vineri, 7 octombrie 2022

Tehnicalitati la PKI CEI (eIDAS #61)

În urma deciziei CNSC a fost publicată o clarificare ce conține informații plăcute de citit pentru oamenii tehnici despre infrastructura PKI aferentă proiectului pilot CEI de la Cluj. Iată pasajul:

„• Implementarea s-a bazat exclusiv pe soluţii open-source, respectând standardele deschise aplicabile în domeniu. Nu s-au utilizat soluţii proprietare din punct de vedere tehnologic, care să îngrădească eventuale extinderi/migrări ale soluţiei implementate .

• Implementarea PKI MAI este găzduita în centrul de date al DEPABD într-un mediu virtualizat - Maşini virtuale în orchestraţie Proxmox, în care s-a configurat un deployment aplicativ containerizat tip Docker.

• Platforma PKI este asigurată la nivel Software de o soluţie open-source, respectiv EJBCA, fiind implementate şi configurate on-site pentru proiectul CEI modulele CA, RA şi VA. Funcţionalităţile de bază privind managementul certificatelor sunt configurate la nivelul soluţiei.

• Soluţia EJBCA expune în mod securizat servicii SOAP - api - generic de interacţiune automatizată cu aplicaţia de personalizare.

• La nivelul PKI a fost configurată o structură de certificare reprezentată de Autoritatea Root şi un subCA responsabilă de emiterea efectivă a certificatului MAI prezent pe cipul contact.

· Totodată, pentru stocarea cheilor este utilizată Solutia SoftHSM2 - containerizată la nivelul instant.eiactive.

• Profilul certificatul MAI este configurat să ofere funcţionalităţi de autentificare şi semnare şi este stocat în cipul contact în zona alocată certificatelor digitale. Valabilitatea certificatelor digitale este de 3 ani.

• Cheile private asociate fiecărui certificat digital sunt generate on-card în timpul procesului de personalizare.

• Standardul criptografic pentru emiterea certificatelor digitale utilizat este SHA - 256.

 • Precizam că, numărul actual de certificate digitale emise este unul destul de mic şi anume 4150, estimând o creştere la aproximativ 1OOO de certificate digitale pe lună.”

În general astfel de informații nu sunt publice deoarece pot ajuta un eventual atacator. Vestea bună este că procedura de achiziție se reactivează începând cu 10 Oct.

Niciun comentariu:

Trimiteți un comentariu