Bitácora de Acceso

Los mensajes intercambiados entre las pasarelas de seguridad de Tenoli están firmados y cifrados electrónicamente. Por cada consulta y respuesta, el servidor de seguridad produce un registro firmado en su bitácora. Estos registros de bitácora están sellados electrónicamente de forma sincrónica, es decir inmediatamente después de que el mensaje es procesado por el servidor de seguridad, o asincrónicamente en lotes periódicos para mejorar el rendimiento de los sistemas.
Los registros están disponibles por treinta días antes de ser archivados fuera de la base de datos en la carpeta /var/lib/xroad/. Para modificar las variables de este proceso edite el archivo /etc/xroad/conf.d/addons/message-log.ini de su pasarela.


Lectura de Registros de Acceso

Para proteger la integridad de la bitácora y sus registros de acceso el sistema emplea contenedores sellados con firma electrónica (ASICe). Los registros de acceso no pueden ser leídos de forma directa, por esto es necesario contar con:
  1. La herramienta de lectura de registros de bitácora, disponible aquí (28MB).

  2. Los certificados y configuración inicial de su pasarela disponibles en http://[mi-pasarela]/verificationconf.
    Guarde y descomprima el archivo ZIP descargado.

  3. Acceso a uno o más contenedores ASICe creados en su pasarela.Los contenedores estan archivados /var/lib/xroad/ por defecto.
    También es posible descargar un contenedor ASICe reciente si se conoce el ID del mensaje ('queryID'):
    http://[mi-pasarela]/asic?&queryId=abc12345 &xRoadInstance=SV&memberClass=GOB&memberCode=1001&subsystemCode=ejemplo


La herramienta utiliza los certificados de su pasarela para verificar el sello del contenedor. Para leer un contenedor ASICe de su pasarela es necesario incluir la ruta de configuración:

java -jar asicverifier-1.0.jar [ruta configuracion pasarela] [ruta archivo asice]

Si la verificación es válida:
  1. Muestra los detalles del mensaje guardado en el registro incluyendo el certificado que se uso para entregar el mensaje, la validación de ese certificado (servicio OCSP) y el sello de tiempo del mensaje.

  2. Ofrece la opción de guardar el mensaje en un archivo XML

Ejemplo:
  java -jar asicverifier-1.0.jar /var/verificationconf/ /var/lib/xroad/411e07613da-request-0rHDhoFviD.asice
Loading configuration from /var/verificationconf/...
Verifying ASiC container "/var/lib/xroad/411e07613da-request-0rHDhoFviD.asice" ...
Verification successful.
	
Signer
    Certificate:
        Subject: SERIALNUMBER=SV/prueba/GOB, CN=1001, OU=stpp, O=Gobierno de El Salvador, C=SV
        Issuer: CN=Certificadora de Entidades de Gobierno, OU=Gobierno Electronico, O=Gobierno de El Salvador, C=SV
        Serial number: 4173
        Valid from: Thu Apr 06 19:46:38 CST 2017
        Valid until: Wed Apr 01 19:46:38 CST 2027
    ID: MEMBER:SV/GOB/1001
OCSP response
    Signed by:
        Subject: CN=OCSP, OU=Certificadora de Servicios, O=Gobierno de El Salvador, C=SV
        Issuer: CN=Certificadora de Entidades de Gobierno, OU=Gobierno Electronico, O=Gobierno de El Salvador, C=SV
        Serial number: 4096
        Valid from: Sat Jan 28 15:23:29 CST 2017
        Valid until: Fri Jan 23 15:23:29 CST 2027
    Produced at: Sat Apr 08 15:18:09 CST 2017
Timestamp
    Signed by:
        Subject: CN=sellado.stpp.gob.sv, OU=Gobierno Electronico, O=Gobierno de El Salvador, C=SV
        Issuer: CN=Certificadora de Sellado, OU=Gobierno Electronico, O=Gobierno de El Salvador, C=SV
        Serial number: 4096
        Valid from: Sat Jan 28 15:23:22 CST 2017
        Valid until: Fri Jan 23 15:23:22 CST 2027
    Date: Sat Apr 08 15:40:59 CST 2017
	
Would you like to extract the signed files? (y/n) y
Created file message.xml
Logo de Presidencia

Alameda Doctor Manuel Enrique Araujo N.° 5500,
San Salvador, El Salvador, C.A.
Tel. (503) 2248-9000

Derechos de Información 2017.
Secretaria Técnica y Planificación de la Presidencia
República de El Salvador