ISO/IEC 20248
ISO/IEC 20248 Identificación automática y técnicas de captura de datos – Estructuras de datos – Metaestructura de firma digital es una especificación estándar internacional que está siendo desarrollada por ISO/IEC JTC 1/SC 31/WG 2. Este avance representa una extensión de la especificación actualmente publicada SANS 1368. ISO/IEC 20248 y SANS 1368 son especificaciones estándar similares en cuanto a su objetivo de proporcionar soluciones para la gestión de la seguridad de la información, aunque no son necesariamente equivalentes en términos de su contenido específico y detalles de implementación. SANS 1368 es un estándar nacional de Sudáfrica desarrollado por la Oficina de Estándares de Sudáfrica .
ISO/IEC 20248 [y SANS 1368] especifica un método mediante el cual los datos almacenados en un código de barras y/o etiqueta RFID se estructuran y firman digitalmente . El objetivo de este estándar es proveer un método abierto y compatible entre diferentes servicios y medios de almacenamiento de datos, para verificar la autenticidad y la integridad de los datos en situaciones donde no hay conexión a internet . La estructura de datos ISO/IEC 20248 también se denomina "DigSig", que se refiere a una firma digital pequeña, en número de bits.
Además, el estándar ISO/IEC 20248 ofrece una solución efectiva y compatible para intercambiar mensajes de datos en el contexto del Internet de las cosas (IoT) y los servicios de comunicación de máquina a máquina (M2M), lo que permite a los agentes inteligentes en dichos servicios autenticar mensajes de datos y detectar la manipulación de datos.
Descripción
editarISO/IEC 20248 puede verse como una especificación de aplicación X.509 similar a S/MIME . Las firmas digitales convencionales suelen ser muy grandes (con tamaños superiores a los 2k bits), lo que las hace imprácticas para su uso en códigos de barras y etiquetas RFID sin comprometer el rendimiento de lectura. En cambio, las firmas digitales ISO/IEC 20248, que incluyen los datos, suelen tener menos de 512 bits, lo que las hace adecuadas para su uso en estos sistemas de identificación. Los certificados digitales X.509 dentro de una infraestructura de clave pública (PKI) se utilizan para la distribución de claves y descripciones de datos. Este método asegura la decodificación verificable abierta de datos almacenados en un código de barras y/o etiqueta RFID en una estructura de datos etiquetados; por ejemplo JSON y XML .
ISO/IEC 20248 aborda la necesidad de verificar la integridad de los documentos y objetos físicos. El estándar ayuda a reducir los costos de verificación de servicios en línea y a prevenir ataques de malware de dispositivo a servidor, al proporcionar un método para la verificación de la estructura de datos fuera de línea y en múltiples dispositivos. Algunos ejemplos de documentos y objetos que pueden beneficiarse del uso de firmas digitales incluyen certificados médicos y educativos, impuestos y certificados de acciones, licencias, permisos, contratos, boletos, cheques, documentos fronterizos, documentos de identidad, certificados de nacimiento y defunción, placas de matrícula de vehículos, obras de arte, botellas de vino, piedras preciosas y medicamentos.
Un DigSig almacenado en un código QR o una etiqueta RFID de comunicación de campo cercano (NFC) se puede leer y verificar fácilmente usando un teléfono inteligente con una aplicación compatible con ISO/IEC 20248. Después de obtener el certificado DigSig adecuado en línea, la aplicación puede verificar la autenticidad de todos los DigSig generados con ese certificado fuera de línea, sin necesidad de estar conectada a la red.
Un DigSig almacenado en un código de barras se puede copiar sin influir en la verificación de datos. Por ejemplo; se puede copiar un certificado de nacimiento o escolar que contenga un código de barras DigSig. Además, se puede verificar la autenticidad del documento copiado para garantizar la integridad de la información y la identidad del emisor. El uso de un código de barras DigSig proporciona una forma efectiva de detectar manipulaciones de los datos.
Almacenar un DigSig en una etiqueta RFID/NFC permite detectar la copia y manipulación de los datos, lo que lo convierte en una herramienta útil para verificar la autenticidad del documento u objeto original. Para este propósito, se utiliza el identificador único de la etiqueta RFID.
El sobre DigSig
editarEl término utilizado por ISO/IEC 20248 para referirse a la estructura de la firma digital es "sobre DigSig". La estructura del sobre DigSig incluye el identificador del certificado DigSig, la firma digital y la marca de tiempo. Estos campos pueden ser incluidos en un sobre DigSig de tres maneras distintas: Considere la envolvente DigSig{a, b, c } que contiene conjuntos de campos a, b y c .
- Los campos a están firmados e incluidos en el sobre DigSig. Toda la información (el valor del campo firmado y el valor del campo) se almacena en el AIDC y está disponible para verificar cuando se lee la estructura de datos del AIDC (código de barras y/o RFID).
- Los campos b están firmados pero NO incluidos en el sobre DigSig: solo el valor del campo firmado se almacena en el AIDC. Por lo tanto, el verificador debe recopilar el valor de un campo b antes de que se pueda realizar la verificación. Esto es útil para vincular un objeto físico con un código de barras y/o una etiqueta RFID que se utilizará como medida contra la falsificación ; por ejemplo, el número de sello de una botella de vino puede ser un campo b . El verificador debe ingresar el número de sello para una verificación exitosa, ya que no está almacenado en el código de barras de la botella. Cuando se rompe el sello, el número del sello también puede destruirse y volverse ilegible; por lo tanto, la verificación no puede tener lugar ya que requiere el número de sello. Un sello de reemplazo debe mostrar el mismo número de sello; el uso de hologramas y otras técnicas puede hacer que la generación de un nuevo número de sello copiado no sea viable. De manera similar, la ID de etiqueta única, también conocida como TID en ISO/IEC 18000, se puede usar de esta manera para demostrar que los datos se almacenan en la etiqueta correcta. En este caso el TID es un campo b . El interrogador leerá el sobre DigSig de la memoria de etiqueta cambiable y luego leerá el TID único no cambiable para permitir la verificación. Si los datos se copiaron de una etiqueta a otra, el proceso de verificación del TID firmado, tal como se almacena en el sobre DigSig, rechazará el TID de la etiqueta copiada.
- Los campos c NO están firmados, pero se incluyen en el sobre DigSig: solo el valor del campo se almacena en el AIDC. Por lo tanto, un campo c NO puede verificarse, sino extraerse del AIDC. Este valor de campo se puede cambiar sin afectar la integridad de los campos firmados.
La ruta de datos DigSig
editarLos datos almacenados en un DigSig suelen provenir de datos estructurados, como JSON o XML. En la descripción de datos DigSig [DDD], se asignan directamente los nombres de los campos de datos estructurados. Esto habilita al generador DigSig para firmar digitalmente los datos, almacenarlos en el sobre DigSig y comprimir dicho sobre para que ocupe el menor tamaño de bits posible. Posteriormente, el sobre DigSig es programado en una etiqueta RFID o impreso dentro de una simbología de código de barras.
El verificador DigSig lee el sobre DigSig desde el código de barras o la etiqueta RFID, y posteriormente identifica el certificado DigSig correspondiente para extraer los campos del sobre y obtener los campos externos. Luego, el Verificador lleva a cabo la verificación y proporciona los campos disponibles como datos estructurados, como por ejemplo JSON o XML.
Ejemplos
editarEjemplo QR
editarEstos ejemplos de certificados educativos utilizan el formato de sobre URI-RAW DigSig. El formato URI permite que un lector de código de barras genérico lea el DigSig y luego se pueda verificar en línea mediante el URI del emisor confiable del DigSig. En este sitio web, a menudo estará disponible para su descarga una aplicación para teléfonos inteligentes compatible con ISO/IEC 20248 (App), donde el DigSig se puede verificar sin conexión después de su descarga. Es importante destacar que una aplicación compatible debe ser capaz de verificar DigSigs de cualquier emisor de DigSig de confianza.
El ejemplo del certificado universitario ejemplifica el soporte para varios idiomas de SANS 1368.
Ejemplo de RFID y QR
editarEn este ejemplo, la placa de matrícula de un vehículo cuenta con una etiqueta RFID ISO/IEC 18000-63 (Tipo 6C) y se imprime con un código de barras QR. La placa puede ser verificada sin conexión mediante un teléfono inteligente cuando el vehículo está detenido, o mediante un lector RFID cuando el vehículo se desplaza delante del lector.
Es importante tener en cuenta los tres formatos de sobre DigSig disponibles: RAW, URI-RAW y URI-TEXTO.
Para reducir el tamaño del formato de sobre URI, el DigSig almacenado en la etiqueta RFID generalmente se almacena en un formato de sobre RAW. Por otro lado, los códigos de barras a menudo utilizan el formato URI-RAW para permitir la verificación en línea mediante lectores de códigos de barras genéricos. Aunque el formato RAW es el más compacto, solo se puede verificar mediante una aplicación compatible con SANS 1368.
La parte de la firma del DigSig almacenado en la etiqueta RFID también incluirá el TID (Identificador único de etiqueta). Esto permitirá al verificador de DigSig detectar si los datos han sido copiados en otra etiqueta.
QR con ejemplo de datos externos
editarSe adjunta el siguiente código de barras QR a un ordenador o teléfono inteligente para demostrar que pertenece a una persona específica. Este código de barras utiliza un campo de tipo b, mencionado anteriormente, para contener un número de identificación personal seguro (PIN) que es recordado por el propietario del dispositivo. Antes de que se pueda realizar la verificación, el verificador de DigSig pedirá que se ingrese el PIN. Si el PIN es incorrecto, la verificación será negativa. En el ejemplo, el PIN es "123456".
A continuación se muestra la descripción de datos DigSig para el DigSig anterior:
{ "defManagementFields":
{ "mediasize":"50000",
"specificationversion":1,
"country":"ZAR",
"DAURI":"https://www.idoctrust.com/",
"verificationURI":"http://sbox.idoctrust.com/verify/",
"revocationURI":"https://sbox.idoctrust.com/chkrevocation/",
"optionalManagementFields":{}}},
"defDigSigFields":
[{ "fieldid":"cid",
"type":"unsignedInt",
"benvelope":false},
{ "fieldid":"signature",
"type":"bstring",
"binaryformat":"{160}",
"bsign":false},
{ "fieldid":"timestamp",
"type":"date",
"binaryformat":"Tepoch"},
{ "fieldid":"name",
"fieldname":{"eng":"Name"},
"type":"string",
"range":"[a-zA-Z ]",
"nullable":false},
{ "fieldid":"idnumber",
"fieldname":{"eng":"Employee ID Number"},
"type":"string",
"range":"[0-9 ]"},
{ "fieldid":"sn",
"fieldname":{"eng":"Asset Serial Number"},
"type":"string",
"range":"[0-9a-zA-Z ]"},
{ "fieldid":"PIN",
"fieldname":{"eng":"6 number PIN"},
"type":"string",
"binaryformat":"{6}",
"range":"[0-9]",
"benvelope":false,
"pragma":"enterText"}]}
Bibliografía
editar- SANS 1368, Técnicas de identificación automática y captura de datos — Estructuras de datos — Metaestructura de firma digital
- FIPS PUB 186-4, Estándar de firma digital (DSS) – Seguridad informática – Criptografía
- IETF RFC 3076, XML canónico versión 1.0
- IETF RFC 4627, el tipo de medio de aplicación/JSON para la notación de objetos de JavaScript (JSON)
- IETF RFC 3275, (Lenguaje de marcado extensible) Sintaxis y procesamiento de firmas XML
- IETF RFC 5280, perfil de lista de revocación de certificados (CRL) y certificado de infraestructura de clave pública X.509 de Internet
- ISO 7498-2, Sistemas de procesamiento de información. Interconexión de sistemas abiertos. Modelo de referencia básico. Parte 2: Arquitectura de seguridad.
- ISO/IEC 9594-8 (UIT X.509), Tecnología de la información – Interconexión de sistemas abiertos – El directorio: marcos de certificados de atributos y clave pública
- ISO/IEC 10181-4, Tecnología de la información – Interconexión de sistemas abiertos – Marcos de seguridad para sistemas abiertos: Marco de no repudio
- ISO/IEC 11770-3, Tecnología de la información. Técnicas de seguridad. Gestión de claves. Parte 3: Mecanismos que utilizan técnicas asimétricas.
- ISO/IEC 11889 (todas las partes), Tecnología de la información – Módulo de plataforma segura
- ISO/IEC 15415, Tecnología de la información. Identificación automática y técnicas de captura de datos. Especificación de prueba de calidad de impresión de código de barras. Símbolos bidimensionales.
- ISO/IEC 15419, Tecnología de la información. Identificación automática y técnicas de captura de datos. Pruebas de rendimiento de impresión e imágenes digitales de códigos de barras.
- ISO/IEC 15423, Tecnología de la información. Identificación automática y técnicas de captura de datos. Pruebas de rendimiento de lectores y decodificadores de códigos de barras.
- ISO/IEC 15424, Tecnología de la información. Identificación automática y técnicas de captura de datos. Identificadores de portadores de datos (incluidos los identificadores de simbología).
- ISO/IEC 15963, Tecnología de la información. Identificación por radiofrecuencia para la gestión de artículos. Identificación única para etiquetas RF.
- ISO/IEC 16022, Tecnología de la información – Identificación automática y técnicas de captura de datos – Especificación de simbología de código de barras Data Matrix
- ISO/IEC 16023, Tecnología de la información – Especificación de simbología internacional – MaxiCode
- ISO/IEC 18000 (todas las partes), Tecnología de la información: identificación por radiofrecuencia para la gestión de artículos
- ISO/IEC 18004, Tecnología de la información – Identificación automática y técnicas de captura de datos – Especificación de simbología de código de barras QR Code 2005
- ISO/IEC TR 14516, Tecnología de la información. Técnicas de seguridad. Directrices para el uso y la gestión de servicios de terceros de confianza.
- ISO/IEC TR 19782, Tecnología de la información. Identificación automática y técnicas de captura de datos. Efectos del brillo y la baja opacidad del sustrato en la lectura de símbolos de códigos de barras.
- ISO/IEC TR 19791, Tecnología de la información – Técnicas de seguridad – Evaluación de la seguridad de los sistemas operativos
- ISO/IEC TR 29162, Tecnología de la información: directrices para el uso de estructuras de datos en medios AIDC
- ISO/IEC TR 29172, Tecnología de la información – Identificación y gestión de artículos móviles – Arquitectura de referencia para servicios móviles AIDC