Desarrollo de una aplicación de referencia para evaluar la guía de implementación de aplicaciones de software que utilizan certificados y firma digital dentro del Sistema Nacional de Certificación Digital

Abstract

En Costa Rica, la implementación de firma digital ha incrementado durante los últimos años. A partir de la aprobación del proyecto de ley en el año 2005, titulado “Ley de Certificados, Firmas Digitales y Documentos Electrónicos”, y la publicación de la directriz “Masificación de la implementación y el uso de la firma digital en el sector público costarricense” donde el gobierno promueve el uso de firma digital y solicita a las instituciones costarricenses que empiecen a facilitar a los usuarios servicios de forma electrónica utilizando firma digital. Sin embargo, hasta el día de hoy no existe una regulación o recurso técnico disponible a nivel nacional que provea algún tipo de orientación para el aseguramiento de este tipo de aplicaciones en Costa Rica. El objetivo principal de este proyecto de investigación es desarrollar una aplicación de referencia con el fin de asegurarla utilizando una Guía de implementación, para crear una referencia práctica para futuras implementaciones de firma y certificados digitales dentro del Sistema Nacional de Certificación Digital (SNCD). Dicha guía fue desarrollada por el estudiante Alejandro Mora en su TFIA titulado “Definición de un proceso de aseguramiento de la información para los componentes tecnológicos que utilizan certificados y firma digital en una aplicación de software dentro del sistema nacional de certificación digital”. Inicialmente, se desarrolla una aplicación de referencia de firma digital y se asegura utilizando la Guía de implementación. Seguidamente, se realiza un análisis para identificar si dicha guía es factible y eficiente para el aseguramiento aplicaciones de firma digital dentro del SNCD, ya que es un recurso que se desea proveer en el futuro al público costarricense. Una vez realizada la evaluación de la guía, se concluye que es factible de utilizar y fácil de comprender para el aseguramiento de aplicaciones de firma digital. Se identificó que la guía es de gran utilidad ya que, durante el aseguramiento de la aplicación de referencia, se encontraron aspectos de seguridad que no se habían tomado en cuenta durante el desarrollo. Adicionalmente, se encontró que algunas políticas de seguridad planteadas en la guía no se pudieron cumplir por la forma en que actualmente la PKI de Costa Rica provee sus servicios de “Listas de Revocaciones”. Finalmente, respecto a la eficiencia de la guía, se detectaron algunos puntos a considerar relacionados a la longitud y formulación de la misma que se deben tomar en cuenta para futuras mejoras.

In Costa Rica, the implementation of the digital signature has increased during the last years. After the approval of “Ley de Certificados, Firmas Digitales y Documentos Electrónicos” and the publication of “Masificación de la implementación y el uso de la firma digital en el sector público costarricense” in 2005, where the government promotes the use of digital signature and request to the Costa Rican institutions start providing users with services electronically using a digital signature. However, until today there is no regulation or technical resource available that provides any kind of guidance for the assurance of this type of applications in Costa Rica. The main objective of this research project is to develop a reference application in order to secure it using the Implementation Guide, to create a practical reference for future digital signature implementations within the National Digital Certification System (SNCD). This guide was developed by the student Alejandro Mora in his TFIA entitled “Definición de un proceso de aseguramiento de la información para los componentes tecnológicos que utilizan certificados y firma digital en una aplicación de software dentro del sistema nacional de certificación digital”. Firstly, a digital signature reference application is developed and secured using the Implementation Guide. Next, an analysis is carried out to identify if this guide is feasible and efficient for the assurance of digital signature applications within the SNCD, since it is a resource that it is desired to provide in the future to the Costa Rican public. Once the evaluation of the guide has been completed, it is concluded that it is feasible to use and easy to understand for secure digital signature applications. Besides, it was identified that the guide is very useful because during the process of secure the reference application, some security vulnerabilities that had not been considered during the development were found. Additionally, it was found that some security policies of the guide could not be met because of the way in which the PKI of Costa Rica currently provides its "Revocation Lists" services. Finally, regarding the efficiency of the guide, some points to consider related to the length and formulation thereof were detected that should be considered for future improvements.