Servicio Público de Empleo Estatal CERTIFICADO DE SELLO ELECTRÓNICO POLÍTICA DE CERTIFICACIÓN. ÁREA DE SEGURIDAD Y LOGÍSTICA

Transcripción

1 Servicio Público de Empleo Estatal CERTIFICADO DE SELLO ELECTRÓNICO POLÍTICA DE CERTIFICACIÓN OID: Versión 1.0 Fecha: 16 de Noviembre de 2011 Página 1 de 24

2 Índice Capítulo 1. Introducción Objeto Nombre e Identificación del documento Participantes Autoridades de Certificación Autoridades de Registro Suscriptores Uso de los Certificados Usos permitidos de los certificados de sello electrónico Usos no permitidos de los certificados de sello electrónico Política de administración de la política de certificación Organización que administra la política de certificación Procedimientos de aprobación de la política de certificación Actualizaciones de la política de certificación 9 Capítulo 2. Identificación y Autenticación Nombres Tipos de Nombres 10 Página 2 de 24

3 Necesidades de nombres significativos Anonimato o alias de los titulares Validación inicial de la identidad Métodos de prueba de posesión de la clave privada _ Identificación y autenticación en las peticiones de renovación de claves y certificados Identificación y autenticación para las peticiones de revocación de certificados 11 Capítulo 3. Requisitos del ciclo de vida de los certificados Solicitud de los certificados Quién puede realizar una petición de certificado Registro de las solicitudes de certificados Tramitación de solicitud de certificados Procedimientos para la identificación y funciones de autenticación Aprobación o denegación de la solicitud de certificados Plazo para procesar la solicitud de certificado Emisión de certificados Procedimiento para la emisión del certificado Notificación al solicitante de la emisión por la AC del certificado Aceptación del certificado Procedimientos para la aceptación del certificado 13 Página 3 de 24

4 Publicación del certificado Par de claves y uso del certificado Uso del certificado y de la clave privada por el titular Uso del certificado y de la clave pública por los terceros aceptantes Renovación de certificados sin cambio de claves Renovación de certificados con cambio de clave Modificación de certificados Revocación y suspensión de certificados Causas de revocación de certificados Quién puede presentar la solicitud de revocación? _ Procedimiento de solicitud de revocación Efectos de la revocación Plazo para la tramitación de la solicitud de revocación Requisitos de verificación de las revocaciones por los terceros aceptantes Servicio de consulta del estado del certificado Características operacionales Disponibilidad del servicio Fin de la suscripción Retención y recuperación de las claves 16 Capítulo 4. Controles Técnicos de Seguridad 17 Página 4 de 24

5 4.1. Generación e instalación del par de claves Generación del par de claves Entrega del par de claves al titular Entrega de la clave pública al emisor del certificado _ Entrega de la clave pública de la AC Longitud de las claves Parámetros de generación de la clave pública y verificación de la calidad Usos admitidos de la clave Protección de la clave privada y características del módulo criptográfico Archivo de la clave privada Otros aspectos de la gestión de claves Medidas de seguridad Requisitos técnicos específicos Evaluación del nivel de seguridad 19 Capítulo 5. Perfil del certificado de sello electrónico Perfil del certificado Número de versión Extensiones del certificado Formatos de nombre Restricción de nombres 22 Página 5 de 24

6 Identificador del objeto (OID) de la política de certificación Utilización de la extensión Certificate Policies 22 Capítulo 6. Requisitos comerciales y legales Obligaciones y responsabilidad civil Suscriptores 24 Página 6 de 24

7 Capítulo 1. Introducción 1.1. Objeto El presente documento recoge la Política de Certificación de los certificados de Sello Electrónico emitidos por la Autoridad de Certificación (AC) del Servicio Público de Empleo Estatal (SEPE), que define los mecanismos y procedimientos para la emisión, gestión, revocación, renovación y cualquier otro proceso que afecte al ciclo de vida de los certificados de Sello Electrónico utilizados para la firma electrónica automatizada de documentos. Todas las partes que utilizan los servicios de los certificados de sello electrónico del SEPE tienen la obligación de conocer esta Política de Certificación y ajustar su actividad a lo dispuesto en la misma. Para elaborar su contenido se ha seguido la estructura de la RFC 3647, incluyendo aquellos apartados que resultan específicos para este tipo de certificado. La información adicional relativa a los procedimientos y condiciones de prestación de servicios de certificación se encuentra en la Declaración de Prácticas de Certificación de la AC del SEPE Nombre e Identificación del documento Nombre del documento SEPE. Certificados de Sello Electrónico. Política de Certificación Versión del documento 1.0 Estado del documento Aprobado Fecha de emisión 16/11/2011 OID (Object Identifier) Ubicación de la DPC Participantes Página 7 de 24

8 Autoridades de Certificación La AC del SEPE proporciona servicios de expedición y gestión de certificados de Sello Electrónico a las entidades que los soliciten, y que cumplan los requisitos para ello Autoridades de Registro La autoridad de registro es el componente encargado de realizar la validación de las solicitudes de certificados de sello electrónico Suscriptores Los suscriptores son las personas y organismos que obtienen y utilizan los certificados de Sello Electrónico emitidos por la AC del SEPE Uso de los Certificados Usos permitidos de los certificados de sello electrónico Los certificados de sello electrónico emitidos por la Autoridad de Certificación del SEPE sólo pueden ser utilizados para los propósitos explícitamente permitidos e indicados en esta política de certificación. Los certificados de sello electrónico se utilizan para la firma electrónica en las actuaciones automatizadas realizadas por el SEPE Usos no permitidos de los certificados de sello electrónico Los certificados de sello electrónico no podrán ser utilizados para propósitos diferentes a los indicados en el punto de esa política de certificación Política de administración de la política de certificación El SEPE se reserva el derecho de hacer revisiones y actualizaciones de sus políticas si así lo estimase oportuno, y es el único organismo autorizado para hacer modificaciones sobre esta política de certificación Organización que administra la política de certificación Página 8 de 24

9 Nombre Servicio Público de Empleo Estatal Dirección Dirección C/ Condesa de Venadito Madrid España Teléfono Fax Procedimientos de aprobación de la política de certificación La del SEPE acordará por unanimidad las modificaciones de esta política de certificación Actualizaciones de la política de certificación Tras la aprobación de la política de certificación de sello electrónico, el SEPE publicará la misma en la dirección reemplazando la Política de Certificación actual. Página 9 de 24

10 Capítulo 2. Identificación y Autenticación 2.1. Nombres Tipos de Nombres Los certificados emitidos por la AC del SEPE contienen el nombre distintivo del emisor y el destinatario del certificado en los campos Issuer Name y Subject Name respectivamente. Para el certificado de sello electrónico, en el nombre distintivo del Subject Name se incluyen los siguientes campos: CN = PLATAFORMA DE VALIDACIÓN, FIRMA Y CUSTODIA ELECTRÓNICA SERIALNUMBER = Q H OU = Sello Electrónico O = SERVICIO PÚBLICO DE EMPLEO ESTATAL C = ES Necesidades de nombres significativos Las normas seguidas por esta DPC garantizan que los nombres distintivos (DN) de los certificados de sello electrónico son lo suficientemente significativos para asociar de forma inequívoca la clave pública con una identidad única Anonimato o alias de los titulares No estipulado Validación inicial de la identidad Métodos de prueba de posesión de la clave privada Página 10 de 24

11 La pertenencia de los diferentes órganos o entidades solicitantes de los certificados de Sello al ámbito del SEPE, garantiza la capacidad de éste de autenticar y acreditar la identidad de los suscriptores Identificación y autenticación en las peticiones de renovación de claves y certificados Se realiza de la misma forma que para la validación inicial de la identidad Identificación y autenticación para las peticiones de revocación de certificados Se realiza de la misma forma que para la validación inicial de la identidad. Página 11 de 24

12 Capítulo 3. Requisitos del ciclo de vida de los certificados 3.1. Solicitud de los certificados Quién puede realizar una petición de certificado La solicitud del certificado de sello electrónico para un organismo dependiente del SEPE la realizará la persona en representación de ese organismo Registro de las solicitudes de certificados La Autoridad de Registro perteneciente al SEPE debe asegurar que las solicitudes de certificados son completas, precisas y están debidamente autorizadas Tramitación de solicitud de certificados Procedimientos para la identificación y funciones de autenticación Una vez que el SEPE verifique la identidad del solicitante del certificado de sello electrónico y compruebe la documentación aportada, enviará la solicitud a la AC para la emisión del certificado correspondiente Aprobación o denegación de la solicitud de certificados La Autoridad de Registro será la encargada de comprobar que todos los datos son correctos antes de proceder a la petición del certificado a la AC, y en caso contrario, denegará la solicitud de certificados Plazo para procesar la solicitud de certificado No estipulado. Página 12 de 24

13 3.3. Emisión de certificados Procedimiento para la emisión del certificado La emisión del certificado de sello electrónico tiene lugar una vez que la Autoridad de Certificación ha llevado a cabo las comprobaciones necesarias para validar la solicitud de certificación. La generación de las claves privadas y certificados de sello electrónico se realizará de forma segura en la AC, y una vez generados se importarán en un HSM compatible con la norma FIPS nivel 3, donde se custodiarán de forma segura Notificación al solicitante de la emisión por la AC del certificado No estipulado Aceptación del certificado Procedimientos para la aceptación del certificado El SEPE considerará que se ha aceptado el certificado una vez que ha sido remitido al organismo que realizó la solicitud Publicación del certificado No estipulado Par de claves y uso del certificado Uso del certificado y de la clave privada por el titular La utilización de los certificados de Sello atenderá a los usos previstos en la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos y en su normativa de desarrollo. Página 13 de 24

14 Tras la extinción de la vigencia o la revocación del certificado de sello, el titular deberá dejar de usar la clave privada asociada, y los correspondientes certificados Uso del certificado y de la clave pública por los terceros aceptantes Los terceros aceptantes que utilicen los certificados de sello electrónico emitidos por la AC del SEPE están obligados a la normativa indicada en la DPC del SEPE y en la Política de Certificación de sello electrónico Renovación de certificados sin cambio de claves En el ámbito de la AC del SEPE no se realizará renovación de certificados de sello sin cambio de claves. Todas las renovaciones de certificados implicarán cambio de las claves privadas Renovación de certificados con cambio de clave Se aplica el mismo procedimiento que en la emisión inicial Modificación de certificados En el ámbito de la AC del SEPE no se permite la modificación de certificados de sello electrónico ya emitidos Revocación y suspensión de certificados La revocación de un certificado supone la pérdida de validez del mismo, y es irreversible. La suspensión, en cambio, supone la pérdida de validez temporal de un certificado, y es reversible Causas de revocación de certificados Los motivos por los cuales puede procederse a la revocación de un certificado de sello electrónico, pueden ser: Página 14 de 24

15 Suspensión Temporal: debido a una situación de desconfianza temporal. En este estado se puede cambiar al estado activo al de revocado permanentemente. Las claves están comprometidas: cuando la clave privada asociada a un certificado se ve comprometida y puede utilizarse en un ataque dándole un mal uso. Cese de operación: cuando el certificado de sello electrónico deja de utilizarse para los motivos por los que fue emitido. Sin especificar: revocación por una razón diferente a las mencionadas anteriormente Quién puede presentar la solicitud de revocación? El representante autorizado del organismo titular del certificado de sello electrónico emitido anteriormente por la AC del SEPE Procedimiento de solicitud de revocación El representante autorizado del organismo titular del certificado de sello electrónico se pondrá en contacto con el SEPE y solicitará la revocación de su certificado indicando todos los datos que se aportaron en la solicitud del mismo Efectos de la revocación Las revocaciones y suspensiones en vigor desde el momento en que aparecen publicados en la CRL. El certificado de sello electrónico revocado dejará de tener validez para las aplicaciones para las que fue emitido Plazo para la tramitación de la solicitud de revocación La solicitud de revocación debe ser tratada lo más pronto posible, a efectos de evitar el uso malintencionado del certificado revocado Requisitos de verificación de las revocaciones por los terceros aceptantes. Página 15 de 24

16 No estipulado Servicio de consulta del estado del certificado En la Sede Electrónica del SEPE ( existe un servicio de validación del certificado de sello electrónico, disponible en el enlace Servicios de validación electrónica de Sede / Validación del certificado de Sello Electrónico. Además de la validación, es posible realizar la descarga el certificado de sello electrónico Características operacionales No estipulado Disponibilidad del servicio No estipulado Fin de la suscripción La suscripción de un certificado de sello electrónico expedido por el SEPE puede finalizar en los siguientes casos: Revocación del certificado de sello. Vencimiento de la validez del certificado de sello Retención y recuperación de las claves La AC del SEPE no realiza retención ni recuperación de claves y certificados de sello. Página 16 de 24

17 Capítulo 4. Controles Técnicos de Seguridad 4.1. Generación e instalación del par de claves Generación del par de claves La generación de las claves privadas y certificados de sello electrónico se realizará de forma segura en la AC, y una vez generados se importarán en un HSM compatible con la norma FIPS nivel 3, donde se custodiarán de forma segura Entrega del par de claves al titular El par de claves y certificados se almacena en un módulo hardware seguro (HSM), y se ponen a disposición del titular del mismo en un fichero protegido con contraseña Entrega de la clave pública al emisor del certificado Ver apartado Entrega de la clave pública de la AC El certificado raíz de la AC se incluye en la cadena de certificación del certificado de sello emitido Longitud de las claves Las claves de los certificados de sello electrónico tienen una longitud de 2048 bits Parámetros de generación de la clave pública y verificación de la calidad Los parámetros de clave pública son generados conforme a la norma PKCS#1. El algoritmo usado para la generación de las claves es RSA Usos admitidos de la clave Página 17 de 24

18 Las extensiones "keyusage" y extendedkeyusage de los certificados indica el uso para el que deben ser utilizados según se recomienda en el RFC-3280, y deben establecerse como extensiones críticas. Los usos de la clave para los certificados de sello electrónico son los siguientes (extensión keyusage ): Digital Signature Content Commitment Key Encipherment Data Encipherment Los usos extendidos de la clave para los certificados de sello electrónico son los siguientes (extensión extendedkeyusage ): Protection Client Authentication 4.2. Protección de la clave privada y características del módulo criptográfico La generación de las claves privadas y certificados de sello electrónico se realizará de forma segura en la AC, y una vez generados se importarán en un HSM compatible con la norma FIPS nivel 3, donde se custodiarán de forma segura Archivo de la clave privada No estipulado Otros aspectos de la gestión de claves No estipulado. Página 18 de 24

19 4.4. Medidas de seguridad Los datos concernientes a este apartado se consideran información confidencial y solo se proporcionan a quien acredite la necesidad de conocerlos, como en el caso de auditorías externas o internas e inspecciones Requisitos técnicos específicos El SEPE garantiza que los elementos que acompañan al sistema de certificación de clave pública, están protegidos contra accesos no autorizados. Adicionalmente el SEPE limita el acceso a estos sistemas únicamente a individuos que desempeñan un papel de confianza y motivos válidos para dicho acceso Evaluación del nivel de seguridad Los distintos sistemas y productos utilizados por el SEPE son fiables y protegidos contra modificaciones. Los productos y sistemas que se están evaluando se enumeran, de conformidad con las especificaciones técnicas en los requisitos CWA , evaluándose el grado de cumplimiento mediante un perfil de protección adecuado, de acuerdo con la normativa EESSI y con la norma ISO Página 19 de 24

20 Capítulo 5. Perfil del certificado de sello electrónico 5.1. Perfil del certificado El perfil y características de los certificados de sello electrónico emitidos por el SEPE siguen estas normativas: RFC-3280 (Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile). Perfiles de certificados electrónicos LAECSP v1.7.5 ( ) Número de versión Los certificados de sello electrónico emitidos por la AC del SEPE utilizan el estándar X.509 versión 3 (X.509 v3) Extensiones del certificado A continuación se recogen las extensiones del certificado de sello electrónico que emite la AC del SEPE: Certificado de Sello Electrónico Nombre atributo Valor Tipo Versión V3 Campo v1 Número de serie Secuencial Campo v1 Algoritmo de firma SHA1withRSAEncryption Campo v1 Emisor OU=AC SPEE, O=SPEE, C=ES Campo v1 Validez 3 años Campo v1 Página 20 de 24

21 Asunto CN = PLATAFORMA DE VALIDACIÓN, FIRMA Y CUSTODIA ELECTRÓNICA SERIALNUMBER = Q H OU = Sello Electrónico O = SERVICIO PÚBLICO DE EMPLEO ESTATAL C = ES Campo v1 Chave pública RSA 2048 Bits Campo v1 Uso de la clave Firma Digital No Repudio Cifrado de clave Cifrado de datos Extensión Período de uso de la clave privada 70 % del tiempo de vida del certificado Extensión Bases del certificado Nombre Alternativo del Sujeto Puntos de distribución de CRL Authority Key Identifier Subject Key Identifier ID Directiva= ID de calificador de Directiva= CPS Calificador= Texto de aviso=certificado sujeto a Declaración de Prácticas de Certificación de SEPE, donde se establecen limitaciones en la responsabilidad. OID =SELLO ELECTRÓNICO OID =SERVICIO PÚBLICO DE EMPLEO ESTATAL OID =Q H CN=CRL167, OU=AC SPEE, O=SPEE, C=ES Derivada de utilizar la función de hash SHA-1 sobre la clave pública de la AC emisora. Derivada de utilizar la función de hash SHA-1 sobre la clave pública del sujeto Extensión Extensión Extensión Extensión Extensión Restricciones básicas Entidad Final Extensión Algoritmo de SHA1 Extensión Página 21 de 24

22 identificación v7.1 Extensión Uso mejorado de claves Autenticación del cliente ( ) Correo seguro ( ) Extensión crítica Firma Digital No disponible Extensión Formatos de nombre Los certificados de sello electrónico emitidos por la AC del SPEE contienen el nombre distintivo del emisor y del titular del certificado en los campos Issuer Name y Subject Name respectivamente Restricción de nombres El nombre distintivo para los certificados de sello electrónico es único y no ambiguo Identificador del objeto (OID) de la política de certificación El SEPE dispone de un identificador único a partir del cual genera sus propios OIDs. Este identificador es El OID específico para la política de certificación de sello electrónico es el Utilización de la extensión Certificate Policies Esta extensión contiene los siguientes elementos: OID del DPC de la AC del SEPE: o URL donde se publicará la DPC y la política de certificación de la AC del SEPE: o Página 22 de 24

23 Nota informativa acerca del contenido del certificado. o Certificado sujeto a Declaración de Prácticas de Certificación de SEPE, donde se establecen limitaciones en la responsabilidad. Página 23 de 24

24 Capítulo 6. Requisitos comerciales y legales 6.1. Obligaciones y responsabilidad civil Suscriptores Los organismos titulares de los certificados de sello electrónico emitidos por la AC del SEPE están obligados a: 1º Suministrar al SEPE la información necesaria para realizar su correcta identificación. 2º Notificar cualquier cambio en los datos aportados para la emisión del certificado durante su periodo de validez. 3º Custodiar la clave privada y el certificado de sello electrónico de manera diligente. 4º Realizar un uso adecuado del certificado de sello electrónico conforme a lo especificado en la presente Política de Certificación. Página 24 de 24