Múltiples autoridades de certificación

El Instituto Nacional de Estadística (INE) decidió usar la plataforma TrustedX de Safelayer para reducir, de forma eficaz, la complejidad de sus programas informáticos, en un momento de consolidación del uso de las tecnologías de certificación digital y de firma electrónica.

Introducción

Instituto Nacional de Estadística de EspañaEl Instituto Nacional de Estadística de España o INE, es el organismo oficial encargado de la coordinación general de los servicios estadísticos de la Administración General del Estado así como, de la vigilancia, control y supervisión de los procedimientos técnicos que utilizan los mismos. Entre los trabajos que realiza, destacan las estadísticas sobre la demografía, economía y sociedad española.

"Inicialmente, el objetivo era reducir drásticamente la complejidad de nuestros programas informáticos".

"Antes, cada programa debía comprobar cada certificado digital con cada prestador de servicios de certificación (FNMT, Generalitat Valenciana, CATCert, Camerfirma, Notarios, etc.). Tras la implantación de TrustedX, los programas informáticos solamente necesitan acceder a un único punto, interno al instituto, que les informa acerca de si el certificado digital está correcto, ha sido revocado, etc.".

Para el INE, la tecnología PKI es un elemento fundamental en el desarrollo de cualquier solución en la que se pretenda dotar de seguridad a los tratamientos EIT (Electrónicos, Informáticos y Telemáticos). El INE es pionero en el uso de estas tecnologías de seguridad y en la mejora de la eficacia mediante la eliminación del papel, por lo que se planteó extender los beneficios de esta tecnología a un conjunto mayor de trámites, haciendo un uso intensivo de las redes telemáticas.

Retos

De acuerdo con las directivas europeas, y su transposición a la legislación española, la prestación de servicios de certificación está liberalizada. Esto significa, que el INE debía prepararse para reconocer un amplio número de certificados digitales, inicialmente el DNI-e y los prestadores reconocidos por el Ministerio de Industria Turismo y Comercio así como la Agencia Tributaria Española. Sólo en España, ya se contemplaban más de quince prestadores, debiendo considerar, además, los del resto de los países Europeos.

Frente a esta diversidad de prestadores, un segundo problema que se planteaba, era el de extraer la información de los diferentes certificados digitales. No todos los certificados digitales incluyen la misma información de la misma forma, por lo que en la práctica, cada prestador de servicios de certificación obligaba a realizar diferentes operaciones para obtener una misma información. Por ejemplo, uno de los criterios para decidir el control de acceso o el tipo de información a suministrar, es en base al nombre del firmante y el NIF, o el domicilio social y el CIF, según se trate de una persona física o jurídica.

Un requisito adicional del INE era su deseo de dotar a futuras aplicaciones de la posibilidad de usar sellos de tiempo para asegurar de manera irrefutable la fecha de las firmas electrónicas.

Según responsables del proyecto en el INE: "Inicialmente, el objetivo era reducir drásticamente la complejidad de nuestros programas informáticos".

Hasta la fecha, la integración de mecanismos de seguridad usando las tradicionales herramientas de PKI se había revelado compleja, especialmente cuanto mayor era el número de aplicaciones. Estas herramientas permiten construir la lógica de las funciones de seguridad dentro de las aplicaciones, por lo que desde esta perspectiva, cualquier pequeño cambio en dicha lógica, puede llegar a necesitar rescribir trozos de código o, en un intento de evitarlo, necesitar unos complejos métodos de configuración.

Por esta razón, se ponía de manifiesto que era imprescindible contar con herramientas más avanzadas que realizasen de forma sencilla, uniforme y escalable, la validación de los certificados digitales, la extracción de su información, la verificación de las firmas electrónicas, que tuviese la capacidad de gestionar los formatos de firma electrónica reconocidos por la industria, etc.

Estrategia de éxito

Inicialmente, el INE decidió que debía contar con una herramienta propia que incluyese todos los servicios de seguridad, de forma que la estrategia de securización de las aplicaciones debía pasar por el consumo de un conjunto de servicios especializados. Dichos servicios serían los responsables de suministrar las funciones de seguridad a las aplicaciones evitando que éstas se tuviesen que modificar de forma sistemática para "incrustarles" y mantener la funcionalidad de seguridad.

Este nuevo enfoque reduce significativamente los costes de integración y permite la gestión centralizada de los cambios de seguridad. Las Arquitecturas Orientadas a Servicios (SOA) y las nuevas tecnologías de servicios Web (WS) y XML expresan esta idea, donde los procesos son vistos como servicios independientes. Para el INE, uno de los procesos críticos que debían ser vistos como servicios especializados eran los servicios de seguridad.

La plataforma de servicios de confianza TrustedX de Safelayer implementa fielmente esta idea: ofrece un conjunto de servicios de seguridad globales y estandarizados (autenticación, autorización, firma electrónica y protección de datos) como servicios Web, con unos interfaces bien definidos y estándares, de forma que las aplicaciones puedan conectarse y consumirlos.

Según el INE "antes, cada programa debía comprobar cada certificado con cada prestador de servicios de certificación (FNMT, Generalitat Valenciana, CATCert, Camerfirma, Notarios, etc.). Tras la implantación de TrustedX, los programas informáticos solamente necesitan acceder a un único punto, interno al instituto, que les informa acerca de si el certificado digital está correcto, ha sido revocado, etc.".

TrustedX era la solución óptima, ya que uno de los beneficios que ofrece, es que permite a las aplicaciones operar siempre de la misma forma e indistintamente del prestador de servicios de certificación.

TrustedX es el responsable de centralizar y aplicar a nivel corporativo las políticas de confianza, es decir, las políticas de autenticación y autorización, las de verificación y generación de firmas digitales así como las de cifrado y descifrado. Es en estas políticas, donde se establece, por ejemplo, si las firmas digitales que se generarán para una aplicación concreta llevarán o no un sello de tiempo, los pasos a seguir para validar un certificado digital o cuál será el conjunto datos y el formato que se entregará a las aplicaciones.

Por otra parte, desde la perspectiva del INE, no todos los prestadores de servicios de certificación presentan el mismo nivel de confianza. Es decir, determinados certificados digitales pueden ser perfectamente válidos para realizar operaciones de consulta, pero pueden no ofrecer las garantías adecuadas para otro tipo de operaciones electrónicas. En este sentido, el mecanismo de gestión de la confianza que incorpora TrustedX resuelve adecuadamente este problema determinando, en todo momento, cuál es el nivel de confiabilidad de un certificado digital concreto. Lo que permite que, este tipo de decisiones también sean definidas centralizadamente y no por las propias aplicaciones.Es así como se pone en práctica el concepto denominado "Enterprise Trust Integration" (ETI). Simplificando de forma definitiva el establecimiento de relaciones de confianza entre los diferentes dominios de seguridad, eliminando los problemas de interoperabilidad y ofreciendo una mayor orientación a los procesos de negocio, uniformizando los datos de confianza, estableciendo métricas y clasificando los datos de confianza.

Beneficios

Según el INE, "Las mejoras son claramente en el back-office: una simplificación de nuestros aplicativos en una proporción de 20 a 1, solamente contando los prestadores nacionales. Si en un futuro más o menos inmediato los 25 miembros de la Unión Europea tiene un desarrollo similar al español, podemos encontrarnos con 300 o 400 prestadores de certificación a reconocer, lo que sería inviable si no se introduce una herramienta como TrustedX".

Cuando el número de aplicaciones a securizar es elevado y debe realizarse por diferentes proveedores de software, TrustedX es la herramienta óptima, ya que el mayor valor que aporta TrustedX es su orientación a los procesos de negocio, simplificando el uso de la tecnología PKI, permitiendo no sólo la securización de los procesos sino la gestión de la seguridad de éstos.

Finalmente, y gracias a la integración de TrustedX el INE podrá resolver de forma sencilla la incorporación de firmas electrónicas y sellos de tiempo en sus futuras aplicaciones.

Utilizamos cookies para mejorar nuestro sitio web y su experiencia al usarlo. Las cookies utilizadas para el funcionamiento esencial de este sitio ya se han establecido. Para obtener más información sobre las cookies que utilizamos y cómo eliminarlas, ver nuestra Política de Privacidad.Acepto las cookies de este sitio