Seguritecnia 334

SEGURITECNIA Octubre 2007 112 S EG63*%A% E/ E /T*%A%ES ' */A/$*E3AS España y las de la FNMT y el Ministerio de Administra- ciones Públicas para la validación del DNI electrónico. Una vez definidas las diferentes entidades se ha pro- cedido al análisis de las necesidades de validación y ve- rificación de certificados y firmas por parte de las apli- caciones. T8S soporta diferentes formatos de firma, es- tructurados en base a perfiles, uno de los cuales es el de validación de estado de un certificado. El mecanismo para lograr que diferentes entidades (o grupos de ellas) accedan a los mismos servicios básicos, aunque discri- minando por tipo de certificado se ha logrado mediante una adecuada definición de reglas y políticas de valida- ción y verificación. formación de diferentes atributos o extensiones según el PSC. De esta forma, una aplicación siempre manejará un 9ML idéntico de salida, independientemente del tipo de certificado. Una vez definidas las reglas se ha procedido a su agru- pación en diferentes políticas en base a los criterios ma- nifestados por el Banco de España. Una vez definidos, tanto los actores como las diferen- tes reglas, queda enlazarlas de forma que el resultado sea el deseado, esto es, que a una determinada aplicación, una vez autenticada se le autorice, en base principal- mente a su pertenencia a grupos, a consumir determina- dos recursos, aplicándole la política adecuada. Es decir, se han definido una serie de reglas de autorización por medio de las cuales se autoriza a una determinada apli- cación a que aplique una determinada política de valida- ción o verificación. La labor principal de Indra Sistemas ha consistido por tanto en el diseño de un adecuado mapa de políticas y reglas que permitan dar los servicios necesarios en la ac- tualidad, y que permita el crecimiento y evolución de la plataforma según surjan nuevas necesidades, ya sea in- corporando nuevos componentes de servicio (T8S-DS para funcionalidad de firma en servidor, T8S-DR para implementar l no repudio, etcy), ya sea incorporando nuevos PSCs con nuevos requerimientos. La f lexibili- dad, escalabilidad, facilidad de integración y sencillez de la plataforma Trusted9¥ 8S proporcionan la seguridad de disponer de los mimbres necesarios para un adecuado crecimiento de los servicios infraestructurales relaciona- dos con P,I desplegados por el Banco de España. Conclusiones Mediante el despliegue e integración de los Trusted9¥ de Safelayer en la segunda fase del proyecto P,IBDE, el Banco de España ha cubierto las necesidades de firma electrónica y gestión de certificados más demandadas por sus aplicaciones corporativas, evitando recurrir a so- luciones de corto plazo. Se ha apostado por una arquitectura basada en 8eC 4erWiDes , con capacidades de escalabilidad, tanto de re- cursos como de servicios, de modo que añadir nuevas funcionalidades como, por ejemplo, firma longeva o ci- frado centralizado, no sea traumático para la infraes- tructura desplegada Indra consolida con este proyecto su experiencia en el despliegue de soluciones corporativas de firma e identificación, área en la que acumula un im- portante número de experiencias de éxito. h(a sido necesario un análisis de las necesidades del Banco de %spa×a para una correcta definición de los diferentes componentes de Trusted8v A nivel de regla, se permite definir las CAs permiti- das en la aplicación de la regla, los mecanismos de vali- dación que se prefieren para la misma, y el formato de la información de respuesta que se desea. Así por ejem- plo, mientras que los certificados de CERES-FNMT y del DNI se van a validar mediante el uso de VAs exclusiva- mente, los certificados corporativos se evaluarán en pri- mera instancia contra CRLs, y en segunda instancia con- tra la VA corporativa. También a nivel de regla se especifica el formato de sa- lida de la información. Una de las tareas más tediosas a la hora de manejar certificados es la multitud de posibilida- des a tener en cuenta en función del PSC manejado. Di- ferentes extensiones, políticas, formatosy hacen que una aplicación que desee manejar un nuevo tipo de certifica- dos deba invertir mucho tiempo y esfuerzo en adaptarse. Trusted9 solventa de una manera elegante este inconve- niente mediante el uso de plantillas de estilo 9SLT. Bá- sicamente existen plantillas para formatear la informa- ción contenida en el certificado, CRLs, respuestas OCSP y sellos de tiempo. Adicionalmente permite definir plan- tillas de información adicional que aglutinen toda la in- formación necesaria. En el caso del Banco de España se ha procedido a la creación de una plantilla para cada tipo de PSC, de forma que sea capaz de cumplimentar una fi- cha común de datos para las aplicaciones, tomando la in-