Identificación n y autenticación Ley 11/2007,de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos () Alfonso Berral López Ministerio de Administraciones Públicas 1 Aspectos recogidos en la sobre sede electrónica, identificación y autenticación 1. Sede electrónica Accesible a través de redes de las AAPP, Integridad y veracidad de la información publicada, titularidad, accesibilidad y usabilidad, publicación de actos y comunicaciones 2. Relación de los Ciudadanos con la Administración Certificados de persona física, jurídica y entidad sin personalidad jurídica (LFE), DNIe, otros (eje. claves concertadas) 3. Relación de la Administración con los Ciudadanos y otras Administraciones Sede electrónica, sello electrónico (procesos automatizados), personal al servicio de las AAPP (empleado). Entre AAPP en entorno cerrado, por determinar (reglamento) 4. Lista de certificados admitidos por las AAPP y servicios de validación y firma Condiciones adicionales, lista de sistemas de firma admitidos por cada AAPP, gratuidad de verificación, Plataformas de verificación de certificados y firmas. 5. Representación de los Ciudadanos Por parte de un funcionario público y por personas físicas o jurídicas autorizadas 2 1
Certificado de Administración Pública Administración General del Estado: Metodología seguida para el desarrollo del reglamento de la Ley Creación de varios grupos de trabajo de expertos en la Comisión Permanente de Administración electrónica: Acciones Organizativas: Plan de Administración Electrónica, Esquemas de Interoperabilidad y Seguridad, Comité Técnico Sectorial (CTS), Centro de Transferencia de Tecnologías (CTT). Sedes, Registros y Comunicaciones: Normalización de Sedes y registros electrónicos y normalización de comunicaciones y documentos. Archivo electrónico. Identificación y autenticación: certificados electrónicos, modelos de prestación de servicios y condiciones adicionales. Esquema de autenticación y firma electrónica. Infraestructuras Comunes: consulta del estado de tramitación cómo va lo mío, red de comunicaciones de las Administraciones Públicas (red SARA), red integrada de atención al ciudadano (060). Consejo Superior de Administración Electrónica Comisión Permanente del CSAE Comisiones Ministeriales Consejo Asesor para la Administración Electrónica C A P certica: Proyecto del MAP para el desarrollo de Esquema de identificación y firma electrónica en la Administración. 3 Metodología seguida para el desarrollo del reglamento de la Ley Comunidades Autónomas: Comité Sectorial de Administración electrónica con las Comunidades Autónomas. Existen grupos de trabajo que desarrollan activamente varias líneas (ver gráfico). Varios grupos convergen en la Ley: red SARA, mejora de procesos, intercambio de datos, e identificación y firma electrónica. Reuniones con Prestadores de Servicios de Certificación Puesta en común de propuestas y enfoques Se presentan propuestas de regulación y de desarrollo acordados en la AGE orientados a conseguir un esquema nacional interoperable y con el foco en el ciudadano. Conferencia Sectorial de Administración Pública Comité Técnico de Administración Electrónica Reutilización Grupos Trabajo e-contratos Observatorio Intercambio Datos Grupo Id. Y firma Red SARA Soft Libre Mejora Procesos 4 2
Países analizados Alemania, Austria, Bélgica, Portugal, Suecia, EEUU, Francia, Noruega, Reino Unido Base del estudio: Establecimiento de niveles de aseguramiento: Unión Europea (IDABC), OCDE Esquemas de reconocimiento mutuo de firma-e IDABC Modelo de prestación de servicios de certificación Metodología seguida para el desarrollo del reglamento de la Ley. Análisis Internacional Escenario normativo: transposición de Directiva Comunitaria de firma-e, Leyes de e- Government, Orientación a modelos de acreditación: 1. Esquema de acreditación de prestadores: Francia (PRIS), EEUU (esquema específico para certificados utilizados por el sector público, que complementa el esquema general de certificación de firma electrónica) 2. Contrato marco con prestadores de servicios (RFP): Noruega, Finlandia, Suecia. 5 Esquema de Identificación y firma electrónica Reglamento Esquema de identificación y firma electrónica de la Administración REGULACIÓN DE LA PKI POLÍTICAS DE CERTIFICACIÓN PERFILES DE CERTIFICADOS MODELO DE DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN GUÍA PARA LA REDACCIÓN DE PROCEDIMIENTOS OPERATIVOS CONDICIONES ADICIONALES CERTIFICADOS Y DE,... MODELO DE GESTIÓN PKI POLÍTICA DE GESTIÓN DE LA LISTA DE SERVICIOS DE CONFIANZA (TSLs) PERFIL DE LA LISTA DE SERVICIOS DE CONFIANZA PROCEDIMIENTOS DE GESTIÓN, ADMISIÓN O ACREDITACIÓN DE TSLs,... Ley de Firma CONDICIONES GENERALES CONDICIONES ADICIONALES POLÍTICA DE FIRMA ELECTRÓNICA NIVELES DE ASEGURAMIENTO PLANTILLAS DE INTEGRACIÓN GESTIÓN DE LA REPRESENTACIÓN... 6 3
Actividades llevadas a cabo en el seno de la Administración General del Estado Etapas cubiertas Análisis de certificados similares y modelos de gestión de PKIs Análisis de prestadores públicos (FNMT, CATCert, IZENPE, ACCV, MTAS, MDEF, Seg. Social, MAPA, DGP y GC, DNIe, ); y privados (Firmaprofesional, Camerfirma, ANF, ) Análisis de iniciativas legislativas en AGE y CCAA. Estudio de iniciativas internacionales: legislación, estudios IDABC Síntesis de modelos y certificados Propuesta inicial de condiciones adicionales Propuesta preliminar de guión de reglamento de Título 3-Capítulo II de : Identificación y autenticación. En curso Desarrollo de detalle de condiciones adicionales: a completar por grupo MAP/MITyC Desarrollo de detalle de modelos de gestión, considerando tanto la dimensión AGE, como CCAA e Internacional Desarrollo de detalle de Perfiles, Políticas de Certificación, modelos de DPCs, etc. Profundizar en aspectos técnicos no abordados del reglamento de Título 3-Capítulo II de : Interoperabilidad, gestión de la representación, Plataformas de validación,... El resultado final sería la creación del: Esquema de identificación n y firma electrónica de la Administración 7 Nuevos certificados digitales y condiciones adicionales Ley de Firma-e / Directiva EU Persona física Empleado Público Persona jurídica Certificado Órgano Sello Órgano Entidad sin personalidad jurídica Sede Condiciones adicionales (requisitos generales) Las condiciones adicionales (art. 4 Ley Firma-e ) se desarrollan para que apliquen a todos los certificados regulados, los ya contemplados en la Ley de firma-e y los nuevos de la. La definición precisa de los modelos para los certificados nuevos de la, evitará la aplicación de condiciones adicionales exhaustivas. 8 4
Condiciones adicionales de LFE y Se recogen en: Artículo 3.7 de la Directiva 99/93/CE, de 13 de diciembre, de firma electrónica, y En el transpuesto artículo 4 de la Ley 59/2003, de 19 de diciembre, de firma electrónica. Se analizarán y sintetizarán seguidamente en el seno del grupo MAP/MITyC y se elevarán a la AGE para su aprobación. Se presentarán a las CCAA para contrastarlas. Se han desarrollado múltiples condiciones con varias alternativas c.u., y catalogadas en los grupos siguientes: A. Organizativas: Cómo y quién se responsabilizaría de llevar a cabo las acreditación y seguimiento del resto de medidas definidas. B. Servicios: Hacen referencia a porfolio de servicios que ofrecerían los PSC sobre los certificados admitidos en la Administración. SLAs C. Seguridad: Requisitos de seguridad que afectan a algoritmos criptográficos, cumplimiento de normas y criterios de seguridad, etc. D. Semánticos: Aquellos que hacen referencia a la configuración de la información en los certificados E. Interconexión: Sobre los medios de acceso a listas de revocación, protocolos, etc. F. De longevidad de las firmas 9 Modelos de Prestación de Servicios de Certificación entre AAPP La Ley de acceso es clara al mantener el principio de subsidiariedad e interoperabilidad entre las diferentes AAPP: Cada Administración determina las condiciones para admitir los nuevos sistemas de firma y certificados (sello, sede o empleado) en su ámbito. Se podrán establecer criterios de reconocimiento mutuo y reciprocidad Habrá, al menos, una Plataforma de verificación de certificados y firmas, por Administración. Se ha de buscar un modelo que facilite la interoperabilidad entre Administraciones y refuerce la confianza del ciudadano. Los Esquemas nacionales de Interoperabilidad y de Seguridad tendrán carácter nacional y se aprobarán por Real Decreto del Gobierno (art. 42.3 de ). TSL-GE Estados Miembros TSL-FR TSL-UK privados acreditados TSL CA-1 CA-1 públicos AGE Mins Def TSL-ES - Validador - Acreditador TSL - Gestor TSL MAP/ MITyC privados públicos acreditados CA-2 TSL CA-2 privados públicos acreditados Solución: han de establecerse mecanismos de puente (bridge) de listas de certificados y prestadores admitidos (TSLs) y una federación de Plataformas de validación y firma para conseguir la necesaria interoperabilidad (art. 41 ). 10 5
Se recoge en los artículos 13.3.b), y 18 de la Se permite para ello el uso de certificados electrónicos o códigos seguros de verificación. Era una necesidad. La Ley de Firma, sólo recogía la actuación no automatizada de personas físicas y jurídicas. su uso por la Administración no estaba regulado hasta la fecha. Actualmente se vienen usando certificados de personas jurídicas, componentes informáticos, servidores seguros Los certificados de sello electrónico podrían incluir, opcionalmente, la identidad de la persona titular del órgano administrativo. Cada Administración ha de publicar los sellos electrónicos utilizados, y se han de poder verificar. Se podrían sellar documentos electrónicos que previamente han sido firmados por un empleado público. Casos de uso: Intercambio de datos entre Administraciones (art. 20 ) Identificación y autenticación de un sistema, servicio web o aplicación. Interoperabilidad de e-documents Archivo electrónico automatizado Federación de firmas e identidades Compulsas y copias electrónicas,... La actuación administrativa automatizada: el sello electrónico 11 La autenticación electrónica: la sede electrónica (1/2) Se recoge en los artículos 8, 10, 11, 12, 13.3.a), y 17 de la Al menos una sede por Administración. Sede electrónica es una dirección electrónica disponible a través de redes de telecomunicaciones cuya titularidad, gestión y administración corresponde a la Administración Pública: eje red SARA. I*NET I*NET S.A.R.A. S.A.R.A. El titular de la sede ha de responder por la integridad y veracidad de la información publicada. Cada Administración establece las condiciones, pero se ha de identificar al titular, y quejas y sugerencias. Principios de accesibilidad y usabilidad. 12 6
Publicación de diarios, boletines oficiales y edictos (opcional). Han de disponer de contenidos publicados en las lenguas oficiales reconocidas en su ámbito Identificación de sede electrónica. Sistema de firma electrónica basado en certificado de dispositivo seguro o medio equivalente. Se crea certificado electrónico ad-hoc. Eje. certificado de servidor seguro para SSL. 1. Dispositivo seguro: eje. HSM (Hardware Security Module) 2. Medio equivalente : eje: servidor que está configurado y gestionado de forma segura; dispondría de una catalogación como tal generado por entidades acreditadas. Casos de uso: La autenticación electrónica: la sede electrónica (2/2) Conexión segura de ciudadanos a sitios web oficiales (sedes) Autenticación, no firma electrónica. Hospeda el Registro Electrónico (art. 25 y 26 ). 13 Firma del personal al servicio de las Administraciones Públicas Se recoge en los artículos 13.3.c), y 19 de la Se emplearán para identificar un empleado público, en cualquiera de sus categorías: funcionario, laboral fijo, eventual,... Identificar el titular y el órgano o Administración. Cada Administración determinará sus características. Han de poder complementar su uso con el DNIe (potestad del empleado) No todos los métodos de firma electrónicas han de basarse en certificados electrónicos Se proponen certificados que podrían disponer de varios perfiles: Medio: soporte sw, algoritmos débiles de firma o cifrado Alto: Dispositivos seguros de creación de firma, certificación de seguridad, algoritmos robustos de firma o cifrado Casos de uso: Competencias laborales (salvo en caso del DNIe) Autenticación y firma electrónica avanzada o reconocida ante el ciudadano y otras Administraciones. Representación de ciudadanos (art. 22 ) En concepto de titular de órgano. 14 7
Estrategia de determinación de perfiles de certificados sello, sede y empleado público Se parte de un estado inmejorable: se disponen de escasos certificados en circulación. Perfiles basados en información mínima suficiente. Evitar ciclo corto de vida de los certificados Determinar diferentes niveles de aseguramiento. Eje. certificados sw vs. hw. Completar información de capacidades y atributos con sistemas externos. Eje: Registros de representación, Registros de personal, Registros de sedes Dat os cert ificado digit al Nombre y apellidos Clasificación Email Fecha nacimiento idemisor NIF-CIF Número de serie Razón social Subject Tipo de certificado Extensión uso certificado Organización emisora Política Uso certificado Valido desde y hasta,... A.G.E. Validez firma solicit ant e Estado (resultado) Proceso Ruta validación Resultado final Sello de tiempos Errores / códigos Plat aforma de Gest ión de Capacidades y Atributos Personal Sedes S ellos @ firma Represent ación Datos Capacidades Fecha Código resultado NIP (Número de Id personal) Nombre y apellidos Fecha nacimiento Ministerio adscrito NRP Centro Directivo ads. Clase Personal País destino Cuerpo Provincia destino Grupo Localidad destino Convenio LiteralLocaDes Fecha nombramiento Puesto que ocupa Situación Nivel que ocupa Situación adva. (última) Fecha Inicio puesto 15 Alfonso Berral López alfonso.berral@map.es Dirección General de Modernización Administrativa Ministerio de Administraciones Públicas http://www.map.es/ Muchas gracias 16 8