RESOLUCIÓN Nº 212/98 de la Secretaría de Función Pública
BUENOS AIRES, 30 DIC 1998
VISTO lo dispuesto por el Decreto Nro. 427 del 16 de abril de 1998, por el cual se aprueba la Infraestructura de Firma Digital para el Sector Público Nacional, y
CONSIDERANDO:
Que la SECRETARIA DE LA
FUNCION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS es la Autoridad de
Aplicación del régimen de Firma Digital aprobado por el citado Decreto y el
Organismo Licenciante de las Autoridades Certificantes Licenciadas en el ámbito
de la Administración Pública Nacional.
Que en ese carácter, la
SECRETARIA DE LA FUNCION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS se
encuentra facultada para aprobar la Política de Certificación
("Certification Policy") que establece los criterios para el
licenciamiento de las Autoridades Certificantes y los requisitos y condiciones
para la emisión de los certificados de clave pública utilizados en el proceso
de verificación de firmas digitales en el ámbito del Sector Público Nacional.
Que dentro de los lineamientos de la Infraestructura
de Firma Digital aprobados por el Decreto 427/98, profesionales y técnicos de
la Subsecretaría de Tecnologías Informáticas han preparado el cuerpo normativo
de la aludida política, compendiada bajo el título "Politice de
Certificación (-Certification Policy-): Criterios para el licenciamiento de las
Autoridades Certificantes de la Administración Pública Nacional", y
elevándolos para su aprobación e inmediata puesta en vigencia.
Por ello,
LA SECRETARIA DE LA FUNCION PUBLICA
DE LA JEFATURA DE GABINETE DE MINISTROS
RESUELVE:
ARTÍCULO 1°.- Apruébase la "Política de Certificación
("Certification Policy"): Criterios para el licenciamiento de las
Autoridades Certificantes de la Administración Pública Nacional", que
figura en el Anexo de la presente, reguladora de la relación entre el Organismo
Licenciante y los organismos de la Administración Pública Nacional que actúen
en el carácter de Autoridades Certificantes Licenciadas, y establece los
requisitos y condiciones para la emisión de los certificados de clave pública
utilizados en el proceso de verificación de firmas digitales en el ámbito del
Sector Público Nacional.
ARTÍCULO 2°.- Comuníquese, publíquese, dése a la Dirección
Nacional del Registro Oficial y archívese
RESOLUCION N° 212/98
S.F.P.
ANEXO
POLITICA DE CERTIFICACION
Criterios para el licenciamiento de las Autoridades Certificantes de la
Administración Pública Nacional
Organismo Licenciante
Secretaría de la Función Pública
Diciembre, 1998
INDICE
1- AMBITO DE APLICACION
2- SUJETOS
3- OBJETO
4- CONTACTOS - SUGERENCIAS
5- RESPONSABILIDAD DEL ORGANISMO LICENCIANTE
5-1 Responsabilidades asumidas por el Organismo Licenciante al emitir un
certificado
6- INTERPRETACION
7- PUBLICACION - REPOSITORIOS
7-1 Frecuencia de la publicación
7-2- Acceso
7-3- Confidencialidad
8 - IDENTIFICACION Y AUTENTICACION
8-1- Iniciación del tramite
8-2- Validación de la información presentada
8-3- Solicitudes de renovación
8-4- Período de validez
9 - REQUISITOS OPERATIVOS
9-1- Requerimiento
9-2- Emisión del certificado
9-3- Contenido del certificado
9-4- Condiciones de validez del certificado de clave pública
9-5- Revocación de certificados
9-5-1- Clases de revocación
9-5-1-1- Revocación voluntaria
9-5-1-2- Revocación obligatoria
9-5-2- Autorizados a requerir la revocación
9-5-3- Procedimiento para solicitar la revocación
9-5-4- Actualización de repositorios :
9-5-5- Emisión de listas de certificados revocados
9-6-
Auditoría - Procedimientos
de seguridad
9-7-
Archivos
9-7-1- Información a ser archivada
9-7-2- Plazo de conservación
9-7-3- Protección de archivos
9-7-4- Archivos de resguardo
9-8- Planes de Emergencia
9-8-1- Plan de recuperación ante desastres
9-8-2- Plan de protección de claves
9-8-3- Cese de operaciones del Organismo Licenciante
10 - CONTROLES DE SEGURIDAD
10-1- Controles de seguridad física
10-1 -1- Control de acceso
10-2- Controles funcionales
10-2-1- Determinación de roles
10-2-2- Separación de funciones
10-3- Controles de seguridad personal
10-3-1- Calificación del personal
10-3-2- Antecedentes
10-3-3- Entrenamiento
10-4- Controles de seguridad técnica
10-4-1- Generación e instalación de claves
10-4-1-1-
Generación
10-4-1-2-
Envío de la clave pública
10-4-1-3- Características criptográficas
10-4-2- Protección de la clave privada
10-4-2-1- Estándares criptográficos
10-4-2-2- Copias de resguardo
10-4-2-3- Destrucción de la clave privada
10-4-3- Otros aspectos del manejo de claves
10-4-3-1- Reemplazo de claves
10-4-3-2- Restricciones al uso de claves privadas
10-4-4- Controles de seguridad del computador
10-4-5- Controles de seguridad de conectividad de red
11- CERTIFICADOS Y LISTAS DE CERTIFICADOS
REVOCADOS- CARACTERISTICAS
12 - ADMINISTRACION DE ESTA POLITICA
12-1- Cambios de política
12-1-1- Listado de propuestas
12-1-2- Período de prueba
12-2- Publicación y notificación
GLOSARIO
Referencias
Política de Certificación
1- Ambito de aplicación
Esta política de certificación define los términos y condiciones que
rigen la relación entre la Secretaría de la Función Pública en su carácter de
Organismo Licenciante y los Organismos de la Administración Pública Nacional
que actúen como Autoridades Certificantes Licenciadas.
En ella se especifican los requisitos a tener en cuenta para la emisión
y administración de los certificados de clave pública utilizados en el proceso
de verificación de firmas digitales de Autoridades Certificantes Licenciadas en
el ámbito de la Administración Pública Nacional, otorgando confiabilidad a la
Infraestructura de Firma Digital del Sector Público Nacional en razón de que
las partes involucradas puedan asegurarse de la autenticidad e integridad de
los documentos digitales firmados.
El presente forma parte de la serie "B" de documentos emitidos
por el Organismo Licenciante
2- Sujetos
Esta política es aplicable por:
2.1 - La Secretaría de la Función Pública, en su carácter de Organismo
Licenciante, que otorga licencias habilitantes a las dependencias de la
Administración Pública Nacional que actúen como Autoridades Certificantes
Licenciadas y emite certificados de clave pública que permitan verificar las
firmas digitales de los certificados que éstas emitan.
2-2 - La Contaduría General de la Nación que cumple funciones de
Organismo Auditante de los demás Organismos regulados por esta política.
2-3- Las Autoridades Certificantes Licenciadas en su carácter de
suscriptoras de los certificados que emita el Organismo Licenciante.
La descripción detallada de los procedimientos utilizados por el
Organismo Licenciante para implementar los requerimientos de esta política se
encuentra incluida en el manual de procedimientos, el cual coplementa el
presente documento y forma parte de la serie "C" de documentos
emitidos por el Organismo Licenciante.
3- Objeto
Esta política regula el empleo de la firma digital en la instrumentación
de los actos internos del Sector Público Nacional que no produzcan efectos
individuales en forma directa.
4- Contactos - Sugerencias
Esta política es administrada por el Organismo
Licenciante, cuyas
funciones son ejercidas por la Secretaría de la Función Pública.
Para consultas o sugerencias, por favor dirigirse a:
E-mail:
politica@pki.gov.ar
Sr.
Roque Sáenz Peña 511 - 5° piso
Capital Federal
TE:
5- Responsabilidad del Organismo Licenciante
Como Organismo
Licenciante, la Secretaría de la Función Pública es
responsable de todos los aspectos relativos a la emisión y administración de
los certificados correspondientes a las Autoridades Certificantes Licenciadas
en el ámbito de la Administración Pública Nacional, incluyendo:
· El
proceso de postulación de la Autoridad Certificante.
· El
proceso de identificación y autenticación.
· La
emisión de certificados.
· La
administración de certificados.
· La
resolución de las contingencias que eventualmente se susciten respecto a la
Infraestructura de Firma Digital de la Administración Pública Nacional.
5-1- Responsabilidades asumidas por el Organismo Licenciante al emitir
un certificado
Al emitir un certificado, el Organismo Licenciante garantiza:
· Que el
certificado contiene información que el Organismo Licenciante considerada
fehaciente al momento de la emisión.
· Que el
certificado satisface todos los requisitos exigidos por el Decreto N°427/98
5-2- Responsabilidades asumidas por el Organismo Licenciante al publicar
un certificado
Al publicar un certificado en su repositorio, el Organismo Licenciante
garantiza:
· Que la
información contenida en el certificado y por él verificada es correcta.
· Que ha
cumplido con las exigencias del Decreto N°427/98 referidas a la emisión del
certificado.
· Que el
certificado contiene información suficiente y necesaria en relación a los
algoritmos criptográficos empleados.
· Que el
suscriptor ha aceptado el certificado.
6- Interpretación
La interpretación, obligatoriedad, diseño y validez de esta política se
encuentran sometidos a lo establecido por el Decreto N°427/98. Las definiciones
y regulaciones indicadas en el decreto mencionado son parte de esta política.
7- Publicación - Repositorios
La Secretaría de la Función Pública opera un repositorio en línea de
acceso Público que contiene:
a. Certificados
emitidos que hagan referencia a esta política.
b. Listas
de certificados revocados o bien información en tiempo real del estado de los
certificados.
c. El
certificado de clave pública del Organismo Licenciante.
d. Versiones
anteriores y actualizadas del manual de procedimientos.
e. Copia
de esta política.
f. Toda
otra información referida a certificados que hace referencia a esta política.
El repositorio se encuentra disponible en la siguiente dirección:
7-1 - Frecuencia de la publicación
Toda información que corresponda incluir en el repositorio debe serlo
inmediatamente de conocida por el Organismo Licenciante, en un plazo no
superior a las veinticuatro (24) horas.
Los certificados emitidos por el Organismo Licenciante que hacen referencia
a esta política se publicarán inmediatamente de ser aceptados.
Se entiende por aceptación al retiro del certificado por la Autoridad
Certificante Licenciada.
7-2- Acceso
El repositorio se encuentra disponible para uso público durante
veinticuatro (24) horas diarias trescientos sesenta y cinco (365) días al año,
sujeto a un razonable calendario de mantenimiento.
El Organismo Licenciante no puede poner restricciones al acceso a esta
política, a su certificado de clave pública y a versiones anteriores y actualizadas
del manual de procedimientos.
7-3- Confidencialidad
Toda información referida a Autoridades Certificantes que sea recibida
por el Organismo Licenciante en los requerimientos será confidencial y no puede
hacerse pública sin su consentimiento previo, salvo que sea requerida
legalmente.
Lo indicado no es aplicable cuando se trate de información que se
transcriba en el certificado o sea obtenida de fuentes públicas.
8 - Identificación y Autenticación
8-1- Iniciación del trámite
Sujeto a los requerimientos indicados en este capítulo, los
requerimientos recibidos por la Secretaría de la Función Pública en su carácter
de Organismo Licenciante pueden ser comunicados por el solicitante:
a. Vía
e-mail o web-site
b. Telefónicamente
c. Por
correo
d. Personalmente
En todos los casos, el representante autorizado por el organismo o
dependencia que solicite la correspondiente licencia, debe concurrir
personalmente a fin de proceder a su identificación. (ver posible intervención
de escribano para certificar identidad)
8-2- Validación de la información presentada
Cuando el Organismo Licenciante reciba un requerimiento de parte de un
organismo o dependencia, está obligado a confirmar:
a. Que la
información contenida en el requerimiento sea correcta.
b. Que la
organización exista y desarrolle sus funciones en el domicilio indicado en el
requerimiento.
c. Que el
requerimiento sea firmado por un representante debidamente autorizado a ese fin
por la máxima autoridad competente.
A fin de efectuar esta investigación, el Organismo Licenciante puede
acudir a registros de reparticiones oficiales o a los medios de validación que
estime más adecuados.
8-3- Retiro y aceptación del certificado
El requerimiento remitido por el representante autorizado del organismo
o dependencia se verifica de la siguiente forma:
· Si el
requerimiento se recibe a través de la interfaz web utilizando SSL u otro
protocolo similar, por medio de una identificación secreta (por ejemplo: PIN
number) que será comunicado al solicitante por un medio de comunicación confiable,
como parte del proceso de autenticación.
· En
cualquier otro caso, debe acreditar que es el poseedor de la clave privada.
8-4- Solicitudes de renovación
Dentro de los tres (3) meses anteriores a la expiración del período
operacional de un certificado emitido según los lineamientos de ésta política,
una Autoridad Certificante Licenciada puede solicitar al Organismo Licenciante
la emisión de un nuevo certificado con un nuevo par de claves. Puede hacerlo
siempre que el certificado original no haya sido revocado.
La solicitud puede hacerse a través de un requerimiento firmado
digitalmente utilizando la clave privada del certificado original.
El Organismo Licenciante debe proceder a verificar nuevamente los datos
de identificación del solicitante como si se tratara de la emisión original.
8-5- Período de validez
Los certificados tienen un período de validez de tres (3) años desde la
fecha de emisión.
9 - Requisitos operativos
9-1- Requerimiento
Todo organismo o dependencia que se postule para obtener un certificado
debe completar un requerimiento, el que estará sujeta a revisión y aprobación
por el Organismo Licenciante.
El proceso de solicitud puede ser iniciado sólamente por el
representante autorizado de la dependencia u organismo.
9-2- Emisión del certificado
Cumplidos los recaudos del proceso de identificación y autenticación de
acuerdo con esta política y una vez completada y aprobada la solicitud, el
Organismo Licenciante debe emitir el correspondiente certificado, notificar al
representante autorizado y poner dicho certificado a su disposición. Debe
establecer un procedimiento tal que asegure que el certificado sea enviado al
solicitante.
9-3- Aceptación del certificado
Al emitir el certificado, el Organismo Licenciante debe exigir al
representante de la Autoridad Certificante Licenciada que expresamente indique
su aceptación o rechazo, de acuerdo a lo establecido en el manual de
procedimientos.
Un certificado emitido y no aceptado en un plazo de cinco (5) días será
revocado automáticamente.
9-4- Contenido del certificado
El certificado de clave pública debe contener como mínimo los siguientes
datos:
a. Nombre
de la Autoridad Certificante Licenciada.
b. Clave
pública de la Autoridad Certificante Licenciada.
c. Algoritmos
que deben utilizarse en la clave pública en él contenida.
d. Número
de serie del certificado.
e. Período
de vigencia del certificado.
f. Nombre
del Organismo Licenciante emisor del certificado.
g. Firma
digital del Organismo Licenciante que emite el certificado identificando los
algoritmos utilizados.
h. Todo
otro dato relevante para la utilización del certificado según disponga el
manual de procedimientos del Organismo Licenciante.
9-5- Condiciones de validez del certificado de clave pública
El certificado de clave pública correspondiente a una Autoridad
Certificante Licenciada es válido únicamente si:
a. Ha sido
emitido por el Organismo Licenciante.
b. No ha
sido revocado.
c. No ha
expirado su período de vigencia.
9-6- Revocación de certificados
9-6-1- Clases de revocación
9-6-1-1- Revocación voluntaria
Una Autoridad Certificante Licenciada puede solicitar la revocación de
su certificado por cualquier motivo y en cualquier momento. La solicitud de
revocación debe estar firmada por el representante autorizado o por la máxima
autoridad competente.
9-6-1-2- Revocación obligatoria
Una Autoridad Certificante Licenciada debe solicitar la inmediata
revocación de su certificado:
a. Cuando
se produzcan cambios en la información que el certificado contiene o ésta se
desactualice.
b. Cuando
la clave privada asociada al certificado de clave pública, o el medio en que se
encuentre almacenada, se encuentren comprometidos o corran peligro de estarlo.
c. Cuando
el organismo o dependencia haya dejado de funcionar.
El Organismo Licenciante debe revocar el certificado:
a. A
solicitud de la Autoridad Certificante Licenciada.
b. Ante
incumplimiento por parte de la Autoridad Certificante Licenciada de las
obligaciones establecidas por el Decreto N°427/98, por esta política, el manual
de procedimientos o cualquier otro acuerdo, regulación o ley aplicable al
certificado.
c. Ante
incumplimiento por parte de la Autoridad Certificante Licenciada de las
observaciones efectuadas por las auditorías que le fueran practicadas, siempre
que no medie justificación admisible para dicho incumplimiento.
d. Si toma
conocimiento de que existe sospecha de que la clave privada de la Autoridad
Certificante Licenciada se encuentra comprometida.
e. Si el
Organismo Licenciante determina que el certificado no fue emitido de acuerdo a
los lineamientos del Decreto N°427/98, de esta política o del manual de
procedimientos.
Si cumplido el plazo establecido por el Decreto N°427/98 no se
continuara con la aplicación de este sistema, el Organismo Licenciante dejará
automáticamente de emitir certificados. Unicamente mantendrá su función de
revocación y las Autoridades Certificantes Licenciadas podrán seguir operando
bajo su responsabilidad hasta la extinción o revocación de sus certificados.
9-6-2- Autorizados a requerir la revocación
Sólo están autorizados a solicitar la revocación de un certificado
emitido según esta política:
· La
Autoridad Certificante Licenciada a través de su máxima autoridad competente o
de su representante autorizado.
· El
Organismo Licenciante.
9-6-3- Procedimiento para solicitar la revocación
La solicitud de revocación de certificado de una Autoridad Certificante
Licenciada debe ser comunicada en forma inmediata al Organismo Licenciante.
Puede presentarse vía correo electrónico o interfaz web, si se encuentra
firmada digitalmente con la clave privada del suscriptor o representante de la
organización.
También puede solicitarse acudiendo personalmente ante el Organismo
Licenciante y acreditando debidamente su identificación o por cualquier otro
medio que garantice fehacientemente su identidad.
9-6-4- Actualización de repositorios
Una vez recibida la solicitud de revocación, la lista de certificados
revocados o el estado de los certificados en la base de datos del Organismo
Licenciante deben actualizarse de inmediato, dentro de un plazo no superior a
las veinticuatro (24) horas de recibida.
Todas las solicitudes y la información acerca de los procedimientos
cumplimentados serán archivadas.
9-6-5- Emisión de listas de certificados revocados
El Organismo Licenciante debe emitir listas de certificados revocados.
Debe efectuar como mínimo una actualización semanal. En caso de producirse una
revocación debe, además, emitir una actualización dentro de las veinticuatro
(24) horas de que esta haya sido recibida y tramitada.
9-6-6- Disponibilidad de archivo de estado de certificados
De existir el servicio de consulta en línea, debe encontrarse disponible
y actualizado, informando en forma permanente sobre el estado de los
certificados.
9-6-7- Auditoría - Procedimientos de seguridad
Todos los hechos significativos que afecten la seguridad del sistema del
Organismo Licenciante deben ser grabados en archivos de auditoría (logs).
Serán conservados en el ámbito del Organismo Licenciante al menos
durante un año.
Posteriormente serán archivados en un lugar físico protegido durante
diez (10) años.
9-7- Archivos
9-7-1- Información a ser archivada
El Organismo Licenciante debe conservar información acerca de:
· Solicitudes
de certificados y toda información que avale el proceso de identificación.
· Certificados
emitidos y listas de certificados revocados.
· Archivos
de auditoría.
· Toda
comunicación relevante entre el Organismo Licenciante y las Autoridades
Certificantes Licenciadas.
9-7-2- Plazo de conservación
La información acerca de los certificados debe conservarse por un plazo
mínimo de diez (10) años.
9-7-3- Protección de archivos
Los medios de almacenamiento de la información deben ser protegidos
física y lógicamente, utilizando criptografía cuando fuera apropiado.
9-7-4- Archivos de resguardo
Es obligación del Organismo Licenciante la implementación de
procedimientos para la emisión de copias de resguardo actualizadas, las cuales
deben encontrarse disponibles a la brevedad en caso de pérdida o destrucción de
los archivos.
9-8- Planes de Emergencia
9-8-1- Plan de recuperación ante desastres
El Organismo Licenciante debe implementar un plan de recuperación ante
desastres. Este debe garantizar el mantenimiento mínimo de la operatoria
(recepción de solicitudes de revocación y consulta de listas de certificados
revocados actualizadas) y su puesta en operaciones dentro de las cuarenta y
ocho (48) horas de producirse una emergencia.
El plan debe ser conocido por todo el personal que cumpla funciones en
el Organismo Licenciante y debe incluir una prueba completa de los
procedimientos a utilizar en casos de emergencia, por lo menos una vez al año.
9-8-2- Plan de protección de claves
El Organismo Licenciante debe implementar un plan que determine los
procedimientos a seguir cuando su clave privada se vea comprometida. Incluirá
las medidas a tomar para revocar los certificados emitidos y notificar a las
Autoridades Certificantes Licenciadas.
9-8-3- Cese de operaciones del Organismo Licenciante
En caso de que el Organismo Licenciante cese en sus funciones, todas las
Autoridades Certificantes deben ser notificadas de inmediato.
Será de aplicación lo dispuesto en 9-6-1-2 último párrafo.
10 - Controles de Seguridad
10-1- Controles de seguridad física
10-1-1- Control de acceso
El Organismo Licenciante debe implementar controles apropiados que
restrinjan el acceso a los equipos, programas y datos utilizados para proveer
el servicio de certificación, solamente a personas debidamente autorizadas.
Consistirán en controles electrónicos de acceso, llaves de seguridad u
otros medios adecuados, debiendo verificarse su funcionamiento permanentemente.
10-2- Controles funcionales
10-2-1- Determinación de roles
Todo el personal que tenga acceso o control sobre operaciones
criptográficas que puedan afectar la emisión, utilización o revocación de los
certificados, incluyendo modificaciones en el repositorio, debe ser confiable.
Incluirá, entre otros, administradores del sistema, operadores, técnicos y
supervisores de las operaciones del Organismo Licenciante.
10-2-2- Separación de funciones
Con e fin de asegurar que ninguna persona pueda individualmente violar
las medidas de seguridad, las funciones en el Organismo Licenciante deben
separarse entre múltiples roles e individuos, llevados a cabo por distintos
responsables.
10-3- Controles de seguridad personal
10-3-1- Calificación del personal
El Organismo Licenciante debe seguir una política de administración de
personal que provea razonable seguridad de la confiabilidad y competencia del
personal para el adecuado cumplimiento de sus funciones.
10-3-2- Antecedentes
El Organismo Licenciante debe realizar una adecuada investigación sobre
el personal que cumpla funciones críticas, debiendo verificar su confiabilidad
y competencia de acuerdo a los requerimientos de esta política.
Todo el personal que no cumpla las exigencias establecidas, no podrá
desempeñar funciones en el Organismo Licenciante.
10-3-3- Entrenamiento
Todo el personal del Organismo Licenciante debe tener acceso a manuales
que determinarán los procedimientos para la emisión, actualización y revocación
de los certificados, así como aspectos funcionales del sistema informático.
10-4- Controles de seguridad técnica
10-4-1- Generación e instalación de claves
10-4-1-1- Generación
El par de claves de la Autoridad Certificante Licenciada debe ser
generado de manera tal que la clave privada sólo sea conocida por el agente
autorizado para actuar como su representante, quien es considerado como titular
del par de claves.
El responsable de la Autoridad Certificante Licenciada debe generar su
propio par de claves en un sistema confiable, no debe revelar bajo ninguna
circunstancia su clave privada y debe almacenarla en un medio que garantice su
confidencialidad e integridad.
10-4-1-2- Envío de la clave pública
La clave pública de la Autoridad Certificante Licenciada debe ser
transferida al Organismo Licenciante de manera tal que asegure que:
· No
pueda ser cambiada durante la transferencia.
· El
remitente posea la clave privada que corresponde a la clave pública
transferida.
· El
remitente de la clave pública sea el responsable de la Autoridad Certificante
Licenciada.
El formato del requerimiento debe ser
PKCS#10.
10-4-1-3- Características criptográficas
La Secretaría de la Función Pública, en su carácter de autoridad de
aplicación, define:
· Los
tipos de algoritmos aceptables:
a. RSA o
DSA como algoritmo asimétrico
b. MD5 o
SHA-1 como algoritmo de digesto de mensaje seguro.
c. MD5 con
RSA o SHA-1 con RSA como algoritmo de firma para operar con el Organismo
Licenciante.
· La
longitud mínima de clave de la Autoridad Certificante Licenciada (2048 bits).
· La
longitud mínima de clave privada del Organismo Licenciante (2048 bits, tal como
se define en el estándar PKCS#1).
En caso de conocerse un mecanismo que vulnere un algoritmo de las
longitudes indicadas, es obligación del Organismo Licenciante revocar todos los
certificados comprometidos y notificar a las Autoridades Certificantes
Licenciadas.
10-4-2- Protección de la clave privada
El Organismo Licenciante debe proteger su clave privada de acuerdo con
lo previsto en esta política.
10-4-2-1- Estándares criptográficos
La generación y almacenamiento de claves y su utilización deben
efectuarse utilizando un equipamiento que cumpla con los estándares aprobados
por la Secretaría de la Función Pública para la Administración Pública
Nacional.
10-4-2-2- Copias de resguardo
El Organismo Licenciante puede optar por efectuar un back-up de su clave
privada.
También puede archivarla, siempre que se asegure:
· Un
adecuado control de acceso al medio de almacenamiento.
· Que los
responsables del uso de la clave privada sean notificados de cualquier intento
de acceso no autorizado a la mencionada copia.
10-4-2-3- Destrucción de la clave privada
Si por cualquier motivo deja de utilizarse la clave privada del
Organismo Licenciante para crear firmas digitales, todas las copias de la misma
deben ser destruidas.
10-4-3- Otros aspectos del manejo de claves
10-4-3-1- Reemplazo de claves
El par de claves del Organismo Licenciante debe ser reemplazado cuando
hayan sido vulneradas o exista presunción en tal sentido.
10-4-3-2- Restricciones al uso de claves privadas
La clave privada del Organismo Licenciante empleada para emitir
certificados según los lineamientos de esta política debe utilizarse sólo para
firmar certificados a Autoridades Certificantes Licenciadas y, opcionalmente,
para firmar listas de certificados revocados.
10-4-4- Controles de seguridad del computador
Todos los servidores del Organismo Licenciante deben incluir los
controles propios del sistema operativo.
10-4-5- Controles de seguridad de conectividad de red
Los servicios que provee el Organismo Licenciante y que deben estar
conectados a una red de comunicación pública deben ser protegidos por la
tecnología apropiada que garantice que dicho servicio es seguro y que no es
posible acceder a ningún servicio sin la debida autorización.
11- Certificados y listas de certificados revocados -
Características
Todos los certificados que hacen referencia a esta política se emitirán
en formato X509 versión 3 o superior e incluirán una referencia que identifique
la política aplicable.
Las listas de certificados revocados serán emitidas en formato X509
versión 2.
12 - Administración de esta política
12-1- Cambios de política
12-1-1- Listado de propuestas
Todos los cambios propuestos a esta política que se encuentren a
consideración del Organismo Licenciante y que puedan afectar a las Autoridades
Certificantes Licenciadas, serán publicados y puestos en conocimiento de éstas.
12-1-2- Período de prueba
Las Autoridades Certificantes Licenciadas pueden enviar comentarios
acerca de los cambios en la política que se encuentren a consideración del
Organismo Licenciante dentro de los cuarenta y cinco (45) días de que éstos les
fueran notificados. Si los cambios propuestos fueran modificados como
consecuencia de estos comentarios, esta situación les será comunicada a las
Autoridades Certificantes Licenciadas.
12-2- Publicación y notificación
Una copia de esta política de certificación se encuentra disponible en
la interfaz web del Organismo Licenciante en la siguiente dirección:
http://ol.pki.gov.ar/policy/actual.html
El Organismo Licenciante debe mantener copias de acceso público de esta
política.
Versiones anteriores de esta política se encuentran disponibles en la
siguiente dirección:
Glosario
PKCS#10: Public Key Criptography Standards #10, desarrollado por RSA
Laboratories. Disponible en:
http://www.rsa.com/rsalabs/pubs/PKCS/
RSA: Estándar criptográfico, desarrollado por RSA Laboratories.
Disponible en:
http://www.rsa.com/rsalabs/pubs/PKCS/
DSA: Digital Signature Algorithm,
NIST FIPS PUB 186, desarrollado por National Institute of Standards and
Technology, US Department of Commerce. Disponible en:
http://www.itl.nist.gov/div897/pubs/fip186.htm
MD5: desarrollado por RSA Laboratories en Public Key Criptography
Standards #1. Disponible en:
http://www.rsa.com/rsalabs/pubs/PKCS
SHA-1: Secure Hash Standard -1, NIST
FIPS PUB 180-1, desarrollado por National Institute of Standards and
Technology, US Department of Commerce. Disponible en:
http://www.itl.nist.gov/div897/pubs/fip180-1.htm
MD5 con RSA: desarrollado por RSA Laboratories en Public Key
Criptography Standards #1. Disponible en:
http://www.rsa.com/rsalabs/pubs/PKCS/
SHA-1 con RSA: desarrollado por
National Institute of Standards and Technology, US Department of Commerce. Disponible en:
http://www.itl.nist.gov/div897/pubs/fip180-1.htm
PKCS#1: Public Key Criptography Standards #1, desarrollado por RSA
Laboratories. Disponible en:
http://www.rsa.com/rsalabs/pubs/PKCS/
X509 versión 3: formato definido en estándar ISO/IEC/ITU X.509.
Disponible en:
http://www.ietf.org/internet-drafts/draft-ietf-pkix-ipki-part1-08.txt
X509 versión 2: formato definido en estándar ISO/IEC/ITU X.509.
Disponible en:
http://www.ietf.org/internet-drafts/draft-ietf-pkix-ipki-part1-08.txt
Referencias
· Thomas J. Smedinghoff, "Model Certificate
Policy. Discussion Draft", Marzo 25, 1998 (Federal PKI Task Force.
Business and Legal Work Group).
· Santosh Chokhani y Warwick Ford, "Internet
x509 Public Key Infraestructure Part IV: Certificate Policy and Certification
Practices Framework", Abril 25, 1998 (PKIX Working Group Internet Draft).