Libro

PROPUESTA
Lima, Junio del 2002

IMPLANTACIN DE UN SISTEMA DE
CORREO ELECTRNICO SEGURO,
EMPLEANDO CERTIFICADOS Y FIRMAS
DIGITALES, PARA LAS INSTITUCIONES DEL
ESTADO PERUANO

Propuesta - Implantacin de un Sistema de Correo Electrnico Seguro

2

ndice

1 Descripcin del problema......................................................................................... 3
2 Objetivo ................................................................................................................... 5
3 Solucin propuesta.................................................................................................. 5
3.1 Alcance de la solucin propuesta ..................................................................... 7
3.2 Funcionalidades de una infraestructura PKI, cumplimiento de estndares ....... 9
3.3 Consideraciones de un sistema de correo electrnico seguro .......................... 11
4 Beneficios de la solucin propuesta......................................................................... 14
5 Metodologa............................................................................................................. 16
6 Plan de trabajo......................................................................................................... 17
7 Recursos para el proyecto ....................................................................................... 17
7.1 Recursos del INEI e instituciones del estado involucradas en el proyecto........... 17
7.2 Recursos exigibles al proveedor ........................................................................ 18
8 Entregable................................................................................................................ 18
9 Tiempo..................................................................................................................... 18
10 Costo estimado........................................................................................................ 19
11 Propuesta por piloto de evaluacin .......................................................................... 20


3
1. DESCRIPCIN DEL PROBLEMA.

Actualmente existe un aumento creciente de la necesidad de transmitir informacin
confidencial y sensitiva va Correo Electrnico, entre las entidades del Estado y las
compaas del sector privado; con la finalidad de reducir el uso de papel y agilizar los
procesos en la toma de decisiones.

As, en la mayora de instituciones pblicas, el correo electrnico se ha convertido en un
medio de transmisin de informacin, prcticamente estndar a diferentes niveles de una
organizacin; sin embargo existen an una serie de huecos de seguridad al momento de
efectuar una transaccin electrnica, dado que no se toman las medidas necesarias para
asegurar que se cumplan principios bsicos de seguridad como son los de confidencialidad
e integridad, entre otros de la informacin transmitida, as como el hecho de tener la plena
seguridad de que la informacin recepcionada por medios electrnicos realmente ha sido
enviada por la persona que dice que la est enviando (autenticacin - no repudiacin).

Despus de lo sucedido el 11 de septiembre de 2001 en los Estados Unidos, y luego de los
ataques de ntrax contaminando el correo tradicional (basado en papel), la necesidad de
correo electrnico seguro ha aumentado.

Un reciente reporte de MetaGroup menciona que un 47 % de los departamentos de
seguridad entrevistados planean implementar en un ao correo electrnico encriptado.

Todos los das, ejecutivos, profesionales y funcionarios, se basan en comunicaciones
electrnicas para la entrega rpida de planes de negocio, contratos corporativos, patentes,
registros de salud, sueldos, etc.

El correo electrnico es la forma de comunicacin en Internet ms antigua y comn.
Mientras que los protocolos de correo electrnico han evolucionado rpidamente en las
ltimas tres dcadas, la arquitectura del sistema del mismo ha cambiado muy poco.
Fundamentalmente, la arquitectura ofrece solo el servicio para la entrega de mensajes de
correo electrnico.

El reconocer la fragilidad del correo electrnico de Internet es esencial para entender una
caracterstica importante de un sistema de correo electrnico seguro, el cual provee
servicios de seguridad de punto a punto, pero ni aumenta ni disminuye la probabilidad de

4
que un mensaje ser entregado a su destinatario. El correo seguro puede reducir el dao
que podra resultar de un mensaje de correo electrnico mal direccionado o interceptado;
ms an, los mensajes encriptados son protegidos de ser ledos an si no llegan a su
destinatario.

Un factor es el hecho de que el nico punto de control garantizado en la entrega de un
mensaje de correo electrnico es el software de usuario usado para crearlo y enviarlo.
Desde el punto de vista del destinatario, el nico punto de control es el software de usuario y
el archivo de casilla de correo que lee para encontrar el mensaje. Debido a que los usuarios
de origen y destino no controlan el sistema de transferencia que mueve los mensajes entre
ellos, los nicos servicios de seguridad que se pueden implementar son aquellos que se
pueden implementar en los software cliente de correo electrnico.

Se debe considerar adems, que la probabilidad de que un mensaje de correo electrnico
sea modificado en trnsito es de cerca del 50%. Se concluye entonces que existen serias
dudas de que un mensaje recibido es idntico al enviado. En este punto una modificacin no
tiene que ser necesariamente maliciosa o intencional para daar la integridad del mensaje.

En el caso particular de entidades gubernamentales, se puede deducir, que existe un gran
volumen de informacin de carcter no slo crtico sino tambin confidencial, que viaja va
correo electrnico entre emisores y receptores, entre los cuales se pueden encontrar
ministros, gerentes de rea, jefes de rea, entre otros; no resulta extrao pensar, que esta
informacin est siendo interceptada y por tanto accesada (chuponeada) por terceros no
autorizados, con fines de simple curiosidad, o bien con objetivos maliciosos, pudiendo ser
alterada o aprovechada para distintos fines, ocasionando daos de diferente proporcin.

El uso de correo electrnico seguro se vuelve una necesidad an mayor si se sabe que
otros gobiernos tienen sofisticados sistemas de interceptacin de mensajes como el sistema
Carnivore del FBI (USA) y los sistemas Echelon y Magic Lantern. Algunos estiman que
por ejemplo el sistema Echelon permite a la Agencia de Seguridad Nacional americana
(NSA) obtener del 15% al 20% de informacin de inteligencia. Todos estos sistemas
ofrecen a las agencias de inteligencia de gobiernos extranjeros la posibilidad de poder ver
la actividad de mensajes de correo electrnico de cualquier persona o institucin. An ms,
el sistema Echelon permitira que se realice el monitoreo a cualquier usuario de correo
electrnico (entre ellos nuestros funcionarios pblicos) desde otro pas sin tener que aplicar
una orden judicial.

5

As, si bien es cierto, el uso de medios electrnicos tiene una serie de beneficios, es
necesario tomar las medidas de seguridad idneas para que esos beneficios no sean
mermados y se ocasionen adems daos quizs irreparables. Teniendo en cuenta lo
delicado de la informacin que es objeto de intercambio entre las entidades
gubernamentales, se puede deducir que los daos a ocasionarse por negligencia o
descuidos de seguridad pueden pasar no slo por aspectos directamente tangibles o de
ndole monetaria, por ejemplo; sino tambin por prdidas de imagen, prestigio, entre otros
cuya valoracin supera con creces la inversin que habra de realizarse para maximizar la
seguridad de las transacciones electrnicas.

2. OBJETIVO.

El objetivo del presente proyecto consiste en la Implantacin de un Sistema de Correo
Electrnico Seguro, empleando certificados y firmas digitales, para las Instituciones del
Estado Peruano.

3. SOLUCIN PROPUESTA.

El Instituto Nacional de Estadstica e Informtica, como ente rector del sistema informtico
estatal a nivel nacional, y por lo tanto, canalizador de soluciones informticas al interior del
Estado Peruano, propone, con la participacin de la empresa privada, la realizacin de un
proyecto de seguridad, con el objeto de llevar a cabo, en tres etapas, la Implantacin de un
Sistema de Correo Electrnico Seguro, empleando certificados y firmas digitales, para las
Instituciones del Estado Peruano, que habilitar las facilidades de:

Firma Digital de Correo Electrnico.- para probar el origen y autenticidad, e integridad
de un mensaje de correo electrnico enviado/recibido por las Instituciones del Estado
Peruano.

Encriptacin de Correo Electrnico.- para garantizar la confidencialidad de la
informacin transmitida entre los funcionarios de las Instituciones del Estado Peruano.

Courier Electrnico Seguro.- para garantizar la entrega de la informacin transmitida
electrnicamente entre los funcionarios de las Instituciones del Estado Peruano.


6
La solucin propuesta de correo electrnico seguro ha considerado los siguientes aspectos:
?? Sistema Fcil de usar, el requisito ms importante para un sistema de correo
seguro es la facilidad de uso, tanto para los usuarios que envan como para los que
reciben. Si el envo de correo electrnico es moderadamente ms complejo que el
correo electrnico convencional, los usuarios no lo usarn.

?? Integracin, todo sistema de correo seguro debe ser capaz de integrarse con una
infraestructura de seguridad existente, an si la infraestructura de seguridad del que
enva es diferente a la del que recibe. Tal integracin puede preservar algunas de las
inversiones realizadas en aseguramiento de las comunicaciones por las
organizaciones. Similarmente, cualquier correo seguro debera integrarse fcilmente
con la infraestructura de correo existente e imponer una sobrecarga adicional
relativamente pequea a los miembros del staff de tecnologas de informacin y
otros recursos.

?? Transparencia Global, un correo electrnico seguro debera ser transparente en su
habilidad de comunicarse con usuarios de diferentes tipos, ya sea si son usuarios de
un sistema de mensajera corporativo o usuarios externos como los clientes.

?? Seguimiento Automtico de Auditora, la habilidad de mantener huellas de
auditoria de cundo los mensajes son recibidos est volvindose muy importante
debido a la regulacin y otros requerimientos, y debera ser independiente de
cualquier accin hecha por el destinatario.

?? Control de Envo, una extensin del mantenimiento de huella de auditora es el
control de envo del correo hasta el punto que el usuario destino abra el correo, En
otras palabras, el usuario origen debera poder recobrar un mensaje antes de que
sea ledo, controlar cuando la entrega se debe llevar a cabo o destruir el correo
electrnico antes de su entrega.

?? Autenticacin de dos vas, la autenticidad garantizada del usuario origen va una
firma digital es un elemento crtico de cualquier sistema de correo electrnico seguro.
Similarmente el usuario origen debera estar seguro de que el usuario destino es
quien dice ser.


7
3.1. ALCANCES DE LA SOLUCIN PROPUESTA.

El proyecto propuesto tendr los siguientes alcances:
??La solucin se implementar para la PCM, el INEI y las Instituciones del Estado Peruano
que se involucren en el presente proyecto.
Se propone la implementacin de la solucin en tres etapas:

Primera Etapa: Usar certificados digitales con los clientes del tipo S/MIME o
compatible, de las entidades del Estado que las poseen.

Segunda Etapa: Estandarizar el software de correo de los usuarios con el estandar
S/MIME

Tercera Etapa: Implementar un Sistema de Mensajera Segura, donde se implemente
a mas usuarios de las entidades pblicas (que garantice la entrega de documentos
adems de la seguridad). Este sistema permitir adems de firma digital y,
encriptacin y desencriptacin de correo electrnico; la transmisin segura,
seguimiento de cada entrega, y entrega segura de la informacin.

Luego de concluir esta etapa, se podr contar con un sistema seguro y confiable para
la entrega de documentos, archivos y mensajes electrnicos entre los usuarios de las
instituciones seleccionadas. El sistema permitir encriptar y asegurar entregas
electrnicas (de mensajes, documentos, o archivos) antes de que stas salgan de la
computadora del usuario, otorgando adems, a travs de los canales de Internet,
garanta de privacidad y entrega slo a los recipientes indicados, adems de realizar
un seguimiento de las entregas en todos los puntos durante el proceso. Gracias a
este sistema, se tiene adems del cumplimiento de los principios de confidencialidad,
integridad, autenticacin y no repudiacin, las pruebas de entrega de la informacin al
destinatario indicado.

La primera etapa podra estar dirigida slamente a los altos funcionarios (ministros,
viceministros, etc.) de las entidades del estado, y sera un proyecto muy fcil de
implementar y con un alto retorno de inversin. Al escoger una pequea comunidad
de usuarios se podra estandarizar el uso de clientes de correo electrnico y versiones
de estos clientes garantizndose as la interoperabilidad de los sistemas de correo
electrnico involucrados.

8

La segunda etapa tendra la finalidad de aumentar el nmero de usuarios del sistema
para lo cual habra que estandarizar los posibles diferentes clientes de correo. El
resultado de la implementacin del sistema de correo seguro permitira el uso seguro
(con firma digital y/o encriptacin) de los sistemas convencionales de correo
electrnico que tengan las entidades del gobierno. Sin embargo para el envo de
documentos que requieran caractersticas como garanta de entrega, acuse de recibo
y seguimiento de stos se requerira implementar un sistema ms complejo.

??Se llevar a cabo el Proceso de Identificacin y Autenticacin (I&A) en persona- previo a
la emisin de certificados digitales-, por parte de Agentes Locales de Registro (LRA) que
permitir a la PCM, INEI y otras entidades, recibir certificados digitales de mximo nivel
(nivel 3).

??La provisin y emisin de Certificados Digitales X.509 v3 se llevar a cabo por una
Entidad Certificadora (CA) que cumpla con los estndares internacionales y las leyes
peruanas .

??La provisin e instalacin de dispositivos criptogrficos externos de almacenamiento de
llaves privadas como los smarts cards y/o ikeys.

??Se efectuar la configuracin de los clientes de correo electrnico de los usuarios
beneficiados con la solucin, de manera que se habiliten las funciones de firma digital de
los correos electrnicos y/o encriptacin de los mismos, mediante el uso de certificados
digitales.

??Se realizar la configuracin de Clientes de Correo para la habilitacin de los iconos
respectivos de firma digital y encriptacin de correo electrnico para los usuarios
beneficiados con la solucin.

??Pruebas de uso de correo/courier electrnico seguro y breve entrenamiento a los
usuarios.

??Recomendaciones sobre Polticas de uso de los certificados.

9
3.2. FUNCIONALIDADES DE UNA INFRAESTRUCTURA PKI, CUMPLIMIENTO DE
ESTNDARES.
A continuacin se detallan aspectos sobre funcionalidades y requerimientos que la
empresa proveedora deber tener en consideracin en su propuesta para el desarrollo
de un sistema de correo electrnico seguro con tecnologa PKI.
De la Entidad Certificadora (CA)
La empresa proveedora utilizar los servicios de la Entidad Certificadora con la que
trabaja, como proveedor de servicios PKI reconocido internacionalmente y de acuerdo
a las leyes del Per y normas internacionales prevalecientes para la certificacin
digital y las firmas digitales.

La Entidad Certificadora, debe ofrecer los servicios de emisin, validacin y
revocacin de los certificados digitales y firmas digitales. Los costos de los servicios
de validaciones de firmas estarn cubiertos en la solucin ofrecida en un periodo de
un ao.

De la Entidad de Registro (RA)
Identificar una Autoridad de Registro (RA), la cual se encargar de la autenticacin e
identificacin de los usuarios y de completar el protocolo definido.
Una autoridad o entidad de registro o verificacin, es aquella que se encarga del
levantamiento de datos, as como de la comprobacin de los mismos respecto a un
solicitante de certificado digital y cuyos servicios son patrocinados por una autoridad
de certificacin
Una vez creado el certificado, el usuario podr obtenerlo tantas veces como sea
oportuno a travs del repositorio de certificados asociado con la Autoridad de
Certificacin emisora de la credencial digital.
De los Requerimientos de Seguridad y Estndares Internacionales
La solucin planteada deber contar con una completa conformidad de certificado
digital con el estndar x.509v3, que ser almacenado en un medio de seguridad
trasladable pero que no podr ser copiado, lo cual se ajusta a la norma ISO 7816-4

10
para las Llaves Inteligentes USB (llamada ikey). Las entidades del estado tambin
pueden evaluar el empleo de smart cards (tarjetas inteligentes) que cumplan tambin
con la norma ISO 7816; y que tienen Lectora de la Tarjeta Inteligente o Smart Card,
que es el dispositivo que acta como interfase entre el usuario y el sistema, y permite
conectarse a la PC del cliente a travs del puerto serial, o USB, y soporta los
estndares PC/SC y SCM SCR 100.
El proveedor de Certificacin Digital deber utilizar certificados X.509v3, que puedan
ser almacenados en un directorio accesible LDAP.
La solucin que plantee la empresa proveedora debe tener en cuenta lo siguiente:
??Estndares de los Certificados.- la solucin debe tener en cuenta un 100% de
conformidad con las normas de la estructura de los certificados, lo que asegure la
aceptacin y utilidad dentro de las aplicaciones de terceras partes, se trabajar
entonces con los estndares X.509v3 (incluyendo todas las extensiones
regularizadas) y S/MIME.
??Estndares Criptogrficos.- adems, la solucin debe cumplir con las normas
que manejan las estructuras criptogrficas dentro de los certificados para los
mtodos de generacin de claves, algoritmos hash y algoritmos de encriptacin:
RSA , DSA, RC2, DC4, SHA-1, DES, 3DES, MD5.
??Normas de Comunicacin.- Las normas deben manejar las sesiones del
navegador requeridas para el registro del cliente y para las respuestas del OCSP:
TCP/IP, HTTP y HTTPS.
Estas normas tambin validarn el certificado en tiempo real: CRL, OCSP.
??Estndares Comerciales.- La solucin debe cumplir con las normas ISO 7816-4,
que manejan los aspectos fsicos de los componentes de seguridad; y con la
Certificacin FCC/CE. Adems, la solucin se adhiere a la norma ISO 15408, que
maneja la seguridad lgica y fsica de la CA.
3.3. CONSIDERACIONES DE UN SISTEMA DE CORREO ELECTRNICO SEGURO
Con la finalidad de que el sistema de correo electrnico seguro funcione de manera
ptima entre las distintas Instituciones del Estado peruano, se considera necesario
tener en cuenta los siguientes aspectos:

11
De la Estandarizacin de los Sistemas de Correo Electrnico para el Estado Peruano
Como producto de la solucin que se busca implementar, los usuarios de la PCM,
INEI y de las Instituciones del Estado involucradas en el proyecto, podrn enviar
correo electrnico seguro, esto es, firmado digitalmente y encriptado, gracias a la
aplicacin del estndar S/MIME (Secure Multipurpose Internet Mail Extension), el cual
est basado en PKI.

Sin embargo, cabe destacar que uno de los problemas para implementar la solucin
es el hecho de que mientras existen varios software cliente de correo electrnico
(Eudora, Microsoft Outlook, Netscape Messenger), existen muy pocos sistemas de
transferencia de mensajes (Sendmail). As, el nmero de aplicaciones correo
electrnico que son totalmente compatibles con los estndares de Internet es muy
pequeo.

Como resultado de lo anterior, la interoperabilidad se mantiene como una
problemtica, y la probabilidad de que un mensaje recibido es idntico al enviado es
dudosa.

Como lo vemos las ventajas de que el Estado estandarice sus sistemas de correo
electrnico, o por lo menos sus clientes de correo electrnico, se ven en trminos de
costos de administracin, performance, y servicio al ciudadano.

Aunque existe una variedad de productos de correo electrnico en el mercado, se
observa que Microsoft que ofrece su Exchange Server y su cliente Outlook, y Lotus
con su cliente Notes y su servidor Domino dominan el mercado.

De la Confianza del Sistema de Correo Electrnico

La gran barrera que afronta un sistema de correo seguro es la confianza. Este
problema se manifiesta asimismo de dos formas principales; el primer tema tiene que
ver con el uso en particular en cmo las claves pblicas son usadas y
administradas; y el segundo tema es confiar en el contenido de un mensaje seguro.

S/MIME usa certificados X.509 V3. Esto requiere certificados que sean emitidos por
una Entidad Certificadora (CA) de una de las dos siguientes formas: (1) a travs de un
proveedor de servicios de CA o (2) va una comunidad de usuarios que hayan

12
implementado su propio CA comprando software de empresas como Entrust
(http://www.entrust.com/) o RSA Security (http://www.rsasecurity.com/).

De acuerdo al alcance del presente proyecto, la solucin propuesta maximiza la
seguridad existente en cuanto a la transmisin de correo electrnico, solucionando el
problema tanto para los usuarios de la PCM, INEI, as como de las instituciones del
Estado involucradas en el proyecto.
Importante
La eleccin de un CA y su correspondiente RA es un tema de CONFIANZA en las
empresas que cumplirn esos roles. A fin de tener certificados de mayor nivel
(categora 3), es indispensable para este proyecto, que busca implementar en la
PCM, INEI y otras Instituciones de Estado que implementen un sistema de
correo electrnico seguro; contar con una RA local, para que esta realice los
procedimientos de autenticacin e identificacin en la modalidad conocida
como en persona o cara-a-cara como aspecto previo a la emisin de
certificados digitales.

As, como la fuente de emisin del certificado es importante, el proceso de validacin
del certificado es tambin un tema crtico. El usuario origen debe validar un certificado
digital del usuario de destino a fin de asegurarse que la clave pblica usada para
encriptar un mensaje es la correcta. Y el usuario destino debe validar el certificado
digital del usuario origen a fin de confirmar la identidad del origen.

Un mito del correo seguro es que el instalar la tecnologa es suficiente para comenzar
a enviar y recibir mensajes seguros. La realidad es que los usuarios necesitarn
claves pblicas, que requiere una administracin de infraestructura de clave publica
(PKI), con las polticas y procedimientos adecuados.

As, como en todos los temas de seguridad, la inversin en un sistema de correo
electrnico seguro es tanto una inversin tecnolgica como una inversin cultural.


13
De la Seguridad en la Transmisin de Correo Electrnico
La solucin a implementarse brinda un sistema de correo electrnico seguro, para
lo cual se ha tenido en cuenta la garanta de los siguientes principios de seguridad
en la transmisin de informacin por Internet:

?? Autenticacin: Asegurarse que en una transaccin ambas partes sean
quienes dicen ser.
?? Confidencialidad: Nadie podr leer la informacin transmitida de manera
encriptada salvo las personas que emiten y reciben el mensaje.
?? Integridad: Asegurar que los mensajes transmitidos que han sido firmados
digitalmente no sufran ninguna modificacin en el camino entre el emisor y
receptor, sin que esta sea percibida.
?? No Repudiacin: Deber asegurar que el emisor del correo electrnico
firmado digitalmente no pueda negar posteriormente el envo del mismo.

De los Certificados Digitales
Para este proyecto se plantea la adquisicin por parte del INEI y dems
Instituciones del Estado involucradas, certificados digitales de Categora o
Nivel "3" (es decir, con autenticacin face to face o en persona), estndar
X.509v3.
El certificado digital permitir el cifrado de texto y la firma digital del correo
electrnico, el cual utilizar una clave pblica y una clave privada. El
certificado digital garantizar, como se indic anteriormente, los cuatro
aspectos fundamentales en una transaccin electrnica: Autenticidad,
Integridad, Confidencialidad y No Repudiacin.
Es importante sealar que la Entidad Certificadora, valindose de la Entidad
de Registro verificarn la identidad de las personas a quien se le otorgar la
licencia de uso del certificado digital.
Los Certificados Digitales ofrecidos permitirn adems su uso en futuras
aplicaciones diferentes a la que es objeto de la presente propuesta (por
ejemplo, autenticacin y realizacin de transacciones seguras en sistemas

14
propietarios, VPNs, firma y encriptacin de documentos en diferentes
formatos, etc.)
De la Generacin y Grabacin de las Firmas Digitales en las Llaves Inteligentes USB
La Autoridad de Registro se har cargo de la instalacin de los componentes de
seguridad del tipo llave inteligente USB, y del procedimiento de generacin y
grabacin de las llaves privadas en las tarjetas inteligentes, luego de que la
Autoridad Certificadora y Autoridad de Registro hayan verificado y confirmado la
identidad de la institucin y del usuario al que se le entregar un componente de
seguridad.
De la Distribucin e Instalacin de los Componentes de Seguridad
La Autoridad Certificadora se encargar de distribuir e instalar los certificados
digitales y los componentes de seguridad. Cada institucin beneficiada con
componentes de seguridad deber firmar un acta de conformidad de la instalacin
de los dispositivos de seguridad, para ello la Autoridad Certificadora entregar una
gua de instalacin y uso en idioma espaol.

4. BENEFICIOS DE LA SOLUCIN PROPUESTA.
??Se habilitarn las facilidades tcnicas para que funcionarios de la PCM, INEI y de las
Instituciones del Estado involucradas en el proyecto, puedan enviar y recibir correo
electrnico firmado digitalmente, es decir, el receptor tendr la certeza de que quien le
envi el correo es quien dice ser. En otras palabras, el usuario que envi un correo
electrnico firmado digitalmente no podr negar que fue l el emisor (principio de no
repudiacin).
??En la PCM, el INEI y las Instituciones del Estado involucradas en el proyecto, slo la
persona que posee un certificado digital y su correspondiente llave privada puede haber
creado la firma digital que la vincula al documento. Cualquier persona que tenga acceso
a la correspondiente llave pblica puede verificar la firma digital.
??Se habilitarn las facilidades tcnicas para que funcionarios de la PCM, INEI y de las
instituciones del Estado involucradas en el proyecto puedan enviar y recibir correo
electrnico encriptado, los cuales, si son chuponeados, no podrn ser ledos (gracias a
las tcnicas criptogrficas utilizadas para encriptar el mensaje, la persona que

15
chuponee el correo electrnico slo ver un conjunto de caracteres sin sentido); slo el
destinatario a quien est dirigida la informacin enviada podr tener acceso a sta
haciendo uso de su llave privada.

??Cualquier cambio en la informacin contenida en el correo electrnico que fue firmado
digitalmente por algn funcionario de la PCM, INEI y de las instituciones del Estado
involucradas en el proyecto, ser inmediatamente percibido por el receptor a quien va
dirigido el correo, mediante un mensaje de advertencia que es proporcionado por el
sistema al momento que el receptor accede al correo electrnico, que le indica que el
contenido del correo electrnico fue alterado despus de efectuada la firma digital por
parte del emisor, y por lo tanto el mensaje ha dejado de ser vlido. Cualquier
modificacin en la informacin (inclusive el cambio de un simple bit en un extenso
mensaje) invalida la firma digital.

??De acuerdo al alcance del presente proyecto, si se llega a concretar la solucin en sus
dos primeras etapas, se estara maximizando la seguridad existente en cuanto a la
transmisin de correo electrnico, y, al implementarse la tercera etapa, se tendra un
sistema completo de correo electrnico seguro, que contemple adems, seguridad de
entrega de la informacin.

??La implementacin de la solucin completa de correo electrnico seguro en las
diferentes instituciones del Estado, brindarn las facilidades tcnicas de encriptacin y
firma digital; y adems, se cubrira tambin el aspecto legal de la validez de la firma
digital, gracias a que la solucin plantea la integracin de una CA de acuerdo a los
estndares de la industria y que luego podr registrarse ante la Autoridad Administrativa
Competente que define la ley, lo que significa que se estara trabajando con una CA que
cumplir no slo con estndares fijados por la industria, sino tambin, que se encontrar
sometida a continuas auditoras internacionales. Gracias a lo anterior, la firma digital
aplicada tendr la validez y peso legal de una firma manuscrita de acuerdo a la Ley
27269 - Ley de Firmas y Certificados Digitales, que seala textualmente en su artculo
1:Entindase por firma electrnica
1
a cualquier smbolo basado en medios electrnicos
utilizado o adoptado por una parte con la intencin precisa de vincularse o autenticar un

1
La firma digital se encuentra dentro de este tipo de firmas, la Ley 27269 seala tambin en su artculo 3:La
firma digital es aquella firma electrnica que utiliza una tcnica de criptografa asimtrica, basada en el uso de
un par de claves nico; asociadas una clave privada y una clave pblica relacionadas matemticamente entre
s, de tal forma que las personas que conocen la clave pblica no puedan derivar de ella la clave privada.


16
documento cumpliendo todas o algunas de las funciones caractersticas de una firma
manuscrita.

??Los certificados digitales a ser generados, teniendo en cuenta que se propone una
solucin de mxima seguridad, se almacenarn en dispositivos de hardware seguro,
como son las llaves inteligentes USB, que cuentan con un chip criptogrfico especial,
donde es almacenada e inclusive generada la llave privada, y que adems es porttil, es
decir, el dueo lo puede llevar consigo a donde vaya.

5. METODOLOGA.

La metodologa y plan de trabajo a utilizar en la Implantacin de un Sistema de Correo
Electrnico Seguro, empleando certificados y firmas digitales, para las Instituciones del Estado
Peruano, constar de los siguientes pasos:

ETAPA 1.
1. Levantamiento de informacin.
??Verificacin de cumplimiento de pre-requisitos para la implementacin de
la solucin.
??Polticas de seguridad de transacciones va correo electrnico.
??Plataforma actual de transmisin de correo electrnico.
??Diagnstico de seguridad de correo electrnico de las instituciones del
Estado involucradas en el proyecto.
2. Diseo de Seguridad de Correo Electrnico.
3. Registro de informacin de usuarios solicitantes de certificados digitales.
4. Proceso de identificacin y autenticacin de usuarios solicitantes de certificados
digitales.
5. Generacin de llaves pblica y privada Grabacin de llave privada en
componente de seguridad (llave inteligente USB).
6. Emisin de certificados digitales.
7. Instalacin y configuracin de Servicios de Seguridad de Correo Electrnico.
8. Pruebas de Uso Seguro de Correo Electrnico.
9. Entrenamiento a los usuarios.
ETAPA 2.
10. Estandarizacin de clientes de correo electrnico.

17
11. Instalacin y configuracin de Servicios de Seguridad de Correo Electrnico en
clientes de correo que han cambiado sus caractersticas.
12. Pruebas de uso Seguro de Correo Electrnico.

ETAPA 3.
14. Anlisis de Requerimientos de sistema de courier electrnico seguro, para las
instituciones del Estado peruano.
15. Desarrollo o outsourcing de sistema de courier electrnico seguro para las
instituciones del Estado peruano.
16. Implantacin del sistema de courier electrnico seguro.
17. Pruebas de uso del sistema de courier electrnico seguro.

6. PLAN DE TRABAJO.

Para el desarrollo del presente proyecto, se seguir un plan de trabajo que se disear
especialmente, con la finalidad de cumplir con xito el objetivo trazado. De acuerdo a la
organizacin y al alcance del proyecto, se planificarn los tiempos y recursos necesarios
para la implementacin de la solucin completa.

7. RECURSOS PARA EL PROYECTO.

7.1. RECURSOS DEL INEI E INSTITUCIONES DEL ESTADO INVOLUCRADAS EN EL
PROYECTO

Para lograr el xito en el desarrollo de las actividades del presente proyecto se
propone el siguiente personal, con la dedicacin indicada:

Responsable del Proyecto Jefe de Sistemas, Quien proporcionar o
designar a quienes proporcionen
informacin para el buen desarrollo de la
consultora.


18
Jefe de Proyecto Profesional INEI ?? Dar soporte a labores de personal
tcnico de la empresa proveedora.
?? Proveer la informacin requerida, en
forma oportuna al personal de la
empresa proveedora.
?? Tener disponibilidad durante el
tiempo que dura la consultora.

7.2. RECURSOS EXIGIBLES AL PROVEEDOR

Para lograr el xito del proyecto, el proveedor deber asignar el siguiente personal,
con la dedicacin indicada:

Ejecutivo de Cuenta 1 persona tiempo parcial
Jefe de Proyecto 1 persona tiempo parcial
Ingenieros e-Security

3 personas a tiempo completo durante el
desarrollo del proyecto.

4 personas a tiempo parcial durante el
desarrollo de la consultora

8. ENTREGABLE.
El entregable del presente proyecto constituye un documento impreso, que consolide
todos los aspectos contemplados en el alcance del mismo, dejando constancia de la
implantacin de la solucin.

9. TIEMPO.
El tiempo se deber estimar de acuerdo al tamao del proyecto.
10. COSTOS ESTIMADOS.
Se presentan costos unitarios para efectos de evaluacin y determinacin de la cantidad
a requerirse como SOLUCIN. El costo del proyecto, de acuerdo a la informacin
disponible, se estimar en base a la distribucin y cantidad de Certificados a requerirse:

Descripcin
Certificados Digitales
Canti-
dad
Precio
Unitario

19
US$

Certificados Digitales
La Solucin incluye:
01 95.00 *

LatinSignID Certificate
Duracin del Certificado: 01 Ao renovable

CIP ikey 2000 Authentication Solution for PKI
Kit de Seguridad compuesto por: Token Criptogrfico
iKey-2000 y Software de configuracin.

Servicio de Autenticacin, Identificacin, Validacin,
Instalacin, Configuracin.
(Precio Referencial estimado para una cantidad de 100
usuarios a nivel de Lima Metropolitana)
01 1,500.00

Servicio de Soporte Tcnico Anual
Servicio en modalidad 8 x 5 con tiempo de respuesta mximo
de 02 horas para incidentes graves.
(Precio Referencial estimado para una cantidad de 100
usuarios a nivel de Lima Metropolitana)
01 2,000.00
Nota : Son precios referenciales de un proveedor local (*)

o Se estipula que el costo de los certificados es por un ao, teniendo que considerarse la
renovacin para un segundo ao por aproximadamente $25.00 + IGV por certificado.
o Es necesaria una actividad de capacitacin, que se dimensiona de acuerdo a la cantidad
de Certificados (usuarios) y lugares donde se instalarn.

11. PROPUESTA DE PILOTO PARA EVALUACIN.
El INEI plantea realizar un piloto de evaluacin de Intercambio de Correo electrnico
seguro entre INEI y Presidencia del Consejo de Ministros (PCM). Para realizar el piloto se
ha dimensionado a implementar la solucin propuesta con Certificados en una cantidad
de, mnimo 05 y un mximo de 10 usuarios por institucin.

Esta propuesta para el realizar el presente piloto debe incluir todos los servicios, lo cual
servir para demostrar cmo es el proceso de Registro e Identificacin a seguir en un
Proyecto de mayor envergadura. Tambin se incluirn los servicios de un ingeniero para

20
apoyar en el piloto de pruebas durante el tiempo de duracin del Piloto que no debe
exceder de los 45 das.

Descripcin
Piloto de Evaluacin Cantidad
Precio
Unitario
US$
Propuesta de Implementacin de Piloto de
Evaluacin de Intercambio de Correo Seguro
entre dos Instituciones:

El piloto incluye:
3,000.00

LatinSignID Certificate Mximo 10
por
institucin

Duracin del Certificado: 1 ao

CIP ikey 2000 Authentication Solution for PKI
Kit de Seguridad compuesto por: Token Criptogrfico
iKey-2000 y Software de configuracin.
Mximo 10
por
institucin

Servicio de Autenticacin, Identificacin,
Validacin, Instalacin, Configuracin.
(Para una cantidad mxima de 10 usuarios)

Servicios de un Ingeniero asignado al Plan Piloto
Disponibilidad de dos (02) das a la semana, 03
horas por da.

Total US$ 3,000.00
Nota : Estos precios han sido obtenidos de un proveedor local

Libro

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Libro

Cargado por

Copyright:

Formatos disponibles

PROPUESTA

Lima, Junio del 2002

También podría gustarte