Servicios y Productos / Plataforma de validación y firma electrónica @firma

@firma. Plataforma de validación y firma electrónica

 

[volver]

Índice

  1. Introducción
  2. Objetivos
  3. ¿Qué es @firma?
    3.1 ¿Qué requisitos se han de cumplir?
    3.2 ¿Qué servicios y beneficios ofrece?
    3.3 ¿Quién se puede beneficiar de los servicios?
  4. Servicio de soporte (CAU)
  5. Requisitos de acceso al sevicio
    5.1 Pasos a dar para la utilización de los servicios
  6. Servicios ofrecidos por la plataforma
    6.1 Catálogo de servicios
    6.2 Certificados reconocidos por la plataforma
    6.3 Cliente de firma
  7. Incorporación del Fichero Automatizado de Validación y Firma Electrónica a la relación de ficheros automatizados del Ministerio de Administraciones Públicas
  8. Formación

1. Introducción

Entre las competencias de las Administraciones Públicas en materia de administración electrónica se encuentra el obtener unos niveles óptimos de calidad, agilidad y rendimiento de los servicios telemáticos que la Administración pone a disposición de los ciudadanos y empresas; conseguir unos niveles de eficiencia en el uso de los recursos públicos; reducir y rentabilizar los costes e inversiones, y mejorar la integración interdepartamental y la simplificación administrativa.

Para conseguir estos objetivos, una de las medidas adoptadas ha sido el impulso del uso de la firma y certificación electrónica. De entre ellas, una de las de mayor trascendencia ha sido la sustitución gradual del Documento Nacional de Identidad actual por el equivalente en formato electrónico, lo que se ha venido en denominar DNI-e.

La introducción de la firma-e y el DNI-e es ya una necesidad en la tramitación telemática de todas las Administraciones públicas, sin embargo, el desarrollo y extensión tecnológica que están teniendo está siendo desigual y pausada en el tiempo. Entre los inhibidores del uso generalizado de estas nuevas técnicas de identificación y firma, está la complejidad tecnológica que hay que introducir en los sistemas de información, los elevados costes e inversiones a realizar o la falta de recursos especializados disponibles en los diferentes organismos Públicos.

Conocedores de estos condicionantes y en el ejercicio de las potestades que tiene atribuidas, el Ministerio de Administraciones Públicas (en adelante MAP) ha implantado un proyecto denominado “Plataforma de validación y firma electrónica”. Este proyecto se centra en facilitar a las aplicaciones los complementos de seguridad necesarios para implementar la autenticación y firma electrónica avanzada basada en certificados digitales de una forma eficaz y efectiva. Se ofrecen así servicios que impulsan el uso de la certificación y firma electrónica en los sistemas de información de las diferentes Administraciones públicas que así lo requieran.

Desde el punto de vista tecnológico, construye una capa de abstracción de seguridad a nivel de aplicación que desacopla la lógica de negocio de las aplicaciones de la introducción de mecanismos de seguridad a nivel de control de accesos, firma, cifrado, control del no repudio y validez de los certificados, etc.

2. Objetivos

De esta forma, la Plataforma de validación y firma electrónica cubre los siguientes objetivos:

  • El objetivo primordial no ha de ser otro que el de impulsar la implantación de la firma-e y el DNI-e mostrando una visión uniforme a los ciudadanos. Toda finalidad diferente de esta no estaría justificada.
  • Se reducen los costes en licencias, soporte, infraestructuras, etc por parte de los organismos usuarios.
  • Tras la reciente aprobación de la Ley 11/2007 de Acceso electrónico de los ciudadanos a los Servicios Públicos, con esta Plataforma se promueven y facilitan una serie de servicios destinados al cumplimiento de las obligaciones de las Administraciones para con los ciudadanos en materia de identificación y autenticación electrónica.
  • Poder ofrecer los servicios a cualquier nivel de la Administración: local, autonómico o nacional, y donde todos se vean representados.
  • La solución técnica seleccionada es la más idónea para nuestro ámbito de aplicación. Dicha solución se basa en las siguientes premisas:
    • Se trata de una solución nada intrusiva a la hora de integrarse en arquitecturas y soluciones existentes en los organismos.
    • Además de gestionar la validación de los certificados del DNI-e, está abierto a otros de diferentes Prestadores de Servicios de Certificación (PSC): MultiPSC, MultiPolítica, MultiCertificados, MultiFirma o MultiFormatos. Igualmente, se establecerían redes de confianza paneuropeas: BRIDGE-CA. Ello estimula la creación de redes de confianza mutua entre los PSCs acreditados por la Administración y los diferentes organismos públicos usuarios de estos servicios.
    • La administración y evolución del software de @firma será diseñada y articulada por los organismos usuarios.
    • La solución atesora las máximas garantías de seguridad y robustez: certificación de procesos y productos, óptimo rendimiento, alta disponibilidad, portabilidad,...
  • El porfolio de servicios a ofrecer han de complementar las capacidades existentes en cada organización, no sustituirlas.
  • El nivel de interoperabilidad y reusabilidad óptimo con sistemas.

3. ¿Qué es @firma?

@firma es la solución tecnológica en la que se basa la implementación de la Plataforma de validación y firma electrónica del Ministerio de Administraciones Públicas. La versión actual de @firma es la 5.0 y constituye una evolución de la versión 4.0 a partir de la aportación de múltiples Organismos Públicos cooperantes.

@firma es un producto robusto e integral, desarrollada inicialmente por la Junta de Andalucía, cedida al resto de las Administraciones Públicas con el objeto de fomentar y extender el desarrollo de la Administración Electrónica y la Sociedad de la Información.

Es una solución basada en software libre, estándares abiertos y en java: servidores web Apache, JBOSS, Sistema Operativo Solaris/Linux, AXIS, etc.

Más información en:

3.1. ¿Qué requisitos se han de cumplir?

Para acceder a los servicios es necesario disponer de accesibilidad a la Plataforma desde los sistemas de información del Organismo en cuestión a través de la red SARA (Sistema de Aplicaciones y Redes para las Administraciones), que ofrece servicios de intranet entre las Administraciones Públicas. Estos sistemas que soportan los servicios de administración electrónica disponibles para los ciudadanos y empresas, accederán a la Plataforma a través de servicios web implementados en tecnología Microsoft® o Java.

3.2. ¿Qué servicios y beneficios ofrece?

Además de determinar la validez de los certificados digitales, dispone de múltiples utilidades de valor añadido, entre las que se encuentran la generación y validación de firmas electrónicas en múltiples formatos, auditoría de las transacciones y documentos firmados, sellado de tiempos o la compatibilidad con certificados digitales generados por múltiples prestadores de servicios de certificación.

En cuanto a los beneficios que ofrece la propuesta de prestación de servicios por a cualquier Administración solicitante, las diferentes aplicaciones de diferentes organismos acceden a los servicios comunes de la Plataforma MAP a través de servicios web u otros protocolos específicos de validación de certificados estándar, como OCSP. Otros de los beneficios que lo definen caracterizan son:

  • Utilización de los servicios a través de Red SARA.
  • Administración delegada para organismos.
  • Se suministran reportes mensuales de actividad y transacciones de diferente naturaleza.
  • Se dispone de Servicio de Soporte especializado de segundo nivel a organismos usuarios.
  • Reducción de costes é inversiones: desarrollo, soporte, plataforma, etc.
  • Accesibilidad a últimas versiones y evoluciones de servicios con total transparencia.

3.3. ¿Quién se puede beneficiar de los servicios?

Los servicios de la Plataforma están disponibles para todo Organismo o Entidad Pública perteneciente a las diferentes Administraciones Públicas sea cual sea su ámbito: Administración General del Estado, Comunidades Autónomas, Diputaciones Provinciales o Entes Locales. Desde el Ministerio de Administraciones Públicas se ofrece la ayuda y el soporte necesario para que los Organismos integren estos servicios de certificación de valor añadido en los sistemas de información de Administración Electrónica que admitan autenticación y firma electrónica basada en certificados digitales.

4. Servicio de Soporte (CAU)

La plataforma de @firma dispone un servicio de soporte de 24x7 para atender las posibles incidencias o anomalías que pudieran ocurrir.

Este servicio está disponible de lunes a viernes de 9 a 19h. para resolver las dudas o consultas de los integradores del sistema.

Teléfono: 902 93 44 05
Email: soporte.afirma5@map.es

Se dispone de un Acuerdo de Nivel de Servicio (SLA) disponible a través del servicio de Soporte que complementa la descripción de lo servicios de soporte disponibles.

5. Requisitos de acceso al Servicio

A continuación, se describen cuáles son los requisitos de acceso a los servicios de @firma. Como ya se comentó en un punto anterior de este documento, los servicios de la Plataforma están disponibles para todo Organismo o Entidad Pública perteneciente a las diferentes Administraciones Públicas sea cual sea su ámbito: Administración General del Estado, Comunidades Autónomas, Diputaciones Provinciales o Entes Locales.

5.1. Pasos a dar para la utilización de los servicios

A continuación, se detallan los pasos que el Organismo en cuestión debe dar para solicitar el acceso:

  1. El Organismo debe ponerse en contacto con el servicio de soporte (CAU) de @firma, indicando el Organismo (Ministerio, Comunidad Autónoma o Entidad Local) que desea integrarse en el servicio, así como los datos de contacto del mismo:

eMail: soporte.afirma5@map.es
teléfono: 902 93 44 05

  1. El servicio de Soporte (CAU) se pondrá en contacto con dicho Organismo para informar de los prerrequisitos que son necesarios para iniciar la integración. Para ello es necesario:
    1. Conocer si el Organismo tiene convenio con la FNMT (para poder validar sus certificados).
    2. Trasladar al Organismo el compromiso de informar al MAP de los servicios que utilicen la plataforma para admitir el DNIe, para publicarlo en la web del DNI electrónico.
    3. Informar al Organismo que los servicios se ofrecen a través de la red SARA, y que durante las pruebas se pueden hacer pruebas controladas en un entorno de preproducción habilitado al efecto desde Internet.

  2. Una vez informados los prerrequisitos, habiendo respondido el Organismo, el servicio de Soporte (CAU) le proporciona al mismo la documentación de bienvenida, que se compone de:
    1. ACL (formulario para el control de acceso).
    2. Documentación
      1. Pasos iniciales para la integración con @firma.
      2. Servicios de @firma.
      3. Manual del Integrador del Cliente de Firma @firma.
      4. Manual de Programación de web service de @firma.
  3. El Organismo debe devolver el ACL debidamente cumplimentado al servicio de Soporte (CAU) para finalizar el proceso de integración.

  4. El servicio de Soporte (CAU) informará debidamente de los parámetros de conexión con los servicios: URL, identificador de aplicaciones,…

5.2. Red SARA

La Red SARA (Sistema de Aplicaciones y Redes para la Administraciones) es una infraestructura tecnológica que permite y garantiza la comunicación entre las distintas administraciones (municipal, autonómica y estatal) además de servir de plataforma de intercambio de operaciones.

Está formada por la Intranet Administrativa, que hoy ofrece un amplio numero de servicios que se prestan en cooperación en el ámbito de la Administración General del Estado, sus elementos de incardinación en TESTA II, y los elementos de enlace con las Redes Corporativas de las Comunidades Autónomas conocido como Extranet de las Administraciones Públicas. TESTA II es la Red transeuropea que enlaza la Red Corporativa de la Comisión de la Unión Europea, con las de los Estados Miembros, para el soporte de intercambio de datos y cooperación en la prestación de servicios.

La interconexión a la Extranet se realiza a través de lo que se denomina Área de Conexión (AC). Este AC responde básicamente al esquema de una zona desmilitarizada (DMZ) formada por un cortafuegos externo (que, en este caso, conecta con el resto de la red), un servidor donde residen los servicios básicos que se mencionan más adelante y un cortafuegos interno.

El sistema que actúa como cortafuegos externo será también el encargado, siempre que sea posible, de cerrar una VPN con el Centro de Acceso Remoto (CAR) de la Intranet Administrativa de la Administración General del Estado o con el AC de otro Organismo conectado directamente a la Red SARA Este cortafuegos puede realizar igualmente funciones de NAT dinámico para las conexiones entrantes desde el resto de la Extranet hacia el Organismo).

6. Servicios ofrecidos por la Plataforma

6.1. Catálogo de servicios

La versión 5.0 del producto @firma en el que se basa la Plataforma, consta de una serie de servicios publicados y ofrecidos a los Organismos usuarios y de un conjunto de herramientas de gestión, administración, auditoría, etc, mediante las cuales los administradores y personal de soporte ofrece los servicios con total garantía.

Los servicios ofrecidos a los organismos se pueden catalogar en los bloques que se describen a continuación, basándose la mayoría en la publicación de un catálogo amplio de web services compatible con las tecnologías java y .NET. Todos los web services se encuentran disponibles tanto en castellano como en inglés, facilitando así la integración e interoperabilidad con soluciones existentes en las implantaciones de los organismos usuarios.

Los bloques son los siguientes:

A) Servicios de validación.

Se corresponde con todos aquellos servicios orientados a obtener información de certificados y de la validación de certificados y firmas electrónicas. Entre los servicios de validación de certificados X.509 según la RFC 3280, se admite tanto el protocolo OCSP como la invocación de web services específicos.

Se permite realizar una validación completa de la firma electrónica proporcionada a la Plataforma. Como validación completa se entiende:

  • - Validación de la firma digital contenida en la firma electrónica frente a los datos proporcionados.

- Validación del certificado X.509 empleado y contenido en la firma electrónica. Se validará su integridad, periodo de validez y estado de revocación. Tanto el periodo de validez como el estado de revocación del certificado se comprueban frente a la fecha actual en caso que la firma electrónica no posea sello de tiempo o frente al mismo en caso contrario.

- Soporte del certificado. Se comprueba que el certificado y su emisor sean reconocidos y soportados por la plataforma. Este servicio puede ser empleado para validar tanto las firmas electrónicas generadas por la plataforma o el cliente de firma suministrado por el MAP como aquellas ajenas, siempre y cuando su formato sea soportado.

Los web services incluidos son:

  • Validación de certificados.
  • Obtención de información de certificados.
  • Validación de firma electrónica en múltiples formatos: XMLDsig, XAdES, CMS...
  • Validación de sellos de tiempo
  • Validar Firma Bloques Completo
  • ¤ Validar Firma Bloques en documento

En cuanto a la Autoridad de Sellado de Tiempo (TSA) se dispone del servicio web para verificar un sello de tiempo.

B) Servicios de firma electrónica.

Engloba todos los servicios relativos a la realización de firmas electrónicas por parte de la Plataforma. Dichas firmas pueden ser de la propia Plataforma o solicitudes de firmas de servidor de los organismos, a partir de certificados hospedados y firmas realizadas en dispositivos seguros de creación de firmas (eje. HSMs).

Este servicio permite a una aplicación cliente realizar, con el certificado de firma de servidor indicado, y siempre dentro del contexto de la plataforma @firma 5.0, una firma electrónica. Es decir, la generación de dicha firma se lleva a cabo en la plataforma, de ahí el nombre de firma electrónica servidor.

Es importante resaltar que hay 3 modos de realizar una firma electrónica en servidor:

  1. Firma electrónica servidor simple:
    Es el modo clásico. Se genera una firma electrónica con un formato determinado a partir de unos datos indicados.

  2. Firma electrónica servidor en paralelo (cosign):
    Consiste en, a partir de una firma electrónica existente, añadir un nuevo valor de firma al envoltorio que es la firma electrónica en sí.

iii. Firma electrónica servidor en cascada (countersign):
En este tipo de firmas se realiza una firma digital sobre el valor de la firma digital de un firmante concreto, dentro del envoltorio de la firma electrónica. Es decir, es un proceso de aprobación de una firma existente por parte de otro firmante, el cual se incorpora a la misma firma electrónica.

A lo anterior hay que añadir que las firmas se pueden construir en varios formatos: PKCS#7, CMS (compatibilidad con todas sus versiones definidas por la IETF1), XMLSignature Básico, XMLSignature avanzado (XAdES) y CMS avanzado (CAdES).

Todo lo aplicable en este punto se corresponde con la firma de servidor de la Plataforma, a lo cual hay que añadir las capacidades de firma disponibles en el componente informático o cliente de firma electrónica distribuido a los usuarios de la Plataforma que así lo requieran. Igualmente, entre los servicios de firma disponibles en la Plataforma, se dispone de varios que complementan o completan las firmas iniciadas en un entorno cliente con el componente señalado o cualquier otro; se relacionan en la lista siguiente como “Firma Usuario”.

En cuanto a la Autoridad de sellado de tiempos (TSA) se dispone del servicio web para Solicitar sello de tiempo o un TimeStampReq si se realiza directamente en formato ASN.1

C) Servicios auxiliares y de administración de transacciones.

Los servicios de este apartado se corresponden con aquellos considerados como subsidiarios de los de firma y validación. Permiten a los organismos disponer de una trazabilidad y auditabilidad completa de las operaciones realizadas en la Plataforma. Asimismo, se incluyen operaciones de custodia de transacciones y hashes de documentos firmados.

Inclusive, se dispone de servicios que aseguran la compatibilidad hacia atrás de transacciones realizadas en la versión 4.0 de @firma.

6.2. Certificados reconocidos por la Plataforma

La plataforma @firma admite certificados digitales reconocidos conforme el estándar ITU-T X.509 v3, emitidos por múltiples prestadores de servicios de certificación. Todos los prestadores se encuentran inscritos en el registro de la Secretaria de Estado de Telecomunicaciones y para la Sociedad de Información del Ministerio de Industria, Turismo y Comercio de autoridades conforme a lo establecido en el artículo 30 de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

Puede encontrar amplia información en el documento Declaración de Prácticas de Certificación de @firma a través del servicio de soporte de @firma o en la página web: http://www.dnielectronico.es/seccion_aapp/rel_autoridades.html

6.3. Cliente de Firma

El cliente de firma es una utilidad para la firma digital de datos o ficheros. Tiene como característica principal que se ejecuta en el ordenador del cliente (es decir, en el cliente), no en el servidor web.

El cliente permite la realización de las siguientes operaciones:

  • Firma Formularios Web (con y sin adjuntos)
  • Firma Ficheros binarios
  • Firma Masiva ficheros binarios
  • Firma Multiformato: CMS, XMLDsig, XAdES, CAdES
  • Co-firma (CoSign) o Multifirma al mismo nivel.
  • Contra-Firma (CounterSign) o Multifirma en cascada.
  • Cifrado de datos y realización de sobre digital.

El cliente consta de un Cliente básico y Plugin XAdES que se descarga en el navegador del usuario (Internet Explorer y Mozilla Firefox) y se encarga de realizar la firma utilizando uno de los certificados dados de alta en dicho navegador. Este componente sólo se descarga una vez desde un servidor y se autoinstala en la máquina del usuario. Cualquier actualización se realizará sobre ya lo instalado.

7. Incorporación del Fichero Automatizado de Validación y Firma Electrónica a la relación de ficheros automatizados del Ministerio de Administraciones Públicas

Por ORDEN APU/793/2008, de 5 de marzo (BOE de 25 de marzo) se modifica la Orden APU/793/2004, de 10 de junio, reguladora de los ficheros de datos de carácter personal del Ministerio de Administraciones Públicas y de sus organismos públicos, incorporando a la relación de ficheros automatizados que figura en el Anexo I de dicha Orden el Fichero Automatizado de Validación de Firma Electrónica.

8. Formación

Por Resolución de 5 de febrero de 2010, el Instituto Nacional de Administración Pública convoca el Plan de Administración Electrónica para el primer semestre de 2010. Entre estos cursos está uno dedicado a "Implementación de servicios de firma electrónica con @firma", que se celebrará deñ 12 al 16 de abril, y otro dedicado a "Plataforma @firma y plataforma de seguridad", que se celebrará del 24 al 28 de mayo.

Buzón del Ciudadano | Comentarios y Sugerencias