Política de Certificación. IRIS-PCA. POLÍTICA DE CERTIFICACIÓN IRIS-PCA Versión 1.5 Noviembre del 2003 OID:

Transcripción

1 POLÍTICA DE CERTIFICACIÓN IRIS-PCA Versión 1.5 Noviembre del 2003 OID:

2 INTRODUCCIÓN... IDENTIDAD DE LA PCA... RedIRIS... ÁMBITO DE LA PCA... EL ÁRBOL DE CERTIFICACIÓN... USO DE LAS AGENCIAS DE REGISTRO (RAs)... PRIVACIDAD Y SEGURIDAD... REQUERIMIENTOS DE SEGURIDAD IMPUESTOS A LAS CLAVES E IDENTIDADES DE LA IRIS-PCA... REQUERIMIENTOS DE SEGURIDAD IMPUESTOS A LAS CLAVES E IDENTIDADES DE LAS CAs SUBORDINADAS... POLITICA DE CERTIFICACIÓN... POLÍTICA DE SEGURIDAD... PERÍODO DE VALIDEZ DE LOS CERTIFICADOS DIGITALES... CONVENCIONES DE NOMBRES... USO DE EXTENSIONES EN CERTIFICADOS X509V3... MANEJO DE CERTIFICADOS... MANEJO DE CRL... OBLIGACIONES... OBLIGACIONES DE RedIRIS... OBLIGACIONES DE LA AGENCIA DE REGISTRO DE RedIRIS... OBLIGACIONES DE LAS AUTORIDADES DE CERTIFICACIÓN FIRMADAS POR LA IRIS-PCA... RESPONSABILIDADES... RESPONSABILIDADES DE RedIRIS... RESPONSABILIDADES DE LA AGENCIA DE REGISTRO DE RedIRIS... RESPONSABILIDADES DE LAS AUTORIDADES DE CERTIFICACIÓN FIRMADAS POR LA IRIS-PCA... REVOCACIONES... CAUSAS ADMISIBLES DE REVOCACIÓN... REVOCACIÓN DE UN CERTIFICADO DE IDENTIDAD PERSONAL... REVOCACIÓN DE UN CERTIFICADO DIGITAL DE SERVIDOR... REVOCACIÓN DE UN CERTIFICADO DIGITAL DE CA... 2

3 ANEXO Ia. Protocolo de emisión de Certificados Digitales de Identidad Personal... ANEXO Ib. Protocolo de emisión de Certificados Digitales de Servidor... ANEXO Ic. Protocolo de emisión de Certificados Digitales para firma de Objetos y Código... ANEXO Id. Protocolo de emisión de Certificados Digitales de CA... ANEXO IIIa Modelo orientativo de solicitud de CDIP... ANEXO IIIb - Modelo orientativo de solicitud de CDS... ANEXO IIId1. Documento de participación en la Infraestructura de Certificación de RedIRIS... ANEXO IIId2. Solicitud de Certificado de CA... ANEXO IIIe1. Documento de revocación o suspensión de clave... ANEXO IIIe1. Documento de revocación o suspensión de clave... ANEXO IV. DEFINICIONES... 3

4 INTRODUCCIÓN En este documento se describe Política de Certificación para la Autoridad de Certificación IRIS-PCA, dentro de la Infraestructura de Clave Pública para la comunidad Académica y de Investigación Española (RedIRIS- PKI). En esta estructura jerárquica de certificación, la IRIS-PCA certificará exclusivamente las claves públicas de aquellas otras Autoridades de Certificación instaladas en organismos e instituciones de la comunidad de RedIRIS. Éstas, a su vez, podrán emitir Certificados Digitales de Identidad Personal (CDIP), Certificados Digitales de Servidores (CDS) y Certificados Digitales para firma de Objetos y Códigos (CDO) según políticas al menos tan restrictivas o más que las descritas en este documento. Así mismo, estas Autoridades de Certificación podrán autorizar servicios de certificación en otras autoridades, creando su propia jerarquía de Autoridades de Certificación. La IRIS-PCA podrá tener un certificado autofirmado o no, puesto que este extremo es opcional. IDENTIDAD DE LA PCA Distinguished Name (DN): C=ES,O=RedIRIS,CN=IRIS- PCA/ =IRIS-PCA / =pca@rediris.es IRIS-PCA será gestionada por: RedIRIS, CSIC C/ Serrano nº MADRID SPAIN pca@rediris.es Personas de Contacto: Chelo Malagón chelo.malagon@rediris.es Tel: Fax: Diego López drlopez@rediris.es Tel: Fax: Información sobre la Infraestructura de Clave Publica para la comunidad RedIRIS (RedIRIS-PKI): (Versión Española) (Versión Inglesa) RedIRIS RedIRIS es la red académica y de investigación española financiada por el Plan Nacional de I+D y gestionada por el Centro de Comunicaciones CSIC RedIRIS del Consejo Superior de Investigaciones Científicas. Se puede encontrar más información sobre ella en: 4

5 ÁMBITO DE LA PCA El ámbito de la IRIS-PCA viene determinado por la Política de Certificación IRIS-PCA. La IRIS-PCA sólo certificará las claves públicas de aquellas otras Autoridades de Certificación instaladas en organismos e instituciones de la comunidad RedIRIS, y en ningún caso emitirá directamente certificados de identificación personal, de servidor o de firma de objeto alguno. Estas Autoridades podrán tener un certificado autofirmado o no, puesto que este extremo es opcional. EL ÁRBOL DE CERTIFICACIÓN El árbol de certificación se compone de los siguientes elementos distinguidos: Autoridad de Certificación IRIS-PCA, que certificará exclusivamente las claves públicas de aquellas otras Autoridades de Certificación instaladas en organismos e instituciones de la comunidad de RedIRIS y que estará gestionada por el personal del Centro de Comunicaciones RedIRIS. Autoridades de Certificación subordinadas, ubicadas en organismos o instituciones de la comunidad RedIRIS. Estas CAs serán gestionadas por la propia organización según políticas tanto o más restrictivas que las descritas en este documento y podrán contar con el asesoramiento, si es necesario, del equipo que gestiona la IRIS-PCA. Estas CAs podrán disponer opcionalmente de un certificado autofirmado. Agencias de Registro, que serán las encargadas de la autenticación e identificación de los usuarios y de completar el protocolo definido para la emisión y revocación de certificados. Certificados Digitales de Identidad Personal (CDIP). Certificados Digitales de Servidor (CDS). Certificados Digitales para firma de Objetos y Código (CDO). USO DE LAS AGENCIAS DE REGISTRO (RAs) Debido a que en muchas ocasiones la Autoridad de Certificación se puede encontrar alejada de los usuarios finales, se establecerán Agencias de Registro que serán las encargadas de la autenticación e identificación de los usuarios y de completar los protocolos definidos para la emisión y revocación de certificados. Según el caso, el certificado se podrá obtener en la propia Agencia de Registro (si ésta lo permite), podrá ser enviado al solicitante vía correo electrónico, o bien el usuario podrá obtenerlo tantas veces como crea oportuno a través del servidor de claves asociado con la Autoridad de Certificación emisora de la credencial digital. Los Agentes de Registro que forman parte de las Agencias de Registro de las distintas organizaciones u organismos de la comunidad RedIRIS, formarán parte del personal de las mismas y serán designados por aquellos. Los Agentes de Registro que forman parte de la Agencia de Registro que controla las actividades de la IRIS-PCA formarán parte del personal del Centro de Comunicaciones RedIRIS. El intercambio de información para verificar la identidad, y los protocolos de certificación que se seguirán son descritos en este documento, y dependerán del tipo de certificado a emitir. En este aspecto, se distinguen cuatro tipos de certificados: 5

6 Certificados Digitales de Identidad Personal (CDIP). Certificados Digitales de Servidor (CDS). Certificados Digitales para firma de Objetos y Código (CDO). Certificados Digitales de CAs. PRIVACIDAD Y SEGURIDAD REQUERIMIENTOS DE SEGURIDAD IMPUESTOS A LAS CLAVES E IDENTIDADES DE LA IRIS-PCA La PCA operará en una estación de trabajo dedicada sin conexión a la red. El intercambio de información entre la estación de trabajo dedicada a la operación de la PCA y el resto del mundo se realizará mediante el uso de dispositivos de almacenamiento removibles. La clave privada de la PCA estará en todo momento cifrada cuando se almacene de modo permanente (disquetes, cintas, etc.). Tanto el hardware como el software de la estación que opera la PCA se mantendrá en todo momento físicamente seguro. El par de claves RSA de la PCA tendrá una longitud de 2048 bits. Se establecerá un sistema periódico de backup de la estación de trabajo que opere la PCA. Estas copias se guardarán en lugar seguro. Si la clave privada de la IRIS-PCA fuera comprometida, se procedería a la revocación de la misma, siendo solamente válidos aquellos certificados emitidos por ella cuya fecha de emisión fuera anterior a la fecha de revocación de la misma y cuyos figerprints hayan sido publicados en medios del todo ajenos a la red (periódicos, impresos, notas oficiales impresas, etc.). A partir de ese momento, quedarán revocados todos los certificados de las CAs subordinadas y éstas no podrán emitir certificados válidos hasta que no se restaure la identidad de la IRIS-PCA y se vuelvan a generar certificados para las claves públicas de las CAs dependientes. REQUERIMIENTOS DE SEGURIDAD IMPUESTOS A LAS CLAVES E IDENTIDADES DE LAS CAs SUBORDINADAS Las CAs operarán en una estación de trabajo dedicada. Esta estación de trabajo podrá estar conectada a la red, en cuyo caso, el intercambio de información entre la estación dedicada y el resto del mundo se realizará vía SSL con autentificación unilateral de servidor y utilizando claves simétricas de longitud y entropía no inferior a 128 bits, y con claves asimétricas de longitud no inferior a 1024 bits si se trata de claves RSA y 2048 bits en el caso de claves DSS. Esta estación de trabajo deberá tener deshabilitados todos los servicios de red que no sean imprescindibles para el funcionamiento del servicio, manteniendo seguros aquellos que sean necesarios 1. 1 Estos parámetros se actualizarán en función de la evolución que se vaya produciendo en el mercado con el fin de ofrecer la suficiente seguridad en cada momento 6

7 Si la estación de trabajo dedicada está desconectada de la red, el intercambio de información entre la estación de trabajo dedicada a la operación de la CA y el resto del mundo se realizará mediante el uso de dispositivos de almacenamiento removibles. La clave privada de la CA estará en todo momento cifrada cuando se almacene de modo permanente (disquetes, cintas, etc.). Tanto el hardware como el software de la estación que opera la CA se mantendrá en todo momento físicamente seguro. El par de claves RSA de una CA tendrá como mínimo una longitud de 1024 bits 1, y en ningún caso será superior a la longitud de claves de la CA firmante. POLITICA DE CERTIFICACIÓN POLÍTICA DE SEGURIDAD El objetivo de cualquier Autoridad de Certificación delegada de la IRIS-PCA será únicamente a la emisión de Certificados Digitales de Identidad Personal, Certificados Digitales de Servidores, Certificados Digitales para la firma de Objetos y Código, y Certificados Digitales para otras CAs subordinadas dentro de la misma organización. Sólo se emitirán Certificados Digitales de Identidad Personal para aquellos beneficiarios que mantengan una relación probada con alguna de las instituciones u organismos de la comunidad RedIRIS. Sólo se emitirán Certificados Digitales de Servidores a favor de aquellos equipos ubicados en los locales de instituciones u organismos de la comunidad de RedIRIS, que sean gestionados por personal propio vinculado de forma permanente con las mencionadas instituciones u organismos. Sólo se emitirán Certificados Digitales para firma de Objetos y Código a favor de los responsables designados por cada una de las instituciones u organismos de la comunidad RedIRIS para tal función. Estos responsables sólo firmarán electrónicamente el código desarrollado en su propia organización. La Autoridad de Certificación IRIS-PCA certificará exclusivamente las claves públicas de aquellas otras Autoridades de Certificación instaladas en organismos e instituciones de la comunidad de RedIRIS, y gestionados por personal propio vinculado de forma permanente con los mencionados organismos o instituciones. La emisión de cualquier Certificado Digital de Identidad Personal será la última consecuencia del protocolo de identificación que se describe en el Anexo Ia. La emisión de cualquier certificado digital de Servidor será la última consecuencia del protocolo de identificación que se describe en el Anexo Ib. La firma electrónica de objetos y código será la última consecuencia del protocolo que se describe en el Anexo Ic. La emisión de cualquier certificado digital por parte de la IRIS-PCA para una CA será la última consecuencia del protocolo que se describe en el Anexo Id. La revocación de cualquier certificado se realizará de acuerdo a lo establecido en el 1 7

8 apartado "Revocaciones". PERÍODO DE VALIDEZ DE LOS CERTIFICADOS DIGITALES El período de validez de los Certificados Digitales de Identidad Personal vendrá determinado por el vínculo de su titular con la entidad emisora. El periodo de validez de los Certificados Digitales de Identidad de Servidor será como máximo el especificado en la relación del responsable técnico directo del servidor. En principio no se establece un periodo de validez para los certificados emitidos a las CAs, pero se aconseja no firmar certificados por un periodo de validez superior a 4 años. Las CAs subordinadas no podrán tener un periodo de validez superior a la de la CA firmante. Cuando se haya superado cuatro quintos del tiempo de vida de la Autoridad de Certificación IRIS-PCA, se generará una nueva identidad. A partir de ese momento, las nuevas inscripciones se harán firmando certificados con esa nueva identidad. De este modo las CAs dependientes dispondrán de una quinta parte del tiempo para solicitar nuevos certificados a la nueva identidad. CONVENCIONES DE NOMBRES Cada Entidad Certificadora tiene que establecer mecanismos que aseguren la unicidad de los DN (Distinguished Names) de los certificados digitales que emita. Las CAs deben usar DNs que reflejen el ámbito organizacional bajo el cual se va a certificar. El DN de las CAs a firmar por la Autoridad de Certificación IRIS-PCA debe proporcionar forzosamente los siguientes datos: C= <CountryName> O= <OrganizationName> CN= <CommonName>, siendo el resto de los datos opcionales. La IRIS-PCA podrá firmar solicitudes cuyos DNs contengan atributos DC (domain component), siempre que éstos reflejen la información sobre el país, organización y nombre común como se especifica en el párrafo anterior. En el caso del CountryName (o del atributo DC equivalente que refleje el nombre del país), este deberá ser forzosamente "ES" o "es", no aceptando peticiones de firma digital que posean un valor diferente. En el caso de Certificados de Identidad Personal, de Servidor, de Objetos y de CAs subordinadas, será la CA que los certifica la encargada de asignar los DN apropiados. USO DE EXTENSIONES EN CERTIFICADOS X509V3 Se recomienda el uso de las siguientes extensiones X509v3 para los certificados que sean firmados por la IRIS-PCA. Los valores apropiados para estas extensiones o para cualquier otra que quiera ser incorporada, deberán ser determinados apropiadamente en el documento de solicitud. CRLDistributionPoint. Determina la URL absoluta o relativa donde está ubicada la Lista de Certificados Revocados (CRL) donde se podría encontrar la entrada de revocación del certificado que contiene dicha extensión. Sólo debe aparecer en Certificados Digitales de CA. 8

9 netscape-revocation-url. Determina la URL absoluta o relativa donde está ubicada la Lista de Certificados Revocados (CRL) emitidos por una CA determinada. Sólo aparecen CDIPs, CDSs y CDOs. netscape-cert-type. Limita el uso de un certificado al especificado en esta extensión (SSL client, SSL server, S/MIME, Object Signing, SSL CA, S/MIME CA, Object Signing CA). basicconstraints. Esta extensión se utiliza durante el proceso de verificación de la cadena de certificación para identificar los certificados de CA y para aplicar la longitud máxima de la cadena de certificación a la misma. La componente ca del basicconstrains debe ser "true" en el caso de Autoridades de Certificación. Por otro lado la componente PathLenConstrain, que determina la longitud máxima de la cadena de certificación, debe estar fijado a un valor no superior a 4. netscape-ca-policy-url. Determina la URL relativa o absoluta donde está ubicada esta Política de Certificación. KeyUsage. Especifica el uso de la clave contenida en el certificado (encipherment, non repudiation, signature, etc.). Si aparece, esta extensión debe ser crítica tanto para la PCA como para las CAs subordinadas. AuthorityKeyIdentifier. Permite identificar la clave pública correspondiente a la clave privada con la que se firma el certificado. SubjectkeyIdentifier. Permite identificar certificados que contienen una clave pública determinada. MANEJO DE CERTIFICADOS Cada Entidad Certificadora debe mantener un repositorio o base de datos con los certificados que ha firmado, de manera que estén disponibles al público a través de un servicio de distribución de certificados. Así mismo, la Autoridad de Certificación IRIS-PCA mantendrá constancia, en las páginas Web habilitadas para tal fin, de todos los certificados emitidos o revocados por ella. MANEJO DE CRL Las CRLs (Certificate Revocation List) deben ser firmadas, al menos una vez al mes, por la CA correspondiente, y cada vez que se revoque un certificado. Estas CAs serán responsables de establecer una extensión en su certificado que indique la URL donde encontrar la Lista de Certificados Revocados para que de esta manera sea fácilmente accesible por los usuarios. La CA correspondiente se comprometerá a mantener actualizada la CRL, incluyendo todos los certificados revocados desde la última actualización. OBLIGACIONES OBLIGACIONES DE RedIRIS Le corresponden las siguientes obligaciones a RedIRIS, como gestor de la Autoridad de Certificación IRIS-PCA: 9

10 Ofrecer y mantener la infraestructura necesaria para el establecimiento de una estructura jerárquica de certificación en la comunidad RedIRIS, según la Política de Certificación descrita en este documento. Implementar y mantener los requerimientos de seguridad impuestos a las claves e identidades de la Autoridad de Certificación IRIS-PCA, según lo descrito en este documento en el apartado "Privacidad y Seguridad". Aprobar o denegar las solicitudes de certificados y, en el primer caso, emitir los certificados de acuerdo con lo establecido en el apartado "Política de Seguridad" de este documento. Poner copias de sus propios certificados y de cualquier información de revocación a disposición de quien desee verificar una firma digital con referencia a dichos certificados. Para ello, se publicará y se mantendrá actualizada dicha información en las páginas Web destinadas a la Infraestructura de certificación (Ver apartado Identidad de la PCA ) Revocar los certificados según el protocolo establecido en el apartado "Revocaciones" de este documento. Mantener actualizadas la Lista de Certificados Revocados (CRLs), incluyendo todos los certificados revocados desde la última actualización. Proteger los datos de carácter personal que sean suministrados por los solicitantes a la Agencia de Registro de RedIRIS, de acuerdo con la normativa vigente de protección de datos, Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de protección de datos de carácter personal y sus normas de desarrollo. Comunicar inmediatamente, a los responsables técnicos directos de las CAs subordinadas, el compromiso, pérdida, divulgación, modificación, uso no autorizado de la clave privada de la Autoridad de Certificación IRIS-PCA, con el fin de restaurar la jerarquía lo antes posible según lo establecido en el apartado "Seguridad y Privacidad" de este documento. OBLIGACIONES DE LA AGENCIA DE REGISTRO DE RedIRIS La Agencia de Registro de RedIRIS: Llevará a cabo cada uno de los pasos descritos en el protocolo de emisión de certificados digitales por parte de la Autoridad de Certificación IRIS-PCA para las CA subordinadas, según lo descrito en el Anexo Id de este documento, en aras de determinar si corresponde o no la emisión de dicho certificado. Llevará a término la identificación y autentificación para la revocación de certificado, de acuerdo con los procedimientos de validación establecidos en el apartado "Revocaciones" de este documento. Realizará la carga de las solicitudes de certificados y revocación válidas en el sistema. Protegerá los datos personales de los solicitantes, que no podrán ser cedidos a terceros bajo ningún concepto (Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de protección de datos de carácter personal y sus normas de desarrollo). Atenderá las solicitudes, peticiones y requisitos de los solicitantes referidas a los procedimientos propios de la Agencia de Registro y de la entidad de emisión, la cual no se deberá comunicar con el usuario final en ningún caso. 10

11 OBLIGACIONES DE LAS AUTORIDADES DE CERTIFICACIÓN FIRMADAS POR LA IRIS-PCA Toda Autoridad de Certificación y sus correspondientes Agentes de Registro conocen la Política de Certificación seguida por la Autoridad de Certificación IRIS-PCA, comprometiéndose a seguir las siguientes normas: Una Autoridad de Certificación registrada por la Autoridad de Certificación IRIS-PCA en ningún caso emitirá certificados con una duración superior a la vigencia del vínculo administrativo existente entre el solicitante y la institución a la que pertenece. Toda Autoridad de Certificación registrada bajo la Autoridad de Certificación IRIS- PCA se compromete y obliga a notificar a ésta, a través de un medio seguro, cualquier revocación, suspensión o reactivación de sus claves para la emisión de certificados públicos, para que estas acciones tengan efecto dentro de la responsabilidad de la Autoridad de Certificación de RedIRIS. Toda Autoridad de Certificación registrada bajo la Autoridad de Certificación IRIS- PCA se compromete y obliga a proteger sus claves secretas utilizadas en la emisión de certificados públicos con el nivel de seguridad que se especifica en este documento en el apartado "Requerimientos de Seguridad impuestos a las claves e identidades de las CAs subordinadas". La política de certificación seguida por toda Autoridad de Certificación registrada bajo la Autoridad de Certificación IRIS-PCA será al menos tan restrictiva o más que la especificada en este documento. RESPONSABILIDADES RESPONSABILIDADES DE RedIRIS RedIRIS, como gestor de la Autoridad de Certificación IRIS-PCA, garantiza el cumplimiento de las obligaciones anteriormente expuestas. RedIRIS se responsabiliza frente a los grupos de interés participantes en la jerarquía de Certificación de los errores producidos por fallo de su sistema durante los procedimientos de recepción de solicitudes y de generación, renovación y revocación de certificados. Cualquier anomalía o incidente producidos entre el momento de la revocación de la clave privada de la IRIS-PCA y el momento de la notificación de tal punto a los responsables técnicos directos de las CAs subordinadas y posterior revocación de los certificados emitidos es responsabilidad única y exclusiva de RedIRIS. Cualquier incidente o responsabilidad nacidos del compromiso de la clave privada de la Autoridad de Certificación IRIS-PCA es responsabilidad única y exclusiva de RedIRIS. RESPONSABILIDADES DE LA AGENCIA DE REGISTRO DE RedIRIS Es responsabilidad de la Agencia de Registro de RedIRIS la correcta identificación de los solicitantes, tanto para la emisión de certificados como para la revocación de los mismos. 11

12 RESPONSABILIDADES DE LAS AUTORIDADES DE CERTIFICACIÓN FIRMADAS POR LA IRIS-PCA Cualquier anomalía o incidente producidos entre el momento de la revocación, suspensión o reactivación de una clave emisora de certificados públicos por parte de cualquier Autoridad de Certificación inscrita en la jerarquía, y el momento de la notificación de tal extremo a la Autoridad de Certificación IRIS-PCA es responsabilidad única y exclusiva de aquélla. Cualquier incidente o responsabilidad nacidos del compromiso de la clave privada de firma de una Autoridad de Certificación inscrita en la jerarquía será responsabilidad única y exclusiva de aquélla. REVOCACIONES CAUSAS ADMISIBLES DE REVOCACIÓN Cualquier certificado podrá ser revocado si: Ha existido pérdida, robo, modificación, divulgación no autorizada u otro compromiso de la clave privada asociada al certificado. Se han incumplido alguna de las obligaciones descritas en la Política de Certificación. Se conoce o se tienen motivos para creer razonablemente que uno de los hechos representados en el certificado es falso. Se conoce que alguno de los requisitos de emisión del certificado no fue cumplido. El sistema de certificación se vio comprometido de modo tal que afecta a la fiabilidad del certificado. Fallecimiento del signatario. Cambio de información relativa al suscriptor. Se sospecha que la información contenida en el certificado es inexacta. Resolución administrativa o judicial que lo ordene. Se produce un error en la emisión de un certificado. Cese en sus actividades del prestador de servicios de certificación salvo que, previo consentimiento del signatario, los certificados expedidos por aquel sean transferidos a otro prestador de servicios. La clave privada de la Autoridad de Certificación IRIS-PCA fuera comprometida, en cuyo caso, serían revocados todos los certificados de las CAs subordinados y éstas no podrían emitir certificados válidos hasta que no se restaure la identidad de la IRIS-PCA y se vuelvan a generar certificados para las claves públicas de las CAs dependientes. REVOCACIÓN DE UN CERTIFICADO DE IDENTIDAD PERSONAL Cualquier Autoridad de Certificación inscrita bajo la Autoridad de Certificación IRIS-PCA deberá revocar un Certificado Digital de Identidad Personal, a petición del suscriptor del mismo, una vez que haya comprobado que la persona que realiza la solicitud de revocación es en efecto el suscriptor, sin que sea preciso justificar la petición en modo alguno y siguiendo el protocolo que se describe a continuación: 12

13 La identificación de las personas se hará a través del Documento Nacional de Identidad, el Pasaporte o la Tarjeta de Residencia. El solicitante de la credencial se personará ante el Agente de Registro asociado y le presentará cualquiera de las credenciales antes mencionadas para que el agente verifique la autenticidad y vigencia de las mismas. Confirmada la autenticidad y validez de las credenciales presentadas por el solicitante, el Agente de Registro verificará la razonable coincidencia entre la fotografía contenida en aquellas y la apariencia física del solicitante. El Agente de Registro comprobará que el solicitante posee un certificado firmado por la CA a la que representa. A continuación, el Agente de Registro pedirá al solicitante que entregue y firme, en su presencia, un documento de solicitud de Revocación. Una vez firmado el documento, el Agente de Registro comprobará la firma manuscrita del documento de solicitud con la que aparece en las credenciales oficiales presentadas, después de lo cual procederá también a la firma manual y sellado de la solicitud. El Agente de Registro enviará la solicitud de revocación a la Autoridad de Certificación, para que la ejecute. REVOCACIÓN DE UN CERTIFICADO DIGITAL DE SERVIDOR Cualquier Autoridad de Certificación inscrita bajo la Autoridad de Certificación IRIS-PCA podrá revocar un Certificado Digital de Servidor siguiendo el protocolo que se describe a continuación: El solicitante de la revocación de una credencial de Servidor será su responsable técnico y deberá disponer de una credencial de Identidad Personal emitida por una Autoridad de Certificación inscrita bajo la Autoridad de Certificación IRIS-PCA de la institución u organismo donde se encuentra ubicado el servidor. El solicitante enviará a la Agencia de Registro de la CA, junto con una copia de su Credencial de Identidad Personal, una solicitud de revocación firmada con su clave personal. Este envío se puede realizar a través de un mensaje de correo firmado o a través de un archivo firmado. El Agente de Registro procederá a verificar tanto la validez del Certificado de Identidad del solicitante como la firma que acompaña a la solicitud digital. Una vez verificada la identidad del solicitante y la autenticidad de la solicitud digital, el Agente de Registro enviará la solicitud de revocación a la Autoridad de Certificación, para que la ejecute. REVOCACIÓN DE UN CERTIFICADO DIGITAL DE CA La revocación de un Certificado Digital de CA firmado por la Autoridad de Certificación IRIS-PCA, se realizará siguiendo el protocolo descrito a continuación: Será el responsable técnico directo de la Autoridad de Certificación inscrita bajo la IRIS-PCA el que solicitará a la Agencia de Registro de la IRIS-PCA la revocación del certificado. Para que dicha revocación se lleve a cabo, el responsable deberá hacer llegar a la Agencia de Registro de RedIRIS, con la mayor brevedad posible, además del 13

14 documento de solicitud (Anexo IIIe1), el código secreto emitido por la Agencia de Registro en el momento en el que se aprobó la emisión de un Certificado Digital en favor de dicha CA. La Agencia de Registro comprobará que el código secreto corresponde con el emitido en su momento y si es así, procederá a enviar la solicitud de revocación a la Autoridad de Certificación para que ésta la ejecute. A partir de este momento, se consideran inválidos todos los certificados firmados por dicha CA, procediendo a la generación de un nuevo certificado firmado por la Autoridad de Certificación IRIS-PCA. Llegados a este punto, la Autoridad de Certificación adscrita generará todos los certificados para los miembros de su comunidad, firmándolos con la nueva clave privada. 14

15 ANEXO Ia. Protocolo de emisión de Certificados Digitales de Identidad Personal La identificación de las personas se hará a través del Documento Nacional de Identidad, el Pasaporte o la Tarjeta de Residencia. En el caso de que la Autoridad de Certificación disponga de los datos necesarios para validar una identidad por adelantado, dicha CA podrá generar automáticamente las claves y certificados asociados a estas identidades, permitiendo de este modo un modelo donde las CAs generen los pares de claves y los certificados por lotes. En este caso, la verificación de la correspondencia entre estas identidades y las personas físicas se realizará cuando estas últimas se presenten en la Autoridad de Registro a recoger sus credenciales. En este caso, se deberá especificar en la Política de Certificación, un método para monitorizar la eliminación de las claves privadas asociadas a los Certificados Digitales de Identidad Personal generados. Siempre que sea posible, se recomienda desde RedIRIS el uso de un modelo distribuido para la generación de claves y petición de certificados, donde sean los interesados los que generen su par de claves y soliciten la certificación a la CA correspondiente a partir de un formulario dispuesto para tal fin. Será necesaria la verificación de la correspondencia entre identidades y personas físicas en la Agencia de Registro antes de proceder a la emisión del certificado correspondiente. En este caso, el proceso de aprobación de peticiones se debe realizar una a una. El protocolo de identificación para ambos modelos se compondrá de los siguientes pasos: 1. El solicitante de la credencial se personará ante el Agente de Registro y le presentará cualquiera de las credenciales antes mencionadas para que el agente verifique la autenticidad y vigencia de las mismas. 2. Confirmada la autenticidad y validez de las credenciales presentadas por el solicitante, el Agente de Registro verificará la razonable coincidencia entre la fotografía contenida en aquellas y la apariencia física del solicitante. 3. Si la Autoridad de Certificación sigue un modelo distribuido, el Agente de Registro comprobará que el solicitante mantiene una relación profesional o académica con la organización. En el caso de alumnos, comprobará su matriculación en el curso académico actual, si se trata de un trabajador, comprobará que está contratado en ese momento. Si la institución no da la posibilidad de que los usuarios se generen su par de claves mediante software específico desarrollado para tal fin, el Agente de Registro podrá generarlas, llegados a este punto, en presencia del usuario e incluso solicitando su participación en el proceso. El usuario presentará entonces la solicitud electrónica de certificado al Agente de Registro, pudiendo ser generada por éste en el caso de que el usuario no disponga de la misma y un documento de solicitud en papel (ejemplo en Anexo IIIa). Estas solicitudes quedarán en poder del Agente de Registro, que será el encargado de hacerlas llegar a la Autoridad de Certificación. Es responsabilidad del Agente de Registro comprobar que dichas solicitudes están debidamente cumplimentadas y que todos los datos que aparecen en las mismas son correctos. 4. En este punto, el Agente de Registro pedirá al solicitante que firme, en su presencia, original y copia del documento de solicitud y, una vez hecho esto, el agente comprobará la firma manuscrita del documento de solicitud con la que aparece en las credenciales oficiales presentadas, después de lo cual procederá también a la firma manual y sellado de la solicitud, considerada a partir de este momento como aceptada. 15

16 4. Si la Autoridad de Certificación sigue un modelo centralizado o por lotes, el Agente de Registro comprobará con el propietario de las credenciales la veracidad de los datos reflejados en el certificado. En el caso de que alguno de los datos sea incorrecto, se devolverán las credenciales a la CA para su corrección. Se creará un documento de recepción de credenciales en papel, que deberá ser firmado en presencia del Agente de Registro por el solicitante. Éste comprobará la firma manuscrita del documento de recepción con la que aparece en las credenciales oficiales presentadas, después de lo cual procederá también a la firma manual y sellado de dicho documento. 5. Llegados a este punto al solicitante se le considera acreedor de un certificado digital de identidad como miembro de la comunidad de RedIRIS. La entrega del certificado digital se podrá hacer (1) en ese mismo momento si la instalación certificadora lo permite o bien (2) podrá ser enviado al solicitante por correo electrónico, o también (3) éste podrá obtenerlo tantas veces como crea oportuno a través del servidor de claves asociado con la Autoridad de Certificación emisora de la credencial digital. 16

17 ANEXO Ib. Protocolo de emisión de Certificados Digitales de Servidor La concesión de Certificados Digitales de Servidor se hará a través del protocolo de identificación que se describe a continuación: 1. El solicitante de una credencial de Servidor será su responsable técnico directo y deberá disponer de una credencial de Identidad Personal emitida por la Autoridad de Certificación inscrita bajo la Autoridad de Certificación de RedIRIS de la institución u organismo donde se encuentra ubicado el servidor. 2. El solicitante enviará a la Agencia de Registro de la CA correspondiente, junto con una copia de su Credencial de Identidad Personal, un documento de solicitud de certificado (ejemplo en el Anexo IIIb), con todos los campos que forman parte del documento correctamente cumplimentados y que deberá estar firmado con la clave personal del solicitante. 3. El Agente de Registro procederá a verificar tanto la validez del Certificado de Identidad del solicitante como la firma que acompaña a la solicitud digital. 4. Una vez verificada la identidad del solicitante y la autenticidad de la solicitud digital, el Agente de Registro analizará el contenido del documento de solicitud en aras a determinar si procede o no la aceptación de dicha solicitud. 5. Llegados a este punto, y en el caso de que la solicitud sea procedente, el servidor descrito en la solicitud pasa a ser acreedor de un Certificado Digital de Identidad como Servidor dentro de la comunidad de RedIRIS. La entrega del certificado digital se podrá hacer (1) enviándoselo al solicitante como mensaje de correo electrónico, o (2) el solicitante podrá obtenerlo tantas veces como crea oportuno a través del servidor de claves asociado con la Autoridad de Certificación emisora de la credencial digital. 17

18 ANEXO Ic. Protocolo de emisión de Certificados Digitales para firma de Objetos y Código El protocolo a seguir para la firma de objetos y código será el siguiente: 1. El solicitante de la firma de software será su responsable directo y deberá disponer de un certificado de Identidad Personal emitido por la Autoridad de Certificación inscrita bajo la Autoridad de Certificación de RedIRIS de la institución u organismo al que pertenece. 2. El solicitante enviará, por correo electrónico firmado digitalmente, a la entidad responsable de la firma de objetos y código designada por la CA, el software objeto de la solicitud, junto a otros datos referentes a las características de la firma que se consideren oportunos, como plataforma a utilizar (Netscape, Internet Explorer), etc. 3. En dicho correo electrónico firmado, el solicitante se responsabilizará de sus obligaciones, incluyendo en el cuerpo del mensaje el siguiente texto: D./Dña., con DNI Expone que desea solicitar que se firme el software adjunto por parte de <nombre de la institución>, en los términos en los que esta descrito en "La Política de Certificación de <nombre de la institución>". 4. En caso de no ser posible la transmisión mediante correo electrónico, debido al tamaño del software, se podrán habilitar otros medios para ello. 5. La entidad responsable de la firma de objetos y código procederá a verificar tanto la validez del Certificado de Identidad Personal del solicitante como la firma que acompaña a la solicitud digital. 6. Una vez verificada la identidad del solicitante, el responsable de firma de objetos y código firmará electrónicamente el software con un certificado válido creado para tal fin por la Autoridad de Certificación. 7. Llegados a este punto, el responsable de firma de objetos y código procederá al envío del software firmado al solicitante mediante correo electrónico firmado u otro medio autenticado. 18

19 ANEXO Id. Protocolo de emisión de Certificados Digitales de CA La concesión de un certificado digital firmado por la Autoridad de Certificación IRIS-PCA se hará bajo el protocolo descrito a continuación: 1. Será el responsable del grupo de interés (Universidad, Departamento, Facultad, OPI, Centro de Investigación, etc.), el que solicitará a la Agencia de Registro de RedIRIS la firma digital de una Autoridad de Certificación adscrita a la Autoridad de Certificación de RedIRIS. 2. El solicitante, a su vez, deberá designar al responsable técnico directo de la Autoridad de Certificación, el cual deberá mantener una relación contractual permanente con dicho organismo. 3. El solicitante deberá enviar a la Agencia de Registro de RedIRIS por correo certificado, junto con la designación formal del responsable técnico directo (Anexo IIId1) y la Política de Certificación a seguir por la CA solicitante, el documento de solicitud y el acuerdo legal que se especifican en el Anexo IIId2, con todos los campos que forman parte del documento debidamente cumplimentados. 4. Así mismo, se deberá hacer llegar vía corro electrónico (pca@rediris.es) a la Agencia de Registro de RedIRIS en formato PEM y como archivo indexado, la petición de certificado en formato PKCS#10 o como certificado autofirmado. 5. El Agente de Registro analizará la información enviada en el punto 3, en aras a determinar si procede o no la aceptación de dicha solicitud. 6. Llegados a este punto y en el caso de que la solicitud sea procedente, el grupo de interés solicitante será acreedor de una Autoridad de Certificación adscrita a la Autoridad de Certificación de RedIRIS. La entrega del certificado se realizará (1) vía correo electrónico al responsable técnico directo, o bien (2) éste podrá obtenerlo tantas veces como crea oportuno a través del servidor de claves asociado a la Autoridad de Certificación IRIS-PCA. 19

20 ANEXO IIIa Modelo orientativo de solicitud de CDIP Solicitud de Certificado Digital de Identidad Personal Agencia de Certificación: Fecha de la solicitud: Datos del Solicitante Nombre: Apellidos: NIF:.. - _ Expedido el / / válido hasta: / / Propósito de la clave: Firma Digital Comunicaciones Cifradas Autenticación de usuario Cliente HTTP... Restricciones de Uso: Sólo documentos o comunicaciones Oficiales Académicas o Profesionales Personales Uso privado... Datos de la Clave Pública Algoritmo: RSA DSS... Longitud de la clave : _. bits Identificador: Hex Fecha de fabricación : / / Hora: : : Periodo de Validez: Fecha de inicio: / / Hora: : : Fecha de caducidad: / / Hora: : : Módulo: Hex Exponente: Hex El firmante de esta solicitud declara que los datos contenidos en ella son ciertos y que se compromete a utilizar la clave pública aquí incluida y su clave secreta asociada para los fines que se declaran. El firmante declara con esta solicitud que conoce y acepta la política de certificación de la Agencia de Certificación y exime de toda responsabilidad a ésta de cualesquiera perjuicios devenidos que pudieran causarse con esta clave, su inscripción y/o el correspondiente certificado digital de Identidad. En, a de de 20

21 El Agente de Registro El solicitante Fdo: Fdo: 21

22 ANEXO IIIb - Modelo orientativo de solicitud de CDS Solicitud de Certificado Digital de Servidor Agencia de Certificación: Fecha de la solicitud: Datos del Servidor Tipo: HTTP / FTP / Correo /... Dirección IP: Puerto: Ubicación Geográfica Inst. u Organismo : Depto. O Unidad : Dirección Postal : CP Localidad : Provincia : Datos del solicitante Nombre: Apellidos: NIF:.. - _ Expedido el / / válido hasta: / / Datos de la Clave Pública Algoritmo: RSA DSS... Longitud de la clave : _. bits Identificador: Hex Fecha de fabricación : / / Hora: : : Periodo de Validez: Fecha de inicio: / / _ Hora: : : Fecha de caducidad: / / Hora: : : Módulo: Hex Exponente: Hex 22

23 El firmante de esta solicitud declara que los datos contenidos en ella son ciertos y que se compromete como responsable del Servidor que gestiona, a utilizar la clave pública aquí incluida y su clave secreta asociada para los fines que se declaran El firmante declara con esta solicitud que conoce y acepta la política de certificación de la Agencia de Certificación y exime de toda responsabilidad a ésta de cualesquiera perjuicios devenidos que pudieran causarse con esta clave, su inscripción y/o el correspondiente certificado digital de Identidad. En, a de de El Agente de Registro El solicitante Fdo: Fdo: 23

24 ANEXO IIId1. Documento de participación en la Infraestructura de Certificación de RedIRIS D. en calidad de a los efectos de este acuerdo en nombre y representación de, C.I.F: con domicilio en, provincia de CP Calle o plaza Expone que desea participar en la Infraestructura de Certificación de la Comunidad RedIRIS, en los términos descritos en "La Política de Certificación IRIS-PCA" y para lo cual designa como técnico responsable directo de la Autoridad de Certificación a firmar a: Apellidos: Nombre: N.I.F: Expedido el / / válido hasta: / / Cargo: Centro: Dirección postal: Teléfono: FAX: Dirección de correo electrónico:, a, de Firma y sello. 24

25 ANEXO IIId2. Solicitud de Certificado de CA Solicitud de Certificado de CA Agencia de Certificación: Fecha de la solicitud: Datos de la organización Inst. u Organismo : Dpto. o Unidad : Dirección Postal : CP Localidad : Provincia : Datos del responsable técnico directo Nombre: Apellidos: NIF:.. - _ Expedido el: / / Válido hasta: / / El firmante de esta solicitud declara que los datos contenidos en ella son ciertos y que se compromete como responsable técnico directo de la Autoridad de Certificación adscrita a la Autoridad de Certificación IRIS-PCA, a utilizar la clave pública aquí incluida y su clave secreta asociada para los fines que se declaran. El firmante declara con esta solicitud que conoce y acepta la política de certificación de la Agencia de Certificación de RedIRIS y exime de toda responsabilidad a ésta de cualesquiera perjuicios devenidos que pudieran causarse con esta clave, su inscripción y/o el correspondiente certificado digital de Identidad. En a de de El Agente de Registro El solicitante Fdo: Fdo: Datos de la Clave Pública Algoritmo: RSA DSS... Longitud de la clave : _. bits Identificador: Hex Fecha de fabricación : / / Hora: : : 25

26 Módulo: Hex Exponente: Hex Periodo de Validez (la fecha de caducidad no puede ser superior a la fecha de caducidad de la IRIS-PCA) Fecha de inicio: / / Hora: : : Fecha de caducidad: / / Hora: : : Extensiones (especifique que extensiones quiere incluir y los valores apropiados para las mismas) CRLDistributionPoint SI/NO NsCaPolicyUrl SI/NO nscomment NsRevocationUrl SI/NO SI/NO BasicConstraints Ca SI/NO NsCertType (SSL Client, SSL Server, S/MIME, Object Signing, SSLCA, S/MIME CA, Object Signing CA) KeyUsage (digitalsignature, nonrepudiation,keyencipherment, dataencipherment,keyagreement, keycertsign, crlsign, encipheronly, decipheronly) AuthoritykeyIdentifier SubjectkeyIdentifier Otras SI/NO SI/NO SI/NO SI/NO SI/NO TRUE Pathlen(máx 4) SI/NO Ubicación Política de Certificación (Si no se especifica URL deberá remitir la Política de Certificación vía correo postal) URL: URL: URL de su CA (esto nos permitirá hacer un enlace a su CA desde las páginas principales de IRIS-PCA) El Agente de Registro El solicitante 26

27 Fdo: Fdo: 27

28 ANEXO IIIe1. Documento de revocación o suspensión de clave CÓDIGO DE IDENTIFICACIÓN SECRETO: D. con N.I.F: Expedido el / / válido hasta: / / en calidad de técnico responsable directo de la Autoridad de Certificación registrada por la Autoridad de Certificación IRIS-PCA, y en representación de, C.I.F: con domicilio en, provincia de CP Calle o plaza Notifica la revocación de la clave, cuyos datos se incluyen en este documento, para la emisión de certificados públicos para que estas acciones tengan efecto dentro de la responsabilidad de la Agencia de Certificación de RedIRIS, debido a las siguientes causas: Datos de la Clave Pública Algoritmo: RSA DSS... Longitud de la clave : _. bits Identificador: Hex Fecha de fabricación : / / Hora: : : Módulo: Hex Exponente: Hex Fingerprint: En, a, de El Agente de Registro El solicitante Fdo: Fdo: 28

29 ANEXO IV. DEFINICIONES C: CountryName CA: Certification Authority CDIP: Certificado Digital de Identidad Personal CDS: Certificado Digital de Servidor CDO: Certificado Digital para firma de Objetos y Código CN: Common Name CRL: Certificate Revocation List CSIC: Consejo Superior de Investigaciones Científicas DC: Domain Componetn DN: Distinguished Name DSS: Digital Signature Standard Dirección de correo electrónico IRIS-CERT: Equipo de Seguridad de RedIRIS IRIS-PCA: Autoridad de Certificación IRIS-PCA O: OrganizationName PCA: Policy Certification Authority PKCS#10: Public-Key Cryptography Standard 10 (Certification Request Standard Syntax Standard) RA: Registration Authority RedIRIS: Red Académica y de Investigación Española RedIRIS-PKI: Infraestructura de Clave Pública de la Red Académica y de Investigación Española. RSA: RSA Data Security, Inc. Algoritmo criptográfico de clave pública que adopta su nombre de las iniciales de sus creadores: Rivest, Shamir y Adleman SSL: Secure Socket Layer OID: Object Identifier 29