Professional Documents
Culture Documents
de la Generalitat Valenciana
2 www.accv.es
Objetivos del proyecto
3 www.accv.es
Estado actual y evolución futura
4 www.accv.es
Estado actual y evolución futura
¾ Formación
9Personal de proyecto
9Se favorece la obtención de certificaciones (CISA, CISM, etc)
9Personal de InfoCentre (agentes de CallCenter y responsables de
microinformática)
9Equipos de desarrollo de otros departamentos
9Cursos sobre e-Formación
9 Dos cursos activos
- Firma Digital I (Iniciación)
- Firma Digital II (Conceptos avanzados)
9Formación presencial del IVAP
9Operadores de Punto de Registro de Usuario
5 www.accv.es
Estado actual y evolución futura
¾ Soporte al desarrollo de aplicaciones sobre la PKI
9 Desarrolladas APIs de recubrimiento
• 1ª Fase. Librerías propietarias (KeyTool). Obsoleta
• 2ª Fase. Paso a librerías GPL ( o similar). Terminada
– BouncyCastle http://www.bouncycastle.org
– Cryptlib (Acceso a las tarjetas)
» Utilización de las librerías PKCS#11 de CL
• API IDEAS versión 3.6 (última versión Abril 2006)
– Soporte Java 1.3.X y Java 1.4.X
– En desarrollo soporte Java 1.5
– Firma y cifrado de datos
– Gestión de sellos de tiempo
– Acceso a los servicios de validación
– Etc..
6 www.accv.es
Estado actual y evolución futura
¾ Soporte al desarrollo de aplicaciones sobre la PKI
9 Soporte en todas las fases de desarrollo
9 Utilización y soporte a nuevas herramientas
9 Creación de canales de comunicación entre
grupos de desarrollo
7 www.accv.es
Estado actual y evolución futura
8 www.accv.es
Estado actual y evolución futura
¾ Obtención de sellos de calidad
9 WEBTrust
• Sello orientado a la seguridad de los servicios de información
• Sello obtenido – 1Q 2006
• La ACCV se encuentra ahora en la 1ª revisión
9 Adecuación a la LOPD
• Auditoria finalizada satisfactoriamente en noviembre 2005
• Primera revisión en curso.
9 ISO-17799 (BS-7799 UNE-71502)
9 CWA-14167-1
• Security Requirements for Trustworthy Systems Managing
Certificates for Electronic Signatures - Part 1: System Security
Requirements
9 www.accv.es
Estado actual y evolución futura
10 www.accv.es
Estructura Fisica (CPD Primario)
DMZ C A
RootCA
FW CA
Test Servicios Servicios
XRAO1 XRAO2 WEB1 WEB2
DMZ DB RA +
Balanceadores ARM
DMZ “End User Access”
RA +
ARM
GVA KAS
ACCV-CA2 ACCV-CA1
CA
TSS
GVA1
ARM
RA
Mail
Browser GW SRAO CRAO
VPN XRAO
12 www.accv.es
Estructura lógica (II)
root LDAP
CA
LDAP
KAS CAGVA
CorreoCV
creación cuentas
OCSP WebServices
OCSP
Tramitación y gestió
Tramitació gestión
distribuida en PRUs OCSP Responder WebServices
Servicios web:
SRAO BDD TSS
TSS • validaci
validacióón firma y certificado
XRAO xrao • generaci
generacióón token registro
Serv. Sellos de Tiempo
13 www.accv.es
Emisión y gestión de certificados (I)
Tipos de certificados emitidos
14 www.accv.es
Emisión y gestión de certificados (II)
¾ Tipos de certificados emitidos
9 Certificados de Entidad: Emitidos para entidades con
o sin personalidad jurídica
• Certificados reconocidos en dispositivo seguro de creación
de firma.
– Se entregan en tarjeta criptografica
– Controladores con soporte CSP y PKCS#11
– El solicitante debe acreditar sus poderes de representación
mediante un proceso de bastanteo.
15 www.accv.es
Emisión y gestión de certificados (III)
¾ Tipos de certificados emitidos
9 Servidores con soporte SSL
• Identifica al servidor, para un servicio dado (http, ldap).
9 Servidores de VPN
• Permite gestionar al servidor perfiles de usuario con
certificado
9 Firma de código
• Realiza la firma de código (java, ActiveX)
9 Firma de aplicaciones
• Habilita la firma en procesos no interactivos
16 www.accv.es
Emisión y gestión de certificados (IV)
¾ Tipos de certificados emitidos
9 Certificados de inicio de sesion en Windows
• Identifica al usuario frente a un dominio de windows
• Deben seguir el formato de Microsoft
– campo UPN (usuario@dominio)
• Solo se emiten en tarjeta
9 Certificados de Controlador de dominio
• Permiten a un controlador de dominio autenticar a
usuarios de un dominio
• Deben seguir el formato de Microsoft
– Campo GUID del controlador
– Nombre DNS del contralador
17 www.accv.es
Emisión y gestión de certificados (V)
Perfil de los certificados personales (Dispositivo seguro de creación
de firma)
18 www.accv.es
Emisión y gestión de certificados (VI)
Perfil de los certificados personales (perfil software)
19 www.accv.es
Emisión y gestión de certificados (VII)
Perfil de los certificados personales
20 www.accv.es
Emisión y gestión de certificados (VIII)
Perfil de los certificados de entidad (Dispositivo seguro de creación de
firma)
21 www.accv.es
Emisión y gestión de certificados (VIII)
¾ Tasa para kits criptograficos
9 Preferencia de soporte en tarjeta
9 No se encuentra como ‘informatica de consumo’
9 Es necesario habilitar un mecanismo para su
adquisición sin:
• Cargar los gastos a la ACCV
• Depender de los circuitos habituales de suministros
9 Solución: El usuario decide
• Tarjeta Æ Paga la tasa por el hardware
• Software Æ Gratuito
9 Para entidades: Siempre en tarjeta
22 www.accv.es
Emisión y gestión de cerificados (IX)
¾ Tasa para kits criptograficos
9 Se añaden por ley de acompañamiento a la ley
16/2003, de 17 de diciembre, las siguientes tasas:
• Kit criptografico (tarjeta + lector USB): 43,70€
• Tarjeta: 22,90€
• Lector USB: 18,73€
9 Se solicita por Internet, pagandose en entidades
financiaras colaboradoras y se recoge en el PRU
de elección del usuario
23 www.accv.es
Servicios de Validación(I)
¾ Mecanismos proporcionados por la PKI
9 Estado del certificado
• OCSP
• SCVP
• CRL
9 Sellos de Tiempo
9 Servicios Web de validación
¾ Punto de contacto entre Aplicaciones e
Infraestructura
24 www.accv.es
Servicios de Validación (II)
¾ OCSP
9 Online Certificate Status Protocol RFC-2560
9 Encapsulado sobre protocolos ya existentes.
• HTTP
• SMTP
• LDAP
9 Rapido, eficiente y ligero
9 Sustituto natural de la consulta por CRL
9 Devuelve el estado:
• Revoked, Good, Unknown
25 www.accv.es
Servicios de Validación (III)
¾ SCVP
9 Server-based Certificate Validation Protocol
9 En Draft de enero 2007 (caduca en 6 meses)
9 Proporciona mas información que OCSP
• Construye la cadena de certificación
• Estado del certificado
• Estado de la cadena de certificación
9 La petición es configurable
• El cliente le dice al servidor lo que necesita
9 Descarga la validación en el servidor
26 www.accv.es
Servicios de Validación (IV)
¾ CRL
9 Certificate Revocation List RFC-3280 (RFC-4325
y RFC-4630)
9 Es el metodo mas simple
9 Solo proporciona un almacén firmado de:
• Números de serie de certificados
• Fechas
• Motivos de revocación
9 Define un algoritmo para la comprobación
27 www.accv.es
Servicios de Validación (V)
¾ CRL
9 Los clientes realizan todo el proceso:
• Descarga
• Comprobación de la firma de la CRL
• Recorrido por los números de serie
• Obtención de los datos
9 Los certificados incluyen la posición de la CRL
• Extensión CDP (CRL Distibution Point )
• LDAP URI, HTTP URI, etc
28 www.accv.es
Servicios de Validación (VI)
¾ Sellos de Tiempo
9 Conjunto de especificaciones:
• TSP (Time Stamp Protocol) RFC-3161
• TSA (Time Stamping Authority)
• TSU (Time-Stamp Unit)
9 Garantiza la existencia de un dato en un tiempo
9 Garantiza el No Repudio
9 TSA se encarga de firmar el Token junto con la
fecha.
29 www.accv.es
Servicios de Validación (VII)
¾ Sellos de Tiempo
9 TSP define la comunicación
• Utilizando e-mail
– Especifica la codificación ASN1
• Protocolo basado en fichero
• Protocolo basado en Sockets
– Utiliza puerto 318
– Define la estructura del paquete TCP
• Utilizando HTTP
– Define tipos de contenido especifico
» Content-Type: application/timestamp-query
» Content-Type: application/timestamp-reply
» Content-Type: application/timestamp-response
30 www.accv.es
Servicios de Validación (VIII)
¾ La Infraestructura PKI de la GVA
9 Ofrece un conjunto replicado de servidores OCSP
• ocsp.pki.gva.es
9 Mantiene la CRL actualizada en:
• HTTP
• LDAP
9 Ofrece Servicios de Sellado de Tiempo sobre
HTTP (implementación de OpenTSA)
• tss.pki.gva.es
• Puerto 8318
31 www.accv.es
Servicios de Validación (IX)
¾ Servicio web de validación
9 Desarrollo propio
• Tomcat (Contenedor Servlets, proyecto Apache Jakarta)
• Axis (Servidor SOAP, proyecto Apache XML )
• BouncyCastle (librerías criptograficas)
9 Servicios actuales
• 25 metodos agrupados en tres categorias
– Manejo de certificados
– Manejo de sellos de tiempo y tokens de validación
– Comprobación de firmas
9 Ampliaciones en curso
• Compatibilidad XAdES
32 www.accv.es
Servicios de validación (X)
¾ Servicios web de validación
9 Motivación
• Facilitar el desarrollo de aplicaciones con soporte de
varios PSC
– El SW se ocupa de obtener los datos de los distintos
perfiles
• Implementar sistemas para verificaciones a largo plazo
– Estandar ETSI TS 101 733 – RFC – 3126
– El token incluye:
» Firma original
» Sello de tiempo
» Token OCSP
– La Autoridad de validación firma el token como TTP
33 www.accv.es
Servicios de Validación (XI)
¾ Servicio web de validación
9 Objetivo:
• Clientes que soporten firma sin código criptográfico
• Toda la carga en el servidor
– Balanceo
– Tolerancia a fallos
9 Ventajas:
• Control sobre el producto y la seguridad asociada
• Basado en herramientas gratuitas
34 www.accv.es
Interrelación con otros proyectos (I)
¾ La función de la PKI es dar servicio TTP
¾ Proporcionar las herramientas para que los
proyectos:
9 Desarrollen servicios
9 Hagan seguras aplicaciones
9 Implementen la logística
9 Formen a sus usuarios
35 www.accv.es
Interrelación con otros proyectos (II)
¾ E-Formación
9 Servicio de e-learning
9 Complemento de los cursos tradicionales
9 Implementa:
• Autenticación de usuarios con certificado
• Firma de los ejercicios
• Firma de los resultados
9 Garantiza autenticidad y no repudio
9 Cursos igualmente valorados
36 www.accv.es
Interrelación con otros proyectos (III)
¾ Servicios interactivos del SERVEF
9 Puestos a disposición de sus usuarios para:
• Consulta de Curriculum
• Modificación de los datos personales y académicos
• Envio de ofertas personalizadas
• Renovación de la demanda de empleo
• TODOS LOS SERVICIOS
9 Utiliza:
• Certificados para autenticar a sus usuarios
• Firma electrónica de las modificaciones
9 Objetivo:
• Realizar de forma no presencial todos sus tramites (Cumplido)
37 www.accv.es
Interrelación con otros proyectos (IV)
¾ Mastin
9 Registro telemático de expedientes
9 Todos los tramites administrativos se registran
9 Utiliza:
• Firma electrónica de los documentos
• Certificado para seguimiento del estado de los
expedientes
9 Garantiza la integridad, autenticidad y no repudio
38 www.accv.es
Interrelación con otros proyectos (V)
¾ CorreoCV
9 Correo del ciudadano
9 Asigna una cuenta de correo gratuita a los
ciudadanos
9 Formaliza la relación telemática entre el
ciudadano y la administración
9 Utiliza:
• Firma digital y cifrado
9 Vincula el certificado con la dirección CV
9 Garantiza autenticidad, confidencialidad y no
repudio
39 www.accv.es
Interrelación con otros proyectos (VII)
¾ Abucasis II
9 Proyecto de la Conselleria de Sanidad
9 Ámbitos:
• Acceso a los expedientes médicos
• Receta electrónica
9 Datos de nivel 3 (LOPD)
9 Solo se acepta dispositivo seguro (tarjeta)
9 Criticidad de los servicios y tiempos de respuesta
40 www.accv.es
Interrelación con otros proyectos (VIII)
¾ Generalitat en RED
9 Macroproyecto de e-administración
9 Crea las infraestructuras para facilitar el paso de
procedimientos a la red
• Pasarela de pagos
• Registro telemático
• Notificación electrónica
• Modulo de firma
– Se basa en los servicios web
– Crea un API diseñado específicamente para tramitación
electronica
41 www.accv.es
Interrelación con otros proyectos (IX)
¾ Otros proyectos
9 Envios al DOGV ( Diario Oficial de la Generalitat )
9 Gestión de las Oficinas Liquidadoras ( Hacienda )
9 CAVI
• Catarroja Ayuntamiento Virtual
9 Carnet JOVE
• Envio de la información del IVAJ a las entidades
bancarias
9 Mas proyectos:
• http://www.accv.es/aplicaciones_c.htm
42 www.accv.es
Interrelación con otros proyectos (X)
¾ A.E.A.T
9 Desde enero de 2004, los certificados de persona física emitidos
por la ACCV son validos para operar con la AEAT
9 Es el primer PSC que lo consigue, además de la FNMT
¾ Catastro
9 Acceso a la oficina virtual del catastro
¾ Tesorería de la Seguridad Social
9 Acceso completo a la oficina virtual (consulta de la vida laboral,
etc..)
¾ Lexnet
9 Tramitación de informes jurídicos a nivel nacional (Ministerio de
Justicia y TSJ)
¾ Fomento
9 Acceso a la oficina virtual.
43 www.accv.es
Interrelación con otros proyectos (XI)
¾ Proyecto CLAUER
9 Iniciativa de la UJI
9 Se han repartido 10000 certificados
• Profesores
• Alumnos
• Personal administrativo
9 La UJI suministra un dispositivo de memoria (Pen-
Drive) con un CSP de desarrollo propio
9 Duración de la 1º emisión Abril-Junio 2005
9 Todos los procesos internos con acceso con
certificado
44 www.accv.es
Puntos de Registro (I)
¾ Difusión de los certificados
¾ Descentralización de los tramites
¾ Desarrollo propio: XRAO
¾ Apoyo logístico
45 www.accv.es
Puntos de Registro (II)
¾ Difusión de los certificados
9 Enfoques:
• Realizar aplicaciones que utilicen los certificados
– Ideal
• Emitir certificados para que se desarrollen aplicaciones
– Realista
9 Fomentar el primero facilitando el segundo
9 Objetivo:
• Conseguir el mayor impacto posible
46 www.accv.es
Puntos de Registro (III)
¾ Descentralización de los tramites
9 Necesaria presencia física solicitante
9 Objetivo:
• Facilitar al usuario la recogida del certificado
• Realizar desde la petición a la recogida en un paso
9 Convenios con Administraciones Locales (42 Convenios)
• Catarroja
• Valencia
• Alicante
• Villena
• ..etc
9 149 puntos de registro públicos en toda la comunidad y
creciendo
9 82 puntos de registro para personal de la Administración
47 www.accv.es
Puntos de Registro (IV)
¾ Descentralización de los tramites
9 Convenios con otros PSC
• Se consigue reconocimiento mutuo
• Realizados:
– Camerfirma
– Firma Profesional
– ACA (Autoridad de Certificación de la Abogacía)
– ANCERT (Agencia de Certificación del Notariado)
– DNI-e. Se validan los certificados del nuevo DNI (convenio MAP)
9 Convenios con entidades (publicas)
• Se consigue sinergia
– Se difunden los certificados
– Sus usuarios no tienen que ir a otro PRU
• SUMA
• Colegio Oficial de Ing. Telecomunicación de la C. Valenciana
• Colegio Oficial de Ing. en Informática de la C. valenciana
• etc.….
48 www.accv.es
Puntos de Registro (V)
¾ Desarrollo propio XRAO
9 Aplicación web
9 Desarrollada en Java (JSP), sobre Tomcat
9 Utiliza IDEAS como librería criptográfica
9 Instalación mínima en cliente
• Informes
• ActiveX impresión de documentos
• JARS de la aplicación
• Soporte hardware (tarjeta-lector)
9 Autenticación basada en certificado sobre
dispositivo seguro
49 www.accv.es
Puntos de registro (VI)
¾ Desarrollo propio XRAO
9 Realiza todos los tramites:
• Recoge los datos
• Envía la petición
• Recoge el cerificado
• Imprime el contrato
• Imprime el PIN ( sobre ciego o en el propio contrato )
• Imprime el soporte
• Genera el soporte (tarjeta o software)
• Revocación, suspensión y activación de certificados
• Cancelación de datos
50 www.accv.es
Punto de Registro (VII)
¾ Apoyo logístico
9 Instalación y mantenimiento de la aplicación
9 Cesión de equipamiento (si necesario)
9 Formación de operadores
• Uso de la aplicación
• Deben firmar contratos de responsabilidad
51 www.accv.es
Contactos: direcciones y teléfonos
www.accv.es
José Antonio Amador
902 482 481 Tel. 961 961 027
Fax. 961 961 002
soporte@pki.gva.es jamador@accv.es
52 www.accv.es