Plataforma de servicios de identificación y firma electrónica

En el año 2008, Izenpe identificó como prioritario incorporar a su oferta una plataforma de servicios de firma y seguridad que denominó ZAIN, a la que dotaría de un conjunto de mecanismos de seguridad como la validación de certificados y la gestión de firmas electrónicas, entre otros. ZAIN debía sustituir de forma progresiva el uso de los toolkits de integración que Izenpe ofrecía hasta entonces. Desde su constitución en 2002 bajo el impulso del gobierno vasco y las diputaciones forales, Izenpe proporciona servicios relacionados con la identificación y firma electrónica, con el fin de fomentar la Administración-e y las relaciones telemáticas con garantías de seguridad, confidencialidad, autenticidad e irrevocabilidad de las transacciones tanto en Administraciones Públicas como en entidades privadas.

Publicado en la Revista SIC, nº 90, Junio 2010

Por T. Saez (IZENPE) y S. Adame (Safelayer)

En el contexto español y europeo, el despliegue de plataformas de servicios de eID y firma electrónica, es visto como estratégico para el desarrollo del gobierno electrónico. Por una parte, la necesidad de gestión de los diferentes eIDs (por ejemplo, en España existen 18 prestadores de servicios de certificación reconocidos por el MITyC), y por otra, la complejidad técnica que conlleva la gestión de los distintos formatos de firma electrónica y su reconocimiento mutuo, fuerzan a una estrategia de despliegue sustentada en servicios de seguridad especializados.

Por estos motivos, Izenpe definió ZAIN como una plataforma que aglutinara un conjunto completo de mecanismos de seguridad globales y estandarizados (autenticación, autorización, firma electrónica y protección de datos) que serían ofrecidos como servicios. Más allá de su interés técnico, su valor estratégico radicaría en su capacidad para actuar como dinamizador en el desarrollo de los procesos electrónicos, fundamentalmente por la facilidad de uso que debía introducir, y por su capacidad para poder aportar confianza y garantía en las relaciones electrónicas.

En producción desde mayo de 2009, ZAIN aporta facilidad de uso porque permite reducir los tiempos de integración de los mecanismos de seguridad en las aplicaciones y simplifica drásticamente su mantenimiento. La estrategia de integración basada en toolkits se caracterizaba por ofrecer un enfoque aislado y estático para cada aplicación y tecnología, con sistemas de instalación, puesta en marcha, aprendizaje, configuración y mantenimiento específicos, por lo que su despliegue resultaba costoso, especialmente a medida que crecía el número de aplicaciones.

En cambio, en una estrategia de integración basada en plataforma orientada a servicios, la incorporación de las funciones de seguridad en las aplicaciones pasa por el consumo de servicios, ofreciendo un marco común de integración, aprendizaje, configuración y mantenimiento, y permitiendo la gestión de políticas y la auditoría de forma centralizada. Precisamente, uno de los mayores beneficios de esta aproximación es la separación de funciones, siendo ahora el prestador quien se responsabiliza y aporta las garantías de calidad exigibles (por ejemplo, mediante métricas que indican el nivel de confiabilidad de una firma electrónica), mientras que las aplicaciones pueden hacer foco en las funciones propias de su negocio. De este modo, se evita la necesidad de disponer de personal especializado en PKI en cada organización.

En las conclusiones del reciente estudio de IDABC de la Comunidad Económica "European Federated Validation Service", se recogen un conjunto de herramientas y de servicios de validación a nivel europeo, y se destaca al producto TrustedX del fabricante español Safelayer Secure Communications como la solución tecnológica más completa. Desde Izenpe se estuvieron evaluando y analizando varias plataformas en un proceso que duró más de un año, y se optó por la tecnología de Safelayer a la que se añadiría una capa de servicios personalizados para el funcionamiento con la PKI de Izenpe.

sic-izenpe-safelayer1v1

Catálogo de servicios de ZAIN

ZAIN aporta un conjunto completo de mecanismos de seguridad ofrecidos como servicios a las entidades usuarias, quienes ahora delegan en Izenpe el proceso de evaluación de la confianza de la información que deben gestionar. El conjunto de servicios de confianza que incorpora la plataforma ZAIN son los siguientes:

  • Validación de identidades. La plataforma ofrece un servicio de validación de la identidad. Actualmente valida los certificados emitidos por la propia CA de Izenpe, y los emitidos por prestadores con los cuales se tienen acuerdos suscritos, que cubren no sólo los aspectos técnicos sino los legales y operacionales. Además, está preparada para incorporar nuevos mecanismos de autenticación de forma sencilla más adelante, y soporta federación para el intercambio de información de autenticación tanto entre aplicaciones corporativas como entre recursos pertenecientes a dominios de seguridad externos.
  • Verificación de firmas electrónicas y no repudio. El servicio de verificación de firmas electrónicas soporta la práctica totalidad de los formatos de firma estándares existentes. Además, de forma opcional, el servicio puede completar las firmas electrónicas con evidencias acerca del estado de los certificados, y extender su validez mediante el sellado de tiempo según las recomendaciones de ETSI para firmas electrónicas avanzadas.
  • Evaluación del nivel de confianza. El nivel de calidad y responsabilidad ofrecida por las diferentes CAs reconocidas por Izenpe es diferente, ya que varía en función de las garantías legales y técnicas que ofrece cada prestador. Este servicio retorna una métrica que indica el nivel de confianza de los certificados y las firmas electrónicas, de forma que las aplicaciones pueden establecer niveles mínimos de confianza en función de la información a gestionar y, por ejemplo, no admitir mecanismos de autenticación con un nivel insuficiente de seguridad.
  • Interpretación semántica. Este servicio uniformiza la información asociada a los certificados y firmas de las CA reconocidas por Izenpe, independientemente de los distintos perfiles de éstos, para interpretar de forma uniforme los datos acerca de los firmantes y sus atributos. Un sistema de plantillas simplifica la extracción de la información de los certificados o firmas, aislando la aplicación totalmente de la política o CA emisora del certificado.
  • Generación de firmas electrónicas. Habitualmente, los usuarios firman directamente usando el DNIe o la ONA, mediante un applet en su navegador o una aplicación de firma instalada en su sistema operativo. No obstante, la plataforma también admite la modalidad de firma en servidor, para que se deleguen en ella las operaciones de firma electrónica (por ejemplo, para la emisión de facturas electrónicas, volantes de padrón, titulaciones académicas, etc.).
  • Custodio de firmas. A lo largo del tiempo los algoritmos, claves y demás material criptográfico pueden llegar a ser vulnerables, por lo que las firmas y las evidencias se consideran de carácter temporal y es necesaria su renovación. Por lo tanto, para mantener las propiedades de no repudio, se requiere que de forma periódica y automatizada se reafirme la validez de las evidencias electrónicas. En ZAIN, el servicio de custodia de datos de firma es el responsable de mantener las propiedades de las firmas electrónicas durante los períodos de tiempo que establezca la normativa corporativa y/o el marco legislativo aplicable.
  • Cifrado de datos. Protección de la información mediante mecanismos de cifrado; ya sea documentos electrónicos, correo electrónico o mensajería web. En el futuro, se podrá incluir el servicio de custodia de las claves de cifrado, controlando el acceso a los datos para los grupos de personas o sistemas de confianza.

Una vez seleccionada la plataforma tecnológica, se estudió la arquitectura ideal para implantarla en Izenpe, teniendo en cuenta los posibles procedimientos de migración de los toolkits a la nueva plataforma. Los servicios de ZAIN se ofrecen como servicios web, conforme a los estándares de OASIS para servicios de firma, por lo que se crearon una serie de ejemplos o kits de bienvenida similares a los anteriormente recomendados con los toolkits en .NET y J2EE para que la migración fuera lo más sencilla posible. En cuanto al formato de la plataforma, Izenpe decidió ofrecer dos modalidades: en modo servicio, instancia albergada en Izenpe y accesible desde internet, y en modo producto, es decir, con una instalación propia en la entidad cliente.

Gestión de la plataforma

Sólo las entidades autorizadas por Izenpe pueden usar el conjunto de los servicios de la plataforma ZAIN. Para realizar este control, la plataforma soporta diferentes mecanismos de autenticación y permite establecer políticas de autorización particulares para el consumo de sus recursos.

Además, el gestor de políticas de ZAIN permite definir de forma centralizada un conjunto de políticas de confianza, que apliquen a usuarios concretos, o a grupos de usuarios o aplicaciones. De esta forma, se regulan parámetros del servicio tales como los mecanismos de autenticación admitidos, los prestadores de servicios de certificación reconocidos y el nivel de confianza que se le otorga a cada uno, la interpretación semántica de los datos, o bien los parámetros criptográficos de los algoritmos, entre otros.

A través de un componente común de auditoría centralizada de eventos (historia), ZAIN gestiona de forma uniforme la información de traza (log) de todos los componentes de servicio de la plataforma, así como la información de uso y consumo de los servicios. Esto permite generar todo tipo de informes (reports), siempre mediante un acceso controlado a la información de actividad.

La figura muestra los diferentes componentes que conforman la plataforma ZAIN, entre los cuales se encuentran la autoridad de sellado de tiempo (TSA) y la autoridad de validación de certificados (VA), y los diferentes servicios de infraestructura en los que se sustenta tales como la base de datos (BBDD), el directorio y el sistema de gestión documental (DMS). En principio, los sellos de tiempo se solicitan mediante el protocolo de la RFC 3161 a la TSA reconocida de Izenpe, pero también se pueden incorporar TSA de terceros, en función de las políticas establecidas. Análogamente, la plataforma valida el estado de los certificados mediante el protocolo OCSP, pero admite la incorporación de otras formas de validación tales como listas de certificados revocados (CRL), o mediante la federación con otras plataformas de eID y firma como, por ejemplo, @firma.

Izenpe, aprovechando el módulo de integración de TrustedX ha construido un servicio de brokering de servicios (LOTUR@) que facilita la interoperabilidad entre entidades, capaz de interactuar con la librerías del Ministerio de Presidencia o cualquier otro servicio de una forma trasparente al consumidor de la información, garantizando el intercambio en base a convenios entre los participantes. Las aplicaciones consumidoras realizarán la llamada a ZAIN y será ésta quien realice las trasformaciones correspondientes (WS, conversiones de formato, etc.) realizando la llamada a los productores de la información.

Puesta en marcha de la plataforma ZAIN

Más de 20 entidades públicas y privadas son ya clientes de la plataforma ZAIN, siendo los servicios más usados la validación de certificados, y la generación y verificación de firmas, que suponen un volumen de 100.000 operaciones al mes. Por ejemplo, en los ayuntamientos, interactúa con las aplicaciones de los servicios municipales como el padrón o el portal del ciudadano, mientras que en otras administraciones públicas como las diputaciones o el gobierno, participan en los trámites con Hacienda (gestión de ingresos, notificaciones, etc.), el portal del empleado o la factura electrónica. En empresas del sector bancario, toman parte en la firma de avales o en el acceso a banca electrónica.

Ante el aumento de clientes y aplicaciones que usan ZAIN, desde el año pasado Izenpe gestiona una oficina técnica dedicada en exclusiva a esta plataforma, en la se ofrece un servicio 24x7 a todos los clientes que tienen contratado el modo servicio, y se plantea esta opción también para aquellos que tienen la plataforma en modo producto gestionada desde Izenpe. El acuerdo de nivel de servicio (SLA) de la plataforma garantiza que en caso de incidencia el cliente recibe una notificación en un intervalo inferior a 15 minutos.

Uno de los factores de éxito de ZAIN es su foco y orientación a los procesos de negocio, por su capacidad para suministrar con exactitud y de forma uniforme cuál es el nivel de confianza que la información tiene en todo momento, quiénes son sus autores y cuáles son sus atributos. Esto simplifica drásticamente la lógica de las aplicaciones, aporta mayor fiabilidad y evita la realización de cambios en las mismas, en la dinámica de reconocimiento de nuevos servicios de seguridad o nuevos mecanismos de autenticación (por ejemplo, de nuevas autoridades de validación o de sellado de tiempo).

Además, ZAIN garantiza la protección de la inversión, ya que ofrece un amplio soporte de estándares de seguridad reconocidos en foros internacionales y adoptados por la industria. Asimismo, su arquitectura orientada a servicios (SOA) garantiza la adopción de nuevos estándares y servicios, conforme el desarrollo de los nuevos procesos de negocio lo requiera, así como la incorporación de nuevas necesidades funcionales y prestaciones, conforme crezca la demanda. De esta forma, los clientes finales potenciales, usuarios y aplicaciones no se ven limitados, y se ofrece el mecanismo de protección adecuado a un mayor número de aplicaciones de forma sencilla.

Conclusión

En los nuevos sistemas que la sociedad reclama, las interacciones virtuales electrónicas no presenciales cada vez son más importantes en cualquier circunstancia, ya sea en las relaciones personales, profesionales o gubernamentales. La confianza es la base de las relaciones, por lo que los sistemas de identificación electrónica evolucionan hacia mecanismos cada vez más fiables, basados en la tecnología PKI. Es aquí donde Safelayer se posiciona, proveyendo una tecnología innovadora, global y eficiente, como parte de la demanda de mecanismos fiables para los procesos virtuales de autenticación e identificación, firma electrónica y protección de la información, y por lo tanto como herramientas de mejora competitiva.

El software es TrustedX, la organización de confianza Izenpe y el resultado ZAIN.

Utilizamos cookies para mejorar nuestro sitio web y su experiencia al usarlo. Las cookies utilizadas para el funcionamiento esencial de este sitio ya se han establecido. Para obtener más información sobre las cookies que utilizamos y cómo eliminarlas, ver nuestra Política de Privacidad.Acepto las cookies de este sitio