REALSEC presenta la nueva Suite de clave pública Cryptosec OpenKey

REALSEC, empresa  desarrolladora de soluciones de cifrado y  firma digital, presenta su nueva infraestructura de clave pública de altas prestaciones Cryptosec OpenKey.

La familia de productos Cryptosec OpenKey permite a cualquier entidad implantar de manera fácil, rápida y segura una infraestructura de clave pública siguiendo cualquier esquema que se presente y cubriendo el ciclo de vida de los certificados digitales, desde la generación hasta la revocación, ofreciendo un completo servicio a las aplicaciones finales que utilicen esta tecnología: consulta del estado de los certificados y sellado de tiempo de documentos u operaciones, como puede ser la firma digital.

La Suite Cryptosec OpenKey está conformada por los productos Cryptosec CA (Autoridad de Certificación), Cryptosec RA (Autoridad de Registro), Cryptosec VA (Autoridad de Validación) y Cryptosec TSA (Autoridad de Sellado de Tiempo).

Todos ellos se componen de hardware en formato  appliance que incluye en su interior un motor criptográfico y almacén seguro de claves con  HSM Cryptosec, cuyas certificaciones internacionales FIP 140-2 Level 3  y Common Criteria EAL 4+  son compartidas por todas las soluciones que conforman esta familia.

Cryptosec CA

La autoridad de certificación Cryptosec CA es un appliance compuesto por hardware criptográfico cuya función es la generación de certificados digitales englobados en una estructura de clave pública PKI totalmente confiable. La configuración se realiza a través de un interfaz amigable vía HTTPS con requerimiento de certificado de operador.

Una vez configurado el rol de dispositivo CryptosecCA, CA raíz o CA subordinada, se accede a un menú en el que se genera el certificado de la autoridad y es posible configurar el sistema.Esta conexión está autenticada y es 100% segura.

Tanto la custodia de las claves del certificado de la autoridad como la operación de firma de peticiones de certificación y lista de certificados renovados o CRL, se lleva a cabo en el HSM integrado en el appliance Cryptosec CA. Esto además de asegurar la protección de estas claves hace que los procesos de generación se aceleren.

Cryptosec RA

La autoridad de registro Cryptosec RA tiene como finalidad el registro de entrada de las peticiones de certificación que llevan a cabo los usuarios finales.

A través de un interfaz Web protegido por HTTPS, los usuarios se conectan y realizan sus peticiones de certificación, que quedan almacenadas en la autoridad de registro, para que un operador las verifique antes de su envío a la CA. Esto se lleva a cabo de manera protegida y autenticada, y una vez que la autoridad de registro recibe el certificado es enviado al usuario final.

Cryptosec RA se puede configurar mediante un interfaz Web seguro HTTPS con el que se pueden configurar diferentes políticas de certificación y diferentes políticas de registro. Los certificados y las CRLs pueden ser publicadas en distintos sistemas periódicamente.

Cryptosec VA

Este appliance cumple la función de autoridad de validación, generando respuestas a peticiones de clientes acerca del estado de revocación de un determinado certificado.

También se configura, como todos los productos de la Suite, a través de un interfaz Web protegido por HTTPS. Se le dota de un certificado digital cuyas claves residen custodiadas en el hardware criptográfico alojado en su interior, y el sistema está preparado para responder a peticiones de estado de revocación de certificados.

La información de revocación de los certificados es recuperada de la base de datos que crea el sistema Cryptosec CA, o bien de las listas de certificados revocados que publica dicho sistema. También es capaz de contestar a peticiones de estado de revocación de certificados emitidos bajo diferentes CAs.

Tanto para Cryptosec VA como para los demás productos de la familia Cryptosec OpenKey, existe un servicio que permite sincronizar el reloj del sistema mediante protocolo NTP.

Cryptosec TSA

Por último, la autoridad de sellado de tiempo Cryptosec TSA tiene como finalidad la producción de sellos de tiempo  que certifican, de una forma segura y rápida, el momento horario exacto en el que se ha realizado esta acción.

Su configuración, nuevamente mediante interfaz vía HTTPS, entre otras cosas consiste en generar unas claves asimétricas en el HSM integrado, con el objeto de que posteriormente se pueda dotar al sistema de un certificado digital y establecer unos valores bajo los que se generarán los sellos de tiempo.

Además, el sistema posee un sincronizador de su propio reloj con una fuente externa mediante protocolo NTP, aunque se puede adaptar, según los requerimientos del cliente, cualquier dispositivo de sincronización del reloj del sistema (GPS, relojes de cesio, etc.).

El acceso por parte de los clientes a la autoridad Cryptosec TSA se hace mediante HTTP y siguiendo el estándar rfc3161, mismo medio por el que se devolverá el sello generado. Los sellos de tiempo son firmados en el HSM embebido en Cryptosec TSA.

De la misma manera, Cryptosec TSA admite una configuración en alta disponibilidad o balanceo de carga introduciendo un número indeterminado de elementos en el sistema, siendo requerido un balanceador externo de protocolo HTTP.

En los cuatro productos de la familia Cryptosec OpenKey, tanto la configuración como todos los datos generados son almacenados en una base de datos interna o externa al dispositivo.