6.1.- Declaración básica del servicio de sellado de tiempo de CIPSC
6.2.- Política para la prestación del servicio de sellado de tiempo
6.2.5.- Usos de los sellos de tiempo
6.2.7.- Registro de información referente a la operación de los servicios de sellado de tiempo
6.3.- Declaración de prácticas
6.3.2.- Disponibilidad del servicio
6.3.3.- Ciclo de vida de las claves
6.3.5.- Sincronización del reloj con UTC
6.1.- Declaración básica del servicio de sellado de tiempo de CIPSC
La Declaración básica del servicio de sellado de tiempo de CIPSC (TSACI) recoge las condiciones y aspectos fundamentales de uso de los servicios de sellado de tiempo que, junto a otras condiciones y aspectos más específicos, se recogen en este documento. El contenido de esta declaración básica se corresponde con el del documento denominado TSA Disclosure Statement por el estándar ETSI TS 102 023, cuyas funciones el presente apartado cumple a todos los efectos.
En consecuencia, mediante la presente declaración básica, TSACI afirma que:
Titularidad
La Autoridad de Sellado de Tiempo de Coloriuris (TSACI) es un servicio del Coloriuris S.L., empresa cuyos datos de contacto se encuentran en el apartado 1.6.4 de este documento.
Disponibilidad del servicio
El servicio de certificación de TSACI está disponible de forma ininterrumpida todos los días del año salvo la tramitación presencial de solicitudes, que únicamente estará disponible en el horario de oficina que establezca cada una de las Autoridades de Registro.
Podrán programarse interrupciones de los servicios cuando sea estrictamente necesario por razones técnicas, en cuyo caso estas deberán anunciarse con una antelación de al menos 24 horas en el directorio indicado en el epígrafe 1.6.3.
Podrán programarse interrupciones de los servicios cuando sea estrictamente necesario por razones técnicas, en cuyo caso estas deberán anunciarse con una antelación de al menos 24 horas en el directorio indicado en el epígrafe 1.6.3.
Publicación de la Política
Todos y cada uno de los sellos de tiempo emitidos por TSACI contienen el identificador (OID) de las Políticas y declaración de prácticas, el cual se incluye en el apartado 1.5 de este documento.
Mecanismos criptográficos
Los algoritmos criptográficos y la longitud de las claves utilizadas en la emisión de los sellos por TSACI cumplen con el estándar ETSI TS 101 861 Time-Stamping Profile y son las siguientes:
- Para el cálculo del hash de las peticiones de sellos de tiempo se admiten los siguientes algoritmos: SHA-256.
- Para el cálculo del hash de los sellos de tiempo emitidos se utiliza SHA-256.
- La firma de los sellos de tiempo emitidos se realiza calculando el hash mediante SHA-256 y cifrándolo con algoritmos RSA, utilizando para ello una clave cuya longitud de al menos 2048 bits.
Validez de los sellos de tiempo
TSACI no establece otras limitaciones a la confianza que merecen sus servicios de sellado de tiempo que las que son inherentes a las tecnologías utilizadas. Si se determinara que los algoritmos criptográficos o la longitud de claves utilizados han dejado de aportar un nivel adecuado de seguridad, TSACI publicará inmediatamente dicha información en su página web.
Precisión temporal
TSACI asegura que el momento fijado en los sellos está dentro de los márgenes de error establecidos en el apartado 6.2.3 de este documento, con relación al tiempo establecido por las fuentes de tiempo UTC de confianza definidas en el apartado 6.3.4 y garantiza que no emitirá sellos de tiempo con una precisión menor que la antedicha.
Aplicabilidad
TSACI considera que los usos más apropiados de los sellos de tiempo que emite son los relacionados con la prueba del momento en que ocurren hechos que tengan o puedan tener efectos jurídicos como son, por ejemplo, los descritos en el apartado 6.2.5 del presente documento. Los sellos emitidos por TSACI no pueden utilizarse en aplicaciones en las que del control del tiempo dependan actuaciones automatizadas que, en caso de fallo o error, puedan producir daños materiales o personales.
Obligaciones
Las obligaciones de las partes usuarias están descritas en los apartados 6.2.6 del presente documento y en el apartado 2.3.3.
Registro de las operaciones
TSACI registra sus operaciones y conserva esta información en adecuadas condiciones de seguridad, según lo previsto en los apartados 3.3.4 y 4.2.1.5 del presente documento.
Normativa
La prestación del servicio de sellado de tiempo por parte de TSACI se realiza de acuerdo con la legislación española y europea aplicable a la materia, con las presentes Políticas y declaración de prácticas y con la normativa interna de Coloriuris.
Responsabilidad
Las responsabilidades de TSACI y las limitaciones establecidas sobre la misma se describen en el apartado 2.4 del presente documento.
Reclamaciones
Todas las reclamaciones de usuarios y terceros sobre la prestación de servicios de sellado de tiempo por TSACI deberán serle comunicadas según lo establecido en el apartado 2.8.1 del presente documento. En el caso de que no se llegara a un acuerdo entre las partes estas se someterán a los juzgados y tribunales especificados en el mencionado apartado 2.8.2, con renuncia a cualquier otro fuero que pudiera corresponderles.
Garantía y auditorías
TSACI garantiza que la prestación de los servicios de sellado de tiempo es conforme con lo establecido en estas Políticas y declaración de prácticas. De acuerdo con las mismas Coloriuris lleva a cabo auditorías periódicas del funcionamiento de la Autoridad de sellado de tiempo.
Tarifas
TSACI podrá pedir una contraprestación económica por la emisión de sus sellos de tiempo, de acuerdo con las tarifas que en cada momento se encuentren publicadas en su web.
6.2.- Política para la prestación del servicio de sellado de tiempo
6.2.1.- Introducción
La presente Política regula la generación y emisión de sellos de tiempo por TSACI, de acuerdo con la especificación técnica ETSI TS 102 023. La clave privada utilizada y la unidad de sellado de tiempo (TSU) cumplen con las especificaciones técnicas de la normas: ETSI TS 101 861, Time-stamping Profile, RFC 3161, Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP) y OASIS Digital Signature Services (DSS) Core 1.0 y Timestamp Profile.
TSACI emplea una clave privada específica para la firma de los sellos de tiempo. Cada sello emitido contiene la identificación de la Políticas y declaración de prácticas que se le aplica.
6.2.2.- Versiones
Esta versión de las Políticas y declaración de prácticas de TSACI sustituye a todos los efectos y desde el momento de su publicación a las Políticas y prácticas de sellado de tiempo de la Autoridad de Sellado de Tiempo de Coloriuris S.L., de fecha 07-1-2014 y con OID: 1.3.6.1.4.1.37799.0.3.1.1.2.
6.2.3.- Precisión
Los Sellos de Tiempo (TST) se emiten con una precisión ±1 segundo UTC.
6.2.4.- Comunidad de usuarios
La comunidad para la generación, emisión y uso de estos certificados son la Autoridad de sellado de tiempo (TSACI), según se describe en los apartados 2.1.2.1 y 2.1.2.3, las Autoridades de registro (AR), según se describen en el apartado 2.1.3 y las partes usuarias, según se describen en el apartado 2.2.2.
TSACI es responsable de la emisión y gestión de los sellos de tiempo. Las AR tramitan las solicitudes externas, es decir no procedentes de otras autoridades de CIPSC, para la prestación de servicios de sellado de tiempo. Las partes usuarias son aquellas personas que confían en los sellos de tiempo emitidos por TSACI.
Todos ellos estarán sujeto a lo dispuesto en la presente Política.
6.2.5.- Usos de los sellos de tiempo
Los sellos de tiempo emitidos de acuerdo con esta política están diseñados para dar prueba del momento de los hechos y actos, con la finalidad principal de que puedan ser utilizados en contextos jurídicos. Por ejemplo, son usos típicos de los sellos de TSACI los siguientes:
- Dotar de certeza temporal a las firmas electrónicas, especialmente a las avanzadas
- Preservar firmas electrónicas en archivos de larga duración
- Probar que determinados datos existían antes de un momento dado
- Acreditar el momento en que se realiza un acto y/o proceso jurídico, incluida la entrega electrónica certificada.
- Y, en general, su utilización en archivos de documentos electrónicos, bases de datos, sistemas de registro y logs.
Los sellos de tiempo de TSACI no pueden ser utilizados en aplicaciones críticas en las que un fallo o error del servicio pudiera suponer cualquier tipo de daño material o personal.
6.2.6.- Obligaciones
Además de las obligaciones establecidas por la ley y de las enumeradas en el apartado 2.3 de este documento, se establecen las siguientes obligaciones específicas para la prestación de los servicios de sellado de tiempo.
TSACI
- Mantener sincronizado el reloj de la TSU con la precisión declarada con respecto al tiempo UTC.
- Proporcionar acceso ininterrumpido a los servicios de sellado de tiempo excepto en caso de interrupciones programadas, pérdidas de la sincronización temporal o incidencias graves.
Partes usuarias
- Emplear medios adecuados para la solicitud y obtención de sellos de tiempo.
- Utilizar los sellos de tiempo únicamente para los usos y con los fines permitidos en la presente Política.
- Verificar la validez de los sellos de tiempo.
- No confiar en los sellos de tiempo para usos distintos de los permitidos en esta Política.
- Notificar cualquier hecho o situación anómala relativa al servicio de sellado, y/o a los sellos de tiempo emitidos, y que pueda ser considerado como causa de revocación de los mismos.
6.2.7.- Registro de información referente a la operación de los servicios de sellado de tiempo
TSACI mantiene registros de toda la información relevante referente a sus operaciones, según lo establecido en los apartados 3.3.4 y 4.2.1.5. Además de los previstos en dichos apartados, la AC mantiene registros de los siguientes eventos:
- Peticiones para la emisión de sello de tiempo
- Emisión de sellos de tiempo
6.3.- Declaración de prácticas
6.3.1.- Acceso al servicio
Los usuarios pueden solicitar los sellos de tiempo de la forma prevista en los protocolos TSP Time-Stamp Protocol (RFC 3161) y OASIS Timestamp Profile.
La dirección de acceso al servicio es https://cipsc.coloriuris.net/tsa/
6.3.2.- Disponibilidad del servicio
El servicio de sellado de tiempo de TSACI está disponible de forma ininterrumpida.
Podrán programarse interrupciones de los servicios cuando sea estrictamente necesario por razones técnicas, en cuyo caso estas deberán anunciarse con una antelación de al menos 24 horas en el directorio indicado en el epígrafe 1.6.3.
Cuando la interrupción se deba a causas de fuerza mayor o incidencias graves, CIPSC actuará con la máxima diligencia para conseguir la puesta en marcha de los servicios, así como para minimizar los posibles perjuicios que se hayan causado a los firmantes, creadores de sellos y/o partes usuarias.
6.3.3.- Ciclo de vida de las claves
La generación y protección de las claves privadas en uso por las TSU de TSACI se lleva a cabo siguiendo las recomendaciones de la norma ETSI TS 102 023 en sus puntos 7.2.1 y 7.2.2 en módulos criptográficos con las calificaciones indicadas en el epígrafe 3.4.2.1 de esta declaración.
No se realizarán copias de seguridad de las claves privadas de las TSU tal y como recomienda la norma ETSI TS 102 023 para reducir el riesgo de compromiso.
Las claves públicas asociadas a las claves privadas y sus respectivos certificados se encontrarán disponibles en los repositorios indicados en el epígrafe 1.6.3.
6.3.4.- Sello de tiempo
TSACI adopta las medidas técnicas precisas para garantizar que sus sellos de tiempo son seguros e incluyen la fecha y hora correctas. Los sellos se emiten utilizando un dispositivo criptográfico (TSU).
Los sellos de tiempo generados son conformes con los estándares referenciados en el anexo de este documento, y su formato y contenido es el especificado en el RFC 3161 Time-stamp Protocol (TSP). Todos los sellos incluyen, como mínimo el siguiente contenido:
- El identificador de la Política aplicable, cuyo valor se indica en el apartado 1.5.
- El resumen (hash) del conjunto de datos cuya existencia en ese momento se acredita.
- Un número de serie único que identifica el sello de tiempo.
- El tiempo, expresado en el formato Tiempo Universal Coordinado (Hora Zulu).
- La firma electrónica del sello, generada por la TSU.
Como anexo al sello se entrega a los usuarios el certificado electrónico que respalda la firma incorporada al sello. En el apartado 6.3.5 se describen los certificados utilizados por CIPSC con este fin, los cuales identifican plenamente a la TSU y a CIPSC.
TSACI audita la exactitud de la fuente de tiempo y no emitirá sellos de tiempo si su precisión se encuentra fuera del margen establecido.
6.3.5.- Sincronización del reloj con UTC
TSACI proporciona el instante de tiempo con la precisión declarada en el apartado 6.2.3 de la Política, tomando como referencia una fuente segura de tiempo de entre las siguientes:
- Fuente de tiempo stratum 1 a través del protocolo NTP. Esta fuente de tiempo provee precisión al nivel del microsegundo utilizando sincronización con el sistema de satélites Navstar.
- Real Instituto y Observatorio de la Armada (ROA), el cual según lo dispuesto en el R.D. 1308/1992, de 23 de octubre, es el encargado del mantenimiento y difusión oficial de la escala «Tiempo Universal Coordinado» (UTC-ROA), que constituye la base de la hora legal en todo el territorio nacional. Esta señal se recibe mediante el protocolo NTP a través de Internet.
- Del reloj atómico de Braunschweig, Alemania, (Physikalisch Technische Bundesanstalt), que representa la hora oficial dentro del Eurosistema. Es codificada y transmitida vía radio.
El reloj utilizado por la TSU se recalibra periódicamente y de forma automática respecto a la fuente de tiempo segura. También es capaz de detectar las desviaciones respecto a la precisión establecida y activar una nueva calibración si ésta es necesaria.
El reloj y la TSU están permanentemente ubicadas en un entorno físico seguro y están protegidas frente a accesos no autorizados, tanto físicos como remotos.
Los eventos relativos a la sincronización y modificación de la hora del reloj respecto a la fuente de tiempo segura se registran al objeto de detectar las desviaciones producidas, sea de forma accidental o intencionada.
6.3.6.- Certificado raíz y sellos de TSACI
6.3.6.1.- Certificado raíz
El origen de la cadena de confianza de la TSACI es un certificado autofirmado emitido por CIPSC, con una longitud de clave de 4096 Bits y un periodo de validez de 20 años.
Su contenido es el siguiente:
Emisor (Issuer) | |
E |
cipsc@coloriuris.net |
CN |
CIPSC – Raíz de la Autoridad de Sellado de Tiempo |
SerialNumber |
B99091696 |
OU |
Prestador de servicios de Confianza |
O |
Coloriuris S.L. |
L |
Zaragoza |
C |
ES |
Asunto | |
E |
cipsc@coloriuris.net |
CN |
CIPSC – Raíz de la Autoridad de Sellado de Tiempo |
SerialNumber |
B99091696 |
OU |
Prestador de servicios de Confianza |
O |
Coloriuris S.L. |
L |
Zaragoza |
C |
ES |
Clave pública | RSA (4096 Bits) |
AIA Acceso Información del Emisor | acceso id-ad-http https://cipsc.coloriuris.net/certificados/tsa/raiz.crt
aceso id-ad-ocsp https://ocsp.coloriuris.net |
Punto de distribución CRL | https://cipsc.coloriuris.net/crl/tsa/tsa.crl |
Bases del certificado | [1]Directiva de certificados:
Identificador de directiva=1.3.6.1.4.1.37799.0.3.1.2.0 [1,1]Información de certificador de directiva: Id. de certificador de directiva=Aviso de usuario Certificador: Texto de aviso=Certificado raíz de la Autoridad de Sellado de Tiempo de CIPSC. [1,2]Información de certificador de directiva: Id. de certificador de directiva=CPS Certificador: https://cipsc.coloriuris.net/politicas/ |
Uso de la clave | firma de certificados, firma CRL sin conexión, firma de lista de revocación de certificados (CRL) |
6.3.6.2.- Certificados para la emisión de sellos de tiempo
TSACI dispondrá de dos certificados para la firma de los sellos de tiempo, emitidos por la propia TSACI de CIPSC utilizando su certificado raíz, y cuyo periodo de validez será de 10 años.
De acuerdo con lo recomendado por la norma ETSI TS 102 023, no se realizan copias de seguridad de las claves privadas de las Autoridades, con la finalidad de evitar el posible compromiso de las mismas.
Estos certificados serán los siguientes:
- un certificado de 2048 para la emisión de sellos de tiempo destinados a otros servicios de CIPSC o de Coloriuris identificado por el OID 1.3.6.1.4.1.37799.20.3.1
- un certificado de 2048 para la prestación del servicio de sellado de tiempo a las partes usuarias identificado por el OID 1.3.6.1.4.1.37799.20.3.2
Perfil del certificado para emisión de sellos de tiempo de CIPSC o Coloriuris
Emisor (Issuer) | |
E |
cipsc@coloriuris.net |
CN |
CIPSC – Raíz de la Autoridad de Sellado de Tiempo |
SerialNumber |
B99091696 |
OU |
Prestador de servicios de Confianza |
O |
Coloriuris S.L. |
L |
Zaragoza |
C |
ES |
Asunto | |
CN |
CIPSC – Emisor de sellos de tiempo de 2048 |
OU |
Emisión de sellos de tiempo para los servicios de Coloriuris |
O |
Coloriuris S.L. |
L |
Zaragoza |
Clave pública | RSA (2048 Bits) |
AIA Acceso Información del Emisor | acceso id-ad-http https://cipsc.coloriuris.net/certificados/tsa/raiz.crt
aceso id-ad-ocsp https://ocsp.coloriuris.net |
Punto de distribución CRL | https://cipsc.coloriuris.net/crl/tsa/tsa.crl |
Bases del certificado | [1]Directiva de certificados:
Identificador de directiva=1.3.6.1.4.1.37799.20.3.1 [1,1]Información de certificador de directiva: Id. de certificador de directiva=Aviso de usuario Certificador: Texto de aviso=Certificado para la emisión de sellos de tiempo [1,2]Información de certificador de directiva: Id. de certificador de directiva=CPS Certificador: https://cipsc.coloriuris.net/politicas/ |
Uso de la clave | Firma digital, Cifrado de clave |
Uso extendido de la clave | Time Stamping (Marca de Tiempo) |
Perfil del certificado para emisión de sellos de tiempo a las partes usuarias
Emisor (Issuer) | |
E |
cipsc@coloriuris.net |
CN |
CIPSC – Raíz de la Autoridad de Sellado de Tiempo |
SerialNumber |
B99091696 |
OU |
Prestador de servicios de Confianza |
O |
Coloriuris S.L. |
L |
Zaragoza |
C |
ES |
Asunto | |
CN |
CIPSC – Emisor de sellos de tiempo de 2048 |
O |
Coloriuris S.L. |
L |
Zaragoza |
Clave pública | RSA (2048 Bits) |
AIA Acceso Información del Emisor | acceso id-ad-http https://cipsc.coloriuris.net/certificados/tsa/raiz.crt
aceso id-ad-ocsp https://ocsp.coloriuris.net |
Punto de distribución CRL | https://cipsc.coloriuris.net/crl/tsa/tsa.crl |
Bases del certificado | [1]Directiva de certificados:
Identificador de directiva=1.3.6.1.4.1.37799.20.3.2 [1,1]Información de certificador de directiva: Id. de certificador de directiva=Aviso de usuario Certificador: Texto de aviso=Certificado para la emisión de sellos de tiempo [1,2]Información de certificador de directiva: Id. de certificador de directiva=CPS Certificador: https://cipsc.coloriuris.net/politicas/ |
Uso de la clave | Firma digital, Cifrado de clave |
Uso extendido de la clave | Time Stamping (Marca de Tiempo) |