vision of the spanish regulatory and supervisory bodyleidas+visionage.pdfen la autenticación,...
TRANSCRIPT
![Page 1: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/1.jpg)
Secretaría de Estado de Telecomunicaciones y para la Sociedad de la InformaciónSubdirección General de Servicios de Sociedad de la Información
Rafael Pérez [email protected]
Subdirección General de Servicios de la Sociedad de la InformaciónSecretaría de Estado de Telecomunicaciones y para la Sociedad de la Información
VISION OF THE SPANISH REGULATORY AND SUPERVISORY BODY
![Page 2: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/2.jpg)
Secretaría de Estado de Telecomunicaciones y para la Sociedad de la InformaciónSubdirección General de Servicios de Sociedad de la Información
1. TSL building (CD 2009/767/EC).
2. TSP supervision (Q and non-Q).
3. eID and TS regulation: • Law 59/2003, Directive 1999/93/EC• eIDAS Regulation.
COMPETENCESCOMPETENCES
![Page 3: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/3.jpg)
Secretaría de Estado de Telecomunicaciones y para la Sociedad de la InformaciónSubdirección General de Servicios de Sociedad de la Información
• Legal framework: CD 767/2009, amended by CD 2010/425/EU and CD 2013/662/EU. First Spanish TSL: June 2010.
– HR: PDF/A PAdES: https://sede.minetur.gob.es/Prestadores/TSL/TSL.pdf– MP XML XAdES: https://sede.minetur.gob.es/Prestadores/TSL/TSL.xml
• Technical specification: ETSI TS 119 612
• Tasks: Establish, maintain, sign, publish, notify links and certs.
• EC: List of Trusted Lists (LoTL):https://ec.europa.eu/digital-agenda/en/eu-trusted-lists-certification-service-providers
TSLTSL
![Page 4: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/4.jpg)
Secretaría de Estado de Telecomunicaciones y para la Sociedad de la InformaciónSubdirección General de Servicios de Sociedad de la Información
TSLTSL
Spanish TSL: only CSP issuing Qc. Second MS with more TSP!!Effects of the new Regulation: • Transition from CSP issuing Qc to QTSP providing TS.• Expected increase in the number of QTSP providing new QTS?• Transition from mere notification to mandatory prior
authorization.
![Page 5: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/5.jpg)
Secretaría de Estado de Telecomunicaciones y para la Sociedad de la InformaciónSubdirección General de Servicios de Sociedad de la Información
Current Law 59/2003:
• Supervision of TSP issuing e-certificates (Qc and non-Qc).• Methodology: based on standards (ETSI 101 456, CWA 14167).• Penalties up to 600.000 euros and measures as suspension.
New Regulation:
• Supervision of QTSP but monitoring of non-Q TSP.• Analyse the conformity assessment reports:
• submitted by QTSP, • every 24 months, • audited by an accredited conformity assessment body.
SupervisionSupervision andand controlcontrol
![Page 6: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/6.jpg)
Secretaría de Estado de Telecomunicaciones y para la Sociedad de la InformaciónSubdirección General de Servicios de Sociedad de la Información
• Inform other SB and the public of security breaches.
• Carry out audits or request a conformity assessment body to perform a conformity assessment of QTSP.
• Grant and withdraw the qualified status to TSP.
• Require that TSP remedy any failure.
• Penalties: left to national legislation.
• Report to the Commission and ENISA.
• Notify the EC the body who grants certification of QSCD.
• Notify the EC the eID schemes subject to mutual recognition.
SupervisionSupervision andand controlcontrol
![Page 7: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/7.jpg)
Secretaría de Estado de Telecomunicaciones y para la Sociedad de la InformaciónSubdirección General de Servicios de Sociedad de la Información
Legislative process: 2 years, 4 Presidencies, 28 MS. Commission + Council (43 WP Telecom&IS sessions) + EP
Main targets:
• eID: “person identification data” in electronic form uniquely representing a person.
• Reciprocity principle, but no mandatory recognition of low assurance level eID schemes.
• Supervision remains at national level.• No supervision of non-QTSP.
• Qc additional attributes: unique identifiers (national purposes).
• Mandatory certification of QSCD.
• eSeals: based on experience in Qc for legal person.
eIDASeIDAS RegulationRegulation
![Page 8: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/8.jpg)
Secretaría de Estado de Telecomunicaciones y para la Sociedad de la InformaciónSubdirección General de Servicios de Sociedad de la Información
Market expectations• Arising from the Commission first draft (June 2012).• Recognition of all QTS listed in TSL (already in Directive for Qc!).• New qualified TS: eSeal, eTimestamp, eDelivery, Website auth• Seamless provision of transborder services. • Remote and mobile signature.
Secondary legislation: Implementing and delegated acts.“eIDAS Expert Group” set up: eID issues: ID data, interop, STORK.
Transitional measures: SSCD considered as QSCD, Qc (“reconocido”) considered as Qc (“cualificado”), CSP issuing Qc considered as QTSP but report to be sent in 12 months to SB.
Timeline: Directive repealed as of 1 July 2016! Mutual eID recognition as of 2018.
eIDASeIDAS RegulationRegulation
![Page 9: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/9.jpg)
Plataforma de Identificación, Autenticación y Firma
![Page 10: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/10.jpg)
Proyecto impulsado por la Dirección de Tecnologías de la Información y de las Comunicaciones de la Administración General del Estado.
Alineado con las medidas impulsadas por el Gobierno a raiz del informe CORA (Comisión para la Reforma de las Administraciones Públicas)
Dirección del proyecto
![Page 11: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/11.jpg)
Objetivos del proyecto
Dotar a las Administraciones Públicas de una infraestructura común que proporcione medios para la autenticación y firma
electrónica de los ciudadanos.
Acercar la administración electrónica a los ciudadanos, facilitando su uso y manteniendo la homogeneidad en su
relación con las Administraciones Públicas
Flexibilizar el acceso, permitiendo diversos niveles de seguridad en la autenticación, adecuados a las necesidades de
los distintos servicios ofertados.
Uso de Federación
![Page 12: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/12.jpg)
Objetivos del proyecto
UE
Ofrecer a los ciudadanos un sistema de firma centralizada, basada en certificados personales custodiados en servidor
(DNI en la nube).
Acorde con los estándares internacionales y normas europeas. El objetivo final es que las firmas realizadas con
DNI‐n puedan ser consideradas como firmas reconocidas.
Integración con STORK
![Page 13: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/13.jpg)
Administración General del Estado
Todo tipo de trámites administrativos electrónicos que requieran autenticación y/o firma, limitado a personas físicas.
Ciudadanos Españoles y extranjeros con NIE
Alcance del proyecto
![Page 14: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/14.jpg)
Agencia Tributaria (AEAT)
• Gestión del Registro de usuarios del sistema.• Autenticación PIN24H.
Dirección General de la Policía (DGP)
• Emisión de certificados centralizados (PKI del DNI). • Custodia de las claves privadas.
Gerencia de Informática de la Seguridad Social (GISS)
• Autenticación usuario y contraseña (+SMS).• Proceso de firma centralizada.
Dirección General de Modernización Administrativa, Procedimientos e
Impulso de la Administración Electrónica (DGMAPIAE)• Pasarela de autenticación.• Pasarela de Firma.
Administraciones participantes
![Page 15: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/15.jpg)
Registro de usuarios presencial o telemático con certificado digital.
Firma de contrato y entrega del código de activación.
Activación de usuarios mediante el
código de activación y código de
un solo uso (OTP – One Time Password) enviado por SMS.
Autenticación basada en usuario, contraseña y SMS (OTP)
delegada
en Proveedores de Identidad que permiten federación
El uso de la federación permitirá
a corto plazo la entrada única a las
aplicaciones (SSO – Single Sign On)
Otras características
![Page 16: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/16.jpg)
Los certificados
de los ciudadanos están en un servidor centralizado
custodiados con fuertes medidas de seguridad.
Para acceder a ellos el titular necesita autenticar con usuario y contraseña e introducir una código de un solo uso enviada por teléfono (autenticación de doble factor).
La firma se realiza en el servidor y no en el equipo del usuario.
El ciudadano no tiene que preocuparse de la gestión de los certificados y puede firmar desde cualquier dispositivo.
ADMINISTRACIÓNCIUDADANO
Firma en la nube
![Page 17: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/17.jpg)
Gracias por
su
atención
![Page 18: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/18.jpg)
Plataforma de Identificación, Autenticación y Firma
![Page 19: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/19.jpg)
Cluster 1: Identificación
![Page 20: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/20.jpg)
Proveedores de Identidad (IdP) ≠
Proveedores de servicios (SP)
• SP: Servicio de administración electrónica
• IdP: verifican identidad delciudadano y la comunican al SP.
• @firma:
Datos de identidad (Nombre/Apellidos y nºDNI) en el certificado.
• Cl@ve: Proxy de IdP:– PIN24H de la AEAT– Usuario/Contraseña (+OTP) de la SS– @firma– Stork
![Page 21: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/21.jpg)
Federación de identidades: Cl@ve
Gestor de
identidades –
Cl@veServicio de e‐
Admon
STORK
@firma
AEAT
GISS
Comunicación
mediante
redirecciones
del navegador(aserciones
SAML)
Comunicación mediante
redirecciones del navegador(aserciones SAML)
Intermediador de
eID extranjeros
Proveedor del
servicio (SP)
Proveedores de
identidad (IdP)
Intermediador
identidades
basadas en DNIe y
certificados
IdP
IdP
IdP
IdP
Basado en SAML y STORK
![Page 22: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/22.jpg)
Niveles
![Page 23: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/23.jpg)
• Registro– Presencial– Con certificado reconocido– No presencial
• El ciudadano firma un ‘acepto’
• Nivel de calidad de la credencial (QAA) ‐
en base a análisis ENS
• Basados en el QAA de STORK
Niveles
![Page 24: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/24.jpg)
Portal AeIdentificarseIdentificarse
Mensajes SAML2 ‐
Servicio que invoca (SP), nivel de calidad de eID exigido, firmado por SP3 ‐
Servicio que invoca (SP), nivel de calidad de eID, firmado por Cl@ve4 –
Respuesta de la identificación, firmada por IdP5 –
Respuesta de la identificación, firmada por Cl@ve
Cl@ve
DNIe / CertificadoDNIe / Certificado
Usuario/Contraseñ
a
Usuario/Contraseñ
a
STORKSTORK
PIN24HPIN24H
IdPUsuarioPwd
Cl@ve
SP
IdP
2
1
3
4
5
Con interacción con el usuarioSin interacción con el usuario
Navegador
del usuario
Interacción con el usuario
![Page 25: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/25.jpg)
Acceso con
Integración de cl@ve en las Sedes Electrónicas
![Page 26: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/26.jpg)
PIN24H
CONTRASEÑA
CERTIFICADO ELECTRÓNICO
SOY CIUDADANO
EUROPEO
Aspecto del intermediador
![Page 27: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/27.jpg)
3. El ciudadano selecciona el proveedor de identidad (PIN24H) que quiere utilizar
Si el ciudadano ya tiene un PIN24H puede autenticarse directamente
Ejemplo de control de acceso con PIN24H
![Page 28: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/28.jpg)
Ejemplo de control de acceso con PIN24H
4. Si la validación del PIN24H es correcta el ciudadano es redirigido a la Sede de Muface (proveedor de servicios) autenticado y con acceso al servicio solicitado
Usuario autenticado
![Page 29: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/29.jpg)
Cluster 2: Servicios de confianza: Firma
Ejemplos de uso de Cl@ve
![Page 30: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/30.jpg)
Niveles
![Page 31: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/31.jpg)
Validación de las firmas
• Con @firma VA: – Con certificados:
» En software = firma avanzada» En tarjeta (SSCD =firma reconocida)» No reconocidos (se indica en la respuesta)
– Con certificados extranjeros
(si están en las TSL)– Con certificados en la nube.
• Certificados de persona física y jurídica (Sello, legal person)
• Formatos de firma acordes a la normativa europea.– Decisión 2011/130 => Decisión 2014/148
![Page 32: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/32.jpg)
Realización de firma
• El ciudadano elige el dispositivo. Neutralidad tecnológica.
– Firmas en PC: con miniapplet o aplicación local (sin applets)
• Windows• Linux• MAC
– Firmas en móvil: con APP local: Cliente Movil• Android• iOS• Windows
– Firmas en la nube: desde el navegador (sin applets)
![Page 33: Vision of the Spanish Regulatory and Supervisory BodyleIDAS+VisionAGE.pdfen la autenticación, adecuados a las necesidades de los distintos servicios ofertados. ... servicio (SP) Proveedores](https://reader033.vdocument.in/reader033/viewer/2022042020/5e7791bccb955368d720d9cd/html5/thumbnails/33.jpg)
Gracias por
su
atención