Saltar al contenido principal

6. Controles técnicos de seguridad

6.1 Generación e instalación del par de claves

6.1.1 Generación del par de claves

Las claves de la Root CA y de la Issuing CA se generan en un módulo criptográfico HSM con certificación FIPS 140-2 Level 3 o superior (equivalente a Common Criteria EAL 4+ con Protection Profile aplicable). El proveedor HSM concreto se documenta en el plan de seguridad (US-CA-02).

Pendiente. Generación de claves del suscriptor.

6.1.2 Entrega de la clave privada al suscriptor

Pendiente.

6.1.3 Entrega de la clave pública al emisor

Pendiente.

6.1.4 Entrega de la clave pública de la CA a las partes que confían

Pendiente.

6.1.5 Tamaño de las claves

  • Root CA: ECDSA P-384 o RSA 4096.
  • Issuing CA: ECDSA P-384 o RSA 4096.
  • Suscriptor: ECDSA P-256 o RSA 2048 mínimo.

6.1.6 Generación de los parámetros de la clave pública y verificación de la calidad

Pendiente.

6.1.7 Propósitos de uso de la clave (campo keyUsage X.509 v3)

Ver las CP individuales (docs/cp/*).

6.2 Protección de la clave privada y controles de ingeniería del módulo criptográfico

Pendiente. M-de-N activación, multi-party control, respaldo bajo control multi-party.

6.3 Otros aspectos de la gestión del par de claves

Pendiente.

6.4 Datos de activación

Pendiente.

6.5 Controles de seguridad informática

Pendiente.

6.6 Controles técnicos del ciclo de vida

Pendiente.

6.7 Controles de seguridad de red

Pendiente.

6.8 Sellado de tiempo

Cuando esté en producción, el servicio TSA cumple con RFC 3161 y opera bajo el perfil tsa-responder (ver /cp/tsa-responder).