Plataforma de validaciPlataforma de validaciPlataforma de validaciPlataforma de validacióóóón y firma n y firma n y firma n y firma electrelectrelectrelectróóóónica de las AAPPnica de las AAPPnica de las AAPPnica de las AAPP
Alfonso Berral López
División de Proyectos de e-AdministraciónMinisterio de Administraciones Públicas
- 2 -
Iniciativa llevada a cabo por varias AAPP de diferente ámbito orientada a
extender el uso de la firma-e en los servicios públicos electrónicos.
Qué elementos componen la Iniciativa:
Un conjunto de sistemas de información que ofrecen servicios de valor añadido en torno a la firma-e.
Una infraestructura de comunicaciones donde soportar los servicios.
Un modelo de cooperación entre AAPP para la explotación de los servicios.
El establecimiento de una comunidad de desarrollo y evolución de los servicios.
Un canal de normalización de criterios de aplicación de firma y certificación digital.
Programas de difusión y comunicación en torno al DNIe.
Intervienen múltiples Organismos Públicos y el MAP coordina las
diferentes actividades que se llevan a cabo en @firma
¿ Qué es ¿ Qué es ¿ Qué es ¿ Qué es @firma ????
- 3 -
Los servicios de certificación digital y firma electrónica tienen una base legal clara.
Los escenarios operativos son complejos de gestionar:
Múltiples Prestadores de Servicios de Certificación. Convenios múltiples.Certificados digitales X.509 v.3 con información no homogéneaMulti-CA: Varios canales de validación de certificados (OCSP, LDAP, ...), ...
Normalización de muchas de las facilidades necesarias:
Algoritmos de cifrado y firma, formatos de firma, sellado de tiempos, ...
Análogas necesidades para el despliegue de la e-Administración: registros telemáticos, sistemas de intercambio, portafirmas, ...
No existen escenarios de confianza afines entre Organismos de la AAPP.
Algunos Organismos de diferentes AAPPs ya disponen de soluciones tecnológicas análogas.
Inminente aparición del DNIe, que supondría un punto de inflexión en el uso de la Administración electrónica.
Génesis... surge la necesidadGénesis... surge la necesidadGénesis... surge la necesidadGénesis... surge la necesidad
- 4 -
Los 5 pilares de la iniciativa habrían de ser los siguientes:
1.1.1.1. Cooperar con todas las AAPP para Cooperar con todas las AAPP para Cooperar con todas las AAPP para Cooperar con todas las AAPP para generalizar el uso de la firmageneralizar el uso de la firmageneralizar el uso de la firmageneralizar el uso de la firma----eeee y la y la y la y la interoperabilidadinteroperabilidadinteroperabilidadinteroperabilidad entre soluciones existentesentre soluciones existentesentre soluciones existentesentre soluciones existentes.
2.2.2.2. Normalizar el Normalizar el Normalizar el Normalizar el aplicación y reconocimiento de de firmaaplicación y reconocimiento de de firmaaplicación y reconocimiento de de firmaaplicación y reconocimiento de de firma y autenticación y autenticación y autenticación y autenticación electrónica por las AAPPelectrónica por las AAPPelectrónica por las AAPPelectrónica por las AAPP
Aplicable en todos los ámbitos de las AAPP, Elegir formatos de firma, algoritmia, homogeneización de los certificados X.509 ver 3.0 generados por múltiples PSCs, ...
3.3.3.3. Impulsar y facilitar el Impulsar y facilitar el Impulsar y facilitar el Impulsar y facilitar el empleo del empleo del empleo del empleo del DNIeDNIeDNIeDNIe en servicios públicos electrónicos.en servicios públicos electrónicos.en servicios públicos electrónicos.en servicios públicos electrónicos.Desde diferentes vertientes: tecnológica, económica, de difusión, ...
4.4.4.4. Reutilizar soluciones ya implementadas por AAPPReutilizar soluciones ya implementadas por AAPPReutilizar soluciones ya implementadas por AAPPReutilizar soluciones ya implementadas por AAPP que empleen que empleen que empleen que empleen componentes basados en componentes basados en componentes basados en componentes basados en open source y estándares abiertosopen source y estándares abiertosopen source y estándares abiertosopen source y estándares abiertos....
@firma de Junta de Andalucía, Apache, Jboss, AXIS, JAVA, ...
5.5.5.5. Impulsar y facilitarImpulsar y facilitarImpulsar y facilitarImpulsar y facilitar el reconocimiento de el reconocimiento de el reconocimiento de el reconocimiento de la Identificación digitalla Identificación digitalla Identificación digitalla Identificación digital (e(e(e(e----IDM) IDM) IDM) IDM) en ámbito paneuropeo.en ámbito paneuropeo.en ámbito paneuropeo.en ámbito paneuropeo.
5 pilares iniciales de nuestro enfoque5 pilares iniciales de nuestro enfoque5 pilares iniciales de nuestro enfoque5 pilares iniciales de nuestro enfoque
- 5 -
El apoyo político ha sido decisivoEl apoyo político ha sido decisivoEl apoyo político ha sido decisivoEl apoyo político ha sido decisivo
Clara determinación
política
- 6 -
Muchas Muchas Muchas Muchas CAs CAs CAs CAs acreditadasacreditadasacreditadasacreditadas por el Ministerio de Industria, conforme a la ley 59/2003 de Firma electrónica.
Las AAPP disponen de PKIs PKIs PKIs PKIs propiaspropiaspropiaspropias, o están en fase de evaluar su incorporación.
Los mayores ‘consumidores de certificados’ -AEAT, TGSS- tienen sus propios propios propios propios mecanismos de acreditación de mecanismos de acreditación de mecanismos de acreditación de mecanismos de acreditación de CAs CAs CAs CAs y certificadosy certificadosy certificadosy certificados. Las CAs centran mucho su estrategia en la Administración en las condiciones establecidas por la AEAT (O.M. HAC/1181/2003).O.M. HAC/1181/2003).O.M. HAC/1181/2003).O.M. HAC/1181/2003).
Poca interoperabilidadPoca interoperabilidadPoca interoperabilidadPoca interoperabilidad al tratar la información de los certificados
Las soluciones del mercadosoluciones del mercadosoluciones del mercadosoluciones del mercado (ASF, KeyONE, ...) se basaban en se basaban en se basaban en se basaban en frameworksframeworksframeworksframeworks de firma para desplegar en organizaciones, no tanto para VAs.
Fuera de nuestras fronterasFuera de nuestras fronterasFuera de nuestras fronterasFuera de nuestras fronteras, la situación era similarera similarera similarera similar
¿Cómo veíamos el sector en el 2005?¿Cómo veíamos el sector en el 2005?¿Cómo veíamos el sector en el 2005?¿Cómo veíamos el sector en el 2005?
- 7 -
Múltiples firmas y
certificados
VA: solución a la interoperabilidad
y simplicidad
?
�
???
��
??
���
VA
SP & AdministracionesPúblicas
CAs
Autoridad de Validación (VA)Autoridad de Validación (VA)Autoridad de Validación (VA)Autoridad de Validación (VA)
- 8 -
PKI DNIPKI DNI--eeCRLs
OCSP
SECTORPRIVADO
US
UA
RIO
SA
EA
T
US
UA
RIO
SG
ISS
AAPP(AGE, CC.AA, EE.LL)
OCSP
Web Services
CRLs
CRLs
DGP DGP
US
UA
RIO
SU
SU
AR
IOS
Y
EM
PR
ES
AS
OCSP
SECTORPRIVADO (PYMES)
AAPP(AGE, CC.AA, EE.LL)
CRLs
Web Services
Esquema de Validación del Esquema de Validación del Esquema de Validación del Esquema de Validación del DNIeDNIeDNIeDNIe
US
UA
RIO
S Y
E
MP
RE
SA
S
- 9 -
Etapas evolutivas Etapas evolutivas Etapas evolutivas Etapas evolutivas
¡¡¡¡BBBBúúúúsqueda de un modelo operativo squeda de un modelo operativo squeda de un modelo operativo squeda de un modelo operativo no intrusivo y efectivono intrusivo y efectivono intrusivo y efectivono intrusivo y efectivo!!!!
ServiciosServiciosServiciosServiciosBBBBáááásicossicossicossicos Servicios Servicios Servicios Servicios DNIeDNIeDNIeDNIe
Soporte bSoporte bSoporte bSoporte báááásicosicosicosico Servicios propietariosServicios propietariosServicios propietariosServicios propietarios
OrientaciOrientaciOrientaciOrientacióóóón AGEn AGEn AGEn AGE Interoperabilidad Interoperabilidad Interoperabilidad Interoperabilidad limitadalimitadalimitadalimitada
Soluciones de cliente limitadasSoluciones de cliente limitadasSoluciones de cliente limitadasSoluciones de cliente limitadas
Modelo operativo y de gestiModelo operativo y de gestiModelo operativo y de gestiModelo operativo y de gestióóóón bn bn bn báááásicosicosicosico
MadurezMadurezMadurezMadurez
TiempoTiempoTiempoTiempo
¡¡¡¡Modelo de negocio Modelo de negocio Modelo de negocio Modelo de negocio consolidadoconsolidadoconsolidadoconsolidado!!!!
Servicios avanzados complementariosServicios avanzados complementariosServicios avanzados complementariosServicios avanzados complementarios
12 12 12 12 PSCs PSCs PSCs PSCs y my my my máááás de 70 certificadoss de 70 certificadoss de 70 certificadoss de 70 certificados
Soporte avanzado (dos niveles)Soporte avanzado (dos niveles)Soporte avanzado (dos niveles)Soporte avanzado (dos niveles)
NormalizaciNormalizaciNormalizaciNormalizacióóóón de servicios (ingln de servicios (ingln de servicios (ingln de servicios (ingléééés, s, s, s, perfiles OASISperfiles OASISperfiles OASISperfiles OASIS----DSS, ...)DSS, ...)DSS, ...)DSS, ...)
Incremento de interoperabilidad: Incremento de interoperabilidad: Incremento de interoperabilidad: Incremento de interoperabilidad: .NET/JAVA, navegadores, SOP, ....NET/JAVA, navegadores, SOP, ....NET/JAVA, navegadores, SOP, ....NET/JAVA, navegadores, SOP, ...
ExtensiExtensiExtensiExtensióóóón a CCAAn a CCAAn a CCAAn a CCAA Formatos firmaFormatos firmaFormatos firmaFormatos firma----eeee
Modelo de referencia para Modelo de referencia para Modelo de referencia para Modelo de referencia para PSCsPSCsPSCsPSCs
Conectores a suites del mercado (ASF, Conectores a suites del mercado (ASF, Conectores a suites del mercado (ASF, Conectores a suites del mercado (ASF, TrustedXTrustedXTrustedXTrustedX, SIA, ...), SIA, ...), SIA, ...), SIA, ...) SOASOASOASOA ¡¡¡¡Modelo de referenciaModelo de referenciaModelo de referenciaModelo de referencia nacional nacional nacional nacional
e internacional!e internacional!e internacional!e internacional!
Framework Framework Framework Framework de firmade firmade firmade firma----e Data e Data e Data e Data MiningMiningMiningMining
>> Rendimientos>> Rendimientos>> Rendimientos>> Rendimientos Centro EspejoCentro EspejoCentro EspejoCentro Espejo
ExpansiExpansiExpansiExpansióóóón internacional (STORK, n internacional (STORK, n internacional (STORK, n internacional (STORK, PORVOO, IDABC,...) del modeloPORVOO, IDABC,...) del modeloPORVOO, IDABC,...) del modeloPORVOO, IDABC,...) del modelo
Calidad y seguridad (ITIL, ISO 27002, Calidad y seguridad (ITIL, ISO 27002, Calidad y seguridad (ITIL, ISO 27002, Calidad y seguridad (ITIL, ISO 27002, Common CriteriaCommon CriteriaCommon CriteriaCommon Criteria, ...), ...), ...), ...)
FederaciFederaciFederaciFederacióóóón de n de n de n de VAs VAs VAs VAs ExtensiExtensiExtensiExtensióóóón a EELLn a EELLn a EELLn a EELL
DefiniciDefiniciDefiniciDefinicióóóón preliminar de poln preliminar de poln preliminar de poln preliminar de polííííticas de ticas de ticas de ticas de firmafirmafirmafirma----e.e.e.e.
Nuevos certificados de Ley de acceso Nuevos certificados de Ley de acceso Nuevos certificados de Ley de acceso Nuevos certificados de Ley de acceso (sede, sello, empleado p(sede, sello, empleado p(sede, sello, empleado p(sede, sello, empleado púúúúblico)blico)blico)blico)
Applet Applet Applet Applet mejorado (mejorado (mejorado (mejorado (plugplugplugplug----insinsinsins, , , , compatibilidad)compatibilidad)compatibilidad)compatibilidad)
ETAPA IETAPA IETAPA IETAPA IETAPA IETAPA IETAPA IETAPA IInicioInicioInicioInicioInicioInicioInicioInicio 2005200520052005----06060606
ETAPA IIETAPA IIETAPA IIETAPA IIETAPA IIETAPA IIETAPA IIETAPA IIExtensiónExtensiónExtensiónExtensiónExtensiónExtensiónExtensiónExtensión 2007200720072007
ETAPA IIIETAPA IIIETAPA IIIETAPA IIIETAPA IIIETAPA IIIETAPA IIIETAPA IIIMadurezMadurezMadurezMadurezMadurezMadurezMadurezMadurez 2008200820082008
- 10 -
Agencia de Certificación de la Comunidad Valenciana
IZENPE
Junta de Andalucía
Universidad de a Coruña
Dirección General de Tráfico
Junta de Castilla y León
Cabildo de Tenerife
DIGIT - Comisión Europea - evaluación
++++?
Organismos con @firma ver 5...Organismos con @firma ver 5...Organismos con @firma ver 5...Organismos con @firma ver 5...
- 11 -
Arquitectura física:Arquitectura física:Arquitectura física:Arquitectura física: @firma
Arquitectura en alta disponibilidad y escalableArquitectura en alta disponibilidad y escalableArquitectura en alta disponibilidad y escalableArquitectura en alta disponibilidad y escalable
Balanceo cargaBalanceo cargaBalanceo cargaBalanceo carga: Uso de balanceadores en configuración Activo-Activo y con las conexiones por duplicado a los servidores de aplicación
Servidores de aplicaciServidores de aplicaciServidores de aplicaciServidores de aplicacióóóónnnn: El balanceo de las peticiones XMLSOAP entreambos nodos es realizado por los balanceadores Hardware anteriores.
SistemaSistemaSistemaSistema de de de de GestiGestiGestiGestióóóónnnn de Base de de Base de de Base de de Base de DatosDatosDatosDatos ((((OOOOracleracleracleracle)))):::: A través de servidores dedicados con SW en alta disponiblidad (configuración RAC 10g)
Utilización sistemas almacenamiento masivo externo: SANSANSANSAN
Utilización de equipos de almacenamiento de claves criptográficas HSMHSMHSMHSM
Próxima instalación de un Centro EspejoCentro EspejoCentro EspejoCentro Espejo
- 12 -
� Soporte para JVM v1.4.2_10 y v1.5.x
� Basada en JBOSS Application Server v4.2.1 o v4.0.2
Java Virtual Machine v. 1.4.2_10 / v1.5.xJava Virtual Machine v. 1.4.2_10 / v1.5.xJava Virtual Machine v. 1.4.2_10 / v1.5.xJava Virtual Machine v. 1.4.2_10 / v1.5.x
Servidor JBossServidor JBossServidor JBossServidor JBoss 4.2.14.2.14.2.14.2.1
HibernateHibernateHibernateHibernate
Apache AXISApache AXISApache AXISApache AXIS
@firma 5@firma 5@firma 5@firma 5(Core)(Core)(Core)(Core) IAIKIAIKIAIKIAIK
Log4JLog4JLog4JLog4J
Oracle 10G
RAC
Peticiones
XMLSOAP de
Clientes
Arquitectura física:Arquitectura física:Arquitectura física:Arquitectura física: @firma
- 13 -
1.1.1.1. ValidaciValidaciValidaciValidacióóóón n n n de de de de certificados electrcertificados electrcertificados electrcertificados electróóóónicosnicosnicosnicos
2.2.2.2. ValidaciValidaciValidaciValidacióóóón n n n de de de de firmas electrfirmas electrfirmas electrfirmas electróóóónicasnicasnicasnicas
3.3.3.3. Firma de Firma de Firma de Firma de documentosdocumentosdocumentosdocumentosEn cliente: applet y en servidorFirmas múltiples y simples
4.4.4.4. Sellado Sellado Sellado Sellado de de de de tiempotiempotiempotiempo
5.5.5.5. CustodiaCustodiaCustodiaCustodia(*)(*)(*)(*)
6.6.6.6. Custodia Custodia Custodia Custodia de de de de certificados electrcertificados electrcertificados electrcertificados electróóóónicos nicos nicos nicos de de de de tercerostercerostercerosterceros
Principales servicios ofrecidos (Principales servicios ofrecidos (Principales servicios ofrecidos (Principales servicios ofrecidos (sept sept sept sept 2008)2008)2008)2008)
(*) Limitado a sistemas internos.
- 14 -
• PrestaciPrestaciPrestaciPrestacióóóón de servicios y soporte a la integracin de servicios y soporte a la integracin de servicios y soporte a la integracin de servicios y soporte a la integracióóóónnnn• Disponibilidad de SLADisponibilidad de SLADisponibilidad de SLADisponibilidad de SLA
• AnAnAnAnáááálisis de informacilisis de informacilisis de informacilisis de informacióóóón por servicios, aplicaciones, tipos n por servicios, aplicaciones, tipos n por servicios, aplicaciones, tipos n por servicios, aplicaciones, tipos de certificados, ...de certificados, ...de certificados, ...de certificados, ...
• Nuevo sistema de auditorNuevo sistema de auditorNuevo sistema de auditorNuevo sistema de auditoríííía y a y a y a y reportingreportingreportingreporting
• TSA del MAPTSA del MAPTSA del MAPTSA del MAP----SARASARASARASARA• Fechado electrFechado electrFechado electrFechado electróóóónico eventos nico eventos nico eventos nico eventos y firmay firmay firmay firma----eeee
• Formato CMS,Formato CMS,Formato CMS,Formato CMS, XMLDsigXMLDsigXMLDsigXMLDsig, XADES, XADES, XADES, XADES----BES y XADESBES y XADESBES y XADESBES y XADES----T, T, T, T, CAdESCAdESCAdESCAdES----BES, BES, BES, BES, CAdESCAdESCAdESCAdES----T, PDF, ODFT, PDF, ODFT, PDF, ODFT, PDF, ODF
• OCSP autenticadoOCSP autenticadoOCSP autenticadoOCSP autenticado
• Nuevos WS de validaciNuevos WS de validaciNuevos WS de validaciNuevos WS de validacióóóón y n y n y n y firmafirmafirmafirma
• Respuestas firmadas en Respuestas firmadas en Respuestas firmadas en Respuestas firmadas en XMLDsigXMLDsigXMLDsigXMLDsig, , , , AdESAdESAdESAdES----BES o BES o BES o BES o AdESAdESAdESAdES----T con T con T con T con eleccieleccieleccieleccióóóón modo inclusin modo inclusin modo inclusin modo inclusióóóón n n n tokens tokens tokens tokens seguridadseguridadseguridadseguridad
• Peticiones: Sin autenticaciPeticiones: Sin autenticaciPeticiones: Sin autenticaciPeticiones: Sin autenticacióóóón, con USR + n, con USR + n, con USR + n, con USR + PasswordPasswordPasswordPassword, , , , firmadas con certificadofirmadas con certificadofirmadas con certificadofirmadas con certificado
• SecurizaciSecurizaciSecurizaciSecurizacióóóón de los WSn de los WSn de los WSn de los WS
• Formato CMS, Formato CMS, Formato CMS, Formato CMS, XMLDsigXMLDsigXMLDsigXMLDsig, , , , XAdESXAdESXAdESXAdES----BES, BES, BES, BES, CAdESCAdESCAdESCAdES----BES, PDF, ODF BES, PDF, ODF BES, PDF, ODF BES, PDF, ODF • Tipos de Firma: en bloque, multifirmaTipos de Firma: en bloque, multifirmaTipos de Firma: en bloque, multifirmaTipos de Firma: en bloque, multifirma cocococo----signsignsignsign yyyy countercountercountercounter----
signsignsignsign• Windows XP, 2000 y Windows XP, 2000 y Windows XP, 2000 y Windows XP, 2000 y LinuxLinuxLinuxLinux; ; ; ; FirefoxFirefoxFirefoxFirefox, , , , IexplorerIexplorerIexplorerIexplorer, Vista, Vista, Vista, Vista
• Cliente de firma (Cliente de firma (Cliente de firma (Cliente de firma (appletappletappletapplet))))
CARACTERIZACICARACTERIZACICARACTERIZACICARACTERIZACIÓÓÓÓNNNNSERVICIOSSERVICIOSSERVICIOSSERVICIOS
Servicios disponibles en Servicios disponibles en Servicios disponibles en Servicios disponibles en @firma
- 15 -
• Validación de certificados desde navegador y Validación de certificados desde navegador y Validación de certificados desde navegador y Validación de certificados desde navegador y cliente de correocliente de correocliente de correocliente de correo
• Adaptación de Adaptación de Adaptación de Adaptación de FirefoxFirefoxFirefoxFirefox----Mozilla Mozilla Mozilla Mozilla y y y y Thunderbird Thunderbird Thunderbird Thunderbird para firmapara firmapara firmapara firma----e y timee y timee y timee y time----stampingstampingstampingstamping
• DOCEL (modelo cliente) y DOCEL (modelo cliente) y DOCEL (modelo cliente) y DOCEL (modelo cliente) y Port@firmasPort@firmasPort@firmasPort@firmas (modelo (modelo (modelo (modelo servidor)servidor)servidor)servidor)• Integración con PortafirmasIntegración con PortafirmasIntegración con PortafirmasIntegración con Portafirmas
• Aplicación de cifrado en Cliente Aplicación de cifrado en Cliente Aplicación de cifrado en Cliente Aplicación de cifrado en Cliente • Complementos de cifradoComplementos de cifradoComplementos de cifradoComplementos de cifrado
• Utilidad de validación que permite completar en Utilidad de validación que permite completar en Utilidad de validación que permite completar en Utilidad de validación que permite completar en local formatos de firma avanzada como XADES local formatos de firma avanzada como XADES local formatos de firma avanzada como XADES local formatos de firma avanzada como XADES gracias al gracias al gracias al gracias al tokentokentokentoken OCSP.OCSP.OCSP.OCSP.
• Inclusión Inclusión Inclusión Inclusión Token Token Token Token validación OCSP en validación OCSP en validación OCSP en validación OCSP en WsWsWsWs de respuesta de validaciónde respuesta de validaciónde respuesta de validaciónde respuesta de validación
• Cumplir con especificaciones ETSI, CEN, OASIS, ... Cumplir con especificaciones ETSI, CEN, OASIS, ... Cumplir con especificaciones ETSI, CEN, OASIS, ... Cumplir con especificaciones ETSI, CEN, OASIS, ... MultiidiomaMultiidiomaMultiidiomaMultiidioma: WS, interfaces de la plataforma: WS, interfaces de la plataforma: WS, interfaces de la plataforma: WS, interfaces de la plataforma
• Inclusión en esquemas de operación Inclusión en esquemas de operación Inclusión en esquemas de operación Inclusión en esquemas de operación internacionalesinternacionalesinternacionalesinternacionales
• Credenciales de seguridadCredenciales de seguridadCredenciales de seguridadCredenciales de seguridad• Acreditación de VA y TSA?Acreditación de VA y TSA?Acreditación de VA y TSA?Acreditación de VA y TSA?
• Proceso de certificación Proceso de certificación Proceso de certificación Proceso de certificación Common Common Common Common Criteria Criteria Criteria Criteria de @firma. Acreditación CCNde @firma. Acreditación CCNde @firma. Acreditación CCNde @firma. Acreditación CCN----CNI. CNI. CNI. CNI.
• Complementar funciones de firmaComplementar funciones de firmaComplementar funciones de firmaComplementar funciones de firma----e con e con e con e con características orgánicas de personal de AAPPcaracterísticas orgánicas de personal de AAPPcaracterísticas orgánicas de personal de AAPPcaracterísticas orgánicas de personal de AAPP
• Atributos de firmaAtributos de firmaAtributos de firmaAtributos de firma----e basados en e basados en e basados en e basados en perfiles de Registro Central de perfiles de Registro Central de perfiles de Registro Central de perfiles de Registro Central de Personal de AAPP. Personal de AAPP. Personal de AAPP. Personal de AAPP.
CARACTERIZACIÓNCARACTERIZACIÓNCARACTERIZACIÓNCARACTERIZACIÓNSERVICIOSSERVICIOSSERVICIOSSERVICIOS
Servicios disponibles en Servicios disponibles en Servicios disponibles en Servicios disponibles en @firma
- 16 -
CARACTERIZACIÓNCARACTERIZACIÓNCARACTERIZACIÓNCARACTERIZACIÓNSERVICIOSSERVICIOSSERVICIOSSERVICIOS
• Perfiles OASISPerfiles OASISPerfiles OASISPerfiles OASIS----DSS para firma y Time DSS para firma y Time DSS para firma y Time DSS para firma y Time StampingStampingStampingStamping• Nuevo WS de Nuevo WS de Nuevo WS de Nuevo WS de upgradeupgradeupgradeupgrade de firmas (validación y extensión de firmas (validación y extensión de firmas (validación y extensión de firmas (validación y extensión
de la firma en un único WS)de la firma en un único WS)de la firma en un único WS)de la firma en un único WS)• Estandarización de WSEstandarización de WSEstandarización de WSEstandarización de WS
• Mejoras en administración, auditoría, interfaz WS Mejoras en administración, auditoría, interfaz WS Mejoras en administración, auditoría, interfaz WS Mejoras en administración, auditoría, interfaz WS (perfiles OASIS) y validación de sellos(perfiles OASIS) y validación de sellos(perfiles OASIS) y validación de sellos(perfiles OASIS) y validación de sellos• Nueva TSANueva TSANueva TSANueva TSA
• Adaptación de producto cedido por Junta de Andalucía.Adaptación de producto cedido por Junta de Andalucía.Adaptación de producto cedido por Junta de Andalucía.Adaptación de producto cedido por Junta de Andalucía.• Adaptación Adaptación Adaptación Adaptación Port@firmasPort@firmasPort@firmasPort@firmas
• Aplicación web para verificar firmas y demostrador de Aplicación web para verificar firmas y demostrador de Aplicación web para verificar firmas y demostrador de Aplicación web para verificar firmas y demostrador de @firma: @firma: @firma: @firma: VALIDVALIDVALIDVALIDeeee
• Verificador Verificador Verificador Verificador de firmade firmade firmade firma----eeee
• Mejora en la gestión Mejora en la gestión Mejora en la gestión Mejora en la gestión multipolíticamultipolíticamultipolíticamultipolítica de certificados. de certificados. de certificados. de certificados. • Administración delegada (solo en modelo federado)Administración delegada (solo en modelo federado)Administración delegada (solo en modelo federado)Administración delegada (solo en modelo federado)• Acceso a documentos custodiados (ahora se puede por Acceso a documentos custodiados (ahora se puede por Acceso a documentos custodiados (ahora se puede por Acceso a documentos custodiados (ahora se puede por
WS)WS)WS)WS)
• Administración @firmaAdministración @firmaAdministración @firmaAdministración @firma
- 17 -
• Validación de certificados.Validación de certificados.Validación de certificados.Validación de certificados.
• Obtención de información de certificados.Obtención de información de certificados.Obtención de información de certificados.Obtención de información de certificados.
• Validación de firma electrónicaValidación de firma electrónicaValidación de firma electrónicaValidación de firma electrónica
• Validar Firma BloquesValidar Firma BloquesValidar Firma BloquesValidar Firma Bloques
• Firma Servidor [CoSign (paralelo) y CounterSign (cascada)]
• Firma Usuario 3 Fases [CoSign (paralelo) y CounterSign (cascada)]
• Firma Usuario 2 Fases [CoSign (paralelo) y CounterSign (cascada)]
• Firma Usuario Bloques
• Obtener Identificadores de Documentos de un Bloque de Firmas de @firma 4.0
• Obtener Información de un Bloque de Firmas generado por @firma 4.0
• Servicios Auxiliares de Custodia de firmas.
–Almacenar Documento.
–Obtener Identificador de un Documento.
–Obtener Transacciones de Firma
–Obtener la Firma Electrónica de una Transacción.
–Obtener Bloque de Firmas.
SERVICIOS WEB DISPONIBLESSERVICIOS WEB DISPONIBLESSERVICIOS WEB DISPONIBLESSERVICIOS WEB DISPONIBLES
Servicios disponibles en Servicios disponibles en Servicios disponibles en Servicios disponibles en @firma
- 18 -
Consideraciones para el acceso a los WS y securizaciónConsideraciones para el acceso a los WS y securizaciónConsideraciones para el acceso a los WS y securizaciónConsideraciones para el acceso a los WS y securización
El protocolo de acceso a los WS se define mediante un mensajemensajemensajemensaje de de de de peticipeticipeticipeticióóóónnnn y otrode respuestarespuestarespuestarespuesta al mismo.
Los interfases XMLSOAP cumplen con el estándar Basic Profile v1.1 delWebService Interoperability (WSWSWSWS----IIII) de OASIS.
Las peticiones XMLSOAP en función de la aplicación que realice la misma puedenestar:
• Sin securizar.• Securizadas haciendo uso de usuario/password• Firmadas (recomendable).
La plataforma devolverá los mensajes SOAP de respuesta firmados haciendo usodel certificado público de la misma (La firma se inserta según en el BinarySecurity Token según WS-S 1.0 de Oasis).
Implica la confianza en el certificado público de la plataforma que se proporciona a los organismos.
Futura implementación de OASIS-DSS para esquemas de solicitudes de firma y verificación.
- 19 -
Servicios Validación certificadosServicios Validación certificadosServicios Validación certificadosServicios Validación certificados
1. Validación OCSP: Servidor OCSP multiprestador, según la RFC 2560
� Actúa como OCSP responder e indica estado de Revocación de un certificado
� La interpretación de los campos de cada certificado recae sobre el organismousuario.
2. Web Service validación certificados
� Validación según la RFC 3280 del estado de revocación, fecha caducidad, y validación de la jerarquía de certificación.
� Posibilidad de configurar el tipo de validación del certificados en la llamada
� SIMPLESIMPLESIMPLESIMPLE: se verifican aspectos del certificado como si cumple el estándar X.509 v3, la fecha de validez y la firma del certificado.
� INTERMEDIOINTERMEDIOINTERMEDIOINTERMEDIO: además de lo anterior, se verifica el estado de revocación del certificado.
� COMPLETO:COMPLETO:COMPLETO:COMPLETO: se verifica la cadena de certificación del certificado y el estado actual de cada prestador.
- 20 -
� Posibilidad de configurar el Posibilidad de configurar el Posibilidad de configurar el Posibilidad de configurar el ObtenerInfoObtenerInfoObtenerInfoObtenerInfo: Su valor será un booleanque especifique si se desea extraer información del certificado a validar o no.
� InclusiInclusiInclusiInclusióóóón n n n TokenTokenTokenToken OCSPOCSPOCSPOCSP en la respuesta de la validación: nuevo campo informativo donde, en el caso de utilizar algún método de consulta OCSP, se incluye el OCSP Response recibido del servidor OCSP consultado. El token incluido es la serialización en bytes convertida a Base64 de una estructura OCSP Response, tal y como se define en la RFC 2560.
Servicios Validación certificadosServicios Validación certificadosServicios Validación certificadosServicios Validación certificados
- 21 -
Esquema XML llamada WS validaciónEsquema XML llamada WS validaciónEsquema XML llamada WS validaciónEsquema XML llamada WS validación
- 22 -
3. Web Service ObtenerInfo de los certificados
� ObtenerInfoCertificado permite extraer la información de un certificado mediante la aplicación del mapeo definido para su tipo.
� Este proceso verificará que el tipo de certificado se encuentra definido en la plataforma y que la aplicación que realiza la petición tiene acceso a dicho tipo de certificado.
� En la plataforma se definen una serie de campos lógicos que son parseados de los correspondientes campos X509 de los certificados
� El parseo de campos se devuelve en un esquema XML
<InfoCertificado>
<Campo>
<idCampo>tipoCertificado</idCampo>
<valorCampo>[tipo_certificado]</valorCampo>
</Campo> ........
Obtener Obtener Obtener Obtener InfoInfoInfoInfo certificadoscertificadoscertificadoscertificados
- 23 -
Campos lógicos definidos para el Campos lógicos definidos para el Campos lógicos definidos para el Campos lógicos definidos para el parseoparseoparseoparseo de camposde camposde camposde campos
- 24 -
Nombre y Apellidos ResponsableNombre y Apellidos ResponsableNombre y Apellidos ResponsableNombre y Apellidos Responsable
Apellidos Responsable Apellidos Responsable Apellidos Responsable Apellidos Responsable
fechaNacimientofechaNacimientofechaNacimientofechaNacimientoNombre ResponsableNombre ResponsableNombre ResponsableNombre Responsable
NIFResponsableNIFResponsableNIFResponsableNIFResponsable
Segundo Apellido ResponsableSegundo Apellido ResponsableSegundo Apellido ResponsableSegundo Apellido Responsable
Primer Apellido ResponsablePrimer Apellido ResponsablePrimer Apellido ResponsablePrimer Apellido Responsable
NIFNIFNIFNIF----CIF de EmpresaCIF de EmpresaCIF de EmpresaCIF de Empresa
idEmisoridEmisoridEmisoridEmisor del Certificadodel Certificadodel Certificadodel Certificado
numero serie del certificadonumero serie del certificadonumero serie del certificadonumero serie del certificado
razonSocialrazonSocialrazonSocialrazonSocial
Clasificación del Certificado: 0 PF; 1 PJ; 2 COMPONENTEClasificación del Certificado: 0 PF; 1 PJ; 2 COMPONENTEClasificación del Certificado: 0 PF; 1 PJ; 2 COMPONENTEClasificación del Certificado: 0 PF; 1 PJ; 2 COMPONENTE
SubjectSubjectSubjectSubject
Tipo CertificadoTipo CertificadoTipo CertificadoTipo Certificado
OrganizacionEmisoraOrganizacionEmisoraOrganizacionEmisoraOrganizacionEmisora
politicapoliticapoliticapolitica
validoDesdevalidoDesdevalidoDesdevalidoDesde
validoHastavalidoHastavalidoHastavalidoHasta
Usos del CertificadoUsos del CertificadoUsos del CertificadoUsos del Certificado
Extensión de Usos del CertificadoExtensión de Usos del CertificadoExtensión de Usos del CertificadoExtensión de Usos del Certificado
Campos lógicos devueltos en el Campos lógicos devueltos en el Campos lógicos devueltos en el Campos lógicos devueltos en el parseoparseoparseoparseo de camposde camposde camposde campos
- 25 -
4. Web Service ValidarFirma
� ValidarFirma representa el proceso de validar una firma dada, ya sea en formato PKCS7, CMS, XMLDSignature, XAdES, XAdES-BES o XAdES-T, CAdES-BES y CAdES-T.
� Para cada uno de los firmantes contenidos en la firma electrónica se devuelve:
� “certificado”: Indica el certificado del firmante empleado en la firma electrónica.
� “sello_tiempo”: Time-Stamp del sello de tiempo de la firma electrónica
� “cert_TSA”: Certificado empleado por la TSA para firmar el TimeStampToken de la firma electrónica
WS de validación de firmasWS de validación de firmasWS de validación de firmasWS de validación de firmas
- 26 -
AlgoritmosAlgoritmosAlgoritmosAlgoritmos de firmade firmade firmade firma
sha1WithRsaEncryption: SHA1 y RSA
md5WithRsaEncryption: MD5 con RSA.
Preparado para SHA-256
FormatosFormatosFormatosFormatos de firmade firmade firmade firma
CMS
XMLDsig
XAdES-BES, -T, CAdES-BES, -T
PDF, ODF
PosiblidadPosiblidadPosiblidadPosiblidad de realizar un de realizar un de realizar un de realizar un FiltradoFiltradoFiltradoFiltrado de de de de certificadoscertificadoscertificadoscertificados en en en en clienteclienteclientecliente
Condiciones simples o compuestas
Expresiones regulares
ParParParParáááámetrosmetrosmetrosmetros del del del del clienteclienteclientecliente
- 27 -
Componente de cifradoComponente de cifradoComponente de cifradoComponente de cifrado
Cifrado de datos simCifrado de datos simCifrado de datos simCifrado de datos siméééétrico y asimtrico y asimtrico y asimtrico y asiméééétricotricotricotrico
Posibilidad de envío de claves simétricas en un sobre digitalsobre digitalsobre digitalsobre digital CMS firmado y envuelto
Los algoritmosalgoritmosalgoritmosalgoritmos de de de de cifradocifradocifradocifrado permitidos son:
�AES (por defecto)
�CAST5
�IDEA
�SERPENT
�TDES
�TWOFISH y RC5.
- 28 -
• Políticas de firmaPolíticas de firmaPolíticas de firmaPolíticas de firma----e y firmas longevas (e y firmas longevas (e y firmas longevas (e y firmas longevas (CAdESCAdESCAdESCAdES y y y y XAdESXAdESXAdESXAdES EPES, EPES, EPES, EPES, ----C, C, C, C, ----X, X, X, X, ----XL, XL, XL, XL, ----A)A)A)A)– Incorporación de Política de firma-e básica definida en la AGE (ver “Esquema de
identificación y firma”).– Posibilidad de transformar a formatos avanzados firmas realizadas en formatos más
básicos.– Estudios PDF/A con firmas longevas. Firmas S/MIME
• Incorporación de nuevos certificados conforme a la LAECSPIncorporación de nuevos certificados conforme a la LAECSPIncorporación de nuevos certificados conforme a la LAECSPIncorporación de nuevos certificados conforme a la LAECSP– Sello de órgano para procesos automatizados, Certificado de empleado público,
Certificado de sede electrónica
• Interoperabilidad Interoperabilidad Interoperabilidad Interoperabilidad eIDMeIDMeIDMeIDM y y y y eSIGNATUREeSIGNATUREeSIGNATUREeSIGNATURE con países de la UE y la LAECSP.con países de la UE y la LAECSP.con países de la UE y la LAECSP.con países de la UE y la LAECSP.– Desarrollo e implantación de Especificaciones comunes europeas definidas en los
trabajos de STORK.– Gestión de listas de certificados y Prestadores a través de TSLs – Proxy europeo y Bridge.– Incorporación de protocolos y tecnologías de Federación de Identidades como SAML
v2.0
• Nuevo componente cliente de firma. Nuevo componente cliente de firma. Nuevo componente cliente de firma. Nuevo componente cliente de firma. – Asociado a Perfil de Protección.– Accesibilidad– Applet y ¿ActiveX?
• Nuevos protocolosNuevos protocolosNuevos protocolosNuevos protocolos: XKMS, XACML, SAML, SVCP, ... (análisis)
Estamos desarrollando para el 2009...Estamos desarrollando para el 2009...Estamos desarrollando para el 2009...Estamos desarrollando para el 2009...
- 29 -
Etapas evolutivas Etapas evolutivas Etapas evolutivas Etapas evolutivas
MadurezMadurezMadurezMadurez
TiempoTiempoTiempoTiempo
¡¡¡¡BBBBúúúúsqueda de un modelo operativo squeda de un modelo operativo squeda de un modelo operativo squeda de un modelo operativo no intrusivo y efectivono intrusivo y efectivono intrusivo y efectivono intrusivo y efectivo!!!!
ServiciosServiciosServiciosServiciosBBBBáááásicossicossicossicos Servicios Servicios Servicios Servicios DNIeDNIeDNIeDNIe
Soporte bSoporte bSoporte bSoporte báááásicosicosicosico Servicios propietariosServicios propietariosServicios propietariosServicios propietarios
OrientaciOrientaciOrientaciOrientacióóóón AGEn AGEn AGEn AGE Interoperabilidad Interoperabilidad Interoperabilidad Interoperabilidad limitadalimitadalimitadalimitada
Soluciones de cliente limitadasSoluciones de cliente limitadasSoluciones de cliente limitadasSoluciones de cliente limitadas
Modelo operativo y de gestiModelo operativo y de gestiModelo operativo y de gestiModelo operativo y de gestióóóón bn bn bn báááásicosicosicosico¡¡¡¡Modelo de negocio Modelo de negocio Modelo de negocio Modelo de negocio consolidadoconsolidadoconsolidadoconsolidado!!!!
Servicios avanzados complementariosServicios avanzados complementariosServicios avanzados complementariosServicios avanzados complementarios
12 12 12 12 PSCs PSCs PSCs PSCs y my my my máááás de 70 certificadoss de 70 certificadoss de 70 certificadoss de 70 certificados
Soporte avanzado (dos niveles)Soporte avanzado (dos niveles)Soporte avanzado (dos niveles)Soporte avanzado (dos niveles)
NormalizaciNormalizaciNormalizaciNormalizacióóóón de servicios (ingln de servicios (ingln de servicios (ingln de servicios (ingléééés, s, s, s, perfiles OASISperfiles OASISperfiles OASISperfiles OASIS----DSS, ...)DSS, ...)DSS, ...)DSS, ...)
Incremento de interoperabilidad: Incremento de interoperabilidad: Incremento de interoperabilidad: Incremento de interoperabilidad: .NET/JAVA, navegadores, SOP, ....NET/JAVA, navegadores, SOP, ....NET/JAVA, navegadores, SOP, ....NET/JAVA, navegadores, SOP, ...
ExtensiExtensiExtensiExtensióóóón a CCAAn a CCAAn a CCAAn a CCAA Formatos firmaFormatos firmaFormatos firmaFormatos firma----eeee
Modelo de referencia para Modelo de referencia para Modelo de referencia para Modelo de referencia para PSCsPSCsPSCsPSCs
Conectores a suites del mercado (ASF, Conectores a suites del mercado (ASF, Conectores a suites del mercado (ASF, Conectores a suites del mercado (ASF, TrustedXTrustedXTrustedXTrustedX, SIA, ...), SIA, ...), SIA, ...), SIA, ...) ¡¡¡¡Modelo de referenciaModelo de referenciaModelo de referenciaModelo de referencia nacional nacional nacional nacional
e internacional!e internacional!e internacional!e internacional!
Framework Framework Framework Framework de firmade firmade firmade firma----e Data e Data e Data e Data MiningMiningMiningMining
>> Rendimientos>> Rendimientos>> Rendimientos>> Rendimientos Centro EspejoCentro EspejoCentro EspejoCentro Espejo
ExpansiExpansiExpansiExpansióóóón internacional (STORK, n internacional (STORK, n internacional (STORK, n internacional (STORK, PORVOO, IDABC,...) del modeloPORVOO, IDABC,...) del modeloPORVOO, IDABC,...) del modeloPORVOO, IDABC,...) del modelo
Calidad y seguridad (ITIL, ISO 27002, Calidad y seguridad (ITIL, ISO 27002, Calidad y seguridad (ITIL, ISO 27002, Calidad y seguridad (ITIL, ISO 27002, Common CriteriaCommon CriteriaCommon CriteriaCommon Criteria, ...), ...), ...), ...)
FederaciFederaciFederaciFederacióóóón de n de n de n de VAsVAsVAsVAs ExtensiExtensiExtensiExtensióóóón a EELLn a EELLn a EELLn a EELL
DefiniciDefiniciDefiniciDefinicióóóón preliminar de poln preliminar de poln preliminar de poln preliminar de polííííticas de ticas de ticas de ticas de firmafirmafirmafirma----e.e.e.e.
Nuevos certificados de Ley de acceso Nuevos certificados de Ley de acceso Nuevos certificados de Ley de acceso Nuevos certificados de Ley de acceso (sede, sello, empleado p(sede, sello, empleado p(sede, sello, empleado p(sede, sello, empleado púúúúblico)blico)blico)blico)
Applet Applet Applet Applet mejorado (mejorado (mejorado (mejorado (plugplugplugplug----insinsinsins, , , , compatibilidad)compatibilidad)compatibilidad)compatibilidad)
ETAPA IETAPA IETAPA IETAPA IETAPA IETAPA IETAPA IETAPA IInicioInicioInicioInicioInicioInicioInicioInicio 2005200520052005----06060606
ETAPA IIETAPA IIETAPA IIETAPA IIETAPA IIETAPA IIETAPA IIETAPA IIExtensiónExtensiónExtensiónExtensiónExtensiónExtensiónExtensiónExtensión 2007200720072007
ETAPA IIIETAPA IIIETAPA IIIETAPA IIIETAPA IIIETAPA IIIETAPA IIIETAPA IIIMadurezMadurezMadurezMadurezMadurezMadurezMadurezMadurez 2008200820082008
¡¡¡¡Innovadores Innovadores Innovadores Innovadores modelos de redes de modelos de redes de modelos de redes de modelos de redes de Interoperabilidad y servicio!Interoperabilidad y servicio!Interoperabilidad y servicio!Interoperabilidad y servicio!
IntegraciIntegraciIntegraciIntegracióóóón de firma en n de firma en n de firma en n de firma en ParticipaciParticipaciParticipaciParticipacióóóón en n en n en n en escritorios:escritorios:escritorios:escritorios: googlegooglegooglegoogle, , , , óóóórganos de rganos de rganos de rganos de MS Explorer, Office,MS Explorer, Office,MS Explorer, Office,MS Explorer, Office, OpenOffice OpenOffice OpenOffice OpenOffice normalizacinormalizacinormalizacinormalizacióóóón: n: n: n:
OASIS, ETSI, CEN, ...OASIS, ETSI, CEN, ...OASIS, ETSI, CEN, ...OASIS, ETSI, CEN, ...Software libre: licencia EUPLSoftware libre: licencia EUPLSoftware libre: licencia EUPLSoftware libre: licencia EUPL
Nuevos modelos de firmaNuevos modelos de firmaNuevos modelos de firmaNuevos modelos de firma----e asociadas a pole asociadas a pole asociadas a pole asociadas a polííííticas.ticas.ticas.ticas.
FederaciFederaciFederaciFederacióóóón de n de n de n de VAs VAs VAs VAs basadas en TSLbasadas en TSLbasadas en TSLbasadas en TSL eIDeIDeIDeID, , , , eDOCeDOCeDOCeDOC
CreaciCreaciCreaciCreacióóóón de sector empresarial de firman de sector empresarial de firman de sector empresarial de firman de sector empresarial de firma----e: e: e: e: universidades, fabricantes, ...universidades, fabricantes, ...universidades, fabricantes, ...universidades, fabricantes, ...
VirtualizaciVirtualizaciVirtualizaciVirtualizacióóóón n n n de Arquitecturas HWde Arquitecturas HWde Arquitecturas HWde Arquitecturas HW ““““WOAWOAWOAWOA””””
CreaciCreaciCreaciCreacióóóón de comunidad de usuarios de @firma con n de comunidad de usuarios de @firma con n de comunidad de usuarios de @firma con n de comunidad de usuarios de @firma con herramientas 2.0herramientas 2.0herramientas 2.0herramientas 2.0
Soporte a integraciSoporte a integraciSoporte a integraciSoporte a integracióóóón basado en CRM y web 2.0 (CTT)n basado en CRM y web 2.0 (CTT)n basado en CRM y web 2.0 (CTT)n basado en CRM y web 2.0 (CTT)
ETAPA IVETAPA IVETAPA IVETAPA IVETAPA IVETAPA IVETAPA IVETAPA IVTransformaciónTransformaciónTransformaciónTransformaciónTransformaciónTransformaciónTransformaciónTransformación 2009, 10, ...2009, 10, ...2009, 10, ...2009, 10, ...
- 30 -
FrameworkFrameworkFrameworkFramework de productos y servicios en torno a firmade productos y servicios en torno a firmade productos y servicios en torno a firmade productos y servicios en torno a firma----eeee
applet
Extensionesvalidación
- 31 -
Iniciativas complementariasIniciativas complementariasIniciativas complementariasIniciativas complementarias
� certicerticerticertiCACACACA Infraestructura de definición y creación de certificadoselectrónicos de AAPP: empleados públicos, sello electrónico, Organismo público...
� @firma.RCP Atributos de firma-e basados en perfiles de Registro Central de Personal de AAPP.
� STORKSTORKSTORKSTORK: Grupo que pretende canalizar la configuración de las propuestas de realización de pilotos de gran escala. El objeto final es la formación de un consorcio de múltiples países para presentar apartado del eID del programa (ICT PSP).
� Plataforma de ePlataforma de ePlataforma de ePlataforma de e----GovernmentGovernmentGovernmentGovernment con servicios básicos y avanzados a AAPP:
� Cambio de domicilio, Verificación de datos de identidad, registro, Pasarela de pagos, electrónicos, Validación y firma electrónica, Validación y firma electrónica, Validación y firma electrónica, Validación y firma electrónica, Orquestación de servicios: ESB, BPEL...
Certificado deCertificado deCertificado deCertificado deAdministraciAdministraciAdministraciAdministracióóóón Pn Pn Pn Púúúúblicablicablicablica
C A PC A PC A PC A PC A PC A PC A PC A P
Certificado deCertificado deCertificado deCertificado deAdministraciAdministraciAdministraciAdministracióóóón Pn Pn Pn Púúúúblicablicablicablica
C A PC A PC A PC A PC A PC A PC A PC A P
- 32 -
S.A.R.A.S.A.R.A.
AplicaciAplicaciAplicaciAplicacióóóón n n n VALIDeVALIDeVALIDeVALIDe
PSCPSC
PSCPSC
PSCPSC
...
OCSP
HTTPS
LDAP
Ciudadanos / Empresas
I*NetI*Net
Empleados públicos / Integradores
� Es un VALIdador de firmas y certificados digitales. Asimismo, dispone de utilidades para firmar documentos.
� Detached� Enveloped, enveloping� CAdES, XAdES
� Es un Demostrador de los servicios de @firma, evitando la construcción de Web Services. Útil para los integradores.
� Accesible a través del Centro de Transferencia de Tecnologías (CTT) en Internet (Validador) y SARA (Demostrador).
� Usos futuros:
� Validar documentos firmados custodiados por organismos a partir de códigos de verificación
� Validación de sellos y sedes electrónicas
- 34 -
• Modelo Modelo Modelo Modelo de federación de Autoridades de Validación en @firma
• La configuración La configuración La configuración La configuración del “Servidor Central” se propaga se propaga se propaga se propaga a las implantaciones delegadas.
• Administración delegadaAdministración delegadaAdministración delegadaAdministración delegada por Organismos en modalidad servicio
• Intercambio de tokenstokenstokenstokens de confianza (XML firmados):
� Políticas de Certificados
� Accounting de transacciones
� Listas de Certificados (TSLs: Trust-service Status List (ETSI TR 102 030)
� Peticiones SOAP entre VAs
� ¿?
• Otras iniciativas:
� Incorporación de la Tarjeta de identidad de Portugal o Cartao do Cidadao
Estrategia nacional. FederaciEstrategia nacional. FederaciEstrategia nacional. FederaciEstrategia nacional. Federacióóóón de servicios de en de servicios de en de servicios de en de servicios de e----ID y eID y eID y eID y e----SIGSIGSIGSIG
XML
XML
PSCPSC
PSCPSC
PSCPSC
...
OCSP
HTTPS
LDAP
Testa Net EUROPE
- 35 -
EUVAEl Bridge distribuye las listas de CAs y
certificados admitido por cada país
El Bridge distribuye las listas de CAs y
certificados admitido por cada país
Directorio de Autoridades de
Validación nacionales
Directorio de Autoridades de
Validación nacionales
EBGCA
Recomendaciones IDABC donde se seRecomendaciones IDABC donde se seRecomendaciones IDABC donde se seRecomendaciones IDABC donde se seññññala a @firma como Modelo Eficiente ala a @firma como Modelo Eficiente ala a @firma como Modelo Eficiente ala a @firma como Modelo Eficiente de servicio validacide servicio validacide servicio validacide servicio validacióóóón Firma Electrn Firma Electrn Firma Electrn Firma Electróóóónica y es la base del Modelo Propuesto de nica y es la base del Modelo Propuesto de nica y es la base del Modelo Propuesto de nica y es la base del Modelo Propuesto de FederaciFederaciFederaciFederacióóóón de n de n de n de VAsVAsVAsVAs para el Reconocimiento Mutuo de la Firma electrpara el Reconocimiento Mutuo de la Firma electrpara el Reconocimiento Mutuo de la Firma electrpara el Reconocimiento Mutuo de la Firma electróóóónicanicanicanica
Propuesta europea Autoridades de ValidaciPropuesta europea Autoridades de ValidaciPropuesta europea Autoridades de ValidaciPropuesta europea Autoridades de Validacióóóón conn conn conn con BridgeBridgeBridgeBridge CA. CA. CA. CA.
- 36 -0
100.000
200.000
300.000
400.000
500.000
600.000
700.000
800.000
sep-07 oct-07 nov-07 dic-07 ene-08 feb-08 mar-08 abr-08 may-08 jun-08 jul-08
Transacciones TSA
CAs: 13 nationals; 1 internationalCAs: 13 nationals; 1 international
Types of Qualified certificates: 79Types of Qualified certificates: 79
Public Bodies- Users: 68 (more than 150 eGov applications)�Public Bodies- Users: 68 (more than 150 eGov applications)�
+ 8.000.000 transactions to date+ 8.000.000 transactions to date
VA Transactions
Time Stamping operations
0
200.000
400.000
600.000
800.000
1.000.000
1.200.000
mar
-06
abr-0
6m
ay-0
6
jun-
06
jul-0
6ag
o-06
sep-
06
oct-0
6no
v-06
dic-
06en
e-07
feb-
07m
ar-0
7ab
r-07
may
-07
jun-
07
jul-0
7ag
o-07
sep-
07
oct-0
7no
v-07
dic-
07en
e-08
feb-
08m
ar-0
8ab
r-08
may
-08
jun-
08
jul-0
8
Algunos númerosAlgunos númerosAlgunos númerosAlgunos números
- 37 -
@firma: Se le ha concedido el @firma: Se le ha concedido el @firma: Se le ha concedido el @firma: Se le ha concedido el Best PracticeBest PracticeBest PracticeBest Practice LabelLabelLabelLabel 2008200820082008
- 38 -
Alfonso BerralAlfonso BerralAlfonso BerralAlfonso Berral
DirecciDirecciDirecciDireccióóóón General para el Impulso de la Administracin General para el Impulso de la Administracin General para el Impulso de la Administracin General para el Impulso de la Administracióóóón Electrn Electrn Electrn Electróóóónicanicanicanica
Ministerio de Administraciones PMinisterio de Administraciones PMinisterio de Administraciones PMinisterio de Administraciones Púúúúblicasblicasblicasblicas
http://www.map.es/http://www.map.es/http://www.map.es/http://www.map.es/
http://www.ctt.map.es/web/proyectos/afirmahttp://www.ctt.map.es/web/proyectos/afirmahttp://www.ctt.map.es/web/proyectos/afirmahttp://www.ctt.map.es/web/proyectos/afirma