KeyOne - Familia de productos - safelayer.com · manera, sin el permiso de Safelayer Secure Communications, S.A. Microsoft, Windows, NT, Access y SQL-Server son marcas registradas

KeyOne 4.0

Familia de productos

© Copyright 1999-2014 Safelayer Secure Communications, S.A. Todos los derechos reservados.

KeyOne - Familia de productos

Este documento, al igual que el software descrito en él, se proporciona bajo licencia y puede utilizarse y copiarse sólo de acuerdo con las condiciones de dicha licencia. El contenido de este documento se proporciona a modo informativo. Safelayer Secure Communications, S.A. no asume responsabilidad alguna por errores o incongruencias que puedan aparecer en este documento. El contenido de este documento está sujeto a cambios sin aviso previo.

El software registrado que acompaña este documento está dirigido al usuario final para ser utilizado únicamente conforme al Acuerdo de Licencia de Usuario Final, que el usuario debe leer atentamente antes de utilizar el software. Salvo en lo señalado por dicha licencia, no se autoriza la copia, reproducción o almacenamiento de parte alguna de este documento de ninguna manera o por ningún medio, electrónico, mecánico, por grabación, o de ninguna otra manera, sin el permiso de Safelayer Secure Communications, S.A.

Microsoft, Windows, NT, Access y SQL-Server son marcas registradas de Microsoft Corporation. Netscape y Netscape Navigator son marcas de Netscape Communications Corporation. UNIX es una marca registrada autorizada exclusivamente por X/Open Company, Ltd. Oracle es una marca registrada de Oracle Corporation. Pentium es una marca de Intel Corporation. nCipher y nFast son marcas de nCipher Corporation Limited. El resto de los productos o nombres son marcas de sus respectivos propietarios.

Safelayer Secure Communications, S.A. Teléfono: +34 93 508 80 90 Fax: +34 93 508 80 91 Web: www.safelayer.com Email: [email protected]

Código doc AD98985E

Versión doc 2.30 (07-abr-2014)

http://www.safelayer.com/�

mailto:[email protected]�

AD98985E 2.31

WWW.SAFELAYER.COM

KeyOne 4.0 Familia de productos

3

CONTENIDO

1 – La tecnología PKI .......................................................................................................................... 7 Servicios de seguridad .................................................................................................................................. 7 Entidades de una PKI ..................................................................................................................................... 8

Entidades de confianza 8 Directorio 10 Entidades Finales 10

Beneficios únicos de la PKI ......................................................................................................................... 10 Gobierno 10 Sanidad 11 Banca 11 Defensa 11 Empresa 11

2 – KeyOne de Safelayer ................................................................................................................. 13 Soluciones KeyOne ...................................................................................................................................... 13

Gestión de certificados digitales 13 Validación de certificados digitales 14 Sellado electrónico de tiempo 14 Pasaporte-e 14

Beneficios de las soluciones KeyOne ........................................................................................................ 14 Gama completa de soluciones 15 Facilidad de implantación y uso 15 Gestión automática del ciclo de vida de los certificados 15 Cumplimiento de estándares e interoperabilidad 15 Escalabilidad y modularidad 15 Seguridad y control 15

Arquitectura KeyOne ................................................................................................................................... 16 KeyOne CA 16 KeyOne XRA 17 KeyOne LXRA 17 KeyOne VA 17 KeyOne TSA 18

Sistema KeyOne ........................................................................................................................................... 18 Servidor de aplicaciones 19 Sistema de seguridad común 19 Consola de administración gráfica 19

3 – Gestión de certificados .............................................................................................................. 21 KeyOne CA ................................................................................................................................................... 21

Componentes adicionales 22 Gestión de claves privadas ........................................................................................................................ 22 Integración .................................................................................................................................................... 23

Integración con el sistema de registro 23 Integración con el sistema de validación 23

Modelo de intercambio de lotes ............................................................................................................... 24 Tipos de lote 24 Beneficios del modelo de lotes 25

Perfiles de certificado .................................................................................................................................. 25 Definición de perfiles 26

AD98985E 2.31 La tecnología PKI

WWW.SAFELAYER.COM


4

4 – Sistema de registro ..................................................................................................................... 27 KeyOne XRA .................................................................................................................................................. 27 KeyOne LXRA ................................................................................................................................................ 28 Modelos de registro ..................................................................................................................................... 28

Registro presencial 29 Registro remoto 30 Registro automático 30

Generación de claves ................................................................................................................................ 30

5 – Automatización de la gestión de certificados ........................................................................ 31 Automatización en entornos Microsoft .................................................................................................... 31 Automatización para dispositivos de red ................................................................................................ 32

6 – Almacenamiento y recuperación de claves .......................................................................... 33 KeyOne KA .................................................................................................................................................... 33 Integración con las políticas de certificación ........................................................................................ 33

7 – Generación de listas de revocación ....................................................................................... 35 KeyOne CRLA ............................................................................................................................................... 35 Perfiles de CRL .............................................................................................................................................. 35

8 – Validación de certificados ........................................................................................................ 37 KeyOne VA .................................................................................................................................................... 37 Fuentes de información .............................................................................................................................. 38 Etapas de validación .................................................................................................................................. 38

9 – Sellado de tiempo ...................................................................................................................... 41 KeyOne TSA ................................................................................................................................................... 41 Trazas de sello de tiempo ........................................................................................................................... 42

10 – Alta disponibilidad y capacidad de carga ........................................................................... 43 Configuración del entorno en alta disponibilidad ................................................................................. 44 Soporte KeyOne para alta disponibilidad ............................................................................................... 44

Transaccionalidad 44 Acceso compartido al material criptográfico 45 Monitorización y estadísticas 45 Servicio de operación remota 45

11 – Sistema de seguridad .............................................................................................................. 47 Sistema de control de acceso................................................................................................................... 47

Roles de usuario 48 Sistema de protección de datos ............................................................................................................... 49

12 – Registro de eventos .................................................................................................................. 51 Registro automático .................................................................................................................................... 51

Categorías de evento 52 Registro manual ........................................................................................................................................... 52 Registro de emergencia ............................................................................................................................. 52

13 – Flujo de trabajo configurable .................................................................................................. 53 Librerías de componentes .......................................................................................................................... 54 Ejecución del flujo de trabajo mediante servicios web ........................................................................ 55

Ejemplo: ejecución del flujo de registro 56

14 – Especificaciones técnicas ....................................................................................................... 59


WWW.SAFELAYER.COM


5

Componentes ............................................................................................................................................... 59 Herramientas de integración ..................................................................................................................... 60 Plataformas ................................................................................................................................................... 60 Requisitos de operación ............................................................................................................................. 60 Gestión de roles y usuarios.......................................................................................................................... 60 Registro de eventos ..................................................................................................................................... 61 Generación de claves y certificados ....................................................................................................... 61

Generación de claves y certificados de usuario 61 Generación de claves y certificados de servidor 62

Gestión de claves ........................................................................................................................................ 63 Copia y recuperación 63 Revocación 63

Personalización de productos ................................................................................................................... 63 Estándares ..................................................................................................................................................... 63

AD98985E 2.31

WWW.SAFELAYER.COM


7

CAPÍTULO 1

La tecnología PKI

Servicios de seguridad .................................................................................................................................. 7 Entidades de una PKI ..................................................................................................................................... 8

Entidades de confianza 8 Directorio 10 Entidades Finales 10

Beneficios únicos de la PKI ......................................................................................................................... 10 Gobierno 10 Sanidad 11 Banca 11 Defensa 11 Empresa 11

Internet y las relaciones electrónicas se han establecido como la nueva forma de relacionarse. Para ello, utilizan una nueva tecnología que automatiza transacciones mediante mecanismos electrónicos y prescinde de los documentos en soporte papel.

La tecnología de clave pública gestiona adecuadamente los riesgos para garantizar la seguridad de las transacciones electrónicas realizadas en redes abiertas e inseguras como Internet. Por ello, se trata de una tecnología fundamental para:

• Mejorar los procesos de negocio, al optimizar tiempos, gestionar errores y reducir costes.

• Mejorar la satisfacción de clientes y usuarios, al permitir relaciones desde cualquier lugar y en cualquier momento.

Servicios de seguridad Las transacciones electrónicas sólo son posibles cuando pueden identificarse de forma fiable a las personas o máquinas implicadas. En este contexto, la tecnología de clave pública es la herramienta más segura de identificación electrónica y protección de datos.

Así, mediante el uso de certificados digitales (equivalentes a tarjetas de identidad electrónicas), la infraestructura de clave pública ofrece un conjunto de servicios que reducen drásticamente los riesgos de seguridad asociados a los procesos de negocio. Dichos servicios son los siguientes:


WWW.SAFELAYER.COM


8

• La identificación electrónica garantiza de forma unívoca tanto la identidad como los atributos de una entidad. Esto es ¿quién es? y ¿qué es? De este modo, mientras la identidad indica el nombre de una persona (o máquina), los atributos indican información sobre su capacidad de ejercer como profesional cualificado, su límite de crédito, su fecha de nacimiento, etc.

• La integridad de datos permite detectar cualquier cambio (accidental o intencionado) en datos almacenados o transmitidos por redes telemáticas. De este modo, los servicios de autenticación e integridad son la base de la firma electrónica. Dicha firma es equiparable a la manuscrita y por tanto permite prescindir del soporte papel.

• El servicio de confidencialidad permite proteger datos electrónicos (archivos y comunicaciones) y controlar el acceso a éstos (mediante mecanismos de autenticación basados en PKI).

Entidades de una PKI La infraestructura de clave pública (PKI) ofrece los servicios necesarios para establecer relaciones electrónicas fiables. En este contexto, las terceras partes de confianza (Trusted Third Parties o TTP) tienen los siguientes cometidos:

• Garantizar la relación unívoca de las entidades con los datos socio-económicos que acreditan.

• Relacionar de forma unívoca una fecha concreta con unos datos concretos.

• Confirmar de forma probatoria que las relaciones ya establecidas siguen siendo válidas a lo largo del tiempo.

Entidades de confianza Las entidades de confianza se clasifican en tres grupos en función del tipo de responsabilidad desempeñada:

• Las Autoridades de Certificación son entidades responsables de emitir y gestionar certificados digitales.

• Las Autoridades de Validación son entidades responsables garantizar la validez de los certificados digitales.

• Las Autoridades de Sellado de Tiempo son entidades responsables de garantizar la fecha de existencia de unos datos concretos.

Autoridad de Certificación En una PKI, la responsabilidad de emitir certificados se distribuye entre dos autoridades:


WWW.SAFELAYER.COM


9

• La Autoridad de Certificación (Certification Authority o CA) se dedica exclusivamente a la emisión de certificados y listas de certificados revocados (Certificate Revocation List o CRL).

• La Autoridad de Registro (Registration Authority o RA) es la entidad en la que la CA delega tanto la recepción de solicitudes (de emisión, renovación o renovación de certificado) como la decisión de aprobarlas o denegarlas.

De este modo, mientras el componente RA interacciona con las entidades solicitantes de certificados (e. g. usuarios corporativos) y con el sistema de toma de decisiones de la empresa (para obtener los datos o atributos del solicitante), el componente CA se encarga exclusivamente de procesar las solicitudes ya aprobadas y generar los certificados correspondientes.

Nota Los certificados digitales se suelen publicar en un directorio que puede estar gestionado tanto por la CA como la RA.

Autoridad de Validación Los procesos de negocio que implican aceptar datos firmados digitalmente (e. g. órdenes de transacción electrónica) requieren una validación previa de los certificados de firma utilizados. Para ello, el servicio de validación de la Autoridad de Validación (Validation Authority o VA) comprueba la vigencia de un certificado en un instante determinado. Esto es, determina si la validez del certificado sigue vigente o por el contrario ha sido revocada.

De este modo, el servicio online de KeyOne VA aporta un modo de validación de certificados mucho más eficiente que el tradicional modelo de descarga de CRL emitidas por la CA.

Autoridad de Sellado de Tiempo La Autoridad de Sellado de Tiempo (Time Stamp Authority o TSA) emite sellos de tiempo firmados digitalmente para garantizar la existencia, en un momento concreto, de unos datos concretos. De este modo, al garantizar la existencia de una firma en un instante concreto, los sellos de tiempo permiten verificar firmas a lo largo del tiempo.

El uso de sellos de tiempo es crítico en entornos como los siguientes:

• Servicios de la administración públicas que precisan garantizar fechas de entrega.

• Servicios de notaría electrónica.

• Presentación de validez de ofertas.

Nota La TSA sólo garantiza que un instante de tiempo está asociado a unos datos concretos. No consulta ni verifica dichos datos.


WWW.SAFELAYER.COM


10

Directorio En una infraestructura de clave pública, el directorio es el componente donde se publican tanto los certificados como las listas de revocación generadas por la CA.

En concreto, el directorio es consultado en las siguientes situaciones:

• En las operaciones de cifrado, para obtener el certificado del destinatario de los datos cifrados.

• En las operaciones de validación de firma, para obtener el certificado del firmante de los datos.

• En las operaciones de validación, para consultar si un certificado se halla en una CRL (y por tanto ha sido revocado).

Nota El directorio también puede incluir información adicional como datos de titular (e. g. dirección de correo, nombre, teléfono).

Entidades Finales Las entidades finales son personas o sistemas con las siguientes características:

• Pueden ser titulares de un certificado digital.

• No pueden generar certificados para otras entidades.

Entre las entidades finales distinguimos dos tipos:

• Las personas o grupos de personas disponen de certificados digitales para autenticación, firma electrónica o protección de datos

• Los sistemas disponen de certificados digitales con el propósito genérico de autenticarse de forma segura (e. g. un servidor de banca electrónica al que enviar datos confidenciales).

Beneficios únicos de la PKI En esta sección destacaremos los beneficios de la PKI por sectores.

Gobierno En el sector gubernamental, la tecnología PKI se considera estratégica por dos razones:

• Refuerza el carácter garantista de la administración (al aportar mecanismos de seguridad con un alto nivel de confianza).


WWW.SAFELAYER.COM


11

• Mejora de forma significativa la atención al ciudadano incrementando así su satisfacción.

Sanidad En el sector sanitario, la tecnología PKI aporta beneficios como los siguientes:

• Garantiza, mediante control de acceso y cifrado de datos, la confidencialidad de los informes de paciente y los historiales médicos.

• Implementa, mediante firma electrónica, el sistema de receta-e (que mejora sustancialmente tanto la seguridad como la eficiencia del modelo actual de prescripción).

Banca En el sector bancario, los certificados digitales se utilizan para lo siguiente:

• Controlar el acceso de los clientes a sus cuentas bancarias.

• Firmar electrónicamente las órdenes de transacción.

Nota En este escenario, la validación segura de los certificados implicados un elemento crítico de la transacción.

Defensa En el sector defensa, la confidencialidad y la autenticidad de los datos es especialmente sensible. Por ello, es necesario utilizar algoritmos y claves fuertes para cifrar datos, mensajes de correo o comunicaciones.

Empresa En el sector corporativo, los beneficios de la PKI son los siguientes:

• Securizar los procesos corporativos. Por ejemplo, mediante un sistema de autenticación única de empleados y clientes.

• Mensajería electrónica segura.

• Securización de documentos.

Nota Uno de los ejemplos típicos de uso de la firma electrónica en las corporaciones es la generación de facturas electrónicas.

AD98985E 2.31

WWW.SAFELAYER.COM


13

CAPÍTULO 2

KeyOne de Safelayer

Soluciones KeyOne ...................................................................................................................................... 13 Gestión de certificados digitales 13 Validación de certificados digitales 14 Sellado electrónico de tiempo 14 Pasaporte-e 14

Beneficios de las soluciones KeyOne ........................................................................................................ 14 Gama completa de soluciones 15 Facilidad de implantación y uso 15 Gestión automática del ciclo de vida de los certificados 15 Cumplimiento de estándares e interoperabilidad 15 Escalabilidad y modularidad 15 Seguridad y control 15

Arquitectura KeyOne ................................................................................................................................... 16 KeyOne CA 16 KeyOne XRA 17 KeyOne LXRA 17 KeyOne VA 17 KeyOne TSA 18

Sistema KeyOne ........................................................................................................................................... 18 Servidor de aplicaciones 19 Sistema de seguridad común 19 Consola de administración gráfica 19

En este capítulo presentaremos la familia de aplicaciones KeyOne de Safelayer y describiremos sus principales beneficios.

Soluciones KeyOne Los productos de la familia KeyOne de Safelayer ofrecen los componentes necesarios para desplegar infraestructuras de clave pública (PKI). De este modo, dichos productos permiten implementar servicios como los descritos en esta sección.

Gestión de certificados digitales Los componentes KeyOne gestionan todo el ciclo de vida de los certificados digitales:

AD98985E 2.31 KeyOne de Safelayer

WWW.SAFELAYER.COM


14

• Registro y tramitación de peticiones mediante los servicios presenciales o remotos descritos en Sistema de registro, pág. 27.

• Emisión, revocación y renovación de certificados (según el estándar ITU-T X.509 v3) mediante los servicios de certificación descritos en Gestión de certificados, pág. 21.

Validación de certificados digitales Para notificar el estado de validez de los certificados digitales, los componentes KeyOne disponen de dos mecanismos principales:

• Generar evidencias sobre el estado de los certificados (según el estándar OCSP de IETF) mediante los servicios online descritos en Validación de certificados, pág. 37.

• Emitir listas de revocación de certificados mediante los automatismos descritos en Generación de listas de revocación, pág. 35.

Sellado electrónico de tiempo Los componentes KeyOne permiten generar evidencias sobre la existencia de unos datos concretos en un instante de tiempo (según el estándar TSP de IETF). Para ello, disponen del servicio de time-stamping descrito en Sellado de tiempo, pág. 41.

Pasaporte-e KeyOne incluye aplicaciones para implementar infraestructuras de pasaporte electrónico como las siguientes:

• Infraestructura Extended Access Control (EAC) de pasaporte electrónico de segunda generación

• Infraestructura de primera generación de documentos de viaje estandarizados por la International Civil Aviation Organization (ICAO).

Nota Las aplicaciones KeyOne para pasaporte electrónico no son objeto del presente documento. Consulte en el documento KeyOne ePassport Solutions una descripción de dichas aplicaciones.

Beneficios de las soluciones KeyOne Las soluciones KeyOne ofrecen beneficios únicos como los descritos en esta sección.

http://download.safelayer.com/open/ePassport/KeyOneePassportEACPKIProductsArchitectureOverview.pdf�


WWW.SAFELAYER.COM


15

Gama completa de soluciones Los productos KeyOne permiten implantar cualquier solución de certificación electrónica avanzada, desde una autoridad de certificación y de registro (CA, RA) hasta una autoridad de validación (VA), pasando por una autoridad de sellado de tiempo (TSA).

Facilidad de implantación y uso Los productos KeyOne cumplen estándares de integración en Arquitecturas Orientadas a Servicios (SOA). De este modo, simplifican los costes de integración y mantenimiento.

Tal como explicaremos en Flujo de trabajo configurable, pág. 53, el ciclo de vida de claves y certificados se gestiona mediante flujos de trabajo (workflows). Dichos flujos son plenamente adaptables a cualquier procedimiento de registro.

Gestión automática del ciclo de vida de los certificados

Tal como explicaremos en Automatización de la gestión de certificados, pág. 31, las soluciones KeyOne permiten automatizar la inscripción, renovación y publicación de certificados para entidades finales (e.g. usuarios, servidores, dispositivos de red).

Cumplimiento de estándares e interoperabilidad Las soluciones KeyOne cumplen los estándares PKI reconocidos por la industria. De este modo, garantizan la interoperabilidad con las aplicaciones de los principales proveedores. Por ejemplo, los estándares basados en ITU-T X.509v3 y IETF PKIX garantizan la implantación de la firma electrónica en las aplicaciones y procesos.

Escalabilidad y modularidad Tal como explicaremos en Alta disponibilidad y capacidad de carga, pág. 43, las soluciones KeyOne soportan diferentes arquitecturas gracias a su diseño modular. De este modo:

• Cumplen los requisitos de carga exigidos a las infraestructuras de gestión de identidad (públicas o corporativas)

• Garantizan el crecimiento del sistema con nuevos servicios avanzados

Seguridad y control Tal como explicaremos en Sistema de seguridad, pág. 47, los productos de la versión 4.0 de KeyOne cumplen todos los requisitos de seguridad de los sistemas de gestión de certificado de firma electrónica (CWA 14167-1). En concreto, dichos productos


WWW.SAFELAYER.COM


16

están certificados según los Criterios Comunes con nivel EAL4+ bajo el Perfil de Protección NSA/NIST CIMC de nivel de seguridad 3.

Nota Además de soportar un completo conjunto de algoritmos (e. g. RSA, DSA, EC-DSA, AES256, SHA-2) KeyOne permite operar con dispositivos criptográficos para garantizar un nivel de protección de claves y calidad criptográfica FIPS 140-2 nivel 3.

Arquitectura KeyOne Para implementar los servicios descritos en Soluciones KeyOne, pág. 13, Safelayer dispone de la arquitectura de aplicaciones descrita en esta sección.

Nota La Figura 2-1 ilustra el despliegue y la integración de las aplicaciones KeyOne para ofrecer todos los servicios de una PKI.

Figura 2-1. Integración de las aplicaciones KeyOne.

KeyOne CA La aplicación KeyOne CA implementa funciones de certificación de clave pública (según la sintaxis definida en ITU-T X.509v3). Dichas funciones son accesibles de los siguientes modos:

• Interfaz gráfica de aplicación.


WWW.SAFELAYER.COM


17

• Servicios web del servidor de aplicación.

• Aplicación KeyOne XRA (que opera como Autoridad de Registro).

Además, la funcionalidad de KeyOne CA puede ampliarse mediante extensiones proporcionadas por Safelayer. Por ejemplo:

• La extensión KeyOne KA añade las funciones descritas en Almacenamiento y recuperación de claves, pág. 33.

• La extensión KeyOne CRLA añade las funciones descritas en Generación de listas de revocación, pág. 35.

KeyOne XRA La aplicación KeyOne XRA implementa todas las funciones de un sistema de registro:

• Registrar datos de las entidades finales.

• Generar peticiones de certificación para dichas entidades

• Entregar los certificados a sus titulares y publicarlos en repositorios.

• Generar peticiones de renovación o revocación de certificado.

Dichas funciones son accesibles de los siguientes modos:

• Interfaz gráfica de la aplicación.

• Servicios web del servidor de aplicación.

• Aplicación KeyOne LXRA (que opera como representante local).

KeyOne LXRA La aplicación KeyOne LXRA permite desplegar puntos de registro presencial conectados con KeyOne XRA. En concreto, cada instancia de KeyOne LXRA ejecuta localmente el mismo el flujo de trabajo ejecutado por la KeyOne XRA remota a la que accede.

Nota KeyOne LXRA soporta hardware criptográfico como impresoras de tarjetas inteligentes. De este modo, los certificados emitidos desde el punto de registro se pueden entregar en tarjeta al titular.

KeyOne VA La aplicación KeyOne VA emite evidencias que acreditan la validez de certificados digitales. Para generar dichas evidencias, KeyOne VA puede acceder a dos fuentes de información complementarias:

• Servicio CertStatus de KeyOne CA.


WWW.SAFELAYER.COM


18

• Listas de revocación de certificado.

Nota Las evidencias emitidas por KeyOne VA cumplen el protocolo OCSP de IETF (Online Certificate Status Protocol).

KeyOne TSA La aplicación KeyOne TSA emite evidencias que acreditan la existencia de datos concretos en instantes específicos del tiempo.

Nota Los sellos de tiempo emitidos por KeyOne TSA cumplen el protocolo TSP de IETF (Time-Stamp Protocol).

Sistema KeyOne Los diferentes sistemas PKI implementados por los productos KeyOne (e. g. certificación, sellado de tiempo, validación) se ejecutan en un entorno común conocido como núcleo del sistema KeyOne o simplemente sistema KeyOne. De este modo, salvo los clientes KeyOne LXRA, todas las aplicaciones KeyOne comparten un entorno de ejecución y administración con las propiedades descritas en esta sección.

Nota La Figura 2-2 ilustra el conjunto de sistemas PKI implementadas por los productos KeyOne. Dichos sistemas comparten un entorno de ejecución y administración conocido como sistema KeyOne.


WWW.SAFELAYER.COM


19

Figura 2-2. Entorno de soluciones PKI de KeyOne.

Servidor de aplicaciones El sistema KeyOne ofrece un entorno de ejecución o servidor de aplicaciones KeyOne. Dicho entorno permite ejecutar y monitorizar los diversos servicios ofrecidos por las aplicaciones KeyOne. Además, soporta arquitecturas en clúster para garantizar alta disponibilidad y mayores prestaciones.

Sistema de seguridad común Mediante el sistema KeyOne, las aplicaciones comparten mecanismos de seguridad como los siguientes:

• Autenticación y gestión de usuarios.

• Gestión de privilegios de las aplicaciones KeyOne.

• Gestión de claves privadas de entidad.

• Integridad de registros y configuración.

Consola de administración gráfica Desde la consola de administración KeyOne Console (Figura 2-3) pueden gestionarse en modo gráfico aspectos de un sistema KeyOne como los siguientes:

• Usuarios y roles.


WWW.SAFELAYER.COM


20

• Acceso a recursos externos (e. g. repositorios de datos, hardware criptográfico).

• Instalación en múltiples máquinas.

• Registro de eventos (logs).

Nota La figura Figura 2-3 muestra una consulta de logs de sistema desde la interfaz gráfica de KeyOne Console.

Figura 2-3. Consulta de logs desde KeyOne Console.

AD98985E 2.31

WWW.SAFELAYER.COM


21

CAPÍTULO 3

Gestión de certificados

KeyOne CA ................................................................................................................................................... 21 Componentes adicionales 22

Gestión de claves privadas ........................................................................................................................ 22 Integración .................................................................................................................................................... 23

Integración con el sistema de registro 23 Integración con el sistema de validación 23

Modelo de intercambio de lotes ............................................................................................................... 24 Tipos de lote 24 Beneficios del modelo de lotes 25

Perfiles de certificado .................................................................................................................................. 25 Definición de perfiles 26

En este capítulo describiremos el sistema de gestión de certificados de KeyOne.

KeyOne CA En la PKI de KeyOne, el sistema de gestión de certificas es implementado por la aplicación KeyOne CA (Figura 3-1). Dicha aplicación aporta la siguiente funcionalidad:

• Gestionar las diferentes Autoridades de Registro (RA) y asignarles políticas de certificación.

• Emitir y gestionar los certificados digitales solicitados por las RA para entidades finales (e. g. usuarios, aplicaciones).

• Garantizar la auditoría segura de los eventos y acciones realizadas sobre el sistema.

Nota La Figura 3-1 muestra el panel de administración de KeyOne CA. Dicho panel incluye las opciones de gestión de certificado (también disponibles como servicio online).

AD98985E 2.31 Gestión de certificados

WWW.SAFELAYER.COM


22

Figura 3-1. Opciones de gestión de certificado de KeyOne CA.

Componentes adicionales KeyOne CA dispone de componentes adicionales para ofrecer los servicios descritos en la siguiente tabla.

Componente Servicio

KeyOne CRLA Generar y publicar CRL.

KeyOne CertStatus Server

Informar sobre el estado de los certificados a los servicios de validación en línea operados por KeyOne VA.

KeyOne KA Custodiar y permitir la recuperación segura de las claves de cifrado (tal como se explica en Almacenamiento y recuperación de claves, pág. 33).

Gestión de claves privadas Las claves privadas utilizadas por KeyOne CA se gestionan de forma segura gracias a mecanismos como los siguientes:

• Generación y custodia mediante dispositivos criptográficos (Hardware Cryptographic Modules o HSM) tanto en red como locales.

• Gestión automática del ciclo de vida En covncreto, se garantiza la coexistencia de claves sucesivamente renovadas para permitir la revocación de certificados emitidos con claves ya expiradas.


WWW.SAFELAYER.COM


23

Integración Esta sección describe las principales posibilidades de integración de KeyOne CA con otros productos (de KeyOne o de terceros).

Nota La Figura 3-2 ilustra la integración de KeyOne CA con los sistemas de registro, validación y HSM en red (para proteger las claves privadas).

Figura 3-2. Integración de KeyOne CA.

Integración con el sistema de registro La integración con el sistema de registro puede implementarse de los siguientes modos:

• Mediante la autoridad de registro KeyOne XRA de Safelayer.

• Mediante una aplicación corporativa que asuma el rol de Autoridad de Registro y acceda a los servicios web de KeyOne CA.

Integración con el sistema de validación La integración con el sistema de validación puede implementarse de los siguientes modos:

• Publicando listas de revocación en un repositorio externo (e. g. directorio, servidor web).

• Mediante el servicio CertStatus que responde a peticiones de autoridades de validación KeyOne VA.


WWW.SAFELAYER.COM


24

Modelo de intercambio de lotes En KeyOne CA, la interacción con el sistema de certificación se realiza mediante el intercambio de lotes de certificación o revocación. Así, KeyOne CA procesa los lotes de entrada (que contienen peticiones de certificación o revocación) y genera los lotes de salida (que contienen certificados o listas de revocación).

Tipos de lote Los lotes que procesa el sistema de certificación de KeyOne pueden ser de diverso tipo según su procedencia.

Lotes generados localmente en KeyOne CA Los lotes generados localmente en KeyOne CA son lotes auxiliares generados desde la aplicación de administración gráfica. Dichos lotes contienen peticiones para certificar las claves de las aplicaciones KeyOne:

• Claves de servicio (e. g. claves de emisión de certificado y CRL de KeyOne CA)

• Claves de infraestructura (e. g. claves de firma de lotes de KeyOne XRA).

Nota Los lotes generados localmente también pueden contener peticiones de cambio de estado (revocación, suspensión o rehabilitación de certificado) formalizadas desde la misma aplicación de administración.

Lotes generados por el sistema de registro remoto Los lotes generados por el sistema de registro remoto agrupan una o varias peticiones de certificación o de cambio de estado (revocación, suspensión o rehabilitación de certificado). Dichas peticiones pueden formalizarse de los siguientes modos:

• Desde la consola gráfica de KeyOne XRA.

• Desde la consola gráfica de KeyOne LXRA (representante local de KeyOne XRA).

• Desde una aplicación de terceros que acceda a los servicios web de KeyOne XRA (e. g. portal web).

Una vez registradas en KeyOne XRA, las peticiones de certificación se aprueban y se agrupan en lotes. Dichos lotes pueden enviarse a KeyOne CA de los siguientes modos:

• Online, accediendo al servicio de procesamiento (en el contexto de una conexión segura).

• Offline, exportándolos primero a un fichero.


WWW.SAFELAYER.COM


25

Lotes de respuesta Los lotes de respuesta son siempre generados en KeyOne CA como resultado de procesar un lote de petición. Al igual que los lotes de petición, los lotes de respuesta pueden ser enviados de los siguientes modos:

• Online, como respuesta del servicio de procesamiento de lotes (en el contexto de una conexión).

• Offline, exportándolos primero a un fichero.

Beneficios del modelo de lotes El modelo de lotes utilizado por KeyOne CA aporta beneficios como los siguientes:

• Seguridad. Permite operar con KeyOne CA sin conexión a red.

• Escalabilidad. Soporte para generación de certificados en modo masivo o bajo demanda gradual.

• Auditoría. Todos los lotes de entrada se reciben firmados por la entidad de registro emisora; todos los lotes de salida se envían firmados por el módulo CA emisor.

• Personalización. Soporte para usos no relativos a la generación de certificados. Por ejemplo, informar sobre el diseño de tarjetas inteligentes a un CMS (Card Management System) externo.

Perfiles de certificado KeyOne CA genera certificados a partir de los siguientes elementos:

• Las peticiones de certificación recibidas en un lote.

• La política de certificación seleccionada.

En concreto, cada política de certificación incluye unas reglas programables (agrupadas en perfiles). Dichas reglas definen qué información contendrá el certificado generado (e. g. tamaño de clave, extensiones). Los perfiles de certificado de KeyOne CA soportan un amplio conjunto de extensiones. Por ejemplo:

• Extensiones definidas por el grupo PKIX de IETF.

• Extensiones propietarias como las de Netscape.

• Extensiones propietarias adicionales.

Nota KeyOne CA incorpora un conjunto de perfiles, recomendados por Safelayer, que son habituales en los diferentes despliegues PKI.


WWW.SAFELAYER.COM


26

Definición de perfiles La aplicación de administración de KeyOne incorpora un asistente gráfico (Figura 3-3) para definir perfiles de certificado mediante la selección de reglas. De este modo, en una misma autoridad de certificación pueden definirse perfiles para emitir distintos tipos certificado (e. g. certificados de servidor, certificados para firma electrónica, certificados para VPN).

Nota La Figura 3-3 muestra el asistente gráfico para crear y configurar perfiles de certificado

Figura 3-3. Definición de un perfil mediante selección de reglas.

En concreto, las reglas de los perfiles de certificado permiten definir propiedades como las siguientes:

• Campos definidos automáticamente por la CA.

• Campo opcionales solicitados por la autoridad de registro.

• Rango de valores que soporta un campo (para filtrar o delimitar los valores solicitados por la RA).

• Valor por defecto de un campo (para campos fijos).

AD98985E 2.31

WWW.SAFELAYER.COM


27

CAPÍTULO 4

Sistema de registro

KeyOne XRA .................................................................................................................................................. 27 KeyOne LXRA ................................................................................................................................................ 28 Modelos de registro ..................................................................................................................................... 28

Registro presencial 29 Registro remoto 30 Registro automático 30

Generación de claves ................................................................................................................................ 30 En esta sección describiremos el sistema de registro de KeyOne. En concreto, dicho sistema realiza las siguientes operaciones:

1 Registrar las solicitudes de certificación realizadas por los suscriptores.

2 Permitir que un operador apruebe o deniegue las solicitudes.

3 Enviar las solicitudes al sistema de certificación (encapsuladas en lotes) para que sean procesadas.

4 Recibir los lotes de respuesta enviados por el sistema de certificación.

En la PKI de KeyOne, el sistema de registro puede implementarse de las siguientes maneras:

• Mediante la aplicación KeyOne XRA.

• Mediante una aplicación desarrollada a medida que invoque los servicios web de KeyOne CA.

Nota KeyOne CA incorpora además su propio sistema de registro local para generar los certificados de operación de la PKI.

KeyOne XRA Las funcionalidades de la Autoridad de Registro KeyOne XRA son las siguientes:

• Gestionar las operaciones de aprobación o revocación de certificado.

• Publicar los certificados emitidos por la Autoridad de Certificación en el directorio u otros repositorios.

AD98985E 2.31 Sistema de registro

WWW.SAFELAYER.COM


28

• Gestionar y automatizar el ciclo de vida de los certificados (de usuario o aplicación). Por ejemplo, notificar a los titulares la expiración de sus certificados y permitir que los renueven online.

• Garantizar la auditoría segura de los eventos y acciones realizadas sobre el sistema.

Según el procedimiento de registro implantado, las conexiones con KeyOne XRA pueden realizarse de las siguientes maneras:

• Mediante la aplicación KeyOne LXRA.

• Invocando los servicios web de KeyOne XRA desde una aplicación desarrollada a medida. Por ejemplo, desde un cliente SOAP, desde un portal web que solicite datos de usuario y los envíe a KeyOne XRA.

• Mediante el mecanismo Certificate AutoEnrollment System de Microsoft Windows.

• Invocando la interfaz SCEP de KeyOne XRA desde un dispositivo o aplicación que implemente dicho protocolo.

Nota La interfaz SCEP de KeyOne XRA está prevista para futuras versiones del producto.

KeyOne LXRA KeyOne LXRA permite implantar Autoridades Locales de una Autoridad de Registro operada por KeyOne XRA. De este modo, cada autoridad local es un punto de registro presencial donde realizar las siguientes operaciones:

• Recoger solicitudes de certificación (mediante formularios o fuentes de datos).

• Ejecutar las mismas tareas disponibles en KeyOne XRA. Por ejemplo, aprobación de peticiones, envío de lotes de certificación o revocación a la CA, procesado de lotes de respuesta.

Nota Cada instancia de KeyOne LXRA accede al servicio de información de aplicación de KeyOne XRA desde donde descargar el flujo de trabajo. Por ello, en cada instancia de KeyOne LXRA pueden ejecutarse las mismas tareas de registro que en la KeyOne XRA a la que se conecta.

Modelos de registro Los productos KeyOne soportan los siguientes modelos de registro (Figura 4-1): presencial, remoto y automático.


WWW.SAFELAYER.COM


29

Nota La Figura 4-1 ilustra cómo un sistema de registro operado por KeyOne XRA puede interactuar con otros productos KeyOne (KeyOne CA y KeyOne LXRA) para ofrecer las modalidades de registro descritas en esta sección.

Figura 4-1. Modalidades de registro de KeyOne CA.

Registro presencial El solicitante obtiene los certificados en un solo paso (tras ejecutar la correspondiente petición). Por ejemplo, la aplicación cliente KeyOne LXRA para operadores de registro permite desplegar un sistema presencial cercano al solicitante y gestionado de forma centralizada por KeyOne XRA.

Nota Este modelo permite integrar mecanismos criptográficos (e. g. impresoras de tarjeta). De este modo, tanto las claves como sus correspondientes certificados pueden ser entregados al titular en una tarjeta inteligente..


WWW.SAFELAYER.COM


30

Registro remoto Los procesos de solicitud y obtención de certificados se ejecutan de forma remota. Por ejemplo, desde un portal web o un cliente SOAP/XML que accedan a KeyOne XRA (donde queda centralizada toda la información).

Nota Este modelo admite tanto solicitudes preautorizadas como solicitudes que deban ser posteriormente aprobadas por un operador de registro.

Registro automático Las funciones del sistema de registro (expuestas como servicio web) son invocadas remotamente para aprobar altas, renovaciones o revocaciones de certificado digital.

Como en las demás modalidades, la conexión con KeyOne XRA se realiza de forma segura (mediante HTTPS y servicios web).

Nota La información sobre los usuarios o aplicaciones se obtiene de una base de datos, directorio o una aplicación corporativa.

Generación de claves Los procesos de registro soportan los siguientes modos de generar claves de usuario:

• Las claves de cifrado pueden ser generadas por la propia Autoridad de Certificación.

• Las claves de firma y autenticación pueden ser generadas por el propio usuario o por el operador de registro.

• Las claves para cualquier uso pueden ser generadas en tarjeta criptográfica mediante una impresora de tarjetas o un Sistema de Gestión de Tarjetas (Card management System o CMS).

Nota Los CMS permiten gestionar grandes volúmenes de tarjetas criptográficas.

AD98985E 2.31

WWW.SAFELAYER.COM


31

CAPÍTULO 5

Automatización de la gestión de certificados

Automatización en entornos Microsoft .................................................................................................... 31 Automatización para dispositivos de red ................................................................................................ 32 Las aplicaciones KeyOne pueden integrarse con diferentes infraestructuras para gestionar el ciclo de vida de los certificados: petición, emisión, renovación o revocación.

Automatización en entornos Microsoft El mecanismo Certificate Enrollment de Microsoft permite que usuarios y equipos de un dominio Windows inscriban y renueven automáticamente certificados digitales para diferentes usos (e.g. firma, autenticación, cifrado).

Nota Para más detalles sobre la inscripción de certificados en un dominio Windows, consulte http://technet.microsoft.com/es-es/library/cc771107(WS.10).aspx

El mecanismo Certificate Enrollment puede implementarse mediante las aplicaciones de la familia KeyOne de Safelayer (Figura 5-1). De este modo, los usuarios disponen de una PKI más potente y configurable para gestionar la emisión, renovación y revocación de sus certificados.

Además, el despliegue de la PKI de Safelayer se realiza de forma transparente para los usuarios finales. Las operaciones realizadas desde la parte cliente no difieren en modo alguno cuando la inscripción se ejecuta a través de aplicaciones KeyOne.

http://technet.microsoft.com/es-es/library/cc771107(WS.10).aspx�

AD98985E 2.31 Automatización de la gestión de certificados

WWW.SAFELAYER.COM


32

Figura 5-1. Windows enrollment mediante la PKI de Safelayer.

En este contexto, la autoridad de registro KeyOne XRA aporta la siguiente funcionalidad:

• Interfaz gráfica desde donde aprobar las peticiones (de emisión o renovación) o configurar el proceso de inscripción (e.g. plantillas de certificado Windows, autoridades de certificación KeyOne CA que emitirán los certificados).

• Servicio de inscripción de certificados (que sustituye al servicio nativo de Windows de forma totalmente transparente para el usuario final).

• Publicación automática (en el Active Directory del dominio) de los certificados emitidos.

Automatización para dispositivos de red El protocolo SCEP (Simple Certificate Enrollment Protocol) estandariza la comunicación entre la entidad final y la autoridad de registro para la inscripción de certificados. Dicho protocolo es utilizado para emitir y renovar certificados de dispositivos de red (e.g. routers, firewalls, puntos de acceso Wi-fi).

Las futuras versiones de KeyOne XRA incorporarán un servicio online para procesar peticiones SCEP. De este modo, KeyOne XRA permitirá automatizar la emisión y renovación de certificados digitales para dispositivos de red.

AD98985E 2.31

WWW.SAFELAYER.COM


33

CAPÍTULO 6

Almacenamiento y recuperación de claves

KeyOne KA .................................................................................................................................................... 33 Integración con las políticas de certificación ......................................................................................... 33 En este capítulo describiremos el sistema de archivado y recuperación de claves.

KeyOne KA Tal como explicamos en Generación de claves, pág. 30, las claves de cifrado pueden ser generadas por la propia KeyOne CA que emite los certificados. La extensión KeyOne KA de KeyOne CA permite además realizar las siguientes operaciones:

• Almacenar en la base de datos de KeyOne CA copias de seguridad de las claves de suscriptor generadas por el sistema de certificación.

• Recuperar claves de suscriptor previamente almacenadas. Dicha operación puede realizarse tanto desde la interfaz gráfica de KeyOne CA como desde la interfaz de un cliente web (e. g. navegador) que se conecte mediante HTTPS al servicio de recuperación de claves.

Integración con las políticas de certificación

La opción de archivar las claves puede activarse en la propia política de certificación utilizada para emitir el correspondiente certificado. De este modo, cuando la política solicitada por una petición de certificado tiene activada dicha opción, las claves generadas para el certificado se almacenan de forma transparente.

Además, en la versión 4.0 de KeyOne se ha mejorado el procedimiento de entrega de claves para gestionar las siguientes propiedades:

• Qué políticas de certificación requieren custodia de clave.

AD98985E 2.31 Almacenamiento y recuperación de claves

WWW.SAFELAYER.COM


34

• Cuántos operadores son necesarios para recuperar el material criptográfico.

De este modo, el almacenamiento y recuperación de claves comprende los siguientes pasos:

1 Un cliente solicita generar y certificar un par de claves con un perfil de certificación determinado. Dicho perfil establece la generación y almacenamiento de claves en un contenedor PKCS #12.

Nota La correspondiente petición incluye la contraseña necesaria para obtener la clave simétrica del contenedor PKCS #12.

2 La autoridad de certificación KeyOne CA genera las claves y emite el correspondiente certificado. Tanto las claves como el certificado son devueltos en un contender PKCS #12 incluido en un lote KeyOne. Dicho PKCS #12 está protegido mediante cifrado adicional.

Nota En la autoridad de certificación KeyOne CA debe estar habilitados tanto la extensión KeyOne KA como el perfil de certificación solicitado en la petición.

3 Para recuperar las claves se requiere la intervención de N usuarios con los privilegios pertinentes (e. g. pertenecer a un grupo con el rol Key Recovery Officer). Durante el proceso de recuperación, se obtiene el PKCS #12 cifrado con una clave generada de forma aleatoria y dividida en N-1 partes. Dichas partes deberán recomponerse para acceder al contenido del PKCS #12.

Nota Tanto el número de partes en que se divide la contraseña de recuperación como el tamaño de dichas partes son parámetros de configuración de KeyOne KA.

AD98985E 2.31

WWW.SAFELAYER.COM


35

CAPÍTULO 7

Generación de listas de revocación

KeyOne CRLA ............................................................................................................................................... 35 Perfiles de CRL .............................................................................................................................................. 35 En este capítulo describiremos el sistema de generación de listas de certificados revocados (Certificate Revocation List o CRL)

KeyOne CRLA En KeyOne, el sistema de generación de CRL se implementa mediante la extensión KeyOne CRLA para KeyOne CA. Dicha extensión genera y actualiza periódicamente CRL que incluyen la totalidad de los certificados revocados en un momento determinado por un determinado sistema de certificación.

Nota La emisión y actualización de CRL se ejecuta como una tarea del servidor de KeyOne CA y, por tanto, no interactúa con usuario o suscriptor alguno.

Perfiles de CRL La generación y actualización de CRL se configura mediante perfiles de CRL. En concreto, cada perfil define las propiedades siguientes:

• Plantilla a partir de la cual generar las CRL. Dicha plantilla define por ejemplo los campos de la CRL.

• Periodicidad de las actualizaciones de CRL.

• Motivos de revocación reportados por las CRL.

• Máximo número de certificados que pueden contener las CRL.

Así, a partir de cada perfil se obtiene un conjunto de CRL mediante los siguientes pasos:

1 Se define un perfil.

AD98985E 2.31 Generación de listas de revocación

WWW.SAFELAYER.COM


36

2 Se crea la primera CRL asociada al perfil.

3 Los certificados emitidos por la autoridad de certificación se asignan a dicha CRL (mediante la extensión CRL Distribution Points de X.509). De este modo, los certificados revocados por alguna de las razones que contempla el perfil serán incluidos en la CRL.

4 Cuando a la CRL se han asignado el número máximo de certificados establecido por el perfil, se crea una nueva CRL a la que asignar los siguientes certificados emitidos (y así sucesivamente).

AD98985E 2.31

WWW.SAFELAYER.COM


37

CAPÍTULO 8

Validación de certificados

KeyOne VA .................................................................................................................................................... 37 Fuentes de información .............................................................................................................................. 38 Etapas de validación .................................................................................................................................. 38 En este capítulo describiremos el sistema de información sobre el estado de certificados.

KeyOne VA La autoridad de validación KeyOne VA es un sistema adecuado para procesos críticos de verificación de firma electrónica. Las principales ventajas de dicho sistema son las siguientes:

• Valor probatorio de las respuestas entregadas.

• Mayor eficiencia en la validación del estado de los certificados.

El servicio de validación de KeyOne VA se basa en el protocolo OCSP de IETF. En concreto, dicho servicio aporta las siguientes funcionalidades:

• Responder a peticiones de información sobre el estado de certificados digitales utilizados en la firma de transacciones electrónicas. Dichas peticiones pueden provenir tanto de usuarios como de proveedores de servicios.

• Mantener información sobre el estado de certificados generados por una o varias Autoridades de Certificación.

• Garantizar el no repudio de las respuestas. Para ello, dichas respuestas incluyen una firma de Autoridad de Validación que indica tanto la fecha como el estado del certificado (válido, revocado, suspendido o desconocido).

Para ello, KeyOne VA puede operar con un HSM (en red o interno) y requiere acceso tanto a una base de datos como a una fuente de tiempo en red. En concreto, KeyOne VA utiliza el reloj del sistema. Dicho reloj puede sincronizarse con fuentes fiables (e. g. GPS, relojes con osciladores de alta estabilidad) mediante mecanismos ajenos a KeyOne (e. g. NTP).

Nota La Figura 8-1 ilustra tanto la arquitectura de KeyOne VA como su interrelación con los componentes de red (aplicaciones o usuarios) mediante el estándar OCSP de IETF.

AD98985E 2.31 Validación de certificados

WWW.SAFELAYER.COM


38

Figura 8-1. Arquitectura de una solución de validación basada en KeyOne VA.

Fuentes de información Para mantener al día la información sobre el estado de certificados, KeyOne VA accede a las siguientes fuentes de información (Figura 8-1):

• Listas de revocación o CRL. Dichas listas pueden ser importadas desde fichero o descargadas (de un directorio LDAP o servidor web).

• Consultas al servicio KeyOne CertStatus de KeyOne CA. Dicho servicio obtiene información sobre el estado de certificados de la misma base de datos de KeyOne CA.

Etapas de validación Los mecanismos de actualización descritos en Fuentes de información, pág. 38, pueden personalizarse y combinarse en modo gráfico mediante la definición de sucesivas etapas de validación (Figura 8-2).

Nota La Figura 8-2 muestra el asistente gráfico para la definición de etapas de validación.


39

Figura 8-2. Definición gráfica de etapas de validación.

AD98985E 2.31

WWW.SAFELAYER.COM


41

CAPÍTULO 9

Sellado de tiempo

KeyOne TSA ................................................................................................................................................... 41 Trazas de sello de tiempo ........................................................................................................................... 42 En este capítulo describiremos el sistema de sellado de tiempo de KeyOne.

Nota Incorporar un sello de tiempo a una firma electrónica asegura el instante exacto en el que se ha producido una transacción. Por ello, el sello de tiempo (combinado con la firma electrónica) garantiza el no repudio de cualquier transacción electrónica (e. g. comercio, banca, relaciones con la administración).

KeyOne TSA KeyOne TSA proporciona un servicio de generación de sellos de tiempo basado en el protocolo TSP de IETF. Dicho servicio incluye las siguientes funcionalidades:

• Recepción y procesado de peticiones de sellado de tiempo.

• Generación y entrega de sellos de tiempo.

Para ello, KeyOne TSA puede operar con un HSM (en red o interno) y requiere acceso tanto a una base de datos como a una fuente de tiempo en red. En concreto, KeyOne TSA utiliza el reloj del sistema. Dicho reloj puede sincronizarse con fuentes fiables (e. g. GPS, relojes con osciladores de alta estabilidad) mediante mecanismos ajenos a KeyOne (e. g. NTP).

Nota La Figura 9-1 ilustra tanto la arquitectura general de KeyOne TSA como su interrelación con los componentes de red (mediante el protocolo de sellado de tiempo de IETF).

AD98985E 2.31 Sellado de tiempo

WWW.SAFELAYER.COM


42

Figura 9-1. Arquitectura de una solución de sellado de tiempo.

Trazas de sello de tiempo La emisión de sellos de tiempo es plenamente auditable gracias al mecanismo de trazas que guarda información de cada petición procesada.

Nota La Figura 9-2 muestra el asistente gráfico de consulta de trazas de sello de tiempo.

Figura 9-2. Consulta de trazas de sello de tiempo.

AD98985E 2.31

WWW.SAFELAYER.COM


43

CAPÍTULO 10

Alta disponibilidad y capacidad de carga

Configuración del entorno en alta disponibilidad ................................................................................. 44 Soporte KeyOne para alta disponibilidad ............................................................................................... 44

Transaccionalidad 44 Acceso compartido al material criptográfico 45 Monitorización y estadísticas 45 Servicio de operación remota 45

Algunas soluciones como la validación de certificados, el sellado de tiempo o incluso la gestión de certificados requieren las siguientes condiciones de ejecución:

• Disponibilidad 24x7 (24 horas al día, 7 días a la semana). Este tipo de servicio nunca debe interrumpirse, ni siquiera cuando se enfrenta a un imprevisto (e. g. error humano, fallo de software o hardware).

• Incremento de la carga transaccional (a medida que crecen las necesidades de negocio).

Las soluciones KeyOne garantizan dichas condiciones al permitir que dos o más servidores compartan un sistema de base de datos y ofrezcan conjuntamente un mismo servicio.

Nota La Figura 10-1 ilustra una arquitectura de alta disponibilidad para ofrecer servicios de certificación y validación.

AD98985E 2.31 Alta disponibilidad y capacidad de carga

WWW.SAFELAYER.COM


44

Figura 10-1. Arquitectura con prestaciones de alta disponibilidad.

Configuración del entorno en alta disponibilidad

Los servicios o elementos relacionados con KeyOne pueden ser configurados de la siguiente manera para dotar de mayor disponibilidad al sistema:

• Clusterizar la base de datos.

• Redundar toda la red o algunos elementos de red (e. g. tarjetas de red, repartidor de carga).

• Incorporar sistemas de monitorización especializados que, en caso de detectar bajos niveles de servicio, informen sobre el estado de todos los componentes del sistema.

Nota En este tipo de arquitecturas, es necesario un sistema de reparto o balanceo de carga para detectar eventuales caídas de algún servidor y distribuir la carga entre los servicios operativos.

Soporte KeyOne para alta disponibilidad Para facilitar este tipo de arquitecturas, las soluciones KeyOne incluyen características como las descritas en esta sección.

Transaccionalidad Las operaciones de las aplicaciones KeyOne se llevan a cabo de forma transaccional. Para ello, las aplicaciones KeyOne instaladas en varios servidores

AD98985E 2.31 Alta disponibilidad y capacidad de carga


45

acceden a una única base de datos. De este modo, se garantiza un estado siempre consistente de los datos que maneja el servicio. Dichos datos son además visibles desde cualquiera de las aplicaciones.

Acceso compartido al material criptográfico Las aplicaciones KeyOne pueden compartir el material criptográfico (tanto el hardware criptográfico como las claves privadas). Opcionalmente, dicho material puede replicarse para cada aplicación.

Monitorización y estadísticas Los servicios KeyOne incorporan un sistema de monitorización y estadísticas que suministra parámetros de calidad del servicio. Por ejemplo:

• Número de threads disponibles u ocupados.

• Número de clientes disponibles en la cola de peticiones.

• Intervalo de tiempo para actualizar estadísticas.

• Número de respuestas en el último intervalo de estadísticas.

• Tiempo medio para procesar una petición en el último intervalo de estadísticas.

• Tiempo máximo para procesar una petición en el último intervalo de estadísticas.

Servicio de operación remota Los servicios de KeyOne se pueden iniciar, parar o refrescar de forma remota gracias al servicio de operación remota. Dicho servicio (disponible en aplicaciones como KeyOne CA, KeyOne TSA, KeyOne VA o KeyOne XRA) es accesible mediante SSL y autenticación fuerte basada en certificado digital.

AD98985E 2.31

WWW.SAFELAYER.COM


47

CAPÍTULO 11

Sistema de seguridad

Sistema de control de acceso ................................................................................................................... 47 Roles de usuario 48

Sistema de protección de datos ............................................................................................................... 49 En este capítulo describiremos el sistema de seguridad de KeyOne. En concreto, la versión 4.0 de KeyOne incluye las siguientes mejoras de seguridad:

• Proceso de producción certificable según los criterios comunes (CC) en un nivel EAL4+. De este modo, KeyOne 4.0 dispone de un nivel de garantía ISO/IEC 15408 EAL4+ (ALC_FLR.2) conforme al Perfil de Protección CIMC Security Level 3 (Certificate Issuing and Management Component, NIST, 31 de Octubre de 2001). Consulte más información en www.oc.ccn.cni.es/certificacion_es.html.

• Registro de logs de emergencia.

• Modo de operación que fuerza una configuración según los requerimientos operativos de CWA-14167-1 o NSA/NIST CIMC.

El sistema de seguridad (común a los productos KeyOne) engloba a su vez los sistemas de control de acceso y de protección de datos.

Sistema de control de acceso El control de acceso comprueba que los usuarios del sistema dispongan de la autorización necesaria para ejecutar las funciones accesibles desde la interfaz gráfica o los sistemas remotos.

Tal como se explica en Sistema de seguridad, pág. 47, el sistema de acceso de KeyOne 4.0 soporta la operación en “Modo estricto NSA/NIST CIMC“ o “Modo estricto CWA-14167-1”. Por ello, el sistema puede operar según las recomendaciones de la Directiva 1999/93/EC y ETSI TS 101 862 para los Certificados Cualificados.

Nota La configuración del sistema sólo puede ser parametrizada en “Modo no estricto”.

AD98985E 2.31 Sistema de seguridad

WWW.SAFELAYER.COM


48

Roles de usuario El sistema de control de acceso de KeyOne se basa enteramente en roles. En concreto:

• Cada aplicación KeyOne define cuáles son sus acciones y qué privilegios se requieren para su ejecución. Dichos privilegios se agrupan en roles definidos por la política de seguridad. KeyOne permite además establecer incompatibilidades de roles.

• Los roles se asignan a grupos de usuarios. De este modo, se otorgan a dichos usuarios los privilegios necesarios para ejecutar una acción concreta.

Las aplicaciones KeyOne permiten incorporar y personalizar roles. No obstante, la configuración por defecto incluye los roles que describiremos en esta sección.

Roles de administración Los roles de administración agrupan los permisos necesarios para modificar la configuración dinámica de las aplicaciones. Así, en función de los parámetros de configuración afectados, distinguimos entre los siguientes roles de administración:

• El rol de administrador de la configuración de seguridad, también conocido como Security Officer.

• El rol de administrador de la configuración de mantenimiento (e. g. conexión con la base de datos, acceso a tarjetas inteligentes), también conocido como System Administrator.

Rol de auditoria El rol de auditor (también conocido como System Auditor) agrupa los permisos necesarios para inspeccionar tanto la configuración como la actividad de la aplicación. En concreto, el seguimiento de la actividad abarca los siguientes aspectos:

• Actividad relativa a la prestación de los servicios (e. g. funciones de PKI).

• Actividad relativa a la administración de la configuración (e. g. funciones de administración).

Nota El rol de System Auditor suele configurarse para que sea incompatible con el desempeño del resto de roles.

Roles de servicios PKI Los roles de servicios PKI agrupan los permisos necesarios para ejecutar operaciones PKI. Por ejemplo:

• El rol de aprobador de peticiones de certificación en un sistema de registro, también conocido como Registration Approver.

AD98985E 2.31 Sistema de seguridad


49

• El rol de registrador de peticiones de certificación, también conocido como Registration Officer.

• El rol de recuperador de claves de subscriptor a partir de copias de seguridad, también conocido como Key Recovery Officer.

Sistema de protección de datos El sistema KeyOne incorpora un mecanismo de integridad de datos propietario conocido como i3D. Dicho mecanismo garantiza lo siguiente:

• Integridad de las configuraciones del sistema y las diferentes aplicaciones.

• Integridad y autenticidad de los registros. En concreto, cada registro de datos se firma mediante un HMAC que incorpora una clave simétrica. De este modo, se garantiza que la entrada haya sido generada por el dispositivo autorizado.

• Detección de pérdida o incorporación no autorizada de registros.

• Histórico de registros. En concreto, cada modificación de un registro se añade al histórico. De este modo, el histórico garantiza la integridad del ciclo de vida de los registros.

En definitiva, el sistema i3D permite comprobar la integridad de los valores (presentes y pasados) que la aplicación almacena en la base de datos (e. g. datos de producción, registro de KeyOne).

AD98985E 2.31

WWW.SAFELAYER.COM


51

CAPÍTULO 12

Registro de eventos

Registro automático .................................................................................................................................... 51 Categorías de evento 52

Registro manual ............................................................................................................................................ 52 Registro de emergencia ............................................................................................................................. 52 Esta sección describe el sistema de registro de eventos (o sistema de log) de KeyOne. En concreto, el registro de eventos genera una traza completa de toda la actividad de las aplicaciones KeyOne:

• Acciones de administración ejecutadas sobre las aplicaciones (e. g. modificación de permisos, gestión de claves propias).

• Prestación de servicios PKI (e. g. emisión de certificados, sellado de tiempo).

En esta sección describiremos los principales mecanismos de registro de eventos.

Nota Los eventos registrados quedan protegidos tal como se explica en Sistema de protección de datos, pág. 49.

Registro automático El sistema KeyOne registra automáticamente los eventos internos de las aplicaciones. En concreto, cada evento interno corresponde a un conjunto de operaciones que una aplicación ejecuta de forma transaccional y cuyo éxito o fracaso se registra en la base de datos. De este modo, los eventos registrados por el sistema KeyOne constituyen una traza auditable de todas transacciones realizadas por las aplicaciones.

Los eventos registrados abarcan tanto las operaciones realizadas desde la interfaz de aplicación como mediante invocación al servidor remoto. Por ejemplo:

• Inicio y final de sesiones de usuario.

• Procesamiento de peticiones remotas (de certificación en KeyOne CA, de validación en KeyOne VA, de sello de tiempo en KeyOne VA).

• Operaciones de configuración ejecutadas desde la interfaz gráfica (creación de usuarios y grupos en KeyOne Console, modificación de perfiles de

AD98985E 2.31 Registro de eventos

WWW.SAFELAYER.COM


52

certificación en KeyOne CA, definición de etapas de validación en KeyOne VA, selección del certificado de firma de sellos de tiempo en KeyOne TSA).

Categorías de evento Los eventos registrados por el sistema KeyOne se agrupan en dos categorías principales:

• Eventos que culminan con éxito (categoría Information).

• Eventos cancelados por cualquier error (categoría Error).

Este comportamiento predeterminado puede personalizarse para establecer nuevas categorías (e. g. Fatal Error, Warning) o simplemente omitir el éxito o fracaso de algunas transacciones.

Registro manual El sistema KeyOne permite que un operador registre manualmente eventos externos. Esto es, eventos que ocurren fuera del sistema pero que repercuten en la seguridad de las aplicaciones o los servicios de PKI proporcionados. Por ejemplo:

• Copias de seguridad de la base de datos.

• Entrada y salida de operadores en las áreas de acceso restringido.

• Entrega a subscriptores de tarjetas inteligentes con claves y certificados.

Registro de emergencia Cuando por algún motivo (e. g. pérdida de conexión de red) es imposible registrar eventos en la base de datos, el sistema garantiza tanto el almacenamiento automático como la posterior recuperación de logs de emergencia.

De este modo, se asegura el registro continuado de todos los eventos generados por una aplicación KeyOne.

1 En primer lugar, el mecanismo de logs de emergencia guarda en la memoria del proceso los registros que no puedan escribirse en la base de datos.

2 Cuando se solucionan los problemas de acceso a la base de datos, se vuelcan los registros de emergencia en la base se datos. Si tras sucesivos intentos no es posible realizar dicha operación, se finalizará el servicio afectado.

3 Si, al arrancar de nuevo el servicio, el sistema detecta la existencia de logs de emergencia, intentará volcarlos en la base de datos.

AD98985E 2.31

WWW.SAFELAYER.COM


53

CAPÍTULO 13

Flujo de trabajo configurable

Librerías de componentes .......................................................................................................................... 54 Ejecución del flujo de trabajo mediante servicios web ........................................................................ 55

Ejemplo: ejecución del flujo de registro 56 En KeyOne, el ciclo de vida de los usuarios, claves y certificados sigue un flujo de trabajo plenamente configurable. De este modo, el funcionamiento por defecto de las aplicaciones KeyOne (en especial KeyOne CA y KeyOne XRA) puede personalizarse para adaptarse a las distintas necesidades de gestión de claves y procedimientos de registro.

Las operaciones configurables mediante flujo de trabajo comprenden tanto la gestión de aplicación (e. g. emisión y renovación de claves propias) como la prestación de servicios a terceros (e. g. aprobación de peticiones en KeyOne XRA, emisión y publicación de certificados en KeyOne CA). Además, dichas tareas pueden automatizarse (e. g. renovación automática de claves propias de TSA o VA). De este modo, al minimizar los procedimientos manuales, se garantiza la continuidad del servicio.

Las posibilidades de configuración del flujo de trabajo abarcan todos los ámbitos de ejecución:

• Funciones (e. g. aprobar usuario, crear petición de certificado).

• Entidades (e. g. entidad usuario, entidad certificado).

• Asistentes (Figura 13-1), formularios, vistas o layouts para ejecutar el flujo de trabajo desde la interfaz gráfica de aplicación.

• Integración con recursos externos (e. g. bases de datos corporativas, portal del cliente, herramientas de reporting).

• Automatismos (e. g. envío notificaciones por correo electrónico, publicación de certificados).

• Recursos de idioma de la interfaz de usuario (e. g. texto de los formularios, descripción de los parámetros, mensajes de error).

Nota La Figura 13-1 corresponde a un asistente de renovación de certificados.

AD98985E 2.31 Flujo de trabajo configurable

WWW.SAFELAYER.COM


54

Figura 13-1. Asistente para la renovación de certificados.

Librerías de componentes Las funciones del flujo de trabajo se programan en modo exclusivamente gráfico mediante la definición de procesos de componentes. Así, cada proceso se configura como una sucesión de componentes agrupados en etapas. Dichas etapas permiten además configurar propiedades como las siguientes:

• Transaccionalidad de las operaciones realizadas por los componentes.

• Generación de logs de ejecución.

Para todo ello, la familia de aplicaciones KeyOne incluye una completa librería de componentes con diferentes cometidos, desde la gestión de tarjetas criptográficas hasta el envío de correo electrónico.

Nota La Figura 13-2 muestra el proceso de componentes ejecutado por un procedimiento del flujo de trabajo.



55

Figura 13-2. Proceso de componentes ejecutado por un procedimiento.

Ejecución del flujo de trabajo mediante servicios web

Tal como se explica en Flujo de trabajo configurable, pág. 53, el flujo de trabajo de las aplicaciones KeyOne puede ejecutarse de las siguientes maneras:

• Desde la interfaz de usuario, mediante asistentes, formularios y vistas (Figura 13-1).

• Desde un cliente remoto, intercambiando mensajes con los servicios web de la aplicación.

De este modo, para cada operación del flujo de trabajo existe la posibilidad de crear automáticamente el correspondiente servicio web (Figura 13-3). Mediante dichos servicios, usuarios remotos debidamente acreditados pueden ejecutar las diferentes tareas del flujo de trabajo o simplemente consultar el estado actual de las entidades implicadas (usuarios, certificados, claves).

Además de seleccionar las funciones que se expondrán como servicio web, las opciones de configuración del flujo de trabajo permiten seleccionar los roles de usuario necesarios para ejecutarlas. De este modo, la ejecución remota queda protegida tanto por un control de acceso como por la transmisión de datos mediante SSL/TLS.

Nota La Figura 13-3 muestra las opciones de configuración del servicio Web expuesto por un procedimiento del flujo de trabajo.


WWW.SAFELAYER.COM


56

Figura 13-3. Configuración del servicio Web de un procedimiento.

Ejemplo: ejecución del flujo de registro El flujo de trabajo ejecutado por el servidor de KeyOne XRA para registrar usuarios y emitir certificados (Figura 13-4) puede ser ejecutado tanto en modo local (mediante asistente) como remoto (mediante servicios web).

De este modo, la aplicación soporta ambas modalidades de ejecución para cada uno de los pasos de registro:

1 El usuario se registra en el sistema.

2 El oficial de registro consulta la lista de registros y aprueba a los que considera suficientemente acreditados. Dichos usuarios son notificados mediante un mensaje de correo automáticamente generado por el sistema.

3 El usuario ya aprobado se autentica en el sistema y solicita la emisión de certificados.

4 La autoridad de certificación procesa la petición y emite el certificado.

5 El usuario descarga el certificado.



57

Figura 13-4. Flujo de registro de usuarios y emisión de certificados

AD98985E 2.31

WWW.SAFELAYER.COM


59

CAPÍTULO 14

Especificaciones técnicas

Componentes ............................................................................................................................................... 59 Herramientas de integración ..................................................................................................................... 60 Plataformas ................................................................................................................................................... 60 Requisitos de operación ............................................................................................................................. 60 Gestión de roles y usuarios.......................................................................................................................... 60 Registro de eventos ..................................................................................................................................... 61 Generación de claves y certificados ....................................................................................................... 61

Generación de claves y certificados de usuario 61 Generación de claves y certificados de servidor 62

Gestión de claves ........................................................................................................................................ 63 Copia y recuperación 63 Revocación 63

Personalización de productos ................................................................................................................... 63 Estándares ..................................................................................................................................................... 63 Este capítulo describe las principales especificaciones técnicas de un sistema KeyOne.

Componentes La siguiente tabla detalla los productos KeyOne que implementan cada componente de una PKI.

Componente Producto

Autoridad de Certificación KeyOne CA

Autoridad de Registro KeyOne XRA para registro remoto. KeyOne LXRA para registro presencial.

Autoridad de Validación KeyOne VA

Autoridad de Sellado de Tiempo KeyOne TSA

Recuperación de claves Extensión KeyOne KA de KeyOne CA

AD98985E 2.31 Especificaciones técnicas

WWW.SAFELAYER.COM


60

Herramientas de integración Los productos KeyOne incluyen las siguientes herramientas de integración:

• Interfaz para integrar como servicio web las funciones de aplicación (e. g. KeyOne XRA, KeyOne CA).

• Módulos de gestión de impresoras de tarjetas y conexión con CMS (sistema de gestión de tarjetas inteligentes). Dichos módulos se distribuyen como extensiones opcionales de KeyOne CA, KeyOne XRA y KeyOne LXRA.

Plataformas Los productos KeyOne pueden ejecutarse sobre las plataformas detalladas en la siguiente tabla.

OS DBMS

Windows, Solaris Oracle, SQL Server

Requisitos de operación La Autoridad de Certificación KeyOne CA puede operar de las siguientes maneras:

• De forma autónoma (e. g. como Autoridad de Certificación raíz) sin ningún otro componente.

• Con uno o varios componentes KeyOne XRA.

• Con una o varias aplicaciones conectadas a sus servicios web.

Gestión de roles y usuarios El control de acceso a las aplicaciones KeyOne (e. g. KeyOne CA, KeyOne XRA, KeyOne TSA, KeyOne VA) se basa en roles. Para ello, un gestor centralizado de usuarios, grupos y roles permite realizar las siguientes acciones:

• Dar de alta a usuarios del sistema.

• Añadir usuarios a grupos.

• Asociar privilegios a grupos de usuarios.



61

Nota La gestión de permisos soporta los siguientes modos de operación: Modo estricto CWA 14167-1 (el sistema opera según requerimientos Directiva 1999/93/EC y ETSI TS 101 862 para Certificados Cualificados); Modo estricto NSA/NIST CIMC; Modo no estricto (el sistema permite parametrizar perfiles, roles e incompatibilidades entre roles).

Registro de eventos El sistema de eventos de KeyOne permite configurar los siguientes aspectos:

• Tipos de eventos automáticos que deben registrarse.

• Grado de severidad de los eventos.

• Acciones asociadas a los eventos.

• Eventos externos añadidos manualmente por el operador.

Nota El sistema de integridad de datos i3D de Safelayer garantiza la integridad y la autenticidad de los registros. En concreto, se ha incorporado un mecanismo de emergencia que garantiza la continuidad del registro ante un posible malfuncionamiento del sistema de almacenamiento.

Generación de claves y certificados Los productos KeyOne soportan diversos modos de generación de claves y certificados.

Generación de claves y certificados de usuario Esta sección describe los modos de generación de claves y certificados de usuario.

Nota Las claves privadas pueden generarse tanto en el sitio cliente o como en la autoridad de certificación. Además, la política de certificación permite configurar soporte para múltiples claves.

Modo presencial La generación presencial de claves y certificados de usuario sigue los siguientes pasos.

1 El usuario facilita sus datos al operador de KeyOne XRA (o KeyOne LXRA).

2 El operador genera una petición de certificado y la envía a KeyOne CA.


WWW.SAFELAYER.COM


62

3 La aplicación KeyOne CA aplica el perfil de certificación y genera el certificado. Opcionalmente, puede generar además el par de claves.

4 KeyOne CA envía el certificado a KeyOne XRA (o KeyOne LXRA) para que sean entregados en tarjeta inteligente al usuario que los solicitó.

Modo remoto La generación remota de claves y certificados de usuario sigue los siguientes pasos.

1 El usuario facilita sus datos a KeyOne XRA mediante un formulario web. Previamente puede haber generado el par de claves.

2 El operador de KeyOne XRA aprueba la solicitud (de forma remota o desde consola) y envía la petición a KeyOne CA.

3 La aplicación KeyOne CA aplica el perfil de certificación y genera los certificados.

4 KeyOne envía el certificado a KeyOne XRA. Opcionalmente, puede enviar la información del certificado a una fábrica de tarjetas o impresora.

5 KeyOne XRA envía un mensaje al usuario para indicarle cómo recoger el certificado.

Modo automático La generación automática de claves y certificados de usuario sigue los siguientes pasos.

1 Los datos obtienen en un lote a partir de una fuente fiable (base de datos o directorio).

2 El lote de datos se envía a KeyOne CA.

3 La aplicación KeyOne CA aplica las políticas de certificación y emite los certificados.

4 KeyOne CA envía los certificados en un lote de respuesta. Opcionalmente la información puede enviar la información de los certificados a una fábrica de tarjetas o impresora.

Generación de claves y certificados de servidor La generación de claves y certificados de servidor sigue los siguientes pasos.

1 El servidor genera el par de claves.

2 El servidor envía la clave pública a KeyOne XRA (o la entrega al operador de KeyOne LXRA).

3 El operador de KeyOne XRA aprueba la petición y la envía a KeyOne CA.

4 La aplicación KeyOne CA aplica los perfiles de certificación y envía el certificado a KeyOne XRA o KeyOne LXRA.



63

Gestión de claves Los productos KeyOne ofrecen los servicios de gestión de claves descritos en esta sección.

Copia y recuperación La extensión KeyOne KA para KeyOne CA permite realizar las siguientes operaciones:

• Guardar claves generadas por KeyOne CA (normalmente claves de cifrado).

• Obtener dichas claves en formato RSA. En concreto, las claves son obtenidas en un PKCS #12 protegido por una clave dividida en N partes. A cada parte sólo tiene acceso un operador específico.

Revocación Los operadores de KeyOne XRA o KeyOne LXRA pueden revocar claves. En concreto, la revocación de claves se reporta de los siguientes modos:

• Generando listas de revocación.

• Consultando mediante protocolo OCSP el servicio KeyOne VA.

Personalización de productos Los productos KeyOne son fácilmente personalizables mediante la configuración en modo gráfico de su flujo de trabajo. Para ello, disponen de una completa librería de componentes que ejecutan diferentes operaciones.

Estándares La siguiente tabla describe los principales estándares soportados por los productos KeyOne.

Elemento Estándares soportados

HSM/Token Dispositivos PKCS #11 homologados por Safelayer.

Certificados ITU-T X.509v3

Extensiones propietarias IETF, Microsoft, Netscape. Posibilidad de incorporar cualquier extensión.

Petición de certificado PKCS #10 o ITU-T X.509v3 autofirmado


WWW.SAFELAYER.COM


64

Elemento Estándares soportados

Entrega de certificados ITU-T X.509v3, PKCS #7, PKCS #12

CRL ITU-T X.509v2 (CRLv2)

Protección de datos IETF CMS/PKCS #7 y SSL.

Validación de certificados en línea

RFC2560

Sellado de tiempo RFC3161

Directorio LDAP y Microsoft Active Directory

Algoritmos de cifrado DES, TRIPLE DES, AES - 128, AES – 256, RC2, RC4

Algoritmos de firma RSA, DSA, ECDSA

Algoritmos de hash SHA1, SHA256, SHA384, SHA512, MD2, MD5, RIPEMD –160

AD98985E 2.31

SAFELAYER SECURE COMMUNICATIONS, S.A.

Edif. Valrealty C/ Basauri, 17 Edif. B Pl. Baja Izq. Of. B 28023 Madrid (SPAIN) Tel.: +34 91 7080480 Fax: +34 91 3076652 Edif. World Trade Center (S-4), Moll de Barcelona S/N 08039 Barcelona (SPAIN) Tel.: +34 93 5088090 Fax: +34 93 5088091

WWW.SAFELAYER.COM

Documents

KeyOne - Familia de productos - safelayer.com · manera, sin el permiso de Safelayer Secure Communications, S.A. Microsoft, Windows, NT, Access y SQL-Server son marcas registradas