Infraestructura de Clave Pblica de la Generalitat Valenciana

Mayo de 2.007

D.G. de Telecomunicaciones e Investigacin Conselleria de Infraestructura y Transportes

Agenda Objetivos del proyecto Estado actual y evolucin futura Estructura fisica y logica Emisin y gestin de certificados Servicios de Validacin Interrelacin con otros proyectos Puntos de Registro

www.accv.es

Objetivos del proyecto Implantacin de una Plataforma de Certificacin Formacin Soporte al desarrollo de aplicaciones sobre la PKI Definicin y puesta en marcha de estructuras de soporte de la PKI Promocin y participacin en proyectos de PKI

www.accv.es

Estado actual y evolucin futura Implantacin de una Plataforma de Certificacin Generadas rootCA y CAGVA en julio de 2.001 Resto de sistemas del ncleo de la PKI puestos en funcionamiento entre julio y octubre de 2.001 Definicin y desarrollo de sistemas propios para emisin, control y gestin de certificados. Otros servicios (OCSP, KAS, TSS, Servicios Web...)

www.accv.es

Estado actual y evolucin futura Formacin

Personal de proyecto Se favorece la obtencin de certificaciones (CISA, CISM, etc) Personal de InfoCentre (agentes de CallCenter y responsables de microinformtica) Equipos de desarrollo de otros departamentos Cursos sobre e-Formacin Dos cursos activos - Firma Digital I (Iniciacin) - Firma Digital II (Conceptos avanzados) Formacin presencial del IVAP Operadores de Punto de Registro de Usuario
5 www.accv.es

Estado actual y evolucin futura Soporte al desarrollo de aplicaciones sobre la PKI Desarrolladas APIs de recubrimiento
1 Fase. Libreras propietarias (KeyTool). Obsoleta 2 Fase. Paso a libreras GPL ( o similar). Terminada BouncyCastle http://www.bouncycastle.org Cryptlib (Acceso a las tarjetas) Utilizacin de las libreras PKCS#11 de CL API IDEAS versin 3.6 (ltima versin Abril 2006) Soporte Java 1.3.X y Java 1.4.X En desarrollo soporte Java 1.5 Firma y cifrado de datos Gestin de sellos de tiempo Acceso a los servicios de validacin Etc..

www.accv.es

Estado actual y evolucin futura Soporte al desarrollo de aplicaciones sobre la PKI Soporte en todas las fases de desarrollo Utilizacin y soporte a nuevas herramientas Creacin de canales de comunicacin entre grupos de desarrollo

www.accv.es

Estado actual y evolucin futura Definicin y puesta en marcha de estructuras de soporte de la PKI Decreto de firma (87/2002, de 30 de mayo) Asistencia en el desarrollo de otras normas Definicin de CPS y CPs Definicin de procedimientos para PRUs

www.accv.es

Estado actual y evolucin futura

Obtencin de sellos de calidad WEBTrust
Sello orientado a la seguridad de los servicios de informacin Sello obtenido 1Q 2006 La ACCV se encuentra ahora en la 1 revisin

Adecuacin a la LOPD
Auditoria finalizada satisfactoriamente en noviembre 2005 Primera revisin en curso.

ISO-17799 (BS-7799 UNE-71502) CWA-14167-1

Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures - Part 1: System Security Requirements
9 www.accv.es

Estado actual y evolucin futura Promocin y participacin en proyectos de PKI

Listas de distribucin Sitio web de proyecto Boletn ACCV-INFORMA Presentaciones del proyecto Ruedas de Prensa Artculos en revistas especializadas Colaboracin con universidades Participacin en concursos y conferencias Colaboracin con otros proyectos de AGE Colaboracin con otros Prestadores pblicos y privados Ms de 650 reuniones dentro y fuera de G.V. ...
10 www.accv.es

Estructura Fisica (CPD Primario)

DMZ C A

RootCA FW
Servicios Servicios WEB2 WEB1

Test
XRAO1 XRAO2

CA

DMZ DB

Balanceadores
DMZ End User Access

RA + ARM RA + ARM Oracle

www.accv.es

WEB1

WEB2
11

LDAP1+OCSP1+TSS1

LDAP2+OCSP2+TSS2

BBDD PR

Gateway

Estructura lgica (I)

Root CA OCSP X.509v3 LDAP CRL

ACCV-CA2

ACCV-CA1

GVA CA

KAS

GVA1 RA
Mail Browser VPN

TSS ARM

GW

SRAO
XRAO

CRAO

12

www.accv.es

Estructura lgica (II)

root CA CAGVA LDAP LDAP KAS

CorreoCV
creacin cuentas Tramitaci Tramitacin y gestin gesti distribuida en PRUs

OCSP

OCSP

WebServices WebServices
Servicios web: validacin firma y certificado validaci generacin token registro generaci

OCSP Responder

SRAO
XRAO

BDD xrao

TSS

TSS

Serv. Sellos de Tiempo

13

www.accv.es

Emisin y gestin de certificados (I)

Tipos de certificados emitidos

Personales: emitidos exclusivamente a personas fsicas

Certificados reconocidos en soporte software
Formato PKCS#12 Se entrega en un soporte de 3 o en Token USB Funciona en cualquier plataforma (Windows, Linux, etc)

Certificados reconocidos en dispositivo seguro

Se entrega en tarjeta criptografica Controladores con soporte CSP y PKCS#11 Soporte para Windows y Linux

14

www.accv.es

Emisin y gestin de certificados (II) Tipos de certificados emitidos Certificados de Entidad: Emitidos para entidades con
o sin personalidad jurdica
Certificados reconocidos en dispositivo seguro de creacin de firma.
Se entregan en tarjeta criptografica Controladores con soporte CSP y PKCS#11 El solicitante debe acreditar sus poderes de representacin mediante un proceso de bastanteo.

15

www.accv.es

Emisin y gestin de certificados (III) Tipos de certificados emitidos Servidores con soporte SSL
Identifica al servidor, para un servicio dado (http, ldap).

Servidores de VPN
Permite gestionar al servidor perfiles de usuario con certificado

Firma de cdigo
Realiza la firma de cdigo (java, ActiveX)

Firma de aplicaciones
Habilita la firma en procesos no interactivos

16

www.accv.es

Emisin y gestin de certificados (IV) Tipos de certificados emitidos Certificados de inicio de sesion en Windows
Identifica al usuario frente a un dominio de windows Deben seguir el formato de Microsoft
campo UPN (usuario@dominio)

Solo se emiten en tarjeta

Certificados de Controlador de dominio

Permiten a un controlador de dominio autenticar a usuarios de un dominio Deben seguir el formato de Microsoft
Campo GUID del controlador Nombre DNS del contralador

17

www.accv.es

Emisin y gestin de certificados (V)

Perfil de los certificados personales (Dispositivo seguro de creacin de firma)
Emitidos como certificados cualificados segn RFC 3739 (Marzo 2004)

certificados reconocidos
segn Ley-59/2003

Certificado para firma

Nme ro de se rie: 3C E15119 Em isor: CA GVA Asunto: Se rial Numbe r=12345678X,G=ANTO NIO,SN=PER EZ PER EZ C N= ANTO NIO PER EZ PER EZ NIF: 12345678X OU=C iudadanos,O =Ge ne ralitat Vale nciana,C =ES Vlido desde : 20/05/2002 10:55:54 Vlido hasta: 19/05/2005 10:55:54 OID=1.3.6.1.4.1.8149.3.6.4.0 C lave Pblica (1024 bits): fffffffffffffffffffffffffffffffffff Usos de la Clave : Firma Digital

Certificado para cifrado

Nme ro de se rie: 3C E15F1A Em isor: CA GVA Asunto: Se rial Numbe r=12345678X,G=ANTO NIO,SN=PER EZ PER EZ C N= ANTO NIO PER EZ PER EZ NIF: 12345678X OU=C iudadanos,O =Ge ne ralitat Vale nciana,C =ES Vlido desde : 20/05/2002 10:56:04 Vlido hasta: 19/05/2005 10:56:04 OID=1.3.6.1.4.1.8149.3.6.4.0 C lave Pblica (1024 bits): ccccccccccccccccccccccc Usos de la Clave : C ifrado de clave , C ifrado de datos

18

www.accv.es

Emisin y gestin de certificados (VI)

Perfil de los certificados personales (perfil software)
Emitidos como certificados cualificados segn RFC 3739 (Marzo 2004

certificados reconocidos
segn Ley-59/2003

Certificado para firma

Nme ro de se rie: 3C E15119 Em isor: CA GVA Asunto: Se rial Numbe r=12345678X,G=ANTO NIO,SN=PER EZ PER EZ C N= ANTO NIO PER EZ PER EZ NIF: 12345678X OU=C iudadanos,O =Ge ne ralitat Vale nciana,C =ES Vlido desde : 20/05/2002 10:55:54 Vlido hasta: 19/05/2005 10:55:54 OID=1.3.6.1.4.1.8149.3.7.3.0 C lave Pblica (1024 bits): fffffffffffffffffffffffffffffffffff Usos de la Clave : Firma Digital

Certificado para cifrado

Nme ro de se rie: 3C E15F1A Em isor: CA GVA Asunto: Se rial Numbe r=12345678X,G=ANTO NIO,SN=PER EZ PER EZ C N= ANTO NIO PER EZ PER EZ NIF: 12345678X OU=C iudadanos,O =Ge ne ralitat Vale nciana,C =ES Vlido desde : 20/05/2002 10:56:04 Vlido hasta: 19/05/2005 10:56:04 OID=1.3.6.1.4.1.8149.3.7.3.0 C lave Pblica (1024 bits): ccccccccccccccccccccccc Usos de la Clave : C ifrado de clave , C ifrado de datos

19

www.accv.es

Emisin y gestin de certificados (VII)

Perfil de los certificados personales

Certifican el vnculo entre una identidad y una clave pblica No contienen atributos dependientes de aplicaciones Simplicidad en procesos de registro, que se limitan a la comprobacin de la identidad del solicitante Reusabilidad entre aplicaciones y reduccin de costes de despliegue Posibilitan el Archivado de Claves de Cifrado, respetando la legislacin

20

www.accv.es

Emisin y gestin de certificados (VIII)

Perfil de los certificados de entidad (Dispositivo seguro de creacin de firma)
Emitidos como certificados cualificados segn RFC 3739 (Marzo 2004)

certificados reconocidos
segn Ley-59/2003

Certificado con usos de firma y cifrado

Nme ro de se rie: 27 15 a6 83 49 ab a6 f9 Em isor: ACC V-C A1 Asunto: Se rial Numbe r=S2826024H,G=ANTO NIO ,SN=PER EZ PER EZ,1.3.6.1.4.1.18838.1.1=12345678X, C N= EMPR ESA S.A. OU=Entidade s,O =Gene ralitat Vale nciana,C =ES Vlido desde : 20/05/2002 10:55:54 Vlido hasta: 19/05/2005 10:55:54 OID=1.3.6.1.4.1.8149.3.6.4.0 C lave Pblica (1024 bits): fffffffffffffffffffffffffffffffffff Usos de la Clave : Firma Digital, Cifrado de claves, C ifrado de datos

21

www.accv.es

Emisin y gestin de certificados (VIII) Tasa para kits criptograficos Preferencia de soporte en tarjeta No se encuentra como informatica de consumo Es necesario habilitar un mecanismo para su adquisicin sin:
Cargar los gastos a la ACCV Depender de los circuitos habituales de suministros

Solucin: El usuario decide

Tarjeta Paga la tasa por el hardware Software Gratuito

Para entidades: Siempre en tarjeta

22 www.accv.es

Emisin y gestin de cerificados (IX) Tasa para kits criptograficos Se aaden por ley de acompaamiento a la ley 16/2003, de 17 de diciembre, las siguientes tasas:
Kit criptografico (tarjeta + lector USB): 43,70 Tarjeta: 22,90 Lector USB: 18,73

Se solicita por Internet, pagandose en entidades financiaras colaboradoras y se recoge en el PRU de eleccin del usuario

23

www.accv.es

Servicios de Validacin(I) Mecanismos proporcionados por la PKI Estado del certificado

OCSP SCVP CRL

Sellos de Tiempo Servicios Web de validacin Punto de contacto entre Aplicaciones e Infraestructura

24

www.accv.es

Servicios de Validacin (II) OCSP Online Certificate Status Protocol RFC-2560 Encapsulado sobre protocolos ya existentes.
HTTP SMTP LDAP

Rapido, eficiente y ligero Sustituto natural de la consulta por CRL Devuelve el estado:
Revoked, Good, Unknown

25

www.accv.es

Servicios de Validacin (III) SCVP Server-based Certificate Validation Protocol En Draft de enero 2007 (caduca en 6 meses) Proporciona mas informacin que OCSP
Construye la cadena de certificacin Estado del certificado Estado de la cadena de certificacin

La peticin es configurable
El cliente le dice al servidor lo que necesita

Descarga la validacin en el servidor

26 www.accv.es

Servicios de Validacin (IV) CRL Certificate Revocation List RFC-3280 (RFC-4325 y RFC-4630) Es el metodo mas simple Solo proporciona un almacn firmado de:
Nmeros de serie de certificados Fechas Motivos de revocacin

Define un algoritmo para la comprobacin

27

www.accv.es

Servicios de Validacin (V) CRL Los clientes realizan todo el proceso:

Descarga Comprobacin de la firma de la CRL Recorrido por los nmeros de serie Obtencin de los datos

Los certificados incluyen la posicin de la CRL

Extensin CDP (CRL Distibution Point ) LDAP URI, HTTP URI, etc

28

www.accv.es

Servicios de Validacin (VI) Sellos de Tiempo Conjunto de especificaciones:

TSP (Time Stamp Protocol) RFC-3161 TSA (Time Stamping Authority) TSU (Time-Stamp Unit)

Garantiza la existencia de un dato en un tiempo Garantiza el No Repudio TSA se encarga de firmar el Token junto con la fecha.

29

www.accv.es

Servicios de Validacin (VII) Sellos de Tiempo TSP define la comunicacin

Utilizando e-mail
Especifica la codificacin ASN1

Protocolo basado en fichero Protocolo basado en Sockets

Utiliza puerto 318 Define la estructura del paquete TCP

Utilizando HTTP
Define tipos de contenido especifico
Content-Type: application/timestamp-query Content-Type: application/timestamp-reply Content-Type: application/timestamp-response

30

www.accv.es

Servicios de Validacin (VIII) La Infraestructura PKI de la GVA Ofrece un conjunto replicado de servidores OCSP
ocsp.pki.gva.es

Mantiene la CRL actualizada en:

HTTP LDAP

Ofrece Servicios de Sellado de Tiempo sobre HTTP (implementacin de OpenTSA)

tss.pki.gva.es Puerto 8318

31

www.accv.es

Servicios de Validacin (IX) Servicio web de validacin Desarrollo propio

Tomcat (Contenedor Servlets, proyecto Apache Jakarta) Axis (Servidor SOAP, proyecto Apache XML ) BouncyCastle (libreras criptograficas)

Servicios actuales
25 metodos agrupados en tres categorias
Manejo de certificados Manejo de sellos de tiempo y tokens de validacin Comprobacin de firmas

Ampliaciones en curso
Compatibilidad XAdES
32 www.accv.es

Servicios de validacin (X) Servicios web de validacin Motivacin

Facilitar el desarrollo de aplicaciones con soporte de varios PSC
El SW se ocupa de obtener los datos de los distintos perfiles

Implementar sistemas para verificaciones a largo plazo

Estandar ETSI TS 101 733 RFC 3126 El token incluye:
Firma original Sello de tiempo Token OCSP

La Autoridad de validacin firma el token como TTP

33

www.accv.es

Servicios de Validacin (XI) Servicio web de validacin Objetivo:

Clientes que soporten firma sin cdigo criptogrfico Toda la carga en el servidor
Balanceo Tolerancia a fallos

Ventajas:
Control sobre el producto y la seguridad asociada Basado en herramientas gratuitas

34

www.accv.es

Interrelacin con otros proyectos (I) La funcin de la PKI es dar servicio TTP Proporcionar las herramientas para que los proyectos: Desarrollen servicios Hagan seguras aplicaciones Implementen la logstica Formen a sus usuarios

35

www.accv.es

Interrelacin con otros proyectos (II) E-Formacin Servicio de e-learning Complemento de los cursos tradicionales Implementa:
Autenticacin de usuarios con certificado Firma de los ejercicios Firma de los resultados

Garantiza autenticidad y no repudio Cursos igualmente valorados

36

www.accv.es

Interrelacin con otros proyectos (III)

Servicios interactivos del SERVEF Puestos a disposicin de sus usuarios para:
Consulta de Curriculum Modificacin de los datos personales y acadmicos Envio de ofertas personalizadas Renovacin de la demanda de empleo TODOS LOS SERVICIOS

Utiliza:
Certificados para autenticar a sus usuarios Firma electrnica de las modificaciones

Objetivo:
Realizar de forma no presencial todos sus tramites (Cumplido)

37

www.accv.es

Interrelacin con otros proyectos (IV) Mastin Registro telemtico de expedientes Todos los tramites administrativos se registran Utiliza:
Firma electrnica de los documentos Certificado para seguimiento del estado de los expedientes

Garantiza la integridad, autenticidad y no repudio

38

www.accv.es

Interrelacin con otros proyectos (V) CorreoCV Correo del ciudadano Asigna una cuenta de correo gratuita a los ciudadanos Formaliza la relacin telemtica entre el ciudadano y la administracin Utiliza:
Firma digital y cifrado

Vincula el certificado con la direccin CV Garantiza autenticidad, confidencialidad y no repudio

39 www.accv.es

Interrelacin con otros proyectos (VII) Abucasis II Proyecto de la Conselleria de Sanidad mbitos:
Acceso a los expedientes mdicos Receta electrnica

Datos de nivel 3 (LOPD) Solo se acepta dispositivo seguro (tarjeta) Criticidad de los servicios y tiempos de respuesta

40

www.accv.es

Interrelacin con otros proyectos (VIII) Generalitat en RED Macroproyecto de e-administracin Crea las infraestructuras para facilitar el paso de procedimientos a la red
Pasarela de pagos Registro telemtico Notificacin electrnica Modulo de firma
Se basa en los servicios web Crea un API diseado especficamente para tramitacin electronica

41

www.accv.es

Interrelacin con otros proyectos (IX) Otros proyectos Envios al DOGV ( Diario Oficial de la Generalitat ) Gestin de las Oficinas Liquidadoras ( Hacienda ) CAVI
Catarroja Ayuntamiento Virtual

Carnet JOVE
Envio de la informacin del IVAJ a las entidades bancarias

Mas proyectos:
http://www.accv.es/aplicaciones_c.htm

42

www.accv.es

Interrelacin con otros proyectos (X)

A.E.A.T Desde enero de 2004, los certificados de persona fsica emitidos por la ACCV son validos para operar con la AEAT Es el primer PSC que lo consigue, adems de la FNMT Catastro Acceso a la oficina virtual del catastro Tesorera de la Seguridad Social Acceso completo a la oficina virtual (consulta de la vida laboral, etc..) Lexnet Tramitacin de informes jurdicos a nivel nacional (Ministerio de Justicia y TSJ) Fomento Acceso a la oficina virtual.
43 www.accv.es

Interrelacin con otros proyectos (XI) Proyecto CLAUER Iniciativa de la UJI Se han repartido 10000 certificados
Profesores Alumnos Personal administrativo

La UJI suministra un dispositivo de memoria (PenDrive) con un CSP de desarrollo propio Duracin de la 1 emisin Abril-Junio 2005 Todos los procesos internos con acceso con certificado
44 www.accv.es

Puntos de Registro (I) Difusin de los certificados Descentralizacin de los tramites Desarrollo propio: XRAO Apoyo logstico

45

www.accv.es

Puntos de Registro (II) Difusin de los certificados Enfoques:

Realizar aplicaciones que utilicen los certificados
Ideal

Emitir certificados para que se desarrollen aplicaciones

Realista

Fomentar el primero facilitando el segundo Objetivo:

Conseguir el mayor impacto posible

46

www.accv.es

Puntos de Registro (III)

Descentralizacin de los tramites Necesaria presencia fsica solicitante Objetivo:
Facilitar al usuario la recogida del certificado Realizar desde la peticin a la recogida en un paso

Convenios con Administraciones Locales (42 Convenios)

Catarroja Valencia Alicante Villena ..etc

149 puntos de registro pblicos en toda la comunidad y creciendo 82 puntos de registro para personal de la Administracin

47

www.accv.es

Puntos de Registro (IV)

Descentralizacin de los tramites Convenios con otros PSC
Se consigue reconocimiento mutuo Realizados:
Camerfirma Firma Profesional ACA (Autoridad de Certificacin de la Abogaca) ANCERT (Agencia de Certificacin del Notariado) DNI-e. Se validan los certificados del nuevo DNI (convenio MAP)

Convenios con entidades (publicas)

Se consigue sinergia
Se difunden los certificados Sus usuarios no tienen que ir a otro PRU

SUMA Colegio Oficial de Ing. Telecomunicacin de la C. Valenciana Colegio Oficial de Ing. en Informtica de la C. valenciana etc..

48

www.accv.es

Puntos de Registro (V) Desarrollo propio XRAO Aplicacin web Desarrollada en Java (JSP), sobre Tomcat Utiliza IDEAS como librera criptogrfica Instalacin mnima en cliente
Informes ActiveX impresin de documentos JARS de la aplicacin Soporte hardware (tarjeta-lector)

Autenticacin basada en certificado sobre dispositivo seguro

49 www.accv.es

Puntos de registro (VI) Desarrollo propio XRAO Realiza todos los tramites:

50

Recoge los datos Enva la peticin Recoge el cerificado Imprime el contrato Imprime el PIN ( sobre ciego o en el propio contrato ) Imprime el soporte Genera el soporte (tarjeta o software) Revocacin, suspensin y activacin de certificados Cancelacin de datos
www.accv.es

Punto de Registro (VII) Apoyo logstico Instalacin y mantenimiento de la aplicacin Cesin de equipamiento (si necesario) Formacin de operadores
Uso de la aplicacin Deben firmar contratos de responsabilidad

51

www.accv.es

Contactos: direcciones y telfonos

www.accv.es 902 482 481 soporte@pki.gva.es Jos Antonio Amador Tel. 961 961 027 Fax. 961 961 002 jamador@accv.es

52

www.accv.es