ICPEdu: la autenticidad de los documentos electrónicos al alcance de las universidades públicas brasileñas

El servicio ICPEdu empezó a ser desarrollado a partir del pliego de condiciones de I+D de RNP de 2003

Después de la Conferencia Web y de CAFe, nuestra serie sobre servicios de RNP que se originó en el Programa de I + D se enfoca en la seguridad digital, más específicamente en la Infraestructura de Claves Públicas (ICP, en inglés Public Key Infrastructure o PKI) . Proporciona los medios para preservar la confidencialidad, autenticidad, integridad, inimputabilidad y auditabilidad de documentos electrónicos, transacciones, acceso a recursos, etc. 

Le vamos a contar como surgió la idea que culminó en el ICPEdu, que le permite a las organizaciones usuarias emitir certificados digitales del tipo SSL (Secure Sockets Layer) y que pronto permitirá la emisión de certificados personales.

Un poco de historia


En los lejanos años 2002 y 2003, existía el deseo del gobierno federal de producir un HSM (Hardware Security Module) para reemplazar el equipo en uso en esa época por el SPB (Sistema de Pago Brasileño), vinculado al aún naciente ICP-Brasil. El equipo en cuestión era de tecnología de propiedad extranjera, lo que dificultaba cualquier intento de auditoría independiente, además de ser una amenaza para la soberanía nacional. Luego, el gobierno inició el proyecto João de Barro, que consistía en diseñar y producir un prototipo de este equipo.

Los profesores Ricardo Custódio (UFSC), Ricardo Dahab (Unicamp) y Jeroen van de Graaf (UFMG) fueron invitados a participar del proyecto João de Barro. En lugar de este proyecto, decidieron aceptar el desafío de construir un HSM nacional para uno un poco menos ambicioso, en respuesta al Programa de I + D de RNP, lanzado mas o menos en la misma época. Así nació ICPEdu, con la misión de diseñar y producir el HSM junto con el software de gestión del ciclo de vida de certificados digitales, que incluía el software del HSM y de las autoridades de certificación que lo utilizaban. La infraestructura tenía como objetivo inicial convertirse en la autoridad de certificación del sistema científico-educativo de la educación superior brasileña.

El proyecto fue dividido en dos GTs de pliego de condiciones consecutivos por RNP

1 - Investigación y desarrollo de hardware de alta seguridad para la gestión del ciclo de vida de las claves de cifrados de las autoridades de certificación.

Resultados obtenidos:

  1. Diseño y desarrollo del ASI-HSM en cooperación con Kryptus, startup de Campinas;
  2. Creación de AC-Raiz da ICPEdu;
  3. Piloto de ICPEdu en varias universidades y centros de investigación brasileños;
  4. Debido a percances, el proyecto João de Barro no se materializó y el gobierno federal terminó adoptando ASI-HSM desarrollado por el GT.

2 - Investigación y desarrollo de sistemas de gestión del ciclo de vida de certificados digitales.

Resultados obtenidos:

  1. Sistema de Gestión de Certificados de ICPEdu (SGCI);
  2. Capacitación de RNP y socios en certificados digitales y aplicaciones;
  3. Emisión de certificados digitales ICPEdU;
  4. Firma de documentos electrónicos (E-mail seguro).

Posteriormente se continuó con el proyecto ICPEdu, con:

3 - Integración de ICP-EDU con la federación de identidades CAFe de RNP.

  • Desarrollo del sistema SAEC (Sistema Automático de Emisión de Certificados) de ICPEdu. Se trata de una modificación de la SGCI, para obtener datos automáticamente de CAFe para la emisión de certificados digitales.

Mirando estos temas con tantos resultados, parece que el camino fue fácil. Al contrario. Los obstáculos enfrentados fueron tan grandes que, en varios momentos, hubo que recalcular la ruta.

Creando una cultura de certificación digital


“En la época, había poca experiencia y experticia en Brasil en certificación digital y aplicaciones, y especialmente poco conocimiento del hardware criptográfico para AC (PKI). Así, además de la capacitación tecnológica, se invirtió mucho tiempo y energía en crear la cultura de la certificación digital, en la forma de conferencias, cursos y redacción de documentos normativos, como políticas y prácticas de certificación digital.  Algunos de estos desafíos fueron superados con la adopción de certificados ICPEdu en algunas instituciones, en particular la UFSC, que alberga la sala cofre ICPEdu”, recuerdan los profesores Ricardo Custódio (UFSC) y Ricardo Dahab (Unicamp).

Han pasado los años y, en la actualidad, existe suficiente experiencia para la adopción masiva de la certificación digital vía ICPEdu por parte de instituciones brasileñas de ciencia y tecnología, sin embargo, los profesores mencionan la principal barrera que hay que superar. “Esta adopción sufre competencia económica y cultural de soluciones listas, que siempre son más rápidas y económicas de implementar, pero no en el costo final a largo plazo, sobre todo si consideramos la dependencia tecnológica por la falta de capacitación de la comunidad de usuarios”, explican.

En cuanto a las dificultades técnicas enfrentadas durante el desarrollo, una de las mayores fue la creada por la empresa Netscape, una empresa norteamericana de servicios informáticos que tuvo una amplia presencia durante la aparición de internet.

“ICP es una tecnología complicada. Pensé que estando encriptado leería los datos en seis semanas, pero tomaba un año. ¿Por qué? Hay que volver un poco en la historia de Internet para comprender. Ella surgió alrededor del 96 y la empresa fuerte era Netscape y se dio cuenta de que si uno tiene el protocolo TICP / IP, no tiene seguridad. Entonces, crearon un protocolo arriba, que quien está navegando no ve que tiene un certificado, pero tiene y creó la primera versión del protocolo SSL. El problema es que usaron el estándar de certificado X500, que era un monstruo que nunca funcionó y todas las formas de direccionamiento no tienen nada que ver con TCP / IP.  Nunca funcionó. Arriba, crearon el X509. Entonces, el X500 murió, pero debido a SSL, el X509 cobró vida y eso trajo muchos problemas. Necesitamos entender muchas cosas para entender simplemente lo que estaba pasando. Esa fue una de las dificultades que enfrentamos. A pesar de ellas, recuerdo el proyecto con mucho gusto, fue realmente genial. Para mí, la RNP es un ejemplo de algo en Brasil que funciona”, dijo el profesor holandés de la UFMG Jeroen van de Graaf.

El futuro del servicio


Para los desarrolladores, ICPEdu puede seguir evolucionando, convirtiéndose en un entorno para proveer servicios de firma electrónica para documentos electrónicos remotos. Ellos creen que el concepto de certificados se puede hacer transparente para el usuario, que simplemente firmará digitalmente sus documentos y, si no tiene un certificado digital, se emitirá automáticamente.

Además, el dominio y el control de la tecnología aporta muchos otros beneficios estratégicos. “Por ejemplo, las nuevas formas de autenticación y otras tecnologías posibilitadas por los avances en las técnicas cifrado, y que requieren servicios de certificación, podrían ser probadas e incorporadas independientemente por laboratorios de investigación e instituciones científicas sin necesidad de aprobación previa o negociaciones complicadas con grandes empresas. ICPEdu nació para servir a la comunidad científica en su sentido más general. Esto nos alentó desde el primer momento”, destacan los profesores Custódio y Dahab.