Por
sus aplicaciones, más numerosas día a día, y soluciones
que ofrecen a múltiples problemas de seguridad, no es razonable dudar
que las tecnologías basadas en el mecanismo de cifrado de clave pública,
y los protocolos de seguridad fundados en los certificados digitales, están
destinados a ocupar una posición focal en la seguridad de las redes
de ordenadores, Internet, Extranet, Intranet o simplemente RAL.
Algunas de estas aplicaciones tuvieron ya cumplido tratamiento en algunos
libros aquí reseñados anteriormente. Es el caso del comercio
electrónico, inmejorablemente contemplado en el libro Secure Electronic
Commerce (véase el número 32, de noviembre de 1998, de esta
revista), que, como en su momento se vaticinó, ha devenido en un
a modo de biblia del tema. Sin embargo, los usos de la clave pública,
sus certificados y las Infraestructuras del mismo nombre, en adelante PKI
(Public Key Infraestructures), lejos de inscribirse en el mundo del comercio,
alcanzan en el presente aspectos tales como la mensajería electrónica
segura, la autenticación de clientes y servidores, el control de
acceso a Web y una numerosa estela de otras funciones que se ven incrementados
día a día.
Por ello, parecía oportuna la recensión de alguna obra que
tratase todas estas aplicaciones sin enfocarse en ninguna en particular,
habiéndose elegido por su rigurosa y completa exposición el
libro editado por Addison-Wesley, y publicado el pasado año 1999,
DIGITAL CERTIFICATES: Applied Internet Security, cuyos autores son
tres reputados expertos en certificados digitales (dos de ellos trabajando
en Verisign): Jalal Feghhi, Jalil Feghhi y Peter Williams.
La obra se presenta en un amplio volumen de más de 450 páginas
y el añadido de un CD-ROM, donde se recorre con mayor
o menor pormenorización las ramificaciones de las tecnologías
antedichas. Se estructura, muy atinadamente, en seis partes bien diferenciadas,
cada una de ellas articulada en capítulos donde se han capturado
numerosas y oportunas pantallas de Netscape y Explorer que ejemplifican
los conceptos explicados. Todos estos capítulos concluyen con un
resumen donde se sintetiza con precisión y escuetamente lo tratado,
y una bibliografía acertada, aunque a menudo sucinta al menos para
los manuales al uso. Así mismo, el estilo es claro y directo, lo
que junto con las figuras e imágenes de pantallas -ya citadas- contribuyen
a una lectura fácil y amena. Finalmente, cabe apostillar un logro
más, no por último menos reseñable: el abundante muestrario
de productos comerciales que ilustran los temas estudiados, que sin duda
lo convertirá en una obra de obligada referencia para todos aquellos
que en el próximo futuro se vean involucrados en la implantación
de soluciones de seguridad basadas en las tecnologías repetidamente
mencionadas.
La primera de las partes citadas: Security, Criptography, and Digital Certificates,
explora sucintamente los principios de las comunicaciones en Internet y
su protección, los fundamentos matemáticos de la criptografía,
los tipos de cifradores y sus vulnerabilidades, para terminar con el capítulo
más interesante de éstos pues es de suponer al lector
suficientemente familiarizado con los anteriores conceptos Digital
Certificates, Certification Authorities, and Public-Key Infraestructures,
en el que se exponen el formato de los certificados X.509 v.3
las funciones de la Autoridades de Certificación1 (AC en adelante)
y sus posibles conformaciones para conseguir el reconocimiento de sus certificados.
La segunda parte, de título Applied Internet Security y desglosada
en cuatro capítulos, se detiene en el uso de los certificados en
Internet. Así, se muestran en el capítulo cuarto los riesgos
de la navegación por servidores Web desconocidos, y cómo protegerse
frente a ello. Especial interés presenta la última sección,
donde se estudia los sistemas de autenticación de software descargado
de la red, centrándose en Microsoft Authenticode. El capítulo
siguiente se enfoca a la mensajería segura, apoyándose en
S/MIME y su empleo en Microsoft Outlook Express y Netscape Messenger. El
capítulo VI se dedica a la seguridad de los servidores Web, incluyendo
también un repaso trivial a los cortafuegos y proxies. Para concluir,
el séptimo -que requiere de una lectura más reposada que todos
los precedentes- expone todo un surtido de estándares de uso habitual
en las PKI, singularmente los PKCS#7 y PKCS#10.
En la tercera parte, bajo el epígrafe Security Management Practices,
se tratan diversos modelos de gestión de la seguridad en entornos
corporativos usando PKI. Así, en el capítulo octavo se establece
el marco de dicha gestión, ejemplificándose con diferentes
productos comerciales de AC y PKI, mientras que en el noveno destaca la
muestra de suministradores comerciales de servicios de certificación,
y el décimo se consagra a las Autoridades Locales de Registro (o
simplemente Autoridades de Registro, en adelante AR): su misión,
funciones y, nuevamente, productos en el mercado que las instrumentan.
La parte cuarta, The Trust Dilemma, la más vaporosa de todas como
acontece siempre con los capítulos que se paran en los aspectos de
gestión gestiónpero no menos interesante por ello, se concentra
en cómo conseguir confianza en las PKI y los servicios que prestan.
Con este objetivo, se estudian las políticas y prácticas a
seguir en la emisión de certificados, capítulo undécimo,
la distribución fiable de claves y las redes confiables, capítulo
duodécimo, y en el siguiente -y último de esta parte-, la
gestión de la seguridad de los ordenadores: Políticas de seguridad,
acreditación de instalaciones, y centros de proceso de datos y dispositivos
criptográficos fiables.
La siguiente, de nombre Web Security and Certificates, se conforma en dos
capítulos, en el primero de los cuales se trata de cómo establecer
un servidor Web seguro usando SSL, para a renglón seguido exponer
tres posibles soluciones a la emisión del certificado del servidor:
mediante el auxilio de una AC de confianza (no casualmente, dada la procedencia
de dos de los autores, VeriSign), a través de una AR (nuevamente
VeriSigns OnSite) o mediante un servidor de certificados propio (tomando
como paradigma Microsoft Server Certificate), obviamente solución
sólo válida en entornos de Intranet. El segundo capítulo,
el décimoquinto de la obra, enfoca al otro extremo: el cliente, analizando
la autenticación de éste, la obtención de certificados
por el mismo y el uso de SSL. En resumen, una parte de general interés,
dado lo generalizado y mucho más en el inmediato porvenir-
de los accesos a servidores seguros.
Para concluir, la parte sexta: Microsoft Certificates Server, se explaya
en ahondar conceptos, mecanismos, diseños, etc. abordados anteriormente,
descendiendo a detalles de gran concreción y tomando como banco de
ensayo el servidor de certificados de la marca citada. Para ello se estructura
en cinco capítulos -del décimosexto al vigésimo- en
los que se examina los componentes internos (la arquitectura), la programación
de la política propia de seguridad (si se encuentra inadecuada la
prevista en el Policy Module), la programación del módulo
de salida (emisión, revocación de certificados, publicación
de CRL, etc.), la programación del módulo de entrada (recepción
de peticiones de certificados, recuperación de éstos, etc.),
y la funciones de administración del servidor. Obviamente todo ello
referido al correspondiente software de Microsoft.
El manual concluye con cuatro apéndices, dos acerca de la omnipresente
notación ASN.1 y la estructuración de certificados X.509 para
su uso con productos de Microsoft, respectivamente, y los restantes sobre
el reglamento de certificación de Veri-Sign y el punto de vista de
ésta en la antinomia AR, servidores de certificados corporativos.
En resumen, nos encontramos ante una excelente y extensa obra, que será
en lo sucesivo de referencia para los consultores o responsables de seguridad
a los que sus empresas les enfrenten al reto de construir una PKI o asegurar
sus conexiones a Internet mediante soluciones de clave pública.
1 Denominados en la Directiva comunitaria, y en su correspondiente
transposición a la legislación española Real
Decreto-ley 14/98 sobre firma electrónica-, Proveedores de Servicios
de Certificación. |