SeguriSERVER es un software diseñado para una Autoridad Certificadora; emite y administra certificados digitales, proporcionando a la Autoridad Certificadora las funciones necesarias para adaptar los certificados a sus propias políticas. SeguriSERVER le proporciona los servicios de Autoridad Certificadora y de Autoridad Registradora que su institución necesita. Con su arquitectura opcional de redundancia, SeguriSERVER le ofrece una plataforma tolerante a fallas requisito indispensable en Autoridades Certificadoras institucionales. SeguriSERVER proporciona a la Autoridad Certificadora las funciones necesarias para adaptar los certificados a las políticas de cualquier Autoridad Certificadora. Además permite la revocación de certificados y la generación de listas de certificados revocados. Contiene la funcionalidad necesaria para la generación del certificado raíz. La llave privada de la Autoridad Certificadora queda encriptada y en custodia de un conjunto de n custodios de los cuales m deben de estar presentes en labores de certificación. Funcionalidad SeguriSERVER se apegada a los estándares internacionales PKIX para proporcionarle la funcionalidad necesaria para: 1.- Generar requerimientos de certificación bajo el estándar PKCS #6, #9, y #10. 2.- Procesar requerimientos de certificación por medio de Autoridades Registradoras. El sistema de Autoridad Registradora de SeguriSERVER se complementa con la tecnología exclusiva CECrypto/RA. CE/Crypto/RA es por cierto un invento Mexicano que permite a las Autoridades Registradoras utilizar computadoras de mano Windows CE para las labores que normalmente se realizan mediante tarjetas inteligentes. CECrypto/RA le proporciona a las Autoridades Registradoras una base computacional confiable que elimina los riesgos de esta actividad. 3.- Emitir certificados: - X.509 v3 4.- Revocar certificados en línea ó mediante Autoridades Registradoras ó mediante la consola de la Autoridad Certificadora. 5.- Emitir Listas de Certificados Revocados CRLs. 6.- Soporte a directorios LDAP. 7.- Log firmado para un proceso de auditoria de la Autoridad Certificadora. 8.- Conexión opcional a la Infraestructura Extendida de Seguridad de Banco de México. 9.- Personalización del certificado de acuerdo a módulos de entrada y de salida que permiten a la institución modificar o procesar cada certificado. 10.- Licencia ilimitada para clientes de la Autoridad Registradora que deseen generar pares de claves y requerimientos de certifica. Se pueden generar claves de 512 bits para compatibilidad con software restringido o 1024 bits para mayor seguridad. Si el usuario desea se pueden también generar claves de 2048 bits. 11.- Opcionalmente Time Stamping. SeguriSERVER presenta en todo momento una interfase gráfica a través de la cual se accede a todas sus funciones . Así mismo permite el almacenamiento y lectura de los certificados digitales desde una tarjeta inteligente. La AC La Autoridad Certificadora puede iniciar generando su certificado raíz. En este proceso la llave privada de la Autoridad Certificadora queda encriptada y en custodia de un conjunto de n custodios de los cuales m deben estar presentes en labores de certificación. Para el proceso de emisión de certificados digitales, la Autoridad de Certificación pude seguir dos procesos: 1.- A partir de requerimientos de certificación aportados por usuarios finales. 2.- A través de Autoridades Registradoras, quienes reciben los requerimientos de certificación de los usuarios, y tras aceptar su petición generan un «precertificado», que se entrega a la Autoridad Certificadora quien lo firma definitivamente, obteniendo así el certificado digital. Durante el proceso de emisión del certifcado digital, la Autoridad Certificadora puede elegir el periodo de validez de los certificados. La Autoridad de Certificación puede certificar a uno o más sujetos como Autoridades Registradoras. De esta forma la Autoridad de Certificación puede procesar los «precertificados» que sus agentes le aporten. Cuando se emite un certificado, SeguriSERVER almacena toda la información referente al proceso de certificación, incluyendo, si es el caso, la Autoridad Registradora que generó el «precertificado», así como los custodios que estuvieron presentes durante la emisión del mismo. Todos los certificados digitales emitidos, sin importar su condición, quedan reflejados en la herramienta de administración de la Autoridad Certificadora, evitando duplicidades en números de serie. Desde esta misma interfase es posible visualizar cualquier certificado digital que se ha expedido. Simplemente seleccionando un certificado, este se desplegará mostrando toda su información. Una vez desplegado el certificado digital, la Autoridad Certificadora puede proceder a revocar un certificado. Un certificado digital puede ser revocado en cualquier momento, pero solo por la Autoridad Certificadora. Los certificados revocados alimentan el CRL, cuya generación puede ser automática, de manera que tras la revocación de un certificado, este será incluido en el CRL de inmediato. El CRL se puede generar con la frecuencia que se requiera. Así mismo su distribución se puede llevar a cabo por diferentes medios, incluyendo páginas web. La Autoridad Certificadora puede publicar en Internet, por medio de una página web los certificados que ha emitido. Para esto, sólo es necesario señalar los certificados digitales que se desean publicar. Cuando se cuenta con Autoridades Registradoras, se puede activar la función de certificación automática de los «precertificados» que envían los citados Agentes de Certificación. Esta modalidad permite recibir a través de Internet «precertificados» que son verificados para comprobar que contengan la firma digital de alguno de las Autoridades Registradoras dados de alta, así como la integridad del mismo. Si se cumplen estos puntos, se genera el certificado digital, éste queda registrado en la Autoridad Certificadora y se envía de inmediato a la Autoridad Registradora que solicitó su certificación. Los Agentes SeguriSERVER incluye el software de las Autoridades Registradoras. Este software procesa los requerimientos de certificación de los usuarios transfomándolos en «precertificados» que son remitidos a la Autoridad Certificadora, quien finalmente emite el certificado digital. Cuenta con su propia interfase de administración desde donde puede acceder a un requerimiento para «precertificarlo», o a un CRL para actualizar sus propios registros. Cuando la Autoridad Certificadora funciona automáticamente, las Autoridades Registradoras pueden enviar sus «precertificados» a la Autoridad Certificadora por medio de Internet. La respuesta de la Autoridad Certificadora es inmediata, de forma que la Autoridad Registradora cuenta con el certificado digital del sujeto en pocos minutos. SeguriSERVER ofrece dos opciones de interfase para las Autoridades Registradoras. La primera es a través de una PC común. La segunda es a través de una Palm Top. La interfase de Palm Top permite almacenar la llave privada de la Autoridad Registradora en este dispositivo, elevando el nivel de seguridad, ya que aunque la tarjeta inteligente se considera un dispositivo seguro, con la Palm Top podemos hablar de «Secure Computing Base» debido a que permite visualizar cada acto antes de su firmado. SeguriDATA ha desarrollado esta interfase para proporcionar mayor seguridad en las Autoridades Registradoras. Usuario Final Para los usuarios finales SeguriSERVER incluye el software para la generación de requerimientos de certificación, así como del par de llaves criptográficas. Los usuarios pueden descargar esta pequeña aplicación desde Internet, o bien se les puede facilitar a través de correo electrónico o en un disquete, ya que es muy ligera y no requiere instalaciones. Consiste en un formulario que el usuario debe llenar; posteriormente se genera una semilla aleatoria para la creación de las llaves tomando como pauta los movimientos del ratón del propio usuario. El usuario final guarda su llave privada pretegiendo su acceso a través de un password de hasta 255 caracteres. De esta forma la generación de las llaves criptográficas es privada y secreta. Hardware El modulo de Autoridad Certificadora de SeguriSERVER utiliza para sus operaciones criptográficas el dispositivo de hardware Safekeyper que cumple con la norma FIPS-140 Nivel 3. La clave privada de la Autoridad Certificadora y el motor criptográfico residen en el Safekeyper. SeguriSERVER contiene el software de administración del Safekeyper mediante el cual se definen las políticas de uso y custodia de la clave privada. Se puede definir un conjunto de n custodios y exigir un quórum de m de ellos para poder activar a la Autoridad Certificadora. Cada custodio cuenta con una llave magnética El sistema de Autoridad Registradora puede utilizar tarjeta inteligente aunque CECrypto/RA es sin duda el dispositivo a utilizar. CECrypto/RA resuelve el mayor problema de seguridad que tienen las Autoridades Certificadoras. Con CECrypto/RA la Autoridad Registradora puede visualizar el precertificado en la pantalla de la computadora de mano y autorizar o denegar el registro. Aún con tarjeta inteligente la Autoridad Registradora tiene que tener un control absoluto sobre su computadora; Con CECrypto la Autoridad Registradora puede incluso realizar su labor en una computadora compartida en donde no tenga ningún control. Acceso En cuanto a métodos de acceso, la Autoridad Certificadora puede funcionar mediante diferentes formas: Consola, Basado en HTLM/http, conexión directa desde las Autoridades Registradoras. Requerimientos Para el óptimo funcionamiento de SeguriSERVER son necesarias ciertas características mínimas para su operación: - Computadora Intel, Pentium 450 o mayor. CPU, Monitor, Teclado, Mouse y CD.
Tarjeta Ethernet. La opción de redundancia requiere de 2 configuraciones idénticas de computadora y Safekeyper y Firewall. APIs SeguriSERVER cuenta con APIs desde donde programadores institucionales pueden agregar valor especifico a SeguriSERVER. Adicionalmente los modulos de entrada y de salida permiten mediante callbacks personalizar y procesar los certificados digitales. Para su commodidad, puede descargar los siguientes
materiales Si usted no cuenta con el software Acrobat Reader, necesario para visualizar los archivos PDF, puede obtenerlo gratuitamente desde esta liga |
