Características de PKI
Características técnicas e de segurança das soluções de PKI
Certification Authority
- Emissão de certificados X.509 e CVC
- Emissão de CRLs e delta CRLs
- Chaves criptográficas da CA em HSMs compatíveis com PKCS#11
- Interface web de administração
- Controlo de acessos por duplo fator
- Perfis de utilizadores configuráveis (operadores, administradores, auditores, etc)
- Logs de auditoria
- Conformidade com RFC 5280, CWA 14167
- Certificação Common Criteria EAL4+ CMIC
- Robusta: Clustering, Backup, Disaster Recovery
- Multilingue
- Pacote de documentação completo, que inclui CPS, CP, PDS, políticas, manuais, diagramas, procedimentos, formulários e inventário
Timestamping Authority
- Conformidade com RFC 3161
- Suporte a múltiplas unidades de timestamping (TSU)
- Chaves criptográficas da CA em HSMs compatíveis com PKCS#11
- Interface web de administração
- Gestão de contratos e pacotes de timestamps para oferta grossista e retalho
- Controlo de acessos por duplo fator para utilizadores internos
- Perfis de utilizadores configuráveis (operadores, administradores, auditores, etc)
- Logs de auditoria
- Desenvolvido sobre núcleo de segurança certificado Common Criteria EAL4+
- Avaliado e aprovado pelo Gabinete Nacional de Segurança
- Apta para internacionalização (i18n): multilingue, sentido da escrita, formatação, codificação de caracteres
- Robusta: Clustering (ativo-ativo), Backup, Disaster Recovery
OCSP - Online Certificate Status Protocol
- Conformidade com RFC 6960
- Suporte a múltiplas CAs e OCSP responders
- Chaves criptográficas em HSMs compatíveis com PKCS#11
- Interface web de administração
- Controlo de acessos por duplo fator para utilizadores internos
- Perfis de utilizadores configuráveis (operadores, administradores, auditores, etc)
- Logs de auditoria
- Desenvolvido sobre núcleo de segurança certificado Common Criteria EAL4+
- API para integração com CAs já existentes
- Atualização em tempo real de estado dos certificados via API de integração
- Atualização periódica de estado dos certificados através de CRL (blacklist) e LDAP (whitelist)
- Substituição de soluções de OCSP legadas sem suporte evolutivo para nova solução, sem necessidades de desenvolvimento e integração da restante PKI existente
- Apto para internacionalização (i18n): multilíngue, sentido da escrita, formatação, codificação de caracteres
- Robusta: Clustering (ativo-ativo), Backup, Disaster Recovery
Key Management System
- Pré-geração em massa de chaves criptográficas, disponíveis de imediato para os processos de emissão de certificados e personalização
- Chaves geradas em HSMs, com parâmetros de qualidades e performance superiores às geradas em chip de smartcard
- Gestão dinâmica de stock de chaves
- Canal seguro desde o HSM até à personalização, através de chaves de transporte e chaves de cifra de chaves (KEK)
- Interface web de administração
- Controlo de acessos por duplo fator para utilizadores internos
- Perfis de utilizadores configuráveis (operadores, administradores, auditores, entre outros)
- Logs de auditoria
- Desenvolvido sobre núcleo de segurança certificado Common Criteria EAL4+
- Apto para internacionalização (i18n): multilíngue, sentido da escrita, formatação, codificação de caracteres
- Robusta: Clustering, Backup, Disaster Recovery
Data Preparation
- Formatação de dados biográficos e biométricos para documentos de identificação e passaportes eletrónicos
- Conformidade com LDS v1.7 ICAO 9303
- Suporte para BAC, SAC/PACE, Autenticação Ativa, EAC
- API para integração com sistemas de ciclo de vida e personalização
- Integrado com Key Management System
- Logs de auditoria
- Robusta: Clustering, Backup, Disaster Recovery
Document Signer
- Assinatura de dados biográficos e biométricos para documentos de identificação e passaportes eletrónicos para proteção da autenticidade e integridade
- Conformidade com ICAO 9303, produzindo a estrutura Secure Document (SOD)
- Suporte para BAC, SAC/PACE, Autenticação Ativa, EAC
- API para integração com sistemas de ciclo de vida e personalização
- Logs de auditoria
- Robusta: Clustering, Backup, Disaster Recovery
Card Management System
- Aplicação para personalização final de SSCDs (smartcards, tokens criptográficos USB, microSD seguro)
- Suporte a SSCDs compatíveis com PKCS#11
- Geração de chaves no chip ou importação por canal seguro
- Integração com impressoras de smartcards
- Interface gráfico para operadores de personalização
- Pré-visualização da impressão
- Impressão de cartas PIN em modelos personalizáveis
- Impressão de cartas de rosto e acompanhamento em modelos personalizáveis
- Suporte a múltiplos perfis de personalização configuráveis
- Instalação em múltiplas estações de trabalho para personalização em paralelo
- Controlo de acesso restrito aos operadores de personalização
PKD Nacional
- Interface LDAP para disponibilização de certificados CSCA, Document Signer, CVCA, DVCA, CRLs e MasterLists
- Organização hierárquica de acordo com estrutura de nomes dos certificados
- Aplicação com interface gráfica para gestão do serviço
- Robusta: Clustering, Backup, Disaster Recovery
SPOC - Single Point of Contact
- Troca de certificados e informação necessária à validação de documentos de identificação eletrónica como o Passaporte, sendo de disponibilização obrigatória entre os países membro da União Europeia
- Receção de pedidos de certificados de DVCA da PKI EAC nacional e envio para o SPOC de destino
- Receção online de pedidos oriundos de SPOCs de outros países e encaminhamento para os responsáveis pela PKI EAC nacional
- Conformidade com ČSN 36 9791:2009, BSI TR-03110 e BSI TR-03139
- Proteção das comunicações entre SPOCs através de certificados digitais emitidos por SPOC CA
- Registo de SPOC CA por SPOC
- Publicação da CRL da SPOC CA
- Interface web de administração
- Controlo de acessos por duplo fator para utilizadores internos
- Perfis de utilizadores configuráveis (operadores, administradores, auditores, entre outros)
- Logs de auditoria
- Robusta: Clustering, Backup, Disaster Recovery