Si una organización decide utilizar certificados x509v3 emitidos por un proveedor de servicios de certificación (PSC) para uso interno de sus empleados y colaboradores, normalmente existie un mecanismo por el cual, dicho organismo puede comprobar si alguno de estos certificados ha sido revocado. Esto es especialmente importante cuando lo que se emplean son certificados personales y se delega en las personas la responsabilidad de notificar al tercero si existe o se sospecha que existe una situación que pueda comprometer la clave privada del certificado.
Normalmente, el propio certificado continene la información necesaria para comprobar dicha revocación a través de Internet y mediante el uso de protocolos ampliamente aceptados pa la consulta o descarga de CRLs (Certificate Revocation List), una especie de lista negra que contiene habitualmente los números de serie de los certificados revocados por la entidad de certificación.
La complejidad se acentúa cuando el crece el número de certificados de diferentes PSC que la organización acepta. Aumenta con esto el número de protocolos de acceso a las CRL, algunos de ellos no estan implementados de serie en el sistema operativo o las aplicaciones y requieren adquirir software especial para ello como por ejemplo OCSP (Online Certificate Status Protocol) que se utiliza para validar el DNIe.
Con esta complejidad añadida a la necesidad que todos los puestos de la organización deban disponer de los protocolos y de acceso a Internet, no parece un escenario idoneo para una organización. No existe una auditoría centralizada de los accesos a la comprobación de revocación de certificados, no se puede revocar localmente un certificado, no podemos disponer con facilidad de un cache corporativo de CRLs descargadas que reduzca el tiempo de acceso, y un largo etc.
En Smart Access conscientes de esta situación, estamos actualmente desarrollando SmartID Revoke, que instalado en uno o varios servidores (depende de si la configuración es o no en alta disponibilidad) permite que los agentes de los puestos envíen todas sus peticiones a dichos servidores centrales en la organización y son estos los responsables de implementar todos los protocolos, acceder y registrar los accesos a las autoridades de validación o información de revocación de entidades de certificación, realizar un cache corporativo de la descarga de CRLs e incluso decidir revocar ciertos certificados solo para el ámbito de mi organización.
Este servicio puede instalarse en servidores de una organización o bien prestarse por un prestador de servicios como una autoridad de validación para aplicaciones del sistema (correo, navegador, etc) y para aplicaciones comerciales, al estilo que realizan para la Administración el Ministerio de Administraciones Públicas con la plataforma @firma.
Cualquier sugerencia, petición o comentario al respecto será bienvenido, asi como si hay empresas u organismos interesadas en participar en la fase de pruebas del producto. Esperamos disponer de una versión preliminar para el mes de Noviembre y una versión definitiva en el primer trimestre del proximo año.
Rames.
miércoles, 13 de septiembre de 2006
jueves, 7 de septiembre de 2006
Conferencia anual de la SmartCardAlliance
Del proximo 3 al 6 de Octubre se celebra la conferencia anual de la SmartCardAlliance en San Diego. Durante estos días los conferenciantes destacarán las nuevas adopciones y las innovaciones en el campo de las SmartCard, asi como las nuevas tendencias y tecnologías en este campo. Una de las novedades es la fusión de la tecnología SmartCard con RFID que abre nuevas e interesantes posibilidades de uso de las tarjetas inteligentes.
Suscribirse a:
Entradas (Atom)