Un Certification Practice Statement (CPS) es un documento que especifica las prácticas que una Autoridad Certificadora (CA) emplea para emitir certificados en su infraestructura de clave pública (PKI).

En general, un certificado de clave pública o simplemente certificado, asocia la clave pública de una entidad (ya sea una persona, organización o en el caso de RPKI un recurso de numeración) con un conjunto de datos que identifican dicha entidad (nombres, telefonos, direcciones IP o sistemas autónomos). Esta entidad se conoce usualmente como el "sujeto" del certificado.

Un "usuario" de un certificado es otra entidad que necesita utilizar los datos y la clave pública especificados en un certificado. El usuario de un certificado confía en la veracidad de la asociación descripta cor el certificado. El uso mas común de estos certificados es sin duda la verificación de firmas digitales.

Un CPS no es en si mismo un contrato, pero el mismo es de importancia fundamental ya que proporciona una línea de base sobre la cual realizar auditorías de procedimientos de gestión de una autoridad certificadora.

Un CPS debe contener información detallada sobre:

  • Los procedimientos empleados para emitir certificados, incluyendo los procedimientos seguidos para verificar la asociación entre una entidad y su clave pública. En el caso de RPKI, esto refiere a como se verifica la autoridad de uso de un cierto recurso de numeración IP.

  • El detalle del ciclo de vida de los certificados emitidos, es decir como solicitar un certificado, como se emite el mismo, el tiempo de caducidad del mismo, como se renueva y como y porque el mismo puede ser cancelado.

  • Aspectos técnicos como ser el detalle de las instalaciones, los controles de acceso físicos a las mismas, los roles en los aspectos operativos, separación de responsabilidades y los controles de auditoría a implementar.

  • Aspectos técnicos ligados a la generación de material criptográfico y gestión de las claves privadas.

Un documento de Certificate Policy (CP) trata en general los mismos tópicos que un CPS, pero desde un punto de vista mas abstracto y menos operativo. Si tomamos como ejemplo el control de acceso físico, un CP podrá enunciar que "Se deberá realizar control de acceso biométrico mediante huellas dactilares de todo el personal".

Un CPS por otra parte contiene detalles netamente operativos como ser que equipos de control de acceso se utilizarán o que algoritmos se emplearán para proteger una clave. Siguiendo con el ejemplo anterior, el CPS deberá especificar que proveedor de equipos de control de acceso biométrico se utilizará y como se tomarán las huellas dactilares del personal.

Los CP, al ser documentos de políticas y de especificaciónn de requerimientos mínimos, son muchas veces comunes a diferentes CAs y pueden por ello importantes cuando se busca la interoperabilidad entre diferentes CAs. Los CPS son sin embargo específicos para cada CAs.

Status actual del CPS del RPKI de LACNIC

Actualmente LACNIC está trabajando en la elaboración del CPS para la autoridad certificadora de RPKI. El mismo se encuentra muy avanzado y está disponible un borrador del mismo.

La confianza de la comunidad en los certificados emitidos por la autoridad certificadora de LACNIC para RPKI es fundamental para que se comienzen a utilizar los mismos para validar el uso de recursos. Dado que esta confianza está en gran medida asociada a la opinión de la comunidad sobre los aspectos detallados en el CPS es que LACNIC alienta a la comunidad a enviar sus opiniones, comentarios e ideas en general sobre el mismo.

¿Como participar en el desarrollo del CPS?

El borrador del CPS está disponible a través del siguiente enlace.

Además se ha abierto una casilla de correo, comments-cps-rpki@lacnic.net, a donde toda la comunidad esta invitada a enviar sus aportes sobre el documento CPS de la RPKI de LACNIC.