Page 1

Servicios Web de validación y componentes adicionales  Problemática inicial – Aumento de los Prestadores de Servicios de Certificación • Surgen perfiles de certificados diferentes y se modifican los ya existentes. • El desarrollador se ve en la necesidad de realizar código adicional para cada uno de ellos • Necesita conocer los mecanismos de validación disponibles para cada PSC

– Es necesario independizar en la medida de lo posible las aplicaciones de las peculiaridades de los distintos PSC

www.pki.gva.es


Servicios Web de validación y componentes adicionales  Problemática inicial – La firma digital esta ligada al momento de su generación • No se contempla la comprobación a largo plazo • La validez de la firma esta sujeta a la validez del certificado • Imposible plantear un archivo de documentos firmados

– Hay que garantizar: • Validez de la firma en el momento de su generación • Independencia del estado del certificado en el futuro

www.pki.gva.es


Servicios Web de validación y componentes adicionales  Solución – La Autoridad de Certificación debe conocer los perfiles de los distintos PSC. – Proporciona los mecanismos y herramientas para validar por parte de las aplicaciones: • Con diferentes PSC • Firmas independientemente del estado actual del certificado

– Facilita la labor de desarrollo: • El programador solo debe conocer los Servicios Web y como invocarlos

www.pki.gva.es


Servicios Web de validación y componentes adicionales  Servicios ofrecidos – Desarrollo utilizando estandares • • • • •

SOAP XML-RPC PKCS7 SMIME XML-DSIG

– Se proporcionan métodos para: • Comprobar la validez de los certificados • Obtener campos identificatívos: DNI, Nombre, e-mail • Conseguir elementos necesarios para validar a posteriori

www.pki.gva.es


Servicios Web de validación y componentes adicionales

 Servicios ofrecidos – ETSI TS 101 733 • Estandar para el formato de firmas a largo plazo • Define los elementos necesarios para efectuar dicha comprobación – Firma original – Token OCSP/CRL (Información de validación) – Sello de Tiempo – Garantía de una tercera parte confiable ( firma de aplicación de la Autoridad de Certificación realizada por el Servicio Web)

www.pki.gva.es


Servicios Web de validación y componentes adicionales  Servicios ofrecidos – Resumen de los metodos disponibles: • comprueba_firma – Comprueba la validez de una firma en formato PKCS#7, a partir del documento original y dicha firma. • comprueba_firma_hash – Igual al anterior, pero aceptando el resumen sha-1 del documento. • getNIF – Obtiene el NIF de un certificado • getNombre – Obtiene el nombre de un certificado • getEstado – Obtiene el estado de validez de un certificado

www.pki.gva.es


Servicios Web de validación y componentes adicionales  Servicios ofrecidos – Resumen de los métodos disponibles • getToken – Obtiene, a partir de una firma en formato PKCS#7 y sus datos asociados, un objeto que contiene: » Firma original » Token OCSP (del certificado incluido en la firma ) » Token TSS ( Sello de tiempo de la firma) » Firma de todos los anteriores elementos por el Servicio Web • getVerifyToken – Obtiene una cadena XML con la informacion del token • getEstadoToken – Obtiene el estado del token (comprueba todos sus elementos)

www.pki.gva.es


Servicios Web de validación y componentes adicionales  Servicios ofrecidos – Resumen de los métodos disponibles • getToken_hash – Obtiene, a partir de una firma en formato PKCS#7 y el resumen SHA-1 del documento original, un objeto que contiene: » Firma original » Token OCSP (del certificado incluido en la firma ) » Token TSS ( Sello de tiempo de la firma) » Firma de todos los anteriores elementos por el Servicio Web • getVerifyToken_hash – Obtiene una cadena XML con la informacion del token • getEstadoToken_hash – Obtiene el estado del token (comprueba todos sus elementos) www.pki.gva.es


Servicios Web de validación y componentes adicionales  Servicios ofrecidos – Resumen de los métodos disponibles • getToken_IO – Método para garantizar la compatibilidad hacia atrás con las versiones antiguas de la libreria IDEAS, toma como entrada el documento, la firma y el certificado y obtiene: » Firma original » Token OCSP (del certificado incluido en la firma ) » Token TSS ( Sello de tiempo de la firma) » Firma de todos los anteriores elementos por el Servicio Web • getToken_hash_IO – Igual al anterior, pero aceptando como parámetro de entrada el resumen SHA-1 del documento.

www.pki.gva.es


Servicios Web de validación y componentes adicionales  Servicios ofrecidos – Resumen de los métodos disponibles • getTokenTimestamp – Obtiene el sello de tiempo asociado al documento que se la pasa como parametro, en el formato definido por el RFC3161

– Notas: • Los métodos se duplican para aceptar el resumen del documento. • Este resumen es de longitud fija, y el caso de SHA-1, ocupa 160 bits. • Facilita el manejo de documentos firmados de gran tamaño, con los ahorros de ancho de banda y almacenamiento que conlleva.

www.pki.gva.es


Servicios Web de validación y componentes adicionales  Servicios de Sellado de Tiempo – Indispensables para el resto de servicios – Token TSS • Liga un dato ( cualquier dato, por ejemplo un firma ) a un tiempo • Esta firmado por la Autoridad de Sellado de Tiempo (TSA) • Basado en el estandar RFC-3161

– Es necesario comprobar la firma para dar validez a la fecha – Comunicación a través de protocolo HTTP (web)

www.pki.gva.es


Servicios Web de validación y componentes adicionales  Evolución – Estos servicios están en constante evolución y desarrollo para: • Adecuarse a los perfiles de los PSC con los que se llega a acuerdos de reconocimiento • Adecuarse a las tecnologías, tanto establecidas como emergentes, que nuestros usuarios demandan. • Adecuarse a la normativa vigente, tanto técnica como legal.

– Se garantiza siempre la compatibilidad hacia atrás. • Se añaden nuevos métodos, respetando los existentes.

www.pki.gva.es


Servicios Web de validación y componentes adicionales

 Futuro inmediato – Añadir soporte de XML-DSIG • Seguir la normativa del IETF y W3C • Proporcionar equivalencia de métodos con soporte a PKCS#7 y XML-DSIG

– Aumentar soporte de sellado de tiempo • Proporcionar funciones de verificación en base a: – Documento y resumen – Firmante

www.pki.gva.es

Prueba  

probamos presentacion ppt