Introducción
SECCIÓN 1 – GENERALIDADES
1 Alcance
2 Referencias normativas
2.1 Recomendaciones | Normas Internacionales idénticas
2.2 Pares de Recomendaciones | Normas Internacionales
de contenido técnico equivalente
3 Definiciones
3.1 Definiciones relativas a la arquitectura de
seguridad del modelo de referencia OSI
3.2 Definiciones relativas al modelo de directorio
3.3 Definiciones
4 Abreviaturas
5 Convenios
6 Visión de conjunto de los marcos
6.1 Firmas digitales
SECCIÓN
2 – MARCO DE CERTIFICADOS DE CLAVE PÚBLICA
7 Claves públicas y certificados de clave pública
7.1 Generación de pares de claves
7.2 Creación de
certificados de clave pública
7.3 Validez de certificados
8 Extensiones de certificados de clave pública y de
CRL
8.1 Tratamiento de
políticas
8.1.1 Política de certificados
8.1.2 Certificación cruzada
8.1.3 Correspondencia de políticas
8.1.4 Procesamiento de trayecto de certificación
8.1.5 Certificados autoexpedidos
8.2 Extensiones de
información de claves y de política
8.2.1 Requisitos
8.2.2 Campos de extensión de certificado de clave
pública y de CRL
8.2.2.1 Extensión de identificador de clave de autoridad
8.2.2.2 Extensión de identificador de clave de sujeto
8.2.2.3 Extensión de utilización de claves
8.2.2.4 Extensión de utilización de clave extendida
8.2.2.5 Extensión de periodo de utilización de clave privada
8.2.2.6 Extensión de políticas de certificados
8.2.2.7 Extensión de correspondencias de políticas
8.3 Extensiones de
información de sujeto y de expedidor
8.3.1 Requisitos
8.3.2 Campos de extensión de certificado y de CRL
8.3.2.1 Extensión de nombre alternativo de sujeto
8.3.2.2 Extensión de nombre alternativo de expedidor
8.3.2.3 Extensión de atributos de directorio de
sujeto
8.4 Constricciones de
trayecto de certificación
8.4.1 Requisitos
8.4.2 Campos de extensión de certificado
8.4.2.1 Extensión de constricciones básicas
8.4.2.2 Extensión de constricciones de nombre
8.4.2.3 Extensión de constricciones de políticas
8.4.2.4 Extensión inhibición de cualquier política
8.5 Extensiones de la CRL básica
8.5.1 Requisitos
8.5.2 Campos de extensión de CRL y de asiento de
CRL
8.5.2.1 Extensión de número de CRL
8.5.2.2 Extensión de código de motivo
8.5.2.3 Extensión de código de instrucción de extensión
8.5.2.4 Extensión de fecha de no validez
8.5.2.5 Extensión de ámbito de CRL
8.5.2.6 Extensión de referencia de estado
8.5.2.7 Extensión de identificador de flujo de CRL
8.5.2.8 Extensión de lista ordenada
8.5.2.9 Extensión de información delta
8.6 Extensiones de puntos de distribución de CRL y CRL
delta
8.6.1 Requisitos
8.6.2 Campos de extensión de punto de
distribución de CRL y de CRL delta
8.6.2.1 Extensión de puntos de distribución de CRL
8.6.2.2 Extensión de punto de distribución expedidor
8.6.2.3 Extensión de expedidor de certificado
8.6.2.4 Extensión de indicador de CRL delta
8.6.2.5 Extensión de actualización básica
8.6.2.6 Extensión de CRL más reciente
9 Relación entre la CRL delta y la
básica
10 Procedimiento de procesamiento del trayecto
de certificación
10.1 Entradas al
procesamiento del trayecto
10.2 Salidas del
procesamiento de trayecto
10.3 Variables del procesamiento
del trayecto
10.4 Paso de
inicialización
10.5 Procesamiento de
certificado
10.5.1 Comprobaciones básicas de certificado
10.5.2 Procesamiento de certificados intermedios
10.5.3 Procesamiento de indicador de
política explícita
10.5.4 Procesamiento final
11 Esquema del directorio PKI
11.1 Clases y formas de
nombre de objeto de directorio PKI
11.1.1 Clase de objeto de usuario PKI
11.1.2 PKI CA object
class
11.1.3 CRL distribution
points object class and name form
11.1.4 Clase de objeto de CRL delta
11.1.5 Clases de objeto de política de
certificados y CPS
11.1.6 Clase de objeto de trayecto de
certificados PKI
11.2 Atributos de directorio PKI
11.2.1 Atributo de certificado de usuario
11.2.2 Atributo de certificado de CA
11.2.3 Atributo de pares de certificados cruzados
11.2.4 Atributo de lista de revocación de
certificados
11.2.5 Atributo de lista de revocación de
autoridades
11.2.6 Atributo de lista de revocación delta
11.2.7 Atributo de algoritmos soportados
11.2.8 Atributo de declaración de práctica de
certificación
11.2.9 Atributo de política de certificados
11.2.10 Atributo de trayecto PKI
11.3 Reglas de concordancia de directorios PKI
11.3.1 Concordancia exacta de certificados
11.3.2 Concordancia de certificados
11.3.3 Concordancia exacta de pares de
certificados
11.3.4 Concordancia de pares de certificados
11.3.5 Concordancia exacta de listas de
certificados
11.3.6 Concordancia de listas de certificados
11.3.7 Concordancia de identificadores de
algoritmo
11.3.8 Concordancia de políticas
11.3.9 Concordancia de trayectos PKI
SECCIÓN
3 – MARCO DE CERTIFICADOS DE ATRIBUTO
12 Certificados de atributo
12.1 Estructura de certificado de atributo
12.2 Trayectos de certificados de atributo
13 Relación entre autoridad de atributo, SOA y autoridad de certificación
13.1 Privilegios en certificados de atributo
13.2 Privilegios en certificados de clave pública
14 Modelos de PMI
14.1 Modelo general
14.1.1 PMI en el contexto de control de acceso
14.1.2 PMI en un contexto de no repudio
14.2 Modelo de control
14.3 Modelo de
delegación
14.4 Modelo de cometidos
14.4.1 Atributo de cometido
15 Extensiones de certificados de gestión de privilegios
15.1 Extensiones de gestión básica de privilegios
15.1.1 Requisitos
15.1.2 Campos de extensión de gestión básica de
privilegios
15.1.2.1 Extensión de especificación de tiempos
15.1.2.2 Extensión de información de objetivos
15.1.2.3 Extensión de notificación de usuario
15.1.2.4 Extensión de políticas aceptables de
privilegios
15.2 Extensiones de revocación de privilegios
15.2.1 Requisitos
15.2.2 Campos de extensión de revocación de
privilegios
15.2.2.1 Extensión de puntos de distribución de CRL
15.2.2.2 Extensión no hay información de revocación
15.3 Extensiones de fuente de autoridad
15.3.1 Requisitos
15.3.2 Campos de extensión de SOA
15.3.2.1 Extensión de identificador SOA
15.3.2.2 Extensión de descriptor de atributo
15.4 Extensiones de cometidos
15.4.1 Requisitos
15.4.2 Campos de extensión de cometidos
15.4.2.1 Extensión de identificador de certificados de especificación de cometidos
15.5 Extensiones de delegación
15.5.1 Requisitos
15.5.2 Campos de extensión de delegación
15.5.2.1 Extensión de constricción de atributo básico
15.5.2.2 Extensión de constricciones de nombre
delegado
15.5.2.3 Extensión de políticas de certificados
aceptables
15.5.2.4 Extensión de identificador de atributos de
autoridad
16 Procedimiento de procesamiento de trayectos
de privilegios
16.1 Procedimiento de procesamiento básico
16.2 Procedimiento de procesamiento de cometidos
16.3 Procedimiento de procesamiento de delegaciones
16.3.1 Verificación de la integridad de la regla de dominación
16.3.2 Establecimiento del trayecto de delegación
válido
16.3.3 Verificación de la delegación de
privilegios
16.3.4 Determinación de éxito/fracaso
17 Esquema de directorio PMI
17.1 Clases de objeto de directorio PMI
17.1.1 Clase de objeto usuario PMI
17.1.2 Clase de objeto AA de PMI
17.1.3 Clase de objeto SOA de PMI
17.1.4 Clase de objeto punto de distribución de
CRL de certificado de atributo
17.1.5 Trayecto de delegación de PMI
17.1.6 Clase de objeto política de privilegios
17.2 Atributos de directorio de PMI
17.2.1 Atributo de certificado de atributos
17.2.2 Atributo de certificado de AA
17.2.3 Atributo de certificado de descriptor de
atributos
17.2.4 Atributo de lista de revocación de
certificados de atributo
17.2.5 Atributo de lista de revocación de
certificados de AA
17.2.6 Atributo de trayecto de delegación
17.2.7 Atributo de política de privilegios
17.3 Reglas de concordancia en el directorio PMI
general
17.3.1 Concordancia exacta de certificados de
atributo
17.3.2 Concordancia de certificados de atributo
17.3.3 Concordancia de expedidores titulares
17.3.4 Concordancia de trayectos de delegación
SECCIÓN 4
– UTILIZACIÓN POR
EL DIRECTORIO DE
LOS MARCOS DE
CERTIFICADOS DE CLAVE
PÚBLICA Y DE
ATRIBUTO
18 Autenticación de directorio
18.1 Procedimiento de autenticación simple
18.1.1 Generación de información de
identificación protegida
18.1.2 Procedimiento de autenticación simple
protegida
18.1.3 Tipo de atributo contraseña de usuario
18.2 Autenticación fuerte
18.2.1 Obtención de certificados de clave pública
a partir del directorio
18.2.1.1 Ejemplo
18.2.2 Procedimientos de autenticación fuerte
18.2.2.1 Autenticación unidireccional
18.2.2.2 Autenticación bidireccional
18.2.2.3 Autenticación tridireccional
19 Control de acceso
20 Protección de operaciones de directorioAnexo A – Marcos para certificados de claves públicos y atributos en
ASN.1
Anexo B – Reglas de procesamiento y generación de CRL
B.1 Introducción
B.1.1 Tipos de CRL
B.1.2 Procesamiento de CRL
B.2 Determinación de
los parámetros para las CRL
B.3 Determinación de
las CRL requeridas
B.3.1 Entidad final con DP de CRL crítica
B.3.2 Entidad final con DP de CRL no crítica
B.3.3 CA con DP de CRL crítica
B.3.4 CA con DP de CRL no crítica
B.4 Obtención de las
CRL
B.5 Procesamiento de
las CRL
B.5.1 Validación del ámbito de CRL básica
B.5.1.1 CRL completa
B.5.1.2 EPRL completa
B.5.1.3 CARL completa
B.5.1.4 CRL/EPRL/CARL basada en el punto de
distribución
B.5.2 Validación del ámbito de CRL delta
B.5.3 Validez y comprobaciones de actualidad en la
CRL básica
B.5.4 Validez y comprobaciones en la CRL delta
Anexo C – Ejemplos
de expedición de CRL delta
C.1 Introducción
Anexo D – Ejemplos
de definición de política de privilegios y de atributo de privilegios
D.1 Introducción
D.2 Sintaxis de muestra
D.2.1 Primer ejemplo
D.2.2 Segundo ejemplo
D.3 Ejemplo de atributo
de privilegios
Anexo E –
Introducción a la criptografía de claves públicas
Anexo F – Definición de
referencia de los identificadores de objeto para algoritmo
Anexo G – Ejemplos de la
utilización de constricciones del trayecto de certificación
G.1 Ejemplo 1: Utilización de constricciones básicas
G.2 Ejemplo 2: Utilización de constricciones de nombre
G.3 Ejemplo 3: Utilización de constricciones de
correspondencia de políticas y de política
Anexo H – Lista alfabética de las definiciones de
elementos de información
Anexo I – Enmiendas y corrigendas