Seguridad en la generación de sellos de tiempo
Tractis requiere aplicar “sellos de tiempo” en una variedad de situaciones (p.ej: en el instante de validación de la firma de un contrato con el fin de establecer una cota superior del instante de creación de la firma) y para ello dispone de su propia “Autoridad de Sellado de Tiempo” (“Time Stamping Authority” o “TSA”), la cual supera el 100% de la JNSA CPKI-Test Suite 2.0.
Para la provisión segura y a prueba de fallos de dicho servicio, Tractis dispone de:
- Hardware Security Modules: Tractis utiliza dispositivos HSM (o “Hardware Security Module“) con un doble fin, tanto como dispositivos de firma segura como con fines de aceleración criptográfica en la generación de firmas electrónicas. En concreto utilizamos Luna SA de Safenet que cumplen EAL 4+ CWA 14169 y que por tanto ofrecen las máximas garantías en la generación de sellos de tiempo:
- Para la administración de estos dispositivos HSM requerimos autenticación de doble factor (token + pin code) y, por tanto, presencia física en el datacenter.
- Aún contando con presencia física es imposible extraer la clave con la que realizamos la firma dado que se encuentra almacenada en la memoria interna “tamper proof” del propio dispositivo. En otras palabras, la clave no puede ser exportada para su uso fraudulento en otros sistemas.
- Finalmente, para poder controlar el acceso al HSM empleamos el concepto “trusted path”, con lo que sólo las máquinas que han sido dadas de alta mediante procesos de administración presenciales pueden hacer uso del dispositivo.
- Fuente segura de tiempo: Para la obtención del tiempo utilizado en la confección de los sellos de tiempo empleamos fuentes fiables de tiempo. Tractis dispone de acceso a un servidor de tiempo NTP (o Network Time Protocol) de primer nivel (o stratum 1) que obtiene su referencia a partir de un receptor GPS (o Global Positioning System). El sistema utiliza un reloj hardware que permite conocer el tiempo UTC (o Coordinated Universal Time) con una precisión dentro del microsegundo. Este reloj se mantiene sincronizado cada segundo con las señales de referencia procedentes de varios satélites de la constelación Navstar, que constituye el alma del sistema GPS, y que son visibles desde la ubicación geográfica del servidor.
- Certificado de sello de tiempo: Como certificado de sello de tiempo Tractis utiliza un certificado de sello de tiempo emitido por Firmaprofesional, Autoridad de Certificación española.
Puedes tener un mayor detalle en las condiciones en las que se brinda el Servicio de Autoridad de Sello de Tiempo consultando el documento de Declaración de Prácticas de Sellado de Tiempo de Tractis.