Comprensión de CP y CPS en PKI

Introducción

Infraestructura de clave pública (PKI) Se basa en un marco de políticas y prácticas para establecer la confianza. Dos documentos clave en cualquier infraestructura de clave pública (PKI) son: Política de certificación (CP) y conectar Declaración de Prácticas de Certificación (CPS)Estos documentos ayudan a definir las garantías de seguridad que proporciona un certificado y cómo una Autoridad de Certificación las ofrece. En este artículo, profundizamos en los Certificados de Certificación (CP) y los Certificados de Seguridad de Certificado (CPS) en detalle, diferenciamos entre ambos y hacemos referencia a las normas pertinentes (RFC 3647, RFC 6484, RFC 7382), los criterios de auditoría (WebTrust) y las directrices del sector (CA/Browser Forum).  

En una PKI, una Política de certificación (CP) Esencialmente, es una especificación de alto nivel de los requisitos de seguridad y las reglas de uso de certificados. CP describe Lo que Un certificado está destinado a un público específico y describe el nivel de confianza o seguridad que proporciona. Describe el “Límites y usos aceptables de los certificados de una PKI determinada.” Por ejemplo, un CP podría especificar que una determinada clase de certificados es adecuada para proteger servidores web TLS y definir los requisitos (por ejemplo, pasos de verificación de identidad) para la emisión de esos certificados. 

Por otro lado, una Declaración de Prácticas de Certificación (CPS, por sus siglas en inglés) es una descripción detallada de cómo La Autoridad de Certificación (CA) cumple con los requisitos del CP. Es “Una declaración de las prácticas que emplea una autoridad de certificación para la emisión, gestión, revocación y renovación de certificados.” El CPS documenta los procedimientos operativos y los controles de seguridad implementados por la CA. Cubre aspectos como la forma en que la CA realiza la verificación de identidad, cómo protege sus claves privadas, cómo se generan los certificados, cómo se gestionan las revocaciones, etc.

El CPS debe ser coherente con el CP; de hecho, “La CPS describe con más detalle cómo una CA implementa una Política de Certificados determinada, y no puede contradecir lo que se establece en la CP.” Por ejemplo, si el CP solo permite emitir certificados de cifrado de correo electrónico, el CPS no puede Describa los procedimientos para emitir certificados de servidor TLS fuera de ese ámbito. 

En la práctica, el CP y el CPS juntos representan el CA divulgaciones de prácticas comercialesSirven como marco de gobernanza para las operaciones de la CA. Se considera una buena práctica (y a menudo un requisito) que el documento de política de confianza (CP) esté disponible públicamente para todas las partes que confían en él, y la mayoría de las CA también publican sus documentos de política de confianza (CPS). Algunas organizaciones optan por combinarlos en un solo documento. Documento CP/CPS por simplicidad, mientras que otros los mantienen por separado.  

Aspectos clave de una política de certificación

La tipos de certificados y sus usos (por ejemplo, autenticación, firma digital, cifrado), y la nivel de verificación de identidad o seguridad requisito para la emisión del certificado (a menudo llamado niveles de garantíaMuchos CP definen múltiples niveles de garantía o clases de certificados. Por ejemplo, la política de certificados PKI del Gobierno de Canadá define cuatro niveles de garantía (Rudimentario, Básico, Medio, Alto) para cada una de sus dos aplicaciones principales (firma digital y confidencialidad), lo que da como resultado ocho identificadores únicos de política (OID) distintos dentro de un único documento CP.

Cada nivel tiene requisitos cada vez más estrictos y corresponde a un identificador de objeto de política (OID) único incluido en los certificados. Al incluir el OID de política en la extensión «Políticas del certificado» de un certificado, este se vincula a las reglas del CP, de modo que el software o los auditores puedan identificar a qué política se adhiere el certificado. 

Es importante destacar que un CP se utiliza a menudo para facilitar decisiones de confianza y comparacionesDiferentes organizaciones o autoridades de certificación pueden asignar sus certificados a identificadores OID de certificado estandarizados para indicar que cumplen ciertos criterios comunes. Por ejemplo, el Foro CA/Browser. Requisitos de referencia El documento sirve como un de facto Política de certificados para entidades de confianza pública certificados de servidor TLSDefine los requisitos mínimos que deben cumplir todos los certificados y las CA. Cada CA de confianza pública debe divulgar públicamente un CP/CPS que incorpore los Requisitos Básicos como su política para la emisión de TLS.  

Declaración de Prácticas de Certificación (CPS) – Implementación de la Política 

Si un CP es el “qué” y el “por qué”, la Declaración de Prácticas de Certificación es el “cómo”. La DPC es un documento técnico detallado que describe las prácticas y los procedimientos que una Autoridad de Certificación (AC) utiliza para implementar los requisitos de uno o más CP. Se define como “una declaración de las prácticas que una Autoridad de Certificación emplea en la emisión y gestión de certificados”. Esto incluye cómo la AC realiza la identificación y autenticación de los solicitantes, cómo genera y protege las claves, cómo emite y entrega los certificados, cómo publica la información de revocación y otros detalles operativos. 

Un CPS se redacta normalmente desde la perspectiva de las operaciones de la Autoridad de Certificación y lo utilizan los auditores, los equipos de seguridad internos y las autoridades normativas para verificar que las prácticas reales de la CA sean coherentes con la política.

A diferencia de las políticas de competencia (PC), que suelen ser establecidas por una autoridad normativa o un grupo sectorial, las políticas de competencia (PC) generalmente son elaboradas por la propia autoridad competente (o la organización que la gestiona) para documentar sus medidas concretas. Muchas autoridades competentes publican sus PC (especialmente las de confianza pública, en aras de la transparencia), aunque en Algunas PKI privadas o internas de un CPS podrían mantenerse internas y solo compartirse con las partes que confían en ellas, los auditores o los socios. 

El contenido típico de un CPS incluye:

Las responsabilidades organizativas (roles como CA, Autoridad de Registro, etc.), los procedimientos para la verificación de identidad, la gestión del ciclo de vida de los certificados, los controles de las instalaciones y del personal, los controles de seguridad técnica (estándares de módulos criptográficos para HSM, ceremonias de generación de claves, protección de claves, copia de seguridad y recuperación, etc.), perfiles de certificados y CRL/OCSP, y requisitos de cumplimiento/auditoría. RFC 3647 Este marco, como veremos más adelante, proporciona un esquema estandarizado de estos temas que sigue la mayoría de los documentos de CPS. 

Una regla clave es que el El CPS no debe contradecir al CPPuede ser más específico o restrictivo, pero no puede flexibilizar ningún requisito establecido en el protocolo. Por ejemplo, si el protocolo exige la verificación de identidad presencial con un documento de identidad oficial, el programa de servicios de protección infantil (CPS, por sus siglas en inglés) no puede permitir la verificación únicamente por correo electrónico, ya que esto entraría en conflicto con el protocolo. Por otro lado, un CPS podría añadir prácticas adicionales que vayan más allá de lo establecido en el protocolo (siempre que no contravengan sus requisitos).  

Protección Infantil vs. Protección Infantil: Diferencias y Relación 

Está claro que CP y CPS Están estrechamente relacionados y son complementarios. Una forma sencilla de recordar la diferencia es: el Plan de Negocios (PN) es la estrategia, y el Plan de Negocios (PN) son las tácticas. El PN se centra en qué objetivos o garantías deben cumplirse (y para quién), mientras que el PN se centra en cómo lograrlos en la práctica. A continuación, se presenta una comparación de los aspectos clave de los documentos de PN y PN: 

Estándares y marcos para la protección infantil y la protección social 

RFC 3647 – Un marco para CP y CPS 

Para unificar la forma en que se redactan los CP y los CPS, el IETF publicó RFC 3647: “Política de certificados de infraestructura de clave pública X.509 de Internet y marco de prácticas de certificación” En 2003, el RFC 3647 proporciona un esquema estandarizado (marco) de temas que un documento CP o CPS debería abarcar. El objetivo era facilitar a los redactores y lectores de políticas (incluidos los auditores y las entidades de certificación cruzada) la búsqueda y comparación de información entre diferentes documentos CP/CPS. 

El marco de RFC 3647 está organizado en varias secciones principales (a menudo nueve o diez, con subsecciones adicionales) que pueden utilizarse tanto para documentos CP como CPS. Los encabezados principales incluyen:  

1. Introducción (y alcance, identificación de documentos, etc.),  
2. Responsabilidades de publicación y repositorio,  
3. Identificación y autenticación (es decir, cómo se verifican las identidades),  
4. Requisitos operativos del ciclo de vida del certificado (que abarcan la solicitud, emisión, aceptación, revocación, renovación, etc. del certificado),  
5. Controles de instalaciones, gestión y operaciones (seguridad física, seguridad del personal, registro de auditorías, etc.),  
6. Controles técnicos de seguridad (gestión de claves, controles criptográficos, seguridad informática, controles de seguridad del ciclo de vida),  
7. Certificado, CRL y perfiles OCSP (detalles técnicos del formato del certificado),  
8. Cumplimiento Auditorías y otras evaluaciones,  
9. Otros asuntos comerciales y legales (exenciones de responsabilidad, responsabilidad financiera, privacidad, confidencialidad, etc.).  

Al seguir esta estructura común, un Plan de Prácticas (CP) y un Plan de Cumplimiento Normativo (CPS) para la misma Autoridad de Certificación (AC) abarcarán las mismas categorías de información, lo que facilita ver cómo las prácticas de la AC (CPS) satisfacen cada requisito de la política. También ayuda enormemente a mapeo de políticas – por ejemplo, el certificado de certificación (CP) de una entidad federal de certificación puente de EE. UU. y el de una entidad externa se pueden comparar sección por sección para determinar la equivalencia antes de la certificación cruzada. 

La mayoría de los protocolos de certificación (CP) y protocolos de seguridad de código (CPS) modernos se escriben de acuerdo con el RFC 3647. De hecho, los organismos del sector lo han exigido. El Foro CA/Browser (que rige las CA de confianza pública) actualizó sus Requisitos Básicos en 2015 a “incluir todas las secciones del marco RFC 3647” y exigía que Las autoridades de certificación estructuran sus documentos CP/CPS de acuerdo con el RFC 3647.Los Requisitos Básicos (v1.3.0 y posteriores) se convirtieron al formato RFC 3647 (tratando esencialmente los Requisitos Básicos como un CP gigante) para facilitar la comparación y la verificación del cumplimiento.

La sección 2.2 de los Requisitos Básicos establece explícitamente: “La Política de Certificación y/o la Declaración de Prácticas de Certificación DEBEN estar estructuradas de acuerdo con el RFC 3647 y DEBEN incluir todo el material requerido por el RFC 3647.” También exige a las CA que indiquen claramente qué partes de su CP/CPS se aplican a qué CA raíz o subordinadas, y que incluyan declaraciones de cumplimiento de los Requisitos Básicos en su CP/CPS. 

Del mismo modo, el WebTrust para CA Los criterios de auditoría (utilizados por los auditores para evaluar las CA públicas) recomiendan el uso del RFC 3647. La última versión de los Principios y Criterios de WebTrust para las CA (v2.2.2) señala que las CA deben “Estructuren sus documentos CP y CPS de acuerdo con el RFC 3647 de la IETF”y recomienda a las autoridades competentes que aún utilizan el marco RFC 2527 anterior que migren al RFC 3647. En la práctica, seguir el RFC 3647 significa que un CP y un CPS tendrán secciones alineadasEs común ver documentos de CPS con numeración de secciones que refleja la de CP.

Si una sección en particular no es aplicable o la política no impone requisitos, los documentos a menudo dicen explícitamente “Sin estipulación(Según las directrices del sector) en lugar de dejarlo en blanco. Esto indica a los lectores que la omisión es intencionada. Por ejemplo, si una CA no permite la suspensión de certificados, la sección de CPS sobre «Suspensión» indicaría «No aplicable, la CA no suspende certificados».  

RFC 6484 – Política de certificados para la RPKI  

RFC 6484 es una política de certificados específica: “Política de Certificados (PC) para el Infraestructura de clave pública de recursos (RPKI)"La RPKI es una PKI especializada que se utiliza para proteger el enrutamiento de Internet (mediante la emisión de certificados para bloques de direcciones IP y números de AS). El RFC 6484 sirve como guía. CP común y consensuado para todos los participantes en la RPKI, como los Registros Regionales de Internet (RIR). Cabe destacar que el RFC 6484 se estructuró utilizando la plantilla del RFC 3647 (como es habitual).

Esto significa que incluye las secciones habituales de Introducción, Identificación y Autenticación, etc., adaptadas al contexto de RPKI. Por ejemplo, incluirá secciones sobre la identificación necesaria para que una entidad obtenga un certificado de dirección IP, requisitos operativos como la rapidez con la que deben publicarse las revocaciones, etc.  

RFC 7382 – Plantilla CPS para la RPKI 

Para complementar el CP del RPKI (RFC 6484), el IETF también proporcionó RFC 7382: “Plantilla para una Declaración de Prácticas de Certificación (CPS) para el RPKI”Este documento, publicado en 2015, es esencialmente un modelo estándar de CPS adaptado al entorno RPKI. Toma la estructura del RFC 3647 y la complementa con directrices y ejemplos específicos para las operaciones de RPKI. Por ejemplo, explica cómo una CA de RPKI (como un RIR) debe gestionar la renovación de claves, cómo debe poner a disposición los datos del repositorio, etc., de acuerdo con las necesidades de RPKI. 

Principios de WebTrust y directrices del Foro CAB 

Más allá del IETF, los auditores y foros de la industria tienen sus propios requisitos relacionados con CP/CPS: 

• WebTrust para autoridades de certificaciónComo se mencionó, los criterios de WebTrust recomiendan encarecidamente (y prácticamente exigen para las CA públicas) que una CA cuente con un documento CP/CPS y que cumpla con el marco estándar. Los auditores de WebTrust verificarán que la CA divulgue sus prácticas sobre el ciclo de vida de las claves y los certificados, generalmente a través de un documento CP/CPS, y que la CA efectivamente siga dichas prácticas.
• En las auditorías de WebTrust, se espera que las Autoridades de Registro (AR) externas que utilice una CA cumplan con las disposiciones pertinentes de su CP/CPS, lo que subraya que el CP/CPS es la fuente autorizada sobre las acciones permitidas a una AR. WebTrust define explícitamente CP y CPS en su guía. “Un CP es un conjunto de reglas con nombre que indica la aplicabilidad de un certificado a una comunidad y/o clase de aplicación particular… y describe los límites y usos aceptables.” “Un CPS es una declaración de las prácticas que una CA emplea en la emisión y gestión de certificados.”." 

• Foro CA/Browser (CABF)Para las CA de confianza pública (las incluidas en los navegadores y los almacenes de confianza del sistema operativo), la Foro de CA/Browser Las directrices son primordiales. Requisitos básicos (RB) Puede considerarse un protocolo general que todas las autoridades competentes deben incorporar. El Reglamento de Negocios exige que las autoridades competentes cuenten con un protocolo de negocios y que lo hagan público. En concreto, la sección 2.2 del Reglamento de Negocios exige la disponibilidad en línea las 24 horas del día, los 7 días de la semana, del protocolo de negocios y que estos documentos estén en formato de texto (como PDF) y en inglés (o una traducción al inglés).
• Las BR también exigen que el CP/CPS identifique claramente a qué certificados (raíces, sub-CA) se aplican. Como se mencionó anteriormente, las BR requieren que el CP/CPS siga el formato RFC 3647. Incluso proporcionan una tabla de correspondencia para alinear las versiones anteriores de las BR con las nuevas secciones del RFC 3647, y directrices para completar cada subsección (aunque sea con la indicación «Sin estipulación») para garantizar que no se omita nada.
• Además, las directrices de CABF, como las Directrices EV (Validación Extendida), requieren contenido específico en el CP/CPS; por ejemplo, los emisores de certificados EV deben incluir un OID de política específico en los certificados EV y afirmar en su CP/CPS que siguen las Directrices EV.
• La Política de Almacenamiento Raíz de Mozilla (que incorpora los requisitos de CABF) también verifica que el CP/CPS contenga ciertas declaraciones, como el compromiso de cumplir con los Requisitos Básicos de CABF y detalles sobre cómo la CA procesa los registros DNS de CAA (este es en realidad un requisito de los Requisitos Básicos que debe reflejarse en el CP/CPS). Además, los Requisitos Básicos de CABF exigen que las CA revisar y actualizar su CP/CPS al menos anualmente (Aunque no se realicen cambios, deben incrementarse el número de versión y la fecha). Esto garantiza que los documentos se mantengan actualizados conforme a la evolución de los requisitos y las prácticas. 

En resumen, la combinación del RFC 3647 y los requisitos del sector ha logrado que la estructura y el mantenimiento de los documentos de certificación (CP/CPS) sean bastante uniformes en toda la industria. Esta uniformidad mejora considerablemente la transparencia y la interoperabilidad: una parte interesada o un auditor puede consultar cualquier documento de certificación y encontrar dónde se aborda, por ejemplo, la verificación de identidad (sección 3 del RFC 3647) o la gestión de claves (sección 6), y compararlo con los documentos de otra entidad de certificación o con los estándares esperados. 

¿Cómo puede ayudar EC?

Encryption Consulting LLC (EC) apoya el desarrollo del borrador CP/CPS y el cumplimiento de PKI:  

Encryption Consulting LLC ofrece experiencia especializada en Elaboración de documentos sobre la Política de Certificación (CP) y la Declaración de Prácticas de Certificación (CPS). para garantizar que la infraestructura de clave pública (PKI) de un cliente cumpla con las normativas, sea segura y esté alineada con los estándares de la industria. Sus consultores utilizan el RFC 3647 como plantilla para Documentación CP/CPS, asegurando que todas las secciones y controles requeridos se aborden de acuerdo con las mejores prácticas.

Esto significa que los documentos de CP/CPS siguen el formato reconocido internacionalmente (que abarca áreas como identificación, autenticación, controles operativos y controles de seguridad técnica) y cumplen con directrices como los requisitos básicos del Foro CA/Browser y los criterios de WebTrust para las CA. Es importante destacar que Encryption Consulting adapta estos documentos de política al entorno único de la organización, alineándolos con las necesidades de gobernanza interna y las obligaciones de cumplimiento específicas.  

Análisis de brechas y evaluaciones de cumplimiento de PKI 

Además de la redacción de documentos, Encryption Consulting ayuda a sus clientes mediante evaluaciones integrales de infraestructura de clave pública (PKI) y análisis de deficiencias para lograr el cumplimiento normativo. Sus servicios de evaluación de PKI incluyen un análisis detallado. análisis de las deficiencias Este proceso examina las prácticas criptográficas, los procedimientos operativos y las políticas existentes. Identifica cualquier discrepancia entre el estado actual y las mejores prácticas o estándares requeridos del sector, descubriendo vulnerabilidades o áreas de incumplimiento que podrían poner en peligro la infraestructura de clave pública (PKI).

Como parte de estos evaluacionesEncryption Consulting realiza un trabajo especializado. evaluación de políticas – Revisar los documentos de certificación (CP) y de seguridad de la información (CPS) existentes de la organización para garantizar su alineación con los estándares relevantes del sector. Cualquier discrepancia con estándares como las directrices del NIST, la norma ISO 27001 u otros marcos regulatorios se señala para su corrección. Al identificar deficiencias en la gobernanza, las prácticas de certificación o los controles técnicos, Encryption Consulting prepara a las organizaciones para superar las pruebas. auditorías (ya sean internas, externas o WebTrust para CA públicas) con confianza.

Sus informes y directrices sirven como hoja de ruta para fortalecer la seguridad de la infraestructura de clave pública (PKI) y garantizar el cumplimiento continuo, en lugar de solo superar una auditoría puntual. Este enfoque proactivo permite a los clientes abordar los problemas antes de que deriven en hallazgos de auditoría o incidentes de seguridad, manteniendo así una PKI confiable y conforme a lo largo del tiempo.

Conclusión

Los CP y los CPS encarnan el principio de “Confía, pero verifica.” Son los documentos que nos permiten verificar por qué Deberíamos confiar en un certificado digital y cómo Esa confianza se está gestionando. En un mundo cada vez más dependiente de la infraestructura de clave pública (PKI), desde HTTPS y la firma de código hasta las redes inteligentes y la identidad de los dispositivos IoT, estas políticas y declaraciones de prácticas seguirán desempeñando un papel fundamental (aunque a menudo discreto) en la ciberseguridad.