HFD> Derecho
Informático - Internet > Legislación Argentina
Resolución N° 212/98
de la Secretaria de la Función Pública de la
Presidencia de la Nación (B.O. 6.1.99)
APRUEBA LA POLÍTICA
DE CERTIFICACIÓN DE LA FIRMA DIGITAL EN EL AMBITO DEL
SECTOR PUBLICO
Apruébase la Política de Certificación
que establece los criterios para el licenciamiento de las
Autoridades Certificantes y los requisitos y condiciones para
la emisión de los certificados de clave pública
utilizados en el proceso de verificación de firmas
digitales en el ámbito del Sector Público Nacional.
Bs. As., 30/12/98
VISTO lo
dispuesto por el Decreto Nro. 427 del 16 de abril de 1998,
por el cual se aprueba la Infraestructura de Firma Digital
para el Sector Público Nacional, y
CONSIDERANDO:
Que la SECRETARIA DE LA FUNCION PUBLICA de
la JEFATURA DE GABINETE DE MINISTROS es la Autoridad de Aplicación
del régimen de Firma Digital aprobado por el citado
Decreto y el Organismo Licenciante de las Autoridades Certificantes
Licenciadas en el ámbito de la Administración
Pública Nacional.
Que en ese carácter, la SECRETARIA
DE LA FUNCION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS
se encuentra facultada para aprobar la Política de
Certificación ("Certification Policy") que
establece los criterios para el licenciamiento de las Autoridades
Certificantes y los requisitos y condiciones para la emisión
de los certificados de clave pública utilizados en
el proceso de verificación de firmas digitales en el
ámbito del Sector Público Nacional.
Que dentro de los lineamientos de la Infraestructura
de Firma Digital aprobados por el Decreto 427/98, profesionales
y técnicos de la Subsecretaría de Tecnologías
Informáticas han preparado el cuerpo normativo de la
aludida política, compendiada bajo el título
"Politice de Certificación (-Certification Policy-):
Criterios para el licenciamiento de las Autoridades Certificantes
de la Administración Pública Nacional",
y elevándolos para su aprobación e inmediata
puesta en vigencia.
Por ello,
LA SECRETARIA DE LA FUNCION
PUBLICA DE LA JEFATURA DE GABINETE DE MINISTROS
RESUELVE:
Artículo
1°— Apruébase la "Política
de Certificación ("Certification Policy"):
Criterios para el licenciamiento de las Autoridades Certificantes
de la Administración Pública Nacional",
que figura en el Anexo de la presente, reguladora de la relación
entre el Organismo Licenciante y los organismos de la Administración
Pública Nacional que actúen en el carácter
de Autoridades Certificantes Licenciadas, y establece los
requisitos y condiciones para la emisión de los certificados
de clave pública utilizados en el proceso de verificación
de firmas digitales en el ámbito del Sector Público
Nacional.
Art. 2°—
Comuníquese, publíquese, dése a la Dirección
Nacional del Registro Oficial y archívese.
Claudia Bello.
ANEXO
POLITICA DE CERTIFICACION
Criterios para el licenciamiento de las Autoridades
Certificantes de la Administración Pública Nacional
Organismo Licenciante
Secretaría de la Función Pública
Diciembre, 1998
INDICE
1- AMBITO DE APLICACION
2- SUJETOS
3- OBJETO
4- CONTACTOS - SUGERENCIAS
5- RESPONSABILIDAD DEL ORGANISMO LICENCIANTE
5-1 Responsabilidades asumidas por el Organismo
Licenciante al emitir un certificado
6- INTERPRETACION
7- PUBLICACION - REPOSITORIOS
7-1 Frecuencia de la publicación
7-2- Acceso
7-3- Confidencialidad
8 - IDENTIFICACION Y AUTENTICACION
8-1- Iniciación del tramite
8-2- Validación de la información
presentada
8-3- Solicitudes de renovación
8-4- Período de validez
9 - REQUISITOS OPERATIVOS
9-1- Requerimiento
9-2- Emisión del certificado
9-3- Contenido del certificado
9-4- Condiciones de validez del certificado
de clave pública
9-5- Revocación de certificados
9-5-1- Clases de revocación
9-5-1-1- Revocación voluntaria
9-5-1-2- Revocación obligatoria
9-5-2- Autorizados a requerir la revocación
9-5-3- Procedimiento para solicitar la revocación
9-5-4- Actualización de repositorios
:
9-5-5- Emisión de listas de certificados
revocados
9-6- Auditoría - Procedimientos de
seguridad
9-7- Archivos
9-7-1- Información a ser archivada
9-7-2- Plazo de conservación
9-7-3- Protección de archivos
9-7-4- Archivos de resguardo
9-8- Planes de Emergencia
9-8-1- Plan de recuperación ante desastres
9-8-2- Plan de protección de claves
9-8-3- Cese de operaciones del Organismo
Licenciante
10 - CONTROLES DE SEGURIDAD
10-1- Controles de seguridad física
10-1 -1- Control de acceso
10-2- Controles funcionales
10-2-1- Determinación de roles
10-2-2- Separación de funciones
10-3- Controles de seguridad personal
10-3-1- Calificación del personal
10-3-2- Antecedentes
10-3-3- Entrenamiento
10-4- Controles de seguridad técnica
10-4-1- Generación e instalación
de claves
10-4-1-1- Generación
10-4-1-2- Envío de la clave pública
10-4-1-3- Características criptográficas
10-4-2- Protección de la clave privada
10-4-2-1- Estándares criptográficos
10-4-2-2- Copias de resguardo
10-4-2-3- Destrucción de la clave
privada
10-4-3- Otros aspectos del manejo de claves
10-4-3-1- Reemplazo de claves
10-4-3-2- Restricciones al uso de claves
privadas
10-4-4- Controles de seguridad del computador
10-4-5- Controles de seguridad de conectividad
de red
11- CERTIFICADOS Y LISTAS DE CERTIFICADOS
REVOCADOS - CARACTERISTICAS
12 - ADMINISTRACION DE ESTA POLITICA
12-1- Cambios de política
12-1-1- Listado de propuestas
12-1-2- Período de prueba
12-2- Publicación y notificación
GLOSARIO
Referencias
Política de Certificación
1- Ámbito de aplicación
Esta política de certificación
define los términos y condiciones que rigen la relación
entre la Secretaría de la Función Pública
en su carácter de Organismo Licenciante y los Organismos
de la Administración Pública Nacional que actúen
como Autoridades Certificantes Licenciadas.
En ella se especifican los requisitos a tener
en cuenta para la emisión y administración de
los certificados de clave pública utilizados en el
proceso de verificación de firmas digitales de Autoridades
Certificantes Licenciadas en el ámbito de la Administración
Pública Nacional, otorgando confiabilidad a la Infraestructura
de Firma Digital del Sector Público Nacional en razón
de que las partes involucradas puedan asegurarse de la autenticidad
e integridad de los documentos digitales firmados.
El presente forma parte de la serie "B"
de documentos emitidos por el Organismo Licenciante
2- Sujetos
Esta política es aplicable por:
2.1 - La Secretaría de la Función
Pública, en su carácter de Organismo Licenciante,
que otorga licencias habilitantes a las dependencias de la
Administración Pública Nacional que actúen
como Autoridades Certificantes Licenciadas y emite certificados
de clave pública que permitan verificar las firmas
digitales de los certificados que éstas emitan.
2-2 - La Contaduría General de la
Nación que cumple funciones de Organismo Auditante
de los demás Organismos regulados por esta política.
2-3- Las Autoridades Certificantes Licenciadas
en su carácter de suscriptoras de los certificados
que emita el Organismo Licenciante.
La descripción detallada de los procedimientos
utilizados por el Organismo Licenciante para implementar los
requerimientos de esta política se encuentra incluida
en el manual de procedimientos, el cual coplementa el presente
documento y forma parte de la serie "C" de documentos
emitidos por el Organismo Licenciante.
3- Objeto
Esta política regula el empleo de
la firma digital en la instrumentación de los actos
internos del Sector Público Nacional que no produzcan
efectos individuales en forma directa.
4- Contactos - Sugerencias
Esta política es administrada por
el Organismo Licenciante, cuyas funciones son ejercidas por
la Secretaría de la Función Pública.
Para consultas o sugerencias, por favor dirigirse
a:
E-mail: politica@pki.gov.ar
Sr.
Roque Sáenz Peña 511 - 5°
piso
Capital Federal
TE:
5- Responsabilidad del Organismo Licenciante
Como Organismo Licenciante, la Secretaría
de la Función Pública es responsable de todos
los aspectos relativos a la emisión y administración
de los certificados correspondientes a las Autoridades Certificantes
Licenciadas en el ámbito de la Administración
Pública Nacional, incluyendo:
· El proceso de postulación
de la Autoridad Certificante.
· El proceso de identificación
y autenticación.
· La emisión de certificados.
· La administración de certificados.
· La resolución de las contingencias
que eventualmente se susciten respecto a la Infraestructura
de Firma Digital de la Administración Pública
Nacional.
5-1- Responsabilidades asumidas por el Organismo
Licenciante al emitir un certificado
Al emitir un certificado, el Organismo Licenciante
garantiza:
· Que el certificado contiene información
que el Organismo Licenciante considerada fehaciente al momento
de la emisión.
· Que el certificado satisface todos
los requisitos exigidos por el Decreto N°427/98
5-2- Responsabilidades asumidas por el Organismo
Licenciante al publicar un certificado
Al publicar un certificado en su repositorio,
el Organismo Licenciante garantiza:
· Que la información contenida
en el certificado y por él verificada es correcta.
· Que ha cumplido con las exigencias
del Decreto N°427/98 referidas a la emisión del
certificado.
· Que el certificado contiene información
suficiente y necesaria en relación a los algoritmos
criptográficos empleados.
· Que el suscriptor ha aceptado el
certificado.
6- Interpretación
La interpretación, obligatoriedad,
diseño y validez de esta política se encuentran
sometidos a lo establecido por el Decreto N°427/98. Las
definiciones y regulaciones indicadas en el decreto mencionado
son parte de esta política.
7- Publicación - Repositorios
La Secretaría de la Función
Pública opera un repositorio en línea de acceso
Público que contiene:
· Certificados emitidos que hagan
referencia a esta política.
· Listas de certificados revocados
o bien información en tiempo real del estado de los
certificados.
· El certificado de clave pública
del Organismo Licenciante.
· Versiones anteriores y actualizadas
del manual de procedimientos.
· Copia de esta política.
· Toda otra información referida
a certificados que hace referencia a esta política.
El repositorio se encuentra disponible en
la siguiente dirección:
http://ol.pki.gov.ar
7-1 - Frecuencia de la publicación
Toda información que corresponda incluir
en el repositorio debe serlo inmediatamente de conocida por
el Organismo Licenciante, en un plazo no superior a las veinticuatro
(24) horas.
Los certificados emitidos por el Organismo
Licenciante que hacen referencia a esta política se
publicarán inmediatamente de ser aceptados.
Se entiende por aceptación al retiro
del certificado por la Autoridad Certificante Licenciada.
7-2- Acceso
El repositorio se encuentra disponible para
uso público durante veinticuatro (24) horas diarias
trescientos sesenta y cinco (365) días al año,
sujeto a un razonable calendario de mantenimiento.
El Organismo Licenciante no puede poner restricciones
al acceso a esta política, a su certificado de clave
pública y a versiones anteriores y actualizadas del
manual de procedimientos.
7-3- Confidencialidad
Toda información referida a Autoridades
Certificantes que sea recibida por el Organismo Licenciante
en los requerimientos será confidencial y no puede
hacerse pública sin su consentimiento previo, salvo
que sea requerida legalmente.
Lo indicado no es aplicable cuando se trate
de información que se transcriba en el certificado
o sea obtenida de fuentes públicas.
8 - Identificación y Autenticación
8-1- Iniciación del trámite
Sujeto a los requerimientos indicados en
este capítulo, los requerimientos recibidos por la
Secretaría de la Función Pública en su
carácter de Organismo Licenciante pueden ser comunicados
por el solicitante:
· Vía e-mail o web-site
· Telefónicamente
· Por correo
· Personalmente
En todos los casos, el representante autorizado
por el organismo o dependencia que solicite la correspondiente
licencia, debe concurrir personalmente a fin de proceder a
su identificación. (ver posible intervención
de escribano para certificar identidad)
8-2- Validación de la información
presentada
Cuando el Organismo Licenciante reciba un
requerimiento de parte de un organismo o dependencia, está
obligado a confirmar:
· Que la información contenida
en el requerimiento sea correcta.
· Que la organización exista
y desarrolle sus funciones en el domicilio indicado en el
requerimiento.
· Que el requerimiento sea firmado
por un representante debidamente autorizado a ese fin por
la máxima autoridad competente.
A fin de efectuar esta investigación,
el Organismo Licenciante puede acudir a registros de reparticiones
oficiales o a los medios de validación que estime más
adecuados.
8-3- Retiro y aceptación del certificado
El requerimiento remitido por el representante
autorizado del organismo o dependencia se verifica de la siguiente
forma:
· Si el requerimiento se recibe a
través de la interfaz web utilizando SSL u otro protocolo
similar, por medio de una identificación secreta (por
ejemplo: PIN number) que será comunicado al solicitante
por un medio de comunicación confiable, como parte
del proceso de autenticación.
· En cualquier otro caso, debe acreditar
que es el poseedor de la clave privada.
8-4- Solicitudes de renovación
Dentro de los tres (3) meses anteriores a
la expiración del período operacional de un
certificado emitido según los lineamientos de ésta
política, una Autoridad Certificante Licenciada puede
solicitar al Organismo Licenciante la emisión de un
nuevo certificado con un nuevo par de claves. Puede hacerlo
siempre que el certificado original no haya sido revocado.
La solicitud puede hacerse a través
de un requerimiento firmado digitalmente utilizando la clave
privada del certificado original.
El Organismo Licenciante debe proceder a
verificar nuevamente los datos de identificación del
solicitante como si se tratara de la emisión original.
8-5- Período de validez
Los certificados tienen un período
de validez de tres (3) años desde la fecha de emisión.
9 - Requisitos operativos
9-1- Requerimiento
Todo organismo o dependencia que se postule
para obtener un certificado debe completar un requerimiento,
el que estará sujeta a revisión y aprobación
por el Organismo Licenciante.
El proceso de solicitud puede ser iniciado
sólamente por el representante autorizado de la dependencia
u organismo.
9-2- Emisión del certificado
Cumplidos los recaudos del proceso de identificación
y autenticación de acuerdo con esta política
y una vez completada y aprobada la solicitud, el Organismo
Licenciante debe emitir el correspondiente certificado, notificar
al representante autorizado y poner dicho certificado a su
disposición. Debe establecer un procedimiento tal que
asegure que el certificado sea enviado al solicitante.
9-3- Aceptación del certificado
Al emitir el certificado, el Organismo Licenciante
debe exigir al representante de la Autoridad Certificante
Licenciada que expresamente indique su aceptación o
rechazo, de acuerdo a lo establecido en el manual de procedimientos.
Un certificado emitido y no aceptado en un
plazo de cinco (5) días será revocado automáticamente.
9-4- Contenido del certificado
El certificado de clave pública debe
contener como mínimo los siguientes datos:
· Nombre de la Autoridad Certificante
Licenciada.
· Clave pública de la Autoridad
Certificante Licenciada.
· Algoritmos que deben utilizarse
en la clave pública en él contenida.
· Número de serie del certificado.
· Período de vigencia del certificado.
· Nombre del Organismo Licenciante
emisor del certificado.
· Firma digital del Organismo Licenciante
que emite el certificado identificando los algoritmos utilizados.
· Todo otro dato relevante para la
utilización del certificado según disponga el
manual de procedimientos del Organismo Licenciante.
9-5- Condiciones de validez del certificado
de clave pública
El certificado de clave pública correspondiente
a una Autoridad Certificante Licenciada es válido únicamente
si:
· Ha sido emitido por el Organismo
Licenciante.
· No ha sido revocado.
· No ha expirado su período
de vigencia.
9-6- Revocación de certificados
9-6-1- Clases de revocación
9-6-1-1- Revocación voluntaria
Una Autoridad Certificante Licenciada puede
solicitar la revocación de su certificado por cualquier
motivo y en cualquier momento. La solicitud de revocación
debe estar firmada por el representante autorizado o por la
máxima autoridad competente.
9-6-1-2- Revocación obligatoria
Una Autoridad Certificante Licenciada debe
solicitar la inmediata revocación de su certificado:
· Cuando se produzcan cambios en la
información que el certificado contiene o ésta
se desactualice.
· Cuando la clave privada asociada
al certificado de clave pública, o el medio en que
se encuentre almacenada, se encuentren comprometidos o corran
peligro de estarlo.
· Cuando el organismo o dependencia
haya dejado de funcionar.
El Organismo Licenciante debe revocar el
certificado:
· A solicitud de la Autoridad Certificante
Licenciada.
· Ante incumplimiento por parte de
la Autoridad Certificante Licenciada de las obligaciones establecidas
por el Decreto N°427/98, por esta política, el
manual de procedimientos o cualquier otro acuerdo, regulación
o ley aplicable al certificado.
· Ante incumplimiento por parte de
la Autoridad Certificante Licenciada de las observaciones
efectuadas por las auditorías que le fueran practicadas,
siempre que no medie justificación admisible para dicho
incumplimiento.
· Si toma conocimiento de que existe
sospecha de que la clave privada de la Autoridad Certificante
Licenciada se encuentra comprometida.
· Si el Organismo Licenciante determina
que el certificado no fue emitido de acuerdo a los lineamientos
del Decreto N°427/98, de esta política o del manual
de procedimientos.
Si cumplido el plazo establecido por el Decreto
N°427/98 no se continuara con la aplicación de
este sistema, el Organismo Licenciante dejará automáticamente
de emitir certificados. Unicamente mantendrá su función
de revocación y las Autoridades Certificantes Licenciadas
podrán seguir operando bajo su responsabilidad hasta
la extinción o revocación de sus certificados.
9-6-2- Autorizados a requerir la revocación
Sólo están autorizados a solicitar
la revocación de un certificado emitido según
esta política:
· La Autoridad Certificante Licenciada
a través de su máxima autoridad competente o
de su representante autorizado.
· El Organismo Licenciante.
9-6-3- Procedimiento para solicitar la revocación
La solicitud de revocación de certificado
de una Autoridad Certificante Licenciada debe ser comunicada
en forma inmediata al Organismo Licenciante. Puede presentarse
vía correo electrónico o interfaz web, si se
encuentra firmada digitalmente con la clave privada del suscriptor
o representante de la organización.
También puede solicitarse acudiendo
personalmente ante el Organismo Licenciante y acreditando
debidamente su identificación o por cualquier otro
medio que garantice fehacientemente su identidad.
9-6-4- Actualización de repositorios
Una vez recibida la solicitud de revocación,
la lista de certificados revocados o el estado de los certificados
en la base de datos del Organismo Licenciante deben actualizarse
de inmediato, dentro de un plazo no superior a las veinticuatro
(24) horas de recibida.
Todas las solicitudes y la información
acerca de los procedimientos cumplimentados serán archivadas.
9-6-5- Emisión de listas de certificados
revocados
El Organismo Licenciante debe emitir listas
de certificados revocados. Debe efectuar como mínimo
una actualización semanal. En caso de producirse una
revocación debe, además, emitir una actualización
dentro de las veinticuatro (24) horas de que esta haya sido
recibida y tramitada.
9-6-6- Disponibilidad de archivo de estado
de certificados
De existir el servicio de consulta en línea,
debe encontrarse disponible y actualizado, informando en forma
permanente sobre el estado de los certificados.
9-6-7- Auditoría - Procedimientos
de seguridad
Todos los hechos significativos que afecten
la seguridad del sistema del Organismo Licenciante deben ser
grabados en archivos de auditoría (logs).
Serán conservados en el ámbito
del Organismo Licenciante al menos durante un año.
Posteriormente serán archivados en
un lugar físico protegido durante diez (10) años.
9-7- Archivos
9-7-1- Información a ser archivada
El Organismo Licenciante debe conservar información
acerca de:
· Solicitudes de certificados y toda
información que avale el proceso de identificación.
· Certificados emitidos y listas de
certificados revocados.
· Archivos de auditoría.
· Toda comunicación relevante
entre el Organismo Licenciante y las Autoridades Certificantes
Licenciadas.
9-7-2- Plazo de conservación
La información acerca de los certificados
debe conservarse por un plazo mínimo de diez (10) años.
9-7-3- Protección de archivos
Los medios de almacenamiento de la información
deben ser protegidos física y lógicamente, utilizando
criptografía cuando fuera apropiado.
9-7-4- Archivos de resguardo
Es obligación del Organismo Licenciante
la implementación de procedimientos para la emisión
de copias de resguardo actualizadas, las cuales deben encontrarse
disponibles a la brevedad en caso de pérdida o destrucción
de los archivos.
9-8- Planes de Emergencia
9-8-1- Plan de recuperación ante desastres
El Organismo Licenciante debe implementar
un plan de recuperación ante desastres. Este debe garantizar
el mantenimiento mínimo de la operatoria (recepción
de solicitudes de revocación y consulta de listas de
certificados revocados actualizadas) y su puesta en operaciones
dentro de las cuarenta y ocho (48) horas de producirse una
emergencia.
El plan debe ser conocido por todo el personal
que cumpla funciones en el Organismo Licenciante y debe incluir
una prueba completa de los procedimientos a utilizar en casos
de emergencia, por lo menos una vez al año.
9-8-2- Plan de protección de claves
El Organismo Licenciante debe implementar
un plan que determine los procedimientos a seguir cuando su
clave privada se vea comprometida. Incluirá las medidas
a tomar para revocar los certificados emitidos y notificar
a las Autoridades Certificantes Licenciadas.
9-8-3- Cese de operaciones del Organismo
Licenciante
En caso de que el Organismo Licenciante cese
en sus funciones, todas las Autoridades Certificantes deben
ser notificadas de inmediato.
Será de aplicación lo dispuesto
en 9-6-1-2 último párrafo.
10 - Controles de Seguridad
10-1- Controles de seguridad física
10-1-1- Control de acceso
El Organismo Licenciante debe implementar
controles apropiados que restrinjan el acceso a los equipos,
programas y datos utilizados para proveer el servicio de certificación,
solamente a personas debidamente autorizadas.
Consistirán en controles electrónicos
de acceso, llaves de seguridad u otros medios adecuados, debiendo
verificarse su funcionamiento permanentemente.
10-2- Controles funcionales
10-2-1- Determinación de roles
Todo el personal que tenga acceso o control
sobre operaciones criptográficas que puedan afectar
la emisión, utilización o revocación
de los certificados, incluyendo modificaciones en el repositorio,
debe ser confiable. Incluirá, entre otros, administradores
del sistema, operadores, técnicos y supervisores de
las operaciones del Organismo Licenciante.
10-2-2- Separación de funciones
Con e fin de asegurar que ninguna persona
pueda individualmente violar las medidas de seguridad, las
funciones en el Organismo Licenciante deben separarse entre
múltiples roles e individuos, llevados a cabo por distintos
responsables.
10-3- Controles de seguridad personal
10-3-1- Calificación del personal
El Organismo Licenciante debe seguir una
política de administración de personal que provea
razonable seguridad de la confiabilidad y competencia del
personal para el adecuado cumplimiento de sus funciones.
10-3-2- Antecedentes
El Organismo Licenciante debe realizar una
adecuada investigación sobre el personal que cumpla
funciones críticas, debiendo verificar su confiabilidad
y competencia de acuerdo a los requerimientos de esta política.
Todo el personal que no cumpla las exigencias
establecidas, no podrá desempeñar funciones
en el Organismo Licenciante.
10-3-3- Entrenamiento
Todo el personal del Organismo Licenciante
debe tener acceso a manuales que determinarán los procedimientos
para la emisión, actualización y revocación
de los certificados, así como aspectos funcionales
del sistema informático.
10-4- Controles de seguridad técnica
10-4-1- Generación e instalación
de claves
10-4-1-1- Generación
El par de claves de la Autoridad Certificante
Licenciada debe ser generado de manera tal que la clave privada
sólo sea conocida por el agente autorizado para actuar
como su representante, quien es considerado como titular del
par de claves.
El responsable de la Autoridad Certificante
Licenciada debe generar su propio par de claves en un sistema
confiable, no debe revelar bajo ninguna circunstancia su clave
privada y debe almacenarla en un medio que garantice su confidencialidad
e integridad.
10-4-1-2- Envío de la clave pública
La clave pública de la Autoridad Certificante
Licenciada debe ser transferida al Organismo Licenciante de
manera tal que asegure que:
· No pueda ser cambiada durante la
transferencia.
· El remitente posea la clave privada
que corresponde a la clave pública transferida.
· El remitente de la clave pública
sea el responsable de la Autoridad Certificante Licenciada.
El formato del requerimiento debe ser PKCS#10.
10-4-1-3- Características criptográficas
La Secretaría de la Función
Pública, en su carácter de autoridad de aplicación,
define:
· Los tipos de algoritmos aceptables:
· RSA o DSA como algoritmo asimétrico
· MD5 o SHA-1 como algoritmo de digesto
de mensaje seguro.
· MD5 con RSA o SHA-1 con RSA como
algoritmo de firma para operar con el Organismo Licenciante.
· La longitud mínima de clave
de la Autoridad Certificante Licenciada (2048 bits).
· La longitud mínima de clave
privada del Organismo Licenciante (2048 bits, tal como se
define en el estándar PKCS#1).
En caso de conocerse un mecanismo que vulnere
un algoritmo de las longitudes indicadas, es obligación
del Organismo Licenciante revocar todos los certificados comprometidos
y notificar a las Autoridades Certificantes Licenciadas.
10-4-2- Protección de la clave privada
El Organismo Licenciante debe proteger su
clave privada de acuerdo con lo previsto en esta política.
10-4-2-1- Estándares criptográficos
La generación y almacenamiento de
claves y su utilización deben efectuarse utilizando
un equipamiento que cumpla con los estándares aprobados
por la Secretaría de la Función Pública
para la Administración Pública Nacional.
10-4-2-2- Copias de resguardo
El Organismo Licenciante puede optar por
efectuar un back-up de su clave privada.
También puede archivarla, siempre
que se asegure:
· Un adecuado control de acceso al
medio de almacenamiento.
· Que los responsables del uso de
la clave privada sean notificados de cualquier intento de
acceso no autorizado a la mencionada copia.
10-4-2-3- Destrucción de la clave
privada
Si por cualquier motivo deja de utilizarse
la clave privada del Organismo Licenciante para crear firmas
digitales, todas las copias de la misma deben ser destruidas.
10-4-3- Otros aspectos del manejo de claves
10-4-3-1- Reemplazo de claves
El par de claves del Organismo Licenciante
debe ser reemplazado cuando hayan sido vulneradas o exista
presunción en tal sentido.
10-4-3-2- Restricciones al uso de claves
privadas
La clave privada del Organismo Licenciante
empleada para emitir certificados según los lineamientos
de esta política debe utilizarse sólo para firmar
certificados a Autoridades Certificantes Licenciadas y, opcionalmente,
para firmar listas de certificados revocados.
10-4-4- Controles de seguridad del computador
Todos los servidores del Organismo Licenciante
deben incluir los controles propios del sistema operativo.
10-4-5- Controles de seguridad de conectividad
de red
Los servicios que provee el Organismo Licenciante
y que deben estar conectados a una red de comunicación
pública deben ser protegidos por la tecnología
apropiada que garantice que dicho servicio es seguro y que
no es posible acceder a ningún servicio sin la debida
autorización.
11- Certificados y listas de certificados
revocados - Características
Todos los certificados que hacen referencia
a esta política se emitirán en formato X509
versión 3 o superior e incluirán una referencia
que identifique la política aplicable.
Las listas de certificados revocados serán
emitidas en formato X509 versión 2.
12 - Administración de esta política
12-1- Cambios de política
12-1-1- Listado de propuestas
Todos los cambios propuestos a esta política
que se encuentren a consideración del Organismo Licenciante
y que puedan afectar a las Autoridades Certificantes Licenciadas,
serán publicados y puestos en conocimiento de éstas.
12-1-2- Período de prueba
Las Autoridades Certificantes Licenciadas
pueden enviar comentarios acerca de los cambios en la política
que se encuentren a consideración del Organismo Licenciante
dentro de los cuarenta y cinco (45) días de que éstos
les fueran notificados. Si los cambios propuestos fueran modificados
como consecuencia de estos comentarios, esta situación
les será comunicada a las Autoridades Certificantes
Licenciadas.
12-2- Publicación y notificación
|
