6. Controles de Seguridad Técnicos
6.1 Generación e Instalación del Par de Claves
Varias personas preseleccionadas, capacitadas y de confianza generan el par de claves de la AC usando los Sistemas de Confianza y los procesos que proporcionan la seguridad y la fuerza criptográfica necesaria a las claves generadas. Con respecto a las AC Raíz Emisoras, los módulos criptográficos que se usan para la generación de claves, satisfacen los requisitos del nivel 3 de FIPS 1401.
Todos los pares de claves de la AC se generan en Ceremonias de Generación de Claves pre planeadas, de acuerdo con los requisitos de la Guía de Referencia de la Ceremonia de la Clave, la Guía del Usuario de la Herramienta de Administración de la Clave de la AC y la Guía de Requisitos de Seguridad y Auditoria. Todas las personas involucradas registran, fechan y firman las actividades que se llevan a cabo en cada ceremonia de generación de claves. Estos registros se guardan para fines de auditoria y rastreo, durante el tiempo que la Administración de Advantage Security considere apropiado.
Advantage Security recomienda que la generación del par de claves para los Agentes Certificadores se lleve a cabo usando el módulo criptográfico certificado nivel 2 FIPS 1401. Por lo general, el Suscriptor se encarga de la generación de los pares de claves del Suscriptor usuario final. Cuando se trata de Certificados Clase 2 , Certificados de firma del código/ objeto Clase 2 , el Suscriptor usa tradicionalmente un módulo criptográfico certificado nivel 1 FIPS 1401, que viene con su software de explorador, par la generación de claves.
Cuando se trata de Certificados del servidor, el Suscriptor tradicionalmente usa la utilidad de generación de claves que viene con el software del servidor de la Web.
64
6.1.2 Entrega de la Clave Privada a la Entidad
Los pares de clave del Suscriptor usuario final son generados tradicionalmente por el Suscriptor usuario final; por consiguiente, en esos casos, no se aplica la entrega de la clave privada a los Suscriptores.
Advantage Security no pregenera los pares de claves de la AR o del Suscriptor usuario final para clientes de la jerarquía de la Secretaría de Economía.
6.1.3 Entrega de la Clave Pública al Emisor del Certificado
Los Suscriptores usuarios finales y las AR presentan su clave pública a Advantage Security para la certificación electrónicamente a través del uso de una Solicitud de Firma de Certificado (CSR PKCS#10) u otro paquete firmado digitalmente en una sesión asegurada por Secure Sockets Layer (SSL). Cuando los pares de claves de la AR o del Suscriptor usuario final son generadas por Advantage Security , este requisito no es aplicable.
6.1.4 Entrega de la Clave Pública de la AC a los Usuarios
Advantage Security hace que los Certificados de la AC para sus AC Raíz estén disponibles para los Suscriptores y Partes que Confían a través de su inclusión en el software del explorador de la Web de Microsoft y Netscape. Conforme se generan nuevos certificados de la AC Raíz, Advantage Security les proporciona esos nuevos Certificados a los fabricantes del explorador, para incluirlos en nuevas versiones y actualizaciones del explorador.
Advantage Security generalmente proporciona la cadena de certificada completa (incluyendo la AC emisora y las ACs de la cadena) al Suscriptor usuario final al emitir el Certificado. La AC de Advantage Security también se puede descargar del Directorio LDAP en directorio.advantagesecurity.com.
6.1.5 Tamaños de la clave
Los pares de claves de la AC de Advantage Security son de por lo menos RSA de 1024 bits. La llave pública que se encuentra dentro del certificado digital AC de Advantage Security tiene un tamaño de 2084 bits. Advantage Security recomienda que las Autoridades de Registradoras y los Suscriptores usuarios finales generan pares de clave RSA de 1024 bits, pero en la actualidad permite el uso de pares de claves RSA de 512 bits para soportar ciertas aplicaciones de legado y servidores de Web.
6.1.6 Generación de la Clave del Hardware/Software
Advantage Security genera sus claves de partes de la AC en los módulos criptográficos de hardware apropiados, de acuerdo con el artículo 6.2.1 de la CPS. Los pares de claves de la RA y el Suscriptor usuario final pueden generarse en hardware o software.
6.1.7 Fines de Uso de la Clave
Con respecto a los Certificados X.509 Versión 3, Advantage Security por lo general llena la extensión KeyUsage (Uso de la Clave) de los Certificados, de acuerdo con la RFC 2459: “Certificado de Infraestructura de la Clave Pública Internet X.509 y Perfil de la CRL, de enero de 1999”. La extensión KeyUsage de los Certificados X.509 Versión 3 de Advantage Security está poblada de acuerdo con el cuadro 16 de continuación, con las siguientes excepciones:
65
La extensión KeyUsage no se usa con los certificados digitales de servidor SSL y losCertificados Individuales Clase 2 .
La criticidad de la extensión KeyUsage se puede fijar en “TRUE” segura y sólida con respecto a otros Certificados en el futuro.
Acs
Suscriptores
Usuarios Finales
de Servidor y
que firman el
Código/ Objeto
Clase 2 ;
contraseñas de
Administración
Automatizada
Firma del Par
de Claves
Dobles
(Gerente de
Clave de
Managed PKI)
Cifrado del Par
de Claves
Dobles
(Managed PKI
Key Manager)
Criticidad FALS
O FALSO FALSO FALSO
0 digitalSignature Clear Set Set Clear
1 nonRepudiation Clear Clear Clear Clear 2 keyEnciphermen
t Clear Set Clear Set
3 dataEnciphermen
t Clear Clear Clear Clear
4 keyAgreement Clear Clear Clear Clear
5 keyCertSign Set Clear Clear Clear
6 CRLSign Set Clear Clear Clear
7 encipherOnly Clear Clear Clear Clear
8 decipherOnly Clear Clear Clear Clear
Cuadro16 – Ajustes de la Extensión KeyUsage