[PLANTILLA] Política de Gestión de Claves Criptográficas (KMS Policy)
Bases:
- ETSI EN 319 401 §7.5 (criptografía).
- ETSI EN 319 421 §7.6 (TIS — gestión de claves de TSU).
- ETSI EN 319 521 (gestión de claves de firma de evidencias QERDS).
- ETSI TS 119 312 (suites criptográficas).
- EN 419 221-5 / Common Criteria EAL 4+ (HSM).
1. Identificación
| Campo | Valor |
|---|
| Nombre | Política de Gestión de Claves Criptográficas |
| Versión | TBD |
| Aprobado por | CISO + CTO |
2. Alcance
Cubre todas las claves criptográficas asimétricas y simétricas utilizadas por el QTSP en sus servicios cualificados:
- Claves de TSU (firma de TSTs).
- Claves de sello cualificado (firma de evidencias QERDS).
- (Si aplica) Claves de CA interna.
- Claves de cifrado de datos en reposo.
- Claves operativas de TLS, mutual auth, etc.
3. Principios
- Las claves de servicios cualificados se generan, almacenan y usan exclusivamente en HSMs CC EAL 4+ / EN 419 221-5.
- Nunca salen del HSM en claro.
- Doble custodia para activación y operaciones críticas.
- Separación estricta entre claves de servicio y claves operativas.
- Auditoría continua del uso de las claves (logs firmados, contadores de uso).
4. Inventario de claves
| ID | Tipo | Algoritmo | Uso | HSM | Vigencia | Estado |
|---|
| KEY-01 | Firma TSU-1 | ECDSA P-384 | Firma TSTs en TSU-1 | HSM-01 | TBD | TBD |
| KEY-02 | Firma TSU-2 | ECDSA P-384 | Firma TSTs en TSU-2 | HSM-02 | TBD | TBD |
| KEY-03 | Sello cualificado | RSA 4096 / ECDSA P-384 | Firma evidencias QERDS | HSM-01 + HSM-02 | TBD | TBD |
| KEY-CA-01 | (Si CA interna) Raíz | RSA 4096 | Firma cert. internos | HSM offline | TBD | TBD |
| KEY-OPS-* | TLS / mutual auth | ECDSA P-256 | Operativas | HSMs producción | TBD | TBD |
5. Suites criptográficas (alineadas con ETSI TS 119 312)
5.1 Algoritmos aceptados (mínimos)
- Hash: SHA-256, SHA-384, SHA-512. SHA-1 no permitido.
- Firma asimétrica: RSA ≥ 2048 bits, ECDSA P-256 / P-384 / P-521. DSA no permitido.
- Cifrado simétrico: AES-128, AES-256. 3DES no permitido.
- KDF: HKDF, PBKDF2 con parámetros recomendados.
5.2 Revisión de la lista
- Revisión anual o cuando ETSI TS 119 312 publique actualización.
6. Ciclo de vida
6.1 Generación
- Solo en HSM con doble custodia presente.
- Ceremonia documentada con guion firmado, asistentes, vídeo (si aplicable), acta.
- Acta firmada por todos los asistentes y archivada por 15 años.
6.2 Distribución / activación
- Solo bajo doble control.
- Logs firmados de todas las operaciones de activación.
6.3 Uso
- Cada uso registrado en log firmado del HSM.
- Contador de operaciones para detectar usos anómalos.
- Política de acceso por roles (TSA Operator, ERDS Operator, etc.).
6.4 Backup
- Solo claves cuya pérdida bloquearía el servicio o impediría continuidad.
- Backup en HSM offline en custodia separada.
- Procedimiento de restauración documentado y probado anualmente.
- Cifrado del backup con clave de transporte (BLOB cifrado).
6.5 Rotación
- Política de rotación según riesgo y vida útil de cada clave.
- TSU keys: rotación según política, alineada con vida útil del certificado.
- Sello cualificado de evidencias: rotación cada 2-3 años.
- Calendario maestro de rotaciones publicado y revisado en comité.
6.6 Revocación
- Revocación inmediata ante sospecha de compromiso.
- Procedimiento de notificación 24h al supervisor (eIDAS §19.2).
- Para claves de TSU: invalidación de TSTs futuros + comunicación de eficacia retroactiva según política.
6.7 Destrucción
- Procedimiento documentado.
- Doble custodia + acta firmada.
- Logs firmados del HSM atestiguando la destrucción.
- Conservación del acta durante 15 años.
7. Roles y responsabilidades
| Rol | Responsabilidad |
|---|
| Custodian A | Custodia de medio físico de activación A. |
| Custodian B | Custodia de medio físico de activación B. |
| Officer de seguridad | Aprueba ceremonias y rotaciones. |
| TSA / QERDS Operator | Usa las claves para operación nominal. |
| Auditor interno | Verifica logs y conformidad. |
Separación de funciones obligatoria: nadie puede ser simultáneamente Custodian + Operator + Auditor de la misma clave.
8. Controles compensatorios
- Si por motivos operativos un rol crítico está vacante: protocolo de elevación con doble aprobación temporal.
- Si un HSM falla: procedimiento de failover sin exposición de claves.
9. Auditoría
- Auditoría interna trimestral de logs firmados de los HSMs.
- Verificación anual del inventario.
- Pruebas de penetración anuales sobre infraestructura PKI.
10. Histórico de versiones
| Versión | Fecha | Cambios | Aprobador |
|---|
| v0.1 | TBD | Borrador inicial | — |