En este artículo se describe la principal funcionalidad de un PKD nacional y se presenta la solución KeyOne National PKD.

¿Qué es un PKD nacional?

Para validar los pasaportes-e de un estado E mediante autenticación pasiva, cada sistema de inspección necesita el siguiente material:

  • El certificado utilizado por el DS (Document Signer) del estado E para firmar el pasaporte-e.
  • El certificado utilizado por la CSCA (Country Signing CA) del estado E para emitir el certificado del Document Signer.
  • La última CRL emitida por la CSCA del estado E.

El PKD (Public Key Directory) de la ICAO es la entidad responsable de distribuir material criptográfico entre las diferentes PKI de pasaporte-e. No obstante, dicha entidad no publica los certificados y CRL de todos los estados. Además, sería poco eficiente que atendiese peticiones directas de todos los sistemas de inspección.

Por ello, es preferible desplegar en cada estado un PKD nacional que proporcione certificados y CRL a los sistemas de inspección nacionales. Dichos certificados y CRL se obtienen tanto del PKD de la ICAO como mediante comunicación out-of-band (e.g. intercambio diplomático, comunicación directa con el CSCA nacional).

KeyOne National PKD

La aplicación KeyOne National PKD opera como broker entre el PKD de la ICAO y el PKD nacional. Tal como veremos en las siguientes secciones, es la solución óptima para distribuir material de confianza entre los sistemas de inspección nacionales.

npkd

Obtención de certificados y CRL

KeyOne National PKD actualiza automáticamente los certificados y CRL necesarios para validar pasaportes-e. Dicho material se obtiene de las siguientes fuentes:

  • Del PKD de la ICAO, KeyOne National PKD descarga certificados de DS, CRL y Master Lists de otros estados.
  • De la CSCA nacional, KeyOne National PKD obtiene tanto los certificados de CSCA y de DS como las CRL nacionales.
  • Mediante comunicación out-of-band (e.g. intercambio diplomático), KeyOne National PKD obtiene certificados de CSCA y DS, CRLs y Master Lists de otros estados.

Publicación de certificados y CRL

En el PKD nacional, KeyOne National PKD sólo publica certificados y CRL previamente aprobados. En concreto, los certificados de CSCA pueden aprobarse de forma manual o automática.

  • Cuando no se dispone del certificado de CSCA de enlace previo, un operador con rol Registration Approver debe aprobar explíticamente el nuevo certificado de CSCA obtenido. Para facilitar dicha decisión, la aplicación KeyOne National PKD muestra las Master Lists que incluyen a dicho certificado de CSCA.
  • Cuando se dispone de un certificado de CSCA de enlace firmado por un certificado de CSCA ya aprobado, tanto el certificado de enlace como el certificado autofirmado asociado de la CSCA son automáticamente aprobados por KeyOne National PKD.

Los certificados de DS y las CRL firmadas por un certificado de CSCA aprobado son automáticamente aprobados por KeyOne National PKD.

Integración con los sistemas de inspección

Aunque los sistemas de inspección pueden acceder al PKD nacional para obtener los certificados y CRL, KeyOne National PKD también ofrece un servicio web para distribuir dicho material.

Gracias a este servicio web, los sistemas de inspección acceden al material criptográfico sin necesidad de clientes LDAP o Active Directory. Mediante los interfaces REST/JSON y SOAP/XML de este servicio web, los sistemas de inspección pueden obtener los datos necesarios para validar pasaportes-e nacionales y extranjeros.

Utilizamos cookies para mejorar nuestro sitio web y su experiencia al usarlo. Las cookies utilizadas para el funcionamiento esencial de este sitio ya se han establecido. Para obtener más información sobre las cookies que utilizamos y cómo eliminarlas, ver nuestra Política de Privacidad.Acepto las cookies de este sitio