Siguiendo con la entrada relacionada con las Declaraciones de Políticas de Certificación, nos queda pendiente detallar el contenido de la RFC 3647.
El documento está estructurado en distintos puntos, en los que se describe la finalidad del mismo, definiciones y comparativas con el estándar anterior (RFC 2527), entre otros. El punto más importante de la misma, y sobre el cual deberíamos centrar nuestra atención es el que describe la especificación de la estructura que debe seguir una CPS; el apartado 4. Se pasa a detallar a continuación los puntos principales de la especificación, junto a una pequeña descripción de los mismos:
- 1 – Introducción: En este punto se describen principalmente los datos de la CA, datos concretos de identificación del documento, implicados en la infraestructura de la PKI, condiciones de uso de los certificados, etc.
- 2 – Publicación de información y repositorio de certificados: Se detalla información respecto al repositorio de información y certificados; dicha información abarca su ubicación, frecuencia de actualización, controles de acceso aplicados, etc.
- 3 – Identificación y Autenticación: Se debe describir el mecanismo empleado para la identificación de los usuarios y los certificados; así como las restricciones aplicables. Adicionalmente se establecen los mecanismos de validación inicial, con validación se entienden las comprobaciones previas a realizar antes de expedir, renovar o revocar un certificado digital, sea del tipo que sea, para asegurar la identidad del suscriptor.
- 4 – Ciclo de Vida de los Certificados: En este punto se detallan todas las medidas o tratamientos establecidos para el tratamiento de los certificados digitales en cualquier punto de su vida; desde la emisión, renovación, revocación, modificación, comprobación de estado, etc.
- 5 – Controles de Seguridad Física, Gestión y Operaciones: En este apartado se detallan las medidas de seguridad aplicadas en el entorno de la CA, concretamente se establecen las siguientes categorías:
- Controles de Seguridad Física
- Controles sobre Procedimientos
- Controles de Seguridad del Personal
- Controles de Registro de Seguridad
- Controles sobre Archivo de Información
- Cambio de Clave
- Controles en caso de Compromiso de la Clave y Recuperación ante Desastres
- Finalización de la Actividad de la CA
Como se puede ver, y como para más de uno que esté familiarizado con la gestión de seguridad de la información, esta especificación tiene en cuenta muchos puntos en común con estándares generalistas de seguridad como ISO 27001; aunque se incluyen más requisitos concretos y propios del tipo de actividad (como la gestión del ciclo de vida del certificado). Hay que entender que una CA es un entorno de muy alta criticidad, ya que si se vulnerara una clave de la misma, podría afectar a gran cantidad de personas o organizaciones; pudiendo llegar a graves perjuicios económicos en las mismas.
Con esto es todo para esta entrada, a modo de ampliación de información os dejo un enlace a una CPS de una Autoridad de Certificación Nacional, la cual se ha construido siguiendo los estándares marcados por la RFC 3467.
Más sobre certificado digital e infraestructura de PKI en próximas entradas. Como siempre, muchas gracias por leernos.
CPS Agencia de Certificación de la Comunidad Valenciana (ACCV) – http://www.accv.es/fileadmin/Archivos/Practicas_de_certificacion/ACCV-CPS-V3.0.pdf
Muy interesante esta serie. Con todos los requisitos que comentas se consigue una documentación del procedimiento excelente.
Buenas,
Primero de todo felicitarlo señor Cutanda por la serie de artículos aquí publicados, se aprende mucho y de forma sencilla leyendolos.
Quería planterarle una duda, soy estudiante de la escuela de ingenieria de Telecomunicaciones de Barcelona (UPC) y estoy cursando el Proyecto Final de Carrera, mi proyecto trata sobre la Criptografia y uno de los capítulos que estoy desarrollando és una cadena de confianza de PKI. En mi caso genero toda la escala de confianza des de la CA ROOT hasta el usuario final. Digamos como si fuera una PKI privada, se puede considerar para el uso interno de una organización. Un ejemplo podría ser el control de accesos de un edificio de la misma Universidad con SmartCards que incluyeran Certificados digitales para dar acceso. El caso que trato es un poco más complejo pero para plantear mi pregunta creo que con este ejemplo ya se puede entender. Mi pregunta es si las CA’s que quiero constituir son para el uso interno de una organización, así pues no todo el mundo tiene acceso como podría ser el caso de las CA’s de servidores web, ¿se deben seguir también una CPS? ¿Debería notificarlo a alguna Administración? ¿Que impedimentos legales hay en que un particular cree una cadena de confianza con cifrado de pares de claves (pública/privada) para su propio uso?
Muchas grácias por la atención,
Salud!