[1] Durante esta fase de la ceremonia de generación de claves, el número necesario de pares de claves es generado, sujeto al número de CAs que serán creados durante la Ceremonia de clave. Todas las claves de seguridad privadas son generadas y guardadas en un formato cifrado en un dispositivo criptográfico, en la mayoría de los casos, un dispositivo físico, como el módulo de hardware criptográfico comúnmente denominado HSM. Solicitud de archivos de clave pública son también guardados en una unidad de disco duro, CD, USB o un disquete.
En esta etapa, se les da un Nombre Común a los pares de claves y como opción, un archivo de clave única de identificación es nombrado de y guardado en un disco duro, unidad flash USB o un disquete. Estos valores identifican la clave y permiten al Administrador de la clave de ceremonia que configure correctamente las herramientas criptográficas para acceder a la clave en una etapa posterior de la Ceremonia de clave en el futuro y el uso frecuente si es necesario.
Con el fin de generar un par de claves en un dispositivo criptográfico, puede ser utilizado software de soporte para dispositivos criptográficos en combinación con Digi-CA™ Toolkit criptográfico. Sujeto a usted o a las preferencias de sus clientes, o requisitos reglamentarios, así como el apoyo de los algoritmos de Digi-CA™ Sistema PKI y el cifrado de dispositivos en uso, el Administrador de generación de claves debe garantizar, que ha definido correctamente los siguientes valores que describen el tipo y el tamaño de cada par de claves público y privado:
b. El tamaño de Clave proporcionado es un número íntegro de bits [ejem. 2048]
Asegúrese de que estos valores son conocidos por el Administrador de generación de claves de antemano y que su propio cliente o la empresa entiende su significado, las limitaciones de uso y los riesgos de seguridad en lo que respecta a las normas de seguridad criptográficas actuales y estándares [2] para su uso comercial.
Si usted tiene la intención de proteger una determinada clave con un set de componente clave de acceso de tarjetas, asegúrese que todos los titulares de componentes clave de acceso están presentes en la ceremonia, sus cartas están preparadas para su uso y confirme que recuerdan o tienen acceso a los códigos PIN necesario para leer datos sobre las tarjetas. Si una clave de protección de un Set de componente clave de acceso de tarjetas está activada la función durante esta fase, un número configurado de titulares de tarjetas serán solicitados a insertar la tarjeta en la interfaz del lector de tarjetas inteligentes conectada directamente al dispositivo criptográfico e introduzca el código PIN que utiliza con el que protege sus tarjetas.
Una vez la última tarjeta requerida esté cargada, el dispositivo criptográfico generará automáticamente la clave de la base de datos solicitada sobre la clave algorítmica y de poco tamaño y salida de datos relevantes como la petición de certificados que contiene la clave pública asociada y como opción, una clave única de identificación de archivo a un lugar designado en una unidad de disco duro, CD, USB Flash Drive o un disquete.
Al final del proceso de generación de claves, necesita asegurarse de que el caso está documentado en el documento de notas de la Ceremonia de clave y que muestra claramente que las claves no sólo son correctamente asociada a una determinada empresa, para lo cual la clave o claves son generados, sino también correctamente asociados con la CA, para lo cual estas fueron generados. Por ejemplo, la Autoridad Certificadora ACME se podrían asignar a 2048 bit RSA PrivateKey1, etc
Después de la Ceremonia de clave, el operador CA utiliza el archivo de certificado .X509, generado durante la ceremonia, para localizar la clave privada almacenada en el dispositivo criptográfico con la nueva infraestructura de CA.
El citado proceso de generación de claves se puede completar mediante un dispositivo criptográfico que trabaja en un entorno de producción y no interrumpir las operaciones de otras CAs mantenidas en su entorno Digi-CA™ Sistema PKI. Esto también permite al operador de CA llevar las nuevas autoridades competentes en línea con facilidad, sin tener CAs existentes fuera de línea.
Al utilizar la ceremonia de generación de claves, un nuevo par de claves se genera cada vez que una nueva raíz o un CA subordinado es creado. Normalmente, se crea una raíz CA en primer lugar y se usa para firmar cualquier nuevo CA subordinado de Nivel 1 en la jerarquía CA y así sucesivamente.
Links:
[1] https://www.digi-sign.com/downloads/download.php?id=digi-ca-pdf
[2] https://www.digi-sign.com/compliance/introduction