View
5
Download
0
Category
Preview:
Citation preview
© TB·Solutions Web · www.tb-solutions.com E-mail · info@tb-solutions.com Tfno. · 902 443 277 Fax · 976 701 601
12 de Junio de 2008
La Seguridad y la Firma Electrónica
La Seguridad y la Firma ElectrónicaLe experiencia de TB-Solutions
Observatorio DINTELLa Seguridad en Defensa y las AA.PPFermín MestreDirector Delegación de Madrid TB·Solutionsmestref@tb-solutions.com
© TB·Solutions Web · www.tb-solutions.com E-mail · info@tb-solutions.com Tfno. · 902 443 277 Fax · 976 701 601 12 de Junio de 2008 P · 2.
La Seguridad y la Firma Electrónica
01 El marco legal
El requisito imprescindible para realizar cualquier operación de forma telemática de manera segura pasa por dotar a las aplicaciones informáticas de los niveles de seguridad necesarios para garantizar:
la identidad de las personas y sistemas que actúan,
la autenticidad e integridad de la información y
evitar el repudio de las operaciones.
© TB·Solutions Web · www.tb-solutions.com E-mail · info@tb-solutions.com Tfno. · 902 443 277 Fax · 976 701 601 12 de Junio de 2008 P · 3.
La Seguridad y la Firma Electrónica
IntroducciónEl marco legal01 01
Para garantizar estos requisitos y más en concreto la identidad de las personas que actúan, se están desarrollando principalmente dos tendencias:
Tecnologías basadas en el control de los datos biométricos
Tecnologías basadas en Firma Electrónica
En el marco de las directivas de la Unión Europea, el Estado español ha elegido potenciar la creación de instrumentos capaces de acreditar la identidad de los intervinientes y la integridad de la información intercambiada mediante el empleo de tecnologías de Firma Electrónica.
Pero, para incorporar las funcionalidades de seguridad necesarias, nos encontramos con dificultades funcionales y técnicas relacionadas directamente con la incorporación de la tecnología de certificados digitales y firma electrónica a las aplicaciones informáticas existentes.
© TB·Solutions Web · www.tb-solutions.com E-mail · info@tb-solutions.com Tfno. · 902 443 277 Fax · 976 701 601 12 de Junio de 2008 P · 4.
La Seguridad y la Firma Electrónica
Legislación aplicableEl marco legal01 02
Dentro del marco de las directivas de la Unión Europea,
el Estado español ha desarrollado un conjunto de medidas destinadas a potenciar el uso de la firma electrónica en España:
Ley de Firma Electrónica 59/2003
Real Decreto sobre el Documento Nacional de Identidad electrónico.
Ley de acceso electrónico de los ciudadanos a los Servicios Públicos 11/2007
Plan nacional de investigación científica, desarrollo e innovación tecnológica 2008-2011.
Ley de medidas de impulso de la Sociedad de la información 56/2007.
Todo ello apuntando a la potenciación del Documento Nacional de Identidad electrónico DNIe y de lo que se conoce como la Administración Electrónica, favoreciendo el uso de la firma electrónica y obligando tanto a las Administraciones como a otras entidades, públicas y privadas, a poner a disposición de los ciudadanos los medios necesarios para que puedan realizar sus gestiones por medios electrónicos.
© TB·Solutions Web · www.tb-solutions.com E-mail · info@tb-solutions.com Tfno. · 902 443 277 Fax · 976 701 601 12 de Junio de 2008 P · 5.
La Seguridad y la Firma Electrónica
02 Los requisitos
Para apuntar hacia la e-Administración e incorporar a los procesos telemáticos los requerimientos básicos de seguridad mencionados de:
Autenticidad
Integridad
No Repudio
es necesario incorporar la tecnología de firma electrónica “avanzada” o “reconocida” a las aplicaciones informáticas de las organizaciones,
Entendiendo por firma “avanzada”, aquella que se genera con medios que el firmante puede mantener bajo su exclusivo control y por firma “reconocida”, la avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma
(Ley de Firma Electrónica 59/2003)
© TB·Solutions Web · www.tb-solutions.com E-mail · info@tb-solutions.com Tfno. · 902 443 277 Fax · 976 701 601 12 de Junio de 2008 P · 6.
La Seguridad y la Firma Electrónica
Para incorporar la tecnología de firma electrónica a las aplicaciones informáticas, desde el punto de vista funcional, los principales requisitos a considerar en el modelo a adoptar serían:
Las aplicaciones puedan trabajar con certificados de múltiples Proveedores de Servicios de Certificación (PSC´s) tanto nacionales como extranjeros y con la problemática asociada a la gestión de sus certificados
La incorporación de las funcionalidades de firma de una forma sencilla y rápida a las aplicaciones
Disponer de un método ágil para la gestión de las políticas de confianza y firma en las aplicaciones
Soportar las cuatro operaciones básicas de Autenticación, Firma, Cifrado y Sellado de Tiempo
AUTORIDAD PÚBLICA DE VALIDACIÓN NACIONAL
....
AUTORIDADES DE CERTIFICACIÓN EXTRANJERAS
Planteamiento de TB-Solutions de cara a la Firma ElectrónicaLos requisitos02 01 01
© TB·Solutions Web · www.tb-solutions.com E-mail · info@tb-solutions.com Tfno. · 902 443 277 Fax · 976 701 601 12 de Junio de 2008 P · 7.
La Seguridad y la Firma Electrónica
Y desde el punto de vista tecnológico, para que el modelo adoptado se adapte lo más eficazmente posible a las arquitecturas de Sistemas de Información existentes, la solución debe contemplar que:
Pueda constituirse como un servicio horizontal
Pueda integrarse como parte de un “framework” de servicios más amplio
Esté construida de forma modular
Cuente con componentes en la parte cliente que facilite su incorporación al mayor número de aplicaciones, incluyendo las residentes en dispositivos móviles
Aísle a las aplicaciones del impacto de los cambios tecnológicos
Sea escalable horizontal y verticalmente
Sea interoperable
Planteamiento de TB-Solutions de cara a la Firma ElectrónicaLos requisitos02 01 02
© TB·Solutions Web · www.tb-solutions.com E-mail · info@tb-solutions.com Tfno. · 902 443 277 Fax · 976 701 601 12 de Junio de 2008 P · 8.
La Seguridad y la Firma Electrónica
03 El resultado:
La plataforma ASF de Firma Electrónica de TB-Solutions
A partir de los requisitos anteriores, TB-Solutions ha desarrollado su plataforma SOA de firma electrónica ASF
© TB·Solutions Web · www.tb-solutions.com E-mail · info@tb-solutions.com Tfno. · 902 443 277 Fax · 976 701 601 12 de Junio de 2008 P · 9.
La Seguridad y la Firma Electrónica
La plataforma ASF de Firma Electrónica de TB-SolutionsEl resultado03 01 01
TB-Solutions ha desarrollado su plataforma SOA (Service Oriented Architecture) de firma electrónica ASF con las fortalezas principales siguientes:
ASF se ha diseñado como una solución completa para la incorporación de firma electrónica a la infraestructura informática de cualquier entidad u organización
ASF permite la gestión del ciclo de vida completo del uso de certificados
ASF está compuesta por un conjunto de módulos que permiten una fácil y rápida adaptación al proceso que requiere incorporar firma electrónica
ASF independiza a las aplicaciones de cualquier complejidad derivada del uso de múltiples tipos de certificados, permitiendo la utilización selectiva de uno o varios tipos de certificados electrónicos por cada una de las aplicaciones.
© TB·Solutions Web · www.tb-solutions.com E-mail · info@tb-solutions.com Tfno. · 902 443 277 Fax · 976 701 601 12 de Junio de 2008 P · 10.
La Seguridad y la Firma Electrónica
La Arquitectura SOA de ASF:La Arquitectura SOA de ASF:
ASF Firma
EncryptionServer SignatureServer
X509Validator NonRepudiationSvc
PolicyManager
OCSPHTTPSLDAP
TSACA
EasyCert
KeyRecoverySrv
TSAServer
VA
OCSPResponder CRLUpdater
X509Validator PolicyManager
OCSPHTTPSLDAP
ASF PKI
MobileSignerWebSignerOCSPRevProv
AplicaciónAnfitriona
Arquitectura modular
Diferentes componentes cliente
Configuración adaptable al Servicio:
- ASF CA
- ASF VA
- ASF TSA
- ASF Firma
La plataforma ASF de Firma Electrónica de TB-SolutionsEl resultado03 01 02
© TB·Solutions Web · www.tb-solutions.com E-mail · info@tb-solutions.com Tfno. · 902 443 277 Fax · 976 701 601 12 de Junio de 2008 P · 11.
La Seguridad y la Firma Electrónica
La adopción de ASF como plataforma de firma electrónica corporativa de una organización proporciona múltiples beneficios, entre los que podemos destacar los siguientes:
Reducción de costes de desarrollo e integración: Utilizando ASF como plataforma de firma evitaremos el uso de diferentes estándares y metodologías que dificulten la interoperabilidad de las aplicaciones
Reducción de los costes de operación: Todas las características de las funcionalidades de firma electrónica de todas las aplicaciones podrán ser gestionadas desde un único punto de administración
Reducción de los costes de adaptación y evolución: Permitiendo la rápida adaptación de las políticas de la organización y la incorporación inmediata de los nuevos estándares y formatos de firma.
Beneficios de optar por ASFEl resultado03 02 01
© TB·Solutions Web · www.tb-solutions.com E-mail · info@tb-solutions.com Tfno. · 902 443 277 Fax · 976 701 601 12 de Junio de 2008 P · 12.
La Seguridad y la Firma Electrónica
Al estar construida íntegramente en Java (J2EE), ASF posibilita la total adaptación a cualquier infraestructura hardware y software definida por nuestros clientes.
Esa misma arquitectura J2EE, garantiza las posibilidades de crecimiento, de configuraciones de alta disponibilidad y de alto rendimiento.
Beneficios de optar por ASFEl resultado03 02 02
© TB·Solutions Web · www.tb-solutions.com E-mail · info@tb-solutions.com Tfno. · 902 443 277 Fax · 976 701 601 12 de Junio de 2008 P · 13.
La Seguridad y la Firma Electrónica
ASF es la primera plataforma de firma electrónica que ha obtenido el certificado de seguridad otorgado por el Centro Criptológico Nacional según el esquema de certificación europeo Common Criteria, obteniendo la calificación EAL3+ (ALC-FLR.1).
MINISTERIO DE DEFENSA
9651 RESOLUCIÓN 1A0/38072/2008, de 9 de abril, del Centro Criptológico Nacional, por la que se certifica la seguridad del producto ASF (Advanced Signature Framework), versión 4.1.5, desarrollado por la empresa TB-Solutions Advanced Technologies S.L.
La plataforma ASF de Firma Electrónica de TB-SolutionsEl resultado03 03 01
© TB·Solutions Web · www.tb-solutions.com E-mail · info@tb-solutions.com Tfno. · 902 443 277 Fax · 976 701 601 12 de Junio de 2008 P · 14.
La Seguridad y la Firma Electrónica
El grado de coincidencia de los planteamientos de nuestros clientes en firma electrónica con los planteamientos de ASF, es directamente proporcional a la profundidad de su conocimiento de la firma electrónica.
En este sentido, nuestra experiencia confirma que un cliente que se encuentra en el inicio de su planteamiento para la incorporación de firma electrónica, optará por ASF en un 20 % de los casos, cuando avanza en sus planteamientos y alcanza un año de conocimiento y experiencia, las posibilidades de que contrate ASF crecen hasta un 50 % y cuando llega a los 2 años de madurez en el conocimiento, las probabilidades de que escoja ASF como plataforma de firma electrónica, crecen hasta el 70 %.
1 año 2 años
Tiempo invertido, conocimiento y Experiencia
Éxito = 50%
Éxito = 20%
Éxito = 70%
La experiencia de TB-SolutionsEl resultado03 04 01
© TB·Solutions Web · www.tb-solutions.com E-mail · info@tb-solutions.com Tfno. · 902 443 277 Fax · 976 701 601 12 de Junio de 2008 P · 15.
La Seguridad y la Firma Electrónica
Administraciones Públicas:
Ministerio de Economía y Hacienda
Fábrica Nacional de Moneda y Timbre
Dirección General de Catastro
Comisión Nacional del Mercado de Valores (CNMV)
Ministerio de Trabajo e Inmigración
Ministerio de Fomento
Aviación Civil
Red.es
Comisión Nacional de la Energía (CNE)
Senado
Ministerio de Educación y Ciencia
Tribunal constitucional
Correos
Comunidad de Madrid
Junta de Castilla y León
Gobierno de Aragón
Gobierno de La Rioja
Gobierno de Cantabria
Comunidad Autónoma Región de Murcia
Gobierno de Canarias
Patronato de Recaudación Provincial de Málaga
Diputación Provincial de Huesca
Ayuntamiento de Zaragoza
Hasta 55 de los 158 Organismos principales de la Administración Pública Española (33%)
Han confiado en ASFEl resultado03 05 01
© TB·Solutions Web · www.tb-solutions.com E-mail · info@tb-solutions.com Tfno. · 902 443 277 Fax · 976 701 601 12 de Junio de 2008 P · 16.
La Seguridad y la Firma Electrónica
Entidades Financieras:
Caja Madrid
Ibercaja
La Caixa
RSI y Cajas Rurales asociadas
Caixa Penedès
Caixa Terrassa
Hasta 26 de los 166 principales Bancos y Cajas de Ahorro (16%)
Colectivos/Organizaciones:
Colegio Oficial de Gestores Administrativos de Madrid
Colegio de Arquitectos de Aragón
Vodafone
Allianz
Oficina de Cooperación Universitaria
Sanitas
Han confiado en ASFEl resultado03 05 02
© TB·Solutions Web · www.tb-solutions.com E-mail · info@tb-solutions.com Tfno. · 902 443 277 Fax · 976 701 601 12 de Junio de 2008 P · 17.
La Seguridad y la Firma Electrónica
CONFIDENCIALIDAD Y RESTRICCIONES DE USO
Toda la información contenida en el presente documento, sea de naturaleza comercial, financiera o de cualquier otro tipo, es propiedad de TB·Solutions y considerada como “Información estrictamente confidencial”, por lo que no se revelará a terceras partes quedando prohibida su reproducción, total o parcial, por cualquier medio sin el previo consentimiento expreso de TB·Solutions.
Dicha información se utilizará exclusivamente para evaluar la propuesta de colaboración quedando prohibido cualquier otro uso de la misma sin autorización expresa de TB·Solutions. Una vez realizada tal evaluación, en el caso de que se decidiese abandonar el proyecto, desarrollarlo internamente o seleccionar otra compañía para su ejecución, deberá devolver todos los ejemplares del presente documento junto con una declaración firmada de que no se han efectuado copias del mismo ni guardado ejemplar alguno.
Recommended