Infraestructura de Clave P ública de la Generalitat Valencianainformatica.uv.es/iiguia/R/apuntes/ACCV-PKI.pdf · – Soporte Java 1.3.X y Java 1.4.X – En desarrollo soporte Java

Infraestructura de Clave PInfraestructura de Clave Púúblicablicade la Generalitat Valencianade la Generalitat Valenciana

D.G. de Telecomunicaciones e InvestigaciónConselleria de Infraestructura y TransportesMayo de 2.007

2 www.accv.es

Objetivos del proyectoEstado actual y evolución futuraEstructura fisica y logicaEmisión y gestión de certificadosServicios de ValidaciónInterrelación con otros proyectosPuntos de Registro

Agenda

3 www.accv.es

Implantación de una Plataforma de CertificaciónFormaciónSoporte al desarrollo de aplicaciones sobre la PKIDefinición y puesta en marcha de estructuras de soporte de la PKIPromoción y participación en proyectos de PKI

Objetivos del proyecto

4 www.accv.es

Implantación de una Plataforma de Certificación

Estado actual y evolución futura

Generadas rootCA y CAGVA en julio de 2.001

Resto de sistemas del núcleo de la PKI puestos en funcionamiento entre julio y octubre de 2.001

Definición y desarrollo de sistemas propios para emisión, control y gestión de certificados.

Otros servicios (OCSP, KAS, TSS, Servicios Web...)

5 www.accv.es

Formación

Estado actual y evolución futura

Personal de proyectoSe favorece la obtención de certificaciones (CISA, CISM, etc)

Personal de InfoCentre (agentes de CallCenter y responsables de microinformática)

Equipos de desarrollo de otros departamentosCursos sobre e-Formación

Dos cursos activos- Firma Digital I (Iniciación) - Firma Digital II (Conceptos avanzados)

Formación presencial del IVAPOperadores de Punto de Registro de Usuario

6 www.accv.es

Estado actual y evolución futuraSoporte al desarrollo de aplicaciones sobre la PKI

Desarrolladas APIs de recubrimiento• 1ª Fase. Librerías propietarias (KeyTool). Obsoleta• 2ª Fase. Paso a librerías GPL ( o similar). Terminada

– BouncyCastle http://www.bouncycastle.org– Cryptlib (Acceso a las tarjetas)

» Utilización de las librerías PKCS#11 de CL• API IDEAS versión 3.6 (última versión Abril 2006)

– Soporte Java 1.3.X y Java 1.4.X– En desarrollo soporte Java 1.5– Firma y cifrado de datos– Gestión de sellos de tiempo– Acceso a los servicios de validación– Etc..

7 www.accv.es

Estado actual y evolución futura

Soporte al desarrollo de aplicaciones sobre la PKISoporte en todas las fases de desarrolloUtilización y soporte a nuevas herramientasCreación de canales de comunicación entre grupos de desarrollo

8 www.accv.es

Definición y puesta en marcha de estructuras de soporte de la PKI

Estado actual y evolución futura

Decreto de firma (87/2002, de 30 de mayo) Asistencia en el desarrollo de otras normasDefinición de CPS y CPsDefinición de procedimientos para PRUs

9 www.accv.es

Estado actual y evolución futuraObtención de sellos de calidad

WEBTrust• Sello orientado a la seguridad de los servicios de información• Sello obtenido – 1Q 2006• La ACCV se encuentra ahora en la 1ª revisión

Adecuación a la LOPD• Auditoria finalizada satisfactoriamente en noviembre 2005• Primera revisión en curso.

ISO-17799 (BS-7799 UNE-71502) CWA-14167-1

• Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures - Part 1: System Security Requirements

10 www.accv.es

Promoción y participación en proyectos de PKI

Estado actual y evolución futura

Listas de distribuciónSitio web de proyectoBoletín ACCV-INFORMAPresentaciones del proyectoRuedas de PrensaArtículos en revistas especializadasColaboración con universidadesParticipación en concursos y conferenciasColaboración con otros proyectos de AGEColaboración con otros Prestadores públicos y privadosMás de 650 reuniones dentro y fuera de G.V.

...

11 www.accv.es

Estructura Fisica (CPD Primario)

DMZ DB

DMZ CA

DMZ “End User Access”

FW

LDAP1+OCSP1+TSS1 LDAP2+OCSP2+TSS2 Gateway Oracle

RootCA

CA

RA + ARM

RA + ARM

Test

WEB1 BBDD PR

Balanceadores

Servicios WEB1XRAO1

WEB2

XRAO2Servicios

WEB2

12 www.accv.es

Estructura lógica (I)

RootCA

ACCV-CA2 GVACA

LDAP

KAS

OCSPOCSP X.509v3X.509v3CRLCRL

MailMailBrowserBrowser

VPNVPNGW

GVA1RA ARM

TSS

SRAO CRAOXRAO

ACCV-CA1

13 www.accv.es

LDAP

WebServices

rootCA

CAGVA

LDAP

KAS

TramitaciTramitacióón y gestin y gestióónndistribuida en PRUsdistribuida en PRUs

TSS

OCSP

SRAOXRAO

BDDxrao

OCSP ResponderOCSP Responder

OCSP

TSS

Serv. Sellos de TiempoServ. Sellos de Tiempo

WebServices

Servicios web:Servicios web:•• validacivalidacióón firma y certificadon firma y certificado•• generacigeneracióón token registron token registro

CorreoCVcreación cuentas

Estructura lógica (II)

14 www.accv.es

Personales: emitidos exclusivamente a personas físicas• Certificados reconocidos en soporte software

• Formato PKCS#12• Se entrega en un soporte de 3 ½ o en Token USB• Funciona en cualquier plataforma (Windows, Linux, etc)

• Certificados reconocidos en dispositivo seguro• Se entrega en tarjeta criptografica• Controladores con soporte CSP y PKCS#11• Soporte para Windows y Linux

Emisión y gestión de certificados (I) Tipos de certificados emitidos

15 www.accv.es

Emisión y gestión de certificados (II) Tipos de certificados emitidos

Certificados de Entidad: Emitidos para entidades con o sin personalidad jurídica

• Certificados reconocidos en dispositivo seguro de creación de firma.

– Se entregan en tarjeta criptografica– Controladores con soporte CSP y PKCS#11– El solicitante debe acreditar sus poderes de representación

mediante un proceso de bastanteo.

16 www.accv.es

Emisión y gestión de certificados (III) Tipos de certificados emitidos

Servidores con soporte SSL• Identifica al servidor, para un servicio dado (http, ldap).

Servidores de VPN• Permite gestionar al servidor perfiles de usuario con

certificado

Firma de código• Realiza la firma de código (java, ActiveX)

Firma de aplicaciones• Habilita la firma en procesos no interactivos

17 www.accv.es

Emisión y gestión de certificados (IV) Tipos de certificados emitidos

Certificados de inicio de sesion en Windows• Identifica al usuario frente a un dominio de windows• Deben seguir el formato de Microsoft

– campo UPN (usuario@dominio) • Solo se emiten en tarjeta

Certificados de Controlador de dominio• Permiten a un controlador de dominio autenticar a

usuarios de un dominio • Deben seguir el formato de Microsoft

– Campo GUID del controlador– Nombre DNS del contralador

18 www.accv.es

Emisión y gestión de certificados (V) Perfil de los certificados personales (Dispositivo seguro de creación de firma)

Número de serie: 3CE15119Emisor: CA GVAAsunto:Serial Number=12345678X,G=ANTONIO,SN=PEREZ PEREZCN= ANTONIO PEREZ PEREZ – NIF: 12345678XOU=Ciudadanos,O=Generalitat Valenciana,C=ESVálido desde: 20/05/2002 10:55:54Válido hasta: 19/05/2005 10:55:54OID=1.3.6.1.4.1.8149.3.6.4.0Clave Pública (1024 bits): fffffffffffffffffffffffffffffffffffUsos de la Clave: Firma Digital

Certificado para firmaNúmero de serie: 3CE15F1AEmisor: CA GVAAsunto:Serial Number=12345678X,G=ANTONIO,SN=PEREZ PEREZCN= ANTONIO PEREZ PEREZ – NIF: 12345678XOU=Ciudadanos,O=Generalitat Valenciana,C=ESVálido desde: 20/05/2002 10:56:04Válido hasta: 19/05/2005 10:56:04OID=1.3.6.1.4.1.8149.3.6.4.0Clave Pública (1024 bits): cccccccccccccccccccccccUsos de la Clave: Cifrado de clave, Cifrado de datos

Certificado para cifrado

certificados cualificadossegún RFC 3739 (Marzo 2004)

Emitidos como

certificados reconocidossegún Ley-59/2003

19 www.accv.es

Emisión y gestión de certificados (VI) Perfil de los certificados personales (perfil software)

Número de serie: 3CE15119Emisor: CA GVAAsunto:Serial Number=12345678X,G=ANTONIO,SN=PEREZ PEREZCN= ANTONIO PEREZ PEREZ – NIF: 12345678XOU=Ciudadanos,O=Generalitat Valenciana,C=ESVálido desde: 20/05/2002 10:55:54Válido hasta: 19/05/2005 10:55:54OID=1.3.6.1.4.1.8149.3.7.3.0Clave Pública (1024 bits): fffffffffffffffffffffffffffffffffffUsos de la Clave: Firma Digital

Certificado para firmaNúmero de serie: 3CE15F1AEmisor: CA GVAAsunto:Serial Number=12345678X,G=ANTONIO,SN=PEREZ PEREZCN= ANTONIO PEREZ PEREZ – NIF: 12345678XOU=Ciudadanos,O=Generalitat Valenciana,C=ESVálido desde: 20/05/2002 10:56:04Válido hasta: 19/05/2005 10:56:04OID=1.3.6.1.4.1.8149.3.7.3.0Clave Pública (1024 bits): cccccccccccccccccccccccUsos de la Clave: Cifrado de clave, Cifrado de datos

Certificado para cifrado

certificados cualificadossegún RFC 3739 (Marzo 2004

Emitidos como

certificados reconocidossegún Ley-59/2003

20 www.accv.es

Emisión y gestión de certificados (VII)

Certifican el vínculo entre una identidad y una clave públicaNo contienen atributos dependientes de aplicacionesSimplicidad en procesos de registro, que se limitan a la comprobación de la identidad del solicitanteReusabilidad entre aplicaciones y reducción de costes de despliegue

Posibilitan el Archivado de Claves de Cifrado, respetando la legislación

Perfil de los certificados personales

21 www.accv.es

Emisión y gestión de certificados (VIII) Perfil de los certificados de entidad (Dispositivo seguro de creación de firma)

Número de serie: 27 15 a6 83 49 ab a6 f9Emisor: ACCV-CA1Asunto:

Serial Number=S2826024H,G=ANTONIO,SN=PEREZ PEREZ,1.3.6.1.4.1.18838.1.1=12345678X, CN= EMPRESA S.A.OU=Entidades,O=Generalitat Valenciana,C=ESVálido desde: 20/05/2002 10:55:54Válido hasta: 19/05/2005 10:55:54OID=1.3.6.1.4.1.8149.3.6.4.0Clave Pública (1024 bits): fffffffffffffffffffffffffffffffffffUsos de la Clave: Firma Digital, Cifrado de claves, Cifrado de datos

Certificado con usos de firma y cifrado

certificados cualificadossegún RFC 3739 (Marzo 2004)

Emitidos como

certificados reconocidossegún Ley-59/2003

22 www.accv.es

Emisión y gestión de certificados (VIII) Tasa para kits criptograficos

Preferencia de soporte en tarjetaNo se encuentra como ‘informatica de consumo’Es necesario habilitar un mecanismo para su adquisición sin:

• Cargar los gastos a la ACCV• Depender de los circuitos habituales de suministros

Solución: El usuario decide• Tarjeta Paga la tasa por el hardware• Software Gratuito

Para entidades: Siempre en tarjeta

23 www.accv.es

Emisión y gestión de cerificados (IX) Tasa para kits criptograficos

Se añaden por ley de acompañamiento a la ley 16/2003, de 17 de diciembre, las siguientes tasas:

• Kit criptografico (tarjeta + lector USB): 43,70€• Tarjeta: 22,90€• Lector USB: 18,73€

Se solicita por Internet, pagandose en entidades financiaras colaboradoras y se recoge en el PRU de elección del usuario

24 www.accv.es

Servicios de Validación(I) Mecanismos proporcionados por la PKI

Estado del certificado• OCSP• SCVP• CRL

Sellos de TiempoServicios Web de validación

Punto de contacto entre Aplicaciones e Infraestructura

25 www.accv.es

Servicios de Validación (II) OCSP

Online Certificate Status Protocol RFC-2560Encapsulado sobre protocolos ya existentes.

• HTTP• SMTP• LDAP

Rapido, eficiente y ligeroSustituto natural de la consulta por CRLDevuelve el estado:

• Revoked, Good, Unknown

26 www.accv.es

Servicios de Validación (III) SCVP

Server-based Certificate Validation ProtocolEn Draft de enero 2007 (caduca en 6 meses) Proporciona mas información que OCSP

• Construye la cadena de certificación• Estado del certificado• Estado de la cadena de certificación

La petición es configurable• El cliente le dice al servidor lo que necesita

Descarga la validación en el servidor

27 www.accv.es

Servicios de Validación (IV) CRL

Certificate Revocation List RFC-3280 (RFC-4325 y RFC-4630) Es el metodo mas simpleSolo proporciona un almacén firmado de:

• Números de serie de certificados• Fechas • Motivos de revocación

Define un algoritmo para la comprobación

28 www.accv.es

Servicios de Validación (V) CRL

Los clientes realizan todo el proceso:• Descarga• Comprobación de la firma de la CRL• Recorrido por los números de serie• Obtención de los datos

Los certificados incluyen la posición de la CRL• Extensión CDP (CRL Distibution Point ) • LDAP URI, HTTP URI, etc

29 www.accv.es

Servicios de Validación (VI) Sellos de Tiempo

Conjunto de especificaciones:• TSP (Time Stamp Protocol) RFC-3161• TSA (Time Stamping Authority) • TSU (Time-Stamp Unit)

Garantiza la existencia de un dato en un tiempoGarantiza el No RepudioTSA se encarga de firmar el Token junto con la fecha.

30 www.accv.es

Servicios de Validación (VII) Sellos de Tiempo

TSP define la comunicación• Utilizando e-mail

– Especifica la codificación ASN1• Protocolo basado en fichero• Protocolo basado en Sockets

– Utiliza puerto 318– Define la estructura del paquete TCP

• Utilizando HTTP– Define tipos de contenido especifico

» Content-Type: application/timestamp-query

» Content-Type: application/timestamp-reply» Content-Type: application/timestamp-response

31 www.accv.es

Servicios de Validación (VIII) La Infraestructura PKI de la GVA

Ofrece un conjunto replicado de servidores OCSP• ocsp.pki.gva.es

Mantiene la CRL actualizada en:• HTTP• LDAP

Ofrece Servicios de Sellado de Tiempo sobre HTTP (implementación de OpenTSA)

• tss.pki.gva.es• Puerto 8318

32 www.accv.es

Servicios de Validación (IX) Servicio web de validación

Desarrollo propio• Tomcat (Contenedor Servlets, proyecto Apache Jakarta) • Axis (Servidor SOAP, proyecto Apache XML ) • BouncyCastle (librerías criptograficas)

Servicios actuales • 25 metodos agrupados en tres categorias

– Manejo de certificados– Manejo de sellos de tiempo y tokens de validación– Comprobación de firmas

Ampliaciones en curso• Compatibilidad XAdES

33 www.accv.es

Servicios de validación (X) Servicios web de validación

Motivación• Facilitar el desarrollo de aplicaciones con soporte de

varios PSC– El SW se ocupa de obtener los datos de los distintos

perfiles• Implementar sistemas para verificaciones a largo plazo

– Estandar ETSI TS 101 733 – RFC – 3126– El token incluye:

» Firma original» Sello de tiempo» Token OCSP

– La Autoridad de validación firma el token como TTP

34 www.accv.es

Servicios de Validación (XI) Servicio web de validación

Objetivo:• Clientes que soporten firma sin código criptográfico• Toda la carga en el servidor

– Balanceo– Tolerancia a fallos

Ventajas:• Control sobre el producto y la seguridad asociada• Basado en herramientas gratuitas

35 www.accv.es

Interrelación con otros proyectos (I) La función de la PKI es dar servicio TTPProporcionar las herramientas para que los proyectos:

Desarrollen serviciosHagan seguras aplicacionesImplementen la logísticaFormen a sus usuarios

36 www.accv.es

Interrelación con otros proyectos (II) E-Formación

Servicio de e-learningComplemento de los cursos tradicionalesImplementa:

• Autenticación de usuarios con certificado• Firma de los ejercicios• Firma de los resultados

Garantiza autenticidad y no repudioCursos igualmente valorados

37 www.accv.es

Interrelación con otros proyectos (III) Servicios interactivos del SERVEF

Puestos a disposición de sus usuarios para:• Consulta de Curriculum• Modificación de los datos personales y académicos• Envio de ofertas personalizadas• Renovación de la demanda de empleo• TODOS LOS SERVICIOS

Utiliza:• Certificados para autenticar a sus usuarios• Firma electrónica de las modificaciones

Objetivo:• Realizar de forma no presencial todos sus tramites (Cumplido)

38 www.accv.es

Interrelación con otros proyectos (IV) Mastin

Registro telemático de expedientesTodos los tramites administrativos se registranUtiliza:

• Firma electrónica de los documentos• Certificado para seguimiento del estado de los

expedientesGarantiza la integridad, autenticidad y no repudio

39 www.accv.es

Interrelación con otros proyectos (V) CorreoCV

Correo del ciudadanoAsigna una cuenta de correo gratuita a los ciudadanosFormaliza la relación telemática entre el ciudadano y la administraciónUtiliza:

• Firma digital y cifradoVincula el certificado con la dirección CVGarantiza autenticidad, confidencialidad y no repudio

40 www.accv.es

Interrelación con otros proyectos (VII) Abucasis II

Proyecto de la Conselleria de SanidadÁmbitos:

• Acceso a los expedientes médicos • Receta electrónica

Datos de nivel 3 (LOPD) Solo se acepta dispositivo seguro (tarjeta) Criticidad de los servicios y tiempos de respuesta

41 www.accv.es

Interrelación con otros proyectos (VIII) Generalitat en RED

Macroproyecto de e-administraciónCrea las infraestructuras para facilitar el paso de procedimientos a la red

• Pasarela de pagos• Registro telemático• Notificación electrónica• Modulo de firma

– Se basa en los servicios web– Crea un API diseñado específicamente para tramitación

electronica

42 www.accv.es

Interrelación con otros proyectos (IX) Otros proyectos

Envios al DOGV ( Diario Oficial de la Generalitat ) Gestión de las Oficinas Liquidadoras ( Hacienda ) CAVI

• Catarroja Ayuntamiento VirtualCarnet JOVE

• Envio de la información del IVAJ a las entidades bancarias

Mas proyectos:• http://www.accv.es/aplicaciones_c.htm

43 www.accv.es

Interrelación con otros proyectos (X) A.E.A.T

Desde enero de 2004, los certificados de persona física emitidos por la ACCV son validos para operar con la AEATEs el primer PSC que lo consigue, además de la FNMT

CatastroAcceso a la oficina virtual del catastro

Tesorería de la Seguridad SocialAcceso completo a la oficina virtual (consulta de la vida laboral, etc..)

LexnetTramitación de informes jurídicos a nivel nacional (Ministerio de Justicia y TSJ)

FomentoAcceso a la oficina virtual.

44 www.accv.es

Interrelación con otros proyectos (XI) Proyecto CLAUER

Iniciativa de la UJISe han repartido 10000 certificados

• Profesores• Alumnos• Personal administrativo

La UJI suministra un dispositivo de memoria (Pen-Drive) con un CSP de desarrollo propioDuración de la 1º emisión Abril-Junio 2005Todos los procesos internos con acceso con certificado

45 www.accv.es

Puntos de Registro (I) Difusión de los certificadosDescentralización de los tramitesDesarrollo propio: XRAOApoyo logístico

46 www.accv.es

Puntos de Registro (II) Difusión de los certificados

Enfoques:• Realizar aplicaciones que utilicen los certificados

– Ideal• Emitir certificados para que se desarrollen aplicaciones

– Realista

Fomentar el primero facilitando el segundoObjetivo:

• Conseguir el mayor impacto posible

47 www.accv.es

Puntos de Registro (III) Descentralización de los tramites

Necesaria presencia física solicitanteObjetivo:

• Facilitar al usuario la recogida del certificado• Realizar desde la petición a la recogida en un paso

Convenios con Administraciones Locales (42 Convenios) • Catarroja• Valencia• Alicante• Villena• ..etc

149 puntos de registro públicos en toda la comunidad y creciendo82 puntos de registro para personal de la Administración

48 www.accv.es

Puntos de Registro (IV) Descentralización de los tramites

Convenios con otros PSC• Se consigue reconocimiento mutuo• Realizados:

– Camerfirma– Firma Profesional– ACA (Autoridad de Certificación de la Abogacía) – ANCERT (Agencia de Certificación del Notariado) – DNI-e. Se validan los certificados del nuevo DNI (convenio MAP)

Convenios con entidades (publicas) • Se consigue sinergia

– Se difunden los certificados– Sus usuarios no tienen que ir a otro PRU

• SUMA• Colegio Oficial de Ing. Telecomunicación de la C. Valenciana• Colegio Oficial de Ing. en Informática de la C. valenciana• etc.….

49 www.accv.es

Puntos de Registro (V) Desarrollo propio XRAO

Aplicación webDesarrollada en Java (JSP), sobre TomcatUtiliza IDEAS como librería criptográficaInstalación mínima en cliente

• Informes• ActiveX impresión de documentos• JARS de la aplicación• Soporte hardware (tarjeta-lector)

Autenticación basada en certificado sobre dispositivo seguro

50 www.accv.es

Puntos de registro (VI) Desarrollo propio XRAO

Realiza todos los tramites:• Recoge los datos• Envía la petición• Recoge el cerificado• Imprime el contrato• Imprime el PIN ( sobre ciego o en el propio contrato ) • Imprime el soporte• Genera el soporte (tarjeta o software) • Revocación, suspensión y activación de certificados• Cancelación de datos

51 www.accv.es

Punto de Registro (VII) Apoyo logístico

Instalación y mantenimiento de la aplicaciónCesión de equipamiento (si necesario) Formación de operadores

• Uso de la aplicación• Deben firmar contratos de responsabilidad

52 www.accv.es

Contactos: direcciones y teléfonos

www.accv.es

902 482 481

[email protected]

José Antonio AmadorTel. 961 961 027Fax. 961 961 [email protected]