COMISIÓN PERMANENTE DEL
CONSEJO SUPERIOR DE LA
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
Conclusiones del grupo de trabajo sobre sistemas de identificación y autenticación
INDICE
Conclusiones del grupo de trabajo sobre sistemas de identificación y autenticación.
ANEXO I: Relación de asistentes a las reuniones del grupo de trabajo.
ANEXO II: Conclusiones de la ponencia sobre certificados electrónicos.
ANEXO III. Conclusiones de la ponencia sobre política de firma electrónica.
COMISIÓN PERMANENTE DEL
CONSEJO SUPERIOR DE LA
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
Conclusiones del grupo de trabajo sobre sistemas de identificación y autenticación.
COMISIÓN PERMANENTE DEL
CONSEJO SUPERIOR DE LA
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
Conclusiones del grupo de trabajo sobre sistemas de identificación y autenticación
Noviembre 2007
Se han celebrado dos reuniones de trabajo, los días 31 de mayo, a las 17 h., y 20 de noviembre, a las 16:30 h., en la sala “grande” de la planta 9ª del edificio del Ministerio de Administraciones Públicas, en c/ María de Molina, 50, de acuerdo con el orden del día de las
respectivas convocatorias, previamente distribuidas por correo electrónico a los miembros
del grupo de trabajo.
Han asistido a esta reunión las personas que figuran en el anexo I, actuando como coordinador del grupo de trabajo José María Sobrino, de la Intervención General de la Administración del Estado (IGAE) del Ministerio de Economía y Hacienda.
1. Introducción.
La comisión permanente del Consejo Superior de Administración Electrónica (CSAE), en su
reunión de 18 de abril, constituyó una serie de grupos de trabajo para el desarrollo de lo
previsto en el entonces proyecto de Ley de Acceso Electrónico de los Ciudadanos a las Servicios Públicos. Uno de estos grupos ha estado destinado a los sistemas de identificación y
autenticación electrónica (en las relaciones entre las Administraciones públicas y con los
ciudadanos). A tal efecto se encargó esta misión al grupo de trabajo de firma electrónica que
desarrolló su tarea, también por encargo de la comisión permanente del CSAE, en los meses de mayo a octubre de 2006.
El objeto del grupo de trabajo se ha centrado en la formulación de propuestas para el desarrollo normativo del capítulo II (de la identificación y autenticación) del título segundo de la
Ley 11/2007, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP).
Para ello se ha partido de las conclusiones de la anterior edición del grupo de trabajo de
firma electrónica, en general tenidas en cuenta en la propia LAECSP. A modo de síntesis
aquellas conclusiones se pueden clasificar en los siguientes epígrafes:
1. Relación de certificados electrónicos admitidos y procedimiento de actualización y
publicación (arts. 15 y 21 LAECSP).
2. Certificados electrónicos en procesos automatizados y no automatizados (art. 13, 18
y 19 LAECSP).
3. Mínimo de dos plataformas de servicios de firma electrónica, de acceso y utilización
gratuitos, con garantía de calidad (art. 21 LAECSP).
4. Normalización del formato de firma electrónica y procedimiento de actualización (art.
15 LAECSP).
5. Regulación de los cambios de soporte: de papel a electrónico y a la inversa (art. 30 y
35 LAECSP).
COMISIÓN PERMANENTE DEL
CONSEJO SUPERIOR DE LA
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
2. Planteamiento del grupo de trabajo.
Se aborda en la primera reunión del grupo de trabajo celebrada el 31 de mayo. En la misma
se acuerda constituir dos subgrupos o ponencias específicas dentro del grupo de trabajo:
•
Ponencia I sobre certificados electrónicos del personal de la Administración pública
estatal (APE) y para las relaciones de los ciudadanos con la APE y entre las distintas
unidades y organismos de la misma.
•
Ponencia II sobre gestión de la documentación electrónica y política de firma electrónica.
Se acuerda que la representación del MAP en el grupo de trabajo actúe como coordinador
de la ponencia I. Asimismo se acuerda que la representación de la IGAE en el grupo de trabajo actúe como coordinador de la ponencia II. Los miembros del grupo de trabajo se adhieren libremente a cualquiera o ambas ponencias.
Sin ánimo exhaustivo se apuntan diversas cuestiones e inquietudes, siguiendo el documento
utilizado en la reunión, que deberían ser abordadas en cada una de las ponencias.
Ponencia I (certificados electrónicos):
•
Certificados de empleado público para el personal de la Administración pública estatal (APE); certificados para las actuaciones automatizadas y certificados para el ciudadano en sus relaciones con la APE.
•
Alcance del certificado de empleado público.
•
Características de los certificados admitidos en cada caso.
•
Registro de certificados para las actuaciones automatizadas.
•
Procedimiento de mantenimiento, actualización y publicación de las relaciones de
certificados admitidos.
•
Interoperabilidad con certificados admitidos por otras AA.PP.
•
Certificación de garantía de los prestadores de servicios.
•
Posibilidad de Organismo público que asuma el papel de autoridad de certificación
para una PKI del empleado público.
•
…
Ponencia II (documentación electrónica y política de firma electrónica):
•
Gestión y custodia de documentos electrónicos: almacenamiento, custodia, resellado, …
•
Formatos admitidos de firma.
COMISIÓN PERMANENTE DEL
CONSEJO SUPERIOR DE LA
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
•
Procedimiento de mantenimiento, actualización y publicación electrónica de la política de firma.
•
Sellado de tiempo de los documentos electrónicos.
•
…
3. Desarrollo de las ponencias.
Las ponencias han desarrollado su trabajo durante los meses de junio a octubre, siendo su
objetivo elaborar un borrador de documento de conclusiones para su análisis en el grupo de
trabajo, con carácter previo a su traslado a la comisión permanente del CSAE.
La ponencia I (certificados electrónicos) ha celebrado cuatro reuniones de trabajo con el
siguiente calendario:
Fecha
Reunión
21/06/2007
Presentación de líneas de trabajo de la ponencia I.
13/07/2007
Análisis de la situación actual y condiciones adicionales.
24/09/2007
Modelos de PKIs y taxonomías de certificados. Niveles de
aseguramiento.
19/10/2007
Conclusiones finales y estrategias de próximos desarrollos.
La ponencia II (política de firma electrónica) ha celebrado tres reuniones de trabajo con el
siguiente calendario:
Fecha
Reunión
3/07/2007
Presentación de líneas de trabajo de la ponencia II. Alcance
de la política de firma y estructura del documento electrónico.
23/07/2007
Estructura del documento electrónico y reglas de creación y
validación de firma.
26/09/2007
Archivado y custodia de documentos. Gestión de las políticas
de firma. Homogeneización de la firma electrónica en la AGE
para el ciudadano.
COMISIÓN PERMANENTE DEL
CONSEJO SUPERIOR DE LA
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
4. Conclusiones del grupo de trabajo.
En la reunión del grupo de trabajo celebrada el 20 de noviembre se han analizado las conclusiones presentadas por cada una de las ponencias, aprobándose ambas para su presentación a la comisión permanente del CSAE en los términos que se reflejan en los respectivos
documentos de conclusiones de cada una de las ponencias.
Las conclusiones de la ponencia I sobre certificados electrónicos quedan reflejadas en el
anexo II.
Las conclusiones de la ponencia II sobre documentación electrónica y política de firma electrónica quedan reflejadas en el anexo III.
COMISIÓN PERMANENTE DEL
CONSEJO SUPERIOR DE LA
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
ANEXO I: Relación de asistentes a las reuniones del grupo de trabajo.
COMISIÓN PERMANENTE DEL
CONSEJO SUPERIOR DE LA
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
ANEXO I
RELACIÓN DE ASISTENTES A LAS REUNIONES DEL GRUPO DE TRABAJO
ASISTENTE
Alfonso Dávila
Juan Crespo
Marino Tapiador
Javier Montes Aviona
Francisco Manuel Pérez Fernández
Rafael Igualada Gómez
Manuel Caballero
Alfonso Berral Lopez
José Luis Lapuente
Juan Sánchez Valle
Miguel Alvarez Rodríguez
Nimia Rodríguez
Fernando Aritmendiz
Marta Santiago Freijanes
Gabriel Arriero Salcedo
José Antonio García García
Antonio Carrasco
Joaquin Agurruza Mutuberria
José Mª Sobrino Moreno
Juan Jesús Torres Carbonell
Oscar Robledo Pascual
Eloy Ruiz
José A. Campillo
Luis Izarzugaza
Fernando Fazio
Mª Jesús García Martín
Angelines Turón Turón
Esther Alonso Latorre
Antonio Sánz Pulido
Sergio Miguel Martín
Romualdo Erdozain
Juan Carlos Torrecilla Merchán
Mª José Lucas
Miguel Gendive
Raúl Fernández Antoranz
Eugenio Garcia Gómez
MINISTERIO/
ORGANISMO
AGA-MCU
C.N. POLICIA
CCN
FNMT
GISS
INEM
MAEC
MAP
MAP
MAP
MAP
MAP
MAPA
MCU
MDE
MEC
MEH
MEH
MEH
MEH
MEH
MEH (AEAT)
MEH (AEAT)
MEH (AEAT)
MITYC
MITYC
MJU
MJU
MMA
MMA
MPR
MSC
MTAS
MTAS
PRESIDENCIA
SPEE-INEM
E-MAIL
[email protected]
[email protected]
certificació[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
jesú[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
COMISIÓN PERMANENTE DEL
CONSEJO SUPERIOR DE LA
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
ANEXO II: Conclusiones de la ponencia sobre certificados electrónicos.
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
Certificados Electrónicos
Autor:
Tipo de documento:
Grupo de trabajo:
Versión:
Fecha:
MAP
Entregable final
certiCA
V 4.0
4/12/07
Fichero:
Identificación
y
firma-e.
Conclusiones Ponencia I v4.doc
Historia del documento
Fecha:
14/11/07
19/11/07
27/11/07
Versión:
V 1.0
V 2.0
V 3.0
4/12/07
V 4.0
07/12/2007
Descripción:
- Creación del documento.
- Corrección de errores sintácticos y aclaración de términos.
- Revisión niveles aseguramiento y uso de sello por AEAT. Reuniones GTP
- Comentarios AEAT: usar lista particular de certificados admitidos y aplicación de
sello electrónico con certificado de persona jurídica.
- Consideraciones del Ministerio de Economía y Hacienda
Pág. 1/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
ÍNDICE
1
INTRODUCCIÓN .............................................................................................................................................3
2
CALENDARIO DE REUNIONES.....................................................................................................................3
3
MIEMBROS DE LA PONENCIA I ....................................................................................................................4
4
REFERENCIAS................................................................................................................................................6
5
EVOLUCIÓN DE LOS TRABAJOS.................................................................................................................6
5.1
5.2
5.3
6
ANÁLISIS DE CERTIFICADOS SIMILARES Y MODELOS DE GESTIÓN DE PKIS:.....................................................8
SÍNTESIS Y MODELOS DE ORGANIZACIÓN DE PKIS Y CERTIFICADOS.............................................................11
CONDICIONES ADICIONALES AL EMPLEO DE LA FIRMA EN EL ÁMBITO DE LAS ADMINISTRACIONES PÚBLICAS ...13
CONCLUSIONES ..........................................................................................................................................17
6.1
MODELO ORGANIZATIVO DE PKIS .............................................................................................................17
1.
Modelo público jerárquico de PKI. ....................................................................................................17
2.
Modelo público distribuido de PKI, basado en listas de servicios de confianza. ........................17
3.
Modelo mixto jerárquico de PKI.........................................................................................................17
4.
Modelo mixto distribuido de PKI, basado en listas de servicios de confianza. ...........................18
6.2
NIVELES DE ASEGURAMIENTO...................................................................................................................19
6.3
NUEVOS CERTIFICADOS ELECTRÓNICOS: TAXONOMÍAS Y PERFILES .............................................................20
6.3.1 Certificado de Sello Electrónico para los Procesos Automatizados .................................................20
6.3.2 Certificado de Sede Electrónica........................................................................................................21
6.3.3 Certificado de Empleado Público ......................................................................................................22
6.4
CARACTERIZACIÓN DE LOS CERTIFICADOS Y PERFILES ...............................................................................23
7
ESQUEMA DE IDENTIFICACIÓN Y FIRMA ELECTRÓNICA DE LA ADMINISTRACIÓN..........................30
7.1
7.2
7.3
REGULACIÓN DE LA PKI: ..........................................................................................................................31
MODELO DE GESTIÓN DE LA PKI:..............................................................................................................32
CONDICIONES GENERALES .......................................................................................................................33
8
GUIÓN DE REGLAMENTO DE LAECSP .....................................................................................................34
9
GRUPO DE TRABAJO PERMANENTE – GTP (MAP Y MITYC):................................................................35
10 ANEXO 1: CUESTIONARIO DE PETICIÓN DE INFORMACIÓN QUE SE LES REMITIÓ A LOS
PRESTADORES .....................................................................................................................................................37
07/12/2007
Pág. 2/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
1 Introducción
La Ley para el acceso electrónico de los ciudadanos a los Servicios Públicos (LAECSP)
establece en el Capítulo Segundo, Segundo Título, establecen los mecanismos de aplicación
por las Administraciones Públicas para la identificación y firma electrónica basada en
certificados digitales.
Se establecen diversas soluciones a múltiples problemas existentes actualmente en el ámbito
de la Identificación y firma electrónica de las Administraciones Públicas, entre ellas, hacia los
ciudadanos y empresas, y con sus empleados públicos: G2G, G2C, G2B, G2E.
La Ponencia I - certificados electrónicos - del grupo de identificación y autenticación ha
basado su trabajo en desarrollar un marco de definición de los modelos de PKIs y certificados
que se habrían de generar para cumplir con la LAECSP, así como aquellos aspectos
colaterales del Capítulo Segundo, Título Segundo que requieren un desarrollo: servicios de
certificación, representación, etc.
En el MAP, se ha constituido el proyecto certiCA para promover e impulsar la articulación y
regulación de la identificación y autenticación en el seno de las Administraciones Públicas. El
equipo de trabajo de dicho proyecto trabaja en colaboración con los miembros de la Ponencia
I para impulsar el desarrollo de los trabajos derivados de ésta.
Finalmente, se han definido aquellas condiciones adicionales recogidas en el artículo 4 de la
Ley 59/2003 de firma electrónica que, en su apartado 3 determina la necesidad de que las
citadas condiciones sean "objetivas, proporcionadas, transparentes y no discriminatorias y no
deberán obstaculizar la prestación de servicios de certificación al ciudadano cuando
intervengan distintas Administraciones públicas nacionales o del Espacio Económico
Europeo". Dichas condiciones se aplicarían con un enfoque global para certificados recogidos
en la Ley de firma electrónica, como para aquellos que surgen a raíz de la LAECSP.
El presente documento presenta tanto las conclusiones adoptadas en la Ponencia I de
certificados electrónicos así como la descripción de los trabajos en curso para la confección
del Desarrollo reglamento de identificación y autenticación, y del Esquema de
identificación y firma electrónica de la Administración que lo sustenta.
2 Calendario de reuniones
El 31 de mayo de 2007 se restableció el grupo de trabajo de identificación y autenticación del
seno de la comisión permanente de la CSAE. La Ponencia I se constituyó a partir de esta
fecha y con el siguiente calendario de reuniones:
07/12/2007
Pág. 3/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
Fecha
21/6/2007
13/7/2007
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
Descripción
Presentación de líneas de trabajo de la Ponencia I
Análisis de lo existente y condiciones adicionales
Modelos de PKIs y taxonomía de certificados. Niveles de
aseguramiento.
Conclusiones finales y estrategia de próximos desarrollos.
24/9/2007
19/10/2007
3 Miembros de la Ponencia I
Participaron presencialmente durante las reuniones de la Ponencia I las siguientes personas:
Num.
UNIDAD
1
AEAT
2
AEAT
3
ASISTENTES
José A, Campillo
González
CARGO
CORREO ELECTRÓNICO
Jefe de Unidad
[email protected]
Consultor Informática
[email protected]
AEAT
Luis Izarzugaza
Igusquiza
Santiago Segarra
Director
[email protected]
4
AEAT
Eloy Ruiz Madueño
Jefe de Área
[email protected]
5
FNMT
Coordinador Jefe
[email protected]
6
FNMT
Director CERES
[email protected]
7
FNMT
José Francisco Pérez
Jefe de Servicio
[email protected]
8
IGAE-MEH
José María Sobrino
Moreno
Subdirector General
[email protected]
9
IGAE-MEH
Antonio Carrasco
Asesor técnico
[email protected]
10
DG Policía
11
DG Policía
12
CCN
13
MAP
Alfonso Berral López
14
MAP
Ignacio Valle Muñoz
15
MAP
José Luis Lapuente
Perea
07/12/2007
Álvaro de la Escalera
Armiño
Diego Hernández
Gallardo
Santiago Suárez
Suárez
Juan Crespo
Coordinador PKI,s.
[email protected]
Inspector Jefe
[email protected]
Marino Tapiador
Responsable Técnico
Mateos
de Organismo de
Jefe de Servicio de
Desarrollo
Director de la División
de Proyectos
Tecnológicos
Jefe de Área. SDG. de
Proceso de Datos
Pág. 4/38
certificació[email protected]
[email protected]
[email protected]
[email protected]
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
Num.
UNIDAD
ASISTENTES
16
MAP
17
MAP
18
MAP
19
MAP
Juan Carlos Gómez
20
MAP
Ernesto Abati
21
MAP
22
MAPA
23
MAPA
24
MCUL
25
MEH
26
MEH
27
MDEF
28
MITyC
29
MITyC
30
MJUS
31
MJUS
32
CARGO
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
CORREO ELECTRÓNICO
Juan Norberto Sánchez
Jefe de Área
Valle
Nimia Rodríguez
Consejero Técnico
Escolar
Ricardo Cantabrana
Subdirector G. Adjunto
González
Vocal Asesor
[email protected]
[email protected]
[email protected]
[email protected]
Subdirector General de
Rodríguez
[email protected]
Simplificación
Administrativa
Técnico Superior. SDG.
[email protected]
de Coordinación de
Fernando Aritmendiz
Rec. T.
Jefe de Área de
Miguel Álvarez
Lumbreras
Rodrigo Diego de
Miguel
[email protected]
Informática
[email protected]
Alfonso Dávila Oliveda
Juan Jesús Torres
Carbonell
Director del Archivo
[email protected]
Gral. de la
Subdirector General de
[email protected]
la SGTIC.
Oscar Robledo Pascual Jefe de Área
[email protected]
Gabriel Arriero Salcedo Jefe de Subunidad
[email protected]
Fernando Fazio
Consejero Técnico de
Fernández De Miranda la SDG. de Servicios
Mª Jesús García Martín Jefe de Área
[email protected]
[email protected]
Jesús López Mora
Raquel Poncela
González
Vocal Asesor
[email protected]
Consejero Técnico
[email protected]
MJUS
Ángeles Turrón
Jefe de Área
[email protected]
33
MJUS
Esther Alonso Latorre
Jefe de Sección
[email protected]
34
MMA
Antonio Sanz Pulido
Jefe de Servicio
[email protected]
35
MTAS
Jefe de Proyecto
[email protected]
36
MTAS
Guillermo Mora Marín
Maria José Lucas
Vegas
Consejera Técnica
[email protected]
37
MTAS
38
39
07/12/2007
Miguel Gendive Rivas
MTAS -
Francisco M. Pérez
GISS
Fernández
Romualdo Erdozain
MPRE
Iglesia
SDG. Adjunto de
Proceso de Datos
[email protected]
Jefe de Área
[email protected]
Jefe de Área
[email protected]
Pág. 5/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
Num.
UNIDAD
ASISTENTES
40
MEC
José Antonio García
García
41
BOE
David Guerrero
42
MTAS-SPE
Eugenio García
CARGO
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
CORREO ELECTRÓNICO
Jefe de Área de
Desarrollo de Servicios
Jefe de Servicio de
Seguridad
Consejero Técnico
[email protected]
[email protected]
[email protected]
4 Referencias
Se relacionan aquellos documentos que fueron distribuidos en la Ponencia I durante su
desarrollo, así como los miembros que la aportaron:
Organismo
AEAT – Eloy Ruíz
AEAT – Eloy Ruíz
AEAT – Eloy Ruíz
AEAT – Eloy Ruíz
AEAT – Eloy Ruíz
MCU – Alfonso Dávila
MTAS-GISS – Francisco
Pérez
MTAS-GISS – Francisco
Pérez
MDEF – Gabriel Arriero
MDEF – Gabriel Arriero
MDEF – Gabriel Arriero
MAPA – J. Ramón García
MAPA – Fernando
Aritmendiz
MJUS – Esther Alonso
Documento
Requisitos adicionales certificados AEAT.pdf
Resolucion 24 julio 2003 AEAT admision certificados.pdf
Orden HAC 1181_2003.pdf
Uso de código seguro de verificación y oportunidad de sello de órgano.
Propuestas a escenarios de nuevos certificados
Procedimiento certificaciones archivos estatales.doc
Declaración de Prácticas de Certificación 6.0.pdf
Arquitectura Tecnológica PKI.pdf
Procedimientos TEMD y certificados MINISDEF.pdf
Comentarios al documento Identidad y firma-e en las AAPP v ….pdf
Políticas, CPS y perfiles PKI MDEF
Infraestructura de Claves Públicas del MAPA MAP.doc
Consultas_juridicas Sustitución de Certificados en Soporte Papel
Propuestas a escenarios de nuevos certificados
DG Policía – Juan Crespo
Borrador_DPC_CNP.pdf
MTAS – Miguel Gendive
Resolucion notariado.pdf
5 Evolución de los trabajos
Inicialmente se propone una metodología de trabajo basada en profundizar en los diferentes
aspectos de alcance de la Ponencia a partir de propuestas de los miembros del grupo y en
las 3 líneas siguientes:
07/12/2007
Pág. 6/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
Conclusiones Ponencia I:
certificados electrónicos
•
•
•
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
Implantación de nuevos certificados electrónicos conforme a la LAECSP
Condiciones adicionales de los certificados electrónicos y prestadores admitidos
conforme el Artículo 4 de la Ley 59/2003 de firma electrónica.
Interoperabilidad con certificados admitidos por otras AA.PP.
El catálogo de propuestas se va a representar siguiendo el esquema propuesto en el grupo
de identificación y autenticación de la CSAE, conforme la última reunión de 31/5/2007:
Para ello se establecen diferentes etapas que se resumen en las fases de
•
•
•
•
Análisis de lo existente en materia de PKIs que generan certificados asimilados a los
recogidos en el trabajo
Síntesis de propuestas concretas para concretar un escenario de implantación de las
PKIs que ofrezcan servicios a los nuevos certificados,
Toma de decisiones de taxonomías, perfiles, condiciones adicionales, etc. que sirvan
para cerrar el modelo final; y finalmente
Desarrollo en profundidad de cada uno de los aspectos del modelo para tener
disponible un esquema de implantación y despliegue para la Administración Pública
Estatal.
El siguiente gráfico muestra el proceso de desarrollo en la Ponencia:
Análisis
Síntesis
Toma de
decisión
Desarrollo
en profundidad
Perfiles
Emisión
Perfiles
Uso
Emisión
Validación
Uso
Requisitos de
acreditación
…
....
Escenarios
+
Análisis de
alternativas
Escenario
consensuado
¿ QUÉ ?
¿ CÓMO ?
-- Perfiles
Perfiles
-- Detalles
Detallesdel
del
modelo
modelo
-- Política
Política
-- DPC
DPC
-- Modelo
Modelode
denegocio
negocio
-- Procedimientos
Procedimientosde
de
acreditación
acreditaciónde
de
PSC
PSC
-- ….
….
Experiencias e
iniciativas de éxito
A continuación se pasa a relacionar cada una de las etapas cubiertas con sus respectivos
entregables.
07/12/2007
Pág. 7/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
5.1
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
Análisis de certificados similares y modelos de gestión de PKIs:
Se elabora un documento previo1 con referencias legales y técnicas necesarias para la
elaboración de este estudio. Dicho documento citaba principalmente estándares divididos en
grupos acordes con el documento de análisis elaborado. Su estructura es la siguiente:
-
Normas y estándares de tecnología. Donde se incluye información referente a la
certificación digital, la firma electrónica, el sellado de fecha y hora y gestión de
identidad.
-
Normas Jurídicas, donde se incluye información acerca de la emisión de certificados y
el uso de los mismos.
-
Mejores prácticas y casos reales, donde se incluyen ejemplos de certificación y firma
electrónica como de gestión y federación de identidad.
A continuación se desarrolla un documento completo de análisis de los certificados emitidos y
servicios ofrecidos por los principales prestadores de servicios de certificación en España,
tanto en el ámbito público como privado, así como las principales experiencias
internacionales relevantes2.
-
En el ámbito del presente estudio se han considerado los siguientes prestadores:
o Ámbito público nacional:
CATCert
Izenpe
FNMT-Ceres
ACCV
Ministerio de Trabajo y Asuntos Sociales (MTAS)
Ministerio de Defensa
Seguridad Social
Ministerio de Agricultura, Pesca y Alimentación
Dirección General de la Policía y Guardia Civil
o Ámbito privado nacional
Firmaprofesional S.A.
Asociación Nacional de Fabricantes
Camerfirma
1
Recursos de informacion certiCA 1.0.pdf
2
Identidad y firma-e en las AAPP. Análisis de certificados.pdf
07/12/2007
Pág. 8/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
o Otros ejemplos de experiencias de consumo relevantes de otros certificados en
el Sector Público.
Agencia Estatal de Administración Tributaria
DNI electrónico
Para cada uno de los prestadores de servicios de certificación analizados se ha realizado un
análisis estudio que incluye los siguientes epígrafes:
•
Correspondencia de los certificados emitidos por las entidades anteriormente
citadas según los perfiles de certificados objetos del estudio.
•
Se han descrito las características principales que definen de manera unívoca a
cada certificado utilizando los siguientes atributos identificativos:
o Esquema de nombres, que identifica de manera unívoca a la persona que
recibe el certificado.
o Algoritmos autorizados de firma
o Duración de los certificados
o Uso de claves autorizado
o Políticas de certificados
•
Los soportes empleados para cada tipo de certificado.
•
La estructura de la infraestructura de clave pública (PKI) del prestador de servicios.
•
Una descripción de los servicios de emisión:
o En este epígrafe se describe el ciclo de vida de los certificados. Dicho ciclo
viene determinado por las siguientes etapas:
•
Emisión del Certificado.
Renovación.
Suspensión.
Revocación.
Servicios de información de estado ofrecidos:
o Los medios mediante los cuales se puede comprobar la validez y vigencia de
los certificados, mediante los siguientes mecanismos:
•
•
•
•
07/12/2007
CRL.
OCSP.
Web Services
Servicios de validación de información ofrecidos:
Pág. 9/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
o Describe los servicios que las entidades certificadoras tienen asociadas a los
servicios de validación de certificados (CRLs de varios prestadores,
validaciones semánticas…), o validaciones de firma.
•
Servicios de sellado de fecha y hora ofrecidos:
o Los medios utilizados para dotar a las transacciones realizadas con certificados
un servicio de sellado de tiempo, mediante el cual se puede certificar garantizar
de manera confiable la fecha y hora en el que se llevó a cabo la transacción.
Para completar este documento con la información de los Prestadores estudiados, se les
remitieron cuestionarios de petición de información con el fin de completar lo máximo
posible el estudio.
El contenido de los cuestionarios, fue personalizado para cada prestador al que se le
remitió, en función de la información que se necesitaba para cumplir coherentemente su
estudio. La información de los cuestionarios era la siguiente:
•
Ver anexo I en el que se contempla el documento de petición de información.
•
Los prestadores de los cuales se recibió respuesta al cuestionario o bien mediante
llamada telefónica fueron los siguientes:
o Prestadores Públicos:
CATCert
Izenpe
ACCV
MTAS
Ministerio de Defensa
MAPA
o Prestadores Privados:
Firma Profesional
ANF
Camerfirma
Posteriormente, se recogen también experiencias de consumo de otros certificados en el
Sector Público, con un análisis preliminar de:
•
•
•
Establecimiento de condiciones adicionales
Los procedimientos de admisión de certificados
Los sistemas voluntarios de Acreditación / Certificación de Prestadores
07/12/2007
Pág. 10/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
Finalmente, se recogen casos de estudio internacionales del esquema legal y organizativo de
implantación de firma electrónica en el ámbito de la Administración a partir de estudios de
IDABC3.
Se recogen los diferentes modelos en los que cabe agrupar a todos los países europeos y
se exponen experiencias internacionales que resultan relevantes para el proyecto, en cuanto
a la organización pública de sistemas de identidad y de firma electrónica, que aportan
información sobre los posibles modelos para la implementación del sistema español, dentro
del marco de la Ley 59/2003, de 19 de diciembre, de firma electrónica, y de la Ley 11/2007,
de acceso electrónico de los ciudadanos a los servicios públicos.
De cada experiencia se presenta una breve introducción con los rasgos definitorios más
relevantes para el sistema de "gestión pública de la identidad y la firma electrónica".
Asimismo, para cada experiencia se analiza el modelo adoptado por la legislación de
administración electrónica en relación con la implementación del sistema de gestión pública
de la identidad y la firma electrónica.
Las experiencias que se analizan son las siguientes:
• Alemania.
• Austria.
• Bélgica.
• Francia.
• Portugal.
• Suecia.
• Estados Unidos.
• Noruega
5.2
Síntesis y modelos de organización de PKIs y certificados4
Consiste en un documento en el que se contemplan y describen las posibles decisiones a
tomar para la elaboración del modelo de la PKI, ya sea en el ámbito APE como en el ámbito
nacional e internacional.
Tanto la LFE como la LAECSP resultan respetuosas con la potestad de autoorganización de
las diferentes Administraciones Públicas, que permite que cada Administración Pública
configure la prestación del servicio de forma diferente. Esta posibilidad puede implicar la
aparición de servicios de certificación que no sean técnicamente compatibles, con los
3
Preliminary Study on Mutual Recognition of eSignatures for eGovernment applications. Analysis and
Assessment of similarities and differences v2.3, 15th June 2007
4
Identidad y firma-e en las AAPP. Síntesis y modelos.pdf
07/12/2007
Pág. 11/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
consiguientes retos para el libre reconocimiento de los certificados y la interoperabilidad de
las firmas electrónicas producidas.
En atención a esta potestad de autoorganización y, para obtener una visión detallada de las
diferentes soluciones en los diferentes ámbitos, el análisis de los modelos se ha realizado
teniendo en cuenta las siguientes dimensiones organizativas:
-
Dimensión Administración General del Estado: comprende los organismos de la APE que
dispongan o no de PSCs propios.
Dimensión nacional: incluye a los organismos anteriores así como las CCAA y las
administraciones locales.
Dimensión internacional: integra el modelo anterior en el ámbito internacional.
Esta estrategia pretende definir un modelo de PKI completo a partir del modelo APE para
extenderlo posteriormente hacia el resto de modelos, dentro del marco de la LAECSP y, en
concreto, de los Esquemas Nacionales de Seguridad y de Interoperabilidad, como solución a
los retos del reconocimiento automático de los certificados y para fomentar la
interoperabilidad de la firma electrónica.
En cada una de las dimensiones se estudia la viabilidad de los diferentes modelos, los cuales
incluyen los certificados derivados de la LAECSP. La taxonomía de los certificados se
encuentra detallada en profundidad en el análisis de las prácticas de certificación de los
principales prestadores de servicios de certificación en España (tanto en el ámbito público
como privado) así como las experiencias internacionales más relevantes, se detallan a
continuación varias soluciones factibles dependiendo de la dimensión en la que nos
encontremos (Identidad y firma electrónica en las AAPP).
Para cada dimensión se propone uno o varios modelos técnicos alternativos de organización,
así como propuestas y alternativas referidas a los elementos definitorios de la infraestructura
de clave pública administrativa: proceso de registro e identificación, tipos de certificados,
servicios de información de estado de revocación y servicios de validación, entre otros.
Los aspectos referidos a las condiciones adicionales a exigir a prestadores de servicios que
expiden certificados a ciudadanos y entidades privadas, para su admisión y uso en el
procedimiento administrativo se contienen en documento aparte.
Para la dimensión APE, el documento propone un conjunto de decisiones posibles divididas
según las diferentes partes del modelo de PKI, como son el modelo de confianza de la PKI,
tipología de certificados y perfiles asociados, soportes empleados, procedimientos de
identificación y registro, procedimientos de emisión y entrega de certificados, servicios de
información de estado y validación de certificados, servicios avanzados de validación y
servicios de sellado de fecha y hora.
07/12/2007
Pág. 12/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
5.3 Condiciones adicionales al empleo de la firma en el ámbito de las
Administraciones Públicas
La propuesta que se hace en el desarrollo de dichas condiciones adicionales (art. 4 Ley firma
electrónica) es de aplicación a todos los certificados regulados, los ya contemplados en la
Ley de firma electrónica y los nuevos de la LAECSP.
Ley de Firma-e /
Directiva EU
LAECSP
Persona
física
Empleado
Público
Persona
jurídica
Sello
Órgano
Entidad sin
personalidad
jurídica
Sede
Condiciones adicionales
(requisitos generales)
La definición precisa de los modelos para los certificados nuevos de la LAECSP, evitará la
aplicación de condiciones adicionales exhaustivas y se conseguirá un marco único en la
Administración Pública Estatal para el empleo de la identificación y firma electrónica a
través de todos los mecanismos contemplados en las dos normas de referencia, Ley
de firma electrónica y Ley de acceso electrónico de los ciudadanos a los Servicios
Públicos
En futuras aproximaciones con el resto de Administraciones Públicas, se podrían proponer
estas condiciones generales en la dimensión nacional, de forma que fuesen aprobadas
dentro del Esquema Nacional de Seguridad o de Interoperabilidad y mantenidas como
comunes para todas las Administraciones. Esta posibilidad permitiría establecer un conjunto
de condiciones verdaderamente generales, facilitando realmente la interoperabilidad en el
uso de certificados admitidos por la totalidad de las Administraciones.
07/12/2007
Pág. 13/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
Las condiciones generales adicionales de prestadores para certificados privados se agrupan
de acuerdo con la siguiente clasificación:
Condiciones organizativas.
Condiciones de servicio.
Condiciones de seguridad.
Condiciones semánticas.
Condiciones de interconexión.
Condiciones de longevidad de firma electrónica.
-
Se elabora un documento5 que recoge una relación de los aspectos referidos a las
condiciones generales adicionales a exigir a prestadores de servicios (privados o públicos)
que expiden certificados a ciudadanos y entidades privadas, así como a las AAPP, para su
admisión y uso en el procedimiento administrativo por parte de la APE.
La base de dicho documento lo constituyen las siguientes condiciones preliminares:
A)
Organizativas:
Propuestas determinadas en conclusiones de grupo de firma-e de 18-9-2006
Confección de un protocolo de actuación entre MAP y MITyC para tramitar las
solicitudes de PSCs y publicarla.
Estudio de esquemas de inspección y control de cumplimiento de normas de LAECSP
y Ley 59/2003 el el grupo de trabajo permanente de MAP y MITyC.
Desarrollo las condiciones en las que serán admitidos los certificados de entidades
sin personalidad jurídica (art. 15.3 LAECSP y 7.6 de la Ley de firma)
Determinación de especificaciones para que se admitan los certificados reconocidos
siempre y cuando se suministre la información precisa en condiciones técnicamente
viables, y sin coste para las AAPP (art. 21 de la LAECSP).
Las condiciones adicionales serán objeto de notificación a la Comisión Europea, de
acuerdo con el artículo 11.1.a) de la Directiva 99/93/CE.
B)
Servicios
5
Inclusión de fechado electrónico sobre los documentos que integran los expedientes
electrónicos, en forma de marcas o sellos de fecha y hora (puesto como ejemplo en
Ley 59/2003)
Mecanismos de publicación de métodos de validación y verificación concretos de
certificados. Eje: Distributions Points.
Identidad y firma-e en las AAPP. Propuestas condiciones adicionales.pdf
07/12/2007
Pág. 14/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
Controlar y establecer requisitos técnicos específicos (drivers o programas) para el
uso de certificados electrónicos emitidos por cualquier PSC admitido.
Disponibilidad y actualización por parte de los PSCs de repositorios públicos con la
relación de históricos de perfiles, Declaraciones, etc. asociados a los certificados
emitidos admitidos por las AAPP.
C)
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
Seguridad
Determinación de algoritmos criptográficos a emplear, a partir de su inclusión en los
certificados
Categorización del nivel de seguridad de los certificados en función de sus
credenciales de seguridad: cumplimiento de normas, longitudes de claves, algoritmos,
soportes, …
Concretar los requisitos de seguridad de la plataforma de servicio de validación de
certificados, conforme art. 21.3 de la LAECSP.
Establecer el sistema de acreditación a aplicar a los PSCs y a los productos de firmae empleados por estos: voluntario vs. obligatorio paras las condiciones adicionales.
(art.26 Ley 59/2003)
Determinar los niveles de certificación de la actividad del PSC.
Revisión de normas IETF, CEN, ETSI y CCN para proponer. Determinar el carácter
opcional u obligatorio.
D)
Semánticas
Determinar la inclusión o no de seudónimos en los certificados, admitido en la Ley de
firma electrónica.
Estudiar posibilidades de inclusión de OIDs únicos de ámbito internacional para
identificar la política de certificación, el tipo de certificado, y la versión del mismo.
Supervisión y control de que los perfiles de definición de cada certificado en vigor
refleje con exactitud la misma estructura de los certificados generados por el PSC.
Determinar un método de descubrimiento de nombres, apellidos y NIF inequívoco a
partir de la aplicación de expresiones regulares simples.
Estudio de interpretación dinámica el contenido de un campo o extensión del
certificado en función de parámetros variables.
Determinación de claves de uso de cada certificado (KeyUsage).
E)
Interconexión:
F)
Longevidad de firma electrónica: Pendiente desarrollo
07/12/2007
Pendiente de desarrollo.
Pág. 15/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
Dichas condiciones se presentaron en las reuniones de trabajo de la Ponencia I, quedando
emplazado el desarrollo y estudio pormenorizado en el Grupo de Trabajo Permanente
constituido por el MAP y el MITyC6.
6
Se han mantenido tres reuniones hasta la fecha de realización de este documento de Conclusiones y se han
ido concretando propuestas de condiciones.
07/12/2007
Pág. 16/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
6 Conclusiones
6.1
Modelo Organizativo de PKIs
En la fase de síntesis se realiza un análisis de diferentes modelos organizativos de las PKIs
que prestan servicio de certificación en la Administración Pública Estatal sobre los
certificados electrónicos considerados en la LAECSP.
Se trata de modelos de confianza de la PKIs que puedan prestar servicios y que determinan
su organización. En todos los modelos, el MAP y/o el MITyC pueden actuar como entidades
de validación de certificados y/o firma electrónica. Se estudian los siguientes modelos:
1. Modelo público jerárquico de PKI.
MAP / MITyC
Prestador
único
contratado
Se basan en una Autoridad de Certificación raíz
única que firma a las demás. Es un escenario
cerrado que incluye sólo prestadores públicos,
con regulación en la emisión, políticas implantadas,
y auditorías periódicas.
Minis Def
2. Modelo público distribuido de PKI, basado en listas de
servicios de confianza.
Disposición de libre mercado compuesto
por prestadores públicos, sin posibilidad de
prestadores privados, con mecanismo de gestión
de certificados admitidos basado en listas de
servicios de confianza (prestadores y certificados).
Seg Social
…
TSL
MAP /
MITyC
Minis Def
3. Modelo mixto jerárquico de PKI.
PSCs
públicos
Seg
Social
…
MAP / MITyC
Misma disposición que el modelo público
jerárquico pero aceptando a los prestadores
privados mediante un marco de acreditaciones
y auditorías (condiciones adicionales) .
Eje. Modelo Francés (PRIS)
07/12/2007
PSCs
públicos
Pág. 17/38
Prestador
único
contratado
Minis Def
PSCs
privados
acreditados
PSCs públicos
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
Tras presentar en la fase de Síntesis un estudio de ventajas e inconvenientes de cada
modelo, se acuerda proponer el modelo menos intrusivo de los presentados que distribuye la
carga de certificados, no discrimina prestadores, permite modelos de gestión de confianza.
Este modelo se basa en el que actualmente se sigue para la Prestación de Servicios de
Certificación a partir de la Ley 59/2003 de firma electrónica y de la Directiva 1999/93/CE del
Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un
marco comunitario para la firma electrónica.
4. Modelo mixto distribuido de PKI, basado en listas de servicios de confianza.
-
Disposición de libre mercado compuesto por prestadores públicos y privados. MAP y
MITyC se establecerán como validadores y gestores de la TSL para facilitar la
validación y acreditación.
-
Se asegurará que, al menos, haya un PSC, en la APE, emisor de los certificados que
cumpla con las condiciones acordadas.
-
Se propondrá el modelo en el ámbito de otras administraciones
-
Se contemplará una posible variante de emisor único de ciertos certificados, ya sea el
Certificado de Sede, el de Sello o ambos (por determinar).
- Validador
TSL
- Acreditador
- Gestor TSL
MAP/
MITyC
Mins Def…
07/12/2007
PSCs
privados
acreditados
Pág. 18/38
PSCs
públicos
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
6.2
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
Niveles de Aseguramiento
Con los niveles de aseguramiento, se determina un esquema de garantía para las
aplicaciones y servicios electrónicos que deseen establecer los medios de identificación y
autenticación electrónicos. Se establecerá el nivel de riesgo asociados al caso de uso
concreto, y en consecuencia, se determinarán los mecanismos de identificación y
autenticación admitidos.
Cada uno de los diferentes niveles conllevará un grado de “confianza”, debido en gran media
a los requisitos técnicos y de seguridad que lleve asociados cada servicio público electrónico.
Es importante resaltar que los niveles de aseguramiento recogidos se basan en soluciones y
esquemas basados en certificados digitales, sin embargo, es susceptible el recoger un nivel
adicional: nivel básico.
Inicialmente se definen dos niveles de aseguramiento:
o Nivel medio:
Este nivel corresponde a una configuración de mecanismos de seguridad
apropiada para la mayoría de aplicaciones de las Administraciones Públicas.
El riesgo previsto por este nivel (siguiendo la recomendación de la OCDE):
• Infracción de seguridad (eje. el robo de identidad)
• Puede producir pérdidas económicas moderadas
• Pérdida de información confidencial (no clasificada como secreta)
• Refutación de una transacción con impacto económico
significativo.
Asimismo, el riesgo previsto por este nivel corresponde al nivel 3 de garantía
previsto en la Política Básica de Autenticación de IDABC.
Los mecanismos de seguridad aceptables incluyen los certificados X.509 en
software. En los casos de certificados emitidos a personas, se corresponde
con el de un "certificado reconocido", como se define en la Ley 59/2003, de
firma electrónica, sin dispositivo seguro de creación de firma para firma
electrónica avanzada.
o Nivel alto:
07/12/2007
Este nivel corresponde a una configuración de mecanismos de seguridad
apropiada para las aplicaciones de las Administraciones Públicas que
precisan medidas adicionales, en atención al análisis de riesgo realizado.
El riesgo previsto por este nivel (siguiendo la recomendación de la OCDE):
• Infracción de seguridad
Pág. 19/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
•
•
•
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
Puede producir pérdidas económicas importantes
Pérdida de información altamente confidencial (clasificada como
secreta)
Refutación de una transacción con impacto económico muy
significativo.
Asimismo, el riesgo previsto por este nivel corresponde al nivel 4 de garantía
previsto en la Política Básica de Autenticación de IDABC.
Los mecanismos de seguridad aceptables incluyen los certificados X.509 en
hardware. En los casos de certificados emitidos a personas, se corresponde
con el de "firma electrónica reconocida", como se define en la Ley 59/2003,
de firma electrónica.
Otras recomendaciones sobre la definición de modelos de PKI basado en dichos niveles
es:
o Se evitarían realizar perfiles independientes de cada certificado en función de los
niveles elegidos por las aplicaciones.
o Se plantea identificar un solo nivel basado en certificados para ciertos certificados
como por ejemplo el de Sede.
o Al admitir los certificados y condiciones cumplidas por los PSCs, se catalogarán un
uno de los niveles. Consecuentemente se publicaría en la lista de admitidos con
dicha tipificación.
o En cualquier caso, la elección de los certificados admitidos por las aplicaciones de
autenticación y firma de la Administración, sería discrecional por parte de los
organismos responsables.
Finalmente, como conclusión de los trabajos de definición de los niveles de aseguramiento,
se ha confeccionado un documento en el que se establecen diferentes casos de usos de los
certificados y formas de identificación y firma en función de los niveles de aseguramiento7.
6.3
Nuevos certificados electrónicos: taxonomías y perfiles
6.3.1
-
7
Certificado de Sello Electrónico para los Procesos Automatizados
Se recoge en los artículos 13.3.b), y 18 de la LAECSP
Identidad y firma-e en las AAPP. Casos de uso niveles y certificados.pdf
07/12/2007
Pág. 20/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
-
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
Se permite para ello el uso de certificados electrónicos o códigos seguros de
verificación.
Actualmente se vienen usando certificados de personas jurídicas, componentes
informáticos, servidores seguros …
Los certificados de sello electrónico podrían incluir, opcionalmente, la identidad de la
persona titular del órgano administrativo.
Cada Administración ha de publicar los sellos electrónicos utilizados, y se han de
poder verificar.
Se podrían “sellar” documentos electrónicos que previamente han sido firmados por un
empleado público.
-
Casos de uso:
o Intercambio de datos entre Administraciones (art. 20 LAECSP)
o Identificación y autenticación de un sistema, servicio web o aplicación.
o Interoperabilidad de e-Documents
o Archivo electrónico automatizado
o Federación de firmas e identidades
o Compulsas y copias electrónicas, ...
-
Los campos singulares que se acuerdan para identificar al certificado son:
o Fijos:
Descripción del tipo de certificado
Denominación de sistema o componente informático
Nombre de la entidad suscriptora
Número de Identificación Fiscal de entidad suscriptora
o Opcionales8:
Dirección de correo electrónico
Datos de identificación personal del titular del órgano administrativo:
• Nombre de pila
• Primer apellido
• Segundo apellido
• NIF o NIE
6.3.2
-
Certificado de Sede Electrónica
Se recoge en los artículos 8, 10, 11, 12, 13.3.a), y 17 de la LAECSP
Al menos una sede por Administración.
Sede electrónica es una dirección electrónica disponible a través de redes de
telecomunicaciones cuya titularidad, gestión y administración corresponde a la
Administración Pública: eje red SARA.
8
Los campos opcionales son aquellos que no es obligatorios incluir, sin embargo, en los perfiles de los
certificados quedan reservados extensiones o campos para dichos atributos.
07/12/2007
Pág. 21/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
-
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
El titular de la sede ha de responder por la integridad y veracidad de la información
publicada.
Cada Administración establece las condiciones, pero se ha de identificar al titular, y
quejas y sugerencias.
Principios de accesibilidad y usabilidad.
Publicación de diarios, boletines oficiales y edictos (opcional).
Han de disponer de contenidos publicados en las lenguas oficiales reconocidas en su
ámbito Identificación de sede electrónica.
Sistema de firma electrónica basado en certificado de dispositivo seguro o medio
equivalente. Se crea certificado electrónico ad-hoc. Eje. certificado de servidor seguro
para SSL.
Dispositivo seguro: eje. HSM (Hardware Security Module)
“Medio equivalente”: eje: servidor que está configurado y gestionado de forma segura;
dispondría de una catalogación como tal generada por entidades acreditadas.
-
Casos de uso:
o Conexión segura de ciudadanos a sitios web oficiales (sedes)
o Autenticación, no firma electrónica.
o Hospeda el Registro Electrónico (art. 25 y 26 LAECSP).
-
Los campos singulares que se acuerdan para identificar al certificado son:
o Fijos:
Descripción del tipo de certificado
Nombre descriptivo de la sede electrónica
Denominación de Nombre del Dominio / dirección IP
Nombre de la entidad suscriptora
Número de Identificación Fiscal de entidad suscriptora
o Opcionales: Ninguno
6.3.3
-
Certificado de Empleado Público
Se recoge en los artículos 13.3.c), y 19 de la LAECSP
Se emplearán para identificar un empleado público, en cualquiera de sus categorías:
funcionario, laboral fijo, eventual, ....
Identificar el titular y el órgano o Administración.
Cada Administración determinará sus características.
Han de poder complementar su uso con el DNIe (potestad del empleado)
No todos los métodos de firma electrónicas han de basarse en certificados
electrónicos.
Se proponen certificados que podrían disponer de varios perfiles:
o Medio: soporte sw, algoritmos débiles de firma o cifrado
o Alto: Dispositivos seguros de creación de firma, certificación de seguridad,
algoritmos robustos de firma o cifrado
07/12/2007
Pág. 22/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
-
Casos de uso:
o Competencias laborales
o Autenticación y firma electrónica avanzada o reconocida ante el ciudadano y
otras Administraciones.
o Representación de ciudadanos (art. 22 LAECSP)
o En concepto de titular de órgano.
-
Los campos singulares que se acuerdan para identificar al certificado son:
o Fijos:
Descripción del tipo de certificado
Datos de identificación personal de titular del certificado
• Nombre de pila
• Primer apellido
• Segundo apellido
• NIF o NIE
Nombre de la entidad en la que está suscrito el empleado
Número de Identificación Fiscal de entidad
o Opcionales9:
Unidad a la que está adscrito el cargo o puesto que desempeña el
empleado público
Cargo o puesto de trabajo.
Número de identificación de personal (NIP, NRP,…)
Dirección de correo electrónico
6.4
Caracterización de los certificados y perfiles
Se han establecido unas plantillas con puntos de decisión, a partir del documento de síntesis
y modelos de PKI. Dichos puntos de decisión han servido para caracterizar los certificados y
servicios de certificación que han de establecerse para cada certificado y nivel de
aseguramiento.
Dichas plantillas se han distribuido y consensuado entre los miembros del grupo de
identificación y autenticación de la APE. Se recibieron las siguientes respuestas:
o AEAT:
Modelo mixto distribuido de PKI, basado en listas de servicios de confianza:
• La Agencia Tributaria manifiesta su interés en seguir gestionando su
propia lista de acreditación de certificados electrónicos, para el ámbito
tributario. Asimismo aceptará aquellos que se admitan en la lista
común gestionada por MAP y MITYC.
9
Los campos opcionales son aquellos que no es obligatorios incluir, sin embargo, en los perfiles de los
certificados quedan reservados extensiones o campos para dichos atributos.
07/12/2007
Pág. 23/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
No tiene necesidad de Certificado de Empleado Público:
• La AEAT apuesta por usar, para la firma electrónica del personal
funcionario, el código seguro de verificación de firma. Si se requiriera
firma, podría ir asociado al Certificado de Persona Jurídica de la
AEAT.
No tiene necesidad de Certificado de Órgano:
• Entiende que el Certificado de Persona Jurídica usado en la
actualidad es válido para las relaciones tributarias. No obstante, no
tiene ningún inconveniente en su existencia, si puede resultar útil para
algún Órgano de la Administración.
Aplicación de certificado de sello de órgano
• La AEAT manifiesta que, aunque el artículo 18.1 de la LAECSP
habilita el uso de diferentes sistemas de firma electrónica al proceso
de sellado electrónico para la actuación automatizada, por defecto,
aplicará el proceso de sello electrónico a partir del certificado de
persona jurídica de la Agencia para cualquier procedimiento que
trascienda a otras Administraciones u Organismos ajenos a la propia
AEAT.
No obstante, podría llegar a acuerdos para aplicar sistemas de firma
basadas en el código seguro de verificación cuando así se acuerde
entre las entidades interesadas.
Tabla de perfiles:
• Propone normalizar la vigencia de los certificados, dicha vigencia se
fijará en 3 años para cualquier certificado.
o Ministerio de Justicia:
Tabla de perfiles:
• Propone normalizar también la vigencia de los certificados, dicha
vigencia se fijará en 3 años para cualquier certificado.
• Propone que no se señale como obligatorio el servicio OCSP,
argumentando el coste adicional que ponen los prestadores frente a
otros métodos como CRLs.
o Ministerio de Economía y Hacienda (MEH):
07/12/2007
Modelo mixto distribuido de PKI y perfiles de certificados de empleado
público:
• En relación con el modelo de PKI y competencias de los distintos
Ministerios, puesto que se va a abordar el desarrollo reglamentario
de la LAECSP, entre otros aspectos, los recogidos en el Título II,
Capítulo II sobre identificación y autenticación, el MEH considera que
Pág. 24/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
•
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
este modelo debería abordarse durante dicho desarrollo
reglamentario, en el que el MEH está interesado en participar.
Por motivos de eficiencia, en la PKI creada para emitir certificados de
empleados públicos por FNMT-RCM, se utilizará un solo certificado
con la triple función de autenticación, firma y cifrado.
Servicios de validación:
•
Se propone que se considere como necesaria la existencia de una
segunda plataforma de validación de la FNMT-RCM, coordinada con
@firma, que permita asegurar en todo momento la disponibilidad del
servicio de validación.
A continuación se representan las conclusiones finales, que están desarrolladas en el
anteriormente citado documento de síntesis de modelos10
10
Identidad y firma-e en las AAPP. Síntesis y modelos.pdf
07/12/2007
Pág. 25/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
Condiciones genéricas de decisión para cualquier certificado:
07/12/2007
Pág. 26/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
Certificado de Sede Electrónica:
07/12/2007
Pág. 27/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
Certificado de Sello:
07/12/2007
Pág. 28/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
Certificado de Empleado Público:
07/12/2007
Pág. 29/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
7 Esquema de identificación y firma electrónica de la Administración
Con el objeto de determinar una estrategia concreta para el desarrollo y despliegue de la
Identificación y autenticación conforme a las bases marcadas por la LAECSP, se ha
propuesto la creación de un marco general de referencia en la Administración.
Dicho marco se denomina Esquema de identificación y firma electrónica. Sirve de base definir
y desarrollar los instrumentos y sistemas que dan soporte al desarrollo de la Ley. De esta
manera, se constituye como un elemento facilitador fundamental para que ciudadanos,
Administraciones y Prestadores de Servicio de Certificación puedan cumplir con las
obligaciones que marca la Ley en materia de identificación y autenticación.
El Esquema sirve de resorte al cumplimiento del desarrollo normativo que se haga de la
LAECSP y
facilitará la implantación de un escenario de interoperabilidad en la
Administración. Serviría, igualmente, de base para conformar el Esquema nacional de
Interoperabilidad y el de Seguridad, que habrá de aprobarse con el consenso de las
diferentes Administraciones Públicas nacionales.
REGULACIÓN
DE LA PKI
LAECSP
Reglamento
LAECSP
Esquema de
identificación y firma
electrónica de la
Administración
MODELO DE
GESTIÓN PKI
CONDICIONES
GENERALES
Ley de Firma
• POLÍTICAS DE CERTIFICACIÓN
• PERFILES DE CERTIFICADOS
• MODELO DE DECLARACIÓN DE PRÁCTICAS
DE CERTIFICACIÓN
• GUÍA PARA LA REDACCIÓN DE
PROCEDIMIENTOS OPERATIVOS
• CONDICIONES ADICIONALES CERTIFICADOS
Y PSCs DE LAECSP, ...
• POLÍTICA DE GESTIÓN DE LA LISTA DE
SERVICIOS DE CONFIANZA (TSLs)
• PERFIL DE LA LISTA DE SERVICIOS DE
CONFIANZA
• PROCEDIMIENTOS DE GESTIÓN, ADMISIÓN O
ACREDITACIÓN DE TSLs, ...
•
•
•
•
•
•
CONDICIONES ADICIONALES
POLÍTICA DE FIRMA ELECTRÓNICA
NIVELES DE ASEGURAMIENTO
PLANTILLAS DE INTEGRACIÓN
GESTIÓN DE LA REPRESENTACIÓN
...
Contiene las definiciones de los certificados y de los niveles de aseguramiento, así como la
presentación del sistema de emisión (bloque 1) y sistema de gestión de la confianza de los
certificados (bloque 2). Establece los aspectos básicos de interoperabilidad de certificados y
de representación basada en el uso de certificados (mediante registro de representación).
El Esquema, al igual que la propuesta de reglamento, se encuentran en estos momentos en
fase de elaboración.
07/12/2007
Pág. 30/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
A continuación se presentan los diferentes bloques que constituirán dicho Esquema:
7.1
Regulación de la PKI:
Dicho bloque se dedica a la regulación de la PKI de la APE, a los efectos de establecer todos
los requisitos necesarios para la implantación de la emisión de certificados por parte de los
prestadores, dentro del modelo mixto distribuido basado en listas de confianza.
Políticas de Certificación
-
El objeto de las políticas es el establecimiento de los requisitos que deben cumplirse
para la emisión y gestión de los certificados, de acuerdo con los diferentes estándares
aplicables; es decir, la política indica qué debe cumplirse.
Perfiles de Certificados
-
El objeto de los perfiles es describir el contenido obligatorio y opcional de los
diferentes tipos de certificados a emitir, de acuerdo con los diferentes estándares
aplicables.
Los perfiles, de este modo, actúan como modelos o moldes para la emisión de los
certificados, y explicitan la sintaxis y la semántica exactas de las informaciones
contenidas en los certificados.
Modelo de Declaración de Prácticas de Certificación
-
El objeto de la Declaración de Prácticas de Certificación es declarar cómo se cumplen
los requisitos establecidos por la política de certificación, así como servir de
documento de seguridad de acuerdo con la normativa de protección de datos
personales.
Se trata de un documento obligatorio para la emisión de certificados que deban
cumplir con los requisitos de la legislación de firma electrónica, en especial los
certificados de personal al servicio de la Administración.
Guía para la redacción de Procedimientos Operativos
-
Cada prestador de servicios de certificación debe implantar una serie de
procedimientos operativos mínimos, referidos al ciclo de vida de los certificados
digitales y, en su caso, de los dispositivos seguros.
07/12/2007
Pág. 31/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
Dentro del modelo de DPC se creará una guía en forma de procedimiento para
informar sobre la redacción de dichos documentos a los prestadores de servicios de
certificación.
La guía incluirá pautas para la redacción, por parte de los prestadores, de todos los
procedimientos, con base en la política de certificación y los estándares y normas
nacionales e internacionales aplicables.
7.2
Modelo de Gestión de la PKI:
El bloque de Modelo de Gestión se dedica a la implantación del modelo de gestión de la
confianza de la PKI de la APE, estableciendo todos los procedimientos necesarios en
relación con la misma.
El modelo de gestión de la confianza de la PKI de la APE se basa en la emisión de listas de
servicios de confianza (TSL), en que se incluyen los prestadores de servicios de certificación
que se consideran fiables para cada nivel de aseguramiento concreto (ver bloque 3).
La inclusión en una lista de servicios de confianza gestionadas por MAP/MITyC materializa la
admisión del certificado del prestador, dentro del ámbito de uso de la lista en cuestión,
pudiendo tratarse de la admisión del uso de un certificado LAECSP o de un certificado de la
LFE.
La existencia de este modelo de gestión de la confianza simplifica de forma muy importante
la gestión de las políticas de firma electrónica de las diferentes aplicaciones, en particular en
el sentido de que no precisan gestionar las entidades de certificación que, en general, se
consideran aceptables para determinados usos (definidos por la lista), sino centrarse sólo en
requisitos particulares, referidos a la firma (y no al certificado).
Política de Gestión de la Lista de Servicios de Confianza (TSL)
-
Describe todos los requisitos que regulan el sistema de listas de confianza, de forma
análoga a como una política de certificación regula cómo se emiten y gestionan
certificados. Incluye requisitos de tipo técnico, criptográfico, legal, operacional y de
auditoria.
Perfil de la Lista de Servicios de Confianza
-
El documento describe el modelo para la emisión de la lista, con descripción sintáctica
y semántica de los campos. Se podrán utilizar ASN.1 o XML para realizar la
implementación.
Procedimientos de gestión de la TSL, procedimientos de admisión, acreditación
07/12/2007
Pág. 32/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
-
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
Se prepararán los procedimientos de gestión necesarios para la lista, incluyendo los
siguientes:
o
o
o
o
o
o
o
7.3
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
Solicitud de inclusión en la lista.
Firma de listas.
Emisión de listas.
Publicación de listas.
Modificación de listas.
Retirada de listas.
Archivo histórico de listas
Condiciones Generales
Este bloque se orienta a la regulación de las condiciones generales y de las normativas de
uso de los certificados por la APE. Se refiere, por tanto, al marco general de admisión de
certificados (emitidos por la APE y por otros prestadores), tanto para los certificados de la
LAECSP como para los certificados de la LFE.
Este bloque puede verse como un bloque jerárquicamente superior a los bloques anteriores,
en el sentido de que establece el marco global de actuación en materia de identificación y
acreditación electrónica de la voluntad (tanto por las Administraciones como por los
ciudadanos).
Condiciones Adicionales
-
Presenta los aspectos referidos a las condiciones generales adicionales a exigir a
prestadores de servicios (privados o públicos) que expiden certificados a ciudadanos y
entidades privadas, así como a las AAPP, para su admisión y uso en el procedimiento
administrativo por parte de la APE.
-
Las condiciones generales adicionales de prestadores para certificados privados
incluyen:
o
o
o
o
o
o
Condiciones organizativas.
Condiciones de servicio.
Condiciones de seguridad.
Condiciones semánticas.
Condiciones de interconexión.
Condiciones de longevidad de firma electrónica.
Política General de firma electrónica basada en certificados
-
Incluye las propuestas de la Ponencia II, en términos de condiciones técnicas para la
gestión y de certificados y su interoperabilidad.
07/12/2007
Pág. 33/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
Procedimiento de admisión, acreditación y auditoria de prestadores de servicios de
certificación en el entorno de la APE.
-
El modelo considera la auditoria periódica de todos los prestadores de servicios de
certificación incluidos en las listas de servicios de confianza, tanto en los casos de
emisión de certificados como en casos de admisión de certificados.
Todos los documentos técnicos elaborados, tienen como finalidad dar apoyo al Documento
Legal, Reglamento, que está en fase de elaboración
8 Guión de Reglamento de LAECSP
Se ha confeccionado un guión preliminar que sirve de base para el desarrollo normativo de la
LAECSP.
Dicho guión de reglamento se estructura de la siguiente forma:
o Título 1. Disposiciones Generales
Se describen el objeto de este documento, el ámbito de aplicación, el
esquema de identificación y firma electrónica de la Administración, las
condiciones adicionales generales y un análisis de riesgo.
o Título 2. Formas de identificación y autenticación de la actuación de los ciudadanos
Se describen las condiciones necesarias para la identificación y la
autenticación.
o Título 3. Formas de identificación y autenticación de las administraciones públicas
en el ejercicio de sus competencias
Se describen los siguientes capítulos en este título:
• Disposiciones generales
• Identificación de las Sedes Electrónicas
• Sistemas de firma electrónica para la actuación administrativa
automatizaba.
• Firma electrónica del personal al servicio de las Administraciones
Públicas.
o Título 4. Prestadores de servicios de certificación
07/12/2007
Se describen los siguientes capítulos en este título:
Pág. 34/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
•
•
•
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
Condiciones generales adicionales de prestadores de servicios de
certificación.
Admisión previa de sistemas de firma electrónica basados en
certificados.
Supervisión y Control.
o Título 5. Interoperabilidad y otros servicios de certificación de las administraciones
públicas
Se describen los siguientes capítulos en este título:
• Intercambio electrónico de datos en entornos cerrados de
comunicación en la Administración Pública Estatal.
• Interoperabilidad y reconocimiento de certificados por las
Administraciones Públicas.
• Otros servicios de certificación de las Administraciones Públicos.
• Políticas de firma electrónica en la Administración Pública Estatal.
o Titulo 6. Acreditación y representación de los ciudadanos
Se describen los siguientes capítulos en este título
• Acreditación de la actuación de los ciudadanos por funcionario
público.
• Actuación en representación de los ciudadanos
• Registro electrónico de representantes
o Disposiciones Adicionales, Transitorias y Finales.
En estos momentos se está trabajando en próximos borradores que serán distribuidos a
diferentes organismos y Departamentos Ministeriales para sus comentarios y recogida de
propuestas.
9 Grupo de Trabajo Permanente – GTP (MAP y MITyC):
Se constituye el Grupo de Trabajo Permanente formado por miembros del MAP y del MITyC
con el objeto de desarrollar las siguientes encomiendas:
-
Establecer condiciones adicionales a cumplir por los certificados de la LFE y de la
LAECSP en la APE, así como establecer un marco homogéneo de condiciones para
todos ellos, incluyendo prestadores de sellado de tiempo.
-
Formateo de políticas de firma electrónica, constando esta parte de ficheros admitidos,
mantenimiento, actualización y publicación.
07/12/2007
Pág. 35/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
-
Establecimiento de políticas de administración, publicación, etc. de prestadores y
certificados admitidos en el ámbito de la APE conforme a los criterios de admisión.
-
Criterios para normalizar la aplicación visor de verificación de firma electrónica de la
administración para ciudadanos.
-
Desarrollo de documentos de detalle como reglamentos, guías, políticas, etc. que sean
necesarias para la aplicación de marco de firma electrónica en la APE, y conforme a
las indicaciones o solicitudes formuladas en el seno de la Comisión Permanente de la
CSAE.
-
Actualización de formatos de firma admitidos.
Dicho Grupo ya ha mantenido cuatro reuniones hasta la fecha de realización de este
documento de Conclusiones y se han ido concretando propuestas de condiciones adicionales
a cumplir por los certificados de la LFE y de la LAECSP en la APE.
07/12/2007
Pág. 36/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
10 Anexo 1: Cuestionario de petición de información que se les remitió a
los Prestadores
Objetivo: Recopilación de la información sobre los servicios de certificación relacionados con
la nueva LAECSP.
Código de colores:
Verde: información encontrada, luego no requerimos mayor profundidad
Azul: información que requiere mayor detalle del encontrado en la DCP
Rojo: información no encontrada
1) Certificados emitidos en la actualidad o futuro próximo que se ajusten a las siguientes
categorías: (ver anexo para descripciones)
a. Certificado de sede electrónica.
b. Certificado de actuación automatizada (sello de administración, órgano o
entidad)
c. Certificado de empleado público.
d. Certificado de empleado público "representante".
2) Perfiles técnicos de los diferentes certificados emitidos.
3) Soportes empleados en los certificados.
a. Tipos de Soporte Software
b. Tipos de Soporte Hardware (tipos de tarjetas, chips, llaves USB…)
4) Organización de la PKI
a. Arquitectura lógica y física. Describir los siguientes elementos:
i. Prestadores de servicios de certificación
ii. Entidad de Certificación Raíz
iii. Entidades de Certificación Vinculadas
iv. Entidades de Registro
v. Usuarios finales
vi. Solicitantes de certificados
vii. Suscriptores de certificados
viii. Poseedores de claves
ix. Verificadores de certificados
5) Ciclo de Vida de los certificados
07/12/2007
Pág. 37/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
Identidad y firma electrónica de las AAPP
Conclusiones Ponencia I:
certificados electrónicos
CONSEJO SUPERIOR DE
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE IDENTIFICACIÓN Y
AUTENTICACIÓN
a. Servicios de información de estado
i. CRLs: Descripción incluyendo intervalos de actualización, actualización
parcial o total…
ii. OCSP: Descripción
iii. WebServices: Descripción
6) Servicios de validación
a. Validación de Certificados
i. CRLs de varios prestadores (trusted responders)
ii. Validaciones semánticas
b. Validación de Firma
7) Servicios de Sellado de Fecha y Hora
Descripción de este servicio.
8) Modelo de negocio:
a. Especificar las tarifas de todos los servicios
b. Criterio para estipular (Negociación de tarifas, descuentos por volumen…),
modificar y reajustar las tarifas
c. Negociación de tarifas, descuentos por volumen…
9) Posibles convenios con otras entidades
07/12/2007
Pág. 38/38
Identificación y firma-e. Conclusiones Ponencia I v4.doc
COMISIÓN PERMANENTE DEL
CONSEJO SUPERIOR DE LA
ADMINISTRACIÓN ELECTRÓNICA
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
ANEXO III. Conclusiones de la ponencia sobre política de firma electrónica.
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
Conclusiones de la ponencia sobre política de firma electrónica
Noviembre 2007
Se han celebrado tres reuniones de trabajo, los días 3 y 23 de julio, a las 16 h., y 26 de septiembre de 2007, a las 16:30 h., en la sala “grande” de la planta 9ª del edificio del Ministerio
de Administraciones Públicas, en c/ María de Molina, 50, de acuerdo con el orden del día de
la respectiva convocatoria, previamente distribuidas por correo electrónico a los miembros
de la ponencia.
Han asistido a esta reunión las personas que figuran en el anexo I, actuando como coordinadores de la ponencia, José María Sobrino y Antonio Carrasco, de la Intervención General
de la Administración del Estado (IGAE) del Ministerio de Economía y Hacienda.
Para el desarrollo de las reuniones se ha distribuido la documentación que figura en el
anexo II, aportada por miembros de la misma.
1. Bases de partida.
La ponencia considera como bases de partida para el establecimiento de la política de firma
electrónica los acuerdos que sobre este punto fueron adoptados por el grupo de trabajo de
firma electrónica en el año 2006. Fundamentalmente los siguientes:
1.1. Servicio de verificación del estado de revocación de los certificados.
•
Acceso on-line basado en el estándar OCSP (RFC 2560 o posterior) del IETF.
•
Accesible a través de dos redes alternativas.
1.2. Formatos admitidos de firma.
El formato de los documentos electrónicos con firma electrónica avanzada, aplicada mediante los certificados electrónicos admitidos en la Administración pública estatal (APE),
utilizados en el ámbito de las relaciones con o dentro de la APE, se deberá ajustar a las
especificaciones de los estándares europeos relativos a los formatos de firma electrónica.
En el Portal del Ciudadano y en el del Consejo Superior de la Administración Electrónica
se publicará la relación actualizada de las especificaciones relativas a los formatos admitidos.
Actualmente se consideran formatos admitidos: el formato XAdES -XML Advanced Electronic Signatures-, según especificación ETSI TS 101 903; y el formato CAdES -CMS
1/24
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
Advanced Electronic Signatures-, según especificación ETSI TS 101 733). Dentro de las
distintas clases de los formatos XAdES y CAdES, los órganos y unidades administrativas
afectados de la APE deberán adecuar sus sistemas para la generación de, al menos, la
clase básica (BES) de estos formatos de firma electrónica, y la verificación de las especificaciones de la clase básica de dichos formatos.
Se propone un periodo transitorio de 3 años para la adecuación de los actuales sistemas
para la generación y verificación de los formatos de firma electrónica admitidos en el ámbito de las relaciones con o dentro de la APE.
La actualización de la mencionada relación de formatos admitidos corresponderá a la
comisión permanente del CSAE, a propuesta de un grupo de trabajo permanente MAPMITC, a partir de las iniciativas y aportaciones de los miembros de dicha comisión permanente.
1.3. Sellado de tiempo de los documentos electrónicos.
El establecimiento y actualización de la relación de prestadores de servicios de sellado
de tiempo en el ámbito de las relaciones con o dentro de la APE, corresponderá a un
grupo de trabajo permanente MAP-MITC.
La relación inicial, y sus actualizaciones posteriores, se publicarán en el Portal del Ciudadano y en el del Consejo Superior de la Administración Electrónica (CSAE) y en el
servicio de publicación de prestadores de servicios de certificación de firma electrónica
del MITYC.
2. Acuerdos adoptados.
2.1. Alcance de la política de firma.
•
La ponencia propone una Política marco de firma electrónica global para toda la Administración pública estatal que convivirá junto con otras particulares, más detalladas, pero siempre basadas en la política marco.
Esta política marco representa el conjunto de criterios comunes asumidos por todas
las políticas de firma electrónica en relación con la documentación electrónica que
afecte a las relaciones de la Administración pública estatal con los ciudadanos y con
otras Administraciones públicas, y entre los distintos órganos y entidades de la Administración pública estatal.
2.2. Estructura del documento electrónico.
2/24
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
•
Formatos de los ficheros admitidos por la política de firma.
La ponencia acuerda un marco de condiciones generales, que incluye unas consideraciones generales y una relación de formatos de fichero de referencia que deberían
ser admitidos por todas las plataformas de relación electrónica de la Administración
pública estatal con los ciudadanos y con las Administraciones públicas, que se detalla en anexo III a este documento. No obstante lo anterior, estas plataformas podrán
admitir otros formatos, de acuerdo con las necesidades específicas que en cada caso se planteen.
La propuesta de actualización de este marco de condiciones generales en materia de
formatos de fichero correspondería, como el resto de la política de firma, al grupo de
trabajo permanente que se constituya entre los Ministerios de Administraciones Públicas y de Industria, Turismo y Comercio, al que habrá que referirse cuando se trate
sobre el punto relativo a la gestión de las políticas de firma.
•
Estructura del documento electrónico.
La ponencia acuerda la conveniencia de establecer una estructura normalizada del
documento electrónico en relación con la firma electrónica para facilitar la interoperabilidad de estos documentos.
Se analizan, de acuerdo con el documento aportado para el debate (anexo V), las
distintas alternativas que contempla el estándar XMLDSIG: detached signature; enveloped signature; y enveloping signature.
Finalmente se acuerda la utilización para la generación de firmas XAdES de un único
fichero que contenga el documento original codificado en base64 (cuando el formato
del documento original fuera XML no sería precisa su codificación en base 64) y las
firmas, en el que lo firmado y la firma se encuentran al mismo nivel XML (se exceptúa
la factura electrónica). El fichero tendría una estructura del tipo:
<documento>
<documentoOriginal Id="original" encoding="base64" nombreFichero="nombFichOriginal">
…
</documentoOriginal>
<ds:Signature>
<ds:SignedInfo>
…
<ds:Reference URI=”#original”>
</ds:Reference>
…
</ds:SignedInfo>
…
</ds:Signature>
</documento>
3/24
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
Las siguientes firmas, ya sean serie o paralelo, se añadirán según indica el estándar
XAdES, teniendo en cuenta que dependiendo de la versión de XAdES implementada
las posibilidades serán distintas.
En el caso de la factura electrónica se acuerda asumir el modo enveloped signature,
actualmente implementado.
Respecto a la especificación CAdES, dado que se ha optado por mantener el documento original y la firma en un mismo fichero, se acuerda adoptar el tipo Signed Data
con los datos incluidos (attached) que están completamente especificados en los estándares de CMS (RFC 3852) y CADES (ETSI TS 101 733)..
•
Extensión normalizada para los documentos firmados.
Se plantea la posibilidad de que el fichero resultante tenga una extensión única
“.xsig” de forma que los visores de documentos firmados puedan asociarse a esa extensión, haciendo más fácil al usuario el manejo de este tipo de ficheros.
Tras el debate correspondiente, se recomienda (de modo opcional) la adopción de la
extensión “xsig” para los documentos firmados.
•
Firmas múltiples: en paralelo o en serie.
Aunque se plantea la posibilidad de simplificar el modelo técnico de firma múltiple,
restringiéndolo a firmas en serie, tras el debate correspondiente se descarta esta posibilidad.
2.3. Reglas de creación y validación de firma.
•
Referencia a la política de firma.
El documento electrónico debe incorporar la referencia (URL) a la política de firma
particular aplicada.
La política de firma electrónica particular de cada ministerio, órgano, organismo o entidad pública estatal hará referencia a la URL de la política marco de firma electrónica en la que se inscribe, con indicación expresa de la versión.
•
Algoritmos utilizados y longitudes mínimas de las claves.
Para los entornos de seguridad genérica, la ponencia acuerda adoptar una posición
que represente un adecuado equilibrio entre rendimiento y seguridad, optando por
tomar la referencia a la URN en la que se publican las funciones de hash y los algoritmos de firma utilizados por las especificaciones XAdES y CAdES, como formatos
de firma adoptados, de acuerdo con las especificaciones técnicas ETSI TS 102 176-1
sobre “Electronic Signatures and Infraestructures (ESI); Algorithms and parameters
for secure electronic signature”. Todo ello sin perjuicio de los criterios que al respecto
pudieran adoptarse en el marco nacional de seguridad.
4/24
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
Para los entornos de alta seguridad, de acuerdo con el criterio del CCN, serían de
aplicación las recomendaciones revisadas de la CCN-STIC 405.
•
Métodos de obtención de información de revocación: consultas online OCSP y consultas a CRLs.
La política de firma debe contemplar el acceso mediante consultas online OCSP y,
además, algún medio complementario como consultas a la lista de certificados revocados (CRLs). En el primer caso, el documento electrónico debe guardar información
sobre el token OCSP y, en el segundo, la referencia o los datos completos de la
CRL, según la naturaleza y perdurabilidad del documento electrónico.
Asimismo se acuerda requerir a las autoridades de certificación admitidas que proporcionen acceso online a los contenidos de las referencias históricas de las CRLs.
•
Inclusión del formato del documento original de forma que el receptor sepa cómo debe visualizar el documento (en XAdES – elemento DataObjectFormat).
La ponencia acuerda la inclusión del formato del documento original entre las etiquetas de carácter obligatorio.
•
Inclusión del rol de la persona en la firma electrónica (en XAdES – elemento SignerRole).
La ponencia acuerda tratar esta etiqueta como opcional en la política marco, sin perjuicio de su consideración obligatoria en políticas particulares.
•
Inclusión en la firma de la acción del firmante sobre el documento firmado: lo aprueba, lo informa, lo recibe, lo certifica, etc. (en XAdES – elemento CommitmentTypeIndication).
La ponencia acuerda tratar esta etiqueta como opcional en la política marco, sin perjuicio de su consideración obligatoria en políticas particulares.
•
Inclusión en la firma del lugar geográfico donde se ha realizado la firma del documento (XAdES – elemento SignatureProductionPlace).
La ponencia acuerda tratar esta etiqueta como opcional en la política marco, sin perjuicio de su consideración obligatoria en políticas particulares.
•
Elementos en formato CAdES para identificar el formato del documento original; el
rol del firmante; la acción del firmante; y el lugar geográfico donde se realiza la firma.
La identificación de los campos del formato de firma electrónica CAdES a los que
cabe referir las decisiones sobre identificación del formato del documento original; el
rol del firmante; la acción del firmante; y el lugar geográfico donde se realiza la firma
se presentan en el anexo IV.
•
Sello de tiempo en el momento de la firma.
5/24
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
Se acuerda la inclusión obligatoria de la referencia temporal a través de la etiqueta
Signingtime (en XAdES). Sin embargo será opcional el recurso al sellado de tiempo.
En cuanto a posibles restricciones a la generación en cliente de las referencias temporales y sobre la sincronización del reloj se deja a criterio de las políticas particulares de firma.
•
Política de requerimientos de las autoridades de sellado de tiempo.
Del mismo modo que se establecen condiciones adicionales para los prestadores de
servicios de certificación se deben plantear para los prestadores de servicios de sellado de tiempo.
En este sentido se acuerda que, en el caso de recurrir a servicios de sellado de tiempo, las autoridades de sellado de tiempo cumplan con la norma ETSI TS 102 023
(“Policy requirements for time-stamping authorities”). Al respecto se considera que
debería haber un organismo (público o privado) que certificara el cumplimiento de las
condiciones adicionales que se establezcan para las autoridades de sellado de tiempo y, concretamente, de la especificación ETSI TS 102 023.
•
Periodos de gracia o de cautela. Tiempo que necesita la autoridad de certificación
desde la revocación del certificado hasta su publicación. ¿Se debe exigir un tiempo
máximo a las CA? ¿Se debe esperar este tiempo para validar los documentos al recibirlos?
Tras el debate pertinente se acuerda requerir la actualización instantánea por la autoridad de certificación de la revocación del certificado, desde su notificación, así como
un máximo de 12 h. para el refresco completo de las CRLs. No obstante, se considera que estos requerimientos corresponden a las condiciones adicionales tratadas en
la ponencia I sobre certificados electrónicos.
2.4. Archivado y custodia.
•
Información a almacenar con el documento electrónico.
La información a almacenar con el documento electrónico estará de acuerdo con lo
señalado en el punto relativo a los métodos de obtención de información de revocación y con la estructura que se adopte para el documento, puntos anteriormente considerados.
•
Archivado y custodia.
La ponencia considera que la política de archivado y custodia será objeto de tratamiento en el grupo de trabajo constituido sobre expedientes y archivo. No obstante,
se plantean las siguientes consideraciones:
−
Las plataformas de firma electrónica adoptadas en el ámbito de la Administración pública estatal deberían disponer de mecanismos de resellado.
6/24
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
−
Se acuerda trasladar a la ponencia sobre certificados electrónicos, como
condición adicional, requerir a las autoridades de certificación admitidas
que proporcionen acceso online a los contenidos de las referencias históricas de las CRLs.
−
Como referencia de buenas prácticas se recomienda tener en cuenta el
apartado 2 (Conservación en el tiempo de documentos firmados electrónicamente) del documento de propuestas para análisis (anexo V).
2.5. Certificados electrónicos.
La propuesta sobre los tipos de certificados admitidos por la política de firma corresponde a la ponencia sobre certificados electrónicos.
2.6. Gestión de las políticas de firma.
•
Administración del repositorio de políticas vigentes con su historial de versiones.
Se acuerda mantener un repositorio con el historial de las versiones vigentes de la
política marco de firma electrónica para la Administración pública estatal.
Asimismo se acuerda que el mantenimiento, actualización y publicación electrónica
de la política de firma electrónica, entendiendo como tal los aspectos considerados
en esta ponencia, corresponda a la comisión permanente del CSAE, a propuesta de
un grupo de trabajo permanente MAP-MITyC, a partir de las iniciativas y aportaciones de los miembros de dicha comisión permanente.
En el Portal del Ciudadano, en el del Consejo Superior de la Administración Electrónica y en el del Ministerio de Industria, Turismo y Comercio se mantendrá la versión
actualizada de las versiones vigentes de la política marco de firma electrónica.
2.7. Homogeneización de la firma electrónica en la AGE para el ciudadano.
•
Propuesta de normalización de la representación de la firma electrónica, en pantalla
y en papel, para el ciudadano y en las relaciones entre los órganos de la AGE.
Se analiza la propuesta presentada en el punto 3 (Representación normalizada de la
firma electrónica) del documento de propuestas para análisis (anexo V) y se acuerda
adoptar un conjunto mínimo de datos para la representación de la firma electrónica
en papel y en pantalla en el ámbito de la Administración pública estatal, sin perjuicio
de la utilización de datos adicionales en cada ámbito.
Para la representación de la firma electrónica en papel se recomienda la siguiente
estructura para representación de la firma electrónica:
7/24
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
Documento firmado electrónicamente por:
Nombre del titular del certificado– Certificado por: PSC
Información adicional
Fecha: dd/mm/aaaa
Código de localización / verificación: xxxxxxxxxxxxxxxxxxx
URL de localización: http://xxxxxxxxxxxxxxxxxxxx
Para la representación de la firma electrónica en pantalla se recomienda la siguiente
estructura para representación de la firma electrónica:
Se permitirá “pulsar” sobre el icono del certificado para obtener información adicional
del certificado utilizado para la firma electrónica.
•
Visor de firma electrónica para el ciudadano.
En el Portal del Ciudadano y en el del Ministerio de Industria, Turismo y Comercio se
ofrecerá a los ciudadanos y a las distintas entidades públicas uno o varios portafirmas electrónicos con los formatos de firma admitidos en la Administración pública estatal.
Estos portafirmas adoptarán la representación visual normalizada de la firma electrónica adoptada en el punto anterior.
8/24
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
El grupo de trabajo permanente MAP-MITC decidirá sobre el portafirmas o portafirmas electrónicos a ofrecer entre las iniciativas y aportaciones recibidas, especialmente del MAP y del MITyC.
9/24
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
Anexo I. Relación de asistentes a la reunión
Persona
Ministerio/Organismo
3-07
Álvaro de la Escalera
X
José Manuel Ruiz Ramos
X
23-07
26-09
Marino Tapiador
CCN
X
Francisco Pérez Fernández
GISS
Manuel Caballero de la Torre
MAEC
X
Alfonso Berral
MAP
X
Miguel Álvarez
MAP
X
X
X
Ricardo Cantabrana
MAP
X
X
X
Fernando Aritmendi Lumbrera
MAPA
Alfonso Dávila
MCU
X
Marta Santiago Freijanes
MCU
X
Mª Elena Cortés Ruíz
MCU Archivo General
de la Administración
José Antonio García García
MEC
Eloy Ruiz Madueño
MEH (AEAT)
José A. Campillo González
MEH (AEAT)
Luís Izarzugaza
MEH (AEAT)
Ángeles Gónzalez Rufo
MEH (DGPE)
Diego Hernández
MEH (FNMT)
Javier Montes Antona
MEH (FNMT)
Antonio Carrasco
MEH (IGAE)
X
X
X
José María Sobrino
MEH (IGAE)
X
X
X
Joaquín Agurruza
MEH (INE)
X
Santiago Suarez
MI
X
Juan Crespo Sánchez
MIN
X
Fernando Fazio Fernández de Miranda
MITyC
X
X
X
Mª Jesús García Martín
MITyC
X
X
X
Ángeles Turón Turón
MJU
Esther Alonso Latorre
MJU
X
Jesús López Mora
MJU
X
Raquel Poncela Gónzalez
MJU
X
Antonio Sanz Pulido
MMA
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
10/24
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
Persona
Ministerio/Organismo
3-07
23-07
26-09
Romualdo Erdozain
MPR
X
X
María José Lucas
MTAS
X
X
X
Miguel Gendive Rivas
MTAS
X
X
X
Francisco Pérez Fernández
MTAS (S. Social)
X
X
11/24
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
Anexo II. Documentación utilizada
•
Proyecto de Reglamento de expedición de certificados y copias en los archivos estatales (aportado por Alfonso Dávila).
•
Informe técnico ETSI sobre “Best practices for handling electronic signatures and signed data for digital accounting” (aportado por la representación del MAP).
•
Especificación técnica ETSI sobre “Profiles of XML Advanced Electronic Signatures
based on TS 101 903 (XAdES) (aportado por la representación del MAP)..
•
Especificación técnica ETSI sobre “Profiles of CMS Advanced Electronic Signatures
based on TS 101 733 (CAdES) (aportado por la representación del MAP). .
•
Especificación técnica ETSI sobre “Electronic Signatures and Infraestructures (ESI);
Policy requirements for trust service providers signing and/or storing data for digital
accounting (aportado por la representación del MAP).
•
Especificaciones de firma electrónica e-factura v 2.0 (aportado por la representación
de la AEAT).
•
CEN Workshop Agreement de junio de 2007 sobre “E-invoices and digital signatures”
(aportado por la representación de la AEAT)..
•
Technical Specification ETSI TS 102 176-1 v1.2.1 (2005-07) (aportado por Miguel
Gendive)
•
Technical Specification ETSI TS 102 176-1 v2.0.0 (2007-03) (aportado por Miguel
Gendive)
•
Report of the eDoc Workshop of the 18 April 2007 in Brussels (aportado por la representación del MAP).
•
Documento del CCN sobre algoritmos y parámetros para firma electrónica segura
(aportado por la representación del MAP).
•
Correo de Juan Crespo de 11 de julio relativo a las recomendaciones del CCN sobre
algoritmos.
•
Documento del Grupo de trabajo de impulso de la Administración Electrónica en el
Ministerio de Economía y Hacienda sobre formato de los documentos admitidos.
•
SHA-1 Rapporteur Report del ISO/IEC (aportado por Juan Crespo).
•
Preliminary study on mutual recogninition of esignatures for eGovernment Applications del European eGovernment Services (IDABC) (aportado por Mª Ángeles González y Miguel Álvarez).
12/24
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
•
Ejemplos de documentos firmados (dos firmas) generados con el visor del MITYC
(aportado por Mª Jesús García Martín).
•
NATO PKI Services for the mid-to-long term. Report to NATO National Industries
(aportado por Marino Tapiador).
•
Informe del Centro Criptológico Nacional sobre algoritmos y parámetros criptológicos
de firma electrónica para la Administración (aportado por Marino Tapiador).
•
Public Key Algorithm Modernization Plan. Cryptographic documentation ad-hoc working group (aportado por Marino Tapiador).
13/24
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
Anexo III. Marco de condiciones generales sobre los formatos de fichero
Este marco de condiciones generales sobre los formatos de fichero de referencia a admitir por las plataformas de relación electrónica de la Administración pública estatal con los
ciudadanos y con las Administraciones públicas pretende establecer unas consideraciones generales así como la relación de formatos de fichero que deberían ser admitidos
por todas las plataformas para facilitar su interoperabilidad, sin perjuicio de que cada plataforma pueda admitir otros formatos de acuerdo con las necesidades específicas que
en cada caso se planteen.
Consideraciones generales:
•
Los formatos de los documentos electrónicos admitidos no deberían obligar a disponer de licencias para visualizarlos e imprimirlos en diferentes sistemas operativos. Se
deberían evitar en la medida de lo posible los formatos propietarios porque no es posible asegurar la supervivencia de la empresa. En este sentido, la adhesión a los estándares internacionales es un requisito para la disponibilidad a largo plazo de un
documento electrónico.
•
Sería deseable disponer de la posibilidad de comprobar automáticamente el formato
y su versión antes de admitirlo en el sistema, es decir, sólo se deberían admitir ficheros cuyo formato pudiera ser comprobado por una máquina antes de su aceptación
por el Registro electrónico.
•
Sólo se deberían admitir formatos estables que gozaran de la aceptación general y
tuvieran una expectativa de vida larga. La evolución de los formatos debería mantener compatibilidad con los formatos anteriores.
•
Habría que evitar documentos que tuvieran enlaces a otros documentos externos ya
que debieran ser autocontenidos. Se considerará como una excepción el caso de los
esquemas de validación asociados a formatos XML.
•
Debido al riesgo de introducción de código malicioso, no se admitirán archivos cifrados ni aquellos que contengan código ejecutable (p. ej. macros). La documentación
que se presente debería estar libre de virus informáticos.
•
La relación de formatos no debería considerarse excluyente: cada ministerio, organismo o centro directivo podrá aceptar formatos adicionales en función de las características especiales o de la naturaleza de sus procedimientos telemáticos.
•
Se podrá aceptar la entrada de ficheros comprimidos en el formato indicado por cada
ministerio, organismo o centro directivo siempre que su contenido se ajuste a la relación de formatos de referencia.
14/24
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
Formatos de fichero de referencia
Teniendo en cuenta estas consideraciones generales, los formatos de fichero de referencia para las plataformas de relación electrónica son los que se indican a continuación:
Ficheros de texto
•
TXT, texto plano donde la codificación del juego de caracteres deberá ser ISO8859-1, ISO-8859-15, UTF-8 o Unicode (ISO 10646).
•
XML (Extensible Markup Language) y demás formatos relacionados (XHTML, XSL,
etc.). Es recomendable fomentar el uso de XML, como formato preferente, según las
recomendaciones aplicables aprobadas por la World Wide Web Consortium (W3C).
Sólo se admitirá el XML que se ajuste a estándares internacionales permitidos (SVG
-Scalable Vector Graphics- , XHTML) y/o cuyo esquema para validación esté disponible en el organismo. También en este caso la codificación del juego de caracteres
deberá ser ISO-8859-1, ISO-8859-15, UTF-8 o Unicode (ISO 10646).
•
Conjunto de formatos OpenDocument conforme a la especificación abierta ODF que
utiliza la suite ofimática OpenOffice en XML.
Ficheros binarios (gráficos, imágenes, sonidos, videos, multimedia, ...)
•
TIFF, ISO 12234 (Tagged Image File Format).
•
JPG, ISO 10918 (Joint Photographic Experts Group).
•
PNG, ISO 15948 (Portable Network Graphics).
•
PDF (Portable Document Format) en su variante PDF/A (ISO 19005).
15/24
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
Anexo IV. Elementos en formato CAdES para identificar el formato del documento original; el rol del firmante; la acción del firmante; y el lugar geográfico donde se realiza
la firma
Elementos en formato CAdES (ETSI TS 101 733 V1.6.3 (2005-09)) para identificar:
•
Formato del documento original: 5.10.3 Content hints attribute.
•
Acción del firmante: 5.11.1 Commitment type indication attribute.
•
Lugar geográfico donde se realiza la firma: 5.11.2 Signer location attribute.
•
Rol del firmante: 5.11.3 Signer attributes attribute=.
16/24
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
Anexo V. Documento de propuestas para análisis presentado por los representantes de la IGAE
Introducción
En la reunión de 23 de julio de la ponencia sobre política de firma electrónica se acordó que
los representantes de la IGAE presentarían un documento con varias propuestas que servirían como base del debate para la siguiente reunión.
En primer lugar, este documento propone una estructura concreta de fichero XML que pueda ser normalizada como estructura de documento electrónico en relación con la firma electrónica. Esta estructura normalizada permitiría facilitar la interoperabilidad de los sistemas
de información que manejan estos documentos firmados electrónicamente.
En segundo lugar se explican los pasos que se están siguiendo en la IGAE, con el propósito
de dar validez en el tiempo a los ficheros con firmas electrónicas.
Por último, se propone una representación de la firma electrónica en pantalla y otra para el
papel con la intención de iniciar un debate que permita la normalización de estas representaciones en el ámbito de la AGE.
1. Propuesta de estructura de documento firmado
A la hora de realizar una firma electrónica, el estándar XAdES es muy abierto. Esta característica le da flexibilidad pero también puede provocar problemas a la hora de recuperar y
analizar la información del documento y sus firmas ya que el sistema de información receptor de un documento firmado puede no esperar la información como la ha preparado el sistema que generó las firmas. Esta incapacidad viene siempre derivada de que los sistemas
de información no implementan el 100% de las posibilidades ofrecidas por el estándar. El
estándar se basa en la firma XMLDSIG que define varios modos de almacenar el original
respecto a la firma:
17/24
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
Detached Signature
Es aquella firma que hace referencia a un elemento externo al XML, o cuando la posición del
elemento firmado y el nodo signature, no implica inclusión en ninguno de los dos sentidos.
Existen, por lo tanto, dos posibilidades:
Ejemplo1, donde se hace referencia a un elemento incluido en el XML, pero que no se encuentra englobado dentro del nodo de la signature, ni el nodo signature se encuentra incluido
dentro del nodo firmado:
<root>
<nodo1>
<!—Elemento firmado- ->
<nodo_firmado id=”nfdo”></nodo_firmado>
</nodo1>
<ds:signature>
<ds:SignedInfo>
<ds:Reference URI=”nfdo”></ds:Reference>
</ds:SignedInfo>
<ds:signature>
</root>
Como se ve, no existe inclusión mutua entre ambos nodos.
Ejemplo2, donde se hace referencia a un elemento ajeno al XML:
<root>
<nodo1>
<nodo2></nodo2>
</nodo1>
<ds:signature>
<ds:SignedInfo>
<ds:Reference URI=”http://www.xxxxxxx”></ds:Reference>
</ds:SignedInfo>
<ds:signature>
</root>
18/24
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
Enveloped Signature
El elemento signature se encuentra englobado dentro del elemento firmado. El caso más común es cuando el elemento a firmar es el nodo raíz del documento.
Veamos un ejemplo:
<!—Elemento firmado- ->
<root>
<nodo1>
<nodo2></nodo2>
</nodo1>
<ds:signature>
<ds:SignedInfo>
<ds:Reference URI=””></ds:Reference>
</ds:SignedInfo>
<ds:signature>
</root>
El atributo URI vacío indica que el elemento firmado es el nodo raíz completo.
Enveloping Signature
En este caso la signature es envolvente del elemento firmado. Un ejemplo podría ser:
<root>
<nodo1>
<nodo2></nodo2>
</nodo1>
<ds:signature>
<ds:SignedInfo>
<ds:Reference URI=”#DO”></ds:Reference>
</ds:SignedInfo>
<object>
<!—Elemento firmado- ->
<Data ID=”DO”></Data>
</object>
<ds:signature>
</root>
En la reunión anterior se acordó acotar la estructura de los documentos con firma electrónica de forma que todos los sistemas de la administración generen, si así se decide, los documentos firmados del mismo modo.
A estos efectos se propone la utilización para la generación de firmas XAdES de un único
fichero que contenga el documento original codificado en base64 y las firmas, en el que lo
firmado y la firma se encuentran al mismo nivel XML. El fichero tendría una estructura del
tipo:
19/24
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
<documento>
<documentoOriginal Id="original" encoding="base64" nombreFichero="nombFichOriginal">
…
</documentoOriginal>
<ds:Signature>
<ds:SignedInfo>
…
<ds:Reference URI=”#original”>
</ds:Reference>
…
</ds:SignedInfo>
…
</ds:Signature>
</documento>
Las siguientes firmas, ya sean serie o paralelo, se añadirán según indica el estándar
XAdES, teniendo en cuenta que dependiendo de la versión de XAdES implementada las
posibilidades serán distintas.
Además se propone que el fichero resultante tenga una extensión única “.xsig” de forma
que los visores de documentos firmados puedan asociarse a esa extensión, haciendo más
fácil al usuario el manejo de este tipo de ficheros.
20/24
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
2. Conservación en el tiempo de documentos firmados
electrónicamente
Para facilitar el intercambio de experiencias y el debate sobre esta cuestión en el seno de la
ponencia de firma electrónica se plantea en este apartado la experiencia de la IGAE en relación con las condiciones recomendables para obtener firmas electrónicas que tengan valor
en largos períodos de tiempo:
1. En primer lugar, debe verificarse la firma electrónica producida o verificada.
En el caso de la IGAE, se valida la integridad de la firma, el cumplimiento del estándar
XAdES y se validan las referencias.
2. Debe realizarse un proceso de completado de la firma electrónica, consistente en los siguientes pasos:
a. Deben obtenerse las referencias a los certificados, así como almacenar los certificados del firmante.
b. Deben obtenerse las referencias a las informaciones de estado de los certificados,
como las listas de revocación de certificados o las respuestas OCSP, así como almacenarlas.
c. El almacenamiento de los certificados y las informaciones de estado puede realizarse dentro de los certificados o en un depósito específico.
En el caso de la IGAE, se recuperan los OCSPREFs, CRLRef, CertsRefs igualmente, y se
incorpora a la firma, ampliando el formato de la firma a XAdES-C.
3. Al menos, deben sellarse las referencias a los certificados y a las informaciones de estado.
En el caso de la IGAE, se amplia el formato a XAdES-XL.
4. En caso de almacenar los certificados y las informaciones de estado dentro de la firma, se
recomienda sellar también estas informaciones. Si los certificados y las informaciones de
estado se almacenan en depósito específico, se recomienda sellarlos de forma independiente.
La plataforma de la IGAE genera XAdES-XL, es decir, sella todas las referencias y los timestamps.
5. Para proteger la firma electrónica de la obsolescencia de los algoritmos, pueden realizarse los siguientes procesos, de forma indistinta:
a. Debe añadirse un sello de fecha y hora de archivo con un algoritmo más resistente, de forma periódica, o
21/24
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
b. Debe almacenarse la firma electrónica en un depósito seguro, con garantía de la
fecha en que entró la firma electrónica y protección contra falsificaciones. En este
caso, las operaciones de fechado se realizarán con marcas de fecha y hora, sin que
resulte necesario el empleo de servicios de sellado criptográfico de fecha y hora.
Las operaciones anteriormente indicadas se realizarán de acuerdo con lo dispuesto en la
especificación técnica ETSI TS 101 733, para firmas de tipo CMS (CAdES), o en la especificación técnica ETSI TS 101 903, para firmas de tipo XML DSig (XAdES).
22/24
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
3. Representación normalizada de la firma electrónica
Pantalla
Se propone normalizar la presentación en pantalla de documentos firmados electrónicamente, por ejemplo, mostrar siempre el documento original a la derecha y sus firmas a la
izquierda. Mostrando al menos el nombre del firmante, la entidad que lo certifica, la información adicional que se haya incluido en el momento de la firma y la fecha de firma. Por ejemplo:
23/24
GRUPO DE TRABAJO SOBRE
SISTEMAS DE IDENTIFICACIÓN
Y AUTENTICACIÓN
Papel
Se propone normalizar la presentación en papel de documentos firmados electrónicamente
incluyendo la siguiente referencia a pie de página:
Documento firmado electrónicamente por:
Nombre – Certificado por: PSC
Información adicional
Fecha: dd/mm/aaaa
Código seguro de verificación: xxxxxxxxxxxxxxxxxxx
URL de verificación: http://xxxxxxxxxxxxxxxxxxxx
24/24