Referencia histórica de la autoridad de certificación

Trabajo: Correo Uruguayo como autoridad de certificación

Autores:
Ing. Alvaro Fernández
Dr. Mario Jubin Crispieri
Ing. Marcelo Bagnulo

Año: 1998

Introducción:

El formidable avance del comercio electrónico producido fundamentalmente sobre Internet en los últimos meses, ha llevado a buscar soluciones para los problemas de seguridad que ello presenta. De hecho, dichos problemas han actuado como freno de un desarrollo aún más explosivo. Las barreras geográficas han caído y ya es posible realizar transacciones en línea con puntos remotos del planeta. Debemos por lo tanto dar respuesta a la pregunta: ¿cómo se garantiza la identidad de los participantes en dichas transacciones? Las Autoridades de Certificación son la herramienta que lo hará posible.
La Administración Nacional de Correos ya está autorizada para ello y comenzará a brindar servicios en pocos días.

Presentación institucional

El escenario postal ha cambiado substancialmente en los últimos lustros. De la originaria carta "simple" se ha evolucionado al correo electrónico; de la correspondencia social persona-persona a la correspondencia comercial empresa-persona o empresa-empresa. Las nuevas tecnologías nos obligan permanentemente a ofrecer nuevos y revolucionarios servicios.
En los últimos años Correo Uruguayo ha realizado un profundo plan de transformaciones con el objeto de ofrecer nuevos y mejores servicios a nuestros clientes. El proceso de renovación abarcó todos los aspectos de la organización: marco legal e institucional, reingeniería de procesos y política comercial.
Es así que Corre Uruguayo es, desde la aprobación de la Ley de Presupuesto No. 16.736 de 05.01.96, un Servicio Descentralizado de naturaleza comercial. En consecuencia, la denominación cambió de Dirección Nacional de Correos al de Administración Nacional de Correos.
Como resultado del plan de transformación ?que no expondremos aquí en detalle por su extensión- podemos mencionar los siguientes logros alcanzados:
Fuerte aumento en el volumen de piezas de correspondencia. Correo Uruguayo controla hoy al menos el 65% de la correspondencia, en un mercado con más de 120 empresas autorizadas.
Mejoramiento de los estándares de entrega de piezas al nivel de los mejores correos del mundo (superior al 90% en 48 horas).
Correo Uruguayo es hoy uno de los 15 correos públicos en el mundo con seguimiento de piezas mediante código de barras y fue el segundo correo en el mundo en ofrecer el seguimiento de piezas por Internet (5/1997).
Se ofrece el servicio Correo-Net, el que permite el envío electrónico seguro de piezas de correspondencia por Internet, las cuales son impresas, plegadas y ensobradas y distribuidas por el método tradicional a todo el mundo. Este servicio es único en su categoría en el mundo.
Extensión de la red de receptorías cerca de 980 locales (30% propios y 70% en agencias en todo el país) siendo la de mayor extensión en el país.
65% de la correspondencia es de carácter empresarial, cuando años atrás era únicamente el 5%.
Cuenta con una importante red de telecomunicaciones, con más de 30 líneas digitales directas y enlaces telefónicos con más de 80 oficinas.
Alto nivel de aceptación en la opinión pública por la calidad de sus servicios (74% en la escala sobre organismos públicos de la encuesta FACTUM)
Este fuerte desarrollo se ha basado en un plan estratégico que, entre otros aspectos, contempla el desarrollo de productos electrónicos que permitan mantener a la empresa al día con las tecnologías de punta, tanto para el apoyo de los procesos productivos internos como para ofrecer nuevos servicios a nuestros clientes.
En este marco es que el Correo Uruguayo ha seleccionado a los servicios de certificación y similares como uno de los productos que estaremos ofreciendo a la brevedad.
Es de notar que una Autoridad de Certificación es imprescindible para el desarrollo avanzado del comercio electrónico, tal cual ocurre en otros países. Y en tal sentido Correo Uruaguayo entiende que al ofrecer éste servicio, se llenará un vacío en un tema que a nuestro criterio debe ser considerado de suma importancia para el desarrollo de el País.

El correo Uruguayo como autoridad de certificación

Los Correos son las instituciones de mayor antigüedad en la búsqueda de soluciones para la comunicación entre las personas. De hecho están ligados, en general, al nacimiento de los Estados, siendo éste uno de los primeros servicios públicos.
Correo Uruguayo tiene 180 años de historia.
El desarrollo vertiginoso de la telemática ha convertido en realidad la transferencia electrónica de documentos en forma segura. Obsérvese que el monto de las transacciones comerciales en Internet es superior a US$ 10.000 millones anuales, cifra que se va a multiplicar enormemente en los próximos años.
En la introducción decíamos que una limitación para un desarrollo más explosivo eran los problemas de seguridad, que Correo Uruguayo plantea resolver en este proyecto. Por ello, en todo este largo tiempo los Correos han tenido que adaptarse a las nuevas modalidades tecnológicas, pasando del chasque y la carreta a las comunicaciones por satélite y el documento electrónico.
En tal sentido el mercado postal se encuentra en permanente transformación, producto también del constante desarrollo tecnológico.
La carta tradicional, romántica, está dejando paso a la carta comercial y especialmente al correo electrónico. La realidad del documento electrónico representa un desafío que ésta Administración ha encarado vigorosamente. El recientemente servicio Correo Net que permite el envío de cartas por Internet y su entrega, en forma segura y con rastreo de las mismas por Internet, es un ejemplo de ello.
Concomitantemente, el desarrollo de las transacciones comerciales en Internet está limitado por la capacidad que tienen las personas en asegurar la identidad del corresponsal.
Esto puede resolverse con la utilización de una Autoridad de Certificación, que cumple la función de dar confianza en la identidad de los participantes.
Para ello el cliente del servicio debe presentarse en las oficinas de la ANC, identificarse y retirar sus claves pública y privada, las cuales utilizará posteriormente.

Por qué el Correo Uruguayo?

El interés de la Administración Nacional de Correos en este tema surge naturalmente a partir de Ley N° 16.736 que aprobara el Presupuesto Nacional Ejercicio 1995 - 1999, la cual define la naturaleza y cometidos de esta Administración, expresándose lo siguiente:
ARTICULO 2°. La Administración Nacional de Correos tendrá a su cargo la prestación de servicios postales, esto es la admisión, transporte o distribución y entrega de envíos de correspondencia, giros postales, y productos postales en general.
Para comprender más fondo como dicha Ley introduce a la ANC en las funciones de certificación, debemos analizar el significado de la palabra correspondencia.
Para ello nos referiremos a la ponencia realizada por la Dra. María Laura Ramón (*) en el VI Congreso Iberoamericano de Derecho e Informática (1998) sobre "Algunos aspectos de la libertad de información en la peculiar era de la informática", pág. 7), donde expresaba lo siguiente:
"...En tanto objeto escrito que puede ser transmitido por un sujeto y recibido por otro, la comunicación por correo electrónico constituye "correspondencia", acción y efecto del verbo "corresponder". Entre las acepciones de "corresponder", la Real Academia Española incluye: "Comunicarse por escrito una persona con otra". (la negrita nos pertenece)
Compartiendo totalmente dicho concepto y asumiendo en consecuencia que, por mandato legal, el transporte de información por medios electrónicos es competencia de la Administración Nacional de Correos, lo es también la seguridad en el transporte de los mismos.
Es así que los buenos correos en todo el mundo pueden acreditar una larga cultura de tratamiento confidencial de la información.
Y en el nuestro, ya sea por mandato constitucional respecto a la inviolabilidad de la correspondencia (Art. 28 de la Constitución), sea por disposiciones legales (entre otras el Secreto Postal Art. 298 del Código Penal o las específicas de Correos, entre otras la No. 1.351 de 24.08.1877 y No. 5.356 de 16.12.1915) o sea por normas reglamentarias (secreto funcional Art. 174 Dec. 500/991 o 1056 del TOFUP); por todo ese andamiaje normativo la Administración Nacional de Correos deviene idóneo para ello.
Lo anterior, se ve claramente expresado en la misión y los valores de la empresa aprobada por el Directorio de la Administración:

Misión

Nuestra Misión es ser un vínculo confiable de acceso universal para toda la sociedad uruguaya, entre personas y organizaciones, para la solución de sus necesidades de comunicación, de servicios logísticos y financieros.

Valores
Nuestra empresa asume un compromiso ético con la calidad del servicio, con nuestros clientes y con la sociedad en su conjunto.
Eficiencia.
Confiabilidad
Seguridad
Involucramiento.
Respeto a las personas
Dignidad, Orgullo
Compromiso con el medio ambiente
Además del interés genuino que demuestra la ANC en estos tópicos, existen características objetivas que posicionan favorablemente a Correo Uruguayo en este escenario.
Frente a nuestra consulta expresa, la Ing. María Simón, el Dr. José Vieitez y el Ing. Juan Pechiar (**), como representantes de la Facultad de Ingeniería en el marco del Proyecto de desarrollo de temas de seguridad y encriptado para Correo Uruguayo (finalizado en febrero de 1998), respondieron:
"....En lo que hace al proyecto en curso, se considera que el Correo tiene condiciones altamente favorables para constituirse en autoridad de certificación.
Es una de las organizaciones con mayor cobertura geográfica en el país, ventaja relativa que es muy difícil de superar para otras instituciones o compañías. Creemos que es esencial que en un servicio como el que se plantea debe atender rápidamente a todos los ciudadanos en bien de la descentralización y para que la democratización en el uso de las nuevas tecnologías sea real.
El Correo tiene una larga tradición de confianza en el manejo de información reservada, que es esencial en el proyecto considerado, tradición que comparte con otras administraciones de correos. Para ilustrar el punto se recuerda que la Unión Postal Universal (UPU) es una de las organizaciones internacionales más antiguas del mundo, que es esencial en el proyecto considerado, tradición que comparte con otras administraciones de correos. Para ilustrar el punto se recuerda que la Unión Postal Universal (UPU) es una de las organizaciones internacionales más antiguas del mundo.
Dado que otras Administraciones de Correo están tomando esa función resulta natural que el Correo, que puede hacer convenios con ellas directamente o a través de la UPU, la asuma en nuestro país. Es posible que dentro de algunos años la UPU funcione como autoridad primaria."
Con relación a la cobertura geográfica, Correo Uruguayo está presente en más de 180 localidades con más de 900 locales y agencias en todo el país.
Esta vasta red de agencias será gradualmente interconectada por una importante red de telecomunicaciones.
Para fines del 98 se dispuso de más de 80 localidades dispondrán de acceso vía líneas digitales o telefónicas según el caso, en una red que abarcará cerca de 500 equipos computadores.
La larga trayectoria del servicio en el país, los valores en los que se basa el accionar de la empresa y la confianza renovada de nuestros clientes, nos llevan a la seguridad de poder brindar un servicio de primer nivel.
Finalmente, podemos mencionar que varios Correos de primer nivel en todo el mundo ya han desarrollado infraestructuras de clave pública o están en dicho proceso. Podemos mencionar por ejemplo, Royal Post (Reino Unido), Australia Post Corporation, United States Postal Service, Canada Post, Deutsche Post, Nederland Postal Service, etc. También la Unión Postal Universal ha implementado una autoridad de certificación para garantizar la seguridad en el envío de giros postales internacionales.
Esta referencias tienen importancia en tanto nos refuerzan en nuestro convencimiento de la idoneidad de nuestra empresa para llevar adelante la tarea, y también nos proporcionan una estructura para hacer posible que los certificados emitidos en Uruguay sean válidos en todo el mundo.

Implantación

1) Especificaciones del sistema

Algoritmos utilizados:
Clave pública: RSA RSA
Clave simétrica: DES
Firmas: MD5
Firma de Certificados: Los Certificados son firmados por el certificado del servicio de certificación de la ANC.
Formato de los Certificados: Formato acorde a ISO/IEC 9594 X.509 Versión 3
Extensiones de los certificados: Los Certificados expedidos soportan les extensiones definidas en la versión 3 de X.509.
Estándares Soportados:
X.509 v1 y v3 especificados en RFC 1422 de ITU
Mensajes PKIX
PKCS 1 Encriptado RSA
PKCS 5 Encriptado basado en palabra clave
PKCS 7 Sintaxis para mensajes criptográficos
PKCS 8 Sintaxis para información sobre claves privadas
PKCS 9 Atributos selectos para certificados
PKCS 10 Sintaxis de solicitud de Certificado
Publicación de Certificados y listas de revocación (v2 CRL) en directorios X.500.
2)Tipos de servicios ofrecidos
Certificados

Para Usuarios: Se brindarán distintos tipos de certificados con distinto tipo de seguridad, dependiendo de las necesidades del usuario. Un tipo básico de certificado asegurará solamente la dirección de correo electrónico del propietario con un nivel bajo de seguridad y podrá ser gestionado por vía Web o correo electrónico. Además se brindarán certificados que aseguren la identidad del propietario, con alta seguridad los cuales deberán ser gestionados personalmente por el interesado, presentados en una oficina de Correos e identificándose mediante documento de identidad ante el funcionario postal.

Para servidores: La autoridad de Certificación expedirá certificados para sitios Web, certificando que la página accedida es efectivamente la deseada, lo cual permite la utilización de protocolos seguros para navegación, como SSL.

Directorio: El sitio Web de la Autoridad contará con un servicio de directorio el cual permitirá verificar cualquier certificado expedido por la misma.
Listas de Revocación: La autoridad de certificación se encargará de publicar la lista de aquellos certificados que han vencidos o han sido revocados porque ya no son confiables. Además, contará con un centro de revocación que atenderá denuncias de certificados que ya no son confiables y publicará dichos datos en las listas mencionadas anteriormente.

Soporte técnico: Se brindará un servicio de soporte técnico para los usuarios.
(*) Abogada. Socia del Estudio Ferrére Lamaison. Profesora de Instituciones de Derecho Público y Regulación Administrativa, Universidad ORT.
(**) Ing. Maria Simon, Decana de la Facultad de Ingeniería. Encargada de la Cátedra de Encriptado y Seguridad, Instituto de Ingeniería Eléctrica. Dr en Matemáticas José Vieitez, Instituto de Matemáticas y Estadísticas, Facultad de Ingeniería. Ing. Juan Pechiar, docente grado 3 del Instituto de Ingeniería Eléctrica.