La seguridad y la firma electrónica · Tecnologías basadas en el control de los datos biométricos Tecnologías basadas en Firma Electrónica En el marco de las directivas de la

© TB·Solutions Web · www.tb-solutions.com E-mail · [email protected] Tfno. · 902 443 277 Fax · 976 701 601

12 de Junio de 2008

La Seguridad y la Firma Electrónica

La Seguridad y la Firma ElectrónicaLe experiencia de TB-Solutions

Observatorio DINTELLa Seguridad en Defensa y las AA.PPFermín MestreDirector Delegación de Madrid TB·[email protected]

© TB·Solutions Web · www.tb-solutions.com E-mail · [email protected] Tfno. · 902 443 277 Fax · 976 701 601 12 de Junio de 2008 P · 2.


01 El marco legal

El requisito imprescindible para realizar cualquier operación de forma telemática de manera segura pasa por dotar a las aplicaciones informáticas de los niveles de seguridad necesarios para garantizar:

la identidad de las personas y sistemas que actúan,

la autenticidad e integridad de la información y

evitar el repudio de las operaciones.



IntroducciónEl marco legal01 01

Para garantizar estos requisitos y más en concreto la identidad de las personas que actúan, se están desarrollando principalmente dos tendencias:

Tecnologías basadas en el control de los datos biométricos

Tecnologías basadas en Firma Electrónica

En el marco de las directivas de la Unión Europea, el Estado español ha elegido potenciar la creación de instrumentos capaces de acreditar la identidad de los intervinientes y la integridad de la información intercambiada mediante el empleo de tecnologías de Firma Electrónica.

Pero, para incorporar las funcionalidades de seguridad necesarias, nos encontramos con dificultades funcionales y técnicas relacionadas directamente con la incorporación de la tecnología de certificados digitales y firma electrónica a las aplicaciones informáticas existentes.



Legislación aplicableEl marco legal01 02

Dentro del marco de las directivas de la Unión Europea,

el Estado español ha desarrollado un conjunto de medidas destinadas a potenciar el uso de la firma electrónica en España:

Ley de Firma Electrónica 59/2003

Real Decreto sobre el Documento Nacional de Identidad electrónico.

Ley de acceso electrónico de los ciudadanos a los Servicios Públicos 11/2007

Plan nacional de investigación científica, desarrollo e innovación tecnológica 2008-2011.

Ley de medidas de impulso de la Sociedad de la información 56/2007.

Todo ello apuntando a la potenciación del Documento Nacional de Identidad electrónico DNIe y de lo que se conoce como la Administración Electrónica, favoreciendo el uso de la firma electrónica y obligando tanto a las Administraciones como a otras entidades, públicas y privadas, a poner a disposición de los ciudadanos los medios necesarios para que puedan realizar sus gestiones por medios electrónicos.



02 Los requisitos

Para apuntar hacia la e-Administración e incorporar a los procesos telemáticos los requerimientos básicos de seguridad mencionados de:

Autenticidad

Integridad

No Repudio

es necesario incorporar la tecnología de firma electrónica “avanzada” o “reconocida” a las aplicaciones informáticas de las organizaciones,

Entendiendo por firma “avanzada”, aquella que se genera con medios que el firmante puede mantener bajo su exclusivo control y por firma “reconocida”, la avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma

(Ley de Firma Electrónica 59/2003)



Para incorporar la tecnología de firma electrónica a las aplicaciones informáticas, desde el punto de vista funcional, los principales requisitos a considerar en el modelo a adoptar serían:

Las aplicaciones puedan trabajar con certificados de múltiples Proveedores de Servicios de Certificación (PSC´s) tanto nacionales como extranjeros y con la problemática asociada a la gestión de sus certificados

La incorporación de las funcionalidades de firma de una forma sencilla y rápida a las aplicaciones

Disponer de un método ágil para la gestión de las políticas de confianza y firma en las aplicaciones

Soportar las cuatro operaciones básicas de Autenticación, Firma, Cifrado y Sellado de Tiempo

AUTORIDAD PÚBLICA DE VALIDACIÓN NACIONAL

....

AUTORIDADES DE CERTIFICACIÓN EXTRANJERAS

Planteamiento de TB-Solutions de cara a la Firma ElectrónicaLos requisitos02 01 01



Y desde el punto de vista tecnológico, para que el modelo adoptado se adapte lo más eficazmente posible a las arquitecturas de Sistemas de Información existentes, la solución debe contemplar que:

Pueda constituirse como un servicio horizontal

Pueda integrarse como parte de un “framework” de servicios más amplio

Esté construida de forma modular

Cuente con componentes en la parte cliente que facilite su incorporación al mayor número de aplicaciones, incluyendo las residentes en dispositivos móviles

Aísle a las aplicaciones del impacto de los cambios tecnológicos

Sea escalable horizontal y verticalmente

Sea interoperable

Planteamiento de TB-Solutions de cara a la Firma ElectrónicaLos requisitos02 01 02



03 El resultado:

La plataforma ASF de Firma Electrónica de TB-Solutions

A partir de los requisitos anteriores, TB-Solutions ha desarrollado su plataforma SOA de firma electrónica ASF



La plataforma ASF de Firma Electrónica de TB-SolutionsEl resultado03 01 01

TB-Solutions ha desarrollado su plataforma SOA (Service Oriented Architecture) de firma electrónica ASF con las fortalezas principales siguientes:

ASF se ha diseñado como una solución completa para la incorporación de firma electrónica a la infraestructura informática de cualquier entidad u organización

ASF permite la gestión del ciclo de vida completo del uso de certificados

ASF está compuesta por un conjunto de módulos que permiten una fácil y rápida adaptación al proceso que requiere incorporar firma electrónica

ASF independiza a las aplicaciones de cualquier complejidad derivada del uso de múltiples tipos de certificados, permitiendo la utilización selectiva de uno o varios tipos de certificados electrónicos por cada una de las aplicaciones.



La Arquitectura SOA de ASF:La Arquitectura SOA de ASF:

ASF Firma

EncryptionServer SignatureServer

X509Validator NonRepudiationSvc

PolicyManager

OCSPHTTPSLDAP

TSACA

EasyCert

KeyRecoverySrv

TSAServer

VA

OCSPResponder CRLUpdater

X509Validator PolicyManager

OCSPHTTPSLDAP

ASF PKI

MobileSignerWebSignerOCSPRevProv

AplicaciónAnfitriona

Arquitectura modular

Diferentes componentes cliente

Configuración adaptable al Servicio:

- ASF CA

- ASF VA

- ASF TSA

- ASF Firma




La adopción de ASF como plataforma de firma electrónica corporativa de una organización proporciona múltiples beneficios, entre los que podemos destacar los siguientes:

Reducción de costes de desarrollo e integración: Utilizando ASF como plataforma de firma evitaremos el uso de diferentes estándares y metodologías que dificulten la interoperabilidad de las aplicaciones

Reducción de los costes de operación: Todas las características de las funcionalidades de firma electrónica de todas las aplicaciones podrán ser gestionadas desde un único punto de administración

Reducción de los costes de adaptación y evolución: Permitiendo la rápida adaptación de las políticas de la organización y la incorporación inmediata de los nuevos estándares y formatos de firma.

Beneficios de optar por ASFEl resultado03 02 01



Al estar construida íntegramente en Java (J2EE), ASF posibilita la total adaptación a cualquier infraestructura hardware y software definida por nuestros clientes.

Esa misma arquitectura J2EE, garantiza las posibilidades de crecimiento, de configuraciones de alta disponibilidad y de alto rendimiento.

Beneficios de optar por ASFEl resultado03 02 02



ASF es la primera plataforma de firma electrónica que ha obtenido el certificado de seguridad otorgado por el Centro Criptológico Nacional según el esquema de certificación europeo Common Criteria, obteniendo la calificación EAL3+ (ALC-FLR.1).

MINISTERIO DE DEFENSA

9651 RESOLUCIÓN 1A0/38072/2008, de 9 de abril, del Centro Criptológico Nacional, por la que se certifica la seguridad del producto ASF (Advanced Signature Framework), versión 4.1.5, desarrollado por la empresa TB-Solutions Advanced Technologies S.L.




El grado de coincidencia de los planteamientos de nuestros clientes en firma electrónica con los planteamientos de ASF, es directamente proporcional a la profundidad de su conocimiento de la firma electrónica.

En este sentido, nuestra experiencia confirma que un cliente que se encuentra en el inicio de su planteamiento para la incorporación de firma electrónica, optará por ASF en un 20 % de los casos, cuando avanza en sus planteamientos y alcanza un año de conocimiento y experiencia, las posibilidades de que contrate ASF crecen hasta un 50 % y cuando llega a los 2 años de madurez en el conocimiento, las probabilidades de que escoja ASF como plataforma de firma electrónica, crecen hasta el 70 %.

1 año 2 años

Tiempo invertido, conocimiento y Experiencia

Éxito = 50%

Éxito = 20%

Éxito = 70%

La experiencia de TB-SolutionsEl resultado03 04 01



Administraciones Públicas:

Ministerio de Economía y Hacienda

Fábrica Nacional de Moneda y Timbre

Dirección General de Catastro

Comisión Nacional del Mercado de Valores (CNMV)

Ministerio de Trabajo e Inmigración

Ministerio de Fomento

Aviación Civil

Red.es

Comisión Nacional de la Energía (CNE)

Senado

Ministerio de Educación y Ciencia

Tribunal constitucional

Correos

Comunidad de Madrid

Junta de Castilla y León

Gobierno de Aragón

Gobierno de La Rioja

Gobierno de Cantabria

Comunidad Autónoma Región de Murcia

Gobierno de Canarias

Patronato de Recaudación Provincial de Málaga

Diputación Provincial de Huesca

Ayuntamiento de Zaragoza

Hasta 55 de los 158 Organismos principales de la Administración Pública Española (33%)

Han confiado en ASFEl resultado03 05 01



Entidades Financieras:

Caja Madrid

Ibercaja

La Caixa

RSI y Cajas Rurales asociadas

Caixa Penedès

Caixa Terrassa

Hasta 26 de los 166 principales Bancos y Cajas de Ahorro (16%)

Colectivos/Organizaciones:

Colegio Oficial de Gestores Administrativos de Madrid

Colegio de Arquitectos de Aragón

Vodafone

Allianz

Oficina de Cooperación Universitaria

Sanitas

Han confiado en ASFEl resultado03 05 02



CONFIDENCIALIDAD Y RESTRICCIONES DE USO

Toda la información contenida en el presente documento, sea de naturaleza comercial, financiera o de cualquier otro tipo, es propiedad de TB·Solutions y considerada como “Información estrictamente confidencial”, por lo que no se revelará a terceras partes quedando prohibida su reproducción, total o parcial, por cualquier medio sin el previo consentimiento expreso de TB·Solutions.

Dicha información se utilizará exclusivamente para evaluar la propuesta de colaboración quedando prohibido cualquier otro uso de la misma sin autorización expresa de TB·Solutions. Una vez realizada tal evaluación, en el caso de que se decidiese abandonar el proyecto, desarrollarlo internamente o seleccionar otra compañía para su ejecución, deberá devolver todos los ejemplares del presente documento junto con una declaración firmada de que no se han efectuado copias del mismo ni guardado ejemplar alguno.

Documents

La seguridad y la firma electrónica · Tecnologías basadas en el control de los datos biométricos Tecnologías basadas en Firma Electrónica En el marco de las directivas de la