Universidad de Manizales Facultad de Ciencias e Ingeniera

Evaluacin de software para

HQWLGDGHVGHFHUWLFDFLyQ 1
>6RIWZDUHHYDOXDWLRQIRU&HUWLFDWLRQ$XWKRULWLHV@

TANY VILLALBA VILLALBA2, ORLANDO CLEMENTE IPARRAGUIRRE VILLANUEVA3

RECIBO: 20.02.2014 APROBACIN: 14.08.2014

Resumen
Existen varias soluciones de software que pueden gestionar cer-
WLFDGRVGLJLWDOHV\VHUXWLOL]DGDVSRU(QWLGDGGH&HUWLFDFLyQSRU
ORTXHHV~WLOLGHQWLFDUXQVRIWZDUHFRQODPD\RUIXQFLRQDOLGDG
posible, para ser adecuado y ampliado, y as conseguir una total
funcionalidad de una entidad. Este software puede ser libre o
propietario pero, para un mayor control y por la problemtica, se
sugiere que sea libre y de cdigo abierto, de manera que puedan
UHDOL]DUVHDMXVWHVSDUDDGDSWDUVHDODQRUPDWLYLGDGHVSHFtFD
peruana en este caso. En el anlisis de este tipo de software,
se usan criterios de estandarizacin (RFC 3647), escalabilidad,
facilidad de mantenimiento y soporte por parte de empresa o
comunidad de usuarios. De la comparacin realizada entre solu-
ciones, se concluye que EJBCA es la ms completa, as como la
de mayor facilidad de adecuacin.
Palabras Clave:FHUWLFDGRGLJLWDOHQWLGDGGHFHUWLFDFLyQVRIW-
ware libre

* Modelo para la citacin de este artculo:

VILLALBA VILLALBA, Tany & IPARRAGUIRRE VILLANUEVA, Orlando Clemente (2014).
(YDOXDFLyQGHVRIWZDUHSDUD(QWLGDGHVGH&HUWLFDFLyQ(Q9HQWDQD,QIRUPiWLFD1R
(jul-dic). Manizales (Colombia): Facultad de Ciencias e Ingeniera, Universidad de Manizales.
p. 91-102. ISSN: 0123-9678
1 $UWtFXORGHLQYHVWLJDFLyQFLHQWtFD\WHFQROyJLFDSURYHQLHQWHGHOSUR\HFWRConstruyendo una
(QWLGDGGH&HUWLFDFLyQXWLOL]DQGRVRIWZDUH/LEUH, ejecutado en el periodo 02.2011-02.2013,
e inscrito en el grupo de investigacin de la Facultad de Ingeniera, Escuela Profesional de
Ingeniera de Sistemas, Universidad Catlica Los ngeles de Chimbote.
2 Ingeniero Informtico y de Sistemas, MSc. en Telecomunicaciones, Especialista en Firmas
Digitales, Estudiante de Doctorado en Ingeniera de Sistemas. Jefe de ECERNEP, Registro
1DFLRQDOGH,GHQWLFDFLyQ\(VWDGR&LYLO5HQLHF/LPD3HU~&RUUHRHOHFWUyQLFRWDQ\YLOODO-
bav@gmail.com
3 Ingeniero de Sistemas, MSc. en Tecnologas de Informacin y Comunicaciones. Docente
Titular en la Facultad de Ingeniera, Universidad Catlica Los ngeles de Chimbote (Nuevo
Chimbote, Ancash, Per). Correo electrnico: ivoc_ip@hotmail.com

91
 N 31 - julio - diciembre / 2014

Abstract
7KHUHDUHVHYHUDOVRIWZDUHVROXWLRQVIRUPDQDJLQJGLJLWDOFHUWL-
FDWHVDQGEHXVHGE\&HUWLFDWLRQ%RG\
7KHUHDUHVHYHUDOVRIWZDUHVROXWLRQVIRUPDQDJLQJGLJLWDOFHUWLFD-
WHVDQGEHXVHE\&HUWLFDWLRQ$XWKRULW\VRLWLVXVHIXOWRLGHQWLI\
software with maximum functionality, and extended to be suitable,
and thus achieve full functionality of an entity. This software can be
free or owner but, for better control and problematic, it is sugges-
ted that free and open source, so that adjustments can be made
WRVXLWWKHVSHFLFUHJXODWLRQVLQWKLVFDVH3HUXYLDQODZFRGH,Q
the analysis of this type of software, standardization criteria (RFC
3647), scalability, ease of maintenance and support from company
or user community are used. From the comparison between so-
lutions, we conclude that EJBCA is the most comprehensive, as
well as the ease of adaptation.
KeywordsGLJLWDOFHUWLFDWHFHUWLFDWLRQDXWKRULW\IUHHVRIWZDUH

Introduccin
/RVFHUWLFDGRVGLJLWDOHVVHxDOD7DOHQV2OLDJVRQHOHTXLYD-
lente a un documento de identidad, que permite a una persona demostrar
que es quien dice ser, es decir que est en posesin de la clave secreta
DVRFLDGDDVXFHUWLFDGR(OORVWLHQHQGRVIXQFLRQHVEiVLFDV
- &HUWLFDUTXHODVSHUVRQDVHOVLWLRZHEDVtFRPRORVUHFXUVRVGH
la red (tales como servidores y routersVRQIXHQWHVFRQDEOHVHV
decir, que corresponden a lo que dicen ser.
- Brindar proteccin a los datos intercambiados por parte del visitan-
te y el sitio web de la manipulacin o incluso el robo, tales como
informacin de tarjetas de crdito.
3DUDFRQWDUFRQXQFHUWLFDGRGLJLWDOVHUHTXLHUHGHODDFFLyQGHXQD
(QWLGDGGH&HUWLFDFLyQ\SDUDODLPSOHPHQWDFLyQGHXQDHQWLGDGGH
FHUWLFDFLyQVHUHTXLHUHHOXVRVRIWZDUHHVSHFLDOL]DGR1RUPDOPHQWHHO
VRIWZDUHXWLOL]DGRSRUODVHQWLGDGHVGHFHUWLFDFLyQWLHQHXQDOWRFRVWR
de implementacin por ser especializado, de poca difusin y ajustable
DORVUHTXHULPLHQWRVHVSHFtFRVGHFDGDSDtV
Lo anterior, no evita que pequeas instituciones puedan usar esta tecno-
ORJtDDVXLQWHULRUORFXDOLPSOLFDFRQWDUFRQXQDHQWLGDGGHFHUWLFDFLyQ
\XQVRIWZDUHSDUDODHPLVLyQGHFHUWLFDGRVGLJLWDOHVSRUORFXDOVH
pretende evaluar y sugerir una solucin libre utilizable sin impedimento
de costo o conocimiento.

92
Universidad de Manizales Facultad de Ciencias e Ingeniera

A pesar de existir algunas soluciones de software que pueden permitir

ODLPSOHPHQWDFLyQGHXQDHQWLGDGGHFHUWLFDFLyQYDULDVGHHOODVHVWiQ
en desarrollo o atienden nicamente una parte del funcionamiento es-
perado, situacin que origina el presente trabajo en busca de orientar
ODLPSOHPHQWDFLyQGHXQDHQWLGDGGHFHUWLFDFLyQXWLOL]DQGR6RIWZDUH
/LEUHEDMRHODOFDQFHGHOUHJODPHQWRGHOD/H\GH)LUPDV\&HUWLFDGRV
Digitales en el Estado Peruano (Presidencia de la Repblica, 2008, 12).

1. Fundamento terico
$XWRULGDGGH&HUWLFDFLyQR
(QWLGDGGH&HUWLFDFLyQ(&
(VODHQWLGDGTXHYDOLGDFHUWLFDGRVGLJLWDOHVSDUDORVXVXDULRVQDOHV
los cuales se usan como las identidades digitales en las transacciones
HOHFWUyQLFDVDXWHQWLFDFLyQGHUPDVGLJLWDOHV\FXDOTXLHUSURFHVRHOHF-
trnico que requiera garantizar la identidad del usuario), de acuerdo
con Kaushik (2007).
/D(QWLGDGGH&HUWLFDFLyQWLHQHXQVXEFRPSRQHQWHWHFQROyJLFRGHQRPL-
QDGR3ODQWDGH&HUWLFDFLyQGLJLWDOR3ODQWD3.,FRUUHVSRQGLHQWHDXQ
Centro de Datos. El software, asegura Reniec (2012a, 5), es uno de los
componentes tecnolgicos ms importantes, ya que la generacin de
ODLGHQWLGDGGLJLWDOFHUWLFDGRGLJLWDOHVHOSULPHUSDVRSDUDORVWHPDV
como gobierno electrnico o cualquier modelo que requiera garantizar
la autenticidad del usuario.
&HUWLFDGRGLJLWDO
Segn Reniec (2012b), es un documento digital emitido por una entidad
DXWRUL]DGDR(QWLGDGGH&HUWLFDFLyQ(&TXHYLQFXODXQSDUGHFODYHV4
(una pblica y otra privada) con una persona y asegura su identidad
digital, de manera que la persona pueda ejecutar acciones de comercio
\JRELHUQRHOHFWUyQLFRFRQVHJXULGDGFRQDQ]D\SOHQRYDORUOHJDO/DV
claves vinculadas son:
- Clave Privada. La posee nicamente su dueo y si se sospecha
TXHKDFDtGRHQPDQRVDMHQDVLQPHGLDWDPHQWHGHEHQRWLFDUVH
DOFHUWLFDGRUVXUHYRFDFLyQORJUDQGRFRQHOORFDGXFDUVXYDOLGH]
Para protegerla no debe guardarse en ningn ordenador o medio
de almacenamiento, ni ser expuesta a otras personas.

4 Estas dos claves tiene una relacin matemtica nica que funcionan a manera de llave y
contra-llave, as lo que cifre la clave privada exclusivamentemente puede ser decifrada por
la clave pblica y viceversa.

93
 N 31 - julio - diciembre / 2014

- Clave Pblica. Llamada tambin parte pblica, puede ser publicada

HQODZHESRUODDXWRULGDGGH&HUWLFDFLyQGHVSXpVGHVHUDSUR-
bada por ella, como consta el RFC 3647, sin embargo, basta con
FHUWLFDUVXYDOLGH]$VLPLVPRHVWDFODYHVHUiFRQRFLGDSRUWRGDV
las personas con quienes se relacione.
8QFHUWLFDGRGLJLWDOSXHGHVHUXWLOL]DGRSDUDLGHQWLFDUXQDSHUVRQD
LGHQWLFDUXQHTXLSRVHUYLGRUXQPHGLRGHYDOLGDFLyQSDUDVLVWHPDVGH
DFFHVRFRPRSXHUWDVRELEOLRWHFDVHQWUHRWUDVXWLOLGDGHV/RVFHUWLFD-
dos digitales se basan en la criptografa de clave pblica que utiliza el
par de claves descritas para cifrado y el descifrado. Con la criptografa
de la clave pblica, las llaves o claves (key)5 funcionan en pares em-
parejados de pblico y privado.
6RIWZDUHSDUD&HUWLFDFLyQ'LJLWDO
3DUDLPSOHPHQWDUXQD(QWLGDGGH&HUWLFDFLyQ'LJLWDOVHWLHQHQYDULDV
opciones de software en temas de PKI (Public Key Infrastructure), como:
- 3RUWHFOHXQDDSOLFDFLyQFRQLQWHUID]JUiFDIiFLOGHXVDUSDUDOD
creacin, la gestin y el examen de los almacenes de claves.
- ;&$; DSOLFDFLyQ GLVHxDGD SDUD FUHDU \ JHVWLRQDU FHUWLFDGRV
;VROLFLWXGHVGHFHUWLFDGRV56$'6$\&(FODYHVSULYDGDV
tarjetas inteligentes y las CRL. Con ella, las entidades pueden
UPDUVXE&$GHIRUPDUHFXUVLYDGHIRUPDIiFLODGHPiVKD\SODQ-
tillas personalizables que se pueden utilizar para la generacin del
FHUWLFDGRGLJLWDO
- EJBCA-PKI: segn EJBCA (2014), permite construir una infraes-
tructura completa (o varios) en una instancia de EJBCA, tiene
XQQ~PHURLOLPLWDGRGHHQWLGDGHVHPLVRUDVGHFHUWLFDGRVUDt]\
6XE&$VROLFLWXGGHFHUWLFDGRV\FHUWLFDGRVFUX]DGRVGHSXHQWHV
GHRWUDVHQWLGDGHVHPLVRUDVGHFHUWLFDGRV\3XHQWHGHODV&$
$GHPiVSHUPLWHFHUWLFDGRVFUX]DGRVDRWUDV&$
- Win-PCA: Sourceforce (2010), seala que es un script para crear
LQIUDHVWUXFWXUDGHFHUWLFDGRVDXWRUPDGRGHUDt]
- OpenCA Labs: se basa en muchos proyectos de Cdigo Abierto.
Segn OpenCA (2011), entre el software necesario est OpenLDAP,
OpenSSL, Apache Proyecto, Apache mod_ssl. El desarrollo del
proyecto se divide en dos tareas principales: estudiar y perfeccionar
el sistema de seguridad que garantiza el mejor modelo para ser

5 (QVLVWHPDVFULSWRJUiFRVVHxDOD(QWUXVWHOWpUPLQRkeyVHUHHUHDXQYDORUQXPpULFR

que se utiliza un algoritmo para alterar la informacin segura y visible solo para las personas
que tienen la clave correspondiente para recuperar la informacin.

94
Universidad de Manizales Facultad de Ciencias e Ingeniera

XWLOL]DGRHQXQD&$\HOGHVDUUROORGHVRIWZDUHSDUDFRQJXUDU\
DGPLQLVWUDUIiFLOPHQWHXQD$XWRULGDGGH&HUWLFDFLyQ
- OpenSSL: se basa en la biblioteca SSLeay desarrollada por Eric A.
Young y Tim J. Hudson. El kit de herramientas OpenSSL est bajo
una licencia de tipo Apache, lo que implica la libertad de obtenerlo
\XWLOL]DUORSDUDQHVFRPHUFLDOHV\QRFRPHUFLDOHVFRQVXMHFLyQD
ciertas condiciones de licencia simples, indica OpenSSL (2013). Esta
aplicacin, a pesar de las mltiples crticas sobre la baja calidad del
cdigo heredado de SSLeay, particularmente su falta de limpieza,
como en el caso de Heartbleed, es usada como biblioteca base de
desarrollo, por ser un software de tipo lnea de comando al cual
se le puede implementar script para automatizar algunas tareas
manuales convirtindolo en una posible solucin para ser utilizada
SRUXQD(QWLGDGGH&HUWLFDFLyQ
'HEHDFODUDUVHTXHODHPLVLyQGHFHUWLFDGRVGLJLWDOHVXVDGRVSDUDFLIUD-
do de datos, tiene un mbito regulatorio restrictivo segn el reglamento
GHOD/H\3HUXDQDGH)LUPDV\&HUWLFDGRV'LJLWDOHV3UHVLGHQFLDGHOD
Repblica, 2008, 12), por lo cual no se abarca en el presente trabajo.
1.4 Referencias
Uno de los referentes ms grandes son los estudios realizados por
la RNP (Red Nacional de Ensino e Pesquisa - Brasil) a travs de la
Escuela Superior de Redes (Carlos et al., 2010), quienes publicaron
un libro que contempla de forma ntegra y didctica la implementacin
GHXQDHQWLGDGGHFHUWLFDFLyQSDUWLHQGRGHOREiVLFR\OOHJDDOQLYHO
de detalle tcnico, utilizando apenas una herramienta de software
como OpenSSL.
2WUR JUDQ FHQWUR GH LQYHVWLJDFLyQ VREUH HQWLGDGHV GH FHUWLFDFLyQ \
gobierno electrnico a travs de numerosas tesis y proyectos de in-
vestigacin es LabSEC (Laboratrio de Segurana em Computao),
de la Universidad Federal de Santa Catarina - Brasil, con proyectos
FRPR 6LVWHPD *HUHQFLDGRU GH &HUWLFDGRV /DE6(&  HO FXDO
LPSOHPHQWDXQDHQWLGDGGHFHUWLFDFLyQGHVGHFHUR

2. Metodologa
La metodologa utilizada fue el modelo de tecnologa aplicada, debido
a que se propone resolver e implementar (caso prctico) cuestiones
TXH VXUJHQ GH OD QHFHVLGDG GH GHVDUUROODU XQ SURFHVR FRQ HFDFLD
Conceptualmente, la caracterstica principal de la investigacin apli-
cada tecnolgica fue utilizada para resolver problemas prcticos, no
pretende descubrir ni explicar los hechos reales, sino transformarlos o

95
 N 31 - julio - diciembre / 2014

adecuarlos en el sentido ms prctico para plantear una alternativa de

solucin viable y pertinente al problema.
Por lo expuesto, para llegar a un resultado (la eleccin de un software
adecuado) fue necesario instalar cada software y simular un entorno
de produccin, para comprobar sus funcionalidades contra una lista de
cumplimiento (RFC 3647 checklist), como mecanismo de comparacin.

3. Resultados y discusin
3DUDODHYDOXDFLyQGHDSOLFDFLRQHVXWLOL]DEOHVHQ(QWLGDGHVGH&HUWLFD-
cin, se parti de un listado de 13 opciones (Tabla 1), conformado por lo
ms populares con licencia gratuita y de preferencia con cdigo abierto.

7DEOD/LVWDGRGHVRIWZDUHFRQVLGHUDGDVSDUD(QWLGDGHVGH&HUWLFDFLyQ
Nombre del
# URL Licencia
software
1 Portecle v1.7 http://portecle.sourceforge.net/ GNU General Public License (GPL)
2 XCA v.0.9.3 http://xca.sourceforge.net/ BSD License
GNU Library or Lesser General Public
3 EJBCA v.4.0.9 http://www.ejbca.org/
License (LGPL)
4 Win PCA v.0.1 http://win-pca.sourceforge.net/ Apache License V2.0
5 OpenCA v.1.1.0 www.openca.org/ BSD License
CA Web Helper
6 cawh.sf.net GNU General Public License (GPL)
v.1.1
7 PHPki v.0.83 http://phpki.sourceforge.net/ GNU General Public License (GPL)
8 CertForge v.1.1 certforge.sf.net GNU General Public License (GPL)
9 myca.sf.net v.0.1 0\&HUWLFDWH$XWKRULW\6KHOO GNU General Public License (GPL)
10 pkIRIS v.0.8 http://www.rediris.es/app/pkiris GNU General Public License (GPL)
11 Open SSL v.0.98 http://www.openssl.org/ (VSHFLFDFLRQHVSURSLDV
https://projetos.labsec.ufsc.
12 SITIv.1.0 (VSHFLFDFLRQHVSURSLDV
br/siti
13 NewPKI v.2.0 http://www.newpki.com GNU General Public License (GPL)

En cada uno de ellos, se consideraron dos requerimientos obliga-

torios para que un software pueda utilizarse por una entidad de
certificacin:
/H\ GH )LUPD \ &HUWLFDGRV 'LJLWDOHV HQ FDVR GH WUDWDUVH GH *R-
biernos o Normas internas en caso de instituciones pequeas, ya
TXHOD(QWLGDGGH&HUWLFDFLyQVHLPSOHPHQWDGHDFXHUGRFRQORV
requerimientos internos a manera de declaraciones de cumplimiento,
debido a que ellos puede ser variables (al estar en funcin de las
OH\HVQDFLRQDOHVSRUORTXHQRHVXQFULWHULRHVSHFLFRGHHYDOXD-
cin para el software.

96
Universidad de Manizales Facultad de Ciencias e Ingeniera

RFC 3647 (Request for Comments&KRNKDQLHWDOHVSHFLFD

ORVtWHPVUHIHUHQWHVDOGHVSOLHJXHGHXQD(QWLGDGR$XWRULGDG&HUWL-
cadora tecnolgicamente hablando (Tabla 2), que deben ser cumplidos
obligatoriamente por cualquier tipo de software usado por ella.
Los valores, de la Tabla 2, se obtuvieron en las pruebas a cada soft-
ware, bien desde la instalacin realizada o desde uso de versiones life
disponibles en la respectiva pgina web. En el caso de tems exigidos
no demostrables como parte del uso de software, se tom como refe-
rencia la documentacin presentada en la pgina web correspondiente,
donde se declara su cumplimiento, mientras se consign como Falta de
Informacin (Fi) cuando no se pudo obtener informacin de su pgina
web ni del aplicativo software.

Tabla 2. Anlisis de cumplimiento de estndares tcnicos y legales

(construida a partir de Chokhani et al., 2003, 1)
Software

OpenSSL
OpenCA
Portecle

New pki
Seccin Subseccin EJBCA
XCA

SITI
1RPEUHHLGHQWLFDFLyQGHO S No S S Ma No Fi
documento.
1. Introduccin
(QWLGDGHVGHFHUWLFDFLyQ S No S S Ma S S
8VRGHOFHUWLFDGR S No S S Ma S S
2.1 Repositorios No No S S Ma No S
2.2 Publicacin de la informacin Fi No S S Ma S No
2. Publicacin y VREUHFHUWLFDFLyQ
responsabilidades 2.3 Tiempo o frecuencia de la Fi No S Ma Ma Ma Ma
del repositorio publicacin
2.4 Controles de acceso a los No No S S Ma S S
repositorios
3.1.1 Tipos de nombres S No S S Ma S S
3.2.1 Mtodo para probar la S No Fi Fi Ma Fi Fi
,GHQWLFDFLyQ\
posesin de la clave privada
autenticacin
,GHQWLFDFLyQ\DXWHQWLFDFLyQ No No S S Ma S No
de la solicitud de revocacin
Si = soporta
No = no soporta
Ma = Manual
Fi = Falta informacin

97
 N 31 - julio - diciembre / 2014

Software

OpenSSL
OpenCA
Portecle

New pki
EJBCA
Seccin Subseccin

XCA

SITI
4.2.2 Aprobacin o rechazo de No No S S Ma S S
la solicitud de emisin de un
FHUWLFDGRV
4.2.3 Tiempo para el procesamiento
GHODVROLFLWXGGHXQFHUWLFDGR
4.3.1 Acciones de la EC durante la S No S S Ma S S
HPLVLyQGHOFHUWLFDGR
4.3.2 Notificacin al suscriptor No No Fi Fi Ma No No
por parte de la EC respecto de la
HPLVLyQGHXQFHUWLFDGR
4.4.1 Conducta constitutiva de la No No Fi Fi Ma Fi Fi
DFHSWDFLyQGHXQFHUWLFDGR
 3XEOLFDFLyQ GHO FHUWLFDGR No No Si Si Ma Si Si
por parte de la EC
5HHPLVLyQGHFHUWLFDGR6yOR No No Fi Fi Ma No No
se aplica a seguridad media alta.
(opcional)
4.7.1 Circunstancias para la re- No No Fi Fi Ma No No
HPLVLyQGHXQFHUWLFDGR
4.7.4 Notificacin al suscriptor
sobre la re-emisin de un No No Fi Fi Ma No No
FHUWLFDGR
4. Requisitos
operacionales del 4.8 Modificacin del certificado No No No No Ma No No
Ciclo de vida de (opcional)
ORV&HUWLFDGR 4.8.4 Notificacin al suscriptor No No Fi Fi Ma Fi Fi
sobre la emisin de un nuevo
FHUWLFDGR
4.9.3 Procedimiento para la No No S S Ma S S
solicitud de revocacin
4.9.5 Tiempo dentro del cual una Ma No Ma Ma Ma Ma Ma
EC debe procesar la solicitud de
revocacin
4.9.7 Frecuencia de emisin de
Ma No Si Si Ma Ma Ma
CRL [lista de revocaciones de
FHUWLFDGRV@
4.9.8 Mxima latencia para CRL
'LVSRQLELOLGDGGHODYHULFDFLyQ Ma No Ma Ma Ma Ma Ma
en lnea de la revocacin/estado No No Si Si Ma No No
4.9.13 Circunstancias para la
suspensin Fi No Fi Fi Ma No No
4.10.3 Rasgos operacionales No No S S Ma No No
4.12.1 Polticas y prcticas de S No S S Ma S S
recuperacin de Depsito de
claves No No Si Ma Ma No No
4.12.2 Polticas y prcticas para la
encapsulacin de claves de sesin

98
Universidad de Manizales Facultad de Ciencias e Ingeniera

Software

OpenSSL
OpenCA
Portecle

New pki
EJBCA
Seccin Subseccin

XCA

SITI
5.4. Procedimiento de registro de
5. Controles de auditora No No S S Ma S S
instalaciones,
5.4.1 Tipos de eventos registrados
de gestin y
operacionales 5.4.2 Frecuencia del procesamiento No No S S Ma No No
del registro
6.1 Generacin e instalacin del
par de clave S S S No Ma No No
6.1.5 Tamao de las claves
6.2 Controles de ingeniera para Fi No S Fi Ma Fi Fi
proteccin de la clave privada y
6. Controles PyGXORFULSWRJUiFR
de Seguridad 6.2.3 Depsito de clave privada Fi No Si Si Ma No No
Tcnica 6.2.7 Almacenamiento de la clave
SULYDGDHQXQPyGXORFULSWRJUiFR
6.6 Controles tcnicos del ciclo
de vida No No S S Ma S S
6.6.2 Controles de gestin de
seguridad
3HUOGHFHUWLFDGR S No S S Ma S S
7.1.1 Nmero(s) de versin(es) Si No Fi Fi Ma Fi Fi
([WHQVLRQHVGHOFHUWLFDGR Fi No Si Si Ma Si Si
,GHQWLFDGRUHVGH2EMHWRGH Fi No Si Si Ma Si Si
algoritmo
7.1.4 Forma de nombres Fi No Si Si Ma Si Si
7.1.5 Restricciones de nombre Fi No Si Si Ma Si Si
,GHQWLFDGRUGHREMHWRGHOD Fi No Si Si Ma Si Si
SROtWLFDGHFHUWLFDGRV
7.1.7 Extensin de restricciones de Fi No Si Si Ma Si Si
uso de la poltica
3HUOHVGH
&HUWLFDGR 7.1.8 Sintaxis y semntica de los
FDOLFDGRUHVGHODSROtWLFD Fi No Si Si Ma Si Si
7.1.9 Procesamiento de semntica
para la extensin de polticas de Fi No Si Si Ma Si Si
FHUWLFDGRVFUtWLFRV
3HUO&5
7.2.1 Nmero(s) de versin(es) Fi No S S Ma S S
7.2.2 CRL y Extensiones de Fi No Si Si Ma Si Si
entrada de CRL
3HUO2&63 Fi No S S Ma S S
7.3.1 Nmero(s) de versin(es) Fi No Si Si Ma Si Si
7.3.2 Extensiones OCSP No No Si Si Ma Si Si

99
 N 31 - julio - diciembre / 2014

3.1 Descripcin de resultados

Como se muestra en la figura 1, ningn software listado tiene un
cumplimiento de los requerimientos al 100% del estndar RFC 3647.
De 52 puntos evaluados el cumplimiento (S) fue: XCA 10, Portecle 1,
EJBCA 38, OpenCA 34, Openssl 0, Siti 27, NewPKI 27. Como se observa
el software que presenta mayor cantidad de tems cumplidos es EJBCA
y por sus caractersticas tcnicas (lenguaje, soporte, tiempo de vida del
proyecto, comunidad que lo respalda) hace que sea el ms adecuado
para realizar futuros test, adecuaciones necesarias y despliegue posterior.
Por ser el software elegido de tipo libre, se hace necesario que tenga
una comunidad activa o que exista una empresa dando soporte en caso
de presentar inconvenientes, que en el caso de EJBCA es activa, siendo
posible encontrar apoyo para enfrentar situaciones como los problemas
GH FRGLFDFLyQ R bug. Otro punto importante es que est elaborado
en lenguaje de programacin java, un lenguaje popular y difundido, lo
cual facilita la ubicacin de personas conocedores en esta plataforma.

Figura 1. Cumplimiento de estndar RFC 3647 en las aplicaciones evaluadas

3.2 Discusin de resultados

Adicionalmente, al software EJBCA se le encontraron ventajas tcnicas
que servirn para integracin y mayor alcance al requerido, como son:
 Acceso a sus opciones de manejo a travs de webservices.
 Puede ser desplegado en cualquier sistema operativo de servidor.

100
Universidad de Manizales Facultad de Ciencias e Ingeniera

 Tiene documentacin en la web y una comunidad activa.

 Usa estndares de desarrollo como ejb, framework de persistencia
y MVC, entre otros.
 Un punto a realzar, es que la integracin con hardware especializado
de criptografa suministra un alcance mucho mayor a plataformas
GH HQWLGDGHV GH FHUWLFDFLyQ DVSHFWR FUXFLDO HQ OD HOHFFLyQ GHO
software, debido a que el desarrollo de mdulos de integracin con
hardware especializado es complicado y el tiempo de desarrollo
como la curva de aprendizaje son altos6.
 Adicionalmente cuenta con un pequeo mdulo de software de
entidad de registro para probar y dar una idea de cmo debera ser
el despliegue de un software de este tipo.
En la Figura 1, se aprecia que OpenCA (la siguiente opcin posible) no
cuenta con algunas caractersticas tcnicas: lenguaje contemporneo,
webservice de acceso alterno, modelo fcilmente escalable, documen-
WDFLyQVXFLHQWHSDUDLQFUHPHQWDUIXQFLRQDOLGDGHVFRPRODGHXQLUDXQ
HTXLSRFULSWRJUiFR+60

4. Conclusiones
El software EJBCA es el ms atractivo para ser utilizado y adecuado a
las necesidades requeridas. Por presentar la mayor cantidad de puntos
exigidos por el estndar RFC 3647 (marco tecnolgico mnimo para una
(QWLGDGGH&HUWLFDFLyQ$GHPiVGHTXHHVWiFRQVWUXLGRHQXQOHQJXDMH
popular y extendido, como es Java, que cuenta con una comunidad
activa que puede dar respaldo y soporte en caso de requerirse.
Las opciones de software examinadas son aptas para la emisin de
FHUWLFDGRV GLJLWDOHV SHUR PXFKRV GH HOODV QR WLHQH IXQFLRQDOLGDGHV
completas o cumplen requisitos mnimos, que pueden ser utilizados para
sub-tareas muy especializadas, como por ejemplo nicamente emitir
FHUWLFDGRVGLJLWDOHVSDUDVHUXVDGRVHQFRQH[LRQHVVHJXUDVRFLIUDGR
de canales o para autenticacin de sistemas de software.
El software EJBCA, actualmente viene siendo utilizado por otras entida-
GHVGHFHUWLFDFLyQHQHOiPELWRPXQGLDOORTXHOHGDPD\RUUHVSDOGR
y seriedad, adems de ser respaldadas por otras empresas para su
desarrollo continuo.

6 /DLQWHJUDFLyQFRQKDUGZDUHFULSWRJUiFRGHEHWRPDUVHFRQHVSHFLDOFXLGDGRSDUWLHQGRGH
un equipo comprobadamente seguro, para evitar situaciones anmalas, como aquella donde
al recolector de entropa para generacin de nmeros aleatorios reales en chips Intel, y en
proyectos orientados a la seguridad, como OpenBSD, lo han deshabilitado por dudar de que
pueda estar intervenido por la NSA (National Security Agency).

101
 N 31 - julio - diciembre / 2014

5HIHUHQFLDVELEOLRJUiFDV
CARLOS, Marcelo Carlomagno; SUTIL, Jeandr Monteiro; MOECKE, Cristian Thiago & KOHLER, Jonathan
Gehard (2010). Introduo a Infraestrutura de Chaves Pblicas e Aplicaes [Online]. Projetos especiais.
Cuiab (Mato Grosso, Brasil): Escola Superior de Redes RNP. 216 p. [Creative Commons: Atribuio e
Uso No-Comercial 2.5 Brasil]. <http://esr.rnp.br/publicacoes/seguranca/icpedu?download=44f683a84
163b3523afe57c2e008bc8c> [consulta: 09/03/2014]
&(57,),&$'2',*,7$/&HUWLFDGR'LJLWDO*XtDGHOXVXDULR9HUVLyQ>HQOtQHD@%XHQRV$LUHV
$UJHQWLQD&HUWLFDGR'LJLWDO6$SKWWSZZZFHUWLFDGRGLJLWDOFRPDUGRZQORDG*8VXDULRSGI!
[consulta: 22/04/2014]
CHOKHANI, S.; FORD, W.; SABETT, R.; MERRILL, C. & WU, S. (2003). Internet X.509 Public Key Infrastruc-
WXUH&HUWLFDWH3ROLF\DQG&HUWLFDWLRQ3UDFWLFHV)UDPHZRUN>RQOLQH@)UHPRQW&DOLIRUQLD86$,(7)
Working Groups. 94 p. <http://www.ietf.org/rfc/rfc3647.txt> [consult: 09/03/2014].
EJBCA (2014). EJBCA PKI by PrimKey: Reference installations [online]. Solna (Sweden): PrimeKey Solu-
tions AB (Last published: 07/04/2014). <http://www.ejbca.org/installations.html> [consult: 28 /01/2014].
(1758676HFXULQJ\RXU'LJLWDOOLIH8QGHUVWDQGLQJ'LLJWDO&HUWLFDWHV 6HFXUH6RFNWHV/D\HUV
>RQOLQH@'DOODV7;86$(QWUXVW6HFXULQJ'LJLWDO,GHQWLHV ,QIRUPDWLRQSKWWSZZZHQWUXVW
net/ssl-resources/pdf/understanding_ssl.pdf> [consult: 05/01/2014].
+2+167b'7&KULVWLDQ;&$;&HUWLFDWHDQGNH\PDQDJHPHQW>RQOLQH@%HUOLQ*HUPDQ\;&$
sourceforget. <http://xca.sourceforge.net> [consult: 05/01/2014].
.$86+,.9LYHN'LJLWDO&HUWLFDWH([WHQVLRQV6KRXOGEDVLFFRQVWUDLQWVEHPDUNHGFULWLFDO">RQOLQH@
'DOODV7;86$(QWUXVW6HFXULQJ'LJLWDO,GHQWLHV ,QIRUPDWLRQSKWWSVZZZQHWUXVWQHWGRFV
whitepapers/BasicConstraints_whitepaper_v1.0.pdf> [consult: 05/01/2014].
/$%6(&*HVWmRGR&LFORGH9LGDGH&KDYHV&ULSWRJUiFDVH&HUWLFDGRV'LJLWDLV6LVWHPD*HUHQ-
FLDGRUGH&HUWLFDGRV9HUVmR>2QOLQH@)ORULDQySROLV6DQWD&DWDULQD%UDVLO8QLYHUVLGDGH)HGHUDO
de Santa Catarina, Laboratrio de Segurana em Computao (ltima atualizao: 29/08/2014). <http://
ZZZODEVHFXIVFEUJHVWDRGRFLFORGHYLGDGHFKDYHVFULSWRJUDFDVHFHUWLFDGRVGLJLWDLV!>consulta:
09/03/2014].
OPENCA LABS (2011). LIPKI V0.6.5 (HOPE) [ONLINE]. MODENA (ITALY): POENCA LABS: OPENSOURCE
SECURITY AND IDENTITY MANAGEMENT SOLUTIONS <HTTPS://PKI.OPENCA.ORG> [CONSULT:
10/11/2013].
OPENSSL (2013). Welcome to the OpenSSL Project [online]. Vllington (Sweden): OpenSSL SE <http://
www.openssl.org/> [consulta: 12/11/2013].
35(6,'(1&,$'(/$5(3%/,&$3HU~5HJODPHQWRGHODOH\GHUPDV\FHUWLFDGRVGLJLWDOHV
Decreto Supremo N 052-2008-PCM [en lnea]. Lima (Per): Presidencia de la Repblica. <http://www.
minjus.gob.pe/wp-content/uploads/2014/03/DS-052-2008-pcm.pdf> [consulta: 06/01/2014]
5(*,67521$&,21$/'(,'(17,),&$&,1<(67$'2&,9,/5(1,(&D3ODQWDGH&HUWLFDFLyQ
Digital [en lnea]. Lima (Per): Reniec. 107 p. <http://www.reniec.gob.pe/portal/pdf/02_pki.pdf> [consulta:
06/01/20014].
5(*,67521$&,21$/'(,'(17,),&$&,1<(67$'2&,9,/5(1,(&E&HUWLFDGR'LJLWDO>HQ
lnea]. Lima (Per): Reniec. <http://www.reniec.gob.pe/portal/b01_bPKI.htm> [consulta: 06/01/2014].
SOURCEFORGE (2004). Portecle [online]. Fairfax County (Virginia, USA): Geeknet Inc. <http://portecle.
sourceforge.net> [consult: 05/01/2014].
SOURCEFORGE (2010). Win PCA [online]. Fairfax County (Virginia, USA): Geeknet Inc. <http://sourceforge.
net/projects/win-pca> <http://win-pca.sourceforge.net/> [consult: 02/12/2013].
7$/(162/,$*6HUJLR,QWURGXFFLyQDORVFHUWLFDGRVGLJLWDOHV>HQOtQHD@(Q%ROHWtQ(OHFWUyQLFRGH
InfoCentre (nov.) Valencia (Espaa): Universidad de Valencia. p. 1-5 <http://www.uv.es/~sto/articulos/
%(,FHUWLFDGRVBGLJLWDOHVSGI!>FRQVXOWD@

102