Professional Documents
Culture Documents
FEBRERO 2012
SIN CLASIFICAR
SIN CLASIFICAR
Edita:
LIMITACIN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los trminos en l recogidos, rechazando expresamente
cualquier tipo de garanta implcita que se pueda encontrar relacionada. En ningn caso, el Centro Criptolgico
Nacional puede ser considerado responsable del dao directo, indirecto, fortuito o extraordinario derivado de la
utilizacin de la informacin y software que se indican incluso cuando se advierta de tal posibilidad.
AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorizacin escrita del Centro Criptolgico Nacional, bajo las
sanciones establecidas en las leyes, la reproduccin parcial o total de este documento por cualquier medio o
procedimiento, comprendidos la reprografa y el tratamiento informtico, y la distribucin de ejemplares del
mismo mediante alquiler o prstamo pblicos.
PRLOGO
Entre los elementos ms caractersticos del actual escenario nacional e internacional figura el
desarrollo alcanzado por las Tecnologas de la Informacin y las Comunicaciones (TIC), as
como los riesgos emergentes asociados a su utilizacin. La Administracin no es ajena a este
escenario, y el desarrollo, adquisicin, conservacin y utilizacin segura de las TIC por parte
de la Administracin es necesario para garantizar su funcionamiento eficaz al servicio del
ciudadano y de los intereses nacionales.
Una de las funciones ms destacables que, asigna al mismo, el Real Decreto 421/2004, de 12
de marzo, por el que se regula el Centro Criptolgico Nacional es la de elaborar y difundir
normas, instrucciones, guas y recomendaciones para garantizar la seguridad de los sistemas
de las tecnologas de la informacin y las comunicaciones de la Administracin.
El Real Decreto 3/2010 de 8 de Enero desarrolla el Esquema Nacional de Seguridad y fija los
principios bsicos y requisitos mnimos as como las medidas de proteccin a implantar en los
sistemas de la Administracin. En su artculo 29 se autoriza que a travs de la series CCN-
STIC el CCN desarrolle lo establecido en el mismo.
Febrero de 2012
NDICE
1. INTRODUCCIN........................................................................................................................ 1
2. OBJETO ....................................................................................................................................... 3
3. ALCANCE ................................................................................................................................... 3
4. FINALIDAD DE LA FIRMA DIGITAL..................................................................................... 3
5. UTILIZACIN DE FUNCIONES RESUMEN........................................................................... 5
6. DISPOSITIVOS CRIPTOGRFICOS ........................................................................................ 6
7. RECOMENDACIONES NACIONALES.................................................................................... 6
8. CONCLUSIONES........................................................................................................................ 9
ANEXO A. GLOSARIO DE TRMINOS ..................................................................................... 10
ANEXO B. ABREVIATURAS ...................................................................................................... 12
ANEXO C. REFERENCIAS .......................................................................................................... 13
TABLAS
1. INTRODUCCIN
10. Esta Decisin se basa en las normas para productos de firma electrnica
proporcionadas por el Comit europeo de normalizacin (en francs, Comit
Europen de Normalisation, CEN) y el Instituto europeo de normas de
telecomunicacin (en ingls, European Telecommunications Standards Institute,
ETSI) en el marco de la Iniciativa europea de normalizacin de firma electrnica (en
ingls, European Electronic Signature Standardization Initiative, EESSI). En
particular, se sealan los acuerdos del grupo de trabajo del CEN siguientes: CWA
14167-1 [CWA, 2003], CWA 14167-2 [CWA, 2004a] y CWA 14169 [CWA,
2004b].
11. Con el fin de conocer los algoritmos y los parmetros aprobados para la firma
electrnica puede consultarse el documento [ETSI-176].
13. Por otra parte, el Esquema Nacional de Seguridad (ENS) [RD-3/2010] publicado por
el Ministerio de la Presidencia, en el mbito de la Administracin Electrnica [Ley-
11/2007], y la Gua CCN-STIC 807 [CCN-STIC 807] del Centro Nacional de
Inteligencia, sealan las bases y presentan los algoritmos criptogrficos que han sido
acreditados para su uso en el Esquema Nacional de Seguridad, cuando sus
caractersticas y requerimientos se consideren necesarios.
15. Todas las guas, normas y disposiciones sealadas hasta ahora hacen referencia a la
firma electrnica de documentos no clasificados. No obstante, es posible modificar y
extender convenientemente las disposiciones y normas mencionadas anteriormente
con el fin de que la firma electrnica pueda ser utilizada en ambientes que requieren
mayor seguridad, como es el caso del acceso a documentos clasificados.
2. OBJETO
18. El objeto de esta Gua es crear un marco de referencia que establezca las
recomendaciones en cuanto a algoritmos criptogrficos y parmetros asociados para
obtener garantas de seguridad en la utilizacin de la firma electrnica, tanto por los
Dispositivos Seguros de Creacin de Firma Electrnica (DSCFE) como por los
Prestadores de Servicios de Certificacin (PSC).
3. ALCANCE
20. Las recomendaciones recogidas en este documento son de aplicacin a los Sistemas
de las Tecnologas de la Informacin y las Comunicaciones (STIC) que manejan
informacin nacional clasificada o que requieran de una firma electrnica
reconocida en la Administracin.
23. La firma se calcula para cada documento y su resultado depende del documento y del
firmante. As, cada vez que un mismo remitente firme documentos distintos, su firma
cambiar (al contrario de lo que sucede con la firma manuscrita, que es siempre la
misma para cualquier documento). Lo mismo sucede si dos firmantes diferentes
firman el mismo documento: las firmas sern distintas. Por tanto, la firma electrnica
es nica para cada documento.
24. La firma electrnica debe proporcionar las mismas caractersticas que una firma
manuscrita: autenticacin y no-repudio. Adems, las firmas electrnicas deben ser
fciles de calcular, fciles de verificar y difciles de falsificar.
27. La verificacin de la firma puede llevarla a cabo cualquier usuario o sistema que
tenga acceso al documento original, a la firma y a la clave pblica del firmante. Para
ello, el verificador deber descifrar la firma con la clave pblica del firmante y
comprobar que el resultado obtenido coincide con el resumen criptogrfico del
documento original, determinado con la misma funcin resumen.
28. El protocolo anterior, adems de verificar la firma del firmante, permite garantizar
otras propiedades importantes: autenticidad e integridad del documento y no repudio
e identidad del remitente.
30. El firmante no puede repudiar haber firmado el documento (no repudio) dado que
nicamente l conoce su clave privada, por lo que es el nico que puede llevar a cabo
el proceso de cifrado del resumen del documento. Adems, la firma garantiza la
identidad del remitente dado que el documento est firmado por la nica entidad que
puede proporcionar el resultado obtenido.
31. Dado que en los protocolos anteriores se hace uso de criptografa asimtrica,
conviene aclarar el proceso que debe seguir un usuario para obtener su par de claves:
pblica y privada. Dichas claves se pueden obtener mediante la solicitud de un
certificado digital a una Autoridad de Certificacin (AC) o a un Prestador de
Servicios de Certificacin (PSC).
34. Los certificados digitales tienen una validez que depende de la longitud de la clave
pblica utilizada. Dicha validez suele variar entre dos y tres aos. No obstante, si las
claves son elegidas de forma conveniente (muy largas), un certificado puede llegar a
tener una validez de 10, 20 o hasta 30 aos.
38. Las funciones resumen (en ingles, hash) son funciones eficientemente calculables de
modo que al darles como entrada un documento de tamao variable, proporcionan
como salida un resumen de tamao fijo [Fster et al., 2004], [Menezes et al., 1997].
39. A estas funciones se les exige que verifiquen determinadas condiciones para ser
tiles y seguras desde el punto de vista criptogrfico. Las funciones resumen ms
extendidas y utilizadas en la actualidad son las siguientes: SHA-1 y RIPEMD-160,
que proporcionan resmenes de 160 bits, y la familia de funciones SHA-2, que dan
como resultado resmenes cuyas longitudes corresponden a los dgitos que las
definen: SHA-224, SHA-256, SHA-384 y SHA-512.
40. A la vista de los diferentes ataques que se han llevado a cabo contra las funciones
resumen ms utilizadas en la actualidad, principalmente a la funcin SHA-1, el NIST
convoc, en noviembre de 2007, una competicin internacional para elegir una nueva
funcin resumen, la SHA-3 [NIST, 2011a], que se dar a conocer a lo largo de 2012.
41. Despus de numerosos estudios y anlisis, los nombres de las funciones resumen que
a da de hoy son las candidatas finalistas para convertirse en la SHA-3 son: BLAKE.
Grstl, JH, Keccak y Skein [NIST, 2011b].
6. DISPOSITIVOS CRIPTOGRFICOS
42. Cualquier dispositivo criptogrfico que se desee utilizar para la creacin de firmas
electrnicas, ya sea en software o en hardware, con el fin de proporcionar
autenticacin e integridad de informacin clasificada o identificacin de usuarios en
ambientes restringidos, deber emplear las recomendaciones sobre algoritmos de
firma y sus parmetros asociados que se sealan en la presente Gua de Seguridad.
7. RECOMENDACIONES NACIONALES
46. Se presupone que el PSC dispone de una Infraestructura de clave pblica (en ingls,
Public Key Infrastructure, PKI) jerrquica, en la que pueden existir otros
componentes que proporcionen servicios relacionados con la firma electrnica como
por ejemplo, el sellado de tiempo.
80 1024 160-223
48. La seguridad en bits sealada en la Tabla 1 slo utiliza el tiempo como unidad de
medida de la eficiencia de los algoritmos considerados. De hecho, un nivel de
seguridad de k bits debe entenderse como que el mejor algoritmo conocido para
romper el sistema en cuestin requiere, aproximadamente, 2k pasos.
49. Los cinco niveles de seguridad incluidos en la Tabla 1 fueron seleccionados porque
representan la cantidad de trabajo requerido para realizar una bsqueda exhaustiva de
claves en los sistemas de cifrado simtrico SKIPJACK, Triple-DEA y las tres
versiones de AES.
50. En todo caso, la Tabla 1 no deja de ser una referencia terica, dado que el desarrollo
de la tecnologa actual no siempre es capaz de dar respuesta a los parmetros
sealados en la misma. As, es relativamente sencillo encontrar implementaciones en
tarjetas inteligentes de criptosistemas simtricos cuya seguridad sea equivalente a
256 bits (AES-256); mientras que no es tan sencillo, aunque s posible, desarrollar o
encontrar implementaciones en los mismos dispositivos con un nivel de seguridad
equivalente para ECC (512 bits). Sin embargo, no ocurre lo mismo para
implementaciones en tarjeta de criptosistemas RSA con claves de 15360 bits, que
sera el que proporcionara una seguridad equivalente a los dos anteriores.
51. Debido a que las longitudes de las claves de los criptosistemas de curvas elpticas
son mucho menores que las del RSA para seguridades equivalentes y, por tanto, con
mayor facilidad para su implementacin en diferentes tecnologas, se prev que todos
los sistemas vayan evolucionando hacia el uso de los criptosistemas de curvas
elpticas, dejando en desuso el RSA, al no poder garantizar la misma fortaleza de
seguridad.
52. Las recomendaciones contenidas en esta gua no slo tienen en cuenta las
sugerencias de otros organismos internacionales de estandarizacin y las
publicaciones de expertos en criptografa, sino que consideran, adems, el estado de
desarrollo de la tecnologa actual para llevar a cabo las implementaciones de los
diferentes protocolos de firma digital.
53. A partir de 2012, la longitud mnima de clave exigida a una AC raz que utilice un
sistema de firma basado en el criptosistema RSA debe ser de, al menos, 4096 bits. En
el caso de utilizar un algoritmo de firma digital basado en curvas elpticas (en ingls,
Elliptic Curve Digital Signature Algorithm, ECDSA), la longitud de la clave deber
ser de 384 bits.
54. Por todo lo anteriormente expuesto, los requerimientos criptogrficos mnimos para
los PSC a partir del ao 2012 sern los que se sealan en la Tabla 2.
RSA-4096
AC raz SHA-384 10 aos
ECDSA-384
2012-2015
RSA-3072
AC subordinada SHA-256 5 aos
ECDSA-256
RSA-5120 SHA-3
AC raz 10 aos
ECDSA-512 SHA-512
2016-2018
RSA-4096
AC subordinada SHA-384 5 aos
ECDSA-384
RSA-7680 SHA-3
AC raz 10 aos
ECDSA-512 SHA-512
2019-2025
RSA-6144 SHA-3
AC subordinada 5 aos
ECDSA-512 SHA-512
Tabla 2. Requerimientos criptogrficos mnimos para los PSC a partir del ao 2012
55. Por su parte, los requerimientos criptogrficos mnimos para las entidades finales son
los que se muestran en la Tabla 3.
RSA-2048
2012-2015 SHA-256 3 aos
ECDSA-256
RSA-4096
2016-2018 SHA-384 3 aos
ECDSA-256
RSA-5120 SHA-3
2019-2025 3 aos
ECDSA-384 SHA-384
Tabla 3. Requerimientos criptogrficos mnimos para las entidades finales a partir de 2012
8. CONCLUSIONES
56. Esta gua debe ser una referencia en la implantacin de la firma electrnica segura
para su empleo en los Dispositivos Seguros de Creacin de Firma Electrnica y en
los Prestadores de Servicios de Certificacin que emitan certificados cuya finalidad
sea la proteccin de informacin nacional clasificada.
57. Por otra parte, debido a la constante evolucin de la tecnologa y de los ataques
criptogrficos, las recomendaciones recogidas en la presente gua han de ser
revisadas peridicamente.
58. Es de destacar el hecho, ya mencionado, de que la futura funcin resumen que ser
declarada como estndar, actualmente denominada SHA-3, ser decidida a lo largo
del ao 2012.
No repudio Servicio de seguridad que permite probar la participacin de las partes intervinientes
en una comunicacin.
Prestador de servicios de Persona fsica o jurdica que expide certificados electrnicos o presta servicios
certificacin relacionados con la firma electrnica. Debern tutelar y gestionar de forma
permanente los certificados electrnicos que expidan. Tal gestin se detallar en la
declaracin de prcticas de certificacin. Adems, estn obligados a mantener
accesible un servicio de consulta sobre el estado de vigencia de los certificados en el
que debe indicarse de manera actualizada si stos estn vigentes o si su vigencia ha
sido suspendida o extinguida.
ANEXO B. ABREVIATURAS
AC Autoridad de Certificacin
AENOR Asociacin Espaola de Normalizacin y Certificacin
AES Norma de cifrado avanzado (Advanced Encryption Standard)
CEN Comit europeo de normalizacin (Comit Europen de Normalisation)
CWA Acuerdo del grupo de trabajo del CEN (CEN Workshop Agreement)
DOUE Diario Oficial de la Unin Europea
DSCFE Dispositivo Seguro de Creacin de Firma Electrnica
ECC Criptosistema basado en curvas elpticas (Elliptic Curve Cryptosystem)
ECDSA Algoritmo de firma digital basado en curvas elpticas (Elliptic Curve Digital Signature Algorithm)
EESI Iniciativa europea de normalizacin de firma electrnica (European Electronic Signature
Standardization Initiative)
ENS Esquema Nacional de Seguridad
ETSI Instituto europeo de normas de telecomunicacin (European Telecommunications Standards
Institute)
MIPS Millones de instrucciones por segundo (Million instructions per second)
NIST Instituto norteamericano de normalizacin y tecnologa (National Institute of Standards and
Technology)
PKI Infraestructura de Clave Pblica (Public Key Infrastructure)
PSC Prestador de Servicios de Certificacin
RSA Criptosistema asimtrico propuesto por Rivest, Shamir y Adleman
SHA Algoritmo resumen seguro (Secure Hash Algorithm)
STIC Sistemas de las Tecnologas de la Informacin y las Comunicaciones
TIC Tecnologas de la Informacin y las Comunicaciones
ANEXO C. REFERENCIAS
Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia. BOE n
109, de 7 de mayo de 2002, pp. 16440-16444.
[CWA14167-1] Norma CWA 14167-1 de junio de 2003: Security requirements for trustworthy
systems managing certificates for electronic signatures - Part 1: System Security
Requirements4.
[CWA14167-2] Norma CWA 14167-2 de mayo de 2004: Security requirements for trustworthy
systems managing certificates for electronic signatures - Part 2: Cryptographic
module for CSP signing operations - Protection Profile (MCSO-PP)5.
[CWA-14169] Norma CWA 14169 de marzo de 2004: Secure Signature Creation Devices EAL
4+6.
[ETSI-176] Norma ETSI SR 002 176 de marzo de 2003: Electronic Signatures and
Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures7.
[RD-3/2010] Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Seguridad en el mbito de la Administracin Electrnica. BOE n 25, de 29 de enero
de 2010, pp. 8089-81389.
[Ley-11/2007] Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios
Pblicos. BOE n 250, de 23 de junio de 2007, pp. 27150-2716610.
1
Disponible: http://www.boe.es/boe/dias/2003/12/20/pdfs/A45329-45343.pdf
2
Disponible: https://sedempr.gob.es/info/dms/es/sede/informacion/efirma/directiva_1999_93_CE/doce_131299
3
Disponible: http://www.minetur.gob.es/telecomunicaciones/es-
ES/Servicios/FirmaElectronica/Firma/Documentaci%C3%B3n/doce_51103.pdf
4
Disponible: ftp://ftp.cen.eu/CEN/Sectors/TCandWorkshops/Workshops/eSIGN_CWAs/cwa14167-01-2003-
Jun.pdf
5
Disponible: ftp://ftp.cen.eu/CEN/Sectors/TCandWorkshops/Workshops/eSIGN_CWAs/cwa14167-02-2004-
May.pdf
6
Disponible: ftp://ftp.cen.eu/CEN/Sectors/TCandWorkshops/Workshops/eSIGN_CWAs/cwa14169-00-2004-
Mar.pdf
7
Disponible: http://www.etsi.org/deliver/etsi_sr/002100_002199/002176/01.01.01_60/sr_002176v010101p.pdf
8
Vase: http://www.aenor.es/aenor/normas/normas/fichanorma.asp?tipo=N&codigo=N0032808&PDF=Si
9
Disponible: http://www.boe.es/boe/dias/2010/01/29/pdfs/BOE-A-2010-1330.pdf
10
Disponible: http://www.boe.es/boe/dias/2007/06/23/pdfs/A27150-27166.pdf
[CCN-STIC 807] Centro Nacional de Inteligencia, Gua de Seguridad de las TIC Criptologa de
empleo en el Esquema Nacional de Seguridad, CCN-STIC-807 del Centro Nacional
de Inteligencia, marzo 2011, 123pp11.
[Fster et al., 2004] A. Fster Sabater, D. de la Gua Martnez, L. Hernndez Encinas, F. Montoya Vitini
y J. Muoz Masqu, Tcnicas criptogrficas de proteccin de datos, RAMA, 3 ed.,
Madrid, 2004.
[Menezes et al., 1997] A. Menezes, P. van Oorschot, and S. Vanstone, Handbook of applied cryptography,
CRC Press, Boca Raton, FL, 1997.
[Stinson, 2006] D.R. Stinson, Cryptography: Theory and practice, Chapman & Hall/CRC, 3rd ed.,
Boca Raton, FL, 2006.
[Hankerson et al., 2005] D. Hankerson, A. Menezes, and S. Vanstone, Guide to elliptic curve cryptography,
Springer-Verlag, New York, 2004.
[NIST, 2011a] National Institute of Standards and Technology, Cryptographic hash algorithm
competition12.
[NIST, 2011b] National Institute of Standards and Technology, Cryptographic hash algorithm
competition, Ronda 313.
[NIST, 2007] National Institute of Standards and Technology, Recommendation for key
management-Part 1: General (Revised), Special Publication, SP 800-57, 2007.
11
Disponible: https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/800-
Esquema_Nacional_de_Seguridad/807/807-Criptologia_de_empleo_ENS-mar11.pdf
12
Disponible: http://csrc.nist.gov/groups/ST/hash/sha-3/index.html
13
Disponible: http://csrc.nist.gov/groups/ST/hash/sha-3/Round3/submissions_rnd3.html