La selección de opciones de cifrado para una entidad de certificación (CA) puede tener una serie de implicaciones relevantes en relación con la seguridad, el rendimiento y la compatibilidad de la CA. Aunque las opciones de cifrado predeterminadas pueden ser adecuadas para la mayoría de las CA, la posibilidad de implementar opciones personalizadas puede ser útil para los administradores y programadores de aplicaciones con conocimientos avanzados del sistema de cifrado que necesiten este grado de flexibilidad. Las opciones de cifrado se pueden implementar mediante proveedores de servicio de cifrado (CSP) o proveedores de almacenamiento de claves.
Los CSP son componentes de hardware y software de los sistemas operativos Windows que proporcionan funciones de cifrado genéricas. Los CSP se pueden escribir para proporcionar una serie de algoritmos de cifrado y firma.
Los proveedores de almacenamiento de claves pueden proporcionar una protección de clave de alta seguridad en los equipos con Windows Server 2008 R2, Windows Server 2008, Windows 7 o Windows Vista.
En la página Configurar criptografía del proceso de instalación de CA, puede configurar las siguientes opciones:
-
Seleccione un proveedor de servicios de cifrado. Windows Server 2008 R2 y Windows Server 2008 incluyen una serie de CSP y además se pueden agregar CSP o proveedores de almacenamiento de claves adicionales. En Windows Server 2008 R2 y Windows Server 2008, la lista de proveedores incluye el nombre del algoritmo. Todos los proveedores con el signo de número (#) en el nombre son proveedores de cifrado de nueva generación (CNG). Los proveedores CNG son compatibles con varios algoritmos asimétricos. Los CSP pueden implementar tan solo un algoritmo.
Nota Para obtener más información, vea la página acerca del cifrado de nueva generación (
https://go.microsoft.com/fwlink/?LinkID=85480 , puede estar en inglés). -
Longitud de caracteres de la clave. Cada CSP admite varias longitudes de caracteres para las claves criptográficas. Configurar una clave de mayor longitud (en caracteres) puede aumentar la seguridad, ya que a un usuario malintencionado le resultará más difícil descifrar la clave, aunque esto también puede reducir el rendimiento de las operaciones de cifrado.
-
Seleccione el algoritmo hash para firmar los certificados emitidos por esta CA. Los algoritmos hash se usan para firmar los certificados de CA y los certificados emitidos por una CA para garantizar que no se hayan alterado. Cada CSP puede admitir varios algoritmos hash.
Nota La lista de algoritmos hash disponibles se pueden restringir aún más si se ha configurado la opción de algoritmoDiscreto en el archivo CAPolicy.inf instalado en el equipo antes de iniciar la instalación de la CA.
-
Usar características seguras de protección de claves privadas proporcionadas por el CSP (esto puede requerir la interacción del administrador cada vez que la CA tenga acceso a la clave privada). Esta opción se puede usar para impedir el uso no autorizado de la CA y su clave pública exigiendo al administrador que escriba una contraseña antes de cada operación de cifrado.