REPÚBLICA DE PANAMÁ Ministerio de Comercio e Industrias Dirección Nacional de Comercio Electrónico DGCE-EPKI-SP

Transcripción

1 REPÚBLICA DE PANAMÁ Ministerio de Comercio e Industrias Dirección Nacional de Comercio Electrónico DGCE-EPKI-SP Por medio de la cual se establece la Guía de estándares técnicos y la información que pueden incluir los planes y procedimientos de seguridad de los Prestadores de Servicios de Certificación de Firmas Digitales que utilizan tecnología basada en el estándar de Infraestructura de Clave Pública. 1. Declaración de Prácticas/Políticas de Certificación* (DPC). DPC / PC - IETF RFC IETF RFC ETSI TR V1.1.1 (ETSI TR PFE** V extended business model- / ETSI TR V1.1.1 XML) - ETSI TS V1.4.3 Formato ASN.1 - ETSI TR V1.1.1 para PFE Interpretación de - IETF RFC2119 Definiciones (*) Certification Practices Statements CPS (**)Electronic Signature Policies 2. Identificación de s* OID (*) Object Identification. - Rec. ITU-T X.660 ISO/IEC 9834 series Especificaciones para certificado digital calificado para PKI. Estructura del Certificado Requisitos para interoperabilidad Anexos - IETF RFC3739 (extensión del IETF RFC3280, actualizado por IETF RFC4630) - ETSI TS V1.3.3 (ETSI TS V1.1.1 / ETSI TS V1.5.1) - Todos los certificados emitidos por una ACR deberán permitir inter-operatividad entre ACR. Los campos del certificado podrán ser redactados en cualquiera de los idiomas de oficiales de la ONU. - Ejemplo de la estructura del certificado de la AC-raíz - Ejemplo de la estructura del certificado de la AC Página 1 de 6

2 Algoritmos de codificación e identificadores de formato Formato alternativo para Certificado PIKX - Ejemplo de la estructura del certificado para suscriptores - Ejemplo de la estructura del certificado para servidores - IETF RFC3279 (complementado con IETF RFC4055) - IETF RFC Especificaciones de la Lista de Revocación de Certificados. Especificaciones de la LRC* Requisitos para Interoperabilidad Anexo Algoritmos de codificación e identificadores de formato (*) Certicate Revocation List - CRL - IETF RFC3280 (actualizada por IETF RFC4630) - Toda CRL emitida por una ACR debe mantener inter-operabilidad con otras ACR. Los campos de la LRC podrán ser redactados en cualquiera de los idiomas de oficiales de la ONU. - Ejemplo de especificaciones de una LRC. - IETF RFC3279 (complementado con IETF RFC4055) 5. Integración del NIP* al certificado (método de identificación de personas). - C.I.P(cédula de identificación personal) Clases de NIP - Número de idoneidad (profesiones reguladas) - Número de pasaporte Proceso de - cómo insertar el NIP al certificado de forma inserción segura (se recomienda compilar el NIP) Procedo de - Cómo verificar y validar el NIP verificación Ubicación del NIP - El NIP debe ser insertado en el certificado y en las credenciales del usuario Lenguaje de - ASN.1 syntax escritura del NIP (*) Número de Identificación Personal Página 2 de 6

3 6. Protocolo de Administración del Certificado* / Formato del Mensaje de Solicitud de Estatus del Certificado**. CMP - IETF RFC4210 CMP PIKX - IETF RFC4212 CMS - IETF RFC2797 CRMF - IETF RFC4211 para Solicitud de - PKCS#10 v1.7 ("Certification Request Syntax certificación Standard") (*) Certificate Management Protocol CMP / (**) Certificate Request Message Format - CRMF 7. Protocolos Operacionales. HTTP Accces FTP/HTTP /MIME S/MIME ICI* (*) Internet Key Exchange - IKE - IETF RFC Acceso vía HTTP al Repositorio de Certificados - IETF RFC IETF RFC IETF RFC3850 (/MIME) - IETF RFC IETF RFC Perfil de IKE / ISAKMP / PKIX 8. Algoritmos. Algoritmo Asimétrico Simétrico Algoritmo - PKCS#1 v2.1, "Especificaciones Criptográficas RSA" - ANSI X9.31, "Firma Digital que utiliza Clave Pública Criptográfica para la industria de servicios financieros (acrónimo en idioma inglés: DSA)" - ANSI X9.62, "Criptografía de Clave Pública para la industria de servicios financieros: Algoritmo para Firma Digital de Curva Elíptica (acrónimo en idioma inglés ECDSA) - estructura del algoritmo asimétrico (tamaño de la clave, parámetros de la clave, etc.) - ETSI TS ETSI TS FIPS PUB 46-3, "DATA ENCRYPTION Página 3 de 6

4 Algoritmo de Compilación Algoritmo Nacional STANDARD(DES)" - Criptorgráfico Avanzado (acrónimo en idioma inglés: AES) Algoritmo especificado en la Federal Information Processing Standard Publication 197, Advanced Encryption Standard. - FIPS PUB 180-1, "SECURE HASH STANDARD" (SHA-1) - FIPS PUB 180-2, "SECURE HASH STANDARD" (SHA-256, 512) - Posibilidad de crear algoritmo para casos específicos como: seguridad nacional, etc. 9. OCSP* / TSP** / LDAP***. OCSP TSP - IETF RFC IETF RFC ETSI TS V ETSI TS V IETF RFC IETF RFC4523 (esquema de definiciones de certificados X.509) - IETF RFC2256 LDAP - Compatibilidad completa con UTF-8 - IETF RFC Regla de la presentación para los caracteres de escape (*) Protocolo para verificación del Estatus del Certificado en tiempo real On-line Certificate Status Protocolo / (**) Protocolo de Sellado de Tiempo.- Time Stamping Protocolo / (***) rotocolo de Acceso Ligero a Directorios Lightweight Directory Access Protocolo. 10. Sintaxis del Mensaje Criptográfico*. CMS - IETF RFC3852 Especificación de - Especificación para campos autenticados en los Atributos CMS Algoritmos - IETF RFC3370 criptográficos (*) Cryptographic Message Syntax CMS 11. Validación del Certificado. Construcción de Ruta de Certificación* Servicio de Localización de - IETF RFC IETF RFC4386 Página 4 de 6

5 Repositorio Procedimiento de Desarrollo de Trayectoria Procedimiento de Validación del Certificado Vector de Prueba de Validación (*) Certification Path Building - IETF RFC Certificado recuperado desde LDAP o equivalente (se utiliza el campo de extensión AIA) - LRC recuperada desde LDAP (se utiliza el campo de extensión del Punto de Distribución de LCR) - IETF RFC Para garantizar inter-operatividad, NCC debe proveer un vector de prueba y actualizarlo anualmente. 12. Ambiente de Seguridad Personal*. Dispositivos de Seguridad - Clases de dispositivos de almacenamiento (HDD, USB, smartcard, etc.) - Ubicación en el Certificado y clave privada correspondiente para dispositivos HDD y dispositivos Flash memory. - El formato del certificado y clave privada correspondiente para dispositivos HDD y dispositivos Flash memory. criptográfico para password para información de la clave privada - PKCS#5 v2.1 - Estructura del algoritmo utilizado (KDF2 con SHA1, PBE2 con 3DES) - PKCS#8 v1.2 - PKCS#11 v2.20 (incluyendo enmienda 3) PKI Token - PKCS#15 v1.1 (si se trata de una smartcard ) - Estructura para inter-operatividad (funciones, mecanismos, etc.) (*) Personal Security Environments - PSE 13. Actualización del Certificado. Actualización de la Clave Raíz - Condición para actualizar los certificados de la AC raíz y sus claves (período de validez es de 10 a 20 años) - Condición para utilizar 2 o más certificados emitidos por una AC raíz. Página 5 de 6

6 14. Certificado de Larga Duración. Firma digital avanzada de larga duración* Especificaciones certificado de larga duración - ETSI TS v1.3.2.: XML Advanced Electronic Signatures (XAdES) - IETF W3C: "XML-Signature Syntax and Processing" - ETSI TS V1.1.1 (XML profile XAdES) - ETSI TS V1.1.1 (CMS profile CAdES) (*) advanced electronic signatures that remain valid over long periods- XMLDSIG 15. Centro de Contingencia CC - Ubicación mínima de 5 Kms. lineales de Centro de Datos principal de la PKI. - Capacidad mínima para continuidad del negocio. Consulta a validez de certificados y actualización de LRC y OCSP. - Cumplimiento de estándares de tecnología. Página 6 de 6