A fondo: SealSign (y II)

martes, 15 de diciembre de 2015

En el post anterior sobre SealSign nos centramos en las novedades de los componentes de firma electrónica y biométrica. En este artículo vamos a describir las novedades que proporcionan los otros dos: el almacén centralizado de claves CKC, el módulo más extendido de SealSign, y el repositorio seguro.

Nuevas mejoras
Aparte de estos cambios, la plataforma incluye muchas mejoras que abarcan todos los componentes: optimización del acceso a claves en HW a través de PKCS#11, soporte de Chrome y Firefox en la herramienta de administración, traducción de los textos al inglés, configuración de la apariencia del grafo de la firma, etc. Para una lista completa de los cambios se puede consultar el fichero History.txt incluido en la instalación del producto. Toda la documentación de la plataforma esta ahora disponible online para asegurar la integridad y velocidad de publicación de las últimas versiones. Ya puedes consultarlo en nuestro canal de slideshare.

Claves centralizadas
Uno de los componentes de mayor éxito de la plataforma es el gestor de claves centralizadas y virtualización de certificados en el puesto. Se ha mejorado sustancialmente la gestión de claves en dispositivos HW como HSMs a través de PKCS#11. Hasta la versión 3.0 solo el administrador de la plataforma permitía la creación de reglas de uso de los certificados que permitían controlar y delegar el acceso de los usuarios a la clave privada. A partir de la versión 3.1 se ha incluido esta funcionalidad dentro del portal de autoservicio del usuario, flexibilizando todavía más la gestión de certificados en la organización. Además, se ha optimizado el proceso de inicialización del cliente de forma que la carga de procesos que hacen uso de certificados remotos, como IE, no impacta en la experiencia de usuario.

Workflow de solicitud de uso
Como módulo adicional al uso de claves centralizadas, se ha desarrollado una herramienta de workflow de solicitud de acceso a los certificados. De esta forma, los usuarios que deseen poder utilizar un certificado para una operación en concreto, deberán solicitarla mediante la web de solicitud proporcionada. Esta petición llegará vía e-mail a cada uno de los aprobadores definidos para dicho flujo, con un enlace a una web de aprobación, donde podrán aceptar o rechazar la solicitud. En función del tipo de aprobación y las respuestas de los aprobadores, se le dará o no de alta al usuario solicitante como autorizado de la operación durante el tiempo definido en el período de auto-renovación. Además, el sistema comunicará vía e-mail al usuario solicitante el resultado de su solicitud.

Otras mejoras
El módulo de gestión de claves centralizadas permite realizar un inventario de todos los certificados utilizados en la organización. Proporcionando una fuente de información del uso de certificados y la posibilidad de detectar certificados no autorizados. Además, el cliente tiene la funcionalidad de autoimportar de forma transparente al usuario los certificados del store local del usuario al servidor de SealSign (certificados locales, no centralizados). Se han añadido de forma nativa y de forma experimental el borrado de claves huérfanas: Por defecto en las plataformas Windows de Microsoft, cuando se borra un certificado del Store de certificados, no se borra su clave privada asociada. Esto es así por diseño. Para mitigar este posible agujero de seguridad se puede activar esta política, que en esencia realiza un purgado de las claves privadas huérfanas en el store del usuario.

Repositorio seguro
Aparte del cambio de arquitectura que permite el uso de Oracle como base para el almacenamiento de documentos en el repositorio seguro, se ha añadido un interfaz de búsqueda de documentos mediante los metadatos que simplifica la localización y descarga de documentos del repositorio.

* A fondo: SealSign (I)


Antonio Vila
antonio.vila@11paths.com

No hay comentarios:

Publicar un comentario en la entrada