CertCo (servicios financieros)

CertCo fue una startup de criptografía financiera derivada de Bankers Trust en la década de 1990. La empresa fue pionera en un enfoque de gestión de riesgos para los servicios criptográficos. Tenía oficinas en la ciudad de Nueva York y Cambridge , Massachusetts . Ofrecía tres productos principales basados en infraestructura de clave pública (PKI): un sistema de garantía de identidad (seguimiento y aseguramiento de la confianza en las afirmaciones de identidad en las transacciones financieras); un sistema de pago electrónico (conocido internamente como Adquirir); y un respondedor de Protocolo de estado de certificado en línea (OCSP) para validar certificados de clave pública X.509 . Salió del negocio en la primavera de 2002 sin haber encontrado nunca un mercado amplio para sus productos a pesar de haber presentado una serie de patentes y haber desarrollado nueva tecnología.

Historia

Historia temprana

CertCo fue fundada en marzo de 1994 por Frank Sudia] y Peter Freund como un departamento bancario interno conocido como BT Electronic Commerce (BTEC). Se separó en noviembre de 1996 como CertCo con varios inversores financieros y estratégicos externos en una transacción gestionada por Goldman Sachs . ^[1]

Algunos de sus primeros empleados más conocidos fueron Rich Ankney, Ed Appel, Alan Asay, Ernest Brickell, David Kravitz (inventor del algoritmo de firma digital ), Yair Frankel, Dan Geer , CT Montgomery, Jay Simmons, Nanette Di Tosto, Paul Turner, Mark Jefferson y Moti Yung .

Al principio, obtuvo la licencia de las patentes de custodia de claves "Fair Cryptosystem" del profesor Silvio Micali del MIT y anunció planes para implementar un "Sistema de custodia de claves comercial". A partir de entonces, el clima de políticas para la custodia de claves se volvió negativo, el interés del mercado disminuyó y el sistema nunca se construyó. ^[2]^[3]^[4]

Visión

CertCo y Bankers Trust promovieron la creación de un consorcio bancario para actuar como una autoridad certificadora PKI para el comercio global, lo que llevó al lanzamiento en 1999 de Identrus, que luego pasó a llamarse Identrust . Sin embargo, los bancos se negaron a otorgar licencias para la tecnología de CertCo, optando en cambio por un enfoque neutral con respecto al proveedor. A diferencia del enfoque neutral del proveedor, Certco promovió un enfoque de gestión de riesgos para PKI con seguros a nivel de transacción y fue pionero en un enfoque innovador y visionario para la autenticación en el sector financiero: primero, una autoridad de certificación distribuida proactivamente segurafue diseñado y construido (si se hubiera convertido en un estándar, habría evitado un solo punto de control sobre las autoridades de certificación, y habría evitado la coerción por parte de ese punto de control, y se habría utilizado para prevenir ataques a la infraestructura de confianza, como el en DigiNotar ). En segundo lugar, se promovió la autenticación sólida de los clientes que emplean PKI y firmas digitales, y si se hubiera utilizado ampliamente, esto habría reducido el efecto de los ataques de phishing , también previstos como una posible amenaza para las transacciones financieras. ^[5]^[6]

El cliente comercial más notable de CertCo fue SETCo, ^[7] la compañía operadora del protocolo de seguridad de tarjetas de crédito para transacciones electrónicas Visa - MasterCard Secure , al que proporcionó tecnología de autoridad de certificación , que fue la primera implementación de firma basada en criptografía Threshold distribuida . ^[8]

Fracaso empresarial

CertCo agotó todo su dinero, nunca encontró un mercado amplio para sus productos y cerró en la primavera de 2002, luego de reducciones sustanciales en el personal técnico en noviembre y diciembre de 2001, debido, en parte, a la falta de disponibilidad de inversionistas después del 11 de septiembre. ataques .

Contribuciones técnicas

CertCo realizó diversas contribuciones a los campos de la criptografía y la infraestructura de clave pública a través de publicaciones científicas y patentes. Sus patentes más citadas por tema son:

Patente de EE. UU. 5,659,616 Certificados de atributos
Patente de EE. UU. 5,825,880 Autoridad certificadora
Patente de EE. UU. 5.995.625 Gestión de derechos digitales
Patente de EE. UU. 5,903,882 Garantía de identidad
Patente de EE. UU . 5,799,086 Depósito de claves
Patente de EE. UU. 6.029.150 Sistema de pago

Otras solicitudes de patente incluyen

Patente de EE. UU. 6,411,716 Cambio de fragmentos de clave en un sistema de firma digital
Solicitud de EE. UU. 20,030,163,686 Gestión ad-hoc de credenciales, relaciones de confianza e historial de confianza

Estándares y política

El personal de CertCo contribuyó a una serie de organismos de normalización y proyectos de políticas, que incluyen:

Protocolo de estado de certificado en línea IETF OCSP
Directrices de firma digital de la American Bar Association ] ^[9]
ANSI X9.30 El algoritmo de firma digital (DSA) ^[10]
ANSI X9.31 Criptografía de clave pública reversible (rDSA) (más conocida como RSA ) ^[11]
Certificados de atributo ANSI X9.45 ^[12]
Gestión de certificados ANSI X9.57 para servicios financieros ^[13]

Referencias

^ "FW Sudia Consulting" . www.fwsudia.com .
^ Sudia, Frank. "Sistema de custodia de claves privadas" . Folleto de CertCo SecureKEES .
^ "Una taxonomía para sistemas de cifrado de custodia de claves" . 16 de noviembre de 2006. Archivado desde el original el 16 de noviembre de 2006.
^ "Los riesgos de" recuperación de claves "," depósito de claves "y cifrado de" terceros de confianza "- 1998" . 14 de junio de 2007. Archivado desde el original el 14 de junio de 2007.
^ http://www.fdic.gov/bank/analytical/regional/ro19983q/sf/infocus3.html El sistema de pago: problemas emergentes (FDIC)
^ "CertCo proporciona seguridad para transacciones de alto valor" . PRNewswire. 10 de abril de 2001.
^ "Nuevo grupo para supervisar SET" . CNet. Mayo de 1997.
^ "CertCo / Spyrus se hizo como Don Crypto. Empresas elegidas por Visa y MasterCard como emisores de identificación digital de nivel superior" . 20 de mayo de 1997.
^ "Sección de derecho de ciencia y tecnología - Sección de derecho de ciencia y tecnología" (PDF) . www.abanet.org .
^ ASCX9. "ANSI X9.30-1: 1997 Criptografía de clave pública utilizando algoritmos irreversibles - Parte 1: El algoritmo de firma digital" . webstore.ansi.org .
^ "Tienda web ANSI" .
^ "Tienda web ANSI" .
^ "Tienda web ANSI" .

[1] "FW Sudia Consulting" . www.fwsudia.com .

[2] Sudia, Frank. "Sistema de custodia de claves privadas" . Folleto de CertCo SecureKEES .

[3] "Una taxonomía para sistemas de cifrado de custodia de claves" . 16 de noviembre de 2006. Archivado desde el original el 16 de noviembre de 2006.

[4] "Los riesgos de" recuperación de claves "," depósito de claves "y cifrado de" terceros de confianza "- 1998" . 14 de junio de 2007. Archivado desde el original el 14 de junio de 2007.

[5] ttp://www.fdic.gov/bank/analytical/regional/ro19983q/sf/infocus3.html El sistema de pago: problemas emergentes (FDIC)

[6] "CertCo proporciona seguridad para transacciones de alto valor" . PRNewswire. 10 de abril de 2001.

[7] "Nuevo grupo para supervisar SET" . CNet. Mayo de 1997.

[8] "CertCo / Spyrus se hizo como Don Crypto. Empresas elegidas por Visa y MasterCard como emisores de identificación digital de nivel superior" . 20 de mayo de 1997.

[9] "Sección de derecho de ciencia y tecnología - Sección de derecho de ciencia y tecnología" (PDF) . www.abanet.org .

[10] ASCX9. "ANSI X9.30-1: 1997 Criptografía de clave pública utilizando algoritmos irreversibles - Parte 1: El algoritmo de firma digital" . webstore.ansi.org .

[11] "Tienda web ANSI" .

[12] "Tienda web ANSI" .

[13] "Tienda web ANSI" .

[1]