Anexo 1 Especificaciones técnicas



Descargar 244,29 Kb.
Página1/3
Fecha de conversión10.04.2017
Tamaño244,29 Kb.
  1   2   3

Dirección de Adquisiciones de Oficialía Mayor de Gobierno del Estado de Baja California



Anexo 1

Especificaciones técnicas

Suministro e Instalación de Infraestructura Tecnológica para la Implementación del Tribunal Electrónico del Nuevo Sistema de Justicia Penal en Baja California”



PAQUETE 1

INFRAESTRUCTURA DE CLAVE PÚBLICA PARA LA IMPLEMENTACIÓN  DEL TRIBUNAL ELECTRÓNICO 
DEL NUEVO SISTEMA DE JUSTICIA  PENAL EN BAJA CALIFORNIA

DESCRIPCIÓN Y CARACTERÍSTICAS TÉCNICAS DE LOS BIENES Y SERVICIOS

PARTIDA

CANTIDAD

DESCRIPCIÓN


1

1

Implementación de infraestructura de clave pública (PKI por sus siglas en inglés: Public Key Infrastructure) y plataforma para la integridad y autenticidad de la información a través de medios criptográficos asimétricos.

Considerar la implantación y puesta a punto de los servicios de infraestructura de clave pública y uso de la plataforma de criptografía asimétrica, cumpliendo con estándares internacionales y lineamientos nacionales e internacionales.




  1. REQUERIMIENTOS MÍNIMOS FUNCIONALES Y TÉCNICOS

La infraestructura de PKI y la plataforma de criptografía asimétrica, deben ser capaces de configurarse como una plataforma con arquitectura de control centralizada con capacidad de crecimiento en forma de servidores virtualizados y acceso distribuido.

El presente proyecto consiste en habilitar los servicios de PKI para el Tribunal de Garantía y Juicio Oral del Poder Judicial del Estado de Baja California, que permitan brindar los servicios de Tribunal Electrónico, requeridos para generar un incremento en la certeza jurídica relacionada con el intercambio de documentos electrónicos entre los operadores del Nuevo Sistema de Justicia Penal del Estado de Baja California (NSJP).



El proyecto deberá incluir como mínimo los siguientes elementos:

  1. LICENCIAMIENTO

    1. Contrato de licenciamiento por un procesador para funcionarios ilimitados de la Infraestructura de Llave Pública (PKI del inglés Public Key Infrastructure) para habilitar la Autoridad Certificadora (AC) que permita proveer servicios de solicitud, consulta, instalación, emisión, revocación y validación de certificados digitales, el cual deberá incluir:

      1. Implementación de Autoridad Certificadora con capacidad para Subordinar o Subordinarse a Autoridades Certificadoras propias o de terceros.

      2. Implementación de Módulo IES (Infraestructura Extendida de Seguridad), cumpliendo así con la normativa de la ITFEA, para la validación homologada de Certificados.

      3. Generación de Certificados Digitales bajo el estándar X.509 versión 1 y 3.

      4. Generación de llaves criptográficas RSA de 1024 y/o hasta 2048 bits tanto para llaves de usuario como de servicios.

      5. Generación de llaves criptográficas RSA de 1024 y/o hasta 8192 bits para llaves de Autoridad Certificadora.

      6. La generación de las llaves criptográficas en los equipos cliente (usuarios finales) deberá tener independencia de tecnologías propietarias, es decir, no depender de aplicaciones tipo ActiveX o Applets.

      7. Capacidad de generación de llaves criptográficas RSA en dispositivos criptográficos personales (tokens criptográficos).

      8. Instancia para ambiente de producción en disponibilidad simple sin límite de funcionarios públicos activos con transacciones ilimitadas y servicios múltiples.

      9. Instancia para ambiente de desarrollo en disponibilidad simple sin límite de usuarios finales.

    2. Contrato de licenciamiento por un procesador para funcionarios ilimitados de la Autoridad Emisora de Sellos Digitales de Tiempo (TSA) que permita habilitar los servicios de emisión de estampas o sellos de tiempo que indiquen la fecha y hora del momento en el que existe cierta información electrónica, el cual deberá incluir:

      1. Instancia para ambiente de producción en disponibilidad simple sin límite de funcionarios públicos activos con transacciones ilimitadas y servicios múltiples.

      2. Instancia para ambiente de desarrollo en disponibilidad simple para 5 usuarios finales.

      3. Cumplimiento con el estándar RFC 3161 para la emisión de constancias de tiempo bajo el protocolo TSP.

      4. Cumplimiento con los estándares ETSI TS 101 733 v2.2.1 y ETSI TS 103 171 v2.1.1.

      5. Módulo de Auditoría. Permitirá generar procesos de auditoría que validan la integridad de la Base de Datos de la Notaría, detectando cualquier inconsistencia en los recibos criptográficos.

    3. Contrato de licenciamiento por un procesador para funcionarios ilimitados de la plataforma de criptografía asimétrica, con funcionalidades que permitan conformar de forma automática documentos cifrados electrónicamente, que sean auto auditables a través del estándar PDF Signature, la plataforma deberá incluir lo siguiente:

      1. Instancia para ambiente de producción en disponibilidad sin límite de funcionarios públicos activos con transacciones ilimitadas y servicios múltiples.

      2. Instancia para ambiente de desarrollo en disponibilidad simple sin límite de usuarios finales.

      3. Componentes de integración con aplicativos propios del Tribunal de Garantía y Juicio Oral del Poder Judicial del Estado de Baja California a través de API y Servicios Web compatibles con los lenguajes de programación JAVA, C# y PHP.

      4. Soporte a los algoritmos criptográficos o estándares nacionales e internacionales como lo son:

        1. PKCS # 1 Versión 1.5 o 2.1 con padding RSASSA-PKCS1-v1_5.

        2. PKCS # 7 Firma con contenido y sin contenido.

        3. CMS (RFC 5652) Firmado con contenido y sin contenido.

        4. PDF Signature (ISO 32000).



  1. HARDWARE

    1. 1 Módulo de seguridad criptográfica HSM para el almacenamiento y resguardo de las llaves de la Autoridad Certificadora del Tribunal de Garantía y Juicio Oral del Poder Judicial del Estado de Baja California, que cumplan con las siguientes características generales:

      1. Certificaciones:

        1. FIPS 140 Versión 2 Nivel 3.

        2. NIST SP 800-131A.

        3. RoHS, WEEE.

        4. UL, CE, FCC.

      2. Criptografía

        1. Algoritmos asimétricos de llave publica: RSA (1024, 2048, 4096), Diffie-Hellman, DSA, El-Gamal, KCDSA, ECDSA, ECDH.

        2. Algoritmos simétricos: AES, ARIA, Camellia, CAST, DES, RIPEMD160 HMAC, SEED, Triple DES.

        3. Digestión de mensaje/Hash: SHA-1, SHA-2 (224, 256, 384, 512 bits).

        4. Implementación completa de Suite B con licencia de criptografía de curva elíptica (ECC), incluyendo Brainpool y curvas personalizadas.

      3. Sistemas operativos soportados:

        1. Físicos: Microsoft Windows 2008, 2008 R2, Windows Server 2012 R2, Windows 7.

        2. Virtuales: VMWare Server, VMWare Workstation, Microsoft Hyper-V para Microsoft Windows Server 2008 R2 y Microsoft Virtual PC para Microsoft Windows 7.

      4. Interfaz de programación de aplicaciones (API)

        1. PKCS#11, OpenSSL, Java (JCE), Microsoft CAPI y CNG.

        2. nCore (Interfaz de Thales de bajo nivel para desarrolladores).

      5. Conectividad

        1. Puerto USB 1.x y 2.x.

      6. Transacciones de firmado por segundo (TPS)

        1. 12 TPS para 1024bit RSA.

        2. 2 TPS para 2048bit RSA.

        3. 0.2 TPS para 4096bit RSA.

      7. Administración y supervisión.

        1. Control de acceso multiusuario / operador remoto sin supervisión.

        2. Compatibilidad con diagnósticos Syslog.

        3. Supervisión del rendimiento de Windows.

        4. Interfaz de línea de comando (CLI) / Interfaz grafica de usuario (GUI).

        5. Supervisión compatible con SNMPv3.

      8. Instalación y configuración.

      9. Soporte Técnico por 1 año del módulo criptográfico con póliza vigente contratada. El proveedor debe dar soporte de 1er nivel y en caso de requerirse debe coordinar toda la logística de atención, gestión y seguimiento del ticket con el fabricante o dueño de la patente.

      10. Garantía de fábrica por 1 año.



  1. MANTENIMIENTO Y SOPORTE TECNICO

    1. Póliza de mantenimiento por 1 año a partir de la fecha de contrato para las actualizaciones (updates) y nuevas versiones (upgrades) de los siguientes elementos:

      1. Software para Autoridad Certificadora en ambiente de producción y desarrollo en disponibilidad simple.

      2. Software para Autoridad Emisora de Sellos Digitales en ambiente de producción y desarrollo en disponibilidad simple.

      3. Software de la Plataforma de Criptografía Asimétrica en ambiente de producción y desarrollo en disponibilidad simple.

    2. Póliza de mantenimiento anual al Modulo Criptográfico HSM para la protección de la llave privada de la Autoridad Certificadora del Tribunal de Garantía y Juicio Oral del Poder Judicial de Baja California.

    3. Póliza de soporte técnico en esquema de 5x8 (20 hrs en sitio + 40 hrs Web/Telefónico) con vigencia de 1 año, para la asesoría técnica de uso de los productos contratados y resolución de fallas de los productos contratados, el cual deberá incluir:

      1. Atención en sitio y vía Web o telefónica con ingenieros especializados y certificados en el uso y manejo de PKI, con nivel de escalamiento de problemas establecido en el Acuerdo de Nivel de Servicio (SLA Service Level Agrement por sus siglas en ingles), el cual deberá ser parte del contrato.

      2. Bitácora de Sucesos con explicación detallada de la falla, el motivo de la misma y la forma de resolverse.



  1. SERVICIOS PROFESIONALES

    1. Instalación y puesta a punto de los componentes de software y hardware requeridos y especificados para la solución de PKI y la plataforma de Criptografía Asimétrica, donde se deberá incluir:

      1. Instalación y configuración de los componentes de la solución para ambiente productivo en disponibilidad simple.

      2. Instalación y configuración de los componentes de la solución para ambiente de desarrollo en disponibilidad simple.

      3. Pruebas de funcionalidad para su liberación.

      4. Liberación de ambiente productivo y desarrollo.

      5. Creación de Memoria Técnica que refleje la configuración de los componentes contratados.

    2. Transferencia de conocimientos.

      1. Se deberán incluir la sesiones que sean requeridas para por lo menos 10 personas, para la transferencia de conocimientos, que le permitan al personal designado por el Tribunal de Garantía y Juicio Oral del Poder Judicial del Estado de Baja California utilizar los componentes de la solución de PKI y la plataforma de Criptografía Asimétrica.

      2. La transferencia de conocimientos deberá incluir los temas propios para usuarios operadores, de igual forma, deberán incluirse los temas relacionados para personal administrativo de la arquitectura.

      3. La transferencia de conocimientos deberá ser impartida en sitio, en las instalaciones que el Tribunal de Garantía y Juicio Oral del Poder Judicial del Estado de Baja California designe para tal fin.

    3. Servicios de consultoría especializada para el diagnóstico e integración del uso de los componentes de la plataforma de criptografía asimétrica con los aplicativos del Tribunal de Garantía y Juicio Oral del Poder Judicial del Estado de Baja California.

      1. La consultoría deberá incluir por lo menos los siguientes tópicos:

        1. Definición de requerimientos para la seguridad en el intercambio de documentos electrónicos.

        2. Análisis y diseño para la integración de los componentes de la plataforma de criptografía asimétrica.

        3. Asesoría en la construcción de módulos con mecanismos de cifrado para documentos electrónicos.

        4. Pruebas de funcionalidad.

        5. Recomendaciones de integración de los componentes de la plataforma de criptografía asimétrica.

        6. Liberación de la integración

      2. La consultoría deberá considerar lo siguiente:

        1. Integración a través de componentes Plugin para navegador web, ActiveX (si es necesario)/API/Servicios Web para la generación de documentos auténticos firmados digitalmente.

        2. Uso de Servicios Web para la conformación de los archivos PDF Signature.

        3. API/Servicio Web para recibos de sellos digitales de tiempo.

        4. Deberá ser impartida en sitio, en las instalaciones que el Tribunal de Garantía y Juicio Oral del Poder Judicial del Estado de Baja California designe para tal fin.

        5. Deberá tener una duración de hasta 10 días hábiles.

    4. Asesoría de normatividad

      1. Ceremonia de atestiguamiento notariada de la puesta en marcha de la Autoridad Certificadora, la cual deberá incluir lo siguiente:

        1. Plan de trabajo con las actividades específicas a realizar para realizar la puesta en marcha de la Autoridad Certificadora en el marco de una ceremonia de atestiguamiento que de fe pública del procedimiento para la generación de las llaves de la Autoridad Certificadora del Tribunal de Garantía y Juicio Oral del Poder Judicial del Estado de Baja California.

      2. Documentación requerida para brindar el sustento legal y jurídico aplicable a los servicios que proveerá la Autoridad Certificadora del Tribunal de Garantía y Juicio Oral del Poder Judicial del Estado de Baja California, considerando la aplicabilidad de las políticas, el ciclo de vida de los certificados digitales, los tipos de certificados digitales y los requisitos de enrolamiento para los suscriptores, considerando los siguientes puntos:

        1. Servicios de consultoría para la elaboración de prácticas y políticas para el uso y manejo de certificados digitales con la participación del área técnica y legal del Tribunal de Garantía y Juicio Oral del Poder Judicial del Estado.

        2. Plan de trabajo con las actividades específicas a realizar para obtener la documentación de prácticas y políticas para el uso y manejo de certificados digitales.

        3. Se deberá entregar la estructura recomendada de la Declaración de Practicas de Certificación (CPS del inglés Certification Practice Statement) y las Políticas de Certificación (CP del inglés Certificate Policy) para la Autoridad Certificadora propia del Tribunal de Garantía y Juicio Oral del Poder Judicial del Estado de Baja California, con base en el estándar internacional RFC 3647, con el objetivo de que el Tribunal de Garantía y Juicio Oral del Poder Judicial del Estado en coordinación con su equipo técnico y legal puedan tener una guía y obtener un documento basado en las mejores prácticas.



  1. ARQUITECTURA DEL SISTEMA

El sistema centralizado de servicios de PKI deberá considerar una arquitectura que cuente como mínimo con los siguientes elementos:

  1. Sistema de control centralizado por entidad servidora (Autoridad Certificadora, Autoridad Emisora de Sellos Digitales y Plataforma de Criptografía Asimétrica). Responsable de la gestión de todos los elementos dentro de la solución integral para la autenticidad y seguridad en el intercambio de documentos electrónicos.

  2. Servidor Aplicativo (Aplicaciones de Gestión Interna). Integración transparente a los aplicativos de gestión interna mediante API’s y Servicios Web compatibles con lenguajes de programación, tales como C#, Java y PHP.

  3. Crecimiento de infraestructura vía granja de servidores en los servicios de PKI (Autoridad Certificadora, Autoridad Emisora de Sellos Digitales y Plataforma de Criptografía Asimétrica). Deberá permitir el crecimiento de la infraestructura de PKI de acuerdo a la demanda de los servicios, configurando los servidores por servicio en estructura de Granja.

  4. Soporte para la implementación en ambientes virtualizados y configuración en disponibilidad simple para los servicios de PKI (Autoridad Certificadora, Autoridad Emisora de Sellos Digitales y Plataforma de Criptografía Asimétrica).

  5. Se deberá incluir el licenciamiento perpetuo para el uso de componentes de software y/o hardware de terceros, requeridos para el óptimo funcionamiento de todos los elementos que integrarán la solución de Infraestructura de Clave Publica y la Plataforma de Criptografía Asimétrica, propósito del presente Anexo Técnico.



  1. CARACTERISTICAS MINIMAS QUE DEBE DE CUMPLIR LOS ELEMENTOS ANTES MENCIONADOS

    1. AUTORIDAD CERTIFICADORA CON CAPACIDAD PARA SUBORDINAR O SUBORDINARSE.

Software para Administración de Autoridad Certificadora. Este software deberá cumplir con los siguientes requerimientos:

  1. MODULO DE AUTORIDAD CERTIFICADORA

      1. Deberá soportar su instalación en equipos con sistema operativo Microsoft Windows Server 2008 64 bits o superior.

      2. Deberá contar con una consola grafica de configuración para facilitar al administrador su operación y configuración.

      3. Deberá establecer el puerto TCP de operación del servicio para comunicación de aplicaciones de acuerdo a las definiciones del contratante.

      4. Deberá soportar los servidores de Base de Datos siguientes, para almacenamiento y administración de la información.

        • Microsoft SQL Server 2012 o superior.

        • Oracle

        • IBM DB2

      5. Deberá tener capacidad de integración con directorios tipo LDAP para la publicación de Certificados Digitales generados. Deberá al menos poder interactuar con los siguientes directorios:

      6. Deberá contar con soporte para integración con el protocolo SMTP para comunicaciones con servidores de Correo Electrónico, para el envío de notificaciones de certificación.

      7. Deberá permitir la personalización del mensaje de notificaciones de correo electrónico de acuerdo a las necesidades de la institución.

      8. Deberá soportar la emisión y administración ilimitada de Certificados Digitales.

      9. Deberá soportar al menos 2 formatos de números de serie para los certificados digitales, secuenciales o extendidos, de acuerdo a las especificaciones de la ITFEA.

      10. Deberá contar con un modulo de auditoría de operaciones de la Autoridad Certificadora, este deberá funcionar a través de la emisión de recibos criptográficos (bajo el estándar RFC3161), garantizando la integridad de las operaciones y de la base de datos para todo el ciclo de vida de los certificados:

        • Emisión

        • Verificación de estado.

        • Revocación.

      11. Las transacciones entre la autoridad registradora, los servicios de validación y la autoridad certificadora deberán ir cifradas electrónicamente de acuerdo a los algoritmos utilizados por la ITFEA para la generación de certificados en caso de requerirse.

      12. Deberá permitir el definir extensiones para los certificados digitales, tales como:

        • Netscape Certificate Type

          • SSL Client Authentication

          • SSL Server Authentication

          • S/MIME (Client)

          • Object Signing

          • SSL CA

          • S/MIME CA

          • Object Signing CA

        • Key Usage

          • Digital Signatura

          • Non repudiation

          • Key Encipherment

          • Data Encipherment

          • Key Agreement

          • Cert Signing

          • CRL Signing

          • Encipher Only

          • Decipher Only

        • Enhanced Key Usage

          • TLS Web Server Authentication

          • TLS Web Client Authentication

          • Code Signing

          • Secure e-mail

          • Time Stamping

          • OCSO Signing

          • Microsoft Strong Encryption

          • Encrypting File System

          • Microsoft Smart Card Logon

          • Netscape Stron Encryption

        • Subject Alternative Names

        • Issuer Alternative Names

        • Certificate Policies

          • URL

          • Text

        • CRL Distribution Point (CDP)

          • URL

        • Authority Info Access (AIA)

      13. Deberá soportar varios servicios de Autoridad Certificadora en el mismo equipo, cada servicio será independiente y deberá configurarse individualmente.

      14. Deberá soportar al menos 3 niveles de profundidad para la subordinación de autoridades.

      15. Deberá proporcionar escalabilidad en la infraestructura en cuanto a la capacidad de atención de múltiples transacciones simultáneas.

      16. Deberá soportar su configuración en ambientes distribuidos como; clústeres y granjas, garantizando balanceo de cargas.

      17. Deberá soportar ambientes en alta disponibilidad.

      18. Los servicios deberán configurarse en disponibilidad simple.

      19. Deberá soportar su implementación en ambientes virtualizados.

      20. Deberá generar certificados cumpliendo con el RFC3280.

      21. Deberá soportar la generación y operación con llaves criptográficas RSA de 1024 y/o hasta 2048 bits tanto para usuarios como de servicios.

      22. Deberá soportar la generación y operación con llaves criptográficas RSA de 1024 y/o hasta 8192 bits tanto para llaves de Autoridad Certificadora.

      23. Para los usuarios finales se deberán poder generar las llaves usando un navegador web mediante una solución que no dependa de tecnologías propietarias, por ejemplo ActiveX o Applets.

      24. La llave privada para las Autoridades Certificadoras deberá ser de 4096 bits y esta debe ser generada y permanecer almacenada en un dispositivo criptográfico en cumplimiento con el nivel de seguridad FIPS 104-2 nivel 3.

      25. Deberá poder emitir extensiones en certificados X.509 para hacer posible la conversión a certificados EDIFACT. Los certificados EDIFACT deben cumplir con las Guías de implantación mexicanas para seguridad EDIFACT normada por AMECE en los documentos:

        • Servicio de Autenticación de Origen, Integridad y No Repudiación de Origen.

        • Llave de Seguridad y Manejo de Certificado (KEYMAN).

        • Documentos basados en el ISO 9735-5 e ISO 9735-9 respectivamente.

      26. Deberá soportar en sus diferentes operaciones al menos los siguientes estándares o algoritmos criptográficos.

        • X.509 V1 y V3 - IETF RFC 3280

        • FIPS 140 V2 N3.

        • PKCS

          • PKCS#1(RSA)

          • PKCS#5

          • PKCS#10

          • PKCS#11

          • PKCS#12

          • LDAP

          • CRL (RFC 3280, X.509)

          • OCSP (RFC 2560)

          • SHA1

          • MD5

      27. Deberá integrar y ofrecer funcionalidad para verificar el estado de revocación de un certificado digital, al menos ofreciendo:

        • Módulo servidor OCSP para la verificación en línea del estado de revocación de un certificado digital.

        • Módulo para la generación automática periódica de la Lista de Certificados Revocados (CRL).

      28. Deberá garantizar una disponibilidad del 99% en el servicio de consulta del estatus de los certificados digitales a través de OCSP o CRL en condiciones normales.

      29. Se deberá considerar un tiempo de indisponibilidad máximo de 4 horas en caso de desastre para los servicios de revocación y un tiempo máximo de 2 horas para los servicios de consulta de estatus (CRL u OCSP).

      30. Deberá contar con un módulo de conversión de archivos PKCS#12.

      31. Deberá registrar y mantener bitácoras que permitan el monitoreo de los servicios.




    1. MODULO DE LLAMADAS EXTERNAS

      1. La solución deberá contar con un módulo que permita agregar funcionalidad mediante llamadas a una librería dinámica que exporte funciones de acuerdo a una interfaz específica.

      2. El uso de la librería específica se deberá configurar en la interfaz de configuración de la Autoridad Certificadora.

      3. Las llamadas podrán realizarse al momento de emitir, revocar un certificado digital o en ambos casos.




    1. MODULO DE HARDWARE CRIPTOGRAFICO

      1. Deberá contar con un módulo a través del cual se pueda interactuar con dispositivos de hardware criptográficos que cuenten con la certificación FIPS-140-2 Nivel 3 en modalidad de conexión USB. Considerando las características de los módulos de hardware criptográfico para el resguardo de las llaves de la Autoridad Certificadora, especificadas previamente en la sección de requerimientos mínimos y funcionales de este documento.

      2. La comunicación a los dispositivos criptográficos deberá ser a través del protocolo PKCS#11.

      3. Deberá contar con los mecanismos necesarios para soportar un esquema de custodios para el acceso al dispositivo.




    1. MODULO DE ADMINISTRACION

      1. Deberá contar con una consola de administración que al menos ofrezca la siguiente funcionalidad:

        • Administración de Autoridades Certificadoras subordinadas

        • Administración de Autoridades Registradoras

        • Autorización de emisión de Certificados Digitales.

        • Solicitud de revocación de Certificados Digitales.

        • Solicitud de CRL’s.

        • Búsqueda de Certificados Digitales.

        • Deberá soportar diferentes modelos de autenticación (login) del usuario soportando autenticación por software y a través de dispositivos criptográficos.

        • Al momento de aprobar la emisión de un Certificado Digital deberá permitir especificar las fechas (día) de inicio y expiración usando un calendario.




    1. MODULO DE AUTORIDAD REGISTRADORA

      1. Deberá soportar su instalación en un equipo con sistema operativo Microsoft Windows XP, Microsoft Windows Server 2008 64 bits o superior.

      2. Deberá contar con una consola a través de la cual se puedan ejecutar al menos las siguientes operaciones:

        • Autorización de emisión de Certificados Digitales.

        • Solicitud de revocación de Certificados Digitales.

        • Solicitud de CRL’s.

        • Búsqueda de Certificados Digitales.

        • Búsqueda de Requerimientos de Certificación (Generación Web).

        • Deberá soportar la autenticación al módulo mediante certificados digitales.

        • Al momento de aprobar la emisión de un Certificado Digital deberá permitir especificar las fechas (día) de inicio y expiración usando un calendario.




    1. INTERFAZ WEB

      1. Deberá de contar con una aplicación de tipo Web donde se deberán ofrecer servicios a los usuarios, estos servicios deben ser al menos:

        • Generación de llaves y Requerimiento de Certificación con soporte de múltiples CSP (Cryptographic Service Provider), para resguardar la llave en dispositivos criptográficos vía Web, además de su envío a la Autoridad Certificadora.

        • La generación de llaves no debe depender de tecnologías propietarias, ejemplo, ActiveX o Applets, es decir, deberá ser independiente del navegador web, soportando al menos equiposWindows XP, Vista, 7, 8 y Mac (Mavericks y Yosemite).

        • Deberá soportar clientes con sistemas operativos Microsoft Windows XP, Microsoft Vista, Microsoft Windows 7, Microsoft Windows 8, Microsoft Windows Server 64 bits o superior.

        • Envío a la Autoridad Certificadora del Requerimiento de Certificación a partir de archivo en formato PKCS#10.

        • Instalación de Certificados Digitales.

        • Consulta de Certificados Digitales y opción a descarga de los mismos.

        • Solicitud y descarga de una CRL.

        • Solicitud y descarga del Certificado Digital de Autoridad Certificadora.

        • Revocación de Certificados Digitales a partir de una clave de revocación.

        • Revocación de Certificados Digitales a partir de su autenticación al servidor Web utilizando SSL con autenticación de usuarios.

      2. La aplicación Web deberá permitir la modificación de la interface gráfica de acuerdo a la imagen de la institución.

      3. La aplicación de generación de llaves e instalación de certificados digitales deberá soportar el uso de tarjetas inteligentes o dispositivos criptográficos.

      4. La aplicación Web deberá soportar su implementación en sistemas operativos tanto Windows como UNIX.




    1. INTERFAZ DE DESARROLLO

      1. Deberá contar con herramientas y servicios que permitan su integración a aplicaciones propietarias o de terceros, que soporten los sistemas operativos:

        • Microsoft Windows XP, Microsoft Windows 7, Microsoft Windows 8, Microsoft Windows Server 2008 64 bits o superior.

        • UNIX (Solaris, Red Hat, AIX)

      2. Deberá contar con API’s con base en lenguajes de programación “C” y “Java”, que provean las siguientes funcionalidades:

        • Emisión de Certificados Digitales.

        • Consulta de Certificados Digitales.

        • Revocación de Certificados Digitales.

        • Consulta de CRLs.




    1. MODULO DE SERVICIOS WEB

      1. Deberá permitir establecer el puerto TCP de operación de los Servicios Web para comunicación de aplicaciones de acuerdo a las definiciones del cliente.

      2. Deberá proveer los servicios sin depender de un servidor Web y la funcionalidad ofrecida será para procesar solicitudes de:

        • Emisión de Certificados Digitales.

        • Revocación de Certificados Digitales.

        • Consulta/reporte de Certificados Digitales.




    1. MODULO DE OCSP RESPONDER

      1. Deberá trabajar bajo el protocolo OCSP (RFC 2560).

      2. Deberá soportar su instalación en un equipo con sistema operativo Microsoft Windows Server 2012 o superior.

      3. Deberá permitir configurar los tres esquemas de validación definidos por el RFC 2560:

        • AC que emitió el certificado en cuestión (Issuer CA).

        • Un respondedor confiable para el solicitante (Trusted Responder).

        • Un respondedor autorizado por la AC (Authorized Responder)

      4. Deberá dar respuesta a paquetes con múltiples certificados (emitidos por la misma autoridad).

      5. Deberá contar con API’s que permitan generar las peticiones hacia el servicio para la validación de estatus.

      6. Deberá contar con un cliente gráfico que permita realizar consultas por certificados específicos.

      7. Deberá permitir su operación y configuración en sistemas distribuidos como clústeres o granjas para garantizar balanceo de cargas o alta disponibilidad.

      8. Deberá soportar su implementación en ambientes virtualizados.

      9. Deberá contar con una consola de configuración donde se establecerá al menos:

        • Autoridades Certificadoras de Confianza y su configuración.

        • Par de llaves para operación del servicio.

      10. Deberá permitir el establecer el puerto TCP de operación del servicio para comunicación de aplicaciones de acuerdo a las definiciones del cliente.

      11. Deberá permitir la administración del servicio, el poder iniciarlo y detenerlo.

      12. Deberá permitir registrar servicios OCSP de cualquier Autoridad Certificadora.

      13. Deberá permitir su configuración como OCSP intermediario que sirva como punto único de contacto para facilitar la integración de los componentes de PKI en arquitecturas de más de una Autoridad Certificadora.




    1. MODULO DE CERTIFICACION AUTOMATICA

      1. Deberá de contar con un módulo a través del cual puedan existir usuarios pre-autorizados y de esta manera sea automática la generación de su Certificado Digital. Este módulo deberá permitir:

        • La emisión de certificados para usuarios previamente autorizados.

        • Establecer la vigencia de los certificados digitales emitidos por defecto.

        • Que los datos de los usuarios se encuentren almacenados en tablas específicas en base de datos.

        • Que la autenticación de los usuarios pre-autorizados este basada en un nombre de usuario y contraseña.




    1. CONSIDERACIONES GENERALES

      1. Los componentes de la autoridad certificadora deben ser modulares y que permitan crear entornos distribuidos para cualquier tipo de configuración.

      2. Las características de los componentes deben permitir configurar entornos de alta disponibilidad en modalidad activo-activo.

      3. La modularidad de la aplicación debe permitir establecer políticas restrictivas entre servidores.

      4. Las interfaces de administración, operación y usuarios finales deben ser 100% Web y no requerir de la instalación de componentes en los equipos cliente.

      5. Debe tener capacidad de crear diversas Autoridades Certificadoras cada una con parámetros de operación independientes.

      6. Debe tener capacidad de crear una o más Entidades Registradoras por Autoridad Certificadora.

      7. Debe tener la definición paramétrica de perfiles para la ejecución de funciones de administración, agentes registradores y agentes certificadores.

      8. Debe tener la capacidad para definir de forma paramétrica la asignación de extensiones a ser aplicados a certificados digitales.

      9. Debe poder generar correos electrónicos paramétricos para notificación a solicitantes de certificados digitales.

      10. Debe poder generar correos electrónicos paramétricos para notificación a administradores de la Autoridad Certificadora y Registradora.

      11. Debe tener definición paramétrica de reglas para publicación de certificados digitales.

      12. Debe dar cumplimiento a lineamientos establecidos por entidades reguladoras, tales como, ITFEA, SAT, SE, Banxico.




    1. GENERACION DE CERTIFICADOS DIGITALES X.509

      1. Deberá soportar los siguientes estándares o algoritmos criptográficos en su operación.

        • X.509 – (RFC 3280)

        • En las siguientes versiones del certificado X.509 V1, V2 y V3.

1. Versión

V3

2. Serial Number

Número secuencial del Certificado Digital emitido por la AC.

3. Signature Algorithm

SHA256withRSAEncryption

SHA1withRSAEncryption



4. Issuer Distinguished

Name



CN=AC DNIE XXX

OU=SEGOB


O= DGRNPIP

C=MX


S=DF

5. Validity

Not Before: Jul 1 16:04:02 2008 GMT

Not After : Dec 31 16:04:02 2010 GMT



6. Subject


CN=APELLIDO1 APELLIDO2, NOMBRE(S)

G=NOMBRE


SN= FECHA DE NACIMIENTO

C= MX


7. Subject Public Key Info

Algoritmo: RSA Encryption

Longitud clave: 1024 bits






        • Anexo V2

1. issuerUniqueIdentifier

RFC

2. subjectUniqueIdentifier

CURP




        • Anexo V3 y en las extensiones de X.509 V3 es donde se colocarán el resto de los datos personales.

Variable personalizada 1




Variable personalizada 2





  1   2   3


La base de datos está protegida por derechos de autor ©absta.info 2016
enviar mensaje

    Página principal