Plataforma de validación y firma electrónica de las AAPP Alfonso Berral López División de Proyectos de e-administración Ministerio de Administraciones Públicas
Qué es @firma? Iniciativa llevada a cabo por varias AAPP de diferente ámbito orientada a extender el uso de la firma-e en los servicios públicos electrónicos. Qué elementos componen la Iniciativa: Un conjunto de sistemas de información que ofrecen servicios de valor añadido en torno a la firma-e. Una infraestructura de comunicaciones donde soportar los servicios. Un modelo de cooperación entre AAPP para la explotación de los servicios. El establecimiento de una comunidad de desarrollo y evolución de los servicios. Un canal de normalización de criterios de aplicación de firma y certificación digital. Programas de difusión y comunicación en torno al DNIe. Intervienen múltiples Organismos Públicos y el MAP coordina las diferentes actividades que se llevan a cabo en @firma - 2 -
Génesis... surge la necesidad Los servicios de certificación digital y firma electrónica tienen una base legal clara. Los escenarios operativos son complejos de gestionar: Múltiples Prestadores de Servicios de Certificación. Convenios múltiples. Certificados digitales X.509 v.3 con información no homogénea Multi-CA: Varios canales de validación de certificados (OCSP, LDAP,...),... Normalización de muchas de las facilidades necesarias: Algoritmos de cifrado y firma, formatos de firma, sellado de tiempos,... Análogas necesidades para el despliegue de la e-administración: registros telemáticos, sistemas de intercambio, portafirmas,... No existen escenarios de confianza afines entre Organismos de la AAPP. Algunos Organismos de diferentes AAPPs ya disponen de soluciones tecnológicas análogas. Inminente aparición del DNIe, que supondría un punto de inflexión en el uso de la Administración electrónica. - 3 -
5 pilares iniciales de nuestro enfoque Los 5 pilares de la iniciativa habrían de ser los siguientes: 1. Cooperar con todas las AAPP para generalizar el uso de la firma-e y la interoperabilidad entre soluciones existentes. 2. Normalizar el aplicación y reconocimiento de de firma y autenticación electrónica por las AAPP Aplicable en todos los ámbitos de las AAPP, Elegir formatos de firma, algoritmia, homogeneización de los certificados X.509 ver 3.0 generados por múltiples PSCs,... 3. Impulsar y facilitar el empleo del DNIe en servicios públicos electrónicos. Desde diferentes vertientes: tecnológica, económica, de difusión,... 4. Reutilizar soluciones ya implementadas por AAPP que empleen componentes basados en open source y estándares abiertos. @firma de Junta de Andalucía, Apache, Jboss, AXIS, JAVA,... 5. Impulsar y facilitar el reconocimiento de la Identificación digital (e-idm) en ámbito paneuropeo. - 4 -
El apoyo político ha sido decisivo Clara determinación política - 5 -
Cómo veíamos el sector en el 2005? Muchas CAs acreditadas por el Ministerio de Industria, conforme a la ley 59/2003 de Firma electrónica. Las AAPP disponen de PKIs propias, o están en fase de evaluar su incorporación. Los mayores consumidores de certificados -AEAT, TGSS- tienen sus propios mecanismos de acreditación de CAs y certificados. Las CAs centran mucho su estrategia en la Administración en las condiciones establecidas por la AEAT (O.M. HAC/1181/2003). Poca interoperabilidad al tratar la información de los certificados Las soluciones del mercado (ASF, KeyONE,...) se basaban en frameworks de firma para desplegar en organizaciones, no tanto para VAs. Fuera de nuestras fronteras, la situación era similar - 6 -
Autoridad de Validación (VA) CAs Múltiples firmas y certificados VA: solución a la interoperabilidad y simplicidad? VA SP & Administraciones Públicas - 7 -
Esquema de Validación del DNIe DGP USUARIOS AEAT USUARIOS GISS PKI DNI-e CRLs CRLs Web Services OCSP AAPP (AGE, CC.AA, EE.LL) SECTOR PRIVADO (PYMES) USUARIOS Y EMPRESAS CRLs CRLs Web Services OCSP OCSP AAPP (AGE, CC.AA, EE.LL) SECTOR PRIVADO USUARIOS USUARIOS Y EMPRESAS - 8 -
Madurez ETAPA I Inicio 2005-06 06 Servicios Básicos Servicios DNIe Soporte básico b Servicios propietarios Orientación n AGE Interoperabilidad limitada Soluciones de cliente limitadas Modelo operativo y de gestión básicob Búsqueda de un modelo operativo no intrusivo y efectivo! Etapas evolutivas ETAPA II Extensión 2007 Servicios avanzados complementarios 12 PSCs y más de 70 certificados Soporte avanzado (dos niveles) Normalización de servicios (inglés, perfiles OASIS-DSS,...) Incremento de interoperabilidad:.net/java, navegadores, SOP,... Extensión n a CCAA Formatos firma-e Modelo de referencia para PSCs Conectores a suites del mercado (ASF, TrustedX,, SIA,...) SOA Modelo de negocio consolidado! ETAPA III Madurez 2008 Framework de firma-e Data Mining >> Rendimientos Centro Espejo Expansión n internacional (STORK, PORVOO, IDABC,...) del modelo Calidad y seguridad (ITIL, ISO 27002, Common Criteria,,...) Federación de VAs Extensión n a EELL Definición n preliminar de políticas de firma-e. Nuevos certificados de Ley de acceso (sede, sello, empleado público) p Applet mejorado (plug ( plug-ins ins, compatibilidad) Modelo de referencia nacional e internacional! Tiempo - 9 -
Organismos con @firma ver 5... Agencia de Certificación de la Comunidad Valenciana IZENPE Junta de Andalucía Universidad de a Coruña Dirección General de Tráfico Junta de Castilla y León Cabildo de Tenerife DIGIT - Comisión Europea - evaluación ++++? - 10 -
Arquitectura física: @firma Arquitectura en alta disponibilidad y escalable Balanceo carga: Uso de balanceadores en configuración Activo-Activo y con las conexiones por duplicado a los servidores de aplicación Servidores de aplicación: El balanceo de las peticiones XMLSOAP entre ambos nodos es realizado por los balanceadores Hardware anteriores. Sistema de Gestión de Base de Datos (Oracle racle): A través de servidores dedicados con SW en alta disponiblidad (configuración RAC 10g) Utilización sistemas almacenamiento masivo externo: SAN Utilización de equipos de almacenamiento de claves criptográficas HSM Próxima instalación de un Centro Espejo - 11 -
Arquitectura física: @firma Peticiones XMLSOAP de Clientes Soporte para JVM v1.4.2_10 y v1.5.x Basada en JBOSS Application Server v4.2.1 o v4.0.2 Apache AXIS Servidor JBoss 4.2.1 @firma 5 (Core) Log4J IAIK Hibernate Oracle 10G RAC Java Virtual Machine v. 1.4.2_10 / v1.5.x - 12 -
Principales servicios ofrecidos (sept 2008) 1. Validación de certificados electrónicos 2. Validación de firmas electrónicas 3. Firma de documentos En cliente: applet y en servidor Firmas múltiples y simples 4. Sellado de tiempo 5. Custodia(*) 6. Custodia de certificados electrónicos de terceros (*) Limitado a sistemas internos. - 13 -
Servicios disponibles en @firma SERVICIOS Cliente de firma (applet ( applet) Nuevos WS de validación y firma Fechado electrónico eventos y firma-e Securización de los WS Nuevo sistema de auditoría a y reporting Disponibilidad de SLA CARACTERIZACIÓN Formato CMS, XMLDsig, XAdES-BES, CAdES-BES, PDF, ODF Tipos de Firma: en bloque, multifirma co-sign y counter- sign Windows XP, 2000 y Linux; Firefox, Iexplorer, Vista Formato CMS, XMLDsig, XADES-BES y XADES-T, CAdES- BES, CAdES-T, PDF, ODF OCSP autenticado TSA del MAP-SARA Respuestas firmadas en XMLDsig, AdES-BES o AdES-T con elección modo inclusión tokens seguridad Peticiones: Sin autenticación, n, con USR + Password, firmadas con certificado Análisis de información n por servicios, aplicaciones, tipos de certificados,... Prestación de servicios y soporte a la integración - 14 -
Servicios disponibles en @firma SERVICIOS Atributos de firma-e basados en perfiles de Registro Central de Personal de AAPP. Proceso de certificación Common Criteria de @firma. Acreditación CCN- CNI. Inclusión en esquemas de operación internacionales Inclusión Token validación OCSP en Ws de respuesta de validación Complementos de cifrado Integración con Portafirmas CARACTERIZACIÓN Complementar funciones de firma-e con características orgánicas de personal de AAPP Credenciales de seguridad Acreditación de VA y TSA? Cumplir con especificaciones ETSI, CEN, OASIS,... Multiidioma: WS, interfaces de la plataforma Utilidad de validación que permite completar en local formatos de firma avanzada como XADES gracias al token OCSP. Aplicación de cifrado en Cliente DOCEL (modelo cliente) y Port@firmas (modelo servidor) Adaptación de Firefox-Mozilla y Thunderbird para firma-e y time- stamping Validación de certificados desde navegador y cliente de correo - 15 -
SERVICIOS Administración @firma Estandarización de WS Nueva TSA Adaptación Port@firmas CARACTERIZACIÓN Mejora en la gestión multipolítica de certificados. Administración delegada (solo en modelo federado) Acceso a documentos custodiados (ahora se puede por WS) Perfiles OASIS-DSS para firma y Time Stamping Nuevo WS de upgrade de firmas (validación y extensión de la firma en un único WS) Mejoras en administración, auditoría, interfaz WS (perfiles OASIS) y validación de sellos Adaptación de producto cedido por Junta de Andalucía. Verificador de firma-e Aplicación web para verificar firmas y demostrador de @firma: VALIDe - 16 -
Servicios disponibles en @firma SERVICIOS WEB DISPONIBLES Validación de certificados. Obtención de información de certificados. Validación de firma electrónica Validar Firma Bloques Firma Servidor [CoSign (paralelo) y CounterSign (cascada)] Firma Usuario 3 Fases [CoSign (paralelo) y CounterSign (cascada)] Firma Usuario 2 Fases [CoSign (paralelo) y CounterSign (cascada)] Firma Usuario Bloques Obtener Identificadores de Documentos de un Bloque de Firmas de @firma 4.0 Obtener Información de un Bloque de Firmas generado por @firma 4.0 Servicios Auxiliares de Custodia de firmas. Almacenar Documento. Obtener Identificador de un Documento. Obtener Transacciones de Firma Obtener la Firma Electrónica de una Transacción. Obtener Bloque de Firmas. - 17 -
Consideraciones para el acceso a los WS y securización El protocolo de acceso a los WS se define mediante un mensaje de petición y otro de respuesta al mismo. Los interfases XMLSOAP cumplen con el estándar Basic Profile v1.1 del WebService Interoperability (WS WS-I) de OASIS. Las peticiones XMLSOAP en función de la aplicación que realice la misma pueden estar: Sin securizar. Securizadas haciendo uso de usuario/password Firmadas (recomendable). La plataforma devolverá los mensajes SOAP de respuesta firmados haciendo uso del certificado público de la misma (La firma se inserta según en el Binary Security Token según WS-S 1.0 de Oasis). Implica la confianza en el certificado público de la plataforma que se proporciona a los organismos. Futura implementación de OASIS-DSS para esquemas de solicitudes de firma y verificación. - 18 -
Servicios Validación certificados 1. Validación OCSP: Servidor OCSP multiprestador, según la RFC 2560 Actúa como OCSP responder e indica estado de Revocación de un certificado La interpretación de los campos de cada certificado recae sobre el organismo usuario. 2. Web Service validación certificados Validación según la RFC 3280 del estado de revocación, fecha caducidad, y validación de la jerarquía de certificación. Posibilidad de configurar el tipo de validación del certificados en la llamada SIMPLE: se verifican aspectos del certificado como si cumple el estándar X.509 v3, la fecha de validez y la firma del certificado. INTERMEDIO: además de lo anterior, se verifica el estado de revocación del certificado. COMPLETO: se verifica la cadena de certificación del certificado y el estado actual de cada prestador. - 19 -
Servicios Validación certificados Posibilidad de configurar el ObtenerInfo: Su valor será un boolean que especifique si se desea extraer información del certificado a validar o no. Inclusión Token OCSP en la respuesta de la validación: nuevo campo informativo donde, en el caso de utilizar algún método de consulta OCSP, se incluye el OCSP Response recibido del servidor OCSP consultado. El token incluido es la serialización en bytes convertida a Base64 de una estructura OCSP Response, tal y como se define en la RFC 2560. - 20 -
Esquema XML llamada WS validación - 21 -
Obtener Info certificados 3. Web Service ObtenerInfo de los certificados ObtenerInfoCertificado permite extraer la información de un certificado mediante la aplicación del mapeo definido para su tipo. Este proceso verificará que el tipo de certificado se encuentra definido en la plataforma y que la aplicación que realiza la petición tiene acceso a dicho tipo de certificado. En la plataforma se definen una serie de campos lógicos que son parseados de los correspondientes campos X509 de los certificados El parseo de campos se devuelve en un esquema XML <InfoCertificado> <Campo> <idcampo>tipocertificado</idcampo> <valorcampo>[tipo_certificado]</valorcampo> </Campo>... - 22 -
Campos lógicos definidos para el parseo de campos - 23 -
Campos lógicos devueltos en el parseo de campos Nombre y Apellidos Responsable Apellidos Responsable Nombre Responsable fechanacimiento NIFResponsable Segundo Apellido Responsable Primer Apellido Responsable NIF-CIF de Empresa idemisor del Certificado numero serie del certificado Clasificación del Certificado: 0 PF; 1 PJ; 2 COMPONENTE razonsocial Subject Tipo Certificado Usos del Certificado OrganizacionEmisora politica Extensión de Usos del Certificado validodesde validohasta - 24 -
WS de validación de firmas 4. Web Service ValidarFirma ValidarFirma representa el proceso de validar una firma dada, ya sea en formato PKCS7, CMS, XMLDSignature, XAdES, XAdES-BES o XAdES-T, CAdES-BES y CAdES-T. Para cada uno de los firmantes contenidos en la firma electrónica se devuelve: certificado : Indica el certificado del firmante empleado en la firma electrónica. sello_tiempo : Time-Stamp del sello de tiempo de la firma electrónica cert_tsa : Certificado empleado por la TSA para firmar el TimeStampToken de la firma electrónica - 25 -
Parámetros del cliente Algoritmos de firma sha1withrsaencryption: SHA1 y RSA md5withrsaencryption: MD5 con RSA. Preparado para SHA-256 Formatos de firma CMS XMLDsig XAdES-BES, -T, CAdES-BES, -T PDF, ODF Posiblidad de realizar un Filtrado de certificados en cliente Condiciones simples o compuestas Expresiones regulares - 26 -
Componente de cifrado Cifrado de datos simétrico y asimétrico Posibilidad de envío de claves simétricas en un sobre digital CMS firmado y envuelto Los algoritmos de cifrado permitidos son: AES (por defecto) CAST5 IDEA SERPENT TDES TWOFISH y RC5. - 27 -
Políticas de firma-e y firmas longevas (CAdES( y XAdES EPES, -C, -X, -XL, -A) Incorporación de Política de firma-e básica definida en la AGE (ver Esquema de identificación y firma ). Posibilidad de transformar a formatos avanzados firmas realizadas en formatos más básicos. Estudios PDF/A con firmas longevas. Firmas S/MIME Incorporación de nuevos certificados conforme a la LAECSP Sello de órgano para procesos automatizados, Certificado de empleado público, Certificado de sede electrónica Interoperabilidad eidm y esignature con países de la UE y la LAECSP. Desarrollo e implantación de Especificaciones comunes europeas definidas en los trabajos de STORK. Gestión de listas de certificados y Prestadores a través de TSLs Proxy europeo y Bridge. Incorporación de protocolos y tecnologías de Federación de Identidades como SAML v2.0 Nuevo componente cliente de firma. Asociado a Perfil de Protección. Accesibilidad Applet y ActiveX? Estamos desarrollando para el 2009... Nuevos protocolos: XKMS, XACML, SAML, SVCP,... (análisis) - 28 -
Etapas evolutivas Madurez ETAPA IV Transformación 2009, 10,... Integración n de firma en escritorios: google, MS Explorer, Office, OpenOffice Software libre: licencia EUPL Participación en órganos de normalización: n: OASIS, ETSI, CEN,... Nuevos modelos de firma-e asociadas a políticas. Federación de VAs basadas en TSL eid, edoc ETAPA I Inicio 2005-06 06 Servicios Básicos Servicios DNIe Soporte básico b Servicios propietarios Orientación n AGE Interoperabilidad limitada Soluciones de cliente limitadas Modelo operativo y de gestión n básicob Búsqueda de un modelo operativo no intrusivo y efectivo! ETAPA II Extensión 2007 Servicios avanzados complementarios 12 PSCs y más m s de 70 certificados Soporte avanzado (dos niveles) Normalización n de servicios (inglés, perfiles OASIS-DSS,...) Incremento de interoperabilidad:.net/java, navegadores, SOP,... ETAPA III Madurez 2008 Framework de firma-e e Data Mining >> Rendimientos Centro Espejo Expansión n internacional (STORK, PORVOO, IDABC,...) del modelo Calidad y seguridad (ITIL, ISO 27002, Common Criteria,,...) Federación n de VAs Extensión n a EELL Definición n preliminar de políticas de firma-e. Extensión n a CCAA Formatos firma-e Nuevos certificados de Ley de acceso (sede, sello, empleado público) p Modelo de referencia para PSCs Applet mejorado (plug ( plug-ins ins, Conectores a suites del mercado (ASF, compatibilidad) TrustedX,, SIA,...) Modelo de referencia nacional e internacional! Modelo de negocio consolidado! Creación de sector empresarial de firma-e: universidades, fabricantes,... Virtualización de Arquitecturas HW WOA WOA Creación de comunidad de usuarios de @firma con herramientas 2.0 Soporte a integración n basado en CRM y web 2.0 (CTT) Innovadores modelos de redes de Interoperabilidad y servicio! Tiempo - 29 -
Framework de productos y servicios en torno a firma-e Extensiones validación applet - 30 -
Iniciativas complementarias certica Infraestructura de definición y creación de certificados electrónicos de AAPP: empleados públicos, sello electrónico, Organismo público... Certificado de Administración n Pública P C A P @firma.rcp Atributos de firma-e basados en perfiles de Registro Central de Personal de AAPP. STORK: Grupo que pretende canalizar la configuración de las propuestas de realización de pilotos de gran escala. El objeto final es la formación de un consorcio de múltiples países para presentar apartado del eid del programa (ICT PSP). Plataforma de e-government con servicios básicos y avanzados a AAPP: Cambio de domicilio, Verificación de datos de identidad, registro, Pasarela de pagos, electrónicos, Validación y firma electrónica, Orquestación de servicios: ESB, BPEL... - 31 -
Aplicación VALIDe Es un VALIdador de firmas y certificados digitales. Asimismo, dispone de utilidades para firmar documentos. Ciudadanos / Empresas Detached Enveloped, enveloping CAdES, XAdES Es un Demostrador de los servicios de @firma, evitando la construcción de Web Services. Útil para los integradores. I*Net I*Net Accesible a través del Centro de Transferencia de Tecnologías (CTT) en Internet (Validador) y SARA (Demostrador). S.A.R.A. S.A.R.A. Usos futuros: OCSP HTTPS PSC PSC Validar documentos firmados custodiados por organismos a partir de códigos de verificación Validación de sellos y sedes electrónicas Empleados públicos / Integradores LDAP PSC... - 32 -
Aplicación VALIDe - 33 -
Estrategia nacional. Federación de servicios de e-id y e-sig Modelo de federación de Autoridades de Validación en @firma La configuración del Servidor Central se propaga a las implantaciones delegadas. Administración delegada por Organismos en modalidad servicio Intercambio de tokens de confianza (XML firmados): Políticas de Certificados Accounting de transacciones Listas de Certificados (TSLs: Trustservice Status List (ETSI TR 102 030) Peticiones SOAP entre VAs? Otras iniciativas: Incorporación de la Tarjeta de identidad de Portugal o Cartao do Cidadao XML XML Testa Net EUROPE OCSP HTTPS LDAP PSC PSC PSC... - 34 -
Propuesta europea Autoridades de Validación con Bridge CA. Recomendaciones IDABC donde se señala a @firma como Modelo Eficiente de servicio validación Firma Electrónica y es la base del Modelo Propuesto de Federación de VAs para el Reconocimiento Mutuo de la Firma electrónica El El Bridge Bridge distribuye distribuye las las listas listas de de CAs CAs y y certificados certificados admitido admitido por por cada cada país país EBGCA EUVA Directorio Directorio de de Autoridades Autoridades de de Validación Validación nacionales nacionales - 35 -
Algunos números CAs: 13 nationals; 1 international Types of Qualified certificates: 79 Public Bodies- Users: 68 (more than 150 egov applications) + 8.000.000 transactions to date 1.200.000 1.000.000 800.000 600.000 VA Transactions 400.000 200.000 0 mar-06 abr-06 may-06 jun-06 jul-06 ago-06 sep-06 oct-06 nov-06 dic-06 ene-07 feb-07 mar-07 Transacciones TSA abr-07 may-07 jun-07 jul-07 ago-07 sep-07 oct-07 nov-07 dic-07 ene-08 feb-08 mar-08 abr-08 may-08 jun-08 jul-08 800.000 700.000 600.000 500.000 400.000 300.000 200.000 100.000 0 sep-07 oct-07 nov-07 dic-07 ene-08 feb-08 mar-08 abr-08 may-08 jun-08 jul-08 Time Stamping operations - 36 -
@firma: Se le ha concedido el Best Practice Label 2008-37 -
Alfonso Berral Dirección General para el Impulso de la Administración n Electrónica Ministerio de Administraciones Públicas http://www.map.es/ http://www.ctt.map.es/web/proyectos/afirma - 38 -