4. Requerimientos Operativos del Ciclo de Vida de los
4.12 Depósito de Claves (Key Escrow) y Recupero
Con la excepción de los Clientes Corporativos que utilizan los servicios de Administración de Claves de Managed PKI, ningún participante de la Symantec Trust Network puede ser depositario de claves privadas de Autoridades Certificantes, Autoridades de Registro o Suscriptores usuarios finales.
Los Clientes Corporativos que utilizan los servicios de Administración de Claves de Managed PKI pueden ser depositarios de copias de claves privadas de Suscriptores cuyas Solicitudes de Certificados aprueban. El Cliente Corporativo puede utilizar los servicios de Administración de Claves operados tanto fuera de sus propias instalaciones como del centro de procesamiento seguro de CertiSur. Si el servicio es operado fuera de las instalaciones del Cliente, CertiSur no
almacena copia de las claves privadas de los Suscriptores, sin perjuicio de lo cual desarrolla un rol importante en el proceso de recupero de dichas claves.
4.12.1 Depósito de Claves (Key Escrow) y Política y Procedimientos de Recupero
Los Clientes Corporativos que utilizan los servicios de Administración de Claves de Managed PKI o servicio equivalente aprobado por Symantec, están habilitados para almacenar claves privadas de sus Suscriptores usuarios finales. Las claves privadas almacenadas deben estar resguardadas de manera encriptada utilizando el software de Administración de Claves de Managed PKI. Excepto los Clientes Corporativos que utilizan los servicios de Administración de Claves de Managed PKI o servicio equivalente aprobado por Symantec, las claves privadas de Autoridades Certificantes o de Suscriptores usuarios finales no pueden ser depositadas en poder de terceros.
Las claves privadas de Suscriptores usuarios finales solamente pueden ser recuperadas mediando las circunstancias permitidas dentro de la Guía del Administrador del Servicio de Administración de Claves de Managed PKI, bajo las cuales:
• Los Clientes Corporativos que utilizan los servicios de Administración de Claves de Managed PKI deben confirmar la identidad de cualquier persona que invoca ser Suscriptor, a los efectos de asegurar que el requerimiento de recupero de la clave privada de ese Suscriptor es efectivamente realizado por el mismo y no por un impostor.
• Los Clientes Corporativos pueden solamente recuperar la clave privada de un Suscriptor sin su previa autorización con propósitos legítimos y legales, como por ejemplo para cumplimentar una orden judicial o proceso administrativo y no para cualquier propósito ilegal, fraudulento u otro fin ilícito, y
• Dicho Cliente Corporativo debe contar con estrictos controles de personal en vigencia que impidan que los Administradores del servicio de Administración de Claves de Managed PKI o cualquier otra persona pueda obtener un acceso no autorizado a las claves privadas almacenadas.
Es recomendable que los Clientes Corporativos que utilizan los servicios de Administración de Claves de Managed PKI:
• Notifiquen a sus Suscriptores que sus claves privadas serán almacenadas
• Proteger las claves almacenadas de los suscriptores de accesos indebidos o no autorizados • Proteger toda la información, incluyendo las propias claves del administrador, que puede
ser utilizada para el recupero de las claves privadas almacenadas
• Recuperar las claves privadas de los suscriptores almacenadas solamente mediando solicitudes de recupero autenticadas y autorizadas
• Revocar el Par de Claves del Suscriptor antes de recuperar la clave de encripción, bajo determinadas circunstancias, como por ejemplo la discontinuación en el uso de un certificado perdido
• No comunicar ninguna información concerniente al recupero de claves a los Suscriptores, excepto cuando un Suscriptor solicita el recupero de su propia clave, y
• No divulgar ni permitir que se divulguen las claves privadas almacenadas o cualquier información relacionada con las mismas a cualquier tercero, salvo que dicho
requerimiento esté amparado en una legislación vigente, reglamentación gubernamental o regulación de la propia organización o por orden judicial competente.
4.12.2 Proceso de Encapsulamiento de Claves y Política y Procedimientos de Recupero
Las Claves Privadas son resguardadas en forma encriptada en la base de datos del servicio de Administración de Claves. La clave privada de cada Suscriptor es encriptada de manera individual, utilizando su propia clave simétrica triple DES. Se genera, de esta forma, un Registro de Clave Almacenada (“Key Escrow Record” or “KER”). Luego de ello, la clave simétrica triple DES se combina con una clave de sesión aleatoria para conformar una clave de sesión enmascarada (“Mask Session Key” o “MSK”). La clave de sesión enmascarada (MSK) es enviada y almacenada de manera segura en la base de datos del servicio de Managed PKI. La clave de sesión enmascarada (KER), conteniendo la clave privada del usuario final y la clave de sesión aleatoria son almacenadas en la base de datos del servicio de Administración de Claves y todo el material de claves residual es destruido.
La base de datos del servicio de Managed PKI es operado fuera del Centro de Procesamiento de CertiSur. El Cliente Corporativo puede elegir operar la base de datos del servicio de Administración de Claves en sus propias instalaciones o fuera del Centro de Procesamiento de CertiSur.
El recupero de una clave privada y del certificado digital requiere que el Administrador del Servicio de Mananged PKI se conecte de manera segura al Centro de Control de Managed PKI, seleccione el par de claves apropiado que requiere recuperar y oprima el vínculo web “recuperar”. Únicamente, después que un administrador aprobado oprimió el vínculo web “recuperar”, se puede recobrar la clave de sesión enmascarada (MSK) para ese par de claves desde la base de datos del Servicio de Managed PKI. El servicio de Administración de Claves recupera la clave de sesión de la base de datos y la combina con la clave de sesión enmascarada (MSK) para regenerar la clave simétrica triple DES que fue utilizada originariamente para encriptar la clave privada del usuario final, permitiendo de esta forma el recupero de la misma. Como último paso, un archivo encriptado con el formato PKCS #12 es enviado al administrador para que finalmente se lo remita al correspondiente usuario final.