Arquitectura de la TSA - Portal administración electrónica

Anuncio
TSA @firma. Servicios
Servicios de la TS@
TSA-@firma
Autoridad de Sellado de Tiempo
Documento nº:
Revisión:
Fecha:
Período de retención:
STERIA
Servicios TSA
TSA-@Firma-Servicios V4.Doc
004
03/07/2013
Permanente durante su período de vigencia + 3 años después de su anulación
1/16
03-07-2013
TSA @firma. Servicios
CONTROL DE COMPROBACIÓN Y APROBACIÓN
Documento nº:
Revisión:
Fecha:
TSA-@firma-Servicios
004
03/07/2013
REALIZADO
31-10-2007
Pablo
Pizarro
Armendáriz
Analista TSA
COMPROBADO
María Jesús
Sánchez-Roldán
Gómez
Jefe de proyecto TSA
APROBADO
María Jesús
Sánchez-Roldán
Gómez
Jefe de proyecto TSA
STERIA
Servicios TSA
2/16
03-07-2013
TSA @firma. Servicios
CONTROL DE MODIFICACIONES
Documento nº:
Revisión:
Fecha:
TSA-@firma-Servicios
004
03/07/2013
Rev.
Fecha
Autor/es
Descripción
001
20/02/2009
PPA
Documento Inicial
Rev.
Fecha
Autor/es
Descripción
003
15/12/2011
JMGA
Modificación del manual debido a los cambios en las carteras ministeriales.
Rev.
Fecha
Autor/es
Descripción
004
03/07/2013
CAID
Descontinuación servicio RFC+SSL y otras correcciones.
STERIA
Servicios TSA
3/16
03-07-2013
TSA @firma. Servicios
CONTROL DE DISTRIBUCIÓN
Documento nº:
Revisión:
Fecha:
Versión Aplicativo:
TSA-@firma-Servicios
004
03/07/2013
2.1.1
Copias Electrónicas:
La distribución de este documento ha sido controlada a través del sistema de información.
Copias en Papel:
La vigencia de las copias impresas en papel está condicionada a la coincidencia de su estado de revisión con
el que aparece en el sistema electrónico de distribución de documentos.
El control de distribución de copias en papel para su uso en proyectos u otras aplicaciones es responsabilidad
de los usuarios del sistema electrónico de información.
Fecha de impresión 12/07/2013 17:45:00
Distribución en Papel:
Nombre o Cargo y
(Organización)
STERIA
Servicios TSA
Nº de Ejemplares
4/16
Referencia de la carta de
transmisión y fecha
03-07-2013
TSA @firma. Servicios
Índice
1
Introducción ............................................................................................................................................... 6
2
Objetivos .................................................................................................................................................... 7
3
¿Qué es TS@? ........................................................................................................................................... 8
4
5
6
STERIA
Servicios TSA
3.1
¿Qué requisitos se han de cumplir? ............................................................................................... 8
3.2
¿Quién se puede beneficiar de los servicios?................................................................................. 8
3.3
Descripción proceso de sellado...................................................................................................... 9
Caracterización Técnica y de Soporte de la Plataforma .......................................................................... 10
4.1
Medidas de seguridad y disponibilidad de los servicios .............................................................. 10
4.2
Red SARA ................................................................................................................................... 10
4.3
Servicio de Soporte (CAU) .......................................................................................................... 11
Requisitos de Acceso al Servicio............................................................................................................. 12
5.1
Pasos a dar para la utilización de los servicios ............................................................................ 12
5.2
Acceso a la Plataforma................................................................................................................. 13
5.2.1 Web Service Security...................................................................................................... 13
5.2.2 HTTPS ............................................................................................................................ 13
Servicios del Sistema ............................................................................................................................... 15
6.1
Solicitar sello de tiempo............................................................................................................... 15
6.2
Validar sello ................................................................................................................................. 15
6.3
Solicitar resellado de tiempo ........................................................................................................ 16
5/16
03-07-2013
TSA @firma. Servicios
1
Introducción
La Autoridad de Sellado de Tiempo (TSA) integrada en la plataforma de Validación y firma
electrónica (@firma) es una solución tecnológica que se centra en proporcionar servicios de sellado de
tiempo, emisión de sellos de tiempo, validación de sellos de tiempo y resellado.
Los servicios de la TSA están disponibles para todo Organismo o Entidad Pública perteneciente a las
diferentes Administraciones Públicas sea cual sea su ámbito: Administración General del Estado,
Comunidades Autónomas, Diputaciones Provinciales o Entes Locales. Desde el Ministerio de
Hacienda y Administraciones Públicas se ofrece la ayuda y el soporte necesario para que los
Organismos integren estos servicios de certificación de valor añadido en los sistemas de información
de Administración Electrónica que admitan autenticación y firma electrónica basada en certificados
digitales. Para ello se ha desarrollado un cliente a integrar dentro de las aplicaciones de aquellos
Organismos que deseen dotar de una referencia válida de tiempo.
STERIA
Servicios TSA
6/16
03-07-2013
TSA @firma. Servicios
2
Objetivos
La plataforma de sellado de tiempo cubre los siguientes objetivos:
•
Tras la aprobación de la Ley 11/2007 de acceso electrónico de los ciudadanos a los Servicios
Públicos, con la plataforma TS@ se promueven y facilitan servicios cuyo objetivo es el
cumplimiento de las obligaciones de las Administraciones para con los ciudadanos.
•
Los servicios serán ofrecidos a cualquier Organismo o Entidad Pública perteneciente a las
diferentes Administraciones Públicas sea cual sea su ámbito.
STERIA
Servicios TSA
7/16
03-07-2013
TSA @firma. Servicios
3
¿Qué es TS@?
TS@ es una plataforma de sellado de tiempo, con las funcionalidades de sellado, validación y resellado
de sellos de tiempo. Mediante la emisión de un sello de tiempo sobre un documento, se generará una
evidencia, que determinará la existencia de ese documento en un instante determinado.
A través de la interfaz de validación, podrán validarse sellos de tiempo emitidos previamente, pudiendo
incluir una fecha de manera opcional para saber si en esa fecha dada el sello de tiempo era válido. Si no
se indica la fecha se validará con la fecha actual. Mediante la interfaz de resellado podrá volver a sellar
sellos previamente emitidos. Se puede encontrar más información acerca de los servicios prestados por
la Plataforma en el punto 6.- Servicios del Sistema.
Los protocolos de sellado de tiempo, en los cuales se basa la plataforma, se encuentran especificados
en las siguientes normas:
•
RFC 3161 “Internet X.509 Public Key Infrastructure Time Stamp Protocols “, estándar definido
por la Internet Engineering Task Force (IETF) para el protocolo Time Stamp.
•
IETF RFC 3628 Policy Requirements for Time-Stamping Authorities (TSAs).
•
ETSI TS 102 023 Policy requirements for time-stamping authorities.
•
XML Timestamping Profile of the 2 OASIS Digital Signature Services (DSS) ver. 1.0.
•
ETSI TS 101 861 Time stamping profile.
Es una solución basada en software libre, estándares abiertos y en java: servidor web Apache Tomcat,
Sistema Operativo Solaris/Linux, AXIS, JGroups, etc.
3.1
¿Qué requisitos se han de cumplir?
Para acceder a los servicios es necesario disponer de accesibilidad a la Plataforma desde los sistemas
de información del Organismo en cuestión a través de la red SARA (Sistema de Aplicaciones y Redes
para las Administraciones), que ofrece servicios de intranet entre las Administraciones Públicas. Estos
sistemas que soportan los servicios de administración electrónica disponibles para los ciudadanos y
empresas, accederán a la Plataforma a través de servicios web, peticiones HTTPS o mediante
peticiones TCP.
3.2
¿Quién se puede beneficiar de los servicios?
Los servicios de la Plataforma están disponibles para todo Organismo o Entidad Pública perteneciente
a las diferentes Administraciones Públicas sea cual sea su ámbito: Administración General del Estado,
Comunidades Autónomas, Diputaciones Provinciales o Entes Locales. Desde el Ministerio de
Hacienda y Administraciones Públicas se ofrece la ayuda y el soporte necesario para que los
Organismos integren estos servicios de certificación de valor añadido en los sistemas de información
STERIA
Servicios TSA
8/16
03-07-2013
TSA @firma. Servicios
de Administración Electrónica que admitan autenticación y firma electrónica basada en certificados
digitales.
3.3
Descripción proceso de sellado
A continuación se detalla el proceso para la obtención de un sello de tiempo (este proceso puede
realizarse mediante el cliente suministrado por la plataforma):
1. El cliente desea generar un sello de tiempo para un documento que posee.
2. Se generará el hash del documento en la máquina del cliente, mediante uno de los algoritmos
permitidos por la plataforma.
3. Con el algoritmo de hash, el identificador de política, y el identificador de la aplicación se
enviará una petición a la plataforma, la estructura de petición será distinta dependiendo del
protocolo que se utilice Web-Service, TCP o HTTPS.
4. La plataforma TS@ generará el sello de tiempo con el hash, la fecha y hora, obtenida gracias a
un cliente NTP sincronizado con una fuente de tiempo fiable, y la firma electrónica de la TSA.
5. Se envía el sello de tiempo al cliente, al igual que la petición se podrá enviar mediante
protocolos diferentes, TCP, Web-Service o HTTPS.
6. La plataforma almacenará todos los sellos emitidos en base de datos para una posible
verificación posterior.
STERIA
Servicios TSA
9/16
03-07-2013
TSA @firma. Servicios
4
Caracterización Técnica y de Soporte de la Plataforma
4.1
Medidas de seguridad y disponibilidad de los servicios
A continuación se muestran las características de la Plataforma en lo que respecta a la seguridad y
disponibilidad:
4.2
•
Arquitectura en alta disponibilidad y escalable.
•
Cuenta con elementos de antivirus, firewalls, sistemas de prevención y detección de intrusos
(IPS/IDS), además de las implícitas medidas de seguridad como cifrado de tráfico disponibles
en la red SARA de acceso a la Plataforma.
•
Igualmente, se han seguido los criterios y guías de seguridad propuestas por el Centro
Criptológico Nacional (CCN) del Centro Nacional de Inteligencia (CNI) para la configuración
de dichos dispositivos de seguridad, servidores, bases de datos, etc.
•
Utilización sistemas almacenamiento masivo externo SAN de alto rendimiento y disponibilidad
y escalable, donde se hospedan todas las transacciones y ficheros de auditoría.
•
Utilización de dispositivos seguros de creación de firmas y almacenamiento de claves
criptográficas HSM. Estos dispositivos se emplean para la firma de los sellos de tiempo
solicitados.
•
Centro Espejo de respaldo. Se dispone de un centro espejo de contingencias en estado latente
que entraría en operación a ofrecer los servicios de la Plataforma principal de servicios de
validación y firma electrónica ante una falta de disponibilidad grave y longeva en dicho centro.
Red SARA
El acceso a los servicios de la TSA se realiza a través de S.A.R.A. -Sistema de Aplicaciones y Redes
para las Administraciones-, una infraestructura tecnológica que permite y garantiza la comunicación
entre las distintas administraciones además de servir de plataforma de intercambio de aplicaciones.
Constituye una extranet de comunicaciones que da soporte a la interoperabilidad entre aplicaciones de
diferentes organismos públicos.
Incluido dentro de la infraestructura base proporcionada por S.A.R.A., se dispone de un punto neutro
de comunicaciones (PNC) que posibilita la accesibilidad a los servicios de la plataforma desde
múltiples operadores de comunicaciones, dentro de un esquema de direccionamiento IP privado y con
las mayores garantías de monitorización.
La red S.A.R.A. como infraestructura básica de comunicaciones y servicios telemáticos de la AGE se
conecta al punto neutro mediante dos enlaces fast Ethernet (100 Mbps) en alta disponibilidad cada uno
de ellos con un operador distinto.
STERIA
Servicios TSA
10/16
03-07-2013
TSA @firma. Servicios
La conexión de un nodo de la AGE con la red troncal de la IA cuenta con un enlace principal y otro de
backup también con 2 operadores distintos lo que proporciona un aseguramiento en la fiabilidad y
continuidad en el servicio prestado. Adicionalmente y como medida de seguridad la información
transita a través de la red troncal cifrada mediante el establecimiento de túneles IPSec
S.A.R.A cuenta con un servicio de soporte 24 x 7 en el que los tiempos de respuesta y de resolución
dependen de la severidad de la incidencias en base a una categorización de los servicios que por ella
transitan y de los agentes que participen extremo a extremo.
4.3
Servicio de Soporte (CAU)
La plataforma dispone un servicio de soporte de 24x7 para atender las posibles incidencias o anomalías
que pudieran ocurrir.
Este servicio está disponible de lunes a viernes de 8 a 20h para resolver las dudas o consultas de los
integradores del sistema.
Creación de solicitudes de soporte: https://soportecaid.redsara.es/formulariosCAID/irMenuSolicitud.do
STERIA
Servicios TSA
11/16
03-07-2013
TSA @firma. Servicios
5
Requisitos de Acceso al Servicio
A continuación, se describen cuáles son los requisitos de acceso a los servicios de TS@. Como ya se
comentó en un punto anterior de este documento, los servicios de la Plataforma están disponibles para
todo Organismo o Entidad Pública perteneciente a las diferentes Administraciones Públicas sea cual
sea su ámbito: Administración General del Estado, Comunidades Autónomas, Diputaciones
Provinciales o Entes Locales.
5.1
Pasos a dar para la utilización de los servicios
A continuación, se detallan los pasos que el Organismo en cuestión debe dar para solicitar el acceso:
1. El Organismo debe ponerse en contacto con el servicio de soporte (CAU) de TS@, indicando
el Organismo (Ministerio, Comunidad Autónoma o Entidad Local) que desea integrarse en el
servicio, así como los datos de contacto del mismo:
Creación de solicitudes de soporte: https://soportecaid.redsara.es/formulariosCAID/irMenuSolicitud.do
2. El servicio de Soporte (CAU) se pondrá en contacto con dicho Organismo para informar de los
prerrequisitos que son necesarios para iniciar la integración. Para ello es necesario informar al
Organismo que los servicios se ofrecen a través de la red SARA, y que durante las pruebas se
pueden hacer pruebas controladas en un entorno de desarrollo habilitado al efecto desde
Internet.
3. Una vez informados los prerrequisitos, habiendo respondido el Organismo, el servicio de
Soporte (CAU) le proporciona al mismo la documentación de bienvenida, que se compone de:
a. ACL (formulario para el control de acceso).
b. Documentación
i.Servicios de TS@.
ii.Manual del Integrador del Cliente de la TS@.
4. El Organismo debe devolver el ACL debidamente cumplimentado al servicio de Soporte
(CAU) para finalizar el proceso de integración.
5. El servicio de Soporte (CAU) informará debidamente de los parámetros de conexión con los
servicios: URL, identificador de aplicaciones,…
STERIA
Servicios TSA
12/16
03-07-2013
TSA @firma. Servicios
5.2
5.2.1
Acceso a la Plataforma
Web Service Security
WS-Security es un protocolo de comunicación entre plataformas, que provee diversos métodos para la
securización de las comunicaciones.
La versión actual del protocolo fue publicada el 17 de febrero de 2006 por OASIS, con el identificador
de versión 1.1. Desarrollado originalmente, de manera conjunta por IBM, Microsoft y Verisign,
actualmente es denominado como WSS y desarrollado a través del comité OASIS-OPEN.
El protocolo provee medios para autenticar quién realizó la petición. Los métodos principales
utilizados son usuario-password y mediante certificado (incluyendo un certificado con formato X.509
en la cabecera del mensaje).
Además de permitir la autenticación del emisor de la petición, permite la firma del mensaje, de manera
que el receptor pueda validar que el contenido del mensaje no ha sido alterado durante su envío y el
emisor es quien dice ser. La firma se realizará con la clave privada de la TS@, el certificado
correspondiente a la clave estará en posesión de todas las aplicaciones que se integren con la TS@.
Para la identificación de la aplicación cliente, la plataforma permite la utilización del token
userNameToken, o certificado X.509. Se recomienda utilizar certificado para autenticar al cliente.
Tanto los usuarios como los certificados habrán sido previamente asociados a la aplicación solicitante.
Si se desea cifrar los mensajes enviados entre la aplicación cliente y la plataforma se permite el uso de
una clave simétrica conocida por ambas partes. Esta clave les será asociada a las aplicaciones a través
de la herramienta de administración.
Para la respuesta se podrá solicitar que la plataforma firme los mensajes devueltos, haciendo uso de su
clave privada, y habiéndose publicado previamente, para las aplicaciones, su certificado.
El proceso de integración de la aplicación cliente con la plataforma a través de servicios Web se
encuentra ya implementado en el cliente de la TS@. Más información sobre cómo integrar una
aplicación cliente con el cliente se encuentra en el documento “TSA-@Firma-Manual Usuario
Cliente”.
5.2.2
HTTPS
La plataforma despliega el servicio de generación de sellos por el protocolo HTTPS admitiendo
peticiones requestTimeStampHTTPS (el protocolo utilizado se encuentra definido en la especificación
RFC 3161 Internet X.509 Public Key Infrastructure Time-Stamp Protocol). Estas peticiones deben
incluir en su interior una extensión con el identificador de aplicación, el cual se incluirá como
extensión dentro de la estructura TimeStampRequest enviada a la plataforma.
Los administradores del sistema informarán del puerto donde se encuentra desplegada esta interfaz.
STERIA
Servicios TSA
13/16
03-07-2013
TSA @firma. Servicios
El cliente de la TSA facilita la interacción con la plataforma encapsulando la generación de las
peticiones. Para más información se encuentra el manual de integración del cliente “TSA-@FirmaManual Usuario Cliente”.
STERIA
Servicios TSA
14/16
03-07-2013
TSA @firma. Servicios
6
Servicios del Sistema
El servicio de sellado de tiempo les permite emitir sellos de tiempo de los documentos electrónicos que
los Organismos suministren al servicio. Un sello de tiempo es una firma electrónica realizada por una
Autoridad de Sellado de Tiempo (TSA) que nos permite demostrar que los datos suministrados han
existido y no han sido alterados desde un instante específico en el tiempo (proveniente de una fuente
fiable de tiempo).
El Ministerio de Hacienda y Administraciones Públicas dispone de una TSA, la cual está sincronizada
(por NTP y mediante Stratum2 con conexión GPS) con el Real Observatorio de la Armada. El Real
Observatorio de la Armada tiene como misión principal el mantenimiento de la unidad básica de
Tiempo en España así como el mantenimiento y difusión oficial de la escala "Tiempo Universal
Coordinado" (UTC (ROA)), considerada a todos los efectos como la base de la hora legal en todo el
territorio nacional (R. D. 23 octubre 1992, núm. 1308/1992).
Actualmente la TSA publica los servicios de sello de tiempo de las formas siguientes:
-
Notación abstracta ASN.1, de esta forma se cumple con las especificaciones de la IETF RFC3161,
utilizando sintaxis de peticiones y respuestas en notación abstracta ASN.1 codificado en DER.
-
Web Service diseñados para facilitar la integración con las aplicaciones, utilizando la
especificación de mensajes XML-SOAP.
Los servicios disponibles en la TSA se muestran a continuación.
6.1
Solicitar sello de tiempo
Por medio de este servicio se proporciona la funcionalidad de generar un sello de tiempo para una
acción de firma de datos o de documento.
Este servicio es invocado automáticamente por la plataforma de @firma en el momento en el que
solicita una firma de datos o de documento en servidor, siendo posible configurar la utilización o no de
este servicio en función de los requerimientos del cliente.
6.2
Validar sello
A través de este servicio se proporciona la posibilidad de verificar la validez de un sello de tiempo
contenido en una firma digital.
Este servicio es invocado automáticamente por la plataforma de @firma siempre que se esta realizando
una operación de verificación de firma de datos o fichero que contiene sello de tiempo.
STERIA
Servicios TSA
15/16
03-07-2013
TSA @firma. Servicios
6.3
Solicitar resellado de tiempo
La utilidad más importante del servicio de resellado de tiempo consiste en preservar la longevidad de la
validez de los sellos generados sobre los documentos o transacciones, en caso de que se pueda poner
en cuestión la validez de un sello emitido.
Por medio de este servicio se proporciona la funcionalidad de generar un nuevo sello de tiempo para
una acción de firma de datos o de documento.
STERIA
Servicios TSA
16/16
03-07-2013
Descargar