Impugnar pregunta 56

Temas relacionados con el examen de test
Responder
AntonioLM
Usuario registrado
Mensajes: 15
Registrado: 17 Jun 2019, 21:18
Agradecido: 0
Agradecimiento recibido: 0

Impugnar pregunta 56

Mensaje por AntonioLM »

Hola,

he impugnado la pregunta 56. Adjunto detalle de argumentos, por si son de utilidad para alguien.

Saludos.

Antonio.
----------------------------------------------------------------------------------------

- Cuerpo del ejercicio al que se refiere la alegación:
CUERPO SUPERIOR DE SISTEMAS Y TECNOLOGÍAS DE LA INFORMACIÓN DE LA ADMINISTRACIÓN DEL ESTADO

- Forma de Acceso:
INGRESO LIBRE

- Parte del ejercicio:
PRIMERA PARTE - TEMAS ESPECÍFICOS

- Número de la pregunta:
56

- Motivo de la alegación y su fundamento:

Notación:
- AR = Autoridad de Registro
- AC = Autoridad de Certificación
- AV = Autoridad de Validación
- PKI = Public Key Infrastructure
- HSM = Hardware Security Module

Mi alegación se fundamenta en la existencia de 2 contestaciones que podrían considerarse válidas (respuestas “a.” y “b.”) en función del contexto, ámbito y semántica lingüística aplicados. La ausencia de criterios objetivos para seleccionar cuál de las dos resulta ser “más valida”, y la consiguiente ambigüedad o duda razonable inducidas a niveles técnico, lingüístico y semántico (contrarias a la taxativa precisión que requiere toda pregunta de test) aconsejan la anulación de la pregunta.

ANÁLISIS de la respuesta “a.”:
“a.” constituye una opción que, en ausencia de otras alternativas candidatas, podría considerarse como respuesta "más válida". No obstante, cabe señalar que, siendo cierto que una AV presta un servicio de comprobación de vigencia de certificados, ésta constituye sólo una parte de la función completa atribuida a una AV: la AV ACREDITA la VALIDEZ TOTAL de los certificados, lo cual incluye verificar NO SÓLO el componente TEMPORAL relativo a su VIGENCIA/VIGOR O CADUCIDAD/EXPIRACIÓN, sino también el estado de REVOCACIÓN o PLENA VALIDEZ del certificado (un certificado puede ser VIGENTE, desde el punto de vista de que su fecha de expiración se encuentre establecida para un momento futuro, pero resultar INVÁLIDO por encontrarse actualmente revocado por la AC) y del resto de la cadena de confianza de certificados en la jerarquía de ACs de la PKI.

Atendiendo a la semántica precisa de su redacción, el texto de la respuesta “a.” limita EXPRESA Y DELIBERADAMENTE el ámbito de aplicabilidad de dicha respuesta porque, mientras que el enunciado sí nos hablaba, sin lugar a confusión, de AUTORIDAD DE VALIDACIÓN (en toda la extensión de lo que el concepto "VALIDACIÓN" conlleva), la respuesta “a.” sustituye dicho concepto, restringiéndolo únicamente a la subfunción de "VIGENCIA" (cuya acepción en el uso más habitual del castellano alude a su acepción temporal de “haber o no expirado/caducado”, en lugar de a su VALIDEZ global). Puede por tanto CONCLUIRSE que la respuesta “a.” es VERDADERA pero no EXHAUSTIVA al no abarcar TODA la funcionalidad que proporciona una AV.

CONCLUSIÓN del análisis de la respuesta “a.”:
“a.” es VERDADERA pero podría no ser la opción que más se aproxime a la contestación VÁLIDA, en función del resto de alternativas que aparezcan como posibles contestaciones.

ANÁLISIS de la respuesta “b.”:
1) Una PKI es el conjunto de HW, SW, personas y políticas y procedimientos de seguridad, que permiten la ejecución con un determinado nivel de garantías de una serie de operaciones criptográficas. Y dado que las funciones de AC, AR y AV son parte de los servicios ofrecidas por una PKI, la semántica del término "Autoridad" debe superar el reducido ámbito del producto HW/SW usado al más bajo nivel de implementación y abarcar también al conjunto de políticas y prácticas de seguridad más las personas u organización responsables de operar toda la infraestructura.

Por ello, el término “Autoridad de Validación” debe intrepretarse en su sentido amplio y de alto nivel, pues no existe ningún motivo para circunscribirlo a la visión reduccionista de considerar solo el “producto HW/SW” con el que se implementa.

2) En el ámbito de la industria de administración de PKIs resulta una PRÁCTICA HABITUAL que las funciones de AC y de AV de una PKI se desempeñen por el mismo grupo u organización, e incluso se implementen mediante el mismo sistema HW y aplicativo SW.

En mi caso personal, he desempeñado profesionalmente funciones de AC y AV (emitiendo manual y automáticamente listas periódicas de revocación de certificados, o bien publicándolas en un directorio LDAP accesible para su consulta) utilizando para ambas funciones:

- el mismo equipamiento HW (servidor + HSM) y
- el mismo aplicativo SW (RSA Certificate Manager, de la compañía RSA Security LCC)

El mencionado SW "RSA Certificate Manager" no es una aplicación cualquiera. Se trata de la aplicación de certificación REFERENCIA A NIVEL MUNDIAL, líderes de la industria.

Adjunto enlace web para constatar que, hasta la versión RSA Certificate Manager 6.6., la función de OCSP (on-line certifcate status protocol) se encontraba incluida en el SW usado como AC (posteriormente separado a un nuevo aplicativo específico para AV):

https://rsa.jiveon.com/docs/DOC-51348
- "Cause: OCSP server/responder was removed from RSA Certificate Manager 6.6 and later releases"

Igualmente, SafeLayer es otro SW de creación de PKIs de referencia a nivel mundial (usado en PKIs de numerosas AAPP y OOPP del sector público en España https://www.safelayer.com/es/referencias/clientes).

El aplicativo básico de SafeLayer para ACs (KeyOne CA) incluye las siguientes funcionalidades propias de una AV: publicación manual o automática de listas de revocación de certificados a un directorio LDAP (ver figura que aparece en el enlace adjunto más abajo) y publicación de información de estado de certificados (lo cual es una funcionalidad clara de toda AV).

https://static.safelayer.com/www/images ... _ca_en.pdf
- “Generate and publish lists of revoked and suspended certificates (CRLs)”
- “Report on the status of the digital certificates so the validation service (VA) can publish it via OCSP”

Recapitulando:
a) El término AV debe interpretarse a alto nivel y englobar, además del sistema HW/SW, al conjunto de personas/organización y sus políticas y procedimientos de seguridad. Si nos ceñimos a esta interpretación, no cabe duda de que los departamentos, políticas y procedimientos y equipamientos de una AC y una AV habitualmente se solapan y coinciden para un PKI dada.

b) Incluso si aplicásemos una VISIÓN REDUCCIONISTA para limitar nuestra consideración del término AV a la implementación HW/SW de las funciones de AC y AV, existen RELEVANTES CASOS de productos comerciales líderes en su campo que POSIBILITAN la implementación de funciones de AV con el mismo HW/SW que el utilizado para realizar funciones de AC.

CONCLUSIÓN del análisis de la respuesta “b.”:
“b.” debe considerarse una ASEVERACIÓN VERDADERA y CIERTA, y por tanto figurar en el grupo de respuestas candidatas a valorarse como “MÁS APROXIMADA” o “MÁS VÁLIDA”.

COROLARIO FINAL:
Se han aportado sólidos y variados argumentos (desde distintos ángulos) para defender que tanto la respuesta “a.” como la respuesta “b.” son dos respuestas CIERTAS, y la respuesta VÁLIDA debería ser aquella que resulte aplicable en un MAYOR NÚMERO de ámbitos o contextos.

Considero que no existe ningún criterio objetivo para otorgar mayor grado de COBERTURA/APLICABILIDAD a la respuesta “a.” sobre la “b.”. Recuérdese que la respuesta “a.” resulta, desde el punto de vista del uso SEMÁNTICO habitual del castellano, LIMITATIVA Y REDUCCIONISTA, al haber ACOTADO DELIBERADAMENTE la definición del servicio que proporciona una AV a comprobar tan solo la VIGENCIA (cuya acepción en uso común del castellano alude al ámbito de la expiración temporal) de los certificados, en lugar de su VALIDEZ (y en un test, las acepciones semánticas son críticas).

Dada la existencia de ambigüedades semánticas y técnicas relativas a determinar cuál de las dos posibles RESPUESTAS VERDADERAS ( “a.” y “b.” ) puede considerarse de mayor cobertura aplicativa (“más válida”), con ausencia de criterios objetivos claros para discriminar entre ambas, considero que esta pregunta debería SER ANULADA.

logos
Usuario registrado
Mensajes: 20
Registrado: 21 May 2018, 15:02
Agradecido: 0
Agradecimiento recibido: 0

Re: Impugnar pregunta 56

Mensaje por logos »

Hola,
te aporto otro punto de vista. Has razonado tu argumento sobre la base de las capacidades de los productos software de PKI pero el enunciado hace referencia a los "prestadores de servicio de confianza cualificados", es decir, circunscribe el ámbito de la pregunta al de los prestadores de servicio cualificados que desarrolla el reglamento eIDAS. En este contexto, donde hay muy pocas AV pero muchas AC, no sería cierto afirmar que habitualmente ambas coinciden. Aquí puedes comprobar los prestadores cualificados: https://sedeaplicaciones.minetur.gob.es/Prestadores/

Suerte con la impugnación.

Un saludo

Responder

Volver a “PRIMER EXAMEN 2018”