¿Qué exige este criterio?
TS 119 312 establece los plazos de uso seguro de cada algoritmo. Para RSA-3072 el uso es aceptable hasta 2030 (recomendado), para ECDSA P-256 hasta 2030+. La clave TSU debe rotarse antes de esos límites. La política de rotación debe especificar: (1) periodo máximo de validez de la clave; (2) criterio de rotación anticipada si el algoritmo es comprometido; (3) proceso de rekey sin interrupción del servicio; (4) notificación a los clientes de la nueva clave pública.

¿Qué hay que revisar al cliente?

• Política de rotación de claves TSU documentada y aprobada.
• Periodo máximo de validez declarado en la política.
• Algoritmo y longitud actuales vs. recomendaciones TS 119 312.
• Plan de calendario de próximas rotaciones.
• Proceso de notificación a clientes al rotar la clave.

Preguntas clave para las entrevistas

• ¿Cuál es el periodo máximo de validez configurado para la clave TSU?
• ¿El algoritmo actual (RSA-3072, ECDSA P-384, etc.) está dentro de los plazos de TS 119 312?
• ¿Hay un calendario con las próximas fechas de rotación planificadas?
• ¿Cómo se notifica a los clientes que la clave TSU ha sido renovada?

¿Por qué es esencial para QERDS y TSA?
Una clave TSU demasiado longeva con un algoritmo que puede quedar obsoleto invalida todos los tokens emitidos con esa clave. La política de rotación es la planificación anticipada de ese riesgo criptográfico.

Evidencia que demostraría conformidad

• Política de rotación de claves TSU (documento).
• Calendario de próximas rotaciones.
• Verificación del algoritmo actual vs. TS 119 312 (análisis documentado).