Aplicaciones Web y certificados digitales El inicio de
Aplicaciones Web y certificados digitales El inicio de la Administración Electrónica José Joaquín de Haro Navarro
Precursores de la Administración Electrónica ► Agencia Tributaria § Declaración IRPF (ciudadanos) § Certificado estar al corriente obligaciones tributarias (empresarios) ► Seguridad Social § Informe vida laboral (ciudadanos) § Comunicación altas y bajas - sistema RED (empresarios)
Factores claves de éxito ► Mejora de las comunicaciones ► Alfabetización digital ► Comodidad para el ciudadano ► Posibilidad de realizar procedimientos administrativos a través de Internet
WWW la plataforma más adecuada ► La Web es la herramienta más usada en Internet ► Evolución tecnológica que nos lleva al Web 2. 0 ► Uso de certificados digitales en la Web § FNMT § DNIe § Otros (profesionales, autonómicos, etc)
Certificados digitales ► Basados en métodos criptográficos de clave asimétrica ► Asocian información de una persona o entidad con su clave pública ► La veracidad de esta asociación la garantiza la Autoridad de Certificación § § FNMT Dirección General de Policía (DNIe) Camerfirma, Ca. Cert, etc Registradores, Notarios, etc
Firma Electrónica ► Permite migrar procesos basados en papel (que requerían firmas) a formato electrónico ► Garantiza la autenticidad, integridad y no repudio del mensaje firmado ► Firma Electrónica Avanzada (ley 59/2003) ”firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control” ► Formatos de firma electrónica § PKCS#7 (RSA Laboratories Inc. ) § XMLDSIG (Propuesta conjunta de estándar IETF/W 3 C) RFC 3075 § XAd. ES (XML Advanced Electronic Signatures) ( § Adobe pdf
Criptografía de clave Asimétrica. Firma digital. Proceso. Ana y Bernardo tienen sus pares de claves respectivas Ana escribe un mensaje a Bernardo. Es necesario que Bernardo pueda verificar que realmente es Ana quien ha enviado el mensaje. Por lo tanto Ana debe enviarlo firmado: 1. Resume el mensaje mediante una función hash. 2. Cifra el resultado de la función hash con su clave privada. De esta forma obtiene su firma digital. 3. Envía a Bernardo el mensaje original junto con la firma. Bernardo recibe el mensaje junto a la firma digital. Deberá comprobar la validez de ésta para dar por bueno el mensaje y reconocer al autor del mismo (integridad y autenticación). 4. Descifra el resumen del mensaje mediante la clave pública de Ana. 5. Aplica al mensaje la función hash para obtener el resumen. 6. Compara el resumen recibido con el obtenido a partir de la función hash. Si son iguales, Bernardo puede estar seguro de quien ha enviado el mensaje es Ana y que éste no ha sido modificado. Con este sistema conseguimos: Autenticidad (la firma digital es equivalente a la firma física de un documento), Integridad (el mensaje no podrá ser modificado), No repudio en origen (el emisor no puede negar haber enviado el mensaje)
Firma Electrónica: Aplicaciones ► Aplicaciones: § Factura electrónica § Voto electrónico § Contratación Electrónica (licitación electrónica y e-subasta) § Notificación Electrónica § Procedimientos Administrativos electrónicos §…
Requisitos para desarrollar Aplicaciones Web con certificados digitales ► Establecimiento de comunicación segura SSL (certificado de servidor) ► Validación de certificados ► Revocación de certificados § CRL (Certificate Revocation List) § OCSP (Online Certificate Status protocol) ► Implementación de Autenticación y Firma
Implementación (Autenticación) Instalar certificado raíz en servidor (almacén certificados máquina y habilitar todos los propósitos) ► Configurar aplicación Web para requerir certificado digital ► Leer el certificado (protocolo https) ► Chequear la validez del certificado (revocación CRL - OCSP) ►
Implementación e. Firma ► Elección del formato(s) de firma § PKCS#7 § XMLDSIG § XADES Creación de componente para firmar (activex, applet) o implementación basada en CAPICOM y Crypto ► Implementación ► § § CAPICOM (Internet Explorer) Crypto (Mozilla) Open Source (Open. Sign) JSR 105 (Java Specification Request #105 - WSDP de Java)
Formato efirma: PKCS#7 PKCS #7 Version Digest Algorithm Signer Info 1 Signer Info 2 Signer Info 3 Content Signer Info Certificates Version CRLs Serial Number Signer Infos Digest Algorithm Authenticated Attributes Unauthenticated Attributes Digital Signature
Formato efirma: XMLDSig (1) ► El estándar XMLDSig recoge las reglas básicas de creación y procesamiento de firmas electrónicas de documentos XML § Signature (Encapsula la firma digital) ► Signed. Info (Información necesaria para la creación y validación de la firma) § Signature. Method (Algoritmo utilizado para el cálculo de la firma) § Canonicalization. Method (Algoritmo de transformación aplicado) § Reference (Referencia a la información o documento firmado) ► Transforms, Digest. Method, Digest. Value ► Signature. Value (Valor de la firma digital) ► Key. Info (opcional, permite obtener datos del certificado) ► Object (opcional, permite añadir información a la firma)
Formato efirma: XMLDSig (2) ► ► ► Enveloping: La firma XML envuelve al contenido que se firma Detached: El objeto firmado está separado de la firma XML Enveloped: El contenido que se desea firmar engloba a la firma
Factura Electrónica La facturación electrónica es un equivalente funcional de la factura en papel y consiste en la transmisión de las facturas o documentos análogos entre emisor y receptor por medios electrónicos (ficheros informáticos) y telemáticos (de un ordenador a otro), firmados digitalmente con certificados reconocidos ► Se permite cualquier formato de firma electrónica avanzada(basada en un certificado reconocido y ► generada mediante un dispositivo seguro de creación de firma) ► Formato facturae basado en XMLDSig & XADES X-L
XADES ► XML Advanced Electronic Signatures § Formato de firma electrónica avanzada básico XADES-EPES § Formato de firma electrónica avanzada con información de validación XADES-X-L (firma de larga duración) “se incluyen elementos que contienen referencias a la información de validación, un time stamp, que afecta no sólo a la firma sino también a las referencias a la información de validación, así como la propia información de validación (cadena de certificados y respuesta de revocación)”
Administración Electrónica ► Ley 11/2007 de acceso electrónico de los ciudadanos a los servicios públicos § Se reconoce el derecho de los ciudadanos a relacionarse electrónicamente con las Administraciones § Se regulan apartados importantes dentro de los procedimientos electrónicos: ► ► ► Registro Electrónico Comunicación y Notificación Electrónica Documentos y Archivos Electrónicos Cooperación entre administraciones … ► Creación de ayudas específicas (Plan Avanza)
2. Proceso de Notificación Electrónica E-mail y/o SMS de aviso de nueva notificación Registro Electrónico (Salida) Funcionario con Certificado digital Diligencia Inscripción Consulta de Notificaciones Depósito en buzón § Fecha y hora recepción Notificación : § Texto § Documentos Adjuntos § Fecha y hora § Firma funcionario § Destinatario BD Notificaciones Electrónicas Registro Licitadores (Contratación Pública) Registro Electrónico (Entrada) Licitador con Certificado digital Rechazo Automático Plazo 10 días § Fecha y hora rechazo https: //www. dipualba. es/websegura/notitel https: //www. dipualba. es/WSNoti. Tel. asmx Acceso o Rechazo § Fecha y hora de acceso § Firma licitador
Notificación Electrónica WS • Add_Doc_Not • Get_ndocumento • Estado_Notificacion • Aceptar_Notificacion • Existe_Notificador • Get_Autorizados • Get_nnotificado • Get_Notificaciones • Get_Documento • Get_nnotificacion • Set_Num. Reg. Notif • Existe_Entidad • Get_Notificador 2 • Get_Notificacion 2 • Get_Autorizado • Get_Notificaciones. Expiradas • Update_Notificado • Get_Notificaciones. Expiradas. ORechazadas • Get_Notificaciones. Aceptadas • Aviso_sms • Get_nautorizado • Get_Estado • Add_Notificador • Get_Notificador • Aviso_mail • Get_Num. Notificaciones. Del. Notificado • Add_Notificado • Get_Notiapli • Add_Entidad • Get_Miembros. Grupo. Notificados • Get_Notificados. Aplicacion • Get_Documentos • Get_Notificaciones. Rechazadas • Get_Notificado • Get_Aplicaciones. Notificador • Get_Notificados. Del. Autorizado • Existe_Apli • Get_nnotificador • Existe_Notificado • Add_Aplicacion • Set_Num. Reg. Resp • Get_Notificaciones. Enviadas • Get_Notificaciones. Pendientes • Get_Aplicacion • Get_Notificacion • Add_Notificador_Y_Aplicacion
Gracias por su atención
- Slides: 20