Certificados duales RSA – ECC (enmarcados en el ENS)

2 respuestas

EADTrust ha iniciado una campaña de promoción de certificados electrónicos según un nuevo modelo. En vez de entregar un solo certificado, entrega dos. El primer certificado, RSA, con clave de 2048 bits puede ser utilizado de forma convencional, en servidores SSL. El segundo (vinculado con el primero por una regla de generación cruzada) cumple los principos Binum. Es un certificado ECC con clave de 256 bits (robustez equivalente a 3070 bits en claves RSA) y se utiliza también en servidores SSL.

Los certificados se entregan en formato PKCS#12 y la generación de claves (llevada a cabo por EADTrust) verifica las recomendaciones contra los ataques matemáticos identificados en la literatura académica. Los certificados tienen una duración de 3 años, por lo que requieren menos esfuerzo de gestión (que los certificados anuales). El precio de los certificados (de cada pareja) es de 99 euros si identifican un dominio y 199 euros en el caso de pareja de certificados multidominio (*). Hasta el 30 de junio de 2011, el coste de cada pareja de certificados será de 50 y 100 euros respectivamente.

Dado que los certificados ECC no los soportan todos los navegadores, ayudamos a las entidades solicitantes a configurar los servidores de forma que se usen los algoritmos más potentes que soporte cada navegador, combinando ambos certificados.

Compruebe si su navegador soporta ambas tecnologías instalando los certificados raíz de las dos jerarquías de certificación:

El uso de claves largas en RSA (al menos de 2048 bits) y el empleo de algoritmos ECC como ECDSA son algunos de los aspectos recomendados por el CCN (Centro Criptológico Nacional) en la documentación de seguridad relativa a la implantación del Esquema Nacional de Seguridad. En particular, el documento Guía 807 – Criptología de empleo en el Esquema Nacional de Seguridad estudia los diferentes alguritmos y sus ataques conocidos y hace recomendaciones sobre los más adecuados en función del objetivo perseguido (identificación, autenticación, cifrado, firma, confidencialidad en SSL,…)

También hay recomendaciones equivalente en los documentos de la administración nortemaericana NIST (National Institute of Standards and Technology) FIPS (Federal Information Processing Standards) 186 -2 y FIPS 186-3 respectivamente en los apéndices 6 y D en las secciones Recommended Elliptic Curves for Federal Government use (United States).

A nivel europeo, las especificaciones que tratan sobre los algoritmos criptográficos que se usan para firma electrónica (por ejemplo) se describen en el documento ETSI TS 102 176-1 V2.0.0 (2007-11) “Technical Specification. Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms».

Otras normas aplicables:

  • RFC 3278 «Use of Elliptic Curve Cryptography (ECC) Algorithms in Cryptographic Message Syntax (CMS)»
  • RFC 4050 «Using the Elliptic Curve Signature Algorithm (ECDSA) for XML Digital Signatures»
  • RFC 4051 “Additional XML Security Uniform Resource Identifiers (URIs)”
  • RFC 4492 “Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS)”
  • ISO/IEC 15946 “Information technology — Security techniques — Cryptographic techniques based on elliptic curves”
  • ANSI X9.62:2005 “Public Key Cryptography for the Financial Services Industry, The Elliptic Curve Digital Signature Algorithm (ECDSA)”

Otras referencias a EADTrust en este Blog:

Actualización: A partir de 2020, solo se entrega el certificado solicitado. Las peticiones de certificado deben incluir el tipo de criptotografía deseado, que puede llegar a 8192 bits de tamaño en RSA y 384 bits en ECC.

2 comentarios en “Certificados duales RSA – ECC (enmarcados en el ENS)

  1. Pingback: Técnicas de cifrado « Confianza en la red

  2. Pingback: Tweets that mention Certificados duales RSA – ECC (enmarcados en el ENS) « Todo es electrónico -- Topsy.com

Deja un comentario

Este sitio utiliza Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.