Inicio>solutions>Gestión de claves criptográficas de MeSign

Gestión de claves criptográficas de MeSign

1. Situación y riesgos del cifrado de correo electrónico

El correo electrónico es necesario para nuestro día a día, pero es como una postal ya que se transmite en testo sin cifrar, siendo inseguro. Actualmente para realizar cifrado de correo necesitas utilizar un software de correo compatible con los certificados S/MIME, como es Outlook y Thunderbird, y tienes que solicitar y comprar el certificado a una Autoridad de Certificación. El certificado se tiene que configurar y enviar un correo al destinatario para intercambiar las claves públicas, una vez las dos partes tienen el certificado y la clave, pueden enviar correo cifrado.

El proceso para cifrar el correo puede ser tedioso y complicado, por eso la tecnología S/MIME no es ampliamente utilizada y la transmisión es todavía en abierto después de su invención hace 50 años. También es importante la seguridad en internet que ha cambiado de http a https cifrando la transmisión.

Nuestro gran reto de el correo electrónico cifrado es la gestión de claves criptográficas. El usuario puede encontrarse con varias complicaciones como solicitar y configurar el certificado de cifrado, así como tener que repetir el proceso si se quiere cifrar con un nuevo dispositivo. Cuando el certificado ha caducado, se debe solicitar de nuevo e importarlo, y si se pierde el antiguo certificado nunca podrás volver a ver el correo cifrado con ese certificado. Esto puede llegar a ser un gran problema para muchos usuarios y por eso prefieren no cifrar el correo. Desde MeSign creemos que este problema debe ser resuelto.

2. Solución de MeSign para la gestión de claves criptográficas

El equipo de I+D de MeSign empezó en 2015 a investigar cómo hacer S/MIME fácil y accesible. El objetivo era resolver esto problemas de gestión de claves para poder enviar correos cifrados como correos normales. Después de una gran investigación de los servicios de gestión de claves en la nube de proveedores, el equipo de I+D decidió adoptar este sistema para solucionar y mejorar la gestión con una distribución de claves bajo demanda.

La solución de MeSign es dividir el certificado en dos, uno de firma y otro de cifrado. La clave privada del certificado de cifrado es generada, cifrada y guardada en la infraestructura criptográfica de MeSign (ICM). Una vez el usuario se registra, la clave de cifrado se consigue de la nube de ICM y se descifra el correo automáticamente, así el usuario no tiene que aplicar o importar el certificado. Cuando el usuario envía un correo cifrado, MeSign consigue la clave pública del destinatario de la base de datos de claves para automatizar el cifrado, de esta manera no es necesario intercambiar las claves manualmente. El certificado de firma tiene la identidad del usuario, por lo que tienen efecto legal. Por ello para mayor seguridad la clave del certificado de firma se genera y se guarda en el dispositivo local del usuario, por eso el número de serie cambia según el dispositivo.

La tecnología MeSign separa el certificado de cifrado en dos para gestionar las claves de diferente manera dependiendo de cifrado o firma, y haciendo S/MIME más sencillo. Con este método no es posible la falsificación y repudio de las firmas S/MIME, haciendo que sea una tecnología perfecta sin tener conocimientos de ciberseguridad. Solo con un clic puedes enviar correo cifrado como si fuera un correo normal y automáticamente se descifra para leer el correo con normalidad.

3. Gestión de claves criptográficas de MeSign

3.1 Gestión de la clave de cifrado

Para garantizar una mejor experiencia de usuario en MeSign, hemos adoptado el sistema de gestión de claves en la nube después de una investigación sobre los servicios de gestión en la nube. La clave privada del certificado se genera automáticamente en la nube y se distribuye bajo demanda.

La clave privada es generada por el FIPS 140-2 nivel 3 HSM certificado, cumpliendo los requerimientos de WebTrust, donde solo el nivel 2 es requerido. La clave privada es dividida en dos partes, así como cifrada y guardada en dos servidores de gestión diferentes. El usuario al iniciar sesión en su cuenta y pasar el control de validación, puede obtener el par de claves y guardarlo de manera segura en el dispositivo.

El sistema de gestión de claves de MeSign es uno de los componentes más importantes de la infraestructura criptográfica de MeSign, tiene una serie de medidas de seguridad para proteger la clave privada del certificado. Estas medidas han pasado la auditoría de seguridad de White-box y la auditoría WebTrust, para garantizar la protección de la clave privada.

MeSign proporciona 4 niveles de seguridad para proteger la clave privada del certificado, cumpliendo con las necesidades de seguridad de los usuarios.

  1. (1) Protección predeterminada
    Este nivel depende de la validación de la contraseña de la cuenta y que se haya iniciado correctamente, MeSign podrá conseguir la clave privada con el certificado de cifrado, de la nube e instalarla en el dispositivo. Si la contraseña de la cuenta está segura, la clave privada también lo está, así el usuario puede gestionar su certificado fácilmente. Los usuarios podrán empezar a cifrar el correo cuando se inicia sesión, sin preocuparse por cómo se solicita o instala el certificado y no necesita introducir contraseñas adicionales para la clave privada.
  2. (2) Protección mejorada
    Para mejorar la seguridad de la clave privada recomendados que los usuarios de MeSign inicien sesión desde la página web para introducir una contraseña a la clave privada. De esta manera se valida la dirección de correo y se verifica la contraseña que el usuario ha dado a la clave, cuando se consigue la clave privada y el certificado, así la protección es doble. La ventaja es si la dirección de correo es hackeada y robada, no se podrá acceder a la clave privada sin la contraseña, por lo que no se podrá leer ningún correo electrónico cifrado. Esta protección es importante para una mayor seguridad, por lo que recomendamos no perder esta contraseña.
  3. (3) Protección avanzada
    Actualmente la clave privada del certificado de MeSign es un certificado blando, es decir que está en un archivo en tu ordenador. MeSign planea implantar USB Tokens, claves Bluetooth o claves en tarjetas SIM para que los usuarios puedan guardar la clave privada para mayor seguridad. Los usuarios tendrán que adquirir los productos hardware para guardar la clave.
  4. (4) Implantar una gestión local de claves
    Los niveles de protección anteriores son basados en el sistema en la nube de MeSign para generar y guardar las claves. Las empresas que necesiten un control local y mayor seguridad de sus claves pueden adquirir el sistema de gestión local de claves, un sistema implantado en la infraestructura de la empresa. Esta solución hace que todos los ordenadores o dispositivos móviles de los trabajadores puedan conseguir las claves de cifrado conectándose a este sistema propio, de esta manera se gestiona localmente y se controlan las claves uno mismo para mayor seguridad.

3.2 Gestión de la clave de firma

Debido a que el certificado de firma contiene la información de identidad, la firma digital tiene efecto legal y es equivalente a una firma escrita, MeSign no guarda la clave privada del certificado de firma en la nube. La clave privada se genera y guarda en el dispositivo del usuario y no se subirá a la nube para mayor protección. Cada vez que el usuario use su cuenta en un dispositivo nuevo, el sistema emitirá un nuevo certificado de firma para ese dispositivo, por lo que cada dispositivo tendrá su propio certificado, así como su propia clave privada.

Para cada clave generada localmente, el certificado también utiliza los 3 niveles de seguridad para la clave. Una vez el usuario ha introducido una contraseña para el certificado, el certificado de firma y el certificado de cifrado utilizan la misma contraseña por lo que no se necesitan configurar separados.

Como resumen, para mejorar la gestión de la clave privada, MeSign adopta el sistema de la nube y separa el certificado en dos, de firma y de cifrado. Todos los certificados de cifrado se configuran automáticamente en los dispositivos y la clave se guarda en la nube de MeSign. Si tu empresa tiene un sistema de gestión local de claves, la clave privada de los empleados se conseguirá de manera segura de este sistema local, MeSign no hace una copia de seguridad de estas claves.

La clave de cifrado y el certificado tienen una validez de 3 años, una vez caduca se genera automáticamente un nuevo certificado y clave, y el antiguo certificado se guardará para poder descifrar el correo antiguo, pero no será visible en el administrador de certificados en la aplicación. De esta manera se mejora la experiencia de usuario de gestionar certificados.

El certificado de firma se genera en el dispositivo del usuario y se guarda localmente, por lo que cada dispositivo tendrá un certificado diferente. La información de identidad será siempre la misma, asociada a la cuenta y a la firma digital.

El certificado de firma configurado automáticamente en la versión gratis es válido por un año, una vez caduca, se genera un nuevo par de claves que se guardan localmente y un nuevo certificado que se configura automáticamente. El certificado antiguo ya no tendrá uso ni se mostrará en el administrador de certificados de la aplicación. Para los certificados de firma del plan Pro, el usuario puede elegir un periodo de validez de 1, 2 o 3 años. Una vez este caduca, el usuario puede renovarlo, este se genera y se configura automáticamente con la información de identidad del usuario. Si el usuario prefiere no renovarlo, su plan pasará del Pro al gratuito automáticamente y se le configurará el certificado de firma gratuito.

4. Las ventajas de la gestión de claves de MeSign

La tecnología MeSign utiliza las ventas de los servicios de la nube para proporcionar una gestión de claves flexible y asequible, para que los usuarios puedan cifrar fácilmente sin preocuparse por la existencia de las claves. Estas son todas sus ventajas:

  1. (1) Las claves, cuando las necesitas: los usuarios no tienen que preocuparse de la gestión de las claves o de perderlas y no poder descifrar sus correos. Pueden conseguir las claves en cualquier momento gracias a la nube de MeSign.
  2. (2) Cifrado de correo gratuito. todos los usuarios pueden usar la aplicación MeSign gratis y utilizar la gestión de claves en la nube y se les configura automáticamente el certificado de cifrado y firma. Esta solución es completamente gratuita para proteger los datos personales y la información confidencial, sin ningún coste, para que más personas utilicen el cifrado de correo y la confianza online.
  3. (3) Máxima seguridad con nuestros planes de pago: si el usuario adquiere el plan Starter se le configurará automáticamente el certificado VP de confianza pública de la Autoridad de Certificación Sectigo, además incluye la gestión de claves de este certificado en la nube. El precio del mismo certificado en la página de Sectigo el plan personal S/MIME es de 19,99 $ al año y el precio del servicio de Amazon de gestión de claves empieza desde 12 $ al año, es decir estos dos servicios juntos son mínimo 31,99 $, cuando con MeSign lo mismo es solo 14,99 $. El plan Pro también configura automáticamente el certificado VP de confianza pública, incluyendo la gestión de claves, no hay un mejor precio coste.
  4. (4) Colaboración usuario y nube: MeSign obtiene la clave automáticamente para que el usuario pueda cifrar y descifrar los correos. Utiliza la el sistema de cifrado de la nube para mejorar las dificultades de la gestión de claves y ofrecer al usuario un servicio fácil para cifrar el correo como si fuera correo sin cifrar. MeSign son los pioneros en esta innovación solucionando el cifrado de correo.