¿Qué exige este criterio?
TS 119 312 publica listas de algoritmos 'aceptables' con sus fechas de uso. En 2024-2026 los requisitos mínimos son: hash SHA-256 o superior, firma RSA-3072 o ECDSA P-256 o superior. Algoritmos prohibidos: SHA-1, MD5, RSA-1024, RSA-2048 (recomendado evitar en nuevas instalaciones). La configuración de la TSA debe ser auditada periódicamente contra la versión vigente de TS 119 312.

¿Qué hay que revisar al cliente?

• Algoritmos de hash configurados en el TSA (p. ej. sha256WithRSAEncryption).
• Longitud de clave RSA o curva ECDSA configurada.
• Comparación de la configuración actual con TS 119 312 vigente.
• Proceso de actualización de algoritmos cuando TS 119 312 se revise.
• Ausencia de algoritmos deprecados en la configuración.

Preguntas clave para las entrevistas

• ¿Qué algoritmo de hash y de firma se usa actualmente en los tokens (p. ej. SHA-256 con RSA-3072)?
• ¿Cuándo fue la última verificación de que los algoritmos cumplen TS 119 312?
• ¿Hay un proceso para actualizar la configuración cuando TS 119 312 publique nuevas restricciones?
• ¿Se han deshabilitado SHA-1, MD5 y RSA-1024 en la configuración del TSA?

¿Por qué es esencial para QERDS y TSA?
Los algoritmos deprecados son el hallazgo más fácil de detectar para un CAB: basta con parsear un token de muestra. Un TSA que emite tokens con SHA-1 tiene una no-conformidad crítica automática en la auditoría, independientemente de todo lo demás.

Evidencia que demostraría conformidad

• Configuración de algoritmos del TSA (archivo de configuración o captura de admin).
• Análisis de un token de muestra con OpenSSL mostrando los algoritmos.
• Comparación documentada con TS 119 312 vigente.