Download Business Wear - Documentacion Tecnica

Business Wear
Documentación técnica
17/06/2010
Título documento:
Documentación técnica
Versión 1.2
Producto:
Business Wear
Sumario
Revisiones.............................................................................................................................................. 3
Referencias ............................................................................................................................................ 3
BUSINESS WEAR ........................................................................................................................................ 4
HARDWARE .............................................................................................................................................. 4
LECTOR DE TARJETAS CRIPTOGRÁFICAS....................................................................................................... 4
ESPECIFICACIONES TÉCNICAS ................................................................................................................ 4
DISPOSITIVO CRIPTOGRÁFICO TOUCH&SIGN2048 SSCD.............................................................................. 5
ESPECIFICACIONES TÉCNICAS DEL CHIP CRIPTOGRÁFICO ............................................................................ 5
SOFTWARE ............................................................................................................................................... 6
UNIVERSAL MIDDLEWARE ....................................................................................................................... 6
DISPOSITIVOS CRIPTOGRÁFICOS SOPORTADOS DE FORMA NATIVA ............................................................... 7
FUNCIONALIDADES SOPORTADAS EN LA INTERFAZ PKCS#11 ..................................................................... 7
FUNCIONALIDADES SOPORTADAS EN LA INTERFAZ CSP ............................................................................. 8
SISTEMAS OPERATIVOS SOPORTADOS .................................................................................................... 8
CARACTERÍSTICAS DEL MÓDULO CSP ..................................................................................................... 9
CARACTERÍSTICAS DEL MÓDULO PKCS#11........................................................................................... 11
FIRM PDF .......................................................................................................................................... 15
COMPATIBILIDAD ............................................................................................................................. 16
ESTÁNDARES DE REFERENCIA.............................................................................................................. 16
DISTRIBUCIÓN ................................................................................................................................. 17
OPERACIONES ................................................................................................................................. 17
Revisiones
EF [1] .................................................................................................................................................... 20
2
17/06/2010
Título documento:
Documentación técnica
Versión 1.2
Producto:
Business Wear
Revisiones
Revisión
1.0
Fecha
Cambios
Autor
28/04/2010
Primera redacción
GGD
Referencias
Certificación Common Criteria CWA14169 EAL4+ como “dispositivo seguro de creación de
firma” de la tarjeta Touch&Sign2048
Revisiones
REF [1]
3
Título documento:
Documentación técnica
17/06/2010
Versión 1.2
Producto:
Business Wear
BUSINESS WEAR
Business Wear es la llave USB segura diseñada para ser el instrumento ideal para la gestión
completa de la identidad digital. Es fácil de usar, portátil y capaz de funcionar sin la instalación de
drivers y/o aplicaciones en el PC huésped. Basta con recordar un PIN y todas las funciones estarán
disponibles para el usuario.
Key4 integra una tarjeta inteligente en formato SIM, un lector de tarjeta inteligente y una memoria
que contiene todas las aplicaciones necesarias para el usuario, ya configuradas y listas para utilizar
con un elevado nivel de seguridad y con la ventaja de ser independientes del ordenador (despacho,
casa, cybercafé…) sin problemas de instalación.
Completamente adaptable, puede incorporar cualquier aplicación que se requiera.
HARDWARE
LECTOR DE TARJETAS CRIPTOGRÁFICAS
El lector de tarjetas en formato SIM de Business Wear trabaja por defecto en modo HID (Human
Interface Device) lo que permite que sea detectado automáticamente por el sistema operativo, que
lo trata como un pendrive. De este modo, no necesita instalar ni configurar nada, y las aplicaciones
que porta simplemente funcionan. Alternativamente, se puede utilizar como un lector de tarjeta
inteligente tradicional, compatible CCID (que no requiere instalación en los sistemas operativos
actuales).
Business Wear
ESPECIFICACIONES TÉCNICAS
• Interfaz USB
• Compatible HID y CCID
• Led luminoso externo indica el estado del lector y de la memoria
• Lector/grabador de tarjetas microprocesadas ISO7816 1, 2, 3, 4 (protocolos T=0 y T=1)
• Soporta tarjetas de 1,8V, 3V, 5V MCU, con sistema interno de protección frente a
cortocircuitos.
• Compatible PC/SC, CSP (Cryptographic Service Provider, Microsoft) y API PKCS#11
• Soporta PPS (Protocol and Parameter Selection)
• Velocidad hasta 412.903 bps
• Compatibilidad y certificaciones: Microsoft WHQL, PC/SC, EMV Level 1, CE, FCC
4
Título documento:
Documentación técnica
17/06/2010
Versión 1.2
Producto:
Business Wear
DISPOSITIVO CRIPTOGRÁFICO TOUCH&SIGN2048 SSCD
El dispositivo Touch&Sign2048 ha sido diseñado para infraestructuras de clave pública (PKI) para la
firma electrónica.
La memoria del chip de 64KB, permite almacenar una elevada cantidad de información (fotos, datos
biométricos, etc.) y claves privadas (certificados).
Soporte el algoritmo RSA con claves de hasta 2048 bit, SHA-1 y SHA-256 para el hashing y AES-128
para el cifrado simétrico. El sistema operativo de la tarjeta cumple con las especificaciones PC/SC y
tiene una interfaz Microsoft CryptoAPI (CSP) y PKCS#11.
La plataforma empleada en el chip Touch&Sign2048 obtuvo la certificación Common Criteria EAL4+
en abril de 2008, por la institución acreditada Bundesamt für Sicherheit in der Informationstechnik,
requisito indispensable para ser considerado Dispositivo Seguro de Creación de firma según la
norma CWA 14169 (REF [1]).
Hardware
ESPECIFICACIONES TÉCNICAS DEL CHIP CRIPTOGRÁFICO
• EEPROM 64KBytes
• Estructura de la memoria para aplicaciones y comandos ISO7816-4/8/9
• Número de serie unívoco
• ISO7816-1,-2,-3,-4,-5,-6,-8,-9
• Compatible PC/SC y Netlink PDC y HPC
• Protocolos de comunicación T=0 y T=1
• Algoritmo de criptografía AES128, DES ,3DES, RSA
• Algoritmo de clave pública RSA 1024/2048 bits
• Algoritmo de hash SHA1, SHA256
• Soporte nativo para monedero electrónico
• Certificación del Chip: CC EAL5+ PP 9806, BSI-PP-002-2001
• Certificación SO: CC EAL4+ BSI-PP-0006-2002 (CWA 14169 SSCD Type-3)
• Certificación Visa, Mastercard de la fábrica
• Mínimo de 500.000 ciclos de escritura / borrado
5
Título documento:
Documentación técnica
17/06/2010
Versión 1.2
Producto:
Business Wear
SOFTWARE
UNIVERSAL MIDDLEWARE
El Universal Middleware (en adelante UM) consiste en:
•
•
•
Módulo de librería que expone una API compatible con la especificación
especificaci PKCS#11 v2.11
Módulo de sistema que expone una API compatible con la especificación Microsoft
Cryptographic Service Provider (CryptoSPI/2006).
Módulo de sistema “almacén de certificados”
certificados” que implementa un mecanismo de
importación automática de los certificados en el almacén “Personal” del usuario de
Windows.
Software
Dichos módulos ofrecen al software que utilizan las diversas interfaces de programación la
posibilidad de utilizar las tarjetas inteligentes
inteligentes soportadas como tokens criptográficos.
6
Título documento:
Documentación técnica
17/06/2010
Versión 1.2
Producto:
Business Wear
DISPOSITIVOS CRIPTOGRÁFICOS SOPORTADOS DE FORMA NATIVA
• Incrypto34 V2 con filesystem: CNS + Firma electrónica + FullP11:
o Filesystem CNS conforme a las especificaciones CNS del CNIPA (v.1.1.3) (FS CNS)
o FileSystem de Firma electrónica con validez legal (FS DS-v1.0)
o FileSystem full compliant PKCS#11 (FS FullP11)
• Touch&Sign2048:
o Todos los filesystem soportados en la tarjeta Incrypto34v2 más:
FileSystem full compliant PKCS#11 (FS FullP11), con objetos de 2048 bit
FileSystem de Firma electrónica reconocida (FS DS-v2.0), con tres pares de
claves de 2048bit o con tres pares de claves de 1024bit más tres pares de
claves de 2048bit.
FUNCIONALIDADES SOPORTADAS EN LA INTERFAZ PKCS#11
Para el filesystem CNS:
•
•
•
•
•
Firma electrónica y descifrado mediante las claves RSA de autenticación CNS
Lectura y escritura del certificado de autenticación CNS
Lectura y escritura del fichero de datos personales (PDATA) CNS
Generación de par de claves RSA de autenticación CNS
Borrado de objetos
Para el filesystem de Firma electrónica:
•
•
•
•
Firma electrónica mediante la clave RSA de Firma electrónica reconocida
Generación de un par de claves RSA de Firma electrónica reconocida
Lectura y escritura de certificados de Firma electrónica reconocida
Borrado de objetos
Para el filesystem Full P11:
•
•
•
•
•
Firma electrónica y descifrado mediante la clave RSA
Generación de un par de claves RSA
Importación de pares de claves RSA
Lectura y escritura de certificados
Borrado de objetos
•
•
•
•
Firma electrónica y descifrado mediante la clave RSA
Generación de un par de claves RSA
Importación de pares de claves RSA
Lectura y escritura de certificados
Software
Para las tarjetas inteligentes gestionada mediante módulos PKCS#11 externos (*):
7
Título documento:
Documentación técnica
17/06/2010
Versión 1.2
Producto:
Business Wear
•
Borrado de objetos
(*) Las funcionalidades dependen del módulo PKCS#11 externo utilizado.
FUNCIONALIDADES SOPORTADAS EN LA INTERFAZ CSP
Para el filesystem CNS:
•
•
•
•
Firma electrónica y descifrado mediante la claves RSA de autenticación CNS
Lectura y escritura del certificado de autenticación CNS
Generación de un par de claves RSA de autenticación CNS
Importación del certificado de autenticación CNS
Para el filesystem de Firma electrónica:
•
•
•
•
Firma electrónica y descifrado mediante la clave RSA de Firma electrónica reconocida
Generación de un par de claves RSA de Firma electrónica reconocida
Lectura de certificados de Firma electrónica reconocida
Asociación de un certificado a un par de claves de Firma electrónica reconocida
Para el filesystem Full P11:
•
•
•
•
Firma electrónica y descifrado mediante la clave RSA
Generación de un par de claves RSA
Lectura de certificados
Asociación de un certificado a un par de claves
Para las tarjetas inteligentes gestionada mediante módulos PKCS#11 externos (*):
•
•
•
•
Firma electrónica y descifrado mediante la clave RSA
Generación de un par de claves RSA
Lectura de certificados
Asociación de un certificado a un par de claves
SISTEMAS OPERATIVOS SOPORTADOS
• Windows 32 bits
o Windows 2000
o Windows XP
o Windows Vista
o Windows Server 2003
Software
(*) Las funcionalidades dependen del módulo PKCS#11 externo utilizado.
8
Título documento:
Documentación técnica
17/06/2010
Versión 1.2
Producto:
Business Wear
•
•
•
o Windows 7
Windows 64 bits
o Windows Vista
o Windows Server 2003
o Windows 7
Mac OS X, 10.4.x, 10.5.x y 10.6.x (Intel y PPC)
Linux:
o Debian 3.x y 4.x
o Ubuntu desde 7.x
o Mepis
FUNCIONES SOPORTADAS EN LA INTERFAZ CSP
• CryptGetProvParam (PP_NAME, PP_CONTAINER, PP_UNIQUE_CONTAINER)
• CryptSetProvParam (PP_SIGNATURE_PIN)
• CryptAcquireContext
• CryptReleaseContext
• CryptCreateHash
• CryptSetHashParam
• CryptGetHashParam (HP_ALGID, HP_HASHSIZE, HP_HASHVAL)
• CryptHashData,
• CryptDestroyHash
• CryptSignHash
• CryptGetUserKey
Software
CARACTERÍSTICAS DEL MÓDULO CSP
• Librería compatible con las especificaciones CSP de Microsoft
• Funcionamiento del CSP limitado al uso en los siguientes contextos aplicativos
o Autenticación SSLv3 con Microsoft IE
o Funciones de firma avanzada para aplicaciones web
o Funciones de Firma electrónica reconocida
• Sistemas operativos sobre los cuales Bit4id garantiza el completo funcionamiento, y la
superación de baterías de pruebas propias prevBusiness Wearente al lanzamiento:
o Windows 2000, Windows XP, Windows Server 2003, Windows Vista y Windows 7
• Lanzamiento de librería en formato binario en la forma de librería de enlaces dinámicos DLL
• Aplicación con la cual Bit4id garantiza el completo funcionamiento, y la superación de
baterías de pruebas propias prevBusiness Wearente al lanzamiento:
o Microsoft Internet Explorer 6, 7 y 8
• Carga, de manera transparente para el usuario, de los certificados en el almacén “Personal”
al insertar la tarjeta en el lector.
9
Título documento:
Documentación técnica
17/06/2010
Versión 1.2
Producto:
Business Wear
•
•
•
•
•
•
CryptDestroyKey
CryptGetKeyParam (KP_CERTIFICATE)
CryptExportKey (PUBLICKEYBLOB)
CryptSetKeyParam (KP_CERTIFICATE)
CryptGenKey (ALGID: RSA )
CryptImportKey (SIMPLEBLOB)
CONTENEDOR POR DEFECTO DEL CSP
Para el uso con aplicaciones de logon (por ejemplo el acceso a la estación de trabajo con la tarjeta
inteligente) el sistema operativo requiere la presencia en la tarjeta inteligente de un contenedor
por defecto.
El módulo CSP considera el primer contenedor que encuentra en la tarjeta como aquel por defecto.
Sin embargo, cada vez que mediante la interfaz CSP se importa un certificado que contiene las
extensiones X.509 especificas para smartcard logon, el contener correspondiente viene marcado
automáticamente como por defecto.
Internamente la librería crea un objeto dado PKCS#11 (CKA_CLASS=CKO_DATA) con atributo
CKA_LABEL “CSPSmartLogon” y en cuyo contenido (CKA_VALUE) coincide con el identificativo del
contenedor por defecto. Es posible actualizar o crear manualmente este objeto para modificar el
contenedor por defecto, usando la interfaz PKCS#11 del UM.
Cuando dicho objeto no existe, el comportamiento es el siguiente: se busca un certificado con
CKA_ID igual al valor “SmartLogon”; si no existe, se selecciona el primer certificado que tiene las
extensiones para smartcard logon. Si tampoco existe un certificado así, el primero que se encuentra
pasar a ser por defecto.
PECULIARIDAD DEL UM Y NO CONFORMIDAD CON LAS ESPECIFICACIONES CSP/CRYPTOAPI
El UM tiene un límite de 39 caracteres para el Container Name. En el caso que se llame a la función
CryptAcquireContext() especificando un Container Name de longitud superior a 39, se devolverá el
error NTE_BAD_KEYSET.
Software
CREACIÓN DE DIVERSOS TIPOS DE OBJETOS (CNS, FIRMA ELECTRÓNICA RECONOCIDA, ETC.)
Revisar el párrafo siguiente “Creación de diversos tipos de objetos (CNS, Firma electrónica
reconocida, FullP11), con la diferencia que cuando se habla de CKA_ID/CKA_LABEL, para el CSP se
entiende el Container Name.
10
Título documento:
Documentación técnica
17/06/2010
Versión 1.2
Producto:
Business Wear
FUNCIONE SOPORTADAS EN LA INTERFAZ PKCS#11
• C_Initialize
• C_Finalize
• C_GetInfo
• C_GetSlotList
• C_GetSlotInfo
• C_GetTokenInfo
• C_GetMechanismList
• C_GetMechanismInfo
• C_OpenSession
• C_CloseSession
• C_CloseAllSessions
• C_GetSessionInfo
• C_Login (CKU_USER, CKU_SO)
• C_Logout
• C_SetPIN
• C_FindObjectsInit
• C_FindObjects
• C_FindObjectsFinal
• C_GetAttributeValue
• C_GetObjectSize
• C_SignInit (mecanismos RSA_PKCS y RSA_SHA1_PKCS)
• C_Sign
• C_DecryptInit (mecanismo RSA_PKCS)
• C_Decrypt
Software
CARACTERÍSTICAS DEL MÓDULO PKCS#11
• Librería compatible con las especificaciones PKCS#11 v2.11 de RSA
• Funcionamiento del PKCS#11 limitado al uso en los siguientes contextos aplicativos
o Autenticación SSLv3 con Mozilla Firefox 3
o Funciones de Firma electrónica avanzada para aplicaciones web
o Funciones de Firma electrónica reconocida
o Función de enrollment de credenciales CNS, de firma electrónica reconocida
• Sistemas operativos sobre los cuales Bit4id garantiza el completo funcionamiento, y la
superación de baterías de pruebas propias prevBusiness Wearente al lanzamiento:
• Windows 2000 SP4, Windows XP SP2, Windows Server 2003, Windows Vista, Windows 7
• Lanzamiento de librería en formato binario en la forma de librería de enlaces dinámicos DLL
• Aplicación con la cual Bit4id garantiza el completo funcionamiento, y la superación de
baterías de pruebas propias prevBusiness Wearente al lanzamiento:
o Mozilla Firefox 3
11
Título documento:
Documentación técnica
17/06/2010
Versión 1.2
Producto:
Business Wear
•
•
•
•
•
•
•
•
C_DigestInit (mecanismo SHA_1)
C_Digest
C_DigestUpdate
C_DigestFinal
C_CreateObject
C_GenerateKeyPair ( mecanismo RSA_PKCS_KEY_PAIR_GEN)
C_SetAtttributeValue
C_DestroyObject
MECANISMOS SOPORTADOS EN LA INTERFAZ PKCS#11
• CKM_RSA_PKCS_KEY_PAIR_GEN
• CKM_RSA_PKCS (firma, descifrado)
• CKM_RSA_SHA1_PKCS (firma)
• CKM_SHA_1 (digest)
•
•
•
•
•
Cuando un CKA_ID o un CKA_LABEL de una clave RSA o un certificado tiene como valor
“CNS0”, se crea un objeto en el filesystem CNS. En el caso que el objeto a crear ya exista la
librería devuelve el error CKR_DEVICE_MEMORY.
Cuando se crea un objeto de datos con CKA_LABEL o CKA_APPLICATION igual a “PDATA”, se
graba el fichero de datos personales CNS. En el caso que el objeto a crear ya exista la
librería devuelve el error CKR_DEVICE_MEMORY.
Cuando un CKA_ID o un CKA_LABEL de una clave RSA o un certificado tiene como valor
“DS0”, “DS1”, “DS2” se selecciona el filesystem de firma electrónica reconocida de 1024
bits, usando el slot 0, 1 o 2 respectivamente. En el caso que el objeto a crear ya exista la
librería devuelve el error CKR_DEVICE_MEMORY. No es posible importar claves RSA
utilizando dichos valores reservados
Cuando un CKA_ID o un CKA_LABEL de una clave RSA o un certificado tiene como valor
“DS3”, “DS4”, “DS5” se selecciona el filesystem de firma electrónica reconocida de 2048
bits, usando el slot 3, 4 o 5 respectivamente. En el caso que el objeto a crear ya exista la
librería devuelve el error CKR_DEVICE_MEMORY. No es posible importar claves RSA
utilizando dichos valores reservados
Cuando un CKA_ID o un CKA_LABEL de una clave RSA o un certificado tiene como valor
“DS” se selecciona el filesystem de firma electrónica reconocida y la librería utiliza el primer
slot disponible con un objeto de este tipo. Para los objetos de 1024 bits se utilizan los slots
0, 1 y 2; para los objetos de 2048 bits se utilizan los slots 3, 4 y 5. En el caso de que existan
Software
CREACIÓN DE DIVERSOS TIPOS DE OBJETOS (CNS, FIRMA ELECTRÓNICA RECONOCIDA, FULLP11)
El UM reserva los valores de algunos atributos para determinar el filesystem sobre el cual crear los
objetos:
12
Título documento:
Documentación técnica
17/06/2010
Versión 1.2
Producto:
Business Wear
•
•
•
•
•
slots disponibles la librería devuelve el error CKR_DEVICE_MEMORY. No es posible importar
claves RSA utilizando dichos valores reservados, pero si generar pares de claves.
En todos los demás casos, los objetos son creados en el filesystem FullP11.
Si el filesystem CNS no existe, los objetos correspondientes serán creados en el filesystem
FullP11
Si el filesystem de firma electrónica reconocida no existe, los objetos correspondientes
serán creados en el filesystem FullP11
El filesystem PKCS#11 soporta claves RSA de 2048 bits. Si se intenta generar una clave de
2048 bits en el filesystem CNS la librería devolverá un error
El filesystem DS-v2.0 soporta claves RSA de 2048 bits. Si se intenta generar una clave de
2048 bits en el filesystem DS-v1.0 la librería devolverá un error
PECULIARIDAD DEL UM Y NO CONFORMIDAD CON LAS ESPECIFICACIONES PKCS#11
La función C_Initialize() devuelve siempre CKR_OK incluso si la librería ya ha sido inicializada, por
motivos de compatibilidad con aplicaciones que no cumplen el estándar al 100%. Para saber si la
librería ya ha sido inicializada se puede usar la función C_GetInfo() que devuelve
CKR_CRYPTOKI_NOT_INITIALIZED.
El filesystem CNS y de firma electrónica reconocida no permiten almacenar en la tarjeta inteligente
todos los atributos PKCS#11. Algunos atributos, entre ellos CKA_ID y CKA_LABEL, volverán a sus
valores por defecto una vez sea extraída la tarjeta del lector (o bien se haya descargado la librería
de la memoria).
Cuando los atributos CKA_SUBJECT, CKA_ISSUER, CKA_SERIAL_NUMBER de un certificado no sean
almacenados (porque no se especifican durante la creación o por el límite del filesystem), sus
respectivos valores serán obtenidos del propio certificado.
La librería asocia el PIN principal el usuario CKU_USER y el PUK al usuario CKU_SO. Debido a que la
especificación PKCS#11 no prevé la posibilidad de cambiar o desbloquear PIN adicionales, el PIN y el
PUK de firma electrónica reconocida se gestionan siempre paralelamente a PIN y PUK principal. En
base a la configuración de la librería, cada vez que se cambia PIN o PUK, o se desbloquea el PIN
mediante el PUK podrá solicitarse al usuario, a través de la interfaz gráfica, los valores de PIN y PUK
de firma electrónica reconocida.
Para cambiar el PIN es necesario hacer login con el usuario CKU_USER y usar la función C_SetPIN().
Para cambiar el PUK es necesario hacer login con el usuario CKU_SO y usar la función C_SetPIN().
Software
Para activar el PIN de firma electrónica reconocida es necesario hacer login con el usuario CKU_SO y
usar la función C_InitPIN().
13
Título documento:
Documentación técnica
17/06/2010
Versión 1.2
Producto:
Business Wear
Para desbloquear el PIN, o restaurarlo a un valor nuevo, es necesario hacer login con el usuario
CKU_SO y usar la función C_InitPIN().
Si el PIN de firma electrónica reconocida ya ha sido inicializado, la función C_InitPIN() desbloqueara
el PIN, principal y de firma electrónica reconocida. En base a la configuración de la librería podrá
solicitarse al usuario, a través de la interfaz gráfica, los valores de PUK y PIN de firma electrónica
reconocida.
La ausencia del FLAG CKF_USER_PIN_INITIALIZED en la estructura CK_TOKEN_INFO devuelta por la
función C_GetTokenInfo() indica que es necesario volver a llamar a la función C_InitPIN() para
activar el PIN de firma electrónica reconocida.
C_Sign() soporta la firma RSA RAW: si recibe un bloque de longitud igual a la longitud del módulo de
la clave, no se efectúa el padding PKCS#1 para la firma. La funcionalidad está disponible solamente
si la clave seleccionada soporta la firma RAW (por ejemplo las claves de firma electrónica
reconocida no la soportan). En tal caso, la librería puede devolver el error CKR_FUNCTION_FAILED,
CKR_DEVICE_ERROR o CKR_GENERAL_ERROR.
Por restricciones del filesystem de firma electrónica reconocida, no es posible importar pares de
claves RSA, únicamente generarlas. En el caso de intentar importar claves RSA de firma electrónica
reconocida en el filesystem DS, se devolverá desde la función C_CreateObject() el error
CKR_TEMPLATE_INCONSISTENT.
La función C_GetTokenInfo() no devuelve información sobre el espacio libre restante por un límite
de la tarjeta inteligente, el valor devuelto es _UNAVAILABLE_INFORMATION.
Por motivos de compatibilidad con software preexistente es posible hacer login como SO incluso en
sesiones ReadOnly. La sesión será transformada internamente en Read/Write. Una vez realizado el
logoff, la sesión seguirá siendo Read/Write.
Software
La librería soporta objetos RSA de 2048 bits en los filesystem FullP11 y DS, cuando la tarjeta es una
Touch&Sign2048.
Por
tanto,
el
mechanism_info
relativo
al
mecanismo
CKM_RSA_PKCS_HEY_PAIR_GEN devolverá el valor 2048 en el campo “ulMaxKeySize”. Si se intenta
generar claves RSA 2048 en otro filesystem la librería devolverá el error
CKR_ATTRIBUTE_VALUE_INVALID.
14
Título documento:
Documentación técnica
17/06/2010
Versión 1.2
Producto:
Business Wear
FIRM PDF
Firma4 NGes una potente aplicación, que se integra perfectamente con los sistemas operativos
Windows, Linux y Mac OS X.
Cumple con la legislación vigente en Europa, en particular con las nuevas directivas, y gestiona de
manera totalmente transparente e intuitiva los certificados electrónicos emitidos por las
Autoridades de Certificación reconocidas en Europa.
Firma4 NGes fácil. Dispone de un interfaz gráfico con iconos, así como la funcionalidad de
Drag&Drop.
Firma4 NGes versátil. Es compatible con los sistemas operativos más conocidos, así como con
varios dispositivos de firma.
Firma4 NGes flexible. Permite la configuración de parámetros predefinidos.
Firma4 NGno es intrusivo. No modifica los registros y no crea ningún tipo de archivo temporal en el
sistema.
Firma4 NGes portátil. No requiere componentes externos, por lo que puede ser utilizado desde
cualquier dispositivo portátil.
Firma4 NGes seguro. Los controles sobre la consistencia de los componentes bloquean malware y
spyware.
Firma4 NGes actualizable. La descarga automática de nuevas versiones mantiene continuamente
actualizado el software.
Firma4 NGes interoperable. Mediante el cumplimiento de los estándares y normas permite plena
interoperabilidad.
Software
Firma4 NGes completo. A través de todas las funciones previstas en materia de firma electrónica y
cifrado, respeta los reglamentos y estándares internacionales.
15
Título documento:
Documentación técnica
17/06/2010
Versión 1.2
Producto:
Business Wear
COMPATIBILIDAD
Respeta la legislación vigente en España y en Europa.
Firma4 NGfunciona en los siguientes sistemas operativos:
• Microsoft Windows
Windows 2000, Windows XP, Windows Vista, Windows 7
• Linux
Ubuntu Karmic Koala, Fedora constantine, openSUSE, Mandriva, Debian Lenny
• MacOsX
Tiger, Leopard, Snow Leopard
A través el uso del componente “Universal Middleware”, permite utilizar los siguientes dispositivos:
•
PKCS#11
•
CSP
•
Tokend
Permite construir y gestionar los siguientes tipos y formatos criptográficos:
•
Sobres PKCS#7, Acrobat PDF y XML, en los formatos CAdES, PAdES y XAdES, de tipo
attached y dettached y con codificaciones DER y BASE64.
•
Claves RSA de longitud 1024, 2048 y 4096.
•
Algoritmos SHA1 y SHA256.
•
Sellos de tiempo en los formatos m7m y Timestampeddata de tipo attacched y detached.
ESTÁNDARES DE REFERENCIA
• x.509, ETSI TS 101 862 V1.3.2 (perfil de los certificados)
• ETSI TS 101 861 V1.2.1 (validación temporal)
• HTTP, LDAP (validación CRL)
• PKCS#7 ver. 1.5 RFC 2315, CAdES, PAdES, XAdES
• Timestampeddata RFC5544
Software
• ASN.1-DER (ISO 8824, 8825) y BASE64 (RFC 1421) (Sistemas de codificación)
16
17/06/2010
Título documento:
Documentación técnica
Versión 1.2
Producto:
Business Wear
DISTRIBUCIÓN
Firma4 NGno utiliza componentes externos y puede utilizarse sin necesidad de ninguna instalación.
Por este motivo, puede utilizarse de manera autónoma e independiente prevBusiness Wearente
cargado dentro de Business Wear.
OPERACIONES
Firma4 NGpermite realizar las siguientes operaciones criptográficas:
•
Firma electrónica de archivos
•
Validación de firmas
•
Cifrado de archivos
•
Descifrado de archivos
•
Solicitud, ejecución y verificación de sellado de tiempo
Adicionalmente, permite la gestión del dispositivo de firma (cambio y desbloqueo del PIN)
FIRMA ELECTRÓNICA
La firma electrónica se puede aplicar a cualquier tipo de documento electrónico a través de la clave
privada presente en cualquiera de los dispositivos conectados.
Firma4 NG permite aplicar firmas electrónicas reconocidas (mediante el uso de la clave privada y
siguiendo el procedimiento descrito en las directivas Europeas en materia de firma electrónica).
Así mismo, también es posible realizar firmas múltiples ilimitadas, bien sean contrafirmas
(mediante la firma de una firma anterior) o de tipo paralelo (mediante la firma al mismo nivel).
La operación de firma puede realizarse arrastrando el archivo al icono de firma y siguiendo las
instrucciones en pantalla.
Firma4 NG permite así mismo realizar operaciones de firma masiva (varios archivos)*
Con Firma4 NG pueden crearse archivos firmados en PKCS#7, PDF y XML con formatos CAdES,
XAdES y PAdES. Los tipos de firmas pueden ser Attacched o Dettacched con codificación DER o
Software
*Opción disponible sólo bajo demanda específica.
17
Título documento:
Documentación técnica
17/06/2010
Versión 1.2
Producto:
Business Wear
BASE64. Así mimos, la longitud de las claves RSA pueden ser de 1024, 2048 y 4096 bits con
tecnología SHA1 y SHA256.
VALIDACIÓN
Firma4 NG permite verificar firmas electrónicas.
La operación de verificación se realiza a través de los pasos siguientes:
•
Comprueba la integridad del documento
•
Comprueba la confianza en el certificado del firmante
•
Comprueba la caducidad y el estado de revocación del certificado del firmante
La comprobación de la lista de revocación se realiza mediante consulta a la CRL, utilizando el
protocolo HTTP y LDAP, permitiendo la gestión de CDP múltiples. Las CRLs se comprueban off-line
(a nivel local, si es válida), y se actualizan automáticamente.
Si la CA lo permite, la comprobación se realiza mediante el protocolo OCSP (Online Certificate
Status Protocol). Este protocolo permite realizar comprobaciones en tiempo real, dando al usuario
una respuesta rápida, fácil y fiable de validación del certificado.
Así mismo, también es posible la validación de firmas múltiples ilimitadas (contrafirmas y paralelas)
en PKCS#7, PDF y XML con formatos CAdES, XAdES y PAdES.
La operación de validación puede hacerse arrastrando el archivo al icono adecuado y siguiendo las
instrucciones en la pantalla.
CIFRADO
Firma4 NG permite cifrar archivo con el fin de:
•
Proteger el documento para uso personal (utilizando la propia clave pública)
•
Transmitir datos reservados (cifrando el documento utilizando claves públicas asociadas a
los certificados de los destinatarios).
Así mismo, también es posible realizar operaciones de cifrado múltiple (para varios destinatarios
simultáneamente).
El usuario dispone de la posibilidad de destruir el archivo original, es decir, borrarlo físicamente del
soporte de memoria utilizando un procedimiento singular que no permite su recuperación.
instrucciones en la pantalla.
Firma4 NG permite cifrar masivamente un conjunto de archivos.
Software
La operación de cifrado puede hacerse arrastrando el archivo al icono adecuado y siguiendo las
18
Título documento:
Documentación técnica
17/06/2010
Versión 1.2
Producto:
Business Wear
DESCIFRADO
Firma4 NG permite a través de la clave privada, descifrar documentos.
La operación de descifrado puede hacerse arrastrando el archivo al icono adecuado y siguiendo las
instrucciones en la pantalla.
Firma4 NG permite descifrar masivamente un conjunto de archivos.
SELLOS DE TIEMPO
Firma4 NG permite añadir sellos de tiempo a cualquier documento, solicitándolos a la TSA
configurada en la aplicación.
Adicionalmente, ofrece la posibilidad de validar y visualizar la marca de tiempo. Esta operación
puede realizarse arrastrando el archivo al icono adecuado y siguiendo las instrucciones en la
pantalla.
Firma4 NG permite realizar solicitudes de sellado de tiempo masivo sobre varios archivos.
A través de Firma4 NG es posible la generación de peticiones de sellado de tiempo con hash en
SHA1 y SHA256 (sha1withRSAEncryption y sha256withRSAEncryption), transmisión y recepción de
la solicitud a la TSA mediante protocolo HTTP autenticado (mediante userid y password) y no
autenticado (RFC3161).
Así mismo, también soporta el formato TimeStampedData.
ARCHIVO DE CERTIFICADOS
Firma4 NG utiliza un archivo de los certificados locales (“Certificates Stores”) para las operaciones
de control durante la validación y como agenda para el cifrado de archivos a varios destinatarios.
Software
La aplicación permite al usuario actualizar la agenda.
19
Título documento:
Documentación técnica
17/06/2010
Versión 1.2
Producto:
Business Wear
EF [1]
EF [1]
20