¿Qué exige este criterio?
La verificación técnica de la criptografía no puede ser solo documental. El auditor debe verificar directamente: (1) análisis de tokens emitidos (con herramientas como OpenSSL); (2) verificación de certificados del servicio; (3) revisión de la configuración del HSM (alcance, no exportabilidad de claves); (4) verificación de la configuración TLS de los endpoints; (5) revisión de algoritmos configurados en el TSA. El informe técnico del CAB debe detallar los resultados de estas verificaciones.

¿Qué hay que revisar al cliente?

• Procedimiento del auditor para la verificación técnica de criptografía.
• Tokens de muestra que el TSP debe proporcionar para análisis.
• Acceso al HSM para verificación de configuración.
• Resultados de herramientas de escaneo TLS (Qualys) disponibles para el auditor.
• Informe técnico del CAB con resultados de verificaciones criptográficas.

Preguntas clave para las entrevistas

• ¿El plan de auditoría incluye verificación técnica de tokens y configuraciones criptográficas?
• ¿El TSP tiene preparados tokens de muestra para el análisis del auditor?
• ¿El auditor tendrá acceso directo al HSM para verificar su configuración?
• ¿Están disponibles los resultados de herramientas de escaneo TLS para el auditor?

¿Por qué es esencial para QERDS y TSA?
Una auditoría puramente documental no detecta errores de implementación. El auditor que no analiza tokens reales no puede verificar que el perfil EN 319 422 se cumple. La verificación técnica directa es lo que da valor real al CAR y lo que el supervisor espera que un CAB competente haga.

Evidencia que demostraría conformidad

• Procedimiento del CAB para verificación técnica de criptografía.
• Muestra de tokens para análisis (10-20 tokens de diferentes tipos).
• Resultados de Qualys SSL Labs de los endpoints.
• Informe técnico del CAB (sección de criptografía).