1、 UNIN INTERNACIONAL DE TELECOMUNICACIONES UIT-T Q.817 SECTOR DE NORMALIZACIN DE LAS TELECOMUNICACIONES DE LA UIT (01/2001) SERIE Q: CONMUTACIN Y SEALIZACIN Interfaz Q3 Certificados digitales de la infraestructura de claves pblicas de la red de gestin de las telecomunicaciones y perfiles de listas de
2、 revocacin de certificados Recomendacin UIT-T Q.817 (Anteriormente Recomendacin del CCITT) RECOMENDACIONES UIT-T DE LA SERIE Q CONMUTACIN Y SEALIZACIN SEALIZACIN EN EL SERVICIO MANUAL INTERNACIONAL Q.1Q.3 EXPLOTACIN INTERNACIONAL SEMIAUTOMTICA Y AUTOMTICA Q.4Q.59 FUNCIONES Y FLUJOS DE INFORMACIN PAR
3、A SERVICIOS DE LA RDSI Q.60Q.99 CLUSULAS APLICABLES A TODOS LOS SISTEMAS NORMALIZADOS DEL UIT-T Q.100Q.119 ESPECIFICACIONES DE LOS SISTEMAS DE SEALIZACIN N. 4 Y N. 5 Q.120Q.249 ESPECIFICACIONES DEL SISTEMA DE SEALIZACIN N. 6 Q.250Q.309 ESPECIFICACIONES DEL SISTEMA DE SEALIZACIN R1 Q.310Q.399 ESPECIF
4、ICACIONES DEL SISTEMA DE SEALIZACIN R2 Q.400Q.499 CENTRALES DIGITALES Q.500Q.599 INTERFUNCIONAMIENTO DE LOS SISTEMAS DE SEALIZACIN Q.600Q.699 ESPECIFICACIONES DEL SISTEMA DE SEALIZACIN N. 7 Q.700Q.799 INTERFAZ Q3 Q.800Q.849 SISTEMA DE SEALIZACIN DIGITAL DE ABONADO N. 1 Q.850Q.999 RED MVIL TERRESTRE
5、PBLICA Q.1000Q.1099 INTERFUNCIONAMIENTO CON SISTEMAS MVILES POR SATLITE Q.1100Q.1199 RED INTELIGENTE Q.1200Q.1699 REQUISITOS Y PROTOCOLOS DE SEALIZACIN PARA IMT-2000 Q.1700Q.1799 RED DIGITAL DE SERVICIOS INTEGRADOS DE BANDA ANCHA (RDSI-BA) Q.2000Q.2999 Para ms informacin, vase la Lista de Recomendac
6、iones del UIT-T. UIT-T Q.817 (01/2001) i Recomendacin UIT-T Q.817 Certificados digitales de la infraestructura de claves pblicas de la red de gestin de las telecomunicaciones y perfiles de listas de revocacin de certificados Resumen En esta Recomendacin se indica la forma en que pueden utilizarse lo
7、s certificados digitales y las listas de revocacin de certificados en la RGT y se proporcionan los requisitos necesarios para el uso de certificados y de extensiones de la lista de revocacin de certificados. Orgenes La Recomendacin UIT-T Q.817, preparada por la Comisin de Estudio 4 (2001-2004) del U
8、IT-T, fue aprobada por el procedimiento de la Resolucin 1 de la AMNT el 19 de enero de 2001. ii UIT-T Q.817 (01/2001) PREFACIO La UIT (Unin Internacional de Telecomunicaciones) es el organismo especializado de las Naciones Unidas en el campo de las telecomunicaciones. El UIT-T (Sector de Normalizaci
9、n de las Telecomunicaciones de la UIT) es un rgano permanente de la UIT. Este rgano estudia los aspectos tcnicos, de explotacin y tarifarios y publica Recomendaciones sobre los mismos, con miras a la normalizacin de las telecomunica-ciones en el plano mundial. La Asamblea Mundial de Normalizacin de
10、las Telecomunicaciones (AMNT), que se celebra cada cuatro aos, establece los temas que han de estudiar las Comisiones de Estudio del UIT-T, que a su vez producen Recomendaciones sobre dichos temas. La aprobacin de Recomendaciones por los Miembros del UIT-T es el objeto del procedimiento establecido
11、en la Resolucin 1 de la AMNT. En ciertos sectores de la tecnologa de la informacin que corresponden a la esfera de competencia del UIT-T, se preparan las normas necesarias en colaboracin con la ISO y la CEI. NOTA En esta Recomendacin, la expresin “Administracin“ se utiliza para designar, en forma ab
12、reviada, tanto una administracin de telecomunicaciones como una empresa de explotacin reconocida de telecomunicaciones. PROPIEDAD INTELECTUAL La UIT seala a la atencin la posibilidad de que la utilizacin o aplicacin de la presente Recomendacin suponga el empleo de un derecho de propiedad intelectual
13、 reivindicado. La UIT no adopta ninguna posicin en cuanto a la demostracin, validez o aplicabilidad de los derechos de propiedad intelectual reivindicados, ya sea por los miembros de la UIT o por terceros ajenos al proceso de elaboracin de Recomendaciones. En la fecha de aprobacin de la presente Rec
14、omendacin, la UIT no ha recibido notificacin de propiedad intelectual, protegida por patente, que puede ser necesaria para aplicar esta Recomendacin. Sin embargo, debe sealarse a los usuarios que puede que esta informacin no se encuentre totalmente actualizada al respecto, por lo que se les insta en
15、carecidamente a consultar la base de datos sobre patentes de la TSB. UIT 2001 Es propiedad. Ninguna parte de esta publicacin puede reproducirse o utilizarse, de ninguna forma o por ningn medio, sea ste electrnico o mecnico, de fotocopia o de microfilm, sin previa autorizacin escrita por parte de la
16、UIT. UIT-T Q.817 (01/2001) iii NDICE Pgina 1 Alcance, objetivo y aplicacin 1 1.1 Alcance . 1 1.2 Objetivo 1 1.3 Aplicacin. 1 2 Referencias normativas. 2 2.1 Normas internacionales. 2 2.2 Otras normas . 2 3 Definiciones 2 4 Abreviaturas 3 5 Visin de conjunto 3 6 Extensiones de certificados. 4 6.1 Ide
17、ntificador de clave de autoridad. 5 6.2 Identificador de clave de sujeto 5 6.3 Utilizacin de claves. 6 6.4 Periodo de utilizacin de clave privada 6 6.5 Polticas de certificados 6 6.6 Correspondencia de polticas 6 6.7 Nombre alternativo de sujeto 7 6.8 Nombre alternativo de expedidor . 7 6.9 Atributo
18、s de directorio de sujeto. 7 6.10 Constricciones bsicas 7 6.11 Constricciones de nombre. 7 6.12 Constricciones de polticas . 7 6.13 Utilizacin de clave extendida 7 6.14 Puntos de distribucin de CRL . 8 6.15 Acceso a informacin de autoridad 8 7 Extensiones de lista de revocacin de certificados (CRL)
19、. 8 7.1 Identificador de clave de autoridad. 8 7.2 Nombre alternativo de expedidor . 8 7.3 Nmero de CRL 8 7.4 Indicador de CRL delta. 8 7.5 Punto de distribucin expedidor . 8 8 Extensiones para asientos individuales en las CRL 8 iv UIT-T Q.817 (01/2001) Pgina 8.1 Cdigo de motivo 8 8.2 Cdigo de instr
20、uccin de retencin 9 8.3 Fecha de no validez. 9 8.4 Expedidor de certificado. 9 UIT-T Q.817 (01/2001) 1 Recomendacin UIT-T Q.817 Certificados digitales de la infraestructura de claves pblicas de la red de gestin de las telecomunicaciones y perfiles de listas de revocacin de certificados 1 Alcance, ob
21、jetivo y aplicacin 1.1 Alcance Esta Recomendacin tiene por objeto promover el interfuncionamiento entre elementos de la red de gestin de las telecomunicaciones (RGT) que utilizan la infraestructura de claves pblicas (PKI) como soporte de las funciones relacionadas con la seguridad. Se aplica a todas
22、 las interfaces y realizaciones de la RGT. Es independiente de la pila de protocolos de comunicacin o del protocolo de gestin de red que se emplee. Las posibilidades de utilizacin que ofrece la PKI se pueden aprovechar en una amplia gama de funciones de seguridad, tales como las de autenticacin, int
23、egridad, no repudio e intercambio de claves (UIT-T M.3016). Sin embargo, la presente Recomendacin no especifica si deben implementarse esas funciones, con o sin PKI. La PKI ha resultado ser un mtodo eficaz y aplicable a escala variable a efectos de autenticacin segura, no repudio y de distribucin y
24、gestin de claves de criptacin, y de otros parmetros relacionados con la seguridad. La PKI se basa en certificados digitales. La Recomendacin UIT-T X.509 especifica el formato de esos certificados. Los certificados digitales X.509 pueden contener cualquier nmero de extensiones. Para que una PKI suste
25、nte el interfuncionamiento entre elementos de la RGT, dichos elementos deben poder procesar el mismo conjunto de extensiones de certificados. En teora, todos los elementos de una RGT debern mostrar el mismo comportamiento al procesar extensiones de certificados. La presente Recomendacin especifica l
26、as extensiones de certificados que ha de sustentar una PKI de RGT, para promover un interfuncionamiento seguro entre elementos de RGT. Proporciona adems comportamientos por defecto para el procesamiento de esas extensiones. A fin de facilitar la armonizacin con otras industrias, la presente Recomend
27、acin toma como precedentes la serie de Recomendaciones UIT-T X.500, en particular la UIT-T X.509, y la Peticin de Comentarios (RFC) relacionada con la PKI 2459 del Grupo de Tareas sobre Ingeniera de Internet (IETF). 1.2 Objetivo El objetivo de esta Recomendacin es proporcionar un mecanismo interoper
28、able y aplicable a escala variable de distribucin y gestin de claves dentro de una RGT, a travs de todas las interfaces, y de apoyo al servicio de no repudio a travs de la interfaz X. 1.3 Aplicacin Esta Recomendacin se aplica a todas las interfaces Q y X de la RGT, con independencia del protocolo de
29、 comunicacin. Se refiere a la informacin sobre claves pblicas y revocacin de claves pblicas utilizada por, o intercambiada entre, elementos de RGT. Segn los requisitos concretos de la aplicacin, la RGT podra utilizar, en lugar de certificados, claves pblicas definidas previamente que se distribuyen
30、por medios que estn fuera del alcance de esta Recomendacin. 2 UIT-T Q.817 (01/2001) 2 Referencias normativas Las siguientes Recomendaciones del UIT-T y otras referencias contienen disposiciones que, mediante su referencia en este texto, constituyen disposiciones de la presente Recomendacin. Al efect
31、uar esta publicacin, estaban en vigor las ediciones indicadas. Todas la Recomendaciones y otras referencias son objeto de revisiones por lo que se preconiza que los usuarios de esta Recomendacin investiguen la posibilidad de aplicar las ediciones ms recientes de las Recomendaciones y otras referenci
32、as citadas a continuacin. Se publica peridicamente una lista de las Recomendaciones UIT-T actualmente vigentes. 2.1 Normas internacionales UIT-T M.3016 (1998), Visin general de la seguridad en la red de gestin de las telecomunicaciones. UIT-T Q.812 (1997), Perfiles de protocolo de capa superior para
33、 las interfaces Q3 y X. UIT-T X.500 (2001) | ISO/CEI 9594-1:2001, Tecnologa de la informacin Interconexin de sistemas abiertos El directorio: Visin de conjunto de conceptos, modelos y servicios. UIT-T X.509 (2000) | ISO/CEI 9594-8:2001, Tecnologa de la informacin Interconexin de sistemas abiertos El
34、 directorio: Marco para certificados de claves pblicas y de atributos. UIT-T X.680 (1997) | ISO/CEI 8824-1:1998, Tecnologa de la informacin Notacin de sintaxis abstracta uno: Especificacin de la notacin bsica. UIT-T X.681 (1997) | ISO/CEI 8824-2:1998, Tecnologa de la informacin Notacin de sintaxis a
35、bstracta uno: Especificacin de objetos de informacin. UIT-T X.682 (1997) | ISO/CEI 8824-3:1998, Tecnologa de la informacin Notacin de sintaxis abstracta uno: Especificacin de constricciones. UIT-T X.683 (1997) | ISO/CEI 8824-4:1998, Tecnologa de la informacin Notacin de sintaxis abstracta uno: Param
36、etrizacin de especificaciones de notacin de sintaxis abstracta uno. UIT-T X.690 (1997) | ISO/CEI 8825-1:1998, Tecnologa de la informacin Reglas de codificacin de notacin de sintaxis abstracta uno: Especificacin de las reglas de codificacin bsica, de las reglas de codificacin cannica y de las reglas
37、de codificacin distinguida. UIT-T X.736 (1992) | ISO/CEI 10164-7:1992, Tecnologa de la informacin Interconexin de sistemas abiertos Gestin de sistemas: Funcin sealadora de alarmas de seguridad. UIT-T X.740 (1992) | ISO/CEI 10164-8:1993, Tecnologa de la informacin Interconexin de sistemas abiertos Ge
38、stin de sistemas: Funcin de pista de auditora de seguridad. 2.2 Otras normas IETF RFC 2459 (1999), Internet X.509 Public Key Infrastructure Certificate and CRL Profile. IETF RFC 2251 (1997), Lightweight Directory Access Protocol (v3). 3 Definiciones Esta Recomendacin utiliza las definiciones de serv
39、icios de seguridad y mecanismos de seguridad especificados en la UIT-T M.3016. Adems, utiliza las definiciones de los elementos de una infraestructura de claves pblicas especificados en la RFC 2459. UIT-T Q.817 (01/2001) 3 4 Abreviaturas ASN.1 Notacin de sintaxis abstracta uno (abstract syntax notat
40、ion one) BER Reglas bsicas de codificacin (basic encoding rules) CA Autoridad de certificacin (certification authority) CRL Lista de revocacin de certificados (certificate revocation list) DER Reglas de codificacin distinguida (distinguished encoding rules) IETF Grupo de tareas especiales de ingenie
41、ra en Internet (internet engineering task force) OID Identificador de objeto (object identifier) PKCS Criptosistema de claves pblicas (public key cryptography standard) PKI Infraestructura de claves pblicas (public key infrastructure) RA Autoridad de registro (registration authority) RFC Peticin de
42、comentarios (request for comments) RSA Rivest Shamir Adelman UIT-T Unin Internacional de Telecomunicaciones Sector de Normalizacin de las Telecomunicaciones 5 Visin de conjunto La infraestructura de claves pblicas (PKI) se est revelando como la solucin de menor costo, aplicable a escala variable, pa
43、ra la seguridad de la RGT. La presente Recomendacin tiene por objeto promover el interfuncionamiento entre componentes de la PKI de diferentes suministradores de productos y proveedores de servicios, as como el interfuncionamiento entre diferentes empresas o administraciones. En esta clusula se da u
44、na visin de conjunto de alto nivel de la PKI de la RGT. La PKI de la RGT consta de los componentes siguientes: Una autoridad de certificacin (CA), expedidora de certificados de clave pblica para todas las entidades de RGT que necesitan comunicaciones seguras, as como para cualquier entidad externa q
45、ue necesite comunicar de manera segura con entidades de RGT. La CA expide tambin certificados a autoridades de certificacin ajenas a la RGT. La CA publica, segn se requieran, listas de revocacin de certificados (CRL). Una CRL contiene los nmeros de serie de los certificados que han sido revocados (p
46、or ejemplo, porque la clave ha quedado en situacin comprometida o porque el sujeto de que se trate ya no forma parte de la empresa) y cuyo periodo de validez no ha expirado todava. La CA emplea normalmente un ordenador a prueba de manipulaciones guardado con la mxima seguridad1. El trmino CA se util
47、iza tambin para referirse a una organizacin (ms bien que a un dispositivo) que expide certificados como un servicio, percibiendo normalmente por ello una tasa. El formato ms frecuente de un certificado es tal como se especifica en UIT-T X.509. La UIT-T X.509 define varios campos obligatorios. Adems,
48、 prev la adicin de un nmero cualquiera de extensiones. Cada extensin se marca como crtica o no crtica. Si una entidad que procesa un certificado encuentra una extensin no crtica que no reconoce, puede hacer caso omiso de la misma. Si una entidad que procesa un certificado encuentra una extensin crtica que no reconoce, debe rechazar el certificado. La UIT-T X.509 permite tambin extensiones de las CRL y de asientos de una CRL particular. El interfuncionamiento en una RGT o entre varias RGT requiere, como mnimo, _ 1Los requis
