Archivo de la categoría: System Z

Aceleradores criptográficos en mainframe IBM


A lo largo de los años, IBM ha ido añadiendo nuevos equipos criptográficos (HSM) a la oferta disponible para sus entornos mainframe.

Ya he presentado algunos en este blog en artículos anteriores:

En este artículo simplemente resume las variantes disponibles en este momento.

Existe información sobre cómo agregar y eliminar coprocesadores criptográficos en el documento  z / OS Cryptographic Services ICSF Administrator’s Guide.

Dispositivo  Crypto Express5 (CEX5C, CEX5P o CEX5A)
Se trata de un coprocesador o acelerador criptográfico asíncrono, cuyo motor criptográfico  puede configurarse como un coprocesador (CEX5C para CCA y CEX5P para PKCS #11) o como acelerador (CEX5A). Está disponible en los sistemas IBM z13.

Dispositivo Crypto Express4 (CEX4C, CEX4P o CEX4A)
El Crypto Express4 es un coprocesador o acelerador criptográfico asíncrono que se puede configurar como un coprocesador CCA (CEX4C), un coprocesador Enterprise PKCS #11 (CEX4P) o como un acelerador (CEX4A). Está disponible en los sistemas IBM zEnterprise EC12 e IBM zEnterprise BC12.

Dispositivo Crypto Express3 (CEX3C o CEX3A)
La placa criptográfica Crypto Express3 es un coprocesador o acelerador criptográfico asíncrono que contiene dos motores criptográficos que se pueden configurar independientemente como  coprocesador (CEX3C) o como acelerador (CEX3A). Está disponible en los sistemas  IBM System z10 Enterprise Class, IBM System z10 Business Class, IBM zEnterprise 196, IBM zEnterprise 114, IBM zEnterprise EC12 y IBM zEnterprise BC12.

Dispositivo Crypto Express2 (CEX2C o CEX2A)
La placa Crypto Express2 es un coprocesador o acelerador criptográfico asíncrono con dos motores criptográficos que se pueden configurar de forma independiente como coprocesador (CEX2C) o como acelerador (CEX2A). Está disponible en IBM System z9 Enterprise Class, IBM System z9 Business Class, IBM System z10 Enterprise Class e IBM System z10 Business Class.

Coprocesador criptográfico PCI X (PCIXCC)
El coprocesador criptográfico PCI X es un coprocesador criptográfico asíncrono que puede sustituir al coprocesador criptográfico PCI. Solo está disponible en IBM eServer zSeries 990 o IBM eServer zSeries 890.

CP Assist para funciones criptográficas (CPACF)
CPACF es un conjunto de instrucciones criptográficas disponibles en todos los CP. El uso de las instrucciones de CPACF mejora el rendimiento de las funciones criptográficas. Incorpora siempre el algoritmo SHA-1 en algunos sistemas añade los algoritmos SHA-224 y SHA-256 (en los sistemas z9 EC / z9 BC y posteriores). Además, los algoritmos SHA-384 y SHA-512 están disponibles en z10 EC / z10 BC y sistemas posteriores.

CP Assist for Cryptographic Functions (CPACF), con código de producto 3863 para habilitar la funcionalidad  DES / TDES, proporciona instrucciones de cifrado DES y Triple DES de clave en claros. En los sistemas z9 EC / z9 BC y posteriores, esta característica incluye el cifrado AES con clave en claro para claves de 128 bits. En los sistemas z10 EC / z10 BC y posteriores, esta característica también incluye el cifrado AES con clave en claro para claves de 192 y 256 bits.

Acelerador criptográfico PCI (PCICA)
El Acelerador criptográfico PCI brinda soporte para claves en claro en la invocación de los servicios  CSNDDSV, CSNDPKD y CSNDPKE para un mejor rendimiento que cuando se ejecuta en un coprocesador criptográfico. Solo está disponible en IBM eServer zSeries 990 o IBM eServer zSeries 890.

Las PCICA permiten el máximo rendimiento en el cifrado de SSL usado en entornos web.

Criptografía en Mainframe IBM EC12 y firma electrónica


El nuevo mainframe de IBM zEnterprise EC12 aumenta los niveles de rendimiento y capacidad de los sistemas anteriores y da soporet a la consolidación de servidores permitiendo gran escalabilidad.

Aporta una nueva generación de hardware de seguridad para la firma digital, con soporte para criptografía de curvas elípticas y cuenta con capacidad de análisis avanzado de reconocimiento de patrones para el control inteligente de la salud del propio sistema, lo que permite predicir y evitar fallos. Ahora hay una nueva opción para instalarlo en suelo no técnico y permite configuraciones híbridas para cargas de trabajo distribuidas orientadas a AIX, Linux y Windows, demás de las tradiciones de mainframe, basadas en sistemas operativos OS/2 y zLinux.

El nuevo servidor zEC12 con el chip más rápido del mercado procesando a 5,5 GHz ofrece hasta un 25% más de rendimiento por core y un 50% más de capacidad que su predecesor.

Es el sistema con mayor seguridad y resiliencia para entornos corporativos de misión crítica: Con la criptografía de firma digital Crypto Express 4S y la certificación Common Criteria  EAL 5+

El zEC12 admite requisitos de plataforma heterogéneos con el nuevo IBM zEnterprise BladeCenter Extension (zBX) modelo 003 e IBM zEnterprise Unified Resource Manager para ampliar las capacidades de gestión a otros sistemas y cargas de trabajo que se ejecutan en servidores AIX en POWER7, Linux® en IBM System x y Microsoft® Windows® en IBM System x.

Ahora la nueva versión de zBackTrust 1.3 permite decidir sobre qué tipo de procesador y de sistema operativo se desea ejecutar la funcionalidad de firma electrónica, ya que cuenta con versiones para:

  • z/OS: java sobre  z/OS V1.12, V1.13 o superior; z/OS V1.11, V1.10 extensión de ciclo de vida
  • Linux en Systemz: java sobre RedHat Enterprise Linux (RHEL) 6y RHEL 5, SUSE Enterprise Server (SLES) 11 y SLES 10
  • Windows Server 2008 (c# y .net) (en servidores blade IBM BladeCenter HX5 instalados en ZBX Mod 003)
  • Linux en System x: java sobre Red Hat RHEL 5.5, 5.6, 5.7, 6.0, 6.1 y SUSE Linux Enterprise Server (SLES) 10 (SP4), SLES 11 SP1 (sólo de 64 bits)  (en el servidor blade IBM BladeCenter HX5 instalado en zBX Mod 003)

El modo de licenciamiento de zBackTrust permite un número ilimitado de instancias por site, y solo incrementa el coste por número de sistemas operativos soportados o por número de sites. El incremento de costes para sites de backup no activos es de solo un 10% del coste de licencia general. De este modo la escalabilidad está garantizada, sin coste adicional.

A través de CPACF (Central Processor Assist for Cryptographic Function) función que no implica coste al habilitarla en el sistema, puede gestionar los siguientes algoritmos criptográficos:

  • Algoritmos de hash (Secure hash algorithms) SHA-1, SHA-224, SHA-256, SHA-384, y SHA-512 habilitado en todos los servidores con unidades de proceso  (PUs – processor units) definidas como  CPs, IFLs, zIIPs, or zAAPs.
  • Cifrado Simétrico
    • Data Encryption Standard (DES)
    • Triple Data Encryption Standard (TDES)
    • Advanced Encryption Standard (AES) con claves de 128-bits, 192-bits, y 256-bits
  • Control de Integridad (Secure Hash Algorithms)
    • SHA-1: 160 bit
    • SHA-2: 224, 256, 384, and 512 bit
  • Control de Integridad (MAC)
    • Single-length key MAC
    • Double-length key MAC

El soporte  IBM Enterprise PKCS #11 (EP11) IBM Enterprise Public-Key Cryptography Standards (PKCS) #11 está basado en la especificatión v2.20 de PKCS #11 y se incluye enlos sistemas operativos  z/OS y z/VM medianteICSF (Integrated Cryptographic Service Facility).

El soporte criptográfico es de especial interés en banca, ya que permite, por ejemplo gestionar las funciones de seguridad de las tarjetas EMV, o cifrar la información relevante sobre tarjetas y titulares que exige el cumplimiento de la normativa PCI DSS. En entornos de banca y seguros, permite la firma de transacciones y la securización de documentos electrónicos, permitiendo la eliminación de documentos en papel.

Entre las funcionalidade de zBacktrust cabe citar:

  • Firma Electrónica de alto rendimiento.
  • Compatible con HSM IBM 4764 (Crypto Express2), IBM 4765 (Crypto Express3) y Crypto Express 4S
  • Compatible con gestión de claves y certificados X.509 a través de interfaces PCCS#12 y PKCS#11.
  • Generación de firmas XAdES (XML) y PAdES (PDF).
  • Conversión de firmas simples en completas.
  • Validación de firmas electrónicas
  • Gestión de evidencias electrónicas
  • Cumplimiento de estándares: ETSI (TS 101 903,  TS 102 778), ISO-32001, ISO 14533-2:2012 y OASIS DSS 
  • Compatiblidad con Middleware: WebSphere , Weblogic y Tomcat.
  • Accesible desde equipos con Linux, Windows, MacOS, Blackberry, Android, iOS, Windows Phone.
  • Integración con prestadores de servicios de timestamping y OCSP externos

Contactar con el +34 917160555 para obtener más información de zBacktrust

Firma electrónica en zEnterprise EC12


Recientemente IBM ha lanzado el nuevo sistema «mainframe» zEnterprise EC12, con clara orientacion hacia entornos de private cloud, con disponibilidad de muchísima potencia de cómputo en entornos de múltiples tipos de procesadores, sistemas operativos y cargas de trabajo.

El zEnterprise EC12 ofrece nuevos niveles de rendimiento y capacidad para consolidación de múltiples sistemas  y crecimiento a gran escala, compatibilidad con la nueva generación de equipamiento de  seguridad para firma digital, el nuevo HSM (Hardware Security Module) Crypto Express 4S, análisis avanzado de reconocimiento de patrones para el control inteligente de la funcionalidad de los componentes del sistema, nueva opción para instalaciones en  suelo no técnico y despliegue de tecnologías híbridas de procesamiento para diferentes sistemas operativos y todo tipo de cargas de trabajo distribuidas, incluyendo las específicas de mainframe (z/OS , z/VM , z/VSE , z/TPF, y Linux on System z).

En el Mainframe se equipa la cabina de entrada salida compatible con interfaz PCIe Gen2 (Peripheral Component Interconnect Express Generation 2) al que se conecta cada adaptador Crypto Express4S que da soporte a todas las funciones del modelo de adaptador criptográfico anterior Crypto Express3.

Este adaptador se puede configurar a través de la consola HMC (Hardware Management Console) de tres formas distintas:

  1. Como coprocesador CCA: IBM Common Cryptographic Architecture (CCA) coprocessor
  2. Como coprocesador PKCS#11: IBM Enterprise PKCS #11 (EP11) coprocessor
  3. Como Acelerador (Accelerator)

El adaptador se ha certificado de acuerdo con los estándares  FIPS 140-2 Security Level 4 y Common Criteria EAL 4+.

A través de CPACF (Central Processor Assist for Cryptographic Function) función que no implica coste al habilitarla en el sistema, puede gestionar los siguientes algoritmos criptográficos:

  • Algoritmos de hash (Secure hash algorithms) SHA-1, SHA-224, SHA-256, SHA-384, y SHA-512 habilitado en todos los servidores con unidades de proceso  (PUs – processor units) definidas como  CPs, IFLs, zIIPs, or zAAPs.
  • Cifrado Simétrico
    • Data Encryption Standard (DES)
    • Triple Data Encryption Standard (TDES)
    • Advanced Encryption Standard (AES) con claves de 128-bits, 192-bits, y 256-bits
  • Control de Integridad (Secure Hash Algorithms)
    • SHA-1: 160 bit
    • SHA-2: 224, 256, 384, and 512 bit
  • Control de Integridad (MAC)
    • Single-length key MAC
    • Double-length key MAC

El soporte  IBM Enterprise PKCS #11 (EP11) IBM Enterprise Public-Key Cryptography Standards (PKCS) #11 está basado en la especificatión v2.20 de PKCS #11 y se incluye enlos sistemas operativos  z/OS y z/VM medianteICSF (Integrated Cryptographic Service Facility).

El soporte criptográfico es de especial interés en banca, ya que permite, por ejemplo gestionar las funciones de seguridad de las tarjetas EMV, o cifrar la información relevante sobre tarjetas y titulares que exige el cumplimiento de la normativa PCI DSS.

Gracias al soporte PKCS#11 permite utilizar el sistema de firmas electrónicas zBackTrust de Albalia (con soporte para CAdES, XAdES y PAdES) en z/OS además de en Linux on System z.

La solución zBackTrust es la única disponible a nivel mundial con soporte nativo para mainframe en equipos z9, z10 z196, z114 y  zEC12 y capacidad de gestionar las citadas formas de firma, aunque IBM ofrece un tipo de unidad integrable en los bastidores zEnterprise que también permite realizar la funconalidad de firma electrónica con sus propias funciones criptográficas externalizadas del sistema principal (Datapower).

El sistema zBackTrust de Albalia se puede instalar sobre entornos de gestión de transacción para Java como WebSphere , Weblogic y Tomcat y soporta de forma nativa las diferentes funcionalidades de la norma DSS   (Digital Signature Services) de OASIS, de modo que la gestión de la firma electrónica se puede llevar a cabo de forma centralizada para toda la organización mediante webservices que se pueden invocar desde entornos Linux, Apple y Windows.

El sistema zBackTrust está disponible bajo diferentes tipos de licencias:

  • System
  • Site
  • Enterprise
  • Cloud

lo que permite que se pueda disponer de múltiples instancias de ejecución sin coste adicional.

El sistema zBackTrust puede contratarse a través de IBM, a través de INSA o directamente a través de Albalia, contactando con el 91 716 0555 de España (+34 917160555).

Otros artículos relacionados:

Funcionalidades de BackTrust


BackTrust es una plataforma de servicios (SOA)  asociados a la firma electrónica que puede ser utilizada en entornos de Administración Electrónica y también, en el sector privado, en el marco de las obligaciones de Interlocución Telemática.

Es un producto de Albalia Interactiva, con versiones para plataformas Mainframe (System z), entornos Linux y entornos Windows Server

Entre los servicios que presta BackTrust cabe citar los siguientes:

  • Servicio de Firma (DSS). El servicio de firma automatizada permite firmar documentos XML y PDF, respectivamente con firmas XAdES y PAdES. Los documentos de otro tipo pueden encapsularse en firmas CAdES o firmas XAdES, si bien requerirán de servicios de comprobación compatibles con la técnica de encapsulado.  Este servicio permite también  verificar las firmas de documentos ya firmados. El servicio permite utilizar diferentes claves y certificados, asociados a diferentes políticas, que se gestionan de forma centralizada en un HSM (Hardware Security Module). Se usa, por ejemplo, para automizar el uso de los sellos de órgano.
  • Ejecutable de firma en cliente: permite la firma de documentos por parte de un usuario, haciendo uso de su clave y sucertificado digital. Existen 2 variantes: firmador java (websigner) y firmador de escritorio.
  • Servicio de Sellado. Este servicio emite y verifica sellos de tiempo sobre protocolo RFC 3161 y (o)  webservice (DSS). Si se usa con un certificado de TSU de una CA apropiada, en el marco de un acuerdo de gestión, estos sellos de tiempo pueden tener valor legal.  El sistema permite sincronización mediante NTP (accediendo a ROA), GPS y DCF77.
  • Servicio de Validación Avanzada de Certificados. Este servicio permite comprobar la validez de un certificado y extraer la información contenida en él, relativa al titular del mismo (nombre y apellidos, NIF/CIF, correo electrónico, etc.).
  • Servicio de Copia. Este servicio añade información gráfica (Código QR) relativa a una firma electrónica sobre una copia constatable de un documento electrónico (albalá), facilitando así posteriores procesos de comprobación de documentos electrónicos impresos.
  • Servicio de Potestades. Este servicio permite gestionar y comprobar atribuciones en un marco de gestión de políticas de firma, o en relación con flujos de proceso (worlflows) de diferentes roles del organismo (cargos administrativos, firmantes finales por nombramiento oficial, responsables, apoderados, …).
  • Servicio de Custodia. Este servicio permite almacenar y recuperar documentos almacenados en el Sistema de Constancias (Cartulario). Existen varios tipos de custodia con diferentes restricciones de acceso (o sin restricciones). Se utiliza el concepto de Código Seguro de Verificación.
  • Servicio de Interconexión con otras Redes. Este servicio permite obtener información de validación de certificados y otras informaciones de redes asociadas. En particular existen integraciones con la Red SARA y con el sistema de acceso a información de certificados revocados definido por la AEAT (ycaestec).
  • Servicio de Publicación Fehaciente. Este servicio permite obtener certificados que acrediten fehacientemente el momento en el que los documentos son publicados en una Sede Electrónica. Utiliza el sistema de sello de tiempo y permite cumplir el artículo 42 de la Ley de Contratos del Sector Público (en el caso de las administraciones públicas) o la normativa de publicación de convocatorias de juntas de la Ley de Sociedades de Capital (en el caso del sector privado).

Además de la dispobilidad de funcionalidades en modalidad de servicio SOA, existen módulos que desarrollan las funcionalidades en forma de API (SDK) para ser invocadas por otras aplicaciones en entorno cliente o en entorno servidor. En particular, en entornos EDITRAN, permitiendo la firma y comprobación de firma de mensajes intercambiados entre plataformas de diferente tecnología.

Iguala


La iguala es el pago de una cantidad ajustada que se hace con arreglo a unos servicios contratados.

Este es uno de los primeros servicios que puso en marcha Albalia Interactiva, y que seguimos ofreciendo en la actualidad.

Se trata del soporte especializado de consultoría y asesoría en temas de firma electrónica, factura electrónica, banca electrónica, administración electrónica, documentos electrónicos, evidencias electrónicas, comercio electrónico y medios de pago (entre otros aspectos) a entidades de todo tipo que lidien con esos temas, que cuenten con recursos para gestionarlos, pero que no necesitarán contar con especialistas caros, si solo tienen necesidad de ellos en momentos puntuales.

Con una couta mensual muy ajustada se cuenta con especialistas que pueden resolver cualquier duda por compleja que parezca, tanto en temas técnicos como jurídicos.

BackTrust in CeBIT


We at Albalia are trying to discover our international market. We are going to be at CeBIT with several appointments with potential partners. We already have been at CeBIT last year, with our own booth, in the framework of the spanish pavillion.

We now focus on our BackTrust product. A complete suite that allow to dematerialize all kind of documents, and manage electronic evidences. The core sistema manages electronic signatures and digital custody, and is suitable to deploy eGovernment solutions, and also ebanking, eHealth, eCommerce and eDocuments.

Our solutions helps manage electronic signatures (in the sense of Directive 1999/93/CE), and also digitalized signatures, biometric proofs and electronic evidences (such as certified digitization), thus allowing to eliminate paper while preserving evidential proof of the electronic registers.

Our BackTrust suite is available on zEnterprise with the name zBackTrust, and it is the only electronic signature solution in the world for IBM mainframes (both for Linux for System z, and z/OS). The solution is certified by IBM and is already deployed in customers as NovaCaixaGalicia (see page 12).

Others of our solutions are also mentioned internationally:

  • The Albalia team is very active in Social NetWorks (in Spanish):
  • Mainframe supported electronic signature: zBackTrust


    Albalia is an IBM partner in the System z environment (now zEnterprise) that has developed the only SOA electronic signature solution for Mainframes running z/OS or zLinux

    This solution complies with standards such as OASIS DSS or ETSI TS 101 903.

    Find more in this zBackTrust brochure, and in  this IBM page.

    Contact your IBM dealer worldwide or though  INSA exclusive channel: www.insags.com— +34 901 116 376— soluciones@insags.com

    Caixa Galicia, caso de éxito


    Caixa Galicia es una de las entidades financieras más avanzadas de Europa. Con un uso muy racional de la tecnología, pegada a las necesidades del negocio, la entidad desarrolla nuevos servicios y mejora la eficiencia de forma continua.

    Ha sido una de las primeras entidades en incluir el DNI electrónico como opción de acceso a las cuentas a través de los cajeros automáticos e internet, y en desmaterializar la gestión de documentos incluyendo la opción de firmar electrónicamente contratos a través de la plataforma de Tractis.

    En el entorno Mainframe, el equipo dirigido por Ricardo Carballo es uno de los más jóvenes de Europa, y frecuentemente referenciado por la multinacional IBM como ejemplo para sus clientes de lo que implica gestionar un entorno informático en el que conviven armónicamente los procesos críticos de la gestión de la entidad (que en ocasiones se catalogan de «legacy») junto con los mayores avances de la tecnología.

    En el reciente lanzamiento de zEnterprise, por parte de IBM se han tenido en cuenta bastantes de las recomendaciones del equipo de Caixa Galicia para crear la que probablemente sea la plataforma más importante de los entornos corporativos de los próximos años y el anuncio más importante del gigante azul de los últimos 20 años.

    El zEnterprise, con la nave insignia z196 anunciada mundialmente el pasado 22 de julio de 2010, implica la extensión de las herramientas de gestión de gama alta a cargas informáticas de cualquier tipo como x86 y Power que podrán distribuirse entre los blade que ahora forman parte de la arquitectura de Host. De forma que en estos equipos podrán ejecutarse múltiples instancias de sistemas operativos como z/OS, zLinux, Linux y AIX, con sofisticadas posibilidades de virtualización.

    La gestión de los Sistema z (System z) en Caixa Galicia ha sido objeto de un interesante caso de estudio, desarrollado por Software Strategies que puede descargarse aquí.

    Por nuestra parte, y como puede leerse en el estudio, estamos orgullosos de que el sistema de gestión de firmas electrónicas de la entidad haya sido zBackTrust, producto desarrollado por Albalia Interactiva, y que es uno de los elementos claves de la eliminación del papel en los procesos operativos de la caja gallega. zBackTrust es la única solución nativa para entornos zEnterprise que gestiona webservices de firma electrónica para firmas PDF y XML en base al standard DSS de OASIS. Hace uso de los recursos criptográficos disponibles en hardware, tanto las recientes tarjetas criptográficas Crypto Express3 como las difundidas Crypto Express2. zBackTrust está disponible para entornos z/OS, zLinux y Linux para xSeries (xBackTrust) corriendo sobre Tomcat o Websphere.

    Otros artículos relacionados:

    Diseño y planificación de una infraestructura de clave pública (PKI)


    Albalia Interactiva, empresa especializada en firma electrónica, factura electrónica, banca electrónica y administración electrónica, en colaboración con IBM,  ofrece el servicio de Diseño y planificación de una infraestructura de claves públicas (PKI)

    Una infraestructura de claves públicas (PKI) bien planificada y construida permite afrontar los requisitos estrictos de autenticación, cifrado y firma digital que se espera de las actuales aplicaciones de e-business.

    Destacamos

    Los servicios de diseño y planificación de la infraestructura de claves públicas de IBM preparan la estructura necesaria para cumplir con los objetivos de su empresa y mejorar la seguridad de sus iniciativas de e-business.

    Gracias al aprovechamiento de las metodologías probadas y del capital intelectual, los asesores y arquitectos de IBM le permiten comprender cómo debe aplicarse la infraestructura de claves públicas (PKI) a su entorno empresarial, desarrollar la solución y preparar el despliegue de la tecnología PKI en su empresa.

    El servicio incluye:

    El siguiente conjunto de actividades conforma las fases de planificación y diseño de la infraestructura completa de servicios de PKI probados y se ofrece de forma individual o en paquetes, según sus necesidades:

    • La estrategia de la infraestructura de claves públicas (PKI) examina el entorno y la estrategia de su empresa y construye los fundamentos para tomar en consideración una infraestructura de claves públicas.
    • El asesoramiento de preparación de la PKI determina el modo en el que la creación de una infraestructura de claves públicas incidirá en la empresa y recomienda los pasos a seguir para su preparación.
    • El valor de la PKI describe las ventajas y la justificación empresarial de una infraestructura de claves públicas.
    • Los requisitos de la PKI definen los requisitos empresariales, tecnológicos y del proceso de seguridad que responden a las necesidades de su empresa.
    • La política de PKI define las políticas operativas, de procedimiento y de seguridad que regularán la infraestructura de claves públicas.
    • La arquitectura conceptual identifica la estructura de la PKI, el modelo de seguridad y los principios del diseño.
    • La arquitectura funcional se basa en la arquitectura conceptual de la infraestructura de claves públicas y define sus funciones requeridas y las relaciones entre dichas funciones.
    • La selección de productos de PKI proporciona un análisis de los requisitos de su infraestructura de claves públicas y de la arquitectura conceptual de la misma, en comparación con las soluciones del sector para que pueda escoger la tecnología que mejor se ajusta a sus necesidades.
    • La selección del sitio y el diseño de la infraestructura le permiten evaluar las posibles ubicaciones y ofrece recomendaciones para el diseño y el despliegue del recurso.
    • La arquitectura de los componentes se basa en la arquitectura funcional de la infraestructura de claves públicas y define las tecnologías, los estándares, las interfaces y los productos seleccionados que cumplan con los requisitos, la estrategia y la política de la infraestructura de claves públicas de su empresa.
    • El desarrollo de procesos describe los procesos necesarios para dar soporte a la infraestructura de claves públicas, incluidos el registro, la revocación, el mantenimiento de registros y la generación de claves de la entidad emisora de certificados.
    • Las prácticas de certificación de la PKI destacan los componentes técnicos de los documentos de la política de infraestructura de claves públicas más importantes, la declaración de práctica de certificación y las políticas de certificación.
    • El plan de implementación incluye los pasos, los conocimientos y los recursos necesarios para implementar la infraestructura de claves públicas.

    Una vez definidos los planes, el siguiente paso es integrar e implementar su solución de PKI mediante nuestros servicios personalizados, que están disponibles previa petición.

    En los entornos corporativos, que disponen de Mainframe, con z/OS, parte de los recursos hardware y software necesarios están ya disponibles, por lo que la estrategia de gestión de PKI es una alternativa económica o otros sistemas de gestión de certificados.

    IBM ha publicado los documentos que explican la forma de desplegar su PKI en organizaciones con sistemas z/OS:

    Otros artículos relacionados:

      Crypto Express3 en zEnterprise


      Los recientemente anunciados sistemas zEnterprise de IBM con el procesador z196 convenientemente destacado como corazón de la nueva arquitectura suponen un nuevo impulso en la estrategia de Mainframe del gigante azul, con un claro impacto en la racionalización de los CPDs al gestionar cualquier tipo de carga y virtualización con metodologías de servicios críticos.

      Uno de los elementos que caracterizan desde el punto de vista de seguridad la nueva arquitectura, es la disponibilidad de funciones criptográficas por hardware ya preinstalado. La funcionalidad denominada Crypto Express3 se basa en dos adaptadores criptográficos PCI Express. Cada uno de los adaptadores criptográficos PCI Express puede ser configurado como coprocesador criptográfico o acelerador criptográfico.

      La funcionalidad Crypto Express3 (CEX3) supone un nuevo avance en el estado de la técnica en lo relativo a funciones cifrado, tanto en criptografía simétrica como asimétrica.

      Al igual que sus predecesoras, está diseñada para complementar las funciones del CPACF (CP Assist for Cryptographic Function). La placa detecta intentos de manipulación y reacciona ante ellos. Incluye dos procesadores criptográficos que funcionan en paralelo, dotando a las funciones criptográficas de un rendimiento y fiabilidad sin precedentes.

      La funcionalidad Crypto Express3, se aloja en la cabina de entrada/salida o en en el receptáculo de entrada/salida del procesador z196 y mantiene en las arquitecturas zEnterprise las funciones disponibles en la Crypto Express3 originalmente desplegada en sistemas System z del tipo z10.

      Cuando uno o ambos de los adaptadores PCIe se configuran como coprocesador, quedan disponibles las siguientes mejoras criptográficas introducidas por el procesador z196:

      • Seguridad por PIN según la norma ANSI X9.8
      • Encapsulamiento mejorado de claves CCA (Common Cryptographic Architecture) en conformidad con los requisitos de agrupamiento de claves de la norma ANSI X9.24
      • HMAC (Keyed-Hash Message Authentication Code – Código de autenticación de mensajes de Hash basado en clave) de clave segura.
      • Algoritmo de Firma Digital  basado en  Criptografía de curva elíptica (ECC)
      • Concurrent Driver Upgrade (CDU) Actualización de controlador concurrente y Concurrent Path Apply (CPA)

      Otras funciones clave de Crypto Express3 incluyen:

      • Dynamic Power Management (gestión dinámica de consumo) para maximizar el rendimiento de RSA, manteniendo la CEX3 dentro de los límites de temperatura del sistema de reacción ante manipulaciones del conjunto.
      • Todas las particiones lógicas (LPAR) en todos los subsistemas de canal lógico (LCSSs – Logical Channel Subsystems) tienen acceso a la funcionalidad Crypto Express3, con hasta 32 LPARs por cada equipamiento.
      • Carga segura de código que permite la actualización de la funcionalidad, aunque la unidad esté en uso asignada a una aplicación.
      • Comprobación de bloqueo de CPUs duales para la detección de errores mejorada y aislamiento de fallos de
        las operaciones criptográficas que ejecute un coprocesador cuando un adaptador PCI-E se configure como
        coprocesador.
      • Mejora de RAS (Reliability, Availability and Serviceability) sobre versiones anteriores como consecuencia del uso de procesadores dobles y del prcesador de servicio.
      • Inserción dinámica  y configuración de equipamientos Express3 Crypto a LPAR sin interrupción del servicio.

      Los equipamientos Crypto Express3 están diseñado para ofrecer mejoras de rendimiento tanto para operaciones criptográfica simétricas y asimétricas.

      Otros artículos relacionados: