Servicios de la Autoridad de Sellado de Tiempo

Transcripción

1 Servicios de la Autoridad de Sellado de Tiempo Documento nº: V4.Doc Revisión: 004 Fecha: 03/07/2013 Período de retención: Permanente durante su período de vigencia + 3 años después de su anulación STERIA 1/

2 CONTROL DE COMPROBACIÓN Y APROBACIÓN Documento nº: TSA-@firma-Servicios Revisión: 004 Fecha: 03/07/2013 REALIZADO Pablo Pizarro Armendáriz Analista TSA COMPROBADO María Jesús Sánchez-Roldán Gómez Jefe de proyecto TSA APROBADO María Jesús Sánchez-Roldán Gómez Jefe de proyecto TSA STERIA 2/

3 CONTROL DE MODIFICACIONES Documento nº: Revisión: 004 Fecha: 03/07/2013 Rev. 001 Fecha 20/02/2009 Autor/es PPA Descripción Documento Inicial Rev. 003 Fecha 15/12/2011 Autor/es JMGA Descripción Modificación del manual debido a los cambios en las carteras ministeriales. Rev. 004 Fecha 03/07/2013 Autor/es CAID Descripción Descontinuación servicio RFC+SSL y otras correcciones. STERIA 3/

4 CONTROL DE DISTRIBUCIÓN Documento nº: Revisión: 004 Fecha: 03/07/2013 Versión Aplicativo: Copias Electrónicas: La distribución de este documento ha sido controlada a través del sistema de información. Copias en Papel: La vigencia de las copias impresas en papel está condicionada a la coincidencia de su estado de revisión con el que aparece en el sistema electrónico de distribución de documentos. El control de distribución de copias en papel para su uso en proyectos u otras aplicaciones es responsabilidad de los usuarios del sistema electrónico de información. Fecha de impresión 12/07/ :45:00 Distribución en Papel: Nombre o Cargo y (Organización) Nº de Ejemplares Referencia de la carta de transmisión y fecha STERIA 4/

5 Índice 1 Introducción Objetivos Qué es TS@? Qué requisitos se han de cumplir? Quién se puede beneficiar de los servicios? Descripción proceso de sellado Caracterización Técnica y de Soporte de la Plataforma Medidas de seguridad y disponibilidad de los servicios Red SARA Servicio de Soporte (CAU) Requisitos de Acceso al Servicio Pasos a dar para la utilización de los servicios Acceso a la Plataforma Web Service Security HTTPS Servicios del Sistema Solicitar sello de tiempo Validar sello Solicitar resellado de tiempo STERIA 5/

6 1 Introducción La Autoridad de Sellado de Tiempo (TSA) integrada en la plataforma de Validación y firma electrónica (@firma) es una solución tecnológica que se centra en proporcionar servicios de sellado de tiempo, emisión de sellos de tiempo, validación de sellos de tiempo y resellado. Los servicios de la TSA están disponibles para todo Organismo o Entidad Pública perteneciente a las diferentes Administraciones Públicas sea cual sea su ámbito: Administración General del Estado, Comunidades Autónomas, Diputaciones Provinciales o Entes Locales. Desde el Ministerio de Hacienda y Administraciones Públicas se ofrece la ayuda y el soporte necesario para que los Organismos integren estos servicios de certificación de valor añadido en los sistemas de información de Administración Electrónica que admitan autenticación y firma electrónica basada en certificados digitales. Para ello se ha desarrollado un cliente a integrar dentro de las aplicaciones de aquellos Organismos que deseen dotar de una referencia válida de tiempo. STERIA 6/

7 2 Objetivos La plataforma de sellado de tiempo cubre los siguientes objetivos: Tras la aprobación de la Ley 11/2007 de acceso electrónico de los ciudadanos a los Servicios Públicos, con la plataforma TS@ se promueven y facilitan servicios cuyo objetivo es el cumplimiento de las obligaciones de las Administraciones para con los ciudadanos. Los servicios serán ofrecidos a cualquier Organismo o Entidad Pública perteneciente a las diferentes Administraciones Públicas sea cual sea su ámbito. STERIA 7/

8 3 Qué es es una plataforma de sellado de tiempo, con las funcionalidades de sellado, validación y resellado de sellos de tiempo. Mediante la emisión de un sello de tiempo sobre un documento, se generará una evidencia, que determinará la existencia de ese documento en un instante determinado. A través de la interfaz de validación, podrán validarse sellos de tiempo emitidos previamente, pudiendo incluir una fecha de manera opcional para saber si en esa fecha dada el sello de tiempo era válido. Si no se indica la fecha se validará con la fecha actual. Mediante la interfaz de resellado podrá volver a sellar sellos previamente emitidos. Se puede encontrar más información acerca de los servicios prestados por la Plataforma en el punto 6.- Servicios del Sistema. Los protocolos de sellado de tiempo, en los cuales se basa la plataforma, se encuentran especificados en las siguientes normas: RFC 3161 Internet X.509 Public Key Infrastructure Time Stamp Protocols, estándar definido por la Internet Engineering Task Force (IETF) para el protocolo Time Stamp. IETF RFC 3628 Policy Requirements for Time-Stamping Authorities (TSAs). ETSI TS Policy requirements for time-stamping authorities. XML Timestamping Profile of the 2 OASIS Digital Signature Services (DSS) ver ETSI TS Time stamping profile. Es una solución basada en software libre, estándares abiertos y en java: servidor web Apache Tomcat, Sistema Operativo Solaris/Linux, AXIS, JGroups, etc. 3.1 Qué requisitos se han de cumplir? Para acceder a los servicios es necesario disponer de accesibilidad a la Plataforma desde los sistemas de información del Organismo en cuestión a través de la red SARA (Sistema de Aplicaciones y Redes para las Administraciones), que ofrece servicios de intranet entre las Administraciones Públicas. Estos sistemas que soportan los servicios de administración electrónica disponibles para los ciudadanos y empresas, accederán a la Plataforma a través de servicios web, peticiones HTTPS o mediante peticiones TCP. 3.2 Quién se puede beneficiar de los servicios? Los servicios de la Plataforma están disponibles para todo Organismo o Entidad Pública perteneciente a las diferentes Administraciones Públicas sea cual sea su ámbito: Administración General del Estado, Comunidades Autónomas, Diputaciones Provinciales o Entes Locales. Desde el Ministerio de Hacienda y Administraciones Públicas se ofrece la ayuda y el soporte necesario para que los Organismos integren estos servicios de certificación de valor añadido en los sistemas de información STERIA 8/

9 de Administración Electrónica que admitan autenticación y firma electrónica basada en certificados digitales. 3.3 Descripción proceso de sellado A continuación se detalla el proceso para la obtención de un sello de tiempo (este proceso puede realizarse mediante el cliente suministrado por la plataforma): 1. El cliente desea generar un sello de tiempo para un documento que posee. 2. Se generará el hash del documento en la máquina del cliente, mediante uno de los algoritmos permitidos por la plataforma. 3. Con el algoritmo de hash, el identificador de política, y el identificador de la aplicación se enviará una petición a la plataforma, la estructura de petición será distinta dependiendo del protocolo que se utilice Web-Service, TCP o HTTPS. 4. La plataforma TS@ generará el sello de tiempo con el hash, la fecha y hora, obtenida gracias a un cliente NTP sincronizado con una fuente de tiempo fiable, y la firma electrónica de la TSA. 5. Se envía el sello de tiempo al cliente, al igual que la petición se podrá enviar mediante protocolos diferentes, TCP, Web-Service o HTTPS. 6. La plataforma almacenará todos los sellos emitidos en base de datos para una posible verificación posterior. STERIA 9/

10 4 4.1 Caracterización Técnica y de Soporte de la Plataforma Medidas de seguridad y disponibilidad de los servicios A continuación se muestran las características de la Plataforma en lo que respecta a la seguridad y disponibilidad: Arquitectura en alta disponibilidad y escalable. Cuenta con elementos de antivirus, firewalls, sistemas de prevención y detección de intrusos (IPS/IDS), además de las implícitas medidas de seguridad como cifrado de tráfico disponibles en la red SARA de acceso a la Plataforma. Igualmente, se han seguido los criterios y guías de seguridad propuestas por el Centro Criptológico Nacional (CCN) del Centro Nacional de Inteligencia (CNI) para la configuración de dichos dispositivos de seguridad, servidores, bases de datos, etc. Utilización sistemas almacenamiento masivo externo SAN de alto rendimiento y disponibilidad y escalable, donde se hospedan todas las transacciones y ficheros de auditoría. Utilización de dispositivos seguros de creación de firmas y almacenamiento de claves criptográficas HSM. Estos dispositivos se emplean para la firma de los sellos de tiempo solicitados. Centro Espejo de respaldo. Se dispone de un centro espejo de contingencias en estado latente que entraría en operación a ofrecer los servicios de la Plataforma principal de servicios de validación y firma electrónica ante una falta de disponibilidad grave y longeva en dicho centro. 4.2 Red SARA El acceso a los servicios de la TSA se realiza a través de S.A.R.A. -Sistema de Aplicaciones y Redes para las Administraciones-, una infraestructura tecnológica que permite y garantiza la comunicación entre las distintas administraciones además de servir de plataforma de intercambio de aplicaciones. Constituye una extranet de comunicaciones que da soporte a la interoperabilidad entre aplicaciones de diferentes organismos públicos. Incluido dentro de la infraestructura base proporcionada por S.A.R.A., se dispone de un punto neutro de comunicaciones (PNC) que posibilita la accesibilidad a los servicios de la plataforma desde múltiples operadores de comunicaciones, dentro de un esquema de direccionamiento IP privado y con las mayores garantías de monitorización. La red S.A.R.A. como infraestructura básica de comunicaciones y servicios telemáticos de la AGE se conecta al punto neutro mediante dos enlaces fast Ethernet (100 Mbps) en alta disponibilidad cada uno de ellos con un operador distinto. STERIA 10/

11 La conexión de un nodo de la AGE con la red troncal de la IA cuenta con un enlace principal y otro de backup también con 2 operadores distintos lo que proporciona un aseguramiento en la fiabilidad y continuidad en el servicio prestado. Adicionalmente y como medida de seguridad la información transita a través de la red troncal cifrada mediante el establecimiento de túneles IPSec S.A.R.A cuenta con un servicio de soporte 24 x 7 en el que los tiempos de respuesta y de resolución dependen de la severidad de la incidencias en base a una categorización de los servicios que por ella transitan y de los agentes que participen extremo a extremo. 4.3 Servicio de Soporte (CAU) La plataforma dispone un servicio de soporte de 24x7 para atender las posibles incidencias o anomalías que pudieran ocurrir. Este servicio está disponible de lunes a viernes de 8 a 20h para resolver las dudas o consultas de los integradores del sistema. Creación de solicitudes de soporte: STERIA 11/

12 5 Requisitos de Acceso al Servicio A continuación, se describen cuáles son los requisitos de acceso a los servicios de TS@. Como ya se comentó en un punto anterior de este documento, los servicios de la Plataforma están disponibles para todo Organismo o Entidad Pública perteneciente a las diferentes Administraciones Públicas sea cual sea su ámbito: Administración General del Estado, Comunidades Autónomas, Diputaciones Provinciales o Entes Locales. 5.1 Pasos a dar para la utilización de los servicios A continuación, se detallan los pasos que el Organismo en cuestión debe dar para solicitar el acceso: 1. El Organismo debe ponerse en contacto con el servicio de soporte (CAU) de TS@, indicando el Organismo (Ministerio, Comunidad Autónoma o Entidad Local) que desea integrarse en el servicio, así como los datos de contacto del mismo: Creación de solicitudes de soporte: 2. El servicio de Soporte (CAU) se pondrá en contacto con dicho Organismo para informar de los prerrequisitos que son necesarios para iniciar la integración. Para ello es necesario informar al Organismo que los servicios se ofrecen a través de la red SARA, y que durante las pruebas se pueden hacer pruebas controladas en un entorno de desarrollo habilitado al efecto desde Internet. 3. Una vez informados los prerrequisitos, habiendo respondido el Organismo, el servicio de Soporte (CAU) le proporciona al mismo la documentación de bienvenida, que se compone de: a. ACL (formulario para el control de acceso). b. Documentación i. Servicios de TS@. ii. Manual del Integrador del Cliente de la TS@. 4. El Organismo debe devolver el ACL debidamente cumplimentado al servicio de Soporte (CAU) para finalizar el proceso de integración. 5. El servicio de Soporte (CAU) informará debidamente de los parámetros de conexión con los servicios: URL, identificador de aplicaciones, STERIA 12/

13 Acceso a la Plataforma Web Service Security WS-Security es un protocolo de comunicación entre plataformas, que provee diversos métodos para la securización de las comunicaciones. La versión actual del protocolo fue publicada el 17 de febrero de 2006 por OASIS, con el identificador de versión 1.1. Desarrollado originalmente, de manera conjunta por IBM, Microsoft y Verisign, actualmente es denominado como WSS y desarrollado a través del comité OASIS-OPEN. El protocolo provee medios para autenticar quién realizó la petición. Los métodos principales utilizados son usuario-password y mediante certificado (incluyendo un certificado con formato X.509 en la cabecera del mensaje). Además de permitir la autenticación del emisor de la petición, permite la firma del mensaje, de manera que el receptor pueda validar que el contenido del mensaje no ha sido alterado durante su envío y el emisor es quien dice ser. La firma se realizará con la clave privada de la TS@, el certificado correspondiente a la clave estará en posesión de todas las aplicaciones que se integren con la TS@. Para la identificación de la aplicación cliente, la plataforma permite la utilización del token usernametoken, o certificado X.509. Se recomienda utilizar certificado para autenticar al cliente. Tanto los usuarios como los certificados habrán sido previamente asociados a la aplicación solicitante. Si se desea cifrar los mensajes enviados entre la aplicación cliente y la plataforma se permite el uso de una clave simétrica conocida por ambas partes. Esta clave les será asociada a las aplicaciones a través de la herramienta de administración. Para la respuesta se podrá solicitar que la plataforma firme los mensajes devueltos, haciendo uso de su clave privada, y habiéndose publicado previamente, para las aplicaciones, su certificado. El proceso de integración de la aplicación cliente con la plataforma a través de servicios Web se encuentra ya implementado en el cliente de la TS@. Más información sobre cómo integrar una aplicación cliente con el cliente se encuentra en el documento TSA-@Firma-Manual Usuario Cliente HTTPS La plataforma despliega el servicio de generación de sellos por el protocolo HTTPS admitiendo peticiones requesttimestamphttps (el protocolo utilizado se encuentra definido en la especificación RFC 3161 Internet X.509 Public Key Infrastructure Time-Stamp Protocol). Estas peticiones deben incluir en su interior una extensión con el identificador de aplicación, el cual se incluirá como extensión dentro de la estructura TimeStampRequest enviada a la plataforma. Los administradores del sistema informarán del puerto donde se encuentra desplegada esta interfaz. STERIA 13/

14 El cliente de la TSA facilita la interacción con la plataforma encapsulando la generación de las peticiones. Para más información se encuentra el manual de integración del cliente Manual Usuario Cliente. STERIA 14/

15 6 Servicios del Sistema El servicio de sellado de tiempo les permite emitir sellos de tiempo de los documentos electrónicos que los Organismos suministren al servicio. Un sello de tiempo es una firma electrónica realizada por una Autoridad de Sellado de Tiempo (TSA) que nos permite demostrar que los datos suministrados han existido y no han sido alterados desde un instante específico en el tiempo (proveniente de una fuente fiable de tiempo). El Ministerio de Hacienda y Administraciones Públicas dispone de una TSA, la cual está sincronizada (por NTP y mediante Stratum2 con conexión GPS) con el Real Observatorio de la Armada. El Real Observatorio de la Armada tiene como misión principal el mantenimiento de la unidad básica de Tiempo en España así como el mantenimiento y difusión oficial de la escala "Tiempo Universal Coordinado" (UTC (ROA)), considerada a todos los efectos como la base de la hora legal en todo el territorio nacional (R. D. 23 octubre 1992, núm. 1308/1992). Actualmente la TSA publica los servicios de sello de tiempo de las formas siguientes: - Notación abstracta ASN.1, de esta forma se cumple con las especificaciones de la IETF RFC3161, utilizando sintaxis de peticiones y respuestas en notación abstracta ASN.1 codificado en DER. - Web Service diseñados para facilitar la integración con las aplicaciones, utilizando la especificación de mensajes XML-SOAP. Los servicios disponibles en la TSA se muestran a continuación. 6.1 Solicitar sello de tiempo Por medio de este servicio se proporciona la funcionalidad de generar un sello de tiempo para una acción de firma de datos o de documento. Este servicio es invocado automáticamente por la plataforma en el momento en el que solicita una firma de datos o de documento en servidor, siendo posible configurar la utilización o no de este servicio en función de los requerimientos del cliente. 6.2 Validar sello A través de este servicio se proporciona la posibilidad de verificar la validez de un sello de tiempo contenido en una firma digital. Este servicio es invocado automáticamente por la plataforma siempre que se esta realizando una operación de verificación de firma de datos o fichero que contiene sello de tiempo. STERIA 15/

16 6.3 Solicitar resellado de tiempo La utilidad más importante del servicio de resellado de tiempo consiste en preservar la longevidad de la validez de los sellos generados sobre los documentos o transacciones, en caso de que se pueda poner en cuestión la validez de un sello emitido. Por medio de este servicio se proporciona la funcionalidad de generar un nuevo sello de tiempo para una acción de firma de datos o de documento. STERIA 16/