Business Wear Documentación técnica - AC Camerfirmadocs.camerfirma.com/download/docs/Business_Wear-Documentacion_Tecnica.pdf · inteligente tradicional, compatible CCID ... (FS

Business Wear

Documentación técnica

Título documento:

Documentación técnica 17/06/2010

Versión 1.2

Producto:

Business Wear

Rev

isio

nes

2

Sumario

Revisiones .............................................................................................................................................. 3

Referencias ............................................................................................................................................ 3

BUSINESS WEAR ........................................................................................................................................ 4

HARDWARE .............................................................................................................................................. 4

LECTOR DE TARJETAS CRIPTOGRÁFICAS ....................................................................................................... 4

ESPECIFICACIONES TÉCNICAS ................................................................................................................ 4

DISPOSITIVO CRIPTOGRÁFICO TOUCH&SIGN2048 SSCD .............................................................................. 5

ESPECIFICACIONES TÉCNICAS DEL CHIP CRIPTOGRÁFICO ............................................................................ 5

SOFTWARE ............................................................................................................................................... 6

UNIVERSAL MIDDLEWARE ....................................................................................................................... 6

DISPOSITIVOS CRIPTOGRÁFICOS SOPORTADOS DE FORMA NATIVA ............................................................... 7

FUNCIONALIDADES SOPORTADAS EN LA INTERFAZ PKCS#11 ..................................................................... 7

FUNCIONALIDADES SOPORTADAS EN LA INTERFAZ CSP ............................................................................. 8

SISTEMAS OPERATIVOS SOPORTADOS .................................................................................................... 8

CARACTERÍSTICAS DEL MÓDULO CSP ..................................................................................................... 9

CARACTERÍSTICAS DEL MÓDULO PKCS#11 ........................................................................................... 11

FIRM PDF .......................................................................................................................................... 15

COMPATIBILIDAD ............................................................................................................................. 16

ESTÁNDARES DE REFERENCIA.............................................................................................................. 16

DISTRIBUCIÓN ................................................................................................................................. 17

OPERACIONES ................................................................................................................................. 17

EF [1] .................................................................................................................................................... 20

Título documento:


Versión 1.2

Producto:

Business Wear

Rev

isio

nes

3

Revisiones

Revisión Fecha Cambios Autor

1.0 28/04/2010 Primera redacción GGD

Referencias

REF [1] Certificación Common Criteria CWA14169 EAL4+ como “dispositivo seguro de creación de firma” de la tarjeta Touch&Sign2048

Título documento:


Versión 1.2

Producto:

Business Wear

Bu

sin

ess

Wea

r

4

BUSINESS WEAR Business Wear es la llave USB segura diseñada para ser el instrumento ideal para la gestión

completa de la identidad digital. Es fácil de usar, portátil y capaz de funcionar sin la instalación de

drivers y/o aplicaciones en el PC huésped. Basta con recordar un PIN y todas las funciones estarán

disponibles para el usuario.

Key4 integra una tarjeta inteligente en formato SIM, un lector de tarjeta inteligente y una memoria

que contiene todas las aplicaciones necesarias para el usuario, ya configuradas y listas para utilizar

con un elevado nivel de seguridad y con la ventaja de ser independientes del ordenador (despacho,

casa, cybercafé…) sin problemas de instalación.

Completamente adaptable, puede incorporar cualquier aplicación que se requiera.

HARDWARE

LECTOR DE TARJETAS CRIPTOGRÁFICAS El lector de tarjetas en formato SIM de Business Wear trabaja por defecto en modo HID (Human

Interface Device) lo que permite que sea detectado automáticamente por el sistema operativo, que

lo trata como un pendrive. De este modo, no necesita instalar ni configurar nada, y las aplicaciones

que porta simplemente funcionan. Alternativamente, se puede utilizar como un lector de tarjeta

inteligente tradicional, compatible CCID (que no requiere instalación en los sistemas operativos

actuales).

ESPECIFICACIONES TÉCNICAS

• Interfaz USB

• Compatible HID y CCID

• Led luminoso externo indica el estado del lector y de la memoria

• Lector/grabador de tarjetas microprocesadas ISO7816 1, 2, 3, 4 (protocolos T=0 y T=1)

• Soporta tarjetas de 1,8V, 3V, 5V MCU, con sistema interno de protección frente a

cortocircuitos.

• Compatible PC/SC, CSP (Cryptographic Service Provider, Microsoft) y API PKCS#11

• Soporta PPS (Protocol and Parameter Selection)

• Velocidad hasta 412.903 bps

• Compatibilidad y certificaciones: Microsoft WHQL, PC/SC, EMV Level 1, CE, FCC

Título documento:


Versión 1.2

Producto:

Business Wear

Har

dw

are

5

DISPOSITIVO CRIPTOGRÁFICO TOUCH&SIGN2048 SSCD El dispositivo Touch&Sign2048 ha sido diseñado para infraestructuras de clave pública (PKI) para la

firma electrónica.

La memoria del chip de 64KB, permite almacenar una elevada cantidad de información (fotos, datos

biométricos, etc.) y claves privadas (certificados).

Soporte el algoritmo RSA con claves de hasta 2048 bit, SHA-1 y SHA-256 para el hashing y AES-128

para el cifrado simétrico. El sistema operativo de la tarjeta cumple con las especificaciones PC/SC y

tiene una interfaz Microsoft CryptoAPI (CSP) y PKCS#11.

La plataforma empleada en el chip Touch&Sign2048 obtuvo la certificación Common Criteria EAL4+

en abril de 2008, por la institución acreditada Bundesamt für Sicherheit in der Informationstechnik,

requisito indispensable para ser considerado Dispositivo Seguro de Creación de firma según la

norma CWA 14169 (REF [1]).

ESPECIFICACIONES TÉCNICAS DEL CHIP CRIPTOGRÁFICO

• EEPROM 64KBytes

• Estructura de la memoria para aplicaciones y comandos ISO7816-4/8/9

• Número de serie unívoco

• ISO7816-1,-2,-3,-4,-5,-6,-8,-9

• Compatible PC/SC y Netlink PDC y HPC

• Protocolos de comunicación T=0 y T=1

• Algoritmo de criptografía AES128, DES ,3DES, RSA

• Algoritmo de clave pública RSA 1024/2048 bits

• Algoritmo de hash SHA1, SHA256

• Soporte nativo para monedero electrónico

• Certificación del Chip: CC EAL5+ PP 9806, BSI-PP-002-2001

• Certificación SO: CC EAL4+ BSI-PP-0006-2002 (CWA 14169 SSCD Type-3)

• Certificación Visa, Mastercard de la fábrica

• Mínimo de 500.000 ciclos de escritura / borrado

Título documento:

Documentación

Producto:

Business Wear

SOFTWARE

UNIVERSAL MIDDLEWARE

El Universal Middleware (en adelante UM) consiste en:

• Módulo de librería que expone una API compatible con la especificaci

• Módulo de sistema que expone una API compatible con la especificación Microsoft

Cryptographic Service Provider (CryptoSPI/2006).

• Módulo de sistema “almacén de certificado

importación automática de los certificados en el almacén “Personal” del usuario de

Windows.

Dichos módulos ofrecen al software que utilizan las diversas interfaces de programación la

posibilidad de utilizar las tarjetas in

Documentación técnica

Business Wear

IDDLEWARE El Universal Middleware (en adelante UM) consiste en:

Módulo de librería que expone una API compatible con la especificaci

Módulo de sistema que expone una API compatible con la especificación Microsoft

Cryptographic Service Provider (CryptoSPI/2006).

Módulo de sistema “almacén de certificados” que implementa un mecanismo de



posibilidad de utilizar las tarjetas inteligentes soportadas como tokens criptográficos.

17/06/2010

Versión 1.2

Soft

war

e

6

Módulo de librería que expone una API compatible con la especificación PKCS#11 v2.11

Módulo de sistema que expone una API compatible con la especificación Microsoft

s” que implementa un mecanismo de



teligentes soportadas como tokens criptográficos.

Título documento:


Versión 1.2

Producto:

Business Wear

Soft

war

e

7

DISPOSITIVOS CRIPTOGRÁFICOS SOPORTADOS DE FORMA NATIVA

• Incrypto34 V2 con filesystem: CNS + Firma electrónica + FullP11:

o Filesystem CNS conforme a las especificaciones CNS del CNIPA (v.1.1.3) (FS CNS)

o FileSystem de Firma electrónica con validez legal (FS DS-v1.0)

o FileSystem full compliant PKCS#11 (FS FullP11)

• Touch&Sign2048:

o Todos los filesystem soportados en la tarjeta Incrypto34v2 más:

� FileSystem full compliant PKCS#11 (FS FullP11), con objetos de 2048 bit

� FileSystem de Firma electrónica reconocida (FS DS-v2.0), con tres pares de

claves de 2048bit o con tres pares de claves de 1024bit más tres pares de

claves de 2048bit.

FUNCIONALIDADES SOPORTADAS EN LA INTERFAZ PKCS#11 Para el filesystem CNS:

• Firma electrónica y descifrado mediante las claves RSA de autenticación CNS

• Lectura y escritura del certificado de autenticación CNS

• Lectura y escritura del fichero de datos personales (PDATA) CNS

• Generación de par de claves RSA de autenticación CNS

• Borrado de objetos

Para el filesystem de Firma electrónica:

• Firma electrónica mediante la clave RSA de Firma electrónica reconocida

• Generación de un par de claves RSA de Firma electrónica reconocida

• Lectura y escritura de certificados de Firma electrónica reconocida


Para el filesystem Full P11:

• Firma electrónica y descifrado mediante la clave RSA

• Generación de un par de claves RSA

• Importación de pares de claves RSA

• Lectura y escritura de certificados


Para las tarjetas inteligentes gestionada mediante módulos PKCS#11 externos (*):



• Importación de pares de claves RSA

• Lectura y escritura de certificados

Título documento:


Versión 1.2

Producto:

Business Wear

Soft

war

e

8


(*) Las funcionalidades dependen del módulo PKCS#11 externo utilizado.

FUNCIONALIDADES SOPORTADAS EN LA INTERFAZ CSP Para el filesystem CNS:

• Firma electrónica y descifrado mediante la claves RSA de autenticación CNS

• Lectura y escritura del certificado de autenticación CNS

• Generación de un par de claves RSA de autenticación CNS

• Importación del certificado de autenticación CNS

Para el filesystem de Firma electrónica:

• Firma electrónica y descifrado mediante la clave RSA de Firma electrónica reconocida

• Generación de un par de claves RSA de Firma electrónica reconocida

• Lectura de certificados de Firma electrónica reconocida

• Asociación de un certificado a un par de claves de Firma electrónica reconocida

Para el filesystem Full P11:



• Lectura de certificados

• Asociación de un certificado a un par de claves

Para las tarjetas inteligentes gestionada mediante módulos PKCS#11 externos (*):



• Lectura de certificados

• Asociación de un certificado a un par de claves

(*) Las funcionalidades dependen del módulo PKCS#11 externo utilizado.

SISTEMAS OPERATIVOS SOPORTADOS

• Windows 32 bits

o Windows 2000

o Windows XP

o Windows Vista

o Windows Server 2003

Título documento:


Versión 1.2

Producto:

Business Wear

Soft

war

e

9

o Windows 7

• Windows 64 bits

o Windows Vista

o Windows Server 2003

o Windows 7

• Mac OS X, 10.4.x, 10.5.x y 10.6.x (Intel y PPC)

• Linux:

o Debian 3.x y 4.x

o Ubuntu desde 7.x

o Mepis

CARACTERÍSTICAS DEL MÓDULO CSP

• Librería compatible con las especificaciones CSP de Microsoft

• Funcionamiento del CSP limitado al uso en los siguientes contextos aplicativos

o Autenticación SSLv3 con Microsoft IE

o Funciones de firma avanzada para aplicaciones web

o Funciones de Firma electrónica reconocida

• Sistemas operativos sobre los cuales Bit4id garantiza el completo funcionamiento, y la

superación de baterías de pruebas propias prevBusiness Wearente al lanzamiento:

o Windows 2000, Windows XP, Windows Server 2003, Windows Vista y Windows 7

• Lanzamiento de librería en formato binario en la forma de librería de enlaces dinámicos DLL

• Aplicación con la cual Bit4id garantiza el completo funcionamiento, y la superación de

baterías de pruebas propias prevBusiness Wearente al lanzamiento:

o Microsoft Internet Explorer 6, 7 y 8

• Carga, de manera transparente para el usuario, de los certificados en el almacén “Personal”

al insertar la tarjeta en el lector.

FUNCIONES SOPORTADAS EN LA INTERFAZ CSP

• CryptGetProvParam (PP_NAME, PP_CONTAINER, PP_UNIQUE_CONTAINER)

• CryptSetProvParam (PP_SIGNATURE_PIN)

• CryptAcquireContext

• CryptReleaseContext

• CryptCreateHash

• CryptSetHashParam

• CryptGetHashParam (HP_ALGID, HP_HASHSIZE, HP_HASHVAL)

• CryptHashData,

• CryptDestroyHash

• CryptSignHash

• CryptGetUserKey

Título documento:


Versión 1.2

Producto:

Business Wear

Soft

war

e

10

• CryptDestroyKey

• CryptGetKeyParam (KP_CERTIFICATE)

• CryptExportKey (PUBLICKEYBLOB)

• CryptSetKeyParam (KP_CERTIFICATE)

• CryptGenKey (ALGID: RSA )

• CryptImportKey (SIMPLEBLOB)

CONTENEDOR POR DEFECTO DEL CSP Para el uso con aplicaciones de logon (por ejemplo el acceso a la estación de trabajo con la tarjeta

inteligente) el sistema operativo requiere la presencia en la tarjeta inteligente de un contenedor

por defecto.

El módulo CSP considera el primer contenedor que encuentra en la tarjeta como aquel por defecto.

Sin embargo, cada vez que mediante la interfaz CSP se importa un certificado que contiene las

extensiones X.509 especificas para smartcard logon, el contener correspondiente viene marcado

automáticamente como por defecto.

Internamente la librería crea un objeto dado PKCS#11 (CKA_CLASS=CKO_DATA) con atributo

CKA_LABEL “CSPSmartLogon” y en cuyo contenido (CKA_VALUE) coincide con el identificativo del

contenedor por defecto. Es posible actualizar o crear manualmente este objeto para modificar el

contenedor por defecto, usando la interfaz PKCS#11 del UM.

Cuando dicho objeto no existe, el comportamiento es el siguiente: se busca un certificado con

CKA_ID igual al valor “SmartLogon”; si no existe, se selecciona el primer certificado que tiene las

extensiones para smartcard logon. Si tampoco existe un certificado así, el primero que se encuentra

pasar a ser por defecto.

CREACIÓN DE DIVERSOS TIPOS DE OBJETOS (CNS, FIRMA ELECTRÓNICA RECONOCIDA, ETC.) Revisar el párrafo siguiente “Creación de diversos tipos de objetos (CNS, Firma electrónica

reconocida, FullP11), con la diferencia que cuando se habla de CKA_ID/CKA_LABEL, para el CSP se

entiende el Container Name.

PECULIARIDAD DEL UM Y NO CONFORMIDAD CON LAS ESPECIFICACIONES CSP/CRYPTOAPI El UM tiene un límite de 39 caracteres para el Container Name. En el caso que se llame a la función

CryptAcquireContext() especificando un Container Name de longitud superior a 39, se devolverá el

error NTE_BAD_KEYSET.

Título documento:


Versión 1.2

Producto:

Business Wear

Soft

war

e

11

CARACTERÍSTICAS DEL MÓDULO PKCS#11

• Librería compatible con las especificaciones PKCS#11 v2.11 de RSA

• Funcionamiento del PKCS#11 limitado al uso en los siguientes contextos aplicativos

o Autenticación SSLv3 con Mozilla Firefox 3

o Funciones de Firma electrónica avanzada para aplicaciones web

o Funciones de Firma electrónica reconocida

o Función de enrollment de credenciales CNS, de firma electrónica reconocida

• Sistemas operativos sobre los cuales Bit4id garantiza el completo funcionamiento, y la

superación de baterías de pruebas propias prevBusiness Wearente al lanzamiento:

• Windows 2000 SP4, Windows XP SP2, Windows Server 2003, Windows Vista, Windows 7

• Lanzamiento de librería en formato binario en la forma de librería de enlaces dinámicos DLL

• Aplicación con la cual Bit4id garantiza el completo funcionamiento, y la superación de

baterías de pruebas propias prevBusiness Wearente al lanzamiento:

o Mozilla Firefox 3

FUNCIONE SOPORTADAS EN LA INTERFAZ PKCS#11

• C_Initialize

• C_Finalize

• C_GetInfo

• C_GetSlotList

• C_GetSlotInfo

• C_GetTokenInfo

• C_GetMechanismList

• C_GetMechanismInfo

• C_OpenSession

• C_CloseSession

• C_CloseAllSessions

• C_GetSessionInfo

• C_Login (CKU_USER, CKU_SO)

• C_Logout

• C_SetPIN

• C_FindObjectsInit

• C_FindObjects

• C_FindObjectsFinal

• C_GetAttributeValue

• C_GetObjectSize

• C_SignInit (mecanismos RSA_PKCS y RSA_SHA1_PKCS)

• C_Sign

• C_DecryptInit (mecanismo RSA_PKCS)

• C_Decrypt

Título documento:


Versión 1.2

Producto:

Business Wear

Soft

war

e

12

• C_DigestInit (mecanismo SHA_1)

• C_Digest

• C_DigestUpdate

• C_DigestFinal

• C_CreateObject

• C_GenerateKeyPair ( mecanismo RSA_PKCS_KEY_PAIR_GEN)

• C_SetAtttributeValue

• C_DestroyObject

MECANISMOS SOPORTADOS EN LA INTERFAZ PKCS#11

• CKM_RSA_PKCS_KEY_PAIR_GEN

• CKM_RSA_PKCS (firma, descifrado)

• CKM_RSA_SHA1_PKCS (firma)

• CKM_SHA_1 (digest)

CREACIÓN DE DIVERSOS TIPOS DE OBJETOS (CNS, FIRMA ELECTRÓNICA RECONOCIDA, FULLP11) El UM reserva los valores de algunos atributos para determinar el filesystem sobre el cual crear los

objetos:

• Cuando un CKA_ID o un CKA_LABEL de una clave RSA o un certificado tiene como valor

“CNS0”, se crea un objeto en el filesystem CNS. En el caso que el objeto a crear ya exista la

librería devuelve el error CKR_DEVICE_MEMORY.

• Cuando se crea un objeto de datos con CKA_LABEL o CKA_APPLICATION igual a “PDATA”, se

graba el fichero de datos personales CNS. En el caso que el objeto a crear ya exista la

librería devuelve el error CKR_DEVICE_MEMORY.


“DS0”, “DS1”, “DS2” se selecciona el filesystem de firma electrónica reconocida de 1024

bits, usando el slot 0, 1 o 2 respectivamente. En el caso que el objeto a crear ya exista la

librería devuelve el error CKR_DEVICE_MEMORY. No es posible importar claves RSA

utilizando dichos valores reservados


“DS3”, “DS4”, “DS5” se selecciona el filesystem de firma electrónica reconocida de 2048

bits, usando el slot 3, 4 o 5 respectivamente. En el caso que el objeto a crear ya exista la

librería devuelve el error CKR_DEVICE_MEMORY. No es posible importar claves RSA

utilizando dichos valores reservados


“DS” se selecciona el filesystem de firma electrónica reconocida y la librería utiliza el primer

slot disponible con un objeto de este tipo. Para los objetos de 1024 bits se utilizan los slots

0, 1 y 2; para los objetos de 2048 bits se utilizan los slots 3, 4 y 5. En el caso de que existan

Título documento:


Versión 1.2

Producto:

Business Wear

Soft

war

e

13

slots disponibles la librería devuelve el error CKR_DEVICE_MEMORY. No es posible importar

claves RSA utilizando dichos valores reservados, pero si generar pares de claves.

• En todos los demás casos, los objetos son creados en el filesystem FullP11.

• Si el filesystem CNS no existe, los objetos correspondientes serán creados en el filesystem

FullP11

• Si el filesystem de firma electrónica reconocida no existe, los objetos correspondientes

serán creados en el filesystem FullP11

• El filesystem PKCS#11 soporta claves RSA de 2048 bits. Si se intenta generar una clave de

2048 bits en el filesystem CNS la librería devolverá un error

• El filesystem DS-v2.0 soporta claves RSA de 2048 bits. Si se intenta generar una clave de

2048 bits en el filesystem DS-v1.0 la librería devolverá un error

PECULIARIDAD DEL UM Y NO CONFORMIDAD CON LAS ESPECIFICACIONES PKCS#11 La función C_Initialize() devuelve siempre CKR_OK incluso si la librería ya ha sido inicializada, por

motivos de compatibilidad con aplicaciones que no cumplen el estándar al 100%. Para saber si la

librería ya ha sido inicializada se puede usar la función C_GetInfo() que devuelve

CKR_CRYPTOKI_NOT_INITIALIZED.

El filesystem CNS y de firma electrónica reconocida no permiten almacenar en la tarjeta inteligente

todos los atributos PKCS#11. Algunos atributos, entre ellos CKA_ID y CKA_LABEL, volverán a sus

valores por defecto una vez sea extraída la tarjeta del lector (o bien se haya descargado la librería

de la memoria).

Cuando los atributos CKA_SUBJECT, CKA_ISSUER, CKA_SERIAL_NUMBER de un certificado no sean

almacenados (porque no se especifican durante la creación o por el límite del filesystem), sus

respectivos valores serán obtenidos del propio certificado.

La librería asocia el PIN principal el usuario CKU_USER y el PUK al usuario CKU_SO. Debido a que la

especificación PKCS#11 no prevé la posibilidad de cambiar o desbloquear PIN adicionales, el PIN y el

PUK de firma electrónica reconocida se gestionan siempre paralelamente a PIN y PUK principal. En

base a la configuración de la librería, cada vez que se cambia PIN o PUK, o se desbloquea el PIN

mediante el PUK podrá solicitarse al usuario, a través de la interfaz gráfica, los valores de PIN y PUK

de firma electrónica reconocida.

Para cambiar el PIN es necesario hacer login con el usuario CKU_USER y usar la función C_SetPIN().

Para cambiar el PUK es necesario hacer login con el usuario CKU_SO y usar la función C_SetPIN().

Para activar el PIN de firma electrónica reconocida es necesario hacer login con el usuario CKU_SO y

usar la función C_InitPIN().

Título documento:


Versión 1.2

Producto:

Business Wear

Soft

war

e

14

Para desbloquear el PIN, o restaurarlo a un valor nuevo, es necesario hacer login con el usuario

CKU_SO y usar la función C_InitPIN().

Si el PIN de firma electrónica reconocida ya ha sido inicializado, la función C_InitPIN() desbloqueara

el PIN, principal y de firma electrónica reconocida. En base a la configuración de la librería podrá

solicitarse al usuario, a través de la interfaz gráfica, los valores de PUK y PIN de firma electrónica

reconocida.

La ausencia del FLAG CKF_USER_PIN_INITIALIZED en la estructura CK_TOKEN_INFO devuelta por la

función C_GetTokenInfo() indica que es necesario volver a llamar a la función C_InitPIN() para

activar el PIN de firma electrónica reconocida.

C_Sign() soporta la firma RSA RAW: si recibe un bloque de longitud igual a la longitud del módulo de

la clave, no se efectúa el padding PKCS#1 para la firma. La funcionalidad está disponible solamente

si la clave seleccionada soporta la firma RAW (por ejemplo las claves de firma electrónica

reconocida no la soportan). En tal caso, la librería puede devolver el error CKR_FUNCTION_FAILED,

CKR_DEVICE_ERROR o CKR_GENERAL_ERROR.

Por restricciones del filesystem de firma electrónica reconocida, no es posible importar pares de

claves RSA, únicamente generarlas. En el caso de intentar importar claves RSA de firma electrónica

reconocida en el filesystem DS, se devolverá desde la función C_CreateObject() el error

CKR_TEMPLATE_INCONSISTENT.

La función C_GetTokenInfo() no devuelve información sobre el espacio libre restante por un límite

de la tarjeta inteligente, el valor devuelto es _UNAVAILABLE_INFORMATION.

Por motivos de compatibilidad con software preexistente es posible hacer login como SO incluso en

sesiones ReadOnly. La sesión será transformada internamente en Read/Write. Una vez realizado el

logoff, la sesión seguirá siendo Read/Write.

La librería soporta objetos RSA de 2048 bits en los filesystem FullP11 y DS, cuando la tarjeta es una

Touch&Sign2048. Por tanto, el mechanism_info relativo al mecanismo

CKM_RSA_PKCS_HEY_PAIR_GEN devolverá el valor 2048 en el campo “ulMaxKeySize”. Si se intenta

generar claves RSA 2048 en otro filesystem la librería devolverá el error

CKR_ATTRIBUTE_VALUE_INVALID.

Título documento:


Versión 1.2

Producto:

Business Wear

Soft

war

e

15

FIRM PDF Firma4 NGes una potente aplicación, que se integra perfectamente con los sistemas operativos

Windows, Linux y Mac OS X.

Cumple con la legislación vigente en Europa, en particular con las nuevas directivas, y gestiona de

manera totalmente transparente e intuitiva los certificados electrónicos emitidos por las

Autoridades de Certificación reconocidas en Europa.

Firma4 NGes fácil. Dispone de un interfaz gráfico con iconos, así como la funcionalidad de

Drag&Drop.

Firma4 NGes versátil. Es compatible con los sistemas operativos más conocidos, así como con

varios dispositivos de firma.

Firma4 NGes flexible. Permite la configuración de parámetros predefinidos.

Firma4 NGno es intrusivo. No modifica los registros y no crea ningún tipo de archivo temporal en el

sistema.

Firma4 NGes portátil. No requiere componentes externos, por lo que puede ser utilizado desde

cualquier dispositivo portátil.

Firma4 NGes seguro. Los controles sobre la consistencia de los componentes bloquean malware y

spyware.

Firma4 NGes actualizable. La descarga automática de nuevas versiones mantiene continuamente

actualizado el software.

Firma4 NGes interoperable. Mediante el cumplimiento de los estándares y normas permite plena

interoperabilidad.

Firma4 NGes completo. A través de todas las funciones previstas en materia de firma electrónica y

cifrado, respeta los reglamentos y estándares internacionales.

Título documento:


Versión 1.2

Producto:

Business Wear

Soft

war

e

16

COMPATIBILIDAD Respeta la legislación vigente en España y en Europa.

Firma4 NGfunciona en los siguientes sistemas operativos:

• Microsoft Windows Windows 2000, Windows XP, Windows Vista, Windows 7

• Linux Ubuntu Karmic Koala, Fedora constantine, openSUSE, Mandriva, Debian Lenny

• MacOsX Tiger, Leopard, Snow Leopard

A través el uso del componente “Universal Middleware”, permite utilizar los siguientes dispositivos:

• PKCS#11

• CSP

• Tokend

Permite construir y gestionar los siguientes tipos y formatos criptográficos:

• Sobres PKCS#7, Acrobat PDF y XML, en los formatos CAdES, PAdES y XAdES, de tipo

attached y dettached y con codificaciones DER y BASE64.

• Claves RSA de longitud 1024, 2048 y 4096.

• Algoritmos SHA1 y SHA256.

• Sellos de tiempo en los formatos m7m y Timestampeddata de tipo attacched y detached.

ESTÁNDARES DE REFERENCIA

• x.509, ETSI TS 101 862 V1.3.2 (perfil de los certificados)

• ETSI TS 101 861 V1.2.1 (validación temporal)

• HTTP, LDAP (validación CRL)

• PKCS#7 ver. 1.5 RFC 2315, CAdES, PAdES, XAdES

• ASN.1-DER (ISO 8824, 8825) y BASE64 (RFC 1421) (Sistemas de codificación)

• Timestampeddata RFC5544

Título documento:


Versión 1.2

Producto:

Business Wear

Soft

war

e

17

DISTRIBUCIÓN

Firma4 NGno utiliza componentes externos y puede utilizarse sin necesidad de ninguna instalación.

Por este motivo, puede utilizarse de manera autónoma e independiente prevBusiness Wearente

cargado dentro de Business Wear.

OPERACIONES Firma4 NGpermite realizar las siguientes operaciones criptográficas:

• Firma electrónica de archivos

• Validación de firmas

• Cifrado de archivos

• Descifrado de archivos

• Solicitud, ejecución y verificación de sellado de tiempo

Adicionalmente, permite la gestión del dispositivo de firma (cambio y desbloqueo del PIN)

FIRMA ELECTRÓNICA La firma electrónica se puede aplicar a cualquier tipo de documento electrónico a través de la clave

privada presente en cualquiera de los dispositivos conectados.

Firma4 NG permite aplicar firmas electrónicas reconocidas (mediante el uso de la clave privada y

siguiendo el procedimiento descrito en las directivas Europeas en materia de firma electrónica).

Así mismo, también es posible realizar firmas múltiples ilimitadas, bien sean contrafirmas

(mediante la firma de una firma anterior) o de tipo paralelo (mediante la firma al mismo nivel).

La operación de firma puede realizarse arrastrando el archivo al icono de firma y siguiendo las

instrucciones en pantalla.

Firma4 NG permite así mismo realizar operaciones de firma masiva (varios archivos)*

*Opción disponible sólo bajo demanda específica.

Con Firma4 NG pueden crearse archivos firmados en PKCS#7, PDF y XML con formatos CAdES,

XAdES y PAdES. Los tipos de firmas pueden ser Attacched o Dettacched con codificación DER o

Título documento:


Versión 1.2

Producto:

Business Wear

Soft

war

e

18

BASE64. Así mimos, la longitud de las claves RSA pueden ser de 1024, 2048 y 4096 bits con

tecnología SHA1 y SHA256.

VALIDACIÓN Firma4 NG permite verificar firmas electrónicas.

La operación de verificación se realiza a través de los pasos siguientes:

• Comprueba la integridad del documento

• Comprueba la confianza en el certificado del firmante

• Comprueba la caducidad y el estado de revocación del certificado del firmante

La comprobación de la lista de revocación se realiza mediante consulta a la CRL, utilizando el

protocolo HTTP y LDAP, permitiendo la gestión de CDP múltiples. Las CRLs se comprueban off-line

(a nivel local, si es válida), y se actualizan automáticamente.

Si la CA lo permite, la comprobación se realiza mediante el protocolo OCSP (Online Certificate

Status Protocol). Este protocolo permite realizar comprobaciones en tiempo real, dando al usuario

una respuesta rápida, fácil y fiable de validación del certificado.

Así mismo, también es posible la validación de firmas múltiples ilimitadas (contrafirmas y paralelas)

en PKCS#7, PDF y XML con formatos CAdES, XAdES y PAdES.

La operación de validación puede hacerse arrastrando el archivo al icono adecuado y siguiendo las

instrucciones en la pantalla.

CIFRADO Firma4 NG permite cifrar archivo con el fin de:

• Proteger el documento para uso personal (utilizando la propia clave pública)

• Transmitir datos reservados (cifrando el documento utilizando claves públicas asociadas a

los certificados de los destinatarios).

Así mismo, también es posible realizar operaciones de cifrado múltiple (para varios destinatarios

simultáneamente).

El usuario dispone de la posibilidad de destruir el archivo original, es decir, borrarlo físicamente del

soporte de memoria utilizando un procedimiento singular que no permite su recuperación.

La operación de cifrado puede hacerse arrastrando el archivo al icono adecuado y siguiendo las


Firma4 NG permite cifrar masivamente un conjunto de archivos.

Título documento:


Versión 1.2

Producto:

Business Wear

Soft

war

e

19

DESCIFRADO Firma4 NG permite a través de la clave privada, descifrar documentos.

La operación de descifrado puede hacerse arrastrando el archivo al icono adecuado y siguiendo las


Firma4 NG permite descifrar masivamente un conjunto de archivos.

SELLOS DE TIEMPO

Firma4 NG permite añadir sellos de tiempo a cualquier documento, solicitándolos a la TSA

configurada en la aplicación.

Adicionalmente, ofrece la posibilidad de validar y visualizar la marca de tiempo. Esta operación

puede realizarse arrastrando el archivo al icono adecuado y siguiendo las instrucciones en la

pantalla.

Firma4 NG permite realizar solicitudes de sellado de tiempo masivo sobre varios archivos.

A través de Firma4 NG es posible la generación de peticiones de sellado de tiempo con hash en

SHA1 y SHA256 (sha1withRSAEncryption y sha256withRSAEncryption), transmisión y recepción de

la solicitud a la TSA mediante protocolo HTTP autenticado (mediante userid y password) y no

autenticado (RFC3161).

Así mismo, también soporta el formato TimeStampedData.

ARCHIVO DE CERTIFICADOS Firma4 NG utiliza un archivo de los certificados locales (“Certificates Stores”) para las operaciones

de control durante la validación y como agenda para el cifrado de archivos a varios destinatarios.

La aplicación permite al usuario actualizar la agenda.

Título documento:


Versión 1.2

Producto:

Business Wear

EF [

1]

20

EF [1]

Documents

Business Wear Documentación técnica - AC Camerfirmadocs.camerfirma.com/download/docs/Business_Wear-Documentacion_Tecnica.pdf · inteligente tradicional, compatible CCID ... (FS