Download 13:25 Objetivo Cl@veFirma: Facilitando la vida al ciudadano

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
Document related concepts
no text concepts found
Transcript 
Una visión práctica desde el punto
de vista de proveedor de servicios
13/04/2016
Arquitectura de Cl@ve Firma
Componentes básicos
Plataforma @firma
Componente Distribuido
APLICACIÓN
DE FIRMA
Aplicación
Componente Central
de Integración
Cl@ve Firma
Creación y mejora de firmas AdES
2
Custodia y uso de claves
Arquitectura de Cl@ve Firma
Componentes básicos
▶ Módulo de custodia y uso de claves privadas y certificados.
– Servicio ofrecido por GISS / CNP al que se accede mediante un API simple.
– Funcionalidades básicas (crear y listar certificados y usar claves privadas).
▶ Módulo de integración de Cl@ve Firma.
– Componente “centralizado” (aplicación JEE).
•
•
•
Gestiona las interconexiones con el módulo de custodia y uso
de claves privadas y certificados.
Realiza firmas AdES-BES/EPES (XAdES, PAdES, CAdES).
Si se conecta con una Plataforma @firma, realiza firmas AdES
mejoradas.
– CAdES y XAdES T/X/XL/A y PAdES-LTV.
– Provee un interfaz de servicios Web tipo REST para su uso.
– Dispone de servicios de seguridad y registro de auditoría.
– Componente distribuido.
•
Consume los servicios del componente centralizado para su
uso directo en cualquier tipo de aplicación (Web, móvil,
portafirmas, etc.).
3
Arquitectura de Cl@ve Firma
Componentes básicos
Usando los componentes de integración de Cl@ve
Firma (provistos sin coste y con soporte por el
MinHAP) podemos abstraernos por completo de la
capa de custodia y uso de claves privadas, disponer
de todas las funcionalidades necesarias de firma
electrónica y centrarnos en las aplicaciones y los
servicios al ciudadano.
4
Componentes de integración
Cl@ve Firma
▶ Componente centralizado.
– Pensado para unificar las funcionalidades de firma en la nube que van a
necesitar todas las aplicaciones de una organización o conjunto de
organizaciones.
– Entorno de ejecución muy simple:
•
•
Aplicación Web Java (Apache Tomcat, RedHat Jboss, etc.).
Uso simple de base de datos (MySQL, Oracle).
– Funcionalidades integradas:
•
•
•
•
•
Centraliza conexiones con sistemas externos:
– Conecta con el módulo de custodia y uso de claves y certificados.
– Conecta con la Plataforma @firma para la mejora de firmas).
Realiza firmas electrónicas AdES de cualquier tipo (localmente, no necesita la
Plataforma @firma).
Mejora firmas electrónicas AdES (a formatos longevos) conectándose con la
Plataforma @firma.
Mantiene un registro de auditoría.
Gestiona usuarios/aplicaciones (control de qué aplicaciones pueden hacer uso del
servicio).
5
Componentes de integración
Cl@ve Firma
▶ Componente distribuido.
– Para integración directa en cualquier tipo de aplicación (Java, .NET, PHP).
– Provee las funcionalidades necesarias con un API programático
extremadamente simple de usar:
•
•
•
Listar los certificados asociados a un ciudadano (a partir de su número DNI).
Escogiendo el certificado a usar y el formato, firmar un documento.
Redirigir al usuario a Cl@ve para que autorice la operación.
– Se proporciona un ejemplo de uso de este componente en forma de
aplicación Web (completamente funcional) usando Java (JSP), con un interfaz
puro HTML de cara al usuario final.
Identificación
del
ciudadano
por su DNI
Selección
datos a
firmar.
Selección del
certificado
de firma (si
hay más de
uno).
6
Autorización
de la
operación
por parte del
ciudadano
(Cl@ve).
Firma
Cl@ve Firma
Demostración simple
7
Cl@ve Firma
Demostración simple
8
Cl@ve Firma
Demostración simple
9
Cl@ve Firma
Demostración simple
10
Cl@ve Firma
Demostración simple
11
Cl@ve Firma
Demostración simple
12
Cl@ve Firma
Integrando Cl@ve Firma
▶ Instalaciones Web que actualmente usan firma cliente:
– Es posible el desarrollo de componentes JavaScript que emulen el API de los
componentes actuales de firma cliente (Cliente @firma, Applets de Java,
ActiveX, etc.).
• Con esta aproximación se puede realizar una migración de firma cliente a
firma en la nube, o una coexistencia de ambos modos de una forma
directa, con un impacto mínimo en las aplicaciones.
• Las normas de accesibilidad del sector público permiten el uso de
JavaScript, siempre que se respete un nivel AA de WCAG 2.0.
▶ Aplicaciones móviles nativas (portafirmas, etc.).
– La disponibilidad del componente distribuido da la flexibilidad que necesitan
las aplicaciones móviles, es posible cualquier integración.
• Objective-C / Swift en iOS, Java en Android, etc.
▶ Servicios de firma de nuevo desarrollo.
– Una extraordinaria oportunidad, la integración de Cl@ve Firma es sencilla, y
carece de las dificultades asociadas tradicionalmente a la firma cliente.
13
Cl@ve Firma
Integrando Cl@ve Firma
▶ ¿Cl@ve Firma con distintos tipos de certificados?
– ¿Certificados de empleado público? ¿Certificados de representación?
¿Certificados emitidos internamente en una organización?
– Los componentes de integración de Cl@ve Firma están preparados
para funcionar con distintos proveedores, proporcionando una
interfaz genérica que puede implementarse para cualquier otro
proveedor del servicio de generación, custodia y uso de claves y
certificados.
• No es necesario modificar el código fuente de los Componentes de
Integración de Cl@ve Firma, únicamente incorporar la nueva
implementación del interfaz y configurarlo en un simple fichero de
texto.
• Es posible configurar (con una implementación más trabajada) un
sistema que trabaje simultáneamente con varios proveedores.
– Por ejemplo, uno para certificados de ciudadano y otro para certificados
de representación, y que el sistema conmute de uno a otro según la
lógica que escojamos.
14
Cl@ve Firma
Integrando Cl@ve Firma
▶¿Cl@ve Firma en nuevos entornos?
– Los componentes de integración de Cl@ve Firma están
desarrollados como una aplicación genérica “Java Web”, con
un uso muy simple de bases de datos.
– Es posible la adaptación a cualquier servidor de aplicaciones
Java (JEE o contendor de Servlets), al no hacer uso de
características propietarias de ningún sistema el esfuerzo
necesario es mínimo.
– Igualmente, el uso de bases de datos es muy sencillo, y puede
adaptarse con facilidad a cualquier sistema gestor de bases de
datos.
– El componente distribuido puede migrarse prácticamente a
cualquier lenguaje y entorno, ya que la inmensa mayoría de la
lógica y el 100% de la criptografía se delega en el
componente centralizado.
15
Thank you
Atos, the Atos logo, Atos Consulting, Atos Worldline, Atos Sphere, Atos
Cloud and Atos WorldGrid
are registered trademarks of Atos SA. June 2011
© 2011 Atos. Confidential information owned by Atos, to be used by
the recipient only. This document, or any part of it, may not be
reproduced, copied, circulated and/or distributed nor quoted without
prior written approval from Atos.
Tomás García-Merás
+34 619980058 – tomas.garciameras@atos.net
Related documents
Guía de errores frecuentes con Portafirmas Guía de
Guía de errores frecuentes con Portafirmas Guía de
Guía rápida de instalación y uso del certificado digital de
Guía rápida de instalación y uso del certificado digital de
Comunidad "Cliente @Firma"
Comunidad "Cliente @Firma"
modelo de gestión de servicios pki basado en una arquitectura
modelo de gestión de servicios pki basado en una arquitectura
frameworks de desarrollo / lenguajes de programación
frameworks de desarrollo / lenguajes de programación
firma electrónica
firma electrónica
cl@vefirma: firma electrónica mediante
cl@vefirma: firma electrónica mediante