Catálogo de controles para cualificación QERDS y TSA
12 controles agrupados por marco normativo
12 controles coinciden con los filtros aplicados.
ETSI-TS-119-312
ETSI TS 119 312 – Cryptographic Suites
Referencia bibliográfica
ETSI TS 119 312 V1.4.4 (2023-09). Electronic Signatures and Infrastructures (ESI); Cryptographic Suites. ETSI. https://www.etsi.org/deliver/etsi_ts/119300_119399/119312/
| Código | Cláusula | Control | Nivel | Crit. | Aplica | Responsable | Evid. |
|---|---|---|---|---|---|---|---|
| REQ-312-AES | Cifrado simétrico: AES-128/256 en modo autenticado (GCM/CCM) | El cifrado simétrico debe usar AES (128 bits mínimo, 256 recomendado) en modo autenticado (GCM, CCM o equivalentes con integridad). ECB y CBC sin MAC son inacep… | NC | Media | Sí | — | 0 |
| REQ-312-DEPRECATION | Eliminación de algoritmos deprecados en todos los componentes | El TSP debe identificar y eliminar usos de algoritmos deprecados (DES, 3DES, MD5, SHA-1, RSA-1024, RC4, SSL/TLS 1.0) en TODOS los componentes del servicio, incl… | NC | Alta | Sí | — | 0 |
| REQ-312-ECDSA | ECDSA: curvas aceptables (P-256, P-384, P-521, Brainpool) | Para firmas ECDSA, solo se aceptan curvas estándar: P-256, P-384, P-521 (NIST), Brainpool P-256r1, P-384r1, P-512r1. No se aceptan curvas no auditadas. | NC | Media | Sí | — | 0 |
| REQ-312-HASH | Algoritmos de hash: SHA-256 mínimo en toda la cadena | Los algoritmos de hash usados en todo el servicio (tokens, firmas, evidencias, protocolos) deben ser SHA-256, SHA-384, SHA-512 o SHA-3. SHA-1, MD5 y MD4 son ina… | NC | Alta | Sí | — | 0 |
| REQ-312-INTEROP | Interoperabilidad criptográfica con herramientas estándar | La elección de algoritmos debe asegurar que los tokens, firmas y evidencias son verificables con herramientas estándar europeas (eIDAS DSS, @Firma, AutoFirma, A… | NC | Media | Sí | — | 0 |
| REQ-312-PERIOD | Periodos de validez de claves conforme tablas TS 119 312 | Las claves criptográficas deben rotarse antes del período máximo de uso definido en las tablas de TS 119 312 §6 para el algoritmo y longitud específicos. | NC | Alta | Sí | — | 0 |
| REQ-312-PQ | Preparación post-cuántica: evaluación de impacto | El TSP debe evaluar el impacto de la computación cuántica en sus algoritmos actuales y planificar la adopción de algoritmos post-cuánticos cuando ETSI los norma… | NC | Baja | Sí | — | 0 |
| REQ-312-RNG | Generación de aleatoriedad: CSPRNG validado o TRNG hardware | Las claves criptográficas, nonces, IVs y serialNumbers deben generarse usando un generador de números aleatorios criptográficamente seguro (CSPRNG) o un generad… | NC | Alta | Sí | — | 0 |
| REQ-312-RSA | RSA: longitud mínima de clave 3072 bits | Para firmas RSA, la longitud de clave mínima aceptable es de 3072 bits para nuevas claves. Se recomienda 4096 bits para servicios con preservación a largo plazo… | NC | Alta | Sí | — | 0 |
| REQ-312-RSAPSS | RSA-PSS preferido sobre PKCS#1 v1.5 para nuevos despliegues | Para firmas RSA en nuevas implementaciones, se prefiere RSA-PSS sobre PKCS#1 v1.5 por sus mejores propiedades de seguridad formal. | NC | Media | Sí | — | 0 |
| REQ-312-TLS | TLS 1.2/1.3 con suites seguras; SSL/TLS 1.0/1.1 desactivados | Las conexiones TLS de los endpoints del servicio deben usar TLS 1.2 (mínimo) o TLS 1.3, con suites criptográficas actualmente seguras. SSLv3, TLS 1.0 y TLS 1.1 … | NC | Alta | Sí | — | 0 |
| REQ-312-TRANSITION | Plan de transición criptográfica (crypto-agility) | El TSP debe disponer de un plan de transición ante el debilitamiento de algoritmos, con capacidad de cambiar algoritmos sin reescribir el servicio. | NC | Media | Sí | — | 0 |