Infraestructura de Clave Pública

de la Generalitat Valenciana

D.G. de Telecomunicaciones e Investigación

Mayo de 2.007 Conselleria de Infraestructura y Transportes
 Agenda
¾ Objetivos del proyecto
¾ Estado actual y evolución futura
¾ Estructura fisica y logica
¾ Emisión y gestión de certificados
¾ Servicios de Validación
¾ Interrelación con otros proyectos
¾ Puntos de Registro

2 www.accv.es
 Objetivos del proyecto

9 Implantación de una Plataforma de Certificación

9 Formación
9 Soporte al desarrollo de aplicaciones sobre la PKI
9 Definición y puesta en marcha de estructuras de
soporte de la PKI
9 Promoción y participación en proyectos de PKI

3 www.accv.es
 Estado actual y evolución futura

¾ Implantación de una Plataforma de Certificación

Generadas rootCA y CAGVA en julio de 2.001
Resto de sistemas del núcleo de la PKI puestos
en funcionamiento entre julio y octubre de 2.001
Definición y desarrollo de sistemas propios para
emisión, control y gestión de certificados.
Otros servicios (OCSP, KAS, TSS, Servicios
Web...)

4 www.accv.es
 Estado actual y evolución futura

¾ Formación
9Personal de proyecto
9Se favorece la obtención de certificaciones (CISA, CISM, etc)
9Personal de InfoCentre (agentes de CallCenter y responsables de
microinformática)
9Equipos de desarrollo de otros departamentos
9Cursos sobre e-Formación
9 Dos cursos activos
- Firma Digital I (Iniciación)
- Firma Digital II (Conceptos avanzados)
9Formación presencial del IVAP
9Operadores de Punto de Registro de Usuario

5 www.accv.es
 Estado actual y evolución futura
¾ Soporte al desarrollo de aplicaciones sobre la PKI
9 Desarrolladas APIs de recubrimiento
• 1ª Fase. Librerías propietarias (KeyTool). Obsoleta
• 2ª Fase. Paso a librerías GPL ( o similar). Terminada
– BouncyCastle http://www.bouncycastle.org
– Cryptlib (Acceso a las tarjetas)
» Utilización de las librerías PKCS#11 de CL
• API IDEAS versión 3.6 (última versión Abril 2006)
– Soporte Java 1.3.X y Java 1.4.X
– En desarrollo soporte Java 1.5
– Firma y cifrado de datos
– Gestión de sellos de tiempo
– Acceso a los servicios de validación
– Etc..

6 www.accv.es
 Estado actual y evolución futura
¾ Soporte al desarrollo de aplicaciones sobre la PKI
9 Soporte en todas las fases de desarrollo
9 Utilización y soporte a nuevas herramientas
9 Creación de canales de comunicación entre
grupos de desarrollo

7 www.accv.es
 Estado actual y evolución futura

¾ Definición y puesta en marcha de estructuras de

soporte de la PKI
Decreto de firma (87/2002, de 30 de mayo)
Asistencia en el desarrollo de otras normas
Definición de CPS y CPs
Definición de procedimientos para PRUs

8 www.accv.es
 Estado actual y evolución futura
¾ Obtención de sellos de calidad
9 WEBTrust
• Sello orientado a la seguridad de los servicios de información
• Sello obtenido – 1Q 2006
• La ACCV se encuentra ahora en la 1ª revisión
9 Adecuación a la LOPD
• Auditoria finalizada satisfactoriamente en noviembre 2005
• Primera revisión en curso.
9 ISO-17799 (BS-7799 UNE-71502)
9 CWA-14167-1
• Security Requirements for Trustworthy Systems Managing
Certificates for Electronic Signatures - Part 1: System Security
Requirements

9 www.accv.es
 Estado actual y evolución futura

¾ Promoción y participación en proyectos de PKI

Listas de distribución
Sitio web de proyecto
Boletín ACCV-INFORMA
Presentaciones del proyecto
Ruedas de Prensa
Artículos en revistas especializadas
Colaboración con universidades
Participación en concursos y conferencias
Colaboración con otros proyectos de AGE
Colaboración con otros Prestadores públicos y privados
Más de 650 reuniones dentro y fuera de G.V.
...

10 www.accv.es
 Estructura Fisica (CPD Primario)

DMZ C A

RootCA

FW CA
Test Servicios Servicios
XRAO1 XRAO2 WEB1 WEB2

DMZ DB RA +
Balanceadores ARM
DMZ “End User Access”
RA +
ARM

LDAP1+OCSP1+TSS1 LDAP2+OCSP2+TSS2 BBDD PR Gateway

Oracle
WEB1 WEB2
11 www.accv.es
 Estructura lógica (I)

Root OCSP X.509v3

LDAP CRL
CA

GVA KAS
ACCV-CA2 ACCV-CA1
CA

TSS
GVA1
ARM
RA

Mail
Browser GW SRAO CRAO
VPN XRAO

12 www.accv.es
 Estructura lógica (II)
root LDAP
CA
LDAP

KAS CAGVA

CorreoCV
creación cuentas
OCSP WebServices
OCSP
Tramitación y gestió
Tramitació gestión
distribuida en PRUs OCSP Responder WebServices

Servicios web:
SRAO BDD TSS
TSS • validaci
validacióón firma y certificado
XRAO xrao • generaci
generacióón token registro
Serv. Sellos de Tiempo

13 www.accv.es
 Emisión y gestión de certificados (I)
Tipos de certificados emitidos

9 Personales: emitidos exclusivamente a personas físicas

• Certificados reconocidos en soporte software
• Formato PKCS#12
• Se entrega en un soporte de 3 ½ o en Token USB
• Funciona en cualquier plataforma (Windows, Linux, etc)
• Certificados reconocidos en dispositivo seguro
• Se entrega en tarjeta criptografica
• Controladores con soporte CSP y PKCS#11
• Soporte para Windows y Linux

14 www.accv.es
 Emisión y gestión de certificados (II)
¾ Tipos de certificados emitidos
9 Certificados de Entidad: Emitidos para entidades con
o sin personalidad jurídica
• Certificados reconocidos en dispositivo seguro de creación
de firma.
– Se entregan en tarjeta criptografica
– Controladores con soporte CSP y PKCS#11
– El solicitante debe acreditar sus poderes de representación
mediante un proceso de bastanteo.

15 www.accv.es
 Emisión y gestión de certificados (III)
¾ Tipos de certificados emitidos
9 Servidores con soporte SSL
• Identifica al servidor, para un servicio dado (http, ldap).
9 Servidores de VPN
• Permite gestionar al servidor perfiles de usuario con
certificado
9 Firma de código
• Realiza la firma de código (java, ActiveX)
9 Firma de aplicaciones
• Habilita la firma en procesos no interactivos

16 www.accv.es
 Emisión y gestión de certificados (IV)
¾ Tipos de certificados emitidos
9 Certificados de inicio de sesion en Windows
• Identifica al usuario frente a un dominio de windows
• Deben seguir el formato de Microsoft
– campo UPN (usuario@dominio)
• Solo se emiten en tarjeta
9 Certificados de Controlador de dominio
• Permiten a un controlador de dominio autenticar a
usuarios de un dominio
• Deben seguir el formato de Microsoft
– Campo GUID del controlador
– Nombre DNS del contralador

17 www.accv.es
 Emisión y gestión de certificados (V)
Perfil de los certificados personales (Dispositivo seguro de creación
de firma)

Emitidos como certificados cualificados

certificados reconocidos según RFC 3739 (Marzo 2004)
según Ley-59/2003

Certificado para firma Certificado para cifrado

Núme ro de se rie: 3C E15119
Em isor: CA GVA
Asunto:
Se rial Numbe r=12345678X,G=ANTO NIO,SN=PER EZ PER EZ
C N= ANTO NIO PER EZ PER EZ – NIF: 12345678X
OU=C iudadanos,O =Ge ne ralitat Vale nciana,C =ES
Válido desde : 20/05/2002 10:55:54
Válido hasta: 19/05/2005 10:55:54
OID=1.3.6.1.4.1.8149.3.6.4.0
C lave Pública (1024 bits): fffffffffffffffffffffffffffffffffff
Usos de la Clave : Firma Digital
Núme ro de se rie: 3C E15F1A
Em isor: CA GVA
Asunto:
Se rial Numbe r=12345678X,G=ANTO NIO,SN=PER EZ PER EZ
C N= ANTO NIO PER EZ PER EZ – NIF: 12345678X
OU=C iudadanos,O =Ge ne ralitat Vale nciana,C =ES
Válido desde : 20/05/2002 10:56:04
Válido hasta: 19/05/2005 10:56:04
OID=1.3.6.1.4.1.8149.3.6.4.0
C lave Pública (1024 bits): ccccccccccccccccccccccc
Usos de la Clave : C ifrado de clave , C ifrado de datos

18 www.accv.es
 Emisión y gestión de certificados (VI)
Perfil de los certificados personales (perfil software)

Emitidos como certificados cualificados

certificados reconocidos según RFC 3739 (Marzo 2004
según Ley-59/2003

Certificado para firma Certificado para cifrado

Núme ro de se rie: 3C E15119
Em isor: CA GVA
Asunto:
Se rial Numbe r=12345678X,G=ANTO NIO,SN=PER EZ PER EZ
C N= ANTO NIO PER EZ PER EZ – NIF: 12345678X
OU=C iudadanos,O =Ge ne ralitat Vale nciana,C =ES
Válido desde : 20/05/2002 10:55:54
Válido hasta: 19/05/2005 10:55:54
OID=1.3.6.1.4.1.8149.3.7.3.0
C lave Pública (1024 bits): fffffffffffffffffffffffffffffffffff
Usos de la Clave : Firma Digital
Núme ro de se rie: 3C E15F1A
Em isor: CA GVA
Asunto:
Se rial Numbe r=12345678X,G=ANTO NIO,SN=PER EZ PER EZ
C N= ANTO NIO PER EZ PER EZ – NIF: 12345678X
OU=C iudadanos,O =Ge ne ralitat Vale nciana,C =ES
Válido desde : 20/05/2002 10:56:04
Válido hasta: 19/05/2005 10:56:04
OID=1.3.6.1.4.1.8149.3.7.3.0
C lave Pública (1024 bits): ccccccccccccccccccccccc
Usos de la Clave : C ifrado de clave , C ifrado de datos

19 www.accv.es
 Emisión y gestión de certificados (VII)
Perfil de los certificados personales

9 Certifican el vínculo entre una identidad y una clave pública

9 No contienen atributos dependientes de aplicaciones
9 Simplicidad en procesos de registro, que se limitan a la
comprobación de la identidad del solicitante
9 Reusabilidad entre aplicaciones y reducción de costes de
despliegue

¾ Posibilitan el Archivado de Claves de Cifrado, respetando la

legislación

20 www.accv.es
 Emisión y gestión de certificados (VIII)
Perfil de los certificados de entidad (Dispositivo seguro de creación de
firma)

Emitidos como certificados cualificados

certificados reconocidos según RFC 3739 (Marzo 2004)
según Ley-59/2003

Certificado con usos de firma y cifrado

Núme ro de se rie: 27 15 a6 83 49 ab a6 f9
Em isor: ACC V-C A1
Asunto:
Se rial Numbe r=S2826024H,G=ANTO NIO ,SN=PER EZ PER EZ,1.3.6.1.4.1.18838.1.1=12345678X, C N= EMPR ESA S.A.
OU=Entidade s,O =Gene ralitat Vale nciana,C =ES
Válido desde : 20/05/2002 10:55:54
Válido hasta: 19/05/2005 10:55:54
OID=1.3.6.1.4.1.8149.3.6.4.0
C lave Pública (1024 bits): fffffffffffffffffffffffffffffffffff
Usos de la Clave : Firma Digital, Cifrado de claves, C ifrado de datos

21 www.accv.es
 Emisión y gestión de certificados (VIII)
¾ Tasa para kits criptograficos
9 Preferencia de soporte en tarjeta
9 No se encuentra como ‘informatica de consumo’
9 Es necesario habilitar un mecanismo para su
adquisición sin:
• Cargar los gastos a la ACCV
• Depender de los circuitos habituales de suministros
9 Solución: El usuario decide
• Tarjeta Æ Paga la tasa por el hardware
• Software Æ Gratuito
9 Para entidades: Siempre en tarjeta

22 www.accv.es
 Emisión y gestión de cerificados (IX)
¾ Tasa para kits criptograficos
9 Se añaden por ley de acompañamiento a la ley
16/2003, de 17 de diciembre, las siguientes tasas:
• Kit criptografico (tarjeta + lector USB): 43,70€
• Tarjeta: 22,90€
• Lector USB: 18,73€
9 Se solicita por Internet, pagandose en entidades
financiaras colaboradoras y se recoge en el PRU
de elección del usuario

23 www.accv.es
 Servicios de Validación(I)
¾ Mecanismos proporcionados por la PKI
9 Estado del certificado
• OCSP
• SCVP
• CRL
9 Sellos de Tiempo
9 Servicios Web de validación
¾ Punto de contacto entre Aplicaciones e
Infraestructura

24 www.accv.es
 Servicios de Validación (II)
¾ OCSP
9 Online Certificate Status Protocol RFC-2560
9 Encapsulado sobre protocolos ya existentes.
• HTTP
• SMTP
• LDAP
9 Rapido, eficiente y ligero
9 Sustituto natural de la consulta por CRL
9 Devuelve el estado:
• Revoked, Good, Unknown

25 www.accv.es
 Servicios de Validación (III)
¾ SCVP
9 Server-based Certificate Validation Protocol
9 En Draft de enero 2007 (caduca en 6 meses)
9 Proporciona mas información que OCSP
• Construye la cadena de certificación
• Estado del certificado
• Estado de la cadena de certificación
9 La petición es configurable
• El cliente le dice al servidor lo que necesita
9 Descarga la validación en el servidor

26 www.accv.es
 Servicios de Validación (IV)
¾ CRL
9 Certificate Revocation List RFC-3280 (RFC-4325
y RFC-4630)
9 Es el metodo mas simple
9 Solo proporciona un almacén firmado de:
• Números de serie de certificados
• Fechas
• Motivos de revocación
9 Define un algoritmo para la comprobación

27 www.accv.es
 Servicios de Validación (V)
¾ CRL
9 Los clientes realizan todo el proceso:
• Descarga
• Comprobación de la firma de la CRL
• Recorrido por los números de serie
• Obtención de los datos
9 Los certificados incluyen la posición de la CRL
• Extensión CDP (CRL Distibution Point )
• LDAP URI, HTTP URI, etc

28 www.accv.es
 Servicios de Validación (VI)
¾ Sellos de Tiempo
9 Conjunto de especificaciones:
• TSP (Time Stamp Protocol) RFC-3161
• TSA (Time Stamping Authority)
• TSU (Time-Stamp Unit)
9 Garantiza la existencia de un dato en un tiempo
9 Garantiza el No Repudio
9 TSA se encarga de firmar el Token junto con la
fecha.

29 www.accv.es
 Servicios de Validación (VII)
¾ Sellos de Tiempo
9 TSP define la comunicación
• Utilizando e-mail
– Especifica la codificación ASN1
• Protocolo basado en fichero
• Protocolo basado en Sockets
– Utiliza puerto 318
– Define la estructura del paquete TCP
• Utilizando HTTP
– Define tipos de contenido especifico
» Content-Type: application/timestamp-query

» Content-Type: application/timestamp-reply
» Content-Type: application/timestamp-response

30 www.accv.es
 Servicios de Validación (VIII)
¾ La Infraestructura PKI de la GVA
9 Ofrece un conjunto replicado de servidores OCSP
• ocsp.pki.gva.es
9 Mantiene la CRL actualizada en:
• HTTP
• LDAP
9 Ofrece Servicios de Sellado de Tiempo sobre
HTTP (implementación de OpenTSA)
• tss.pki.gva.es
• Puerto 8318

31 www.accv.es
 Servicios de Validación (IX)
¾ Servicio web de validación
9 Desarrollo propio
• Tomcat (Contenedor Servlets, proyecto Apache Jakarta)
• Axis (Servidor SOAP, proyecto Apache XML )
• BouncyCastle (librerías criptograficas)
9 Servicios actuales
• 25 metodos agrupados en tres categorias
– Manejo de certificados
– Manejo de sellos de tiempo y tokens de validación
– Comprobación de firmas
9 Ampliaciones en curso
• Compatibilidad XAdES

32 www.accv.es
 Servicios de validación (X)
¾ Servicios web de validación
9 Motivación
• Facilitar el desarrollo de aplicaciones con soporte de
varios PSC
– El SW se ocupa de obtener los datos de los distintos
perfiles
• Implementar sistemas para verificaciones a largo plazo
– Estandar ETSI TS 101 733 – RFC – 3126
– El token incluye:
» Firma original
» Sello de tiempo
» Token OCSP
– La Autoridad de validación firma el token como TTP

33 www.accv.es
 Servicios de Validación (XI)
¾ Servicio web de validación
9 Objetivo:
• Clientes que soporten firma sin código criptográfico
• Toda la carga en el servidor
– Balanceo
– Tolerancia a fallos
9 Ventajas:
• Control sobre el producto y la seguridad asociada
• Basado en herramientas gratuitas

34 www.accv.es
 Interrelación con otros proyectos (I)
¾ La función de la PKI es dar servicio TTP
¾ Proporcionar las herramientas para que los
proyectos:
9 Desarrollen servicios
9 Hagan seguras aplicaciones
9 Implementen la logística
9 Formen a sus usuarios

35 www.accv.es
 Interrelación con otros proyectos (II)
¾ E-Formación
9 Servicio de e-learning
9 Complemento de los cursos tradicionales
9 Implementa:
• Autenticación de usuarios con certificado
• Firma de los ejercicios
• Firma de los resultados
9 Garantiza autenticidad y no repudio
9 Cursos igualmente valorados

36 www.accv.es
 Interrelación con otros proyectos (III)
¾ Servicios interactivos del SERVEF
9 Puestos a disposición de sus usuarios para:
• Consulta de Curriculum
• Modificación de los datos personales y académicos
• Envio de ofertas personalizadas
• Renovación de la demanda de empleo
• TODOS LOS SERVICIOS
9 Utiliza:
• Certificados para autenticar a sus usuarios
• Firma electrónica de las modificaciones
9 Objetivo:
• Realizar de forma no presencial todos sus tramites (Cumplido)

37 www.accv.es
 Interrelación con otros proyectos (IV)
¾ Mastin
9 Registro telemático de expedientes
9 Todos los tramites administrativos se registran
9 Utiliza:
• Firma electrónica de los documentos
• Certificado para seguimiento del estado de los
expedientes
9 Garantiza la integridad, autenticidad y no repudio

38 www.accv.es
 Interrelación con otros proyectos (V)
¾ CorreoCV
9 Correo del ciudadano
9 Asigna una cuenta de correo gratuita a los
ciudadanos
9 Formaliza la relación telemática entre el
ciudadano y la administración
9 Utiliza:
• Firma digital y cifrado
9 Vincula el certificado con la dirección CV
9 Garantiza autenticidad, confidencialidad y no
repudio

39 www.accv.es
 Interrelación con otros proyectos (VII)
¾ Abucasis II
9 Proyecto de la Conselleria de Sanidad
9 Ámbitos:
• Acceso a los expedientes médicos
• Receta electrónica
9 Datos de nivel 3 (LOPD)
9 Solo se acepta dispositivo seguro (tarjeta)
9 Criticidad de los servicios y tiempos de respuesta

40 www.accv.es
 Interrelación con otros proyectos (VIII)
¾ Generalitat en RED
9 Macroproyecto de e-administración
9 Crea las infraestructuras para facilitar el paso de
procedimientos a la red
• Pasarela de pagos
• Registro telemático
• Notificación electrónica
• Modulo de firma
– Se basa en los servicios web
– Crea un API diseñado específicamente para tramitación
electronica

41 www.accv.es
 Interrelación con otros proyectos (IX)
¾ Otros proyectos
9 Envios al DOGV ( Diario Oficial de la Generalitat )
9 Gestión de las Oficinas Liquidadoras ( Hacienda )
9 CAVI
• Catarroja Ayuntamiento Virtual
9 Carnet JOVE
• Envio de la información del IVAJ a las entidades
bancarias
9 Mas proyectos:
• http://www.accv.es/aplicaciones_c.htm

42 www.accv.es
 Interrelación con otros proyectos (X)
¾ A.E.A.T
9 Desde enero de 2004, los certificados de persona física emitidos
por la ACCV son validos para operar con la AEAT
9 Es el primer PSC que lo consigue, además de la FNMT
¾ Catastro
9 Acceso a la oficina virtual del catastro
¾ Tesorería de la Seguridad Social
9 Acceso completo a la oficina virtual (consulta de la vida laboral,
etc..)
¾ Lexnet
9 Tramitación de informes jurídicos a nivel nacional (Ministerio de
Justicia y TSJ)
¾ Fomento
9 Acceso a la oficina virtual.
43 www.accv.es
 Interrelación con otros proyectos (XI)
¾ Proyecto CLAUER
9 Iniciativa de la UJI
9 Se han repartido 10000 certificados
• Profesores
• Alumnos
• Personal administrativo
9 La UJI suministra un dispositivo de memoria (Pen-
Drive) con un CSP de desarrollo propio
9 Duración de la 1º emisión Abril-Junio 2005
9 Todos los procesos internos con acceso con
certificado

44 www.accv.es
 Puntos de Registro (I)
¾ Difusión de los certificados
¾ Descentralización de los tramites
¾ Desarrollo propio: XRAO
¾ Apoyo logístico

45 www.accv.es
 Puntos de Registro (II)
¾ Difusión de los certificados
9 Enfoques:
• Realizar aplicaciones que utilicen los certificados
– Ideal
• Emitir certificados para que se desarrollen aplicaciones
– Realista
9 Fomentar el primero facilitando el segundo
9 Objetivo:
• Conseguir el mayor impacto posible

46 www.accv.es
 Puntos de Registro (III)
¾ Descentralización de los tramites
9 Necesaria presencia física solicitante
9 Objetivo:
• Facilitar al usuario la recogida del certificado
• Realizar desde la petición a la recogida en un paso
9 Convenios con Administraciones Locales (42 Convenios)
• Catarroja
• Valencia
• Alicante
• Villena
• ..etc
9 149 puntos de registro públicos en toda la comunidad y
creciendo
9 82 puntos de registro para personal de la Administración

47 www.accv.es
 Puntos de Registro (IV)
¾ Descentralización de los tramites
9 Convenios con otros PSC
• Se consigue reconocimiento mutuo
• Realizados:
– Camerfirma
– Firma Profesional
– ACA (Autoridad de Certificación de la Abogacía)
– ANCERT (Agencia de Certificación del Notariado)
– DNI-e. Se validan los certificados del nuevo DNI (convenio MAP)
9 Convenios con entidades (publicas)
• Se consigue sinergia
– Se difunden los certificados
– Sus usuarios no tienen que ir a otro PRU
• SUMA
• Colegio Oficial de Ing. Telecomunicación de la C. Valenciana
• Colegio Oficial de Ing. en Informática de la C. valenciana
• etc.….

48 www.accv.es
 Puntos de Registro (V)
¾ Desarrollo propio XRAO
9 Aplicación web
9 Desarrollada en Java (JSP), sobre Tomcat
9 Utiliza IDEAS como librería criptográfica
9 Instalación mínima en cliente
• Informes
• ActiveX impresión de documentos
• JARS de la aplicación
• Soporte hardware (tarjeta-lector)
9 Autenticación basada en certificado sobre
dispositivo seguro

49 www.accv.es
 Puntos de registro (VI)
¾ Desarrollo propio XRAO
9 Realiza todos los tramites:
• Recoge los datos
• Envía la petición
• Recoge el cerificado
• Imprime el contrato
• Imprime el PIN ( sobre ciego o en el propio contrato )
• Imprime el soporte
• Genera el soporte (tarjeta o software)
• Revocación, suspensión y activación de certificados
• Cancelación de datos

50 www.accv.es
 Punto de Registro (VII)
¾ Apoyo logístico
9 Instalación y mantenimiento de la aplicación
9 Cesión de equipamiento (si necesario)
9 Formación de operadores
• Uso de la aplicación
• Deben firmar contratos de responsabilidad

51 www.accv.es
 Contactos: direcciones y teléfonos

www.accv.es
José Antonio Amador
902 482 481 Tel. 961 961 027
Fax. 961 961 002
soporte@pki.gva.es jamador@accv.es

52 www.accv.es