en inglés/in English

Una guía para desarrolladores de programas y emisores de tarjetas que cumplan con las normas

Por Chris Corum, Editor Ejecutivo

Si Usted no está seguro de qué productos puede o no comprar para una implementación según la certificación FIPS 201, no está solo. Lo mismo compradores que vendedores de productos de identidad se encuentran muchas veces rompiéndose la cabeza a causa de categorías de productos al parecer omitidas o nombres de categorías demasiado confusos.

Pero en realidad, es un proceso organizado y definido que ha pasado casi 300 productos y servicios a través de una compleja certificación en poco más de un año … una tarea que no es fácil.

Si habla con los compradores, oirá preguntas como estas:

• Necesito determinado software o hardware, pero no puedo encontrar una categoría para el mismo en la Lista de Productos Aprobados (APL). ¿Eso quiere decir que no puedo comprarlo o que puedo escoger lo que quiera?

• Ya había comprado varias impresoras de tarjetas pero ese modelo no aparece en la APL. ¿Aún puedo utilizarlas o se supone que las bote a la basura?

• Si un producto está en la APL ¿puedo comprarlo directamente a la compañía o tengo que ir a través de la Administración de Servicios Generales (GSA) o alguna otra fuente?

Si habla con los vendedores oirá preguntas como estas:

• No hay una categoría para mi producto. ¿Puedo pedir que se añada?

• Mi producto entra en varias categorías pero no hay ninguna que cubra toda sus funciones. ¿Debo esperar que la aprueben en todas las subcategorías o espero a que se cree una nueva?

• ¿Cuál es la diferencia entre GSA APL y SIN 132-62?

¿Cómo llegamos a este punto?

Un breve repaso … El Presidente Bush emitió la Directiva Presidencial de Seguridad Interna 12 (HSPD-12), la Norma de Identificación Única para Empleados Federales y Contratistas, en Agosto del 2004. Para cumplir con los requisitos de una credencial interoperable segura, El Instituto Nacional de Estándares y Tecnología (NIST) creó los Estándares Federales de Procesamiento de la Información 201 (FIPS 201).

En el Informe M-05-24, La Oficina de Administración y Presupuesto (OMB) requería que las agencias compraran sólo productos y servicios aprobados federalmente para la implementación de la HSPD-12. Por lo tanto, se necesitaba una vía para aprobar los productos y servicios.

Ya que la Administración de Servicios Generales (GSA) es la responsable de la adquisición de productos por parte de las agencias federales, la misma desarrolló el Programa de Evaluación FIPS 201. Naturalmente, los requisitos específicos señalados en FIPS 201 y sus publicaciones especiales difieren de la variedad de productos y servicios, por lo que se necesitaban categorías. Este intento llevó a la Lista de Productos Aprobados (APL) por la GSA para FIPS 201 – una amplia lista de productos y servicios que se ha determinado tienen conformidad con FIPS 201.

Además del Programa de Evaluación FIPS 201, existen otros tres procesos de conformidad para productos PIV.

(1) El NIST estableció una iniciativa de prueba de conformidad con el nombre de Programa de Verificación de Identidad Personal (NPIVP) para, “validar la conformidad de dos componentes PIV -– un middleware (software intermedio) PIV y una aplicación de tarjeta PIV con especificaciones en NISTSP 800-73-1”. El NIST se apoya en laboratorios de prueba con acreditación NVLAP para certificar middleware y aplicaciones presentadas a evaluación.

(2) La Prueba de Intercambio de Interoperabilidad de Minucias (Minutiae Interoperability Exchange Test, o MINEX) es una iniciativa del NIST para establecer una conformidad entre los sistemas de generación de plantillas y de coincidencia de plantillas.

(3) La Certificación de Dispositivos de Huellas Digitales Únicas contra las Especificaciones de Calidad de Imagen (IQS) del Sistema Automatizado de Identificación de Huellas Digitales (IAFIS) del Buró Federal de Investigaciones (FBI).

Entendiendo el proceso de la Lista de Productos Aprobados (APL)

¿Qué debe hacer una compañía para que su producto sea aprobado en la APL de GSA? No hay nadie que pueda responder esta pregunta mejor que Nabil Ghadiali, Director Técnico de Information Assurance para Electrosoft y también para el Programa de Evaluación FIPS 201 de la GSA. Electrosoft, una compañía de seguridad de la información formada por 15 personas y radicada en Virginia, está contratada por la GSA para brindar soporte técnico en el Programa de Evaluación FIPS 201 y servir como guardianes – por así decirlo – de la APL.

El proceso comienza en Internet con la Herramienta del Programa de Evaluación. “Cuando el vendedor quiere presentar un producto”, dice el Sr. Ghadiali, “debe llenar un formulario de solicitud de inscripción, enviárnoslo (Electrosoft), y entonces nosotros le mandamos una identificación de usuario y su contraseña”.

Para cada categoría, hay un grupo determinado de documentos que hay que presentar, y en algunas categorías, es necesario que se envíe el producto en sí para someterlo a prueba (Ej. una tarjeta PIV, lectores de tarjetas).

A través de la herramienta en Internet, el personal de laboratorio controla el envío de las aplicaciones y rastrea los documentos para ver lo que se ha presentado y lo que aún falta. “Hay una fecha limite”, explica el Sr. Ghadiali, “Se cuenta con 10 días después de enviada la aplicación para comenzar a presentar los documentos, y se tiene (contando desde que se presenta el primer documento) 5 días para completar la entrega”.

Si no se cumple con la fecha límite, se rechaza la aplicación. Esta limitación fue creada para evitar que los vendedores enviaran la aplicación antes de que su producto o servicio estuviera listo para la evaluación.

“Hasta ese momento, sólo se ha mirado la documentación para ver si está físicamente ahí”, añade el Sr. Ghadiali. “Una vez que este completa, se mueve al estatus de ‘evaluación en progreso’ y el Laboratorio comienza su trabajo”.

Hay varios pasos durante el proceso (Ej. comienza la revisión de la documentación que presenta el vendedor, termina la revisión de la documentación, evaluación completa, informe de evaluación completo, esperando por la aprobación del gobierno) y el vendedor puede verificar estos cambios de estatus a través de la herramienta en la red, teniendo siempre visibilidad en todo el proceso de su aplicación y evaluación.

Cuando el laboratorio termina la evaluación, se escribe un informe final y se envía al director del Programa de evaluación FIPS 201 de la GSA, para su revisión y aprobación final. Si el producto es aprobado, se añade a la APL.

Si se establece que el producto no cumple con las normas, el vendedor es notificado y no se agrega el producto a la lista. “El vendedor puede entonces pedir una revisión de no conformidad para demostrar que su producto sí cumple con los requisitos”, dice el Sr. Ghadiali, “es básicamente un proceso de apelación y revisión”.

Si un producto que fue declarado no conforme a las normas es modificado y se lanza como una nueva versión, puede presentarse nuevamente, pero tiene que volver a pasar el proceso completo. Sí suele ser más rápido la segunda vez, sugiere el Sr. Ghadiali, gracias a la comprensión del producto que ya se tiene de la primera revisión.

¿Cuántos productos hay bajo revisión y cuál es el costo?

“Semanalmente podemos tener entre 5 y 10 aplicaciones (añadidas a la herramienta en Internet)”, explica el Sr. Ghadiali, aunque subraya que esto es solo un estimado.

“Llegamos a tener entre 70 y 80 en las semanas previas a Abril (2007)”, añade, aludiendo a la fecha límite después de la cual los cargos por evaluaciones serían cubiertos por los vendedores sobre una base de costos reembolsables.

El costo de la evaluación depende de la categoría. Debido a que el alcance de las pruebas necesarias para aprobar o no la conformidad difiere para cada producto, también difiere el precio. “Para algunas evaluaciones – como servicios de personalización grafica – se necesita visitar los lugares”, hace notar el Sr. Ghadiali. “Un modulo criptográfico (por otra parte) puede ser muy fácil de evaluar porque el vendedor ya tiene la validación FIPS 140-2 de NIST”.

Ahora que muchos Laboratorios serán certificados para llevar a cabo las evaluaciones, los precios dependerán del mercado. El Sr. Ghadiali sugiere que la evaluación más sencilla pudiera costar desde varios cientos de dólares hasta un cargo máximo de algunos miles de dólares. Subraya que los vendedores deben ponerse en contacto con los Laboratorios para determinar el cargo que cobrará cada uno, antes de tomar una decisión sobre cual Laboratorio utilizará.

La nueva estructura de laboratorio

Hasta Abril del 2007, solamente un laboratorio estaba aprobado para analizar los productos de la APL. El contrato para este servicio de prueba se le dio a Electrosoft, y la compañía subcontrató los servicios de Laboratorios Atlan. Desde entonces el Programa de Evaluación ha establecido los requisitos de Calificación de Laboratorios para que otros puedan participar.

Electrosoft se ha adaptado a su nueva función, la de Oficina de Administración del Programa de Evaluación. El Sr. Ghadiali afirma, “nosotros, junto con April Giles, la Arquitecta Principal del Programa de Evaluación de la GSA, nos aseguramos de que el Programa de Evaluación se mantenga actualizado según los requisitos, a la vez que NIST hace revisiones de la documentación y todos los laboratorios tienen los documentos y herramientas que necesitan … nosotros supervisamos a los laboratorios”.

Basados en los requisitos de calificación de laboratorios de la GSA, Laboratorios Atlan continua sus funciones de análisis como un laboratorio aprobado sin la participación de Electrosoft.

Para poder calificar, un laboratorio debe ser parte del Programa Voluntario de Acreditación de Laboratorios del NIST (NVLAP). El programa, según el NIST, “acredita laboratorios privados y públicos basado en la evaluación de sus calificaciones técnicas y su capacidad para llevar a cabo calibraciones o pruebas especificas”.

Como el NVLAP certifica todo tipo de laboratorios de pruebas, solo aquellos que son aprobados por la Prueba de Módulo Criptógrafico (CMT) son elegibles para el programa de evaluación de FIPS 201, ya que la habilidad que se requiere para los exámenes tiene más relación con la CMT. Los laboratorios de la CMT examinan productos criptográficos para su conformidad con las normas de FIPS 140. Actualmente, existen 14 laboratorios con el estatus CMT.

Después viene la validación de la aplicación de la tarjeta PIV y el middleware PIV a través del NPIVP. Diez de los 14 laboratorios CMT han sido aprobados como laboratorios NPIVP hasta la fecha. Por ultimo, estos laboratorios deben tener los métodos de prueba de la GSA añadidos a sus calificaciones. Si un laboratorio cumple todos estos requisitos, puede aplicar con la GSA para su admisión como Laboratorio de Evaluación en el Programa de Evaluación de FIPS 201.

Hasta la fecha, solo InfoGard se ha unido a Atlan como un laboratorio aprobado, pero se espera que se aprueben otros muy pronto. “Tengo entendido que hay otros laboratorios que ya están familiarizados con los métodos de prueba de la GSA y no tendrán problemas para aplicar”, sugiere el Sr. Ghadiali.

¿Cómo se seleccionaron las categorías?

Como se sugirió al principio de este articulo, aun hay mucha confusión en lo que se refiere a la APL. Buena parte esta relacionada con productos que son necesarios para una implementación de identificación FIPS 201 pero no parecen estar en ninguna categoría de la APL. Los vendedores se preguntan cómo pueden hacer que se aprueben sus productos y los emisores se preguntan como pueden obtener esos productos que no están en la lista.

Muchas de estas preocupaciones pueden ser aclaradas con una sola explicación. Como explica el Sr. Ghadiali, las categorías en la APL no fueron ‘seleccionadas’, sino más bien salieron de la misma certificación FIPS 201. “Leímos el Estándar y creamos una categoría cuando se necesitaba un requisito en especifico para un producto o servicio … Sin requisitos no hay categoría”.

“Nuestro negocio no es crear nuevas categorías”, explica, “sino examinar aquellas que están establecidas por la Norma”. Por ello es difícil que se añadan nuevas categorías a la APL, al menos hasta que se haga una revisión de la FIPS 201.

Una advertencia a esto es que cuando se consideró necesario, desde el punto de vista de seguridad, el Programa de evaluación FIPS 201 sí añadió requisitos específicos relacionados con la seguridad (Ej. la adición de controles de seguridad en el almacenamiento de Tarjetas PIV impresas). Esta advertencia se aplica fundamentalmente en el caso de categorías de Servicio.

Este es un ejemplo que puede ayudar a explicarlo en términos concretos. Obviamente, para emitir una credencial que cumpla con la FIPS 201 se debe usar una cinta de impresora en la impresora de tarjetas de identificación. Sin embargo, no hay ninguna categoría que incluya cintas de impresora. ¿Esto quiere decir que las agencia no pueden comprar la cinta? Obviamente no. Significa sencillamente que la documentación de la FIPS 201 no consideró necesario crear requisitos específicos para las cintas. Por lo tanto, la agencia es libre de comprar cualquier cinta de impresora que crea apropiada para sus necesidades.

“Si hay un producto que aplica dentro del contexto de PIV, pero no hay requisitos”, concluye el Sr. Ghadiali, “ellos (los vendedores) no necesitan presentarlo”. Y las agencias pueden comprar cualquier producto que necesiten. La única condición es que si existe la categoría para el producto, entonces tienen que elegir de la APL.

Comprando productos de la APL

Para facilitar las compras de los productos relacionados con la Verificación de Identidad Personal (PIV- Personal Idendity Verification), la GSA estableció una categoría especifica bajo la Clase 70 (Schedule 70 en inglés, para compras de tecnología de la información) llamada Numero de Artículo Especial 132-62 (SIN 132-62). Según la GSA, la categoría es, “para los productos y servicios que permitan a las agencias implementar los requisitos de la HSPD-12, FIPS-201 y de las publicaciones especiales del Instituto Nacional de Normas y Tecnología (NIST)”.

Los componentes que se especifican en el SIN 132-62 son:

• servicios de registro e inscripción de PIV
• infraestructura de sistemas PIV
• servicios de producción y administración de tarjetas PIV
• servicios de finalización de tarjetas PIV
• productos y servicios de control de acceso físico
• productos y servicios de control de acceso lógico
• servicios de integración de sistemas PIV
• productos y servicios aprobados que cumplen con FIPS-201

Solo los productos de la APL pueden presentarse a través de SIN 132-62, no obstante, puede que los integradores de sistema calificados por la GSA ofrezcan soluciones integradas que no estén aprobadas y aparezcan también en la lista bajo SIN 132-62. Sin embargo, estos proveedores de soluciones tienen que comprometerse a entregar solamente productos de la APL.

Si el producto no está bajo el SIN 132-62 pero esta en la APL, puede ser adquirido a través de otra Clase en la que esté listado, o a través del mercado abierto.

Aclarando la confusión

Al principio de este articulo, se presentó una serie de preguntas que comúnmente se escuchan entre los vendedores y los compradores de productos y servicios FIPS 201. Para concluir, contestamos estas preguntas de acuerdo a la información dada en el articulo.

Necesito determinado software o hardware, pero no puedo encontrar una categoría para el mismo en la Lista de Productos Aprobados (APL). ¿Eso quiere decir que no puedo comprarlo o que puedo escoger lo que quiera?

Sí. Si no hay categoría para un producto especifico, una agencia es libre de seleccionar el producto que satisfaga mejor sus necesidades.

Ya había comprado varias impresoras de tarjetas pero ese modelo no aparece en la APL. ¿Aún puedo utilizarlas o se supone que las bote a la basura?

Si un producto existente no aparece en la APL, es que no ha sido evaluado o aprobado por el Programa de Evaluación FIPS 201. Por lo tanto, las agencias que decidan utilizar esos productos no estarán cumpliendo con la norma.

Si un producto está en la APL ¿puedo comprarlo directamente a la compañía o tengo que ir a través de la Administración de Servicios Generales (GSA) o alguna otra fuente?

Los productos pueden comprarse a través de la GSA o en el mercado abierto. La Clase 70, SIN 132-62, cubre los artículos de PIV, sin embargo, no es obligatorio que las agencias adquieran todos los componentes de esta fuente.

No hay una categoría para mi producto. ¿Puedo pedir que se añada?

No. Las categorías salieron directamente de las especificaciones FIPS 201, sólo esos productos que tienen requisitos específicos necesitan ser aprobados. Si no hay categoría para su producto, las agencias son libres de comprarlo si lo desean.

Mi producto entra en varias categorías pero no hay ninguna que cubra toda sus funciones. ¿Debo esperar que la aprueben en todas la subcategorías o espero a que se cree una nueva?

No se añadirán nuevas categorías a menos que se requiera en futuras revisiones de las especificaciones FIPS 201. Si desea tener su producto en la lista, puede presentarlo a aprobación, siempre y cuando cumpla con la descripción de la categoría, tal y como esta documentada en ese Procedimiento de Aprobación en particular. Los productos que entren dentro de varias categorías deben ser presentados para evaluación en cada una de las categorías.

Por ejemplo, un lector de tecnología múltiple que puede leer un Numero de Identificación Único del Titular de la Tarjeta (CHUID- Cardholder unique ID Number) de ambas tarjetas, con contacto y sin contacto, puede ser aprobado en las dos categorías, la de lector con contacto y la de lector sin contacto.

¿Cuál es la diferencia entre GSA APL y SIN 132-62?

La APL es la lista de productos relacionados con la PIV que han sido aprobados por la GSA y que cumplen con los requisitos FIPS 201. El SIN 132-62 es la Clase de compra que permite a las agencias adquirir los productos de la APL. No es, sin embargo, la única forma de adquirir estos productos, ya que también pueden ser comprados en el mercado abierto.