Tabla de contenido
11.3.7.7 Requisitos de la firma de código
11.3.7.7.1 Requisitos de la autoridad del certificado (CA)
Los certificados de verificación de código (CVC) los firma y expide la CA del CVC del laboratorio
de prueba de certificación (CTL). El CVC DEBE ajustarse exactamente a lo especificado en
11.3.7.3. La CA del CVC de CTL NO DEBE firmar ningún CVC salvo que sea idéntico al formato
especificado en 11.3.7.3. Antes de firmar un CVC, la CA del CVC de CTL DEBE verificar que la
solicitud del certificado es auténtica.
La CA del CVC de CTL será la encargada del registro de los nombres de los abonados autorizados
del CVC. Entre los abonados del CVC se encuentran los fabricantes del elemento PS y los
operadores cofirmantes de las imágenes de código. Es responsabilidad de la CA del CVC de CTL
garantizar que el nombre de organización de cada uno de los abonados del CVC sea diferente.
DEBEN aplicarse las siguientes directrices para asignar los nombres de organización para los
cofirmantes de los ficheros de código:
•
El nombre de organización utilizado para su propia identificación como agente cofirmante
de un CVC DEBE asignarse por la organización que emitió el certificado raíz.
•
El nombre DEBE ser una cadena imprimible de ocho dígitos hexadecimales que distinga de
modo exclusivo un agente firmante de código de los demás.
•
Cada uno de los dígitos hexadecimales del nombre DEBE seleccionarse del conjunto de
caracteres 0-9 (0x30-0x39) o A-F (0x41-0x46).
•
La cadena compuesta por ocho dígitos cero no está permitida y NO DEBE utilizarse en
los CVC.
En cualquier formato alternativo se DEBE mantener toda la información y reproducir el formato
original; por ejemplo, como un entero de 32 bits distinto de cero, con un valor entero de 0 que
representa la ausencia de un firmante de código.
11.3.7.7.1.1
Requisitos del CVC del fabricante
Para firmar sus ficheros de código, el fabricante DEBE obtener un CVC válido de la CA del CVC
de CTL. Todas las imágenes de código del fabricante proporcionadas a un operador para actualizar
a distancia un dispositivo DEBEN estar firmadas de acuerdo con los requisitos definidos en esta
Recomendación. Al firmar un fichero de código, el fabricante PUEDE optar por no actualizar el
valor signingTime PKCS#7 de la información de firma del fabricante. Esta Recomendación
requiere que el valor signingTime PKCS#7 sea igual o mayor que el instante del comienzo de
validez del CVC. Si el fabricante utiliza un signingTime igual al instante de comienzo de validez
del CVC cuando firma una serie de ficheros de código, éstos pueden utilizarse repetidas veces. Esto
permite que el operador utilice el fichero de códigos para actualizar o retrotraer la versión de
códigos para los dispositivos del fabricante. Estos ficheros de códigos serán validos hasta que se
genere un nuevo CVC y lo reciba el elemento PS.
11.3.7.7.1.2
Requisitos del operador
Cuando un operador reciba ficheros de código de actualización de soporte lógico de un fabricante,
deberá validar la imagen de código utilizando la clave pública de la CA del CVC de CTL. Esto
permitirá que el operador verifique si la imagen de código la ha construido un fabricante de
confianza. El operador puede volver a verificar el fichero de código en cualquier instante repitiendo
dicho proceso.
Si un operador desea ejercer la opción de cofirmar la imagen de código destinada a un dispositivo
de la red, el operador DEBE obtener un CVC válido de la CA del CVC de CTL.
Cuando firma un fichero de código, el operador DEBE cofirmar el contenido del fichero conforme a
la norma de firma PKCS#7, e incluir su CVC de operador de acuerdo con lo definido en
Rec. UIT-T J.191 (03/2004)
159
Tabla de contenido
