Desarrollo de una aplicación de referencia para evaluar la guía de implementación de aplicaciones de software que utilizan certificados y firma digital dentro del Sistema Nacional de Certificación Digital
tesis de maestría
Fecha
2019Autor
Durán Vega, Viviana María
Metadatos
Mostrar el registro completo del ítemResumen
En Costa Rica, la implementación de firma digital ha incrementado durante los últimos años.
A partir de la aprobación del proyecto de ley en el año 2005, titulado “Ley de Certificados,
Firmas Digitales y Documentos Electrónicos”, y la publicación de la directriz “Masificación
de la implementación y el uso de la firma digital en el sector público costarricense” donde el
gobierno promueve el uso de firma digital y solicita a las instituciones costarricenses que
empiecen a facilitar a los usuarios servicios de forma electrónica utilizando firma digital. Sin
embargo, hasta el día de hoy no existe una regulación o recurso técnico disponible a nivel
nacional que provea algún tipo de orientación para el aseguramiento de este tipo de
aplicaciones en Costa Rica.
El objetivo principal de este proyecto de investigación es desarrollar una aplicación de
referencia con el fin de asegurarla utilizando una Guía de implementación, para crear una
referencia práctica para futuras implementaciones de firma y certificados digitales dentro del
Sistema Nacional de Certificación Digital (SNCD). Dicha guía fue desarrollada por el
estudiante Alejandro Mora en su TFIA titulado “Definición de un proceso de aseguramiento
de la información para los componentes tecnológicos que utilizan certificados y firma digital
en una aplicación de software dentro del sistema nacional de certificación digital”.
Inicialmente, se desarrolla una aplicación de referencia de firma digital y se asegura
utilizando la Guía de implementación. Seguidamente, se realiza un análisis para identificar
si dicha guía es factible y eficiente para el aseguramiento aplicaciones de firma digital dentro
del SNCD, ya que es un recurso que se desea proveer en el futuro al público costarricense.
Una vez realizada la evaluación de la guía, se concluye que es factible de utilizar y fácil de
comprender para el aseguramiento de aplicaciones de firma digital. Se identificó que la guía
es de gran utilidad ya que, durante el aseguramiento de la aplicación de referencia, se
encontraron aspectos de seguridad que no se habían tomado en cuenta durante el desarrollo.
Adicionalmente, se encontró que algunas políticas de seguridad planteadas en la guía no se
pudieron cumplir por la forma en que actualmente la PKI de Costa Rica provee sus servicios
de “Listas de Revocaciones”. Finalmente, respecto a la eficiencia de la guía, se detectaron
algunos puntos a considerar relacionados a la longitud y formulación de la misma que se
deben tomar en cuenta para futuras mejoras. In Costa Rica, the implementation of the digital signature has increased during the last years.
After the approval of “Ley de Certificados, Firmas Digitales y Documentos Electrónicos”
and the publication of “Masificación de la implementación y el uso de la firma digital en el
sector público costarricense” in 2005, where the government promotes the use of digital
signature and request to the Costa Rican institutions start providing users with services
electronically using a digital signature. However, until today there is no regulation or
technical resource available that provides any kind of guidance for the assurance of this type
of applications in Costa Rica.
The main objective of this research project is to develop a reference application in order to
secure it using the Implementation Guide, to create a practical reference for future digital
signature implementations within the National Digital Certification System (SNCD). This
guide was developed by the student Alejandro Mora in his TFIA entitled “Definición de un
proceso de aseguramiento de la información para los componentes tecnológicos que utilizan
certificados y firma digital en una aplicación de software dentro del sistema nacional de
certificación digital”.
Firstly, a digital signature reference application is developed and secured using the
Implementation Guide. Next, an analysis is carried out to identify if this guide is feasible and
efficient for the assurance of digital signature applications within the SNCD, since it is a
resource that it is desired to provide in the future to the Costa Rican public.
Once the evaluation of the guide has been completed, it is concluded that it is feasible to use
and easy to understand for secure digital signature applications. Besides, it was identified
that the guide is very useful because during the process of secure the reference application,
some security vulnerabilities that had not been considered during the development were
found. Additionally, it was found that some security policies of the guide could not be met
because of the way in which the PKI of Costa Rica currently provides its "Revocation Lists"
services. Finally, regarding the efficiency of the guide, some points to consider related to the
length and formulation thereof were detected that should be considered for future
improvements.
Colecciones
El ítem tiene asociados los siguientes ficheros de licencia: