Post on 17-Mar-2020
Secretaría de Estado de Telecomunicaciones y para la Sociedad de la InformaciónSubdirección General de Servicios de Sociedad de la Información
Rafael Pérez Galindorperezga@minetur.es
Subdirección General de Servicios de la Sociedad de la InformaciónSecretaría de Estado de Telecomunicaciones y para la Sociedad de la Información
VISION OF THE SPANISH REGULATORY AND SUPERVISORY BODY
Secretaría de Estado de Telecomunicaciones y para la Sociedad de la InformaciónSubdirección General de Servicios de Sociedad de la Información
1. TSL building (CD 2009/767/EC).
2. TSP supervision (Q and non-Q).
3. eID and TS regulation: • Law 59/2003, Directive 1999/93/EC• eIDAS Regulation.
COMPETENCESCOMPETENCES
Secretaría de Estado de Telecomunicaciones y para la Sociedad de la InformaciónSubdirección General de Servicios de Sociedad de la Información
• Legal framework: CD 767/2009, amended by CD 2010/425/EU and CD 2013/662/EU. First Spanish TSL: June 2010.
– HR: PDF/A PAdES: https://sede.minetur.gob.es/Prestadores/TSL/TSL.pdf– MP XML XAdES: https://sede.minetur.gob.es/Prestadores/TSL/TSL.xml
• Technical specification: ETSI TS 119 612
• Tasks: Establish, maintain, sign, publish, notify links and certs.
• EC: List of Trusted Lists (LoTL):https://ec.europa.eu/digital-agenda/en/eu-trusted-lists-certification-service-providers
TSLTSL
Secretaría de Estado de Telecomunicaciones y para la Sociedad de la InformaciónSubdirección General de Servicios de Sociedad de la Información
TSLTSL
Spanish TSL: only CSP issuing Qc. Second MS with more TSP!!Effects of the new Regulation: • Transition from CSP issuing Qc to QTSP providing TS.• Expected increase in the number of QTSP providing new QTS?• Transition from mere notification to mandatory prior
authorization.
Secretaría de Estado de Telecomunicaciones y para la Sociedad de la InformaciónSubdirección General de Servicios de Sociedad de la Información
Current Law 59/2003:
• Supervision of TSP issuing e-certificates (Qc and non-Qc).• Methodology: based on standards (ETSI 101 456, CWA 14167).• Penalties up to 600.000 euros and measures as suspension.
New Regulation:
• Supervision of QTSP but monitoring of non-Q TSP.• Analyse the conformity assessment reports:
• submitted by QTSP, • every 24 months, • audited by an accredited conformity assessment body.
SupervisionSupervision andand controlcontrol
Secretaría de Estado de Telecomunicaciones y para la Sociedad de la InformaciónSubdirección General de Servicios de Sociedad de la Información
• Inform other SB and the public of security breaches.
• Carry out audits or request a conformity assessment body to perform a conformity assessment of QTSP.
• Grant and withdraw the qualified status to TSP.
• Require that TSP remedy any failure.
• Penalties: left to national legislation.
• Report to the Commission and ENISA.
• Notify the EC the body who grants certification of QSCD.
• Notify the EC the eID schemes subject to mutual recognition.
SupervisionSupervision andand controlcontrol
Secretaría de Estado de Telecomunicaciones y para la Sociedad de la InformaciónSubdirección General de Servicios de Sociedad de la Información
Legislative process: 2 years, 4 Presidencies, 28 MS. Commission + Council (43 WP Telecom&IS sessions) + EP
Main targets:
• eID: “person identification data” in electronic form uniquely representing a person.
• Reciprocity principle, but no mandatory recognition of low assurance level eID schemes.
• Supervision remains at national level.• No supervision of non-QTSP.
• Qc additional attributes: unique identifiers (national purposes).
• Mandatory certification of QSCD.
• eSeals: based on experience in Qc for legal person.
eIDASeIDAS RegulationRegulation
Secretaría de Estado de Telecomunicaciones y para la Sociedad de la InformaciónSubdirección General de Servicios de Sociedad de la Información
Market expectations• Arising from the Commission first draft (June 2012).• Recognition of all QTS listed in TSL (already in Directive for Qc!).• New qualified TS: eSeal, eTimestamp, eDelivery, Website auth• Seamless provision of transborder services. • Remote and mobile signature.
Secondary legislation: Implementing and delegated acts.“eIDAS Expert Group” set up: eID issues: ID data, interop, STORK.
Transitional measures: SSCD considered as QSCD, Qc (“reconocido”) considered as Qc (“cualificado”), CSP issuing Qc considered as QTSP but report to be sent in 12 months to SB.
Timeline: Directive repealed as of 1 July 2016! Mutual eID recognition as of 2018.
eIDASeIDAS RegulationRegulation
Plataforma de Identificación, Autenticación y Firma
Proyecto impulsado por la Dirección de Tecnologías de la Información y de las Comunicaciones de la Administración General del Estado.
Alineado con las medidas impulsadas por el Gobierno a raiz del informe CORA (Comisión para la Reforma de las Administraciones Públicas)
Dirección del proyecto
Objetivos del proyecto
Dotar a las Administraciones Públicas de una infraestructura común que proporcione medios para la autenticación y firma
electrónica de los ciudadanos.
Acercar la administración electrónica a los ciudadanos, facilitando su uso y manteniendo la homogeneidad en su
relación con las Administraciones Públicas
Flexibilizar el acceso, permitiendo diversos niveles de seguridad en la autenticación, adecuados a las necesidades de
los distintos servicios ofertados.
Uso de Federación
Objetivos del proyecto
UE
Ofrecer a los ciudadanos un sistema de firma centralizada, basada en certificados personales custodiados en servidor
(DNI en la nube).
Acorde con los estándares internacionales y normas europeas. El objetivo final es que las firmas realizadas con
DNI‐n puedan ser consideradas como firmas reconocidas.
Integración con STORK
Administración General del Estado
Todo tipo de trámites administrativos electrónicos que requieran autenticación y/o firma, limitado a personas físicas.
Ciudadanos Españoles y extranjeros con NIE
Alcance del proyecto
Agencia Tributaria (AEAT)
• Gestión del Registro de usuarios del sistema.• Autenticación PIN24H.
Dirección General de la Policía (DGP)
• Emisión de certificados centralizados (PKI del DNI). • Custodia de las claves privadas.
Gerencia de Informática de la Seguridad Social (GISS)
• Autenticación usuario y contraseña (+SMS).• Proceso de firma centralizada.
Dirección General de Modernización Administrativa, Procedimientos e
Impulso de la Administración Electrónica (DGMAPIAE)• Pasarela de autenticación.• Pasarela de Firma.
Administraciones participantes
Registro de usuarios presencial o telemático con certificado digital.
Firma de contrato y entrega del código de activación.
Activación de usuarios mediante el
código de activación y código de
un solo uso (OTP – One Time Password) enviado por SMS.
Autenticación basada en usuario, contraseña y SMS (OTP)
delegada
en Proveedores de Identidad que permiten federación
El uso de la federación permitirá
a corto plazo la entrada única a las
aplicaciones (SSO – Single Sign On)
Otras características
Los certificados
de los ciudadanos están en un servidor centralizado
custodiados con fuertes medidas de seguridad.
Para acceder a ellos el titular necesita autenticar con usuario y contraseña e introducir una código de un solo uso enviada por teléfono (autenticación de doble factor).
La firma se realiza en el servidor y no en el equipo del usuario.
El ciudadano no tiene que preocuparse de la gestión de los certificados y puede firmar desde cualquier dispositivo.
ADMINISTRACIÓNCIUDADANO
Firma en la nube
Gracias por
su
atención
Plataforma de Identificación, Autenticación y Firma
Cluster 1: Identificación
Proveedores de Identidad (IdP) ≠
Proveedores de servicios (SP)
• SP: Servicio de administración electrónica
• IdP: verifican identidad delciudadano y la comunican al SP.
• @firma:
Datos de identidad (Nombre/Apellidos y nºDNI) en el certificado.
• Cl@ve: Proxy de IdP:– PIN24H de la AEAT– Usuario/Contraseña (+OTP) de la SS– @firma– Stork
Federación de identidades: Cl@ve
Gestor de
identidades –
Cl@veServicio de e‐
Admon
STORK
@firma
AEAT
GISS
Comunicación
mediante
redirecciones
del navegador(aserciones
SAML)
Comunicación mediante
redirecciones del navegador(aserciones SAML)
Intermediador de
eID extranjeros
Proveedor del
servicio (SP)
Proveedores de
identidad (IdP)
Intermediador
identidades
basadas en DNIe y
certificados
IdP
IdP
IdP
IdP
Basado en SAML y STORK
Niveles
• Registro– Presencial– Con certificado reconocido– No presencial
• El ciudadano firma un ‘acepto’
• Nivel de calidad de la credencial (QAA) ‐
en base a análisis ENS
• Basados en el QAA de STORK
Niveles
Portal AeIdentificarseIdentificarse
Mensajes SAML2 ‐
Servicio que invoca (SP), nivel de calidad de eID exigido, firmado por SP3 ‐
Servicio que invoca (SP), nivel de calidad de eID, firmado por Cl@ve4 –
Respuesta de la identificación, firmada por IdP5 –
Respuesta de la identificación, firmada por Cl@ve
Cl@ve
DNIe / CertificadoDNIe / Certificado
Usuario/Contraseñ
a
Usuario/Contraseñ
a
STORKSTORK
PIN24HPIN24H
IdPUsuarioPwd
Cl@ve
SP
IdP
2
1
3
4
5
Con interacción con el usuarioSin interacción con el usuario
Navegador
del usuario
Interacción con el usuario
Acceso con
Integración de cl@ve en las Sedes Electrónicas
PIN24H
CONTRASEÑA
CERTIFICADO ELECTRÓNICO
SOY CIUDADANO
EUROPEO
Aspecto del intermediador
3. El ciudadano selecciona el proveedor de identidad (PIN24H) que quiere utilizar
Si el ciudadano ya tiene un PIN24H puede autenticarse directamente
Ejemplo de control de acceso con PIN24H
Ejemplo de control de acceso con PIN24H
4. Si la validación del PIN24H es correcta el ciudadano es redirigido a la Sede de Muface (proveedor de servicios) autenticado y con acceso al servicio solicitado
Usuario autenticado
Cluster 2: Servicios de confianza: Firma
Ejemplos de uso de Cl@ve
Niveles
Validación de las firmas
• Con @firma VA: – Con certificados:
» En software = firma avanzada» En tarjeta (SSCD =firma reconocida)» No reconocidos (se indica en la respuesta)
– Con certificados extranjeros
(si están en las TSL)– Con certificados en la nube.
• Certificados de persona física y jurídica (Sello, legal person)
• Formatos de firma acordes a la normativa europea.– Decisión 2011/130 => Decisión 2014/148
Realización de firma
• El ciudadano elige el dispositivo. Neutralidad tecnológica.
– Firmas en PC: con miniapplet o aplicación local (sin applets)
• Windows• Linux• MAC
– Firmas en móvil: con APP local: Cliente Movil• Android• iOS• Windows
– Firmas en la nube: desde el navegador (sin applets)
Gracias por
su
atención