Certificados Digitales

Cuando se es necesario elegir un software, comparando su confiabilidad, seguridad, precisin y

otros factores importantes es muy complicado para el usuario ya que esto conlleva mucho
tiempo y ni todos los software proveen una detallada informacin de lo necesario, por lo que los
certificados digitales pueden resolver esos problemas de fiabilidad, pero el sistema de
certificados digitales de hoy en da es limitado y no est preparado para software orientados al
servicio.
Trabajos relacionados
El departamento de defensa de Estados Unidos del National Computer Security Centre
(NCSC) ah patrocinado un sistema llamado Trusted Computer System Evaluation Criteria
(TCSEC) o Libro Naranja siendo el primer intento de crear un soporte con certificados de
seguridad a los softwares. Este fue escrito por sistemas militares y fue ampliamente utilizado en
aplicaciones de las industrias de computacin. El Libro Naranja tena como objetivos:

Proveer lneas de escucha seguras para fabricantes para ser capaces de construir
productos que satisfagan los requerimientos de seguridad de aplicaciones delicadas.
Definir una forma sistemtica (cualitativa) de medir el nivel de confianza provistos por
sistemas de computadoras sobre el manejo de seguridad sobre informacin delicada o
clasificada.
Permitir a los compradores de software especificar sus propios requerimientos de
seguridad, en lugar de tomar o dejar parmetros fijos de seguridad definidas por los
proveedores.

El que proporciona la seguridad de que el proceso de especificacin, implementacin y

evaluacin de un producto de seguridad informtica se ha realizado de una manera rigurosa y
estndar es Common Criteria (CC) para Evaluacin de Seguridad Tecnolgica Informativa es un
estndar internacional (ISO/IEC 15408).
Estas certificaciones representan una forma fiable para proporcionar informacin acerca de la
funcionalidad y la seguridad de un software. Sin embargo, esta informacin no es legible por
mquina. Por lo tanto, esta certificacin es para el ser humano y no puede ser gestionado por las
mquinas.
Hay otras formas de proveer informacin sobre la calidad de los softwares mediante Acuerdo de
Nivel de Servicios (SLA), es un contrato entre un cliente y el proveedor, el usuario tiene que
confiar en la informacin de software propuesta por el proveedor. Sin embargo, esa garanta es
insuficiente, por lo que un acuerdo puede seguir siendo solo un pedazo de papel que no se
adhiere al compromiso que existe dentro de la organizacin para su ejecucin. Este embarca
algunos problemas como:

Servicio a ser entregue

Rendimiento, seguimiento e informes
Manejo de problemas
Cumplimiento Legal y Resolucin de Disputas
Deberes y Responsabilidades del Cliente
Seguridad
Informacin confidencial

Terminacin

ASSERT4SOA.- Un certificado es un documento que garantiza la verdad de un artefacto. En el

rea de Informacin y Tecnologas de Comunicaciones (ICT) existen diferentes artefactos que
pueden ser certificados. Ellos pueden ser certificados desde capacidades profesionales en cierto
tipo de software o hardware para sistemas de software como fiabilidad y seguridad.
Es llenar esta brecha mediante la produccin de novedosas tcnicas y herramientas totalmente
integradas en el ciclo de vida de SOA (Service-Oriented Architectures) para expresar,
evaluacin y certificacin de las propiedades de seguridad para aplicaciones orientadas a
servicios complejos, compuesto por servicios de software distribuidos que dinmicamente
pueden ser seleccionados, montados y sustituidos y ejecutarse en softwares complejos y en
constante desenvolvimiento.
El propsito de ASSERT4SOA es proporcionar una estructura para el manejo avanzado de la
seguridad de certificados de servicio (ASSERT). Por el momento, los certificados se utilizan
principalmente para la autenticacin y firma (certificados de clave pblica, tales como
certificados X.509) o con fines de autorizacin (certificados de atributos tales como SPKI). En
este sentido ASSERT4SOA no sustituye cualquier uso actual de certificados pero proporciona
una nueva categora de servicios llamada los certificados digitales.
ASSERT.- son documentos digitales que representan la informacin contenida normalmente en
certificaciones de software actuales, son un nuevo tipo de certificados digitales, que estn
implementados como una firma digital XML. Un lenguaje fue diseado para ASSERT como un
documento de firma digital XML este lenguaje es rico, preciso y flexible que permite
representar una diversidad heterognea de informacin de los certificados de los softwares. El
lenguaje es modular y su estructura es la siguiente:

ASSERT ncleo del lenguaje: contiene los aspectos comunes del certificado (firma,
validacin, autoridad de ASSERT, editor de ASSERT. etc).
Propiedades de mdulo: representa las propiedades de seguridad que estn certificadas.
Extensiones definidas a los usuarios: representa todos los aspectos relevantes al usuario
o necesidades especficas de dominio (accesibilidad, precio, tiempo de respuesta, etc).
Tipos especficos de mdulos: El lenguaje considera diferentes mdulos que se utilizan
para representar ASSERT de diferentes tipos (modelo basado; basados en evidencias; y
basado en ontologas).

Soluciones propuestas para Archivos ASSERT

Por el momento, ASSERT son manejadas por diferentes CAs (Certificaction Authority), y sin
ningn tipo de gua. Cada vez que un servicio est certificado, un ASSERT totalmente diferente
se genera incluso si el servicio es tan similar a otro. Sin embargo, estos ASSERTs tienen un
lmite de uso de esa manera se producen varios nombres o cadenas de caracteres que expresan
lo mismo.

Ilustracin 1: Estructura de perfil de ASSERT

La plantilla especifica la estructura comn y los valores especficos de los campos que son
obligatorios para ASSERT, y las reglas semnticas especifican cada regla semntica en la
plantilla.
Una plantilla ASSERT es un XML incompleto de un ejemplo de un esquema ASSERT XML.
Tambin puede ser considerado como un conjunto de reglas implcitas, estas reglas son muy
simples y de fcil entendimiento.

Ilustracin 2: Modelo de uso

(1) El propietario del servicio da a conocer la funcionalidad ofrecida por el servicio.

(2) La CA evala el servicio Web.
(3) La CA hace el Assert con ayuda del perfil ASSERT, basndose en los campos ya
rellenados y la homogeneidad de los identificadores.
(4) La CA emite el ASSERT.
Cuando el uso de ASSERT se limita a representar un esquema de certificacin especfica, este
esquema se llama Perfiles ASSERT (AP). Se muestra que existe un repositorio con un gran
nmero de puntos de acceso para diferentes tipos de servicios. El repositorio se divide en
dominios clasificando a los APs de la siguiente manera:

Dominios Financieros(AP1, AP2, AP3)

Dominio de proteccin de datos(AP4, AP5, AP6)
Dominio turista(AP7, AP8, AP9)

Por cada dominio, hay varios APs, los cuales recopilan caractersticas, beneficios de
funcionalidad y propiedades de seguridad. El repositorio est diseado con el fin de cubrir todas
las necesidades marcadas.

Bibliografa

Improving Interoperability of Digital Certificates for software & Services [Marioli

Montenegro, Antonio Maa] (Universidad de Malaga, Espaa) PDF IEEE Paperhttp://ezp1.espe.edu.ec:2084/stamp/stamp.jsp?tp=&arnumber=6655696