La Seguridad y la Firma Electrónica
Le experiencia de TB-Solutions
Observatorio DINTEL
La Seguridad en Defensa y las AA.PP
Fermín Mestre01
El marco legal
El requisito imprescindible para realizar cualquier operación de forma telemática de manera segura pasa por dotar a las aplicaciones informáticas de los niveles de seguridad necesarios para garantizar:
la identidad de las personas y sistemas que actúan,
la autenticidad e integridad de la información yIntroducción
El marco legal01 01
Para garantizar estos requisitos y más en concreto la identidad de las personas que actúan, se están desarrollando principalmente dos tendencias:
Tecnologías basadas en el control de los datos biométricos
Tecnologías basadas en Firma ElectrónicaEn el marco de las directivas de la Unión Europea, el Estado español ha elegido potenciar la creación de instrumentos capaces de acreditar la identidad de los intervinientes y la integridad de la información intercambiada mediante el empleo de tecnologías de Firma Electrónica.
Pero, para incorporar las funcionalidades de seguridad necesarias, nos encontramos con dificultades funcionales y técnicas relacionadas directamente con la incorporación de la tecnología de certificados digitales y firma electrónica a las aplicaciones informáticas existentes.
Legislación aplicable
El marco legal01 02
Dentro del marco de las directivas de la Unión Europea,
el Estado español ha desarrollado un conjunto de medidas destinadas a potenciar el uso de la firma electrónica en España:
Ley de Firma Electrónica 59/2003
Real Decreto sobre el Documento Nacional de Identidad electrónico.
Ley de acceso electrónico de los ciudadanos a los Servicios Públicos 11/2007
Plan nacional de investigación científica, desarrollo e innovación tecnológica 2008-2011.
Ley de medidas de impulso de la Sociedad de la información 56/2007.Todo ello apuntando a la potenciación del Documento Nacional de Identidad electrónico DNIe y de lo que se conoce como la Administración Electrónica, favoreciendo el uso de la firma electrónica y obligando tanto a las Administraciones como a otras entidades, públicas y privadas, a poner a disposición de los ciudadanos los medios necesarios para que puedan realizar sus gestiones por medios electrónicos.
02
Los requisitos
Para apuntar hacia la e-Administración e incorporar a los procesos telemáticos los requerimientos básicos de seguridad mencionados de:
Autenticidad
Integridad
No Repudio
es necesario incorporar la tecnología de firma electrónica “avanzada” o “reconocida” a las aplicaciones informáticas de las organizaciones,
Entendiendo por firma “avanzada”, aquella que se genera con medios que el firmante puede mantener bajo su exclusivo control y por firma “reconocida”, la avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma
Para incorporar la tecnología de firma electrónica a las aplicaciones informáticas, desde el punto de vista funcional, los principales requisitos a considerar en el modelo a adoptar serían:
Las aplicaciones puedan trabajar con certificados de múltiples Proveedores de Servicios de Certificación (PSC´s) tanto nacionales como extranjeros y con la problemática asociada a la gestión de sus certificados
La incorporación de las funcionalidades de firma de una forma sencilla y rápida a las aplicaciones
Disponer de un método ágil para la gestión de las políticas de confianza y firma en las aplicaciones
Soportar las cuatro operaciones básicas de Autenticación, Firma, Cifrado y Sellado de TiempoAUTORIDAD PÚBLICA DE VALIDACIÓN NACIONAL
....
AUTORIDADES DE CERTIFICACIÓN EXTRANJERAS
Planteamiento de TB-Solutions de cara a la Firma Electrónica
Los requisitos
Y desde el punto de vista tecnológico, para que el modelo adoptado se adapte lo más eficazmente posible a las arquitecturas de Sistemas de Información existentes, la solución debe contemplar que:
Pueda constituirse como un servicio horizontal
Pueda integrarse como parte de un “framework” de servicios más amplio
Esté construida de forma modular
Cuente con componentes en la parte cliente que facilite su incorporación al mayor número de aplicaciones, incluyendo las residentes en dispositivos móviles
Aísle a las aplicaciones del impacto de los cambios tecnológicos
Sea escalable horizontal y verticalmente
Sea interoperablePlanteamiento de TB-Solutions de cara a la Firma Electrónica
Los requisitos03
El resultado:
La plataforma ASF de Firma Electrónica de
TB-Solutions
A partir de los requisitos anteriores, TB-Solutions ha desarrollado su plataforma SOA de firma electrónica ASF
La plataforma ASF de Firma Electrónica de TB-Solutions
El resultado03 01 01
TB-Solutions ha desarrollado su plataforma SOA (Service Oriented Architecture) de firma electrónica ASF con las fortalezas principales siguientes:
ASF se ha diseñado como una solución completa para la incorporación de firma electrónica a la infraestructura informática de cualquier entidad u organización
ASF permite la gestión del ciclo de vida completo del uso de certificados
ASF está compuesta por un conjunto de módulos que permiten una fácil y rápida adaptación al proceso que requiere incorporar firma electrónica
ASF independiza a las aplicaciones de cualquier complejidad derivada del uso de múltiples tipos de certificados, permitiendo la utilización selectiva de uno o varios tipos de certificados electrónicos por cada una de las aplicaciones.La Arquitectura SOA de ASF:
La Arquitectura SOA de ASF:
ASF Firma EncryptionServer SignatureServer X509Validator NonRepudiationSvc PolicyManager OCSP HTTPS LDAP TSA CA EasyCert KeyRecoverySrv TSAServer VA OCSPResponder CRLUpdater X509Validator PolicyManager OCSP HTTPS LDAP ASF PKI MobileSigner WebSigner OCSPRevProv Aplicación Anfitriona Arquitectura modular
Diferentes componentes cliente Configuración adaptable al Servicio: -ASF CA -ASF VA -ASF TSA -ASF Firma
La plataforma ASF de Firma Electrónica de TB-Solutions
El resultadoLa adopción de ASF como plataforma de firma electrónica corporativa de una organización proporciona múltiples beneficios, entre los que podemos destacar los siguientes:
Reducción de costes de desarrollo e integración: Utilizando ASF como plataforma de firma evitaremos el uso de diferentes estándares y metodologías que dificulten la interoperabilidad de las aplicaciones
Reducción de los costes de operación: Todas las características de las funcionalidades de firma electrónica de todas las aplicaciones podrán ser gestionadas desde un único punto de administración
Reducción de los costes de adaptación y evolución: Permitiendo la rápida adaptación de las políticas de la organización y la incorporación inmediata de los nuevos estándares y formatos de firma.Beneficios de optar por ASF
El resultadoAl estar construida íntegramente en Java (J2EE), ASF posibilita la total adaptación a cualquier infraestructura hardware y software definida por nuestros clientes.
Esa misma arquitectura J2EE, garantiza las posibilidades de crecimiento, de configuraciones de alta disponibilidad y de alto rendimiento.
Beneficios de optar por ASF
El resultadoASF es la primera plataforma de firma electrónica que ha obtenido el certificado de seguridad otorgado por el Centro Criptológico Nacional según el esquema de certificación europeo Common Criteria, obteniendo la calificación EAL3+ (ALC-FLR.1).
MINISTERIO DE DEFENSA
9651 RESOLUCIÓN 1A0/38072/2008, de 9 de abril, del Centro Criptológico Nacional, por la que se certifica la seguridad del producto ASF (Advanced Signature Framework), versión 4.1.5, desarrollado por
La plataforma ASF de Firma Electrónica de TB-Solutions
El resultadoEl grado de coincidencia de los planteamientos de nuestros clientes en firma electrónica con los planteamientos de ASF, es directamente proporcional a la profundidad de su conocimiento de la firma electrónica.
En este sentido, nuestra experiencia confirma que un cliente que se encuentra en el inicio de su planteamiento para la incorporación de firma electrónica, optará por ASF en un 20 % de los casos, cuando avanza en sus planteamientos y alcanza un año de conocimiento y experiencia, las posibilidades de que contrate ASF crecen hasta un 50 % y cuando llega a los 2 años de madurez en el conocimiento, las probabilidades de que escoja ASF como plataforma de firma electrónica, crecen hasta el 70 %.
1 año
2 años
Tiempo invertido, conocimiento y Experiencia Éxito = 50% Éxito = 20% Éxito = 70%
La experiencia de TB-Solutions
El resultado03 04 01
Administraciones Públicas:
Ministerio de Economía y Hacienda
Fábrica Nacional de Moneda y Timbre
Dirección General de Catastro
Comisión Nacional del Mercado de Valores (CNMV)
Ministerio de Trabajo e Inmigración
Ministerio de Fomento
Aviación Civil
Red.es
Comisión Nacional de la Energía (CNE)
Senado
Ministerio de Educación y Ciencia
Tribunal constitucional
Correos
Comunidad de Madrid
Junta de Castilla y León
Gobierno de Aragón
Gobierno de La Rioja
Gobierno de Cantabria
Comunidad Autónoma Región de Murcia
Gobierno de Canarias
Patronato de Recaudación Provincial de Málaga
Diputación Provincial de Huesca
Ayuntamiento de Zaragoza
Hasta 55 de los 158 Organismos principales de la Administración Pública Española (33%)Han confiado en ASF
El resultadoEntidades Financieras:
Caja Madrid
Ibercaja
La Caixa
RSI y Cajas Rurales asociadas
Caixa Penedès
Caixa Terrassa
Hasta 26 de los 166 principales Bancos y Cajas de Ahorro (16%)Colectivos/Organizaciones:
Colegio Oficial de Gestores Administrativos de Madrid
Colegio de Arquitectos de Aragón
Vodafone
Allianz
Oficina de Cooperación Universitaria
SanitasHan confiado en ASF
El resultadoCONFIDENCIALIDAD Y RESTRICCIONES DE USO
Toda la información contenida en el presente documento, sea de naturaleza comercial, financiera o de cualquier otro tipo, es propiedad de TB·Solutions y considerada como “Información estrictamente confidencial”, por lo que no se revelará a terceras partes quedando prohibida su reproducción, total o parcial, por cualquier medio sin el previo consentimiento expreso de TB·Solutions.
