Este artículo explica cómo usar TrustedX para cifrar y descifrar documentos.

El cifrado de documentos

El cifrado simétrico y PKI es ya un concepto familiar para la mayoría de los profesionales de seguridad y adoptado por los protocolos comúnmente usados en Internet para garantizar la confidencialidad. A nivel de red el cifrado de datos se usa en SSL/TLS o IPSec. A nivel de aplicación, se usan los estándares de PKCS#7/CMS o XML-Enc para la protección de los documentos y S/MIME o WS-Security para la protección de mensajería.

El uso de la PKI permite el cifrado global para grupos de personas, no obstante introduce la necesidad de gestión de las claves asimétricas y los certificados digitales. Su funcionamiento se basa en usar certificados digitales para obtener la clave pública con la que se cifrará una clave simétrica de cifrado, de forma que cada receptor pueda acceder a ésta y descifrar los datos usando su clave privada. El procedimiento incluye la evaluación previa de la validez y la fiabilidad de los certificados digitales para determinar, de esta forma, qué receptores podrán acceder a los datos.

Los certificados digitales se renuevan con el tiempo, o incluso cambian de emisor. Por otra parte, los privilegios de los usuarios también cambian con el tiempo. Esto obliga a contemplar un sistema de gestión y custodia de claves simétricas cuando el propósito del cifrado de los datos sea su archivo. La gestión longeva de las claves de cifrado en TrustedX no se trata en este howto.

El cifrado y descifrado de documentos usando TrustedX

Desde la perspectiva de la aplicación, la implantación del proceso de cifrado o de descifrado de datos usando TrustedX consistirá en consumir un servicio de TrustedX.

La aplicación deberá enviar el documento o documentos a cifrar a TrustedX, indicando el formato de cifrado deseado y quienes podrán acceder el documento, para que sea éste quien se encargue de recopilar los certificados apropiados, validarlos y usarlos para cifrar los datos.

En cuanto al descifrado de datos, una de las ventajas de TrustedX es que éste abstrae a las aplicaciones de la gestión de las claves de descifrado y de los certificados, aportando un entorno seguro y auditable que se encarga de la custodia de las claves privadas de la aplicación, haciendo transparente a todas las aplicaciones y automatizando las tareas de gestión tales como solicitud, revocación o renovación de claves.

La gestión de las políticas de cifrado también se delega en TrustedX, haciendo posible de esta forma su gestión centralizada. Mediante el uso de políticas se puede establecer de forma transparente a las aplicaciones, en función del nivel de clasificación de los datos, cuáles son los algoritmos de cifrado admitidos, de dónde y cómo se deben seleccionar los certificados de los receptores, y qué tipo de verificaciones se debe realizar sobre los certificados antes de proceder al cifrado.

Los servicios de cifrado de TrustedX se pueden usar como SOAP/WS, REST/WS o mediante la API Java de TrustedX. Para conocer las diferentes arquitecturas de integración de TrustedX, consultar el howto “Arquitecturas de Integración con TrustedX”.

A continuación se muestra un ejemplo de solicitud de cifrado de documentos, donde se incluyen los datos a cifrar en el elemento . Es este caso, se proporciona el listado de los receptores mediante su DN:

<SOAP-ENV:Envelope Attributes>
<SOAP-ENV:Header>
         ...
</SOAP-ENV:Header>
<SOAP-ENV:Body Attributes> <css: EncryptRequest Profile="urn:safelayer:tws:de:1.0:profiles:cmspkcs7enc:1.0:encrypt" Attributes>
              ... <dss:OptionalInputs>
     ... <css:Recipients> <css:Recipient> <css:KeySelector> <css:Name Attributes>CN=Homer Simpson, O=Safelayer, C=Es</css:Name> </css:KeySelector> </css:Recipient> </css:Recipients> </dss:OptionalInputs> <dss:InputDocuments>…</dss:InputDocuments> </css: EncryptRequest >
</SOAP-ENV:Body>
</SOAP-ENV:Envelope> 

Utilizamos cookies para mejorar nuestro sitio web y su experiencia al usarlo. Las cookies utilizadas para el funcionamiento esencial de este sitio ya se han establecido. Para obtener más información sobre las cookies que utilizamos y cómo eliminarlas, ver nuestra Política de Privacidad.Acepto las cookies de este sitio