Subsistemas. Concepto, identificación y tipos

Toda la gestión de claves se estructura en subsistemas. Un subsistema es un conjunto de claves del mismo tipo. Podemos definirlo también como un grupo de claves intercambiadas para un determinado remoto, grupo de remotos o aplicaciones.

El subsistema se identifica (o se define):

• Por un carácter alfanumérico (A-Z y 0-9)

• Por si es un subsistema propio (lo hemos generado nosotros) o ajeno (lo ha generado el remoto código yyyyyyyy).

• Por el código de la entidad local xxxxxxxxx (recuerde que puede tener varios códigos locales en su licencia, si trabaja con un multientorno).

• Por la entidad remota o ceros si es un subsistema propio genérico

  • Si es ceros, el subsistema es RSA y además es PROPIO.

  • Si no es ceros, el subsistema puede ser propio o ajeno

Ejemplo: Supongamos que soy la entidad 4444 y quiero definir un subsistema o conjunto de mis claves RSA en explotación, contra un determinado remoto (9999), cuya periodicidad en el cambio de claves sea anual y en base a ello decidimos llamarlo “A”.

En el “conjunto de claves” (o subsistema) identificado como A-RSA-PROPIO-4444-9999, guardaremos las claves RSA PROPIAS de explotación entre mi código local 4444 y 9999. Piense que pudiera haber entre ese local y ese remoto con claves RSA PROPIAS, otros “conjuntos de claves” (ó subsistemas) B, C, 4, K, que, en lugar de guardar claves de explotación, guardasen claves de un entorno de pruebas. El carácter alfanumérico que define a ese “conjunto de claves” (o subsistema) es el que podemos definirlo para pruebas, explotación, cambios quincenales de claves, aplicaciones, remotos, etc., es decir, con ese carácter debemos encontrar el “conjunto que queremos intercambiar”. Habitualmente, sólo será “un conjunto de claves” el que intercambiaremos con una entidad, pero el poder hacer varios, podremos dividir aún más los intercambios que hagamos con un remoto o grupo de remotos.

Dentro de las combinaciones anteriores, encontramos 3 TIPOS DE SUBSISTEMAS ó 3 tipos de conjuntos totalmente distintos:

1. TIPO 1: Subsistemas PROPIOS RSA con código local xxxxxxxxx + código remoto ceros. En estos, se GENERAN claves RSA propias locales. Por cada subsistema de este tipo, con código remoto a ceros, existirán tantos subsistemas propios con código local xxxxxxxxx + código remoto yyyyyyyyy, como códigos remotos queramos asociar al mismo.

2. TIPO 2: Subsistemas PROPIOS con código local xxxxxxxxx + código remoto yyyyyyyyy.

3. Se EXPORTAN claves generadas desde los anteriores. Las claves exportadas a estos, son ENVIADAS al remoto especificado yyyyyyyyy.

4. TIPO 3: Subsistemas AJENOS (RSA) con cód.local xxxxxxxxx + cód.rem. yyyyyyyyy. En estos se IMPORTAN las claves recibidas de esa entidad remota yyyyyyyyy.

Dentro de cada uno de los TIPOS anteriores, evidentemente podemos diferenciar N subsistemas distintos.

Se pueden hacer las siguientes consideraciones, respecto a los tipos anteriores:

1. Si usted dispone de una licencia de multi entidad, tendrá varios códigos locales distintos. Para cada código local podrá tendrá los 3 tipos anteriores. Si sólo tiene un código local, sólo podrá tener los 3 tipos anteriores.

2. No existen subsistemas AJENOS con código remoto ceros (TIPO 1), puesto que en estos no generamos, ni exportamos, ni enviamos, claves remotas. Un determinado remoto, nos da sus claves (IMPORTAMOS), y por tanto ese código remoto no es ceros.

3. Existen PROPIOS RSA con código remoto a ceros (TIPO 1). Esto es debido a que en los RSA exportaremos y enviaremos a los remotos sólo la clave pública, de forma que una misma clave nos servirá para enviar a distintos remotos (puesto que es pública).

4. Cuando generamos una clave en un subsistema PROPIO RSA, con código remoto ceros (TIPO 1) y la exportamos a varios remotos (subsistemas PROPIO RSA, código remoto (xxx, yyyy, zzzz)) (TIPO 2.1) en realidad lo que hacemos es copiar de uno a otros la misma clave.

En definitiva, se ha incluido el concepto de TIPO 1, porque sirve para EXPORTAR claves desde ese “conjunto” a los diferentes “conjuntos” de TIPO 2.1. Esto sólo ocurre con claves PUBLICAS RSA, puesto que una misma clave, se puede enviar a varios remotos, de ahí su carácter de pública.

Subsistemas RSA

En el siguiente ejemplo se ven los 3 subsistemas RSA que se crean en cada una de las 2 entidades (A=1234 y B=6789), cuando han intercambiado claves.

En el ejemplo anterior, cada entidad ha generado un subsistema PROPIO con una letra distinta al subsistema PROPIO REMOTO (X y Z). Esto no es una limitación, cada entidad del ejemplo anterior, puede generar subsistemas PROPIOS con las mismas letras que se generan en el extremo remoto (por ejemplo, SUBSISTEMA PROPIO X en ambos extremos).

Varios subsistemas entre 2 entidades

Dos entidades pueden tener varios subsistemas intercambiados dependiendo del tipo de aplicación que se vaya a usar, por ejemplo, supongamos que van a funcionar con intercambios RSA, y que las aplicaciones de transmisión AAAAA1 y AAAAA2 desean intercambios de claves ANUALES (subsistemas A en ambos extremos), mientras que el resto de aplicaciones, se conforman con intercambios de claves TRIANUALES (subsistemas X y Z):

En cuanto a la parametrización editran, indicaríamos que las aplicaciones de transmisión AAAAA1 y AAAAA2 trabajan con los subsistemas A, mientras que el resto de aplicaciones trabajarían con los subsistemas X y Z:

AAAAA1 y AAAA2: SUBSISTEMA LOCAL: A, SUBSISTEMA AJENO: A

Resto: SUBSISTEMA LOCAL: X, SUBSISTEMA AJENO: Z

Compartir 1 subsistema RSA para varios remotos

Cuando se trata de claves RSA, hemos dicho que habitualmente las claves de un subsistema RSA PROPIO (con código remoto a ceros), sirven para enviar a varios remotos. Así, por ejemplo, y continuando con los ejemplos anteriores, supongamos que la entidad A (1234), genera, exporta y envía a los remotos 6789 y 9876 claves de su subsistema M, y recibe del remoto 6789 claves de subsistema N y del remoto 9876 claves del subsistema N (no tiene porqué ser igual al del remoto 6789). Tendremos:

En el ejemplo anterior, se han creado por tanto 11 subsistemas:

1. En la entidad A (1234):

• Un subsistema M-RSA PROPIO código local 1234, código remoto ceros (TIPO 1).

• Un subsistema M-RSA-PROPIOS código local 1234, código remoto 6789 (TIPO 2).

• Un subsistema M-RSA-PROPIO código local 1234, código remoto 9876 (TIPO 2).

• Un subsistema N-RSA-AJENO, código local 1234, código remoto 6789 (TIPO 3).

• Un subsistema N-RSA-AJENO, código local 1234, código remoto 9876 (TIPO 3).

1. En la entidad B (6789)

• Un subsistema N-RSA PROPIO código local 6789, código remoto ceros (TIPO 1).

• Un subsistema N-RSA-PROPIOS código local 6789, código remoto 1234 (TIPO 2).

• Un subsistema M-RSA-AJENO, código local 6789, código remoto 1234 (TIPO 3).

1. En la entidad C (9876)

• Un subsistema N-RSA PROPIO código local 9876, código remoto ceros (TIPO 1).

• Un subsistema N-RSA-PROPIOS código local 9876, código remoto 1234 (TIPO 2).

• Un subsistema M-RSA-AJENO, código local 9876, código remoto 1234 (TIPO 3).

Contenido de un subsistema: Claves y versiones

Dentro de cada uno de los subsistemas, encontramos claves (en realidad, están las etiquetas o lábeles de las mismas) y el estado en que se encuentran las mismas. Tendremos, las siguientes claves dentro de un subsistema:

1. Parejas de claves RSA, con distinta versión (v01 a v99, dando la vuelta cuando alcanzan ese valor).

• Cuando generamos claves RSA (subsistema propio con código remoto a ceros), vamos incrementando el valor de la versión de la nueva clave contenida (V2, V3, y así sucesivamente).

• Subsistemas PROPIOS con código xxxx remoto:

  • Cuando desde el anterior subsistema propio con código remoto a ceros, EXPORTAMOS la clave que queremos (pueden ser todas las anteriores o sólo algunas) a uno ó varios subsistemas propios con código(s) remoto xxxx, yyyy, zzzz, lo que hacemos es copiar de uno a otro(s) la versión (clave), que queramos. En definitiva, generamos una clave desde el anterior, y se la exportamos a varios remotos la misma clave.

  • Cuando un remoto nos envía una clave con una versión x, la IMPORTAMOS (incorporamos) en un subsistema AJENO. Si nos envía varias del mismo tipo y del mismo subsistema, tendremos por tanto varias claves de ese remoto en ese subsistema.

1. Dentro de la gestión de un subsistema, se guardan hasta las 3 últimas claves que se hayan introducido, de forma que podemos manualmente si fuera el caso, elegir entre 3 posibles claves para el funcionamiento contra una entidad remota. Si hemos introducido más de 3, se pierde el rastro de la anterior a la antepenúltima. Físicamente no se pierden (puesto que se mantienen en el fichero de claves correspondiente), al menos hasta que no se machaquen por dar vuelto, pero de cara a la gestión se han perdido.

Estado de las claves dentro de un subsistema

Cada clave de un subsistema está identificada, además de por la versión, por el estado en que se encuentra. Tendremos:

• Cuando generamos clave (subsistema propio RSA con código remoto a ceros), con una determinada versión (la anterior versión generada + 1), el estado de la nueva generada pasa a ACTIVA. La anterior que estuviera en estado ACTIVA, pasa a estado OPERATIVA. Si hubiera 3 ó más claves y generamos nueva clave, se pierde el rastro de la antepenúltima que hubiera. En zos, todo esto se hace en la opción 6.2 (gestión de claves propias RSA, generación y administración).

• Otros subsistemas propios:

  • En RSA: Ese mismo extremo, exporta al registro de remoto (subsistemas propios con código local xxxxxxxxx + código remoto yyyyyyyyy), esa clave mediante un procedimiento. Una vez exportada la clave, aparece en este último subsistema ya con la versión que le corresponde y en estado GENERADA. La última clave intercambiada, permanece en estado ACTIVA y se pierde el rastro de la clave que hubiera 3 versiones antes. Cuando se la enviamos al remoto, la GENERADA pasa a ENVIADA. Cuando el extremo remoto nos envía la confirmación de que la ha recibido, la ENVIADA pasa a ACTIVA. La que estuviera activa anteriormente pasa a OPERATIVA. En z/OS, esto se hace en la opción 6.3 (asociación de claves propias RSA, administración, exportación y envío).

• Cuando un extremo recibe una clave, accede al subsistema AJENO, código local xxxxxxxxx, código remoto yyyyyyyyy, e incorpora la clave con la versión que le viene del remoto. Esta clave se incorpora en estado RECIBIDA. La última clave intercambiada recibida, permanece en estado ACTIVA y se pierde el rastro de la clave que hubiera 3 versiones antes. Cuando enviamos al remoto un fichero confirmando la recepción de la recibida, la RECIBIDA pasa a ACTIVA. La que estuviera activa anteriormente pasa a OPERATIVA. En zos, esto se hace en la opción 6.4 (asociación de claves remotas RSA, administración) También está el estado CANCELADO, cuando manualmente, se coge una clave y se pasa a ese estado.

• Manualmente, podemos también pasar una clave a ACTIVA y por tanto la que estaba como tal pasaría a OPERATIVA.

Procesos para enviar una clave de un subsistema

En la gestión de claves de intercambio, se puede usar una sesión editran que es la encargada de transmitir las claves, Habitualmente se usa la sesión TELEGC.

Un proceso de enviar una clave consta de 2 transmisiones:

1. Envío por parte de la entidad A hacía B, de un fichero que contiene la propia clave, donde se indica también la versión generada y el subsistema PROPIO. (al llegar a B ese fichero, incorpora dicha clave con la versión indicada en el subsistema AJENO indicado (coincide con el PROPIO que le llega). En el extremo A, la clave queda en estado ENVIADA y en el extremo B, la clave queda en estado RECIBIDA.

2. Envío por parte de la entidad B hacia A, de un fichero cuyo contenido es una confirmación de haber recibido correctamente la clave. Una vez finalizada esta transmisión, la clave queda en estado ACTIVA en ambos extremos.

Cambios de clave en un subsistema.

Continuando con el ejemplo inicial, si 2 entidades A=1234 y B=5678, se intercambian primero una clave, pero luego la entidad A, sigue cambiando su clave 3 veces más contra ese remoto B (nótese que la V4 se generó, pero no se exportó):

Nótese que las claves que tiene el X-PROPIO-RSA-1234-0000 no son las mismas que el X-PROPIO-RSA-1234-6789. En el primero estarían V3-V4-V5 y en el segundo V2-V3-V5

Nótese, que, si hubiera existido la entidad C, podríamos haber exportado la V4 a dicha entidad C (9876), por lo que los subsistemas X-PROPIO-RSA-1234-6789 y X-PROPIO-RSA-1234-9876 no tendrían las mismas claves. En el primero estarían V2-V3-V5 y en el segundo V3-V4-V5.

Operaciones manuales sobre las claves

La interfaz gráfica de gestión de claves de intercambio, posibilita, acceder a cualquier subsistema y cambiar el estado de las claves que contiene. Todo ello, se puede hacer en cualquiera de las opciones del menú principal (6.2, 6.3 y 6.4,)

Si por ejemplo hemos generado en el subsistema X, 5 claves RSA contra un remoto 6789, y ese remoto sólo nos ha generado en su subsistema Z, 3 claves, tendremos:

En este momento, funcionaremos con la V5 del subsistema X, y con la V3 del Z.

Si, por ejemplo, no queremos intercambiar claves, y no nos fiamos de que la clave V3 del subsistema Z sea buena, podemos activar manualmente la clave V3 del subsistema Z, en cuyo caso la última línea anterior quedaría:

También podíamos haber puesto la V3 en estado CANCELADO, en lugar de mantenerla operativa.