Los CP y CPS de la RPKI

Um Certification Practice Statement (CPS) é um documento que especifica as práticas que uma Autoridade Certificadora (AC) utiliza para emitir certificados em sua infra-estrutura de chave pública (PKI).

Em geral, um certificado de chave pública ou simplesmente certificado, associa a chave pública de uma entidade (seja uma pessoa, organização ou um recurso de numeração, no caso do RPKI) com um conjunto de dados que identificam dita entidade (nomes, telefones, endereços IP ou sistemas autônomos). Essa entidade é conhecida como o "sujeito" do certificado.

Um "usuário" de um certificado é uma outra entidade que precisa usar os dados e a chave pública especificados em um certificado. O usuário de um certificado acredita na veracidade da associação descrita pelo certificado. O uso mais comum desses certificados é, sem dúvida alguma, a verificação de assinaturas digitais.

Um CPS em si não é um contrato, mas é de fundamental importância já que proporciona uma linha de base sobre a qual podem ser realizadas auditorias de procedimentos de gestão de uma autoridade certificadora.

Um CPS deve conter informações detalhadas sobre:

• Os procedimentos usados para emitir certificados, incluindo  os procedimentos utilizados para verificar a associação entre uma entidade e uma chave pública. No caso do RPKI, isto refere a como é verificada a autoridade de uso de determinado recurso de numeração IP.
• O detalhe do ciclo de vida dos certificados emitidos, isto é, como solicitar um certificado, como é emitido, o seu tempo de prescrição, como é renovado e como e por que  pode ser cancelado.
• Aspectos técnicos como serem o detalhe das instalações, os controles de acesso físico as mesmas, os papeis nos aspectos operacionais, discriminação das responsabilidades e os controles de auditoria a serem implementados.
•  Aspectos técnicos relativos à geração de material criptográfico e gestão das chaves privadas.

Um documento de Certificate Policy (CP) em geral, trata dos mesmos tópicos que um CPS, mas desde um ponto de vista mais abstrato e menos operacional. Se tomarmos como exemplo o controle de acesso físico, um CP poderá enunciar que "Dever-se-á fazer o controle de acesso biométrico através de impressão digital de todo o pessoal".

Por sua vez, um CPS contem detalhes puramente operacionais como por exemplo, quais equipamentos de controle de acesso serão utilizados ou quais algoritmos serão usados para proteger uma chave. Continuando com o exemplo acima, o CPS deverá especificar que provedor de equipamentos de controle de acesso biométrico será utilizado e como serão tomadas as impressões digitais do pessoal.

Os CPs, por serem documentos de políticas e de especificação de requerimentos mínimos, muitas vezes são comuns a diferentes CAs e podem por isso importantes quando é procurada a interoperabilidade entre diferentes CAs. No entanto, os CPS são específicos para cada CAs.