La eficacia del hardware criptográfico para las firmas AdES-XL

La adopción de firmas AdES-XL por parte de la Administración Pública en España para sus servicios electrónicos en los diferentes formatos de firma (XAdES, CAdES y PAdES) ha sido promovida tanto por la normativa, a través del Esquema Nacional de Interoperabilidad (ENI) y del Esquema Nacional de Seguridad (ENS), como por los integradores del sector tecnológico.

Por otro lado, uno de los requisitos fundamentales para la creación de este tipo de firmas de manera reconocida es la utilización de dispositivos criptográficos hardware (HSM o hardware security module). Para ello se han puesto a disposición de los ciudadanos mecanismos como el DNI electrónico (que incluye una tarjeta de firma inteligente) y se ha dotado a los organismos públicos de módulos de firma en servidor basados en tarjetas PCI o en appliances de red.

Parece evidente constatar que la seguridad del proceso ha sido cubierta por este despliegue, ya que las claves privadas de ciudadanos y organismos públicos están bien custodiadas por los dispositivos criptográficos referidos en el párrafo anterior.

Sin embargo, he escuchado en más de una ocasión asegurar que los dispositivos criptográficos hardware para firma en servidor permiten incrementar el rendimiento del sistema de un modo drástico. Una revisión al proceso de construcción de una firma XAdES-XL quizá ayude a identificar el nivel de mejora que puede ser alcanzado con la incorporación de este tipo de soluciones hardware.

  1. La operación criptográfica de generación de la firma (RSA, por ejemplo) puede realizarse a través de dos métodos:
    1. HSM (HW). Es necesario enviar el documento al HSM, que realiza la operación criptográfica y devuelve el resultado de la firma
    2. SW. Se realiza la operación criptográfica de firma utilizando software propietario de alto rendimiento
  2. Para la construcción de la firma EPES, formato básico establecido por el ENI, es necesario descargar la política de firma de una URL externa y calcular su HASH para incorporarlo a la firma
  3. Para la construcción de la firma T es necesario solicitar a una TSA externa un sello de tiempo
  4. Para la construcción de la firma C es necesario solicitar a una CA externa la validación del certificado utilizado para la firma, por ejemplo a través de una invocación OCSP. En caso de que se quiera almacenar toda la cadena de confianza es posible que esta invocación debe realizarse más de una vez para asegurar la validez de las diferentes SubCAs.
  5. Para la construcción de la firma X es necesario solicitar un nuevo sello de tiempo a una TSA externa
  6. Finalmente, para la construcción de la firma XL es necesario realizar al menos una invocación OCSP que permita almacenar las evidencias requeridas

En cada uno de los puntos anteriores es necesario consultar con servicios externos para garantizar que la firma resultante es reconocida, ya que solo pueden ser utilizados los servicios de los prestadores de servicios de certificación reconocidos en el ámbito español.

En resumen, la creación de una firma XAdES-XL conlleva al menos la descarga de un documento externo y cuatro invocaciones a sistemas externos para recuperar sellos de tiempo y evidencias de validación. Y el tiempo de estas conexiones externas sobre el global de la operación de firma es muy superior al proceso atómico por el que un dispositivo hardware o software construye una firma básica.

Reflexión final

Si bien es cierto que los dispositivos criptográficos hardware suponen un elemento indispensable para garantizar la seguridad en el uso de un sistema, el incremento de la eficacia de dicho sistema se basa más en la optimización de la capacidad de conexiones a Autoridades de Confianza externas que en la potencia del propio HSM utilizado.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s