Introducción a las Políticas de Firma

Última revisión: 11-nov-2022

Viafirma Documents cuenta con un motor criptográfico, Viafirma Core, encargado del tratamiento de las operaciones criptográficas asociadas al uso de certificados digitales, formatos de firma, sellos de tiempo y validación de documents firmados.

Si necesitas un control avanzado para tu modelo de negocio, con Viafirma Core puedes incorporar comportamientos específicos a partir de una configuración personalizada, que podrás definir en el fichero de configuración certificate_support.json que encontrarás junto a otros recursos de instalación del producto explicados en la guía de instalación > ficheros de configuración

Uso de Viafirma Core

Validación de claves públicas y proveedores de confianza

Viafirma Core soporta varios mecanismos de validación, normalmente publicados en internet y en ocasiones en redes locales o privadas, como pudiera ser el caso de la Red Sara.

• TSL: permite configurar la URL de una TSL, por ejemplo la lista oficial de eIDAS o su correspondiente segmentación territorial, por ejemplo la correspondiente a españa (ES.
• CRL: de forma general la validación contra CRLs se realiza de forma automática contra la fuente informada en la propia clave pública. Sin embargo, y mediante la debida configuración personalizada de Viafirma Core, se permite la inyección de reglas que modifiquen este comportamiento. Por ejemplo, se permite agregar un filtro del tipo "...todos los certificados de la CA "A", son validados en /home/crlsync/crlA.crl. Estas reglas son necesarias en escenarios donde, por ejemplo, las CRLs son descargadas por un proxy interno y las ubica en un path local, evitando de esta forma que Viafirma salga a internet a buscar la CRL. Y de forma general, la configuración de validaciones basadas en CRL permite activar mecanismos de cacheo, para evitar la consula de la lista cuando la CRL cacheada aún no ha expirado.
• OCSP: validaciones online mediante OCSP, con soporte a OCSP caché, es decir, no consume el servicio si la última validación hecha por OCSP aún no ha expirado, teniendo en cuenta que este mecanismo online ofrece esta fecha de expiración.
• Viafirma CA Support: basado en el consumo de un microservicio publicado por Viafirma en el que expone una lista personalizada de prestadores de confianza. Este servicio es útil en escenarios en los que no se dispone de TSL oficiales, como en el mercado latinoamericano.

Todas estas opciones de configuración y optimización del uso de los servicios de validación se describen en los siguientes capítulos de esta guía.

Uso de Claves Privadas

Cuando los certificados están instalados de forma local, en un cacert o JKS previamente configurado en Viafirma Documents, el módulo Viafirma Core hará uso directo de la clave privada la operación criptográfica de firma solicitada.

Cuando la clave privada se gestiona de forma externa a la instalación, entonces Viafirma Core trabaja con la firma PKCS#1 realizada por el dispositivo externo en el que reside la clave privada. Esta firma PKCS#1 es gestionada en Viafirma Documents de varias formas.

• Viafirma Apps: si el usuario final está haciendo uso de alguna de las apps móviles (iOS/Android), o apps desktop (Windows o MacOS) de Viafirma, entonces son éstas las que hacen uso directo de la clave privada.
• Externas: cuando la clave privada reside dispositivos externos con soporte PKCS#11, como pudieran ser smarcards, tokens o HSM, Viafirma Documents recibe de igual forma la firma PKCS#1 dado que la clave privada no sale del dispositivo. En este tipo de escenarios, Viafirma Documents tiene integración con Viafirma Fortress, nuestro sistema centralizado de claves sobre dispositivos HSM.