Professional Documents
Culture Documents
Mayo de 2.007
Agenda Objetivos del proyecto Estado actual y evolucin futura Estructura fisica y logica Emisin y gestin de certificados Servicios de Validacin Interrelacin con otros proyectos Puntos de Registro
www.accv.es
Objetivos del proyecto Implantacin de una Plataforma de Certificacin Formacin Soporte al desarrollo de aplicaciones sobre la PKI Definicin y puesta en marcha de estructuras de soporte de la PKI Promocin y participacin en proyectos de PKI
www.accv.es
Estado actual y evolucin futura Implantacin de una Plataforma de Certificacin Generadas rootCA y CAGVA en julio de 2.001 Resto de sistemas del ncleo de la PKI puestos en funcionamiento entre julio y octubre de 2.001 Definicin y desarrollo de sistemas propios para emisin, control y gestin de certificados. Otros servicios (OCSP, KAS, TSS, Servicios Web...)
www.accv.es
Estado actual y evolucin futura Soporte al desarrollo de aplicaciones sobre la PKI Desarrolladas APIs de recubrimiento
1 Fase. Libreras propietarias (KeyTool). Obsoleta 2 Fase. Paso a libreras GPL ( o similar). Terminada BouncyCastle http://www.bouncycastle.org Cryptlib (Acceso a las tarjetas) Utilizacin de las libreras PKCS#11 de CL API IDEAS versin 3.6 (ltima versin Abril 2006) Soporte Java 1.3.X y Java 1.4.X En desarrollo soporte Java 1.5 Firma y cifrado de datos Gestin de sellos de tiempo Acceso a los servicios de validacin Etc..
www.accv.es
Estado actual y evolucin futura Soporte al desarrollo de aplicaciones sobre la PKI Soporte en todas las fases de desarrollo Utilizacin y soporte a nuevas herramientas Creacin de canales de comunicacin entre grupos de desarrollo
www.accv.es
Estado actual y evolucin futura Definicin y puesta en marcha de estructuras de soporte de la PKI Decreto de firma (87/2002, de 30 de mayo) Asistencia en el desarrollo de otras normas Definicin de CPS y CPs Definicin de procedimientos para PRUs
www.accv.es
Adecuacin a la LOPD
Auditoria finalizada satisfactoriamente en noviembre 2005 Primera revisin en curso.
RootCA FW
Servicios Servicios WEB2 WEB1
Test
XRAO1 XRAO2
CA
DMZ DB
Balanceadores
DMZ End User Access
WEB1
WEB2
11
LDAP1+OCSP1+TSS1
LDAP2+OCSP2+TSS2
BBDD PR
Gateway
ACCV-CA2
ACCV-CA1
GVA CA
KAS
GVA1 RA
Mail Browser VPN
TSS ARM
GW
SRAO
XRAO
CRAO
12
www.accv.es
CorreoCV
creacin cuentas Tramitaci Tramitacin y gestin gesti distribuida en PRUs
OCSP
OCSP
WebServices WebServices
Servicios web: validacin firma y certificado validaci generacin token registro generaci
OCSP Responder
SRAO
XRAO
BDD xrao
TSS
TSS
13
www.accv.es
14
www.accv.es
Emisin y gestin de certificados (II) Tipos de certificados emitidos Certificados de Entidad: Emitidos para entidades con
o sin personalidad jurdica
Certificados reconocidos en dispositivo seguro de creacin de firma.
Se entregan en tarjeta criptografica Controladores con soporte CSP y PKCS#11 El solicitante debe acreditar sus poderes de representacin mediante un proceso de bastanteo.
15
www.accv.es
Emisin y gestin de certificados (III) Tipos de certificados emitidos Servidores con soporte SSL
Identifica al servidor, para un servicio dado (http, ldap).
Servidores de VPN
Permite gestionar al servidor perfiles de usuario con certificado
Firma de cdigo
Realiza la firma de cdigo (java, ActiveX)
Firma de aplicaciones
Habilita la firma en procesos no interactivos
16
www.accv.es
Emisin y gestin de certificados (IV) Tipos de certificados emitidos Certificados de inicio de sesion en Windows
Identifica al usuario frente a un dominio de windows Deben seguir el formato de Microsoft
campo UPN (usuario@dominio)
17
www.accv.es
certificados reconocidos
segn Ley-59/2003
18
www.accv.es
certificados reconocidos
segn Ley-59/2003
19
www.accv.es
Certifican el vnculo entre una identidad y una clave pblica No contienen atributos dependientes de aplicaciones Simplicidad en procesos de registro, que se limitan a la comprobacin de la identidad del solicitante Reusabilidad entre aplicaciones y reduccin de costes de despliegue Posibilitan el Archivado de Claves de Cifrado, respetando la legislacin
20
www.accv.es
certificados reconocidos
segn Ley-59/2003
21
www.accv.es
Emisin y gestin de certificados (VIII) Tasa para kits criptograficos Preferencia de soporte en tarjeta No se encuentra como informatica de consumo Es necesario habilitar un mecanismo para su adquisicin sin:
Cargar los gastos a la ACCV Depender de los circuitos habituales de suministros
Emisin y gestin de cerificados (IX) Tasa para kits criptograficos Se aaden por ley de acompaamiento a la ley 16/2003, de 17 de diciembre, las siguientes tasas:
Kit criptografico (tarjeta + lector USB): 43,70 Tarjeta: 22,90 Lector USB: 18,73
Se solicita por Internet, pagandose en entidades financiaras colaboradoras y se recoge en el PRU de eleccin del usuario
23
www.accv.es
Sellos de Tiempo Servicios Web de validacin Punto de contacto entre Aplicaciones e Infraestructura
24
www.accv.es
Servicios de Validacin (II) OCSP Online Certificate Status Protocol RFC-2560 Encapsulado sobre protocolos ya existentes.
HTTP SMTP LDAP
Rapido, eficiente y ligero Sustituto natural de la consulta por CRL Devuelve el estado:
Revoked, Good, Unknown
25
www.accv.es
Servicios de Validacin (III) SCVP Server-based Certificate Validation Protocol En Draft de enero 2007 (caduca en 6 meses) Proporciona mas informacin que OCSP
Construye la cadena de certificacin Estado del certificado Estado de la cadena de certificacin
La peticin es configurable
El cliente le dice al servidor lo que necesita
Servicios de Validacin (IV) CRL Certificate Revocation List RFC-3280 (RFC-4325 y RFC-4630) Es el metodo mas simple Solo proporciona un almacn firmado de:
Nmeros de serie de certificados Fechas Motivos de revocacin
27
www.accv.es
28
www.accv.es
Garantiza la existencia de un dato en un tiempo Garantiza el No Repudio TSA se encarga de firmar el Token junto con la fecha.
29
www.accv.es
Utilizando HTTP
Define tipos de contenido especifico
Content-Type: application/timestamp-query Content-Type: application/timestamp-reply Content-Type: application/timestamp-response
30
www.accv.es
Servicios de Validacin (VIII) La Infraestructura PKI de la GVA Ofrece un conjunto replicado de servidores OCSP
ocsp.pki.gva.es
31
www.accv.es
Servicios actuales
25 metodos agrupados en tres categorias
Manejo de certificados Manejo de sellos de tiempo y tokens de validacin Comprobacin de firmas
Ampliaciones en curso
Compatibilidad XAdES
32 www.accv.es
33
www.accv.es
Ventajas:
Control sobre el producto y la seguridad asociada Basado en herramientas gratuitas
34
www.accv.es
Interrelacin con otros proyectos (I) La funcin de la PKI es dar servicio TTP Proporcionar las herramientas para que los proyectos: Desarrollen servicios Hagan seguras aplicaciones Implementen la logstica Formen a sus usuarios
35
www.accv.es
Interrelacin con otros proyectos (II) E-Formacin Servicio de e-learning Complemento de los cursos tradicionales Implementa:
Autenticacin de usuarios con certificado Firma de los ejercicios Firma de los resultados
36
www.accv.es
Utiliza:
Certificados para autenticar a sus usuarios Firma electrnica de las modificaciones
Objetivo:
Realizar de forma no presencial todos sus tramites (Cumplido)
37
www.accv.es
Interrelacin con otros proyectos (IV) Mastin Registro telemtico de expedientes Todos los tramites administrativos se registran Utiliza:
Firma electrnica de los documentos Certificado para seguimiento del estado de los expedientes
38
www.accv.es
Interrelacin con otros proyectos (V) CorreoCV Correo del ciudadano Asigna una cuenta de correo gratuita a los ciudadanos Formaliza la relacin telemtica entre el ciudadano y la administracin Utiliza:
Firma digital y cifrado
Interrelacin con otros proyectos (VII) Abucasis II Proyecto de la Conselleria de Sanidad mbitos:
Acceso a los expedientes mdicos Receta electrnica
Datos de nivel 3 (LOPD) Solo se acepta dispositivo seguro (tarjeta) Criticidad de los servicios y tiempos de respuesta
40
www.accv.es
Interrelacin con otros proyectos (VIII) Generalitat en RED Macroproyecto de e-administracin Crea las infraestructuras para facilitar el paso de procedimientos a la red
Pasarela de pagos Registro telemtico Notificacin electrnica Modulo de firma
Se basa en los servicios web Crea un API diseado especficamente para tramitacin electronica
41
www.accv.es
Interrelacin con otros proyectos (IX) Otros proyectos Envios al DOGV ( Diario Oficial de la Generalitat ) Gestin de las Oficinas Liquidadoras ( Hacienda ) CAVI
Catarroja Ayuntamiento Virtual
Carnet JOVE
Envio de la informacin del IVAJ a las entidades bancarias
Mas proyectos:
http://www.accv.es/aplicaciones_c.htm
42
www.accv.es
Interrelacin con otros proyectos (XI) Proyecto CLAUER Iniciativa de la UJI Se han repartido 10000 certificados
Profesores Alumnos Personal administrativo
La UJI suministra un dispositivo de memoria (PenDrive) con un CSP de desarrollo propio Duracin de la 1 emisin Abril-Junio 2005 Todos los procesos internos con acceso con certificado
44 www.accv.es
Puntos de Registro (I) Difusin de los certificados Descentralizacin de los tramites Desarrollo propio: XRAO Apoyo logstico
45
www.accv.es
46
www.accv.es
149 puntos de registro pblicos en toda la comunidad y creciendo 82 puntos de registro para personal de la Administracin
47
www.accv.es
SUMA Colegio Oficial de Ing. Telecomunicacin de la C. Valenciana Colegio Oficial de Ing. en Informtica de la C. valenciana etc..
48
www.accv.es
Puntos de Registro (V) Desarrollo propio XRAO Aplicacin web Desarrollada en Java (JSP), sobre Tomcat Utiliza IDEAS como librera criptogrfica Instalacin mnima en cliente
Informes ActiveX impresin de documentos JARS de la aplicacin Soporte hardware (tarjeta-lector)
Puntos de registro (VI) Desarrollo propio XRAO Realiza todos los tramites:
50
Recoge los datos Enva la peticin Recoge el cerificado Imprime el contrato Imprime el PIN ( sobre ciego o en el propio contrato ) Imprime el soporte Genera el soporte (tarjeta o software) Revocacin, suspensin y activacin de certificados Cancelacin de datos
www.accv.es
Punto de Registro (VII) Apoyo logstico Instalacin y mantenimiento de la aplicacin Cesin de equipamiento (si necesario) Formacin de operadores
Uso de la aplicacin Deben firmar contratos de responsabilidad
51
www.accv.es
www.accv.es 902 482 481 soporte@pki.gva.es Jos Antonio Amador Tel. 961 961 027 Fax. 961 961 002 jamador@accv.es
52
www.accv.es