Seguritecnia 341

72 SEGURITECNIA Mayo 2008 II Jornadas de Seguridad en Entidades Financieras PKCS#7, SMIME, OCSP, XAdES, XML/DSIG, etc. A esto se unió la creciente demanda por parte de los departa- mentos verticales del Banco de un canal web que incluyera firma electrónica y autenticación basada en certificados, por medio del cual se pudieran ofrecer servicios en Inter- net. Todo ello llevó a los responsables de Seguridad Infor- mática del BDE a iniciar una segunda fase del proyecto PKIBDE que diera solución a dichas necesidades. Esta fase ha sido desarrollada a lo largo del presente año. Requisitos a cubrir por el nuevo proyecto En el Banco de España, como ocurre en gran número de organizaciones, existe una gran variedad de entor- nos tecnológicos (IBM z/OS, Microsoft Windows, IBM AIX,…), con diversas arquitecturas de ejecución de apli- caciones (COBOL/DB2, .NET, J2EE,…). Además, dichas aplicaciones pueden ejecutarse tanto en la intranet del BDE como en las redes perimetrales de acceso a las di- versas redes de área extensa con las que existe conexión (Internet, SwiftNet , Intranet Administrativa,…). Por tanto, en el estudio previo que se llevó a cabo, se determinó que la integración con PKI no podía orien- tarse a desarrollos particulares para cada plataforma susceptible de requerir funcionalidades de clave pública a corto o medio plazo. Más bien había que buscar una solución global con visibilidad a largo plazo, fundamen- tada en una Arquitectura Orientada a Servicios (Ser- vice-Oriented Architecture, o SOA), tan en boga en la actualidad. L a necesidad de dotar al Banco de España (BDE) de un sistema informático capaz de emitir certifica- dos electrónicos basados en tarjeta criptográfica para sus usuarios internos, llevó a esta entidad a implan- tar una infraestructura de Clave Pública corporativa du- rante el año 2004. Como objetivos de dicho proyecto, que se denominó PKIBDE, además de la emisión de tres certificados por usuario (para autenticación, firma electrónica y cifrado, respectivamente) se incluyeron funcionalidades básicas fundamentadas en la tarjeta como el inicio de sesión en el puesto de trabajo, el acceso remoto a la red utilizando dicho dispositivo, y la firma electrónica y cifrado de co- rreo electrónico y documentos ofimáticos. Por otra parte, debido a la relación del BDE con diver- sidad de entidades externas, se incluyó en el alcance del proyecto la configuración de la Autoridad de Validación (VA, Validation Authority) de la PKI para informar tam- bién sobre el estado de los certificados de Prestadores de Servicios de Certificación (PSC’s) como CERES-FNMT y el DNI electrónico; además, se definió una política de certificación que instrumentaba la emisión de certifica- dos para usuarios externos, exclusivamente para sus re- laciones con el Banco. Sin embargo, ya en las fases preliminares del proyecto, se intuyó la necesidad de facilitar la integración con la PKI a las aplicaciones informáticas desarrolladas ad hoc en el BDE. Era necesario que tareas requeridas por mu- chas de ellas como firmar electrónicamente un formula- rio en el puesto del usuario, verificar una firma o validar y extraer información de un certificado, no fueran com- plejas. Se pretendía evitar a las aplicaciones tener que li- diar con las estructuras de datos y protocolos específi- cos de la tecnología de clave pública, como X.509, CMS/ “Implantación de Servicios Avanzados de PKI en el canal web de Internet del Banco de España” En este artículo se describe cómo el Banco de España, tras implantar su Infraestructura de Clave Pública, ha abordado la integración de los servicios de PKI en las aplicaciones corporativas. Con este objetivo, a lo largo del año 2007, se ha llevado a cabo el proyecto de implantación de una arquitectura orientada a servicios basada en el producto TrustedX Web Services de Safelayer. El trabajo ha sido ejecutado por la Unidad de Seguridad Informática del Departamento de Sistemas de Información y Procesos de la entidad, con la colaboración de Indra. Unidad de Seguridad Informática (Sistemas de Seguridad) de Indra. “Era necesario que tareas requeridas por muchas aplicaciones como firmar electrónicamente un formulario en el puesto del usuario, verificar una firma o validar y extraer información de un certificado, no fueran complejas.”