Certificados electrónicos de servidor en administración y comercio electrónicos: garantías de seguridad

El uso de Internet por parte de los ciudadanos para relacionarse con las Administraciones Públicas o en relación con actividades de comercio electrónico crece día a día. Así lo evidencian los diferentes estudios realizados en esta materia, como los que lleva a cabo el Observatorio Nacional de las Telecomunicaciones y la Sociedad de la Información (http://www.ontsi.red.es/ontsi/). Se hace necesario, por tanto, identificar a las partes intervinientes en estas transacciones, además de dotarlas de la confidencialidad necesaria y garantizar el no repudio. Uno de los elementos que, junto con los mecanismos criptográficos apropiados, proporcionan estos requisitos, son los certificados electrónicos de servidor web. Existen numerosas publicaciones dedicadas a analizar esos mecanismos criptográficos y numerosos estudios de seguridad relacionados con los algoritmos de cifrado, simétrico y asimétrico, y el tamaño de las claves criptográficas. Sin embargo, la seguridad relacionada con el uso de los protocolos de seguridad SSL/TLS está estrechamente ligada a dos aspectos menos conocidos:  el grado de seguridad con el que se emiten los certificados electrónicos de servidor que permiten implementar dichos protocolos; y  el uso que hacen las aplicaciones software, y en especial los navegadores web, de los campos que contiene el perfil de dichos certificados. Por tanto, diferentes perfiles de certificados electrónicos de servidor y diferentes niveles de seguridad asociados al procedimiento de emisión de los mismos, dan lugar a diferentes tipos de certificados electrónicos. Si además se considera el marco jurídico que afecta a cada uno de ellos, se puede concluir que existe una tipología de certificados de servidor, con diferentes grados de seguridad o de confianza. Adicionalmente, existen otros requisitos que también pueden pasar desapercibidos tanto a los titulares de los certificados como a los usuarios de los servicios de comercio electrónico y administración electrónica. Por ejemplo, el grado de confianza que otorgan los navegadores web a las Autoridades de Certificación emisoras de los certificados y cómo estas adquieren tal condición, o la posibilidad de poder verificar el estado de revocación del certificado electrónico. El presente trabajo analiza todos estos requisitos y establece, en función de los mismos, la correspondiente tipología de certificados electrónicos de servidor web. Concretamente, las características a analizar para cada tipo de certificado son las siguientes:  Seguridad jurídica.  Normas técnicas.  Garantías sobre la verdadera identidad del dominio.  Verificación del estado de revocación.  Requisitos del Prestador de Servicios de Certificación. Los tipos de certificados electrónicos a analizar son:  Certificados de servidor web:  Certificados autofirmados y certificados emitidos por un Prestador de Servicios de Certificación.  Certificados de dominio simple y certificados multidominio (wildcard y SAN)  Certificados de validación extendida.  Certificados de sede electrónica. ABSTRACT Internet use by citizens to interact with government or with e-commerce activities is growing daily. This topic is evidenced by different studies in this area, such as those undertaken by the Observatorio Nacional de las Telecomunicaciones y la Sociedad de la Información (http://www.ontsi.red.es/ontsi/ ). Therefore, it is necessary to identify the parties involved in these transactions, as well as provide guaranties such as confidentiality and non-repudiation. One instrument which, together with appropriate cryptographic mechanisms, provides these requirements is SSL electronic certificate. There are numerous publications devoted to analyzing these cryptographic mechanisms and many studies related security encryption algorithms, symmetric and asymmetric, and the size of the cryptographic keys. However, the safety related to the use of security protocols SSL / TLS is closely linked to two lesser known aspects:  the degree of security used in issuing the SSL electronic certificates; and  the way software applications, especially web Internet browsers, work with the fields of the SSL certificates profiles. Therefore, the diversity of profiles and security levels of issuing SSL electronic certificates give rise to different types of certificates. Besides, some of these electronic certificates are affected by a specific legal framework. Consequently, it can be concluded that there are different types of SSL certificates, with different degrees of security or trustworthiness. Additionally, there are other requirements that may go unnoticed both certificate holders and users of e-commerce services and e-Government. For example, the degree of trustworthiness of the Certification Authorities and how they acquire such a condition by suppliers of Internet browsers, or the possibility to verify the revocation status of the SSL electronic certificate. This paper discusses these requirements and sets, according to them, the type of SSL electronic certificates. Specifically, the characteristics analyzed for each type of certificate are the following:  Legal security.  Technical standards.  Guarantees to the real identity of the domain.  Check the revocation status.  Requirements of the Certification Services Providers. The types of electronic certificates to be analyzed are the following:  SSL electronic certificates:  Self-signed certificates and certificates issued by a Certification Service Provider.  Single-domain certificates and multi-domain certificates (wildcard and SAN)  Extended Validation Certificates.  “Sede electrónica” certificates (specific certificates for web sites of Spanish Public Administrations).

Comparativa de las medidas de emisiones electromagnéticas en las normativas europea y americana para teléfonos duales

El objetivo del presente Proyecto Fin de Grado es la realización de una comparativa de los resultados obtenidos en las medidas de SAR (tasa de absorción específica) y potencia utilizando la normativa europea CENELEC (basada en la del IEC) y la americana FCC (basada en la del IEEE) para distintos dispositivos móviles duales. En primer lugar se ha realizado el estudio de sus características de potencia y de SAR, viendo la variación que hay con respecto a las distintas normativas y rangos de frecuencias. En algunos casos, aunque funcionan sin problema alguno en las diferentes bandas, la diferencia de niveles de emisiones obtenidos en las diferentes bandas puede ser notable. Como se ha comentado al comienzo, se han utilizado diferentes dispositivos duales y se realizaron en ellos las medidas pertinentes utilizando las diferentes normativas y el procedimiento indicado en cada una de ellas. Para observar las diferencias concretas que pudieran existir al utilizar las diferentes normativas, las medidas se han realizado en todas las bandas de funcionamiento del dispositivo y para cada una de ellas se han aplicado las diferentes normativas. Con esto se pretende evaluar si pudiera existir alguna discrepancia en los dispositivos que tienen el certificado de conformidad para una norma concreta cuando se utiliza en otra banda que no es exactamente la banda de utilización de esa norma. En resumen, se quería comprobar que un dispositivo que está certificado con la norma de una región, por ejemplo Europa (900 y 1800 MHz), también cumple si se utiliza en otra región, por ejemplo América (850 y 1900 MHz). La realización práctica del presente PFG se ha hecho en las instalaciones del Laboratorio de Radiofrecuencia de la Secretaría de Estado de Telecomunicación y para la Sociedad de la Información ubicado en El Casar (Guadalajara). En concreto se utilizó el robot articulado movible DASY4 y el software para su control DASY 52.8, disponible en el “banco de medida de Campos Electromagnéticos (Sala de SAR)”. La duración estimada del presente PFG ha sido aproximadamente de cuatro meses. Para llevar a cabo el presente PFG, se dispuso de todo tipo de material y recursos puestos a disposición por el Ministerio de Industria, Turismo y Comercio en el propio laboratorio, así como de los distintos terminales móviles duales con los que se realizaron las medidas pertinentes. Como bibliografía básica se han utilizado las diferentes normas indicadas anteriormente, es decir la norma europea CENELEC (basada en la del IEC) y la americana FCC (basada en la del IEEE), así como manuales de los equipos implicados en el bando de medida de SAR: analizadores de redes, robot articulado y software de control, así como el resto de dispositivos utilizados en las medidas. ABSTRACT. The goal of this Final Degree Project is to perform a comparison of the results obtained in SAR measurements (specific absorption rate) and power using the European standards CENELEC (based on IEC Regulation) and the American FCC (based on IEEE Regulation) to different mobile dual devices. If first place it was made the study of its power and SAR features, seeing that there is shift with respect to the different standards and frequency ranges. In some cases, although they work without any problem in different bands, the difference in levels of emissions obtained in the different bands can be significant. As mentioned at the beginning, different dual devices were used and relevant measurements were taken from them using the different standards and the procedure in each one of them. To see the specific differences that may exist when using the different standards, the measurements were made in all bands of the device operation and to each one it has been applied in the different standards. This attempted to assess whether there could be some discrepancy in the devices that have the certificate of compliance to a specify standard when used in another band that is not exactly the used band of this standard. To sum up, it was required to verify that a device which is certified to the standard of a region, for example (900 and 1800 MHz), also verifies if it is used in another region, for example America (850 and 1900 MHz). The practical realization of this Final Degree Project was made in the facilities of the Radio Frequency Laboratory of the Ministry of State for Telecommunications and the Information Society located in El Casar (Guadalajara). Specifically, the movable articulated robot DASY4 was used and the control software DASY 52.8, available in the “Measure Electromagnetic Field testbench (SAR room)”. The duration of this Final Degree Project has benn about four months. To carry out the present project, all kinds of materials and resources were provided by the Ministry of Industry, Tourism and Trade in its own laboratory, as well as the different mobile dual terminals with which relevant measurements were made. As basic references the different standards indicated above has been used, that is to say the European standard CENELEC (based on IEC standard) and the American FCC (based on IEEE standard), as well as the equipment manuals involved in the SAR measure testbench: network analyzers, articulated robot and control software, as well as the rest of the devices used in the measurements.