Infraestructura de Clave PInfraestructura de Clave Púúblicablicade la Generalitat Valencianade la Generalitat Valenciana
D.G. de Telecomunicaciones e InvestigaciónConselleria de Infraestructura y TransportesMayo de 2.007
2 www.accv.es
Objetivos del proyectoEstado actual y evolución futuraEstructura fisica y logicaEmisión y gestión de certificadosServicios de ValidaciónInterrelación con otros proyectosPuntos de Registro
Agenda
3 www.accv.es
Implantación de una Plataforma de CertificaciónFormaciónSoporte al desarrollo de aplicaciones sobre la PKIDefinición y puesta en marcha de estructuras de soporte de la PKIPromoción y participación en proyectos de PKI
Objetivos del proyecto
4 www.accv.es
Implantación de una Plataforma de Certificación
Estado actual y evolución futura
Generadas rootCA y CAGVA en julio de 2.001
Resto de sistemas del núcleo de la PKI puestos en funcionamiento entre julio y octubre de 2.001
Definición y desarrollo de sistemas propios para emisión, control y gestión de certificados.
Otros servicios (OCSP, KAS, TSS, Servicios Web...)
5 www.accv.es
Formación
Estado actual y evolución futura
Personal de proyectoSe favorece la obtención de certificaciones (CISA, CISM, etc)
Personal de InfoCentre (agentes de CallCenter y responsables de microinformática)
Equipos de desarrollo de otros departamentosCursos sobre e-Formación
Dos cursos activos- Firma Digital I (Iniciación) - Firma Digital II (Conceptos avanzados)
Formación presencial del IVAPOperadores de Punto de Registro de Usuario
6 www.accv.es
Estado actual y evolución futuraSoporte al desarrollo de aplicaciones sobre la PKI
Desarrolladas APIs de recubrimiento• 1ª Fase. Librerías propietarias (KeyTool). Obsoleta• 2ª Fase. Paso a librerías GPL ( o similar). Terminada
– BouncyCastle http://www.bouncycastle.org– Cryptlib (Acceso a las tarjetas)
» Utilización de las librerías PKCS#11 de CL• API IDEAS versión 3.6 (última versión Abril 2006)
– Soporte Java 1.3.X y Java 1.4.X– En desarrollo soporte Java 1.5– Firma y cifrado de datos– Gestión de sellos de tiempo– Acceso a los servicios de validación– Etc..
7 www.accv.es
Estado actual y evolución futura
Soporte al desarrollo de aplicaciones sobre la PKISoporte en todas las fases de desarrolloUtilización y soporte a nuevas herramientasCreación de canales de comunicación entre grupos de desarrollo
8 www.accv.es
Definición y puesta en marcha de estructuras de soporte de la PKI
Estado actual y evolución futura
Decreto de firma (87/2002, de 30 de mayo) Asistencia en el desarrollo de otras normasDefinición de CPS y CPsDefinición de procedimientos para PRUs
9 www.accv.es
Estado actual y evolución futuraObtención de sellos de calidad
WEBTrust• Sello orientado a la seguridad de los servicios de información• Sello obtenido – 1Q 2006• La ACCV se encuentra ahora en la 1ª revisión
Adecuación a la LOPD• Auditoria finalizada satisfactoriamente en noviembre 2005• Primera revisión en curso.
ISO-17799 (BS-7799 UNE-71502) CWA-14167-1
• Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures - Part 1: System Security Requirements
10 www.accv.es
Promoción y participación en proyectos de PKI
Estado actual y evolución futura
Listas de distribuciónSitio web de proyectoBoletín ACCV-INFORMAPresentaciones del proyectoRuedas de PrensaArtículos en revistas especializadasColaboración con universidadesParticipación en concursos y conferenciasColaboración con otros proyectos de AGEColaboración con otros Prestadores públicos y privadosMás de 650 reuniones dentro y fuera de G.V.
...
11 www.accv.es
Estructura Fisica (CPD Primario)
DMZ DB
DMZ CA
DMZ “End User Access”
FW
LDAP1+OCSP1+TSS1 LDAP2+OCSP2+TSS2 Gateway Oracle
RootCA
CA
RA + ARM
RA + ARM
Test
WEB1 BBDD PR
Balanceadores
Servicios WEB1XRAO1
WEB2
XRAO2Servicios
WEB2
12 www.accv.es
Estructura lógica (I)
RootCA
ACCV-CA2 GVACA
LDAP
KAS
OCSPOCSP X.509v3X.509v3CRLCRL
MailMailBrowserBrowser
VPNVPNGW
GVA1RA ARM
TSS
SRAO CRAOXRAO
ACCV-CA1
13 www.accv.es
LDAP
WebServices
rootCA
CAGVA
LDAP
KAS
TramitaciTramitacióón y gestin y gestióónndistribuida en PRUsdistribuida en PRUs
TSS
OCSP
SRAOXRAO
BDDxrao
OCSP ResponderOCSP Responder
OCSP
TSS
Serv. Sellos de TiempoServ. Sellos de Tiempo
WebServices
Servicios web:Servicios web:•• validacivalidacióón firma y certificadon firma y certificado•• generacigeneracióón token registron token registro
CorreoCVcreación cuentas
Estructura lógica (II)
14 www.accv.es
Personales: emitidos exclusivamente a personas físicas• Certificados reconocidos en soporte software
• Formato PKCS#12• Se entrega en un soporte de 3 ½ o en Token USB• Funciona en cualquier plataforma (Windows, Linux, etc)
• Certificados reconocidos en dispositivo seguro• Se entrega en tarjeta criptografica• Controladores con soporte CSP y PKCS#11• Soporte para Windows y Linux
Emisión y gestión de certificados (I) Tipos de certificados emitidos
15 www.accv.es
Emisión y gestión de certificados (II) Tipos de certificados emitidos
Certificados de Entidad: Emitidos para entidades con o sin personalidad jurídica
• Certificados reconocidos en dispositivo seguro de creación de firma.
– Se entregan en tarjeta criptografica– Controladores con soporte CSP y PKCS#11– El solicitante debe acreditar sus poderes de representación
mediante un proceso de bastanteo.
16 www.accv.es
Emisión y gestión de certificados (III) Tipos de certificados emitidos
Servidores con soporte SSL• Identifica al servidor, para un servicio dado (http, ldap).
Servidores de VPN• Permite gestionar al servidor perfiles de usuario con
certificado
Firma de código• Realiza la firma de código (java, ActiveX)
Firma de aplicaciones• Habilita la firma en procesos no interactivos
17 www.accv.es
Emisión y gestión de certificados (IV) Tipos de certificados emitidos
Certificados de inicio de sesion en Windows• Identifica al usuario frente a un dominio de windows• Deben seguir el formato de Microsoft
– campo UPN (usuario@dominio) • Solo se emiten en tarjeta
Certificados de Controlador de dominio• Permiten a un controlador de dominio autenticar a
usuarios de un dominio • Deben seguir el formato de Microsoft
– Campo GUID del controlador– Nombre DNS del contralador
18 www.accv.es
Emisión y gestión de certificados (V) Perfil de los certificados personales (Dispositivo seguro de creación de firma)
Número de serie: 3CE15119Emisor: CA GVAAsunto:Serial Number=12345678X,G=ANTONIO,SN=PEREZ PEREZCN= ANTONIO PEREZ PEREZ – NIF: 12345678XOU=Ciudadanos,O=Generalitat Valenciana,C=ESVálido desde: 20/05/2002 10:55:54Válido hasta: 19/05/2005 10:55:54OID=1.3.6.1.4.1.8149.3.6.4.0Clave Pública (1024 bits): fffffffffffffffffffffffffffffffffffUsos de la Clave: Firma Digital
Certificado para firmaNúmero de serie: 3CE15F1AEmisor: CA GVAAsunto:Serial Number=12345678X,G=ANTONIO,SN=PEREZ PEREZCN= ANTONIO PEREZ PEREZ – NIF: 12345678XOU=Ciudadanos,O=Generalitat Valenciana,C=ESVálido desde: 20/05/2002 10:56:04Válido hasta: 19/05/2005 10:56:04OID=1.3.6.1.4.1.8149.3.6.4.0Clave Pública (1024 bits): cccccccccccccccccccccccUsos de la Clave: Cifrado de clave, Cifrado de datos
Certificado para cifrado
certificados cualificadossegún RFC 3739 (Marzo 2004)
Emitidos como
certificados reconocidossegún Ley-59/2003
19 www.accv.es
Emisión y gestión de certificados (VI) Perfil de los certificados personales (perfil software)
Número de serie: 3CE15119Emisor: CA GVAAsunto:Serial Number=12345678X,G=ANTONIO,SN=PEREZ PEREZCN= ANTONIO PEREZ PEREZ – NIF: 12345678XOU=Ciudadanos,O=Generalitat Valenciana,C=ESVálido desde: 20/05/2002 10:55:54Válido hasta: 19/05/2005 10:55:54OID=1.3.6.1.4.1.8149.3.7.3.0Clave Pública (1024 bits): fffffffffffffffffffffffffffffffffffUsos de la Clave: Firma Digital
Certificado para firmaNúmero de serie: 3CE15F1AEmisor: CA GVAAsunto:Serial Number=12345678X,G=ANTONIO,SN=PEREZ PEREZCN= ANTONIO PEREZ PEREZ – NIF: 12345678XOU=Ciudadanos,O=Generalitat Valenciana,C=ESVálido desde: 20/05/2002 10:56:04Válido hasta: 19/05/2005 10:56:04OID=1.3.6.1.4.1.8149.3.7.3.0Clave Pública (1024 bits): cccccccccccccccccccccccUsos de la Clave: Cifrado de clave, Cifrado de datos
Certificado para cifrado
certificados cualificadossegún RFC 3739 (Marzo 2004
Emitidos como
certificados reconocidossegún Ley-59/2003
20 www.accv.es
Emisión y gestión de certificados (VII)
Certifican el vínculo entre una identidad y una clave públicaNo contienen atributos dependientes de aplicacionesSimplicidad en procesos de registro, que se limitan a la comprobación de la identidad del solicitanteReusabilidad entre aplicaciones y reducción de costes de despliegue
Posibilitan el Archivado de Claves de Cifrado, respetando la legislación
Perfil de los certificados personales
21 www.accv.es
Emisión y gestión de certificados (VIII) Perfil de los certificados de entidad (Dispositivo seguro de creación de firma)
Número de serie: 27 15 a6 83 49 ab a6 f9Emisor: ACCV-CA1Asunto:
Serial Number=S2826024H,G=ANTONIO,SN=PEREZ PEREZ,1.3.6.1.4.1.18838.1.1=12345678X, CN= EMPRESA S.A.OU=Entidades,O=Generalitat Valenciana,C=ESVálido desde: 20/05/2002 10:55:54Válido hasta: 19/05/2005 10:55:54OID=1.3.6.1.4.1.8149.3.6.4.0Clave Pública (1024 bits): fffffffffffffffffffffffffffffffffffUsos de la Clave: Firma Digital, Cifrado de claves, Cifrado de datos
Certificado con usos de firma y cifrado
certificados cualificadossegún RFC 3739 (Marzo 2004)
Emitidos como
certificados reconocidossegún Ley-59/2003
22 www.accv.es
Emisión y gestión de certificados (VIII) Tasa para kits criptograficos
Preferencia de soporte en tarjetaNo se encuentra como ‘informatica de consumo’Es necesario habilitar un mecanismo para su adquisición sin:
• Cargar los gastos a la ACCV• Depender de los circuitos habituales de suministros
Solución: El usuario decide• Tarjeta Paga la tasa por el hardware• Software Gratuito
Para entidades: Siempre en tarjeta
23 www.accv.es
Emisión y gestión de cerificados (IX) Tasa para kits criptograficos
Se añaden por ley de acompañamiento a la ley 16/2003, de 17 de diciembre, las siguientes tasas:
• Kit criptografico (tarjeta + lector USB): 43,70€• Tarjeta: 22,90€• Lector USB: 18,73€
Se solicita por Internet, pagandose en entidades financiaras colaboradoras y se recoge en el PRU de elección del usuario
24 www.accv.es
Servicios de Validación(I) Mecanismos proporcionados por la PKI
Estado del certificado• OCSP• SCVP• CRL
Sellos de TiempoServicios Web de validación
Punto de contacto entre Aplicaciones e Infraestructura
25 www.accv.es
Servicios de Validación (II) OCSP
Online Certificate Status Protocol RFC-2560Encapsulado sobre protocolos ya existentes.
• HTTP• SMTP• LDAP
Rapido, eficiente y ligeroSustituto natural de la consulta por CRLDevuelve el estado:
• Revoked, Good, Unknown
26 www.accv.es
Servicios de Validación (III) SCVP
Server-based Certificate Validation ProtocolEn Draft de enero 2007 (caduca en 6 meses) Proporciona mas información que OCSP
• Construye la cadena de certificación• Estado del certificado• Estado de la cadena de certificación
La petición es configurable• El cliente le dice al servidor lo que necesita
Descarga la validación en el servidor
27 www.accv.es
Servicios de Validación (IV) CRL
Certificate Revocation List RFC-3280 (RFC-4325 y RFC-4630) Es el metodo mas simpleSolo proporciona un almacén firmado de:
• Números de serie de certificados• Fechas • Motivos de revocación
Define un algoritmo para la comprobación
28 www.accv.es
Servicios de Validación (V) CRL
Los clientes realizan todo el proceso:• Descarga• Comprobación de la firma de la CRL• Recorrido por los números de serie• Obtención de los datos
Los certificados incluyen la posición de la CRL• Extensión CDP (CRL Distibution Point ) • LDAP URI, HTTP URI, etc
29 www.accv.es
Servicios de Validación (VI) Sellos de Tiempo
Conjunto de especificaciones:• TSP (Time Stamp Protocol) RFC-3161• TSA (Time Stamping Authority) • TSU (Time-Stamp Unit)
Garantiza la existencia de un dato en un tiempoGarantiza el No RepudioTSA se encarga de firmar el Token junto con la fecha.
30 www.accv.es
Servicios de Validación (VII) Sellos de Tiempo
TSP define la comunicación• Utilizando e-mail
– Especifica la codificación ASN1• Protocolo basado en fichero• Protocolo basado en Sockets
– Utiliza puerto 318– Define la estructura del paquete TCP
• Utilizando HTTP– Define tipos de contenido especifico
» Content-Type: application/timestamp-query
» Content-Type: application/timestamp-reply» Content-Type: application/timestamp-response
31 www.accv.es
Servicios de Validación (VIII) La Infraestructura PKI de la GVA
Ofrece un conjunto replicado de servidores OCSP• ocsp.pki.gva.es
Mantiene la CRL actualizada en:• HTTP• LDAP
Ofrece Servicios de Sellado de Tiempo sobre HTTP (implementación de OpenTSA)
• tss.pki.gva.es• Puerto 8318
32 www.accv.es
Servicios de Validación (IX) Servicio web de validación
Desarrollo propio• Tomcat (Contenedor Servlets, proyecto Apache Jakarta) • Axis (Servidor SOAP, proyecto Apache XML ) • BouncyCastle (librerías criptograficas)
Servicios actuales • 25 metodos agrupados en tres categorias
– Manejo de certificados– Manejo de sellos de tiempo y tokens de validación– Comprobación de firmas
Ampliaciones en curso• Compatibilidad XAdES
33 www.accv.es
Servicios de validación (X) Servicios web de validación
Motivación• Facilitar el desarrollo de aplicaciones con soporte de
varios PSC– El SW se ocupa de obtener los datos de los distintos
perfiles• Implementar sistemas para verificaciones a largo plazo
– Estandar ETSI TS 101 733 – RFC – 3126– El token incluye:
» Firma original» Sello de tiempo» Token OCSP
– La Autoridad de validación firma el token como TTP
34 www.accv.es
Servicios de Validación (XI) Servicio web de validación
Objetivo:• Clientes que soporten firma sin código criptográfico• Toda la carga en el servidor
– Balanceo– Tolerancia a fallos
Ventajas:• Control sobre el producto y la seguridad asociada• Basado en herramientas gratuitas
35 www.accv.es
Interrelación con otros proyectos (I) La función de la PKI es dar servicio TTPProporcionar las herramientas para que los proyectos:
Desarrollen serviciosHagan seguras aplicacionesImplementen la logísticaFormen a sus usuarios
36 www.accv.es
Interrelación con otros proyectos (II) E-Formación
Servicio de e-learningComplemento de los cursos tradicionalesImplementa:
• Autenticación de usuarios con certificado• Firma de los ejercicios• Firma de los resultados
Garantiza autenticidad y no repudioCursos igualmente valorados
37 www.accv.es
Interrelación con otros proyectos (III) Servicios interactivos del SERVEF
Puestos a disposición de sus usuarios para:• Consulta de Curriculum• Modificación de los datos personales y académicos• Envio de ofertas personalizadas• Renovación de la demanda de empleo• TODOS LOS SERVICIOS
Utiliza:• Certificados para autenticar a sus usuarios• Firma electrónica de las modificaciones
Objetivo:• Realizar de forma no presencial todos sus tramites (Cumplido)
38 www.accv.es
Interrelación con otros proyectos (IV) Mastin
Registro telemático de expedientesTodos los tramites administrativos se registranUtiliza:
• Firma electrónica de los documentos• Certificado para seguimiento del estado de los
expedientesGarantiza la integridad, autenticidad y no repudio
39 www.accv.es
Interrelación con otros proyectos (V) CorreoCV
Correo del ciudadanoAsigna una cuenta de correo gratuita a los ciudadanosFormaliza la relación telemática entre el ciudadano y la administraciónUtiliza:
• Firma digital y cifradoVincula el certificado con la dirección CVGarantiza autenticidad, confidencialidad y no repudio
40 www.accv.es
Interrelación con otros proyectos (VII) Abucasis II
Proyecto de la Conselleria de SanidadÁmbitos:
• Acceso a los expedientes médicos • Receta electrónica
Datos de nivel 3 (LOPD) Solo se acepta dispositivo seguro (tarjeta) Criticidad de los servicios y tiempos de respuesta
41 www.accv.es
Interrelación con otros proyectos (VIII) Generalitat en RED
Macroproyecto de e-administraciónCrea las infraestructuras para facilitar el paso de procedimientos a la red
• Pasarela de pagos• Registro telemático• Notificación electrónica• Modulo de firma
– Se basa en los servicios web– Crea un API diseñado específicamente para tramitación
electronica
42 www.accv.es
Interrelación con otros proyectos (IX) Otros proyectos
Envios al DOGV ( Diario Oficial de la Generalitat ) Gestión de las Oficinas Liquidadoras ( Hacienda ) CAVI
• Catarroja Ayuntamiento VirtualCarnet JOVE
• Envio de la información del IVAJ a las entidades bancarias
Mas proyectos:• http://www.accv.es/aplicaciones_c.htm
43 www.accv.es
Interrelación con otros proyectos (X) A.E.A.T
Desde enero de 2004, los certificados de persona física emitidos por la ACCV son validos para operar con la AEATEs el primer PSC que lo consigue, además de la FNMT
CatastroAcceso a la oficina virtual del catastro
Tesorería de la Seguridad SocialAcceso completo a la oficina virtual (consulta de la vida laboral, etc..)
LexnetTramitación de informes jurídicos a nivel nacional (Ministerio de Justicia y TSJ)
FomentoAcceso a la oficina virtual.
44 www.accv.es
Interrelación con otros proyectos (XI) Proyecto CLAUER
Iniciativa de la UJISe han repartido 10000 certificados
• Profesores• Alumnos• Personal administrativo
La UJI suministra un dispositivo de memoria (Pen-Drive) con un CSP de desarrollo propioDuración de la 1º emisión Abril-Junio 2005Todos los procesos internos con acceso con certificado
45 www.accv.es
Puntos de Registro (I) Difusión de los certificadosDescentralización de los tramitesDesarrollo propio: XRAOApoyo logístico
46 www.accv.es
Puntos de Registro (II) Difusión de los certificados
Enfoques:• Realizar aplicaciones que utilicen los certificados
– Ideal• Emitir certificados para que se desarrollen aplicaciones
– Realista
Fomentar el primero facilitando el segundoObjetivo:
• Conseguir el mayor impacto posible
47 www.accv.es
Puntos de Registro (III) Descentralización de los tramites
Necesaria presencia física solicitanteObjetivo:
• Facilitar al usuario la recogida del certificado• Realizar desde la petición a la recogida en un paso
Convenios con Administraciones Locales (42 Convenios) • Catarroja• Valencia• Alicante• Villena• ..etc
149 puntos de registro públicos en toda la comunidad y creciendo82 puntos de registro para personal de la Administración
48 www.accv.es
Puntos de Registro (IV) Descentralización de los tramites
Convenios con otros PSC• Se consigue reconocimiento mutuo• Realizados:
– Camerfirma– Firma Profesional– ACA (Autoridad de Certificación de la Abogacía) – ANCERT (Agencia de Certificación del Notariado) – DNI-e. Se validan los certificados del nuevo DNI (convenio MAP)
Convenios con entidades (publicas) • Se consigue sinergia
– Se difunden los certificados– Sus usuarios no tienen que ir a otro PRU
• SUMA• Colegio Oficial de Ing. Telecomunicación de la C. Valenciana• Colegio Oficial de Ing. en Informática de la C. valenciana• etc.….
49 www.accv.es
Puntos de Registro (V) Desarrollo propio XRAO
Aplicación webDesarrollada en Java (JSP), sobre TomcatUtiliza IDEAS como librería criptográficaInstalación mínima en cliente
• Informes• ActiveX impresión de documentos• JARS de la aplicación• Soporte hardware (tarjeta-lector)
Autenticación basada en certificado sobre dispositivo seguro
50 www.accv.es
Puntos de registro (VI) Desarrollo propio XRAO
Realiza todos los tramites:• Recoge los datos• Envía la petición• Recoge el cerificado• Imprime el contrato• Imprime el PIN ( sobre ciego o en el propio contrato ) • Imprime el soporte• Genera el soporte (tarjeta o software) • Revocación, suspensión y activación de certificados• Cancelación de datos
51 www.accv.es
Punto de Registro (VII) Apoyo logístico
Instalación y mantenimiento de la aplicaciónCesión de equipamiento (si necesario) Formación de operadores
• Uso de la aplicación• Deben firmar contratos de responsabilidad
52 www.accv.es
Contactos: direcciones y teléfonos
www.accv.es
902 482 481
José Antonio AmadorTel. 961 961 027Fax. 961 961 [email protected]