Download - Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores

Secretaría de Estado de Telecomunicaciones y para la Sociedad de la InformaciónSubdirección General de Servicios de Sociedad de la Información

Rafael Pérez [email protected]

Subdirección General de Servicios de la Sociedad de la InformaciónSecretaría de Estado de Telecomunicaciones y para la Sociedad de la Información

VISION OF THE SPANISH REGULATORY AND SUPERVISORY BODY


1. TSL building (CD 2009/767/EC).

2. TSP supervision (Q and non-Q).

3. eID and TS regulation: • Law 59/2003, Directive 1999/93/EC• eIDAS Regulation.

COMPETENCESCOMPETENCES


• Legal framework: CD 767/2009, amended by CD 2010/425/EU and CD 2013/662/EU. First Spanish TSL: June 2010.

– HR: PDF/A PAdES: https://sede.minetur.gob.es/Prestadores/TSL/TSL.pdf– MP XML XAdES: https://sede.minetur.gob.es/Prestadores/TSL/TSL.xml

• Technical specification: ETSI TS 119 612

• Tasks: Establish, maintain, sign, publish, notify links and certs.

• EC: List of Trusted Lists (LoTL):https://ec.europa.eu/digital-agenda/en/eu-trusted-lists-certification-service-providers

TSLTSL


TSLTSL

Spanish TSL: only CSP issuing Qc. Second MS with more TSP!!Effects of the new Regulation: • Transition from CSP issuing Qc to QTSP providing TS.• Expected increase in the number of QTSP providing new QTS?• Transition from mere notification to mandatory prior

authorization.


Current Law 59/2003:

• Supervision of TSP issuing e-certificates (Qc and non-Qc).• Methodology: based on standards (ETSI 101 456, CWA 14167).• Penalties up to 600.000 euros and measures as suspension.

New Regulation:

• Supervision of QTSP but monitoring of non-Q TSP.• Analyse the conformity assessment reports:

• submitted by QTSP, • every 24 months, • audited by an accredited conformity assessment body.

SupervisionSupervision andand controlcontrol


• Inform other SB and the public of security breaches.

• Carry out audits or request a conformity assessment body to perform a conformity assessment of QTSP.

• Grant and withdraw the qualified status to TSP.

• Require that TSP remedy any failure.

• Penalties: left to national legislation.

• Report to the Commission and ENISA.

• Notify the EC the body who grants certification of QSCD.

• Notify the EC the eID schemes subject to mutual recognition.

SupervisionSupervision andand controlcontrol


Legislative process: 2 years, 4 Presidencies, 28 MS. Commission + Council (43 WP Telecom&IS sessions) + EP

Main targets:

• eID: “person identification data” in electronic form uniquely representing a person.

• Reciprocity principle, but no mandatory recognition of low assurance level eID schemes.

• Supervision remains at national level.• No supervision of non-QTSP.

• Qc additional attributes: unique identifiers (national purposes).

• Mandatory certification of QSCD.

• eSeals: based on experience in Qc for legal person.

eIDASeIDAS RegulationRegulation


Market expectations• Arising from the Commission first draft (June 2012).• Recognition of all QTS listed in TSL (already in Directive for Qc!).• New qualified TS: eSeal, eTimestamp, eDelivery, Website auth• Seamless provision of transborder services. • Remote and mobile signature.

Secondary legislation: Implementing and delegated acts.“eIDAS Expert Group” set up: eID issues: ID data, interop, STORK.

Transitional measures: SSCD considered as QSCD, Qc (“reconocido”) considered as Qc (“cualificado”), CSP issuing Qc considered as QTSP but report to be sent in 12 months to SB.

Timeline: Directive repealed as of 1 July 2016! Mutual eID recognition as of 2018.

eIDASeIDAS RegulationRegulation

Plataforma de Identificación, Autenticación y Firma

Proyecto impulsado por la Dirección de Tecnologías de la Información y de las Comunicaciones de la Administración General del Estado.

Alineado con las medidas impulsadas por el Gobierno a raiz del informe CORA (Comisión para la Reforma de las Administraciones Públicas)

Dirección del proyecto

Objetivos del proyecto

Dotar a las Administraciones Públicas de una infraestructura común que proporcione medios para la autenticación y firma

electrónica de los ciudadanos.

Acercar la administración electrónica a los ciudadanos, facilitando su uso y manteniendo la homogeneidad en su

relación con las Administraciones Públicas

Flexibilizar el acceso, permitiendo diversos niveles de seguridad en la autenticación, adecuados a las necesidades de

los distintos servicios ofertados.

Uso de Federación

Objetivos del proyecto

UE

Ofrecer a los ciudadanos un sistema de firma centralizada, basada en certificados personales custodiados en servidor

(DNI en la nube).

Acorde con los estándares internacionales y normas europeas. El objetivo final es que las firmas realizadas con

DNI‐n puedan ser consideradas como firmas reconocidas.

Integración con STORK

Administración General del Estado

Todo tipo de trámites administrativos electrónicos que requieran autenticación y/o firma, limitado a personas físicas.

Ciudadanos Españoles y extranjeros con NIE

Alcance del proyecto

Agencia Tributaria (AEAT)

• Gestión del Registro de usuarios del sistema.• Autenticación PIN24H.

Dirección General de la Policía (DGP)

• Emisión de certificados centralizados (PKI del DNI). • Custodia de las claves privadas.

Gerencia de Informática de la Seguridad Social (GISS)

• Autenticación usuario y contraseña (+SMS).• Proceso de firma centralizada.

Dirección General de Modernización Administrativa, Procedimientos e

Impulso de la Administración Electrónica (DGMAPIAE)• Pasarela de autenticación.• Pasarela de Firma.

Administraciones participantes

Registro de usuarios presencial o telemático con certificado digital.

Firma de contrato y entrega del código de activación.

Activación de usuarios mediante el

código de activación y código de

un solo uso (OTP – One Time Password) enviado por SMS.

Autenticación basada en usuario, contraseña y SMS (OTP)

delegada

en Proveedores de Identidad que permiten federación

El uso de la federación permitirá

a corto plazo la entrada única a las

aplicaciones (SSO – Single Sign On)

Otras características

Los certificados

de los ciudadanos están en un servidor centralizado

custodiados con fuertes medidas de seguridad.

Para acceder a ellos el titular necesita autenticar con usuario y contraseña e introducir una código de un solo uso enviada por teléfono (autenticación de doble factor).

La firma se realiza en el servidor y no en el equipo del usuario.

El ciudadano no tiene que preocuparse de la gestión de los certificados y puede firmar desde cualquier dispositivo.

ADMINISTRACIÓNCIUDADANO

Firma en la nube

Gracias por

su

atención

Plataforma de Identificación, Autenticación y Firma

Cluster 1: Identificación

Proveedores de Identidad (IdP) ≠

Proveedores de servicios (SP)

• SP: Servicio de administración electrónica

• IdP: verifican identidad delciudadano y la comunican al SP.

• @firma:

Datos de identidad (Nombre/Apellidos y nºDNI) en el certificado.

• Cl@ve: Proxy de IdP:– PIN24H de la AEAT– Usuario/Contraseña (+OTP) de la SS– @firma– Stork

Federación de identidades: Cl@ve

Gestor de

identidades –

Cl@veServicio de e‐

Admon

STORK

@firma

AEAT

GISS

Comunicación

mediante

redirecciones

del navegador(aserciones

SAML)

Comunicación mediante

redirecciones del navegador(aserciones SAML)

Intermediador de

eID extranjeros

Proveedor del

servicio (SP)

Proveedores de

identidad (IdP)

Intermediador

identidades

basadas en DNIe y

certificados

IdP

IdP

IdP

IdP

Basado en SAML y STORK

Niveles

• Registro– Presencial– Con certificado reconocido– No presencial

• El ciudadano firma un ‘acepto’

• Nivel de calidad de la credencial (QAA) ‐

en base a análisis ENS

• Basados en el QAA de STORK

Niveles

Portal AeIdentificarseIdentificarse

Mensajes SAML2 ‐

Servicio que invoca (SP), nivel de calidad de eID exigido, firmado por SP3 ‐

Servicio que invoca (SP), nivel de calidad de eID, firmado por Cl@ve4 –

Respuesta de la identificación, firmada por IdP5 –

Respuesta de la identificación, firmada por Cl@ve

Cl@ve

DNIe / CertificadoDNIe / Certificado

Usuario/Contraseñ

a

Usuario/Contraseñ

a

STORKSTORK

PIN24HPIN24H

IdPUsuarioPwd

Cl@ve

SP

IdP

2

1

3

4

5

Con interacción con el usuarioSin interacción con el usuario

Navegador

del usuario

Interacción con el usuario

Acceso con

Integración de cl@ve en las Sedes Electrónicas

PIN24H

CONTRASEÑA

CERTIFICADO ELECTRÓNICO

SOY CIUDADANO

EUROPEO

Aspecto del intermediador

3. El ciudadano selecciona el proveedor de identidad (PIN24H) que quiere utilizar

Si el ciudadano ya tiene un PIN24H puede autenticarse directamente

Ejemplo de control de acceso con PIN24H

Ejemplo de control de acceso con PIN24H

4. Si la validación del PIN24H es correcta el ciudadano es redirigido a la Sede de Muface (proveedor de servicios) autenticado y con acceso al servicio solicitado

Usuario autenticado

Cluster 2: Servicios de confianza: Firma

Ejemplos de uso de Cl@ve

Niveles

Validación de las firmas

• Con @firma VA: – Con certificados:

» En software = firma avanzada» En tarjeta (SSCD =firma reconocida)» No reconocidos (se indica en la respuesta)

– Con certificados extranjeros

(si están en las TSL)– Con certificados en la nube.

• Certificados de persona física y jurídica (Sello, legal person)

• Formatos de firma acordes a la normativa europea.– Decisión 2011/130 => Decisión 2014/148

Realización de firma

• El ciudadano elige el dispositivo. Neutralidad tecnológica.

– Firmas en PC: con miniapplet o aplicación local (sin applets)

• Windows• Linux• MAC

– Firmas en móvil: con APP local: Cliente Movil• Android• iOS• Windows

– Firmas en la nube: desde el navegador (sin applets)

Gracias por

su

atención

Download - Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores

Top Related