris de claus amb logs segurs, HSM no certificat, …? Empleat públic Repositori de certificats securitzat, HSM no certificat?, HSM certificat FIPS 140-2 Nivell 3?, …?
  • 8. Requisits tecnològics Però… P ò – “Mitjà equivalent” – E presta a interpretacions diverses. Es t i t t i di – Indefinició del que és acceptable. >> Risc Ri – Certs de Nivell mig quan Risc baix / Risc mig: Confiança: el ciutadà que accedeix a la seu-e no percep la millora en la seguretat de la implementació pel Risc mig respecte a la del Risc baix – El perfil de certificat emprat és el mateix en els dos casos; – La millora en la seguretat ve donada per mesures tècniques del sistema que no són perceptibles pels usuaris.
  • 9. Requisits tecnològics Certs de Nivell alt: Provisió dels certificats: – Requeriments no definits – Complexa. L’ens sol·licitant ha d’acreditar: – La certificació del dispositiu, – Que la configuració del dispositiu és adequada adequada, – Que l’operació del dispositiu és adequada, – Que les claus s’han generat al dispositiu de manera segura – Etc.
  • 10. Conclusions – El nous perfils d certificats obren noves possibilitats Els fil de tifi t b ibilit t – Automatització – Mobilitat – Signatura (personal) remota / centralitzada legitimades per les normatives jurídiques – Poden resoldre algunes de les tensions entre seguretat vs usabilitat – Cal anàlisi de riscos!! – Però encara queden zones d’ombra sobre les què no hi ha consens: – Requisits tecnològics per a una implantació adequada: mitjà equivalent, equivalent certs d empleat públic en dispositius d’empleat centralitzats,...
  • 11. Moltes gràcies. Marta Cruellas mcruellas@catcert.cat Aquesta obra està subjecta a una llicència Reconeixement-No comercial-Sense obres derivades 2.5 Espanya de Creative Commons. Reconeixement No comercial Sense 25 Commons Per veure'n una còpia, visiteu http://creativecommons.org/licenses/by-nc-nd/2.5/es/deed.ca o envieu una carta a Creative Commons, 171 Second Street, Suite 300, San Francisco, California 94105, USA."