Resolución 212/1998 de la Secretaría de la Función Pública, de 30 de diciembre de 1998
Apruébase la Política de Certificación que establece los criterios para el licenciamiento de las Autoridades Certificantes y los requisitos y condiciones para la emisión de los certificados de clave pública utilizados en el proceso de verificación de firmas digitales en el ámbito del Sector Público Nacional.
VISTO lo dispuesto por el Decreto Nro. 427 del 16 de abril de 1998, por el cual se aprueba la Infraestructura de Firma Digital para el Sector Público Nacional, y
CONSIDERANDO:
Que la SECRETARIA DE LA FUNCION PUBLICA de la JEFATURA DE
GABINETE DE MINISTROS es la Autoridad de Aplicación del régimen
de Firma Digital aprobado por el citado Decreto y el Organismo
Licenciante de las Autoridades Certificantes Licenciadas en el
ámbito de la Administración Pública Nacional.
Que en ese carácter, la SECRETARIA DE LA FUNCION PUBLICA de la
JEFATURA DE GABINETE DE MINISTROS se encuentra facultada para
aprobar la Política de Certificación ("Certification Policy")
que establece los criterios para el licenciamiento de las
Autoridades Certificantes y los requisitos y condiciones para la
emisión de los certificados de clave pública utilizados en el
proceso de verificación de firmas digitales en el ámbito del
Sector Público Nacional.
Que dentro de los lineamientos de la Infraestructura de Firma
Digital aprobados por el Decreto 427/98, profesionales y
técnicos de la Subsecretaría de Tecnologías Informáticas han
preparado el cuerpo normativo de la aludida política,
compendiada bajo el título ‘Política de Certificación
("Certification Policy"): Criterios para el licenciamiento de
las Autoridades Certificantes de la Administración Pública
Nacional", y elevándolos para su aprobación e inmediata puesta
en vigencia.
Por ello,
LA SECRETARIA DE LA FUNCION PUBLICA DE LA JEFATURA DE
GABINETE DE MINISTROS
RESUELVE:
Artículo 1º Apruébase la "Política de Certificación
("Certification Policy"): Criterios para el licenciamiento de
las Autoridades Certificantes de la Administración Pública
Nacional", que figura en el Anexo de la presente, reguladora de
la relación entre el Organismo Licenciante y los organismos de
la Administración Pública Nacional que actúen en el carácter de
Autoridades Certificantes Licenciadas, y establece los
requisitos y condiciones para la emisión de los certificados de
clave pública utilizados en el proceso de verificación de firmas
digitales en el ámbito del Sector Público Nacional.
Artículo 2º Comuníquese, publíquese, dése a la Dirección
Nacional del Registro Oficial y archívese.
Claudia Bello.
ANEXO. POLITICA DE CERTIFICACION
Criterios para el licenciamiento de las Autoridades
Certificantes de la Administración Pública Nacional
Organismo Licenciante
Secretaría de la Función Pública
Diciembre, 1998
INDICE
1. AMBITO DE APLICACION
2. SUJETOS
3. OBJETO
4. CONTACTOS . SUGERENCIAS
5. RESPONSABILIDAD DEL ORGANISMO LICENCIANTE
5.1. Responsabilidades asumidas por el Organismo Licenciante al
emitir un certificado
6. INTERPRETACION
7. PUBLICACION . REPOSITORIOS
7.1 . Frecuencia de la publicación
7.2. Acceso
7.3. Confidencialidad
8 . IDENTIFICACION Y AUTENTICACION
8.1. Iniciación del trámite
8.2. Validación de la información presentada
8.3. Solicitudes de renovación
8.4. Período de validez
9 . REQUISITOS OPERATIVOS
9.1. Requerimiento
9.2. Emisión del certificado
9.3. Contenido del certificado
9.4. Condiciones de validez del certificado de clave pública
9.5. Revocación de certificados
9.5.1. Clases de revocación
9.5.1.1. Revocación voluntaria
9.5.1.2. Revocación obligatoria
9.5.2. Autorizados a requerir la revocación
9.5.3. Procedimiento para solicitar la revocación
9.5.4. Actualización de repositorios
9.5.5. Emisión de listas de certificados revocados
9.6. Auditoría . Procedimientos de seguridad
9.7. Archivos
9.7.1. Información a ser archivada
9.7.2. Plazo de conservación
9.7.3. Protección de archivos
9.7.4. Archivos de resguardo
9.8. Planes de Emergencia
9.8.1. Plan de recuperación ante desastres
9.8.2. Plan de protección de claves
9.8.3. Cese de operaciones del Organismo Licenciante
10 . CONTROLES DE SEGURIDAD
10.1. Controles de seguridad física
10.1.1. Control de acceso
10.2. Controles funcionales
10.2.1. Determinación de roles
10.2.2. Separación de funciones
10.3. Controles de seguridad personal
10.3.1. Calificación del personal
10.3.2. Antecedentes
10.3.3. Entrenamiento
10.4. Controles de seguridad técnica
10.4.1. Generación e instalación de claves
10.4.1.1. Generación
10.4.1.2. Envío de la clave pública
10.4.1.3. Características criptográficas
10.4.2. Protección de la clave privada
10.4.2.1. Estándares criptográficos
10.4.2.2. Copias de resguardo
10.4.2.3. Destrucción de la clave privada
10.4.3. Otros aspectos del manejo de claves
10.4.3.1. Reemplazo de claves
10.4.3.2. Restricciones al uso de claves privadas
10.4.4. Controles de seguridad del computador
10.4.5. Controles de seguridad de conectividad de red
11. CERTIFICADOS Y LISTAS DE CERTIFICADOS REVOCADOS .
CARACTERISTICAS
12 . ADMINISTRACION DE ESTA POLITICA
12.1. Cambios de política
12.1.1. Listado de propuestas
12.1.2. Período de prueba
12.2. Publicación y notificación
GLOSARIO
Referencias
POLITICA DE CERTIFICACION
Criterios para el licenciamiento de las Autoridades
Certificantes de la Administración Pública Nacional
1. Ambito de aplicación
Esta política de certificación define los términos y condiciones
que rigen la relación entre el Organismo Licenciante, cuyas
funciones son ejercidas por la Secretaría de la Función Pública
y los organismos y dependencias de la Administración Pública
Nacional que actúen como Autoridades Certificantes Licenciadas.
En ella se especifican los requisitos a tener en cuenta para la
emisión y administración de los certificados de clave pública
utilizados en el proceso de verificación de firmas digitales de
Autoridades Certificantes Licenciadas en el ámbito de la
Administración Pública Nacional, otorgando confiabilidad a la
Infraestructura de Firma Digital del Sector Público Nacional en
razón de que las partes involucradas pueden asegurarse de la
autenticidad e integridad de los documentos digitales firmados
digitalmente.
El presente forma parte de la serie "B" de documentos emitidos
por el Organismo Licenciante.
2. Sujetos
Esta política es aplicable por:
2.1 . La Secretaría de la Función Pública, en su carácter de
Organismo Licenciante, que otorga licencias habilitantes a las
dependencias de la Administración Pública Nacional que decidan
actuar como Autoridades Certificantes Licenciadas y emite
certificados de clave pública que permitan verificar las firmas
digitales de estas últimas.
2.2 . La Contaduría General de la Nación que cumple funciones de
Organismo Auditante de todos los Organismos regulados por esta
política.
2.3 . Las Autoridades Certificantes Licenciadas en su carácter
de suscriptoras de los certificados que emita el Organismo
Licenciante.
La descripción detallada de los procedimientos utilizados por el
Organismo Licenciante para implementar los requerimientos de
esta política se encuentra incluida en el Manual de
Procedimientos, el cual complementa el presente documento y
forma parte de la serie "C" de documentos emitidos por el
Organismo Licenciante.
3. Objeto
Esta política regula el empleo de la firma digital en la
instrumentación de los actos internos del Sector Público
Nacional que no produzcan efectos individuales en forma directa.
4. Contactos . Sugerencias
Esta política es administrada por el Organismo Licenciante,
cuyas funciones son ejercidas por la Secretaría de la Función
Pública.
Para consultas o sugerencias, por favor dirigirse a:
E.mail:
politica@pki.gov.ar
Personalmente o por correo:
Organismo Licenciante
Roque Sáenz Peña 511 – 5°piso
(1035) Buenos Aires
TE: 342.4683
Fax: 331.6898
5. Responsabilidad del Organismo Licenciante
Como Organismo Licenciante, la Secretaría de la Función Pública
es responsable de todos los aspectos relativos a la emisión y
administración de los certificados emitidos a favor de las
Autoridades Certificantes Licenciadas en el ámbito de la
Administración Pública Nacional, incluyendo:
• El proceso de postulación de la Autoridad Certificante.
• El proceso de identificación y autenticación.
• La emisión de certificados.
• La administración de certificados.
• La resolución de las contingencias que eventualmente se
susciten respecto a la Infraestructura de Firma Digital de la
Administración Pública Nacional.
5.1. Responsabilidades asumidas por el Organismo Licenciante al
emitir un certificado
Al emitir un certificado, el Organismo Licenciante garantiza:
• Que el certificado ha sido emitido siguiendo las pautas
establecidas en el Manual de Procedimientos para la validación
de los datos en él incluidos.
• Que el certificado satisface todos los requisitos exigidos por
el Decreto ?°427/98.
• Que los algoritmos y longitudes de claves utilizados cumplen
con la última versión aprobada por Resolución de la Secretaría
de la Función Pública de los Estándares sobre Tecnología de
Firma Digital para la Administración Pública Nacional.
• Que el certificado será publicado según lo dispuesto en esta
política.
6. Interpretación
La interpretación, obligatoriedad, diseño y validez de esta
política se encuentran sometidos a lo establecido por el Decreto
N°427/98. Las definiciones y regulaciones indicadas en el
decreto mencionado son parte de esta política.
7. Publicación . Repositorios
La Secretaría de la Función Pública opera un repositorio en
línea de acceso público que contiene:
a) Certificados emitidos que hagan referencia a esta política.
b) Listas de certificados revocados.
c) El certificado de clave pública del Organismo Licenciante.
d) Copia de todas las versiones del Manual de Procedimientos que
se emitan.
e) Copia de esta política.
f) Ultima versión aprobada por Resolución de la Secretaría de la
Función Pública de los Estándares sobre Tecnología de Firma
Digital para la Administración Pública Nacional.
g) Toda otra información referida a certificados que hagan
referencia a esta política.
El repositorio se encuentra disponible en:
7.1 . Frecuencia de la publicación
Toda información que corresponda incluir en el repositorio debe
serlo en un plazo no superior a las veinticuatro (24) horas de
conocida por el Organismo Licenciante.
No obstante, las revocaciones de certificados deberán incluirse
en el repositorio inmediatamente después de ser validada la
identificación de quien las solicite.
Los certificados emitidos por el Organismo Licenciante que hacen
referencia a esta política se publicarán inmediatamente después
de ser aceptados.
7.2. Acceso
El repositorio se encuentra disponible para uso público durante
veinticuatro (24) horas diarias siete (7) días a la semana,
sujeto a un razonable calendario de mantenimiento.
El Organismo Licenciante no puede poner restricciones al acceso
a esta política, a su certificado de clave pública y a versiones
anteriores y actualizadas del Manual de Procedimientos.
7.3. Confidencialidad
Toda información referida a Autoridades Certificantes que sea
recibida por el Organismo Licenciante en los requerimientos es
confidencial y no puede hacerse pública sin su consentimiento
previo, salvo que sea requerida judicialmente.
Lo indicado no es aplicable cuando se trate de información que
se transcriba en el certificado o sea obtenida de fuentes
públicas.
8. Identificación y Autenticación
8.1. Iniciación del trámite
Sujeto a los requisitos indicados en este capítulo, los
requerimientos recibidos por la Secretaría de la Función Pública
en su carácter de Organismo Licenciante pueden ser comunicados
por el solicitante:
a) Vía correo electrónico o interfaz web.
b) Por correo
c) Personalmente
En todos los casos, el representante autorizado por el organismo
o dependencia que solicite la correspondiente licencia, debe
concurrir personalmente a fin de proceder a su identificación.
8.2. Validación de la información presentada
Cuando el Organismo Licenciante reciba un requerimiento de parte
de un organismo o dependencia, está obligado a confirmar:
a) Que la información contenida en el requerimiento se encuentre
avalada por documentación respaldatoria.
b) Que la organización exista y desarrolle sus funciones en el
domicilio indicado en el requerimiento.
c) Que el requerimiento sea firmado por un representante
debidamente autorizado a ese fin por la máxima autoridad
competente.
A fin de efectuar esta verificación, el Organismo Licenciante
puede acudir a registros de reparticiones oficiales o a los
medios de validación que estime más adecuados.
8.3. Solicitudes de renovación
Dentro de los tres (3) meses anteriores a la expiración del
período operacional de un certificado emitido según los
lineamientos de esta política, una Autoridad Certificante
Licenciada puede solicitar al Organismo Licenciante la emisión
de un nuevo certificado
8.4. Período de validez
Los certificados tienen un período máximo de validez de tres (3)
años desde la fecha de emisión.
9. Requisitos operativos
9.1. Requerimiento
La emisión del certificado a favor de la Autoridad Certificante
implica el otorgamiento de la licencia para actuar como
Autoridad Certificante Licenciada y caduca por expiración o
renovación del certificado.
Todo organismo o dependencia que se postule para obtener un
certificado debe completar un requerimiento, el que estará
sujeto a revisión y aprobación por el Organismo Licenciante.
El proceso de solicitud puede ser iniciado solamente por el
representante autorizado del organismo o dependencia.
9.2. Emisión del certificado
Cumplidos los recaudos del proceso de identificación y
autenticación de acuerdo con esta política y una vez completada
y aprobada la solicitud, el Organismo Licenciante debe emitir el
correspondiente certificado. Debe firmarlo digitalmente y
ponerlo a disposición del representante autorizado del organismo
o dependencia, notificándolo de tal situación. Además, está
obligado a establecer un procedimiento que asegure que el
certificado sea recibido por el solicitante.
9.3. Contenido del certificado
El certificado de clave pública debe contener como mínimo los
siguientes datos:
a) Nombre de la Autoridad Certificante Licenciada.
b) Clave pública de la Autoridad Certificante Licenciada.
c) Algoritmos que deben utilizarse en la clave pública en él
contenida.
d) Número de serie del certificado.
e) Período de vigencia del certificado.
f) Nombre del Organismo Licenciante emisor del certificado.
g) Firma digital del Organismo Licenciante que emite el
certificado identificando los algoritmos utilizados.
h) Todo otro dato relevante para la utilización del certificado
según disponga el Manual de Procedimientos del Organismo
Licenciante.
9.4. Condiciones de validez del certificado de clave pública
El certificado de clave pública correspondiente a una Autoridad
Certificante Licenciada es válido únicamente si:
a) Ha sido emitido por el Organismo Licenciante.
b) No ha sido revocado.
c) No ha expirado su período de vigencia.
d) El certificado del Organismo Licenciante no ha sido revocado
ni ha expirado su período de vigencia.
El certificado de clave pública del Organismo Licenciante es
válido únicamente si:
a) No ha sido revocado.
b) No ha expirado su período de vigencia.
9.5. Revocación de certificados
9.5.1. Clases de revocación
9.5.1.1. Revocación voluntaria
Una Autoridad Certificante Licenciada puede solicitar la
revocación de su certificado por cualquier motivo y en cualquier
momento. La solicitud de revocación debe estar firmada
digitalmente por el representante autorizado o por la máxima
autoridad competente.
9.5.1.2. Revocación obligatoria
Una Autoridad Certificante Licenciada debe solicitar la
inmediata revocación de su certificado:
a) Cuando se produzcan cambios en la información que el
certificado contiene o ésta se desactualice.
b) Cuando la clave privada asociada al certificado de clave
pública, o el medio en que se encuentre almacenada, se
encuentren comprometidos o corran peligro de estarlo.
c) Cuando el organismo o dependencia decida discontinuar sus
actividades como Autoridad
Certificante Licenciada.
d) Cuando el organismo o dependencia haya dejado de funcionar.
El Organismo Licenciante debe revocar el certificado:
a) A solicitud de la Autoridad Certificante Licenciada.
b) Ante incumplimiento por parte de la Autoridad Certificante
Licenciada de las obligaciones establecidas por el Decreto
N°427/98, por esta política, por el Manual de Procedimientos o
por cualquier otro acuerdo, regulación o ley aplicable al
certificado.
c) Ante incumplimiento por parte de la Autoridad Certificante
Licenciada de las observaciones efectuadas por las auditorías
que le fueran practicadas, siempre que, a juicio del Organismo
Licenciante, no medie justificación admisible para dicho
incumplimiento.
d) Si toma conocimiento de que existe sospecha de que la clave
privada de la Autoridad Certificante Licenciada se encuentra
comprometida.
e) Si el Organismo Licenciante determina que el certificado no
fue emitido de acuerdo a los lineamientos del Decreto N°427/98,
de esta política, del Manual de Procedimientos o de los
Estándares sobre Tecnología de Firma Digital para la
Administración Pública Nacional.
Si cumplido el plazo establecido por el Decreto N°427/98 no se
continuara con la aplicación de este sistema, el Organismo
Licenciante dejará automáticamente de emitir certificados,
manteniendo únicamente su función de revocación. Las Autoridades
Certificantes Licenciadas podrán seguir operando bajo su
exclusiva responsabilidad hasta la extinción o revocación de sus
certificados.
9.5.2. Autorizados a requerir la revocación
Unicamente la Autoridad Certificante Licenciada, a través de su
representante autorizado o de la máxima autoridad competente del
organismo o dependencia, puede solicitar la revocación de su
certificado emitido según lo dispuesto en esta política.
9.5.3. Procedimiento para solicitar la revocación
La solicitud de revocación de certificado de una Autoridad
Certificante Licenciada debe ser comunicada en forma inmediata
al Organismo Licenciante. Puede presentarse vía correo
electrónico o interfaz web, si se encuentra firmada digitalmente
con la clave privada del suscriptor.
También puede solicitarse acudiendo personalmente ante el
Organismo Licenciante y acreditando debidamente su
identificación o por cualquier otro medio que garantice
fehacientemente su identidad.
9.5.4. Actualización de repositorios
Una vez recibida una solicitud de revocación y efectuada la
validación de la identidad del solicitante, la lista de
certificados revocados y el estado de los certificados en la
base de datos del Organismo Licenciante deben actualizarse de
inmediato.
Todas las solicitudes y la información acerca de los
procedimientos cumplimentados deben ser archivadas, según lo
dispuesto en 9.7.
9.5.5. Emisión de listas de certificados revocados
El Organismo Licenciante debe emitir listas de certificados
revocados, efectuando como mínimo una actualización diaria.
Además, en caso de producirse una revocación, debe emitir una
actualización inmediatamente después que haya sido recibida la
correspondiente solicitud o que haya tomado conocimiento de la
existencia de una causa que la origine.
En todos los casos, las listas de certificados revocados deben
ser firmadas digitalmente por el Organismo Licenciante.
9.6. Auditoría . Procedimientos de seguridad
Todos los hechos significativos que afecten la seguridad del
sistema del Organismo Licenciante deben ser almacenados en
archivos de auditoría (logs).
Serán conservados en el ámbito del Organismo Licenciante al
menos durante un año.
Posteriormente, serán archivados en un lugar físico protegido
hasta completar un período mínimo de diez (10) años.
9.7. Archivos
9.7.1. Información a ser archivada
El Organismo Licenciante debe conservar información acerca de:
• Solicitudes de certificados y toda información que avale el
proceso de identificación.
• Certificados emitidos y listas de certificados revocados.
• Archivos de auditoría.
• Toda comunicación relevante entre el Organismo Licenciante y
las Autoridades Certificantes Licenciadas.
9.7.2. Plazo de conservación
La información acerca de los certificados debe conservarse por
un plazo mínimo de diez (10) años.
9.7.3. Protección de archivos
Los medios de almacenamiento de la información deben ser
protegidos física y lógicamente, utilizando criptografía cuando
fuera apropiado.
9.7.4. Archivos de resguardo
Es obligación del Organismo Licenciante la implementación de
procedimientos para la emisión de copias de resguardo
actualizadas, las cuales deben encontrarse disponibles a la
brevedad en caso de pérdida o destrucción de los archivos.
Dichos procedimientos deben detallarse en el Manual de
Procedimientos.
9.8. Planes de Emergencia
9.8.1. Plan de recuperación ante desastres
El Organismo Licenciante debe implementar un plan de
recuperación ante desastres. Este debe garantizar el
mantenimiento mínimo de la operatoria (recepción de solicitudes
de revocación y consulta de listas de certificados revocados
actualizadas) y su puesta en operaciones dentro de las cuarenta
y ocho (48) horas de producirse una emergencia.
El plan debe ser conocido por todo el personal que cumpla
funciones en el Organismo Licenciante y debe incluir una prueba
completa de los procedimientos a utilizar en casos de
emergencia, por lo menos una vez al año.
9.8.2. Plan de protección de claves
El Organismo Licenciante debe implementar un plan que determine
los procedimientos a seguir cuando su clave privada se vea
comprometida. Deben incluirse las medidas a tomar para revocar
los certificados emitidos y notificar en forma inmediata a las
Autoridades Certificantes Licenciadas.
9.8.3. Cese de operaciones del Organismo Licenciante
En caso de que el Organismo Licenciante cese en sus funciones,
todas las Autoridades Certificantes deben ser notificadas de
inmediato.
Resulta de aplicación lo dispuesto en 9.5.1.2 último párrafo.
10. Controles de Seguridad
10.1. Controles de seguridad física
10.1.1. Control de acceso
El Organismo Licenciante debe implementar controles apropiados
que restrinjan el acceso a los equipos, programas y datos
utilizados para proveer el servicio de certificación solamente a
personas debidamente autorizadas.
10.2. Controles funcionales
10.2.1. Determinación de roles
Todo el personal que tenga acceso o control sobre operaciones
criptográficas que puedan afectar la emisión, utilización o
revocación de los certificados, incluyendo modificaciones en el
repositorio, debe ser confiable. Se incluyen, entre otros, a
administradores del sistema, operadores, técnicos y supervisores
de las operaciones del Organismo Licenciante.
10.2.2. Separación de funciones
Con el fin de asegurar que ninguna persona pueda individualmente
violar las medidas de seguridad, las funciones en el Organismo
Licenciante deben separarse entre múltiples roles e individuos,
llevados a cabo por distintos responsables.
10.3. Controles de seguridad personal
10.3.1. Calificación del personal
El Organismo Licenciante debe seguir una política de
administración de personal que provea razonable seguridad de la
confiabilidad y competencia del personal para el adecuado
cumplimiento de sus funciones.
10.3.2. Antecedentes
El Organismo Licenciante debe realizar una adecuada
investigación sobre el personal que cumpla funciones críticas,
debiendo verificar su confiabilidad y competencia de acuerdo a
los requerimientos de esta política.
Todo el personal que no cumpla las exigencias establecidas, no
puede desempeñar funciones en el Organismo Licenciante.
10.3.3. Entrenamiento
Todo el personal del Organismo Licenciante debe tener acceso a
manuales que determinarán los procedimientos para la emisión,
actualización y revocación de los certificados, así como
aspectos funcionales del sistema informático.
10.4. Controles de seguridad técnica
10.4.1. Generación e instalación de claves
10.4.1.1. Generación
El par de claves de la Autoridad Certificante Licenciada debe
ser generado de manera tal que la clave privada sólo sea
conocida por el agente autorizado para actuar como su
representante, quien es considerado como titular del par de
claves.
El responsable de la Autoridad Certificante Licenciada debe
generar su propio par de claves en un sistema confiable, no debe
revelar bajo ninguna circunstancia su clave privada y debe
almacenarla en un medio que garantice su confidencialidad.
10.4.1.2. Envío de la clave pública
La clave pública de la Autoridad Certificante Licenciada debe
ser transferida al Organismo Licenciante de manera tal que
asegure que:
• No pueda ser cambiada durante la transferencia.
• El remitente posea la clave privada que corresponde a la clave
pública transferida.
• El remitente de la clave pública sea el responsable autorizado
de la Autoridad Certificante Licenciada.
El formato del requerimiento debe ser PKCS#10. i
10.4.1.3. Características criptográficas
La Secretaría de la Función Pública, en su carácter de autoridad
de aplicación, define en los Estándares sobre Tecnología de
Firma Digital para la Administración Pública Nacional:
• Los tipos de algoritmos de firma aceptables.
• Las longitudes mínimas de clave aceptables del Organismo
Licenciante y de las Autoridades Certificantes Licenciadas.
El algoritmo de firma utilizado por el Organismo Licenciante es
SHA.1 con RSA.ii
En caso de conocerse un mecanismo que vulnere cualquiera de los
algoritmos mencionados en las longitudes indicadas, es
obligación del Organismo Licenciante revocar todos los
certificados comprometidos y notificar a las Autoridades
Certificantes Licenciadas.
10.4.2. Protección de la clave privada
El Organismo Licenciante debe proteger su clave privada de
acuerdo con lo previsto en esta política.
10.4.2.1. Estándares criptográficos
La generación y almacenamiento de claves y su utilización deben
efectuarse utilizando un equipamiento técnicamente confiable que
cumpla con los estándares aprobados por la Secretaría de la
Función Pública para la Administración Pública Nacional.
10.4.2.2. Copias de resguardo
El Organismo Licenciante debe efectuar una copia de resguardo de
su clave privada, obligándose a asegurar:
• Un adecuado control de acceso al medio de almacenamiento.
• Que los responsables del uso de la clave privada sean
notificados de cualquier intento de acceso a la mencionada
copia.
10.4.2.3. Destrucción de la clave privada
Si por cualquier motivo deja de utilizarse la clave privada del
Organismo Licenciante para crear firmas digitales, todas las
copias de la misma deben ser destruidas.
10.4.3. Otros aspectos del manejo de claves
10.4.3.1. Reemplazo de claves
El par de claves del Organismo Licenciante debe ser reemplazado
cuando hayan sido vulneradas o exista presunción en tal sentido.
10.4.3.2. Restricciones al uso de claves privadas
La clave privada del Organismo Licenciante empleada para emitir
certificados según los lineamientos de esta política debe
utilizarse para firmar certificados a favor de Autoridades
Certificantes Licenciadas. Adicionalmente, la mencionada clave
sólo puede usarse para firmar listas de certificados revocados.
10.4.4. Controles de seguridad del computador
Todos los servidores del Organismo Licenciante incluyen los
controles de seguridad enunciados en los Estándares sobre
Tecnología de Firma Digital para la Administración Pública
Nacional.
10.4.5. Controles de seguridad de conectividad de red
Los servicios que provee el Organismo Licenciante que deben
estar conectados a una red de comunicación pública, deben ser
protegidos por la tecnología apropiada que garantice su
seguridad.
Además, debe asegurarse que se exija autorización de acceso a
todos los servicios que así lo requieran.
11. Certificados y listas de certificados revocados .
Características
Todos los certificados que hacen referencia a esta política se
emiten en formato X509 versión 3 iii o superior e incluyen una
referencia que identifica la política aplicable.
Las listas de certificados revocados se emiten en formato X509
versión 2. iv
12. Administración de esta política
12.1. Cambios de política
12.1.1. Listado de propuestas
Todos los cambios propuestos a esta política que se encuentren a
consideración del Organismo Licenciante y que puedan afectar a
las Autoridades Certificantes Licenciadas, serán publicados y
puestos en conocimiento de éstas.
12.1.2. Período de prueba
Las Autoridades Certificantes Licenciadas pueden enviar
comentarios acerca de los cambios en la política que se
encuentren a consideración del Organismo Licenciante dentro de
los cuarenta y cinco (45) días de que éstos les fueran
notificados. Si los cambios propuestos fueran modificados como
consecuencia de estos comentarios, esta situación les será
comunicada a las Autoridades Certificantes Licenciadas.
12.2. Publicación y notificación
Una copia de esta política de certificación se encuentra
disponible en la interfaz web del Organismo Licenciante en:
http://ol.pki.gov.ar/policy/actual.html
El Organismo Licenciante debe mantener copias de acceso público
de esta política.
Versiones anteriores de esta política se encuentran disponibles
en:
GLOSARIO
I. PKCS#10: Public Key Criptography Standards #10, desarrollado
por RSA Laboratories. Disponible en:
http://www.rsa.com/rsalabs/pubs/PKCS/
II. SHA.1: Secure Hash Standard.1, NIST FIPS PUB 180.1,
desarrollado por National Institute of Standards and Technology,
US Department of Commerce. Disponible en:
http://www.itl.nist.gov/div897/pubs/fip180.1.htm
RSA: Estándar criptográfico, desarrollado por RSA Laboratories.
Disponible en:
http://www.rsa.com/rsalabs/pubs/PKCS
III. X509 versión 3: formato definido en estándar ISO/IEC/ITU
X.509. Disponible en:
http://www.ietf.org/internet.drafts/draft.ietf.pkix.ipki.part1.08.txt
IV. X509 versión 2: formato definido en estándar ISO/IEC/ITU
X.509. Disponible en:
http://www.ietf.org/internet.drafts/draft.ietf.pkix.ipki.part1.08.txt
Referencias
• Thomas J. Smedinghoff, «Model Certificate Policy. Discussion
Draft», Marzo 25, 1998 (Federal PKI Task Force. Business and
Legal Work Group).
• Santosh Chokhani y Warwick Ford, «Internet x509 Public Key
Infraestructure Part IV: Certificate Policy and Certification
Practices Framework», Abril 25, 1998 (PKIX Working Group
Internet Draft).