Bit4id SmartCMS · Imagen 1: Bit4id Núcleo de la arquitectura de SmartCMS Los componentes...
Transcript of Bit4id SmartCMS · Imagen 1: Bit4id Núcleo de la arquitectura de SmartCMS Los componentes...
1
Bit4id SmartCMS
Sistema de Gestión de Credenciales
(Certificados Digitales)
Infraestructura de Clave Pública
2
Introducción
Bit4id ha desarrollado exitosamente infraestructuras de clave pública en diferentes sectores de
negocio. Con más de 10 millones de usuarios registrados/gestionados, desde funcionarios del
estado hasta médicos, conductores de trenes o representantes de personas jurídicas. Nuestras
soluciones son herramientas clave para muchas organizaciones y organismos públicos,
ofreciendo una flexibilidad sin precedentes y una integración excepcional con las
infraestructuras y procedimientos empresariales existentes, aportando un valor adicional a los
usuarios a lo largo de todo el ciclo de vida de los certificados digitales.
Este documento presenta la arquitectura y las características principales de SmartCMS - Sistema
de Gestión de Credenciales. Un Sistema de Infraestructura de Clave Pública de vanguardista
diseñado por Bit4id.
SmartCMS es la sinergia de los más avanzados componentes PKI (building blocks) que Bit4id ha
mejorado y perfeccionado mediante nuevos desarrollos. Una arquitectura modular que actúa
como piedra angular de nuestra visión y de nuestra arquitectura Digital DNA.
Este documento muestra cómo SmartCMS adecúa los diversos elementos de una infraestructura
PKI a los procesos de negocio. Nuestra experiencia ha sido relevante en el diseño y despliegue
de soluciones integradas como podrá ver en diferentes casos de éxito al final del presente
documento.
Arquitectura y principales características
SmartCMS se basa en el profundo conocimiento que tiene Bit4id de la tecnología PKI con
certificados digitales, valiéndose de sus más de 10 años de experiencia en el diseño de proyectos
y estando a la vanguardia en los últimos desarrollos, Bit4id ofrece soluciones sólidas y de gran
éxito.
A continuación, la imagen 1 muestra el núcleo de la arquitectura modular de SmartCMS.
3
Imagen 1: Bit4id Núcleo de la arquitectura de SmartCMS
Los componentes principales de Bit4id SmartCMS se agrupan en tres áreas principales. Los dos
más importantes son los Adaptadores, encargados de interactuar con diferentes elementos
externos y las Funciones de Gestión. Por último los Aspectos, que ofrecen alta disponibilidad,
registro y supervisión sobre otros componentes.
Adaptadores
SmartCMS ofrece una gran flexibilidad gracias a su arquitectura modular y al extenso uso de
adaptadores que le permiten trabajar e interactuar con una amplia gama de componentes en
diferentes escenarios.
Adaptador de tarjetas y tokens criptográficos. SmartCMS se integra con tarjetas inteligentes y
tokens criptográficos USB desarrollados por Bit4id y otros fabricantes, incluyendo Oberthur,
Athena, ST Microelectronics, G&D, Gemalto, etc. además el adaptador basado en nuestro
Middleware Universal es operativo con cualquier tarjeta inteligente o token criptográfico
compatible con el estándar PKCS#11.
4
Adaptador Autoridad de Certificación. Es capaz de conectar con cualquier autoridad de
certificación compatible con el estándar PKCS#10, incluyendo EJBCA, Verizon Unicert, Entrust,
etc.
SmartCMS también puede comunicarse con varias CAs al mismo tiempo, permitiendo elegir a
los operadores cuál utilizar según las necesidades.
Adaptador Autenticación. Los usuarios se pueden autenticar con una Tarjeta inteligente o un
Token criptográfico USB previamente registrado en el sistema (a través de un proceso inicial de
puesta en marcha, la primera tarjeta inteligente o Token registrado será el que utilizará el
administrador del SmartCMS, cada vez que deba autenticarse), a través de una combinación
de nombre de usuario y contraseña o un Single Sign on basado en SAML.
Adaptador de Impresoras SmartCMS se conecta con sistemas de impresión de terceros
exportando los datos necesarios para la personalización de tarjetas inteligentes, o bien puede
permitir al Operador de emisión activar una tarjeta inteligente a través de una impresora de
tarjetas conectada a un PC. Si se permite a los usuarios autoregistrarse, la impresión puede
realizarse a través del navegador web local del usuario.
Adaptador Base de Datos. Permite que los datos de registro de usuarios puedan importarse
desde diferentes bases de datos, como por ejemplo Microsoft Active Directory, sistemas LDAP,
Oracle, MySQL, PostgreSQL.
Elementos Seguros en la Nube. Con la creciente necesidad de uso de la firma electrónica y
autenticación fuerte desde dispositivos móviles, SmartCMS ya integra la tecnología para
generar, gestionar y utilizar credenciales remotas (claves y certificados) almacenadas en
módulos HSM.
Funciones de Gestión
Gestión del ciclo de vida de Tarjetas y Tokens Criptográficos. Este módulo gestiona todo el ciclo
de vida de las Tarjetas Inteligentes o Tokens Criptográficos USB. Los números de serie de las
tarjetas inteligentes o tokens se introducen en el sistema. SmartCMS puede rastrearlos desde esta
etapa inicial con un control de stock integrado.
Durante la fase de registro, se generan un par de claves en la tarjeta o token y se asocian a un
certificado digital. También es posible generar un par de claves fuera de la tarjeta o token, por
si necesita guardar una copia en un lugar seguro para prevenir su pérdida. Como ejemplo, si
necesitara un certificado para cifrar archivos, la pérdida de clave privada podría ser equivalente
5
a la pérdida de los archivos cifrados, ya que no podrían descifrarse. SmartCMS evita esta
situación desfavorable permitiendo el mantenimiento de una copia del par de claves dentro de
un HSM, donde podrían recuperarse posteriormente.
Gestión de aplicaciones de Tarjetas y Tokens Criptográficos. Las tarjetas inteligentes o tokens
pueden tener aplicaciones Java a bordo para realizar funciones específicas (ej. un programa
de fidelización, monedero electrónico o cualquier otro applet). Este módulo permite administrar
las aplicaciones Java a bordo.
Impresión y Personalización de Tarjetas. Las tarjetas inteligentes pueden personalizarse
eléctricamente mediante la generación de claves y certificados, así como gráficamente con
textos y fotografías impresos. También es posible personalizar chips de proximidad RFID e incluso
bandas magnéticas.
Los sistemas de impresión abarcan desde un dispositivo local, como un lector/grabador de
tarjetas USB, a una impresora especializada que trabaja con colas de trabajo por lotes, o incluso
a un sistema de impresión y producción de terceros más sofisticado.
Gestión de Claves y Certificados. Este módulo se ocupa de la gestión del ciclo de vida de las
claves y certificados digitales generados y almacenados en las tarjetas inteligentes o tokens,
permitiendo la renovación, revocación, suspensión y reactivación de los mismos, comunicando
esta información a la CA que gestiona la CRL o servicio OCSP. A través de un interfaz web,
permite a los suscriptores gestionar, de manera autónoma, sus certificados digitales.
Gestión de usuarios. SmartCMS permite crear una jerarquía de usuarios del sistema con tantos
niveles como sea deseado. Es posible crear una asignación de usuarios simple o policéntrica de
múltiples niveles.
Gestión de Perfiles y Privilegios de Operadores. El sistema permite realizar operaciones en función
de los privilegios asignados a cada rol o perfil. La distribución de funciones es completamente
flexible y personalizable, con el fin de satisfacer las necesidades de cada realidad. Un usuario
podría tener diferentes funciones en diferentes sitios (ej. actuar como un Operador de
Identificación y Registro en una ciudad o ubicación y como Auditor en otra), para maximizar la
flexibilidad operacional y soportar la segregación de funciones.
Gestión de Perfiles de Certificados. Los administradores del sistema pueden crear perfiles de
certificados o modificarlos mediante la generación o eliminación de atributos a través de una
sencilla interfaz web.
6
Aspectos
SmartCMS ofrece servicios funcionales a todos sus componentes:
Alta disponibilidad. Esta característica se basa en la solución de alta disponibilidad de Bit4id, la
cual crea una tipología de IP virtual sobre nodos físicos. Si un nodo está temporalmente
inaccesible, otros nodos intervienen y se ocupan de las solicitudes de los usuarios mientras que
el nodo afectado permanece sin conexión. El mismo componente permite el balanceo de
carga, particularmente útil en entornos de mucho tráfico.
Logs. Todas las operaciones ejecutadas en el sistema pueden registrarse (mediante la
generación de logs) en una base de datos o en un sistema remoto de gestión de logs. La
búsqueda de logs se realiza a través de un interfaz web sencillo de utilizar, el cual permite filtrar
y hacer búsquedas basadas en el tipo de operación, autor o intervalo temporal de tiempo. Los
logs se pueden almacenar de remotamente en un servidor mediante protocolos Syslog y Syslog
NG.
Auditorías. Permite definir un rol de auditor del sistema, cuya función consiste en controlar los
registros de todas las acciones que se hayan realizado en el sistema, obteniendo información
completa del momento, autor y acciones.
Informes. El sistema permite generar múltiples informes; facturación, estado de existencias,
además de estadísticas relativas a usuarios, oficinas de emisión y certificados digitales. En todos
los casos pueden ser enviados a las partes interesadas.
Monitoreo. El componente servidor de SmartCMS dispone de un modo simple y efectivo para
informar sobre su estado a sistemas de monitoreo de red, a través de una página de estado
HTTP.
Bit4id Puntos fuertes
La puesta en marcha con éxito de una PKI no es sólo cuestión de la implementación de un solo
sistema, sino que es el resultado de una integración de tecnologías, legislación vigente, requisitos
organizacionales, y de procesos y procedimientos.
Bit4id dispone de una gran experiencia en todas las fases principales involucradas, tal y como se
resume en la Imagen 2.
7
Imagen 2: PKI Fases de implementación
Diseño del sistema. En esta fase inicial, las principales preguntas a responder son sobre los usuarios
del sistema y cómo describirlos de una manera eficaz en los procesos empresariales relevantes.
Definir el uso y alcance de las claves de los usuarios. Revisar los procedimientos operativos
necesarios de la infraestructura.
CA Setup. Es la consecuencia del paso anterior, creación de una Autoridad de Certificación
Raíz, normalmente alojada en un área principal que ofrece sitios de backup, además de las
Autoridades de Certificación Intermedias a las que se conecta el sistema de RA SmartCMS.
Después de la implementación física, la configuración lógica se realiza mediante la ejecución
de una Ceremonia de Generación de Claves, donde los sistemas se inicializan con sus
correspondientes pares de claves y elementos de administración.
SmartCMS setup. SmartCMS necesita una conexión con la Autoridad de Certificación
(intermedia) para que las solicitudes puedan ser procesadas y autorizadas correctamente, así
como los sistemas de impresión. Las fases descritas permiten la configuración del SmartCMS con
el objetivo de lograr los resultados esperados.
Operaciones. A medida que se abren Oficinas de Registro y los Operadores de Registro están
preparados para atender las solicitudes de los usuarios, el sistema es progresivamente es capaz
8
de gestionar los certificados en todo su ciclo de vida, desde la emisión hasta su caducidad,
pasando por la suspensión, reactivación, revocación o renovación. En esta fase es importante
formar a Usuarios del sistema; Soporte al Help Desk y a los ingenieros técnicos con las
herramientas adecuadas y un amplio conocimiento del sistema, así como monitorear el
rendimiento y correcto funcionamiento del sistema.
Adicionalmente, ya que SmartCMS, como sistema de Autoridad de Registro, suele estar
estrechamente conectado a otros sistemas empresariales, el componente servidor de SmartCMS
dispone de una API completamente accesible para permitir una mejor integración con estos
sistemas empresariales.
Para cada una de estas fases, Bit4id dispone de una experiencia y profundo conocimiento en
dar soporte a organizaciones para alcanzar un adecuado método de trabajo desde el inicio.
9
Cámaras de Comercio Italianas (CCIAA, Italia)
Operando desde 2011 con éxito, este sistema permite a millones de representantes de personas
jurídicas y autónomos disponer de certificados digitales para acceder a servicios de gobierno
electrónico y firmar documentos con validez legal.
Los datos de los usuarios se recuperan del registro de empresas nacionales de Italia. SmartCMS
se comunica con dos CA diferentes para la emisión de certificados digitales, en función de la
tipología de negocio de los clientes. El sistema dispone de un clúster de servidores de
aplicaciones para ofrecer mejores tiempos de respuesta y mayor disponibilidad.
Características a destacar:
• 1,2 millones de usuarios (clientes)
• 2,5 millones de certificados digitales emitidos
• 20.000 usuarios Operadores de Registro y Emisión
• 450 oficinas de Registro (en 107 provincias de Italia)
• Integración con dos Autoridades de Certificación (ARUBA PEC e Infocert)
• Reconocimiento facial de usuarios con gestión integrada de documentos de identidad
• Integración de control de stocks
• Módulos de pago con diferentes opciones
• Informes de facturación
• Renovación automática de certificados a través de la web
• Lectura de código de barras de la tarjeta inteligente para facilitar el proceso de registro
• Sistema configurado en alta disponibilidad
10
Colegio de Notarios (Notartel, Italia)
El Consejo Italiano de Notarios necesitaba una solución completa para permitir a sus asociados
obtener certificados digitales específicos para el desarrollo de sus actividades profesionales.
La solución de Bit4id permitió a los notarios gestionar los registros de solicitudes: pudiendo solicitar
diferentes tipos de certificados para diferentes usos, a través de una página web protegida y
dedicada. Gracias a la tecnología de Bit4id, los usuarios gestionan la inicialización y
configuración de sus tarjetas inteligentes (generación de pares de claves) desde sus
navegadores.
Adicionalmente, los certificados se pueden almacenar en un clúster de HSMs, para utilizarlos a
través de una autenticación con contraseñas de un solo uso (OTP). Así mismo, Bit4id desarrolló
toda la infraestructura PKI, integrando sus servicios con los sistemas internos del Consejo Italiano
de Notarios.
Características a destacar:
• Sistema PKI completo con Autoridad de Certificación
• HSM de Safenet configurado en alta disponibilidad
• Ceremonia de Generación de Claves diseñada y supervisada por Bit4id
• Backends de autenticación diferentes: Tarjeta inteligente, nombre de usuario y
contraseña, Single Sign On con SAML, OTP
• Integración con el Universal Key Chain de Bit4id para el acceso a las identidades
custodiadas remotamente
• Integración con los sistemas Consejo Italiano de Notarios
• Configuración del sistema en alta disponibilidad
11
Consejo General de Colegios Oficiales de Médicos
(España)
El Consejo General de Colegios Oficiales de Médicos de España (CGCOM) es el órgano que
agrupa, coordina y representa a los 52 Colegios Oficiales de Médicos de España.
Las nuevas aplicaciones de la denominada informática sanitaria, como la receta electrónica, la
historia clínica compartida o el testamento vital, plantean escenarios nuevos para las
instituciones profesionales como el CGCOM, que debe reaccionar ante estos retos tan
importantes para poder seguir cumpliendo sus funciones de regulación de los profesionales.
El CGCOM, como coordinador de servicios para los Colegios Oficiales de Médicos necesitaba
una solución segura y práctica para dotar de certificados digitales a los médicos.
Bajo la consideración de los requerimientos del cliente, Bit4id implementó la solución SmartCMS
para la emisión y gestión completa del ciclo de vida de los carnés y certificados digitales de los
médicos.
La solución implementada consistió en el sistema SmartCMS para la Autoridad de Registro,
utilizada para la emisión y gestión completa del ciclo de vida de los certificados digitales.
SmartCMS fue integrado con una Autoridad de Certificación externa y una plataforma
centralizada de datos de los médicos.
Características a destacar:
• 65.000 usuarios
• Integración con la Autoridad de Certificación Camerfirma
• Sistema de auditoria compliance eIDAS
• Sistema flexible integrado para creación, modificación y eliminación de plantillas de
certificados
• Flujo de trabajo integrado para la impresión de contratos
• Sistema de plantillas para correos electrónicos y contratos firmados
12
Consejo de la Judicatura (ECUADOR)
El Consejo de la Judicatura de Ecuador es el órgano encargado de la administración de la
justicia en el país.
La gestión de la justicia genera grandes cantidades de documentación a través de
procedimientos manuales y electrónicos donde su autoría debía ser firmada manuscritamente.
Estos procesos dilataban los tiempos de gestión de los procedimientos, requiriendo cada vez
mayor número de recursos para su gestión.
El Consejo de la Judicatura contrató la solución Infraestructura de Clave Pública de Bit4id:
• Autoridad de Certificación Raíz SmartCA Root
• Autoridad de Certificación Intermedia SmartCA Sub
• Autoridad de Registro SmartCMS utilizada para la gestión del ciclo de vida de los
certificados digitales
• Sistema de Custodia Centralizada de Claves y Certificados SignCloud, utilizado para la
custodia de claves y certificados y para la firma electrónica con gran capacidad de
procesamiento, que da soporte a las infraestructuras del Consejo de la Judicatura para
la firma masiva de documentación.
• Autoridad de Sellado de Tiempo SmartTSA
• Autoridad de Validación SmartVA
Características a destacar:
• 50.000 usuarios
• 3 entornos: Principal, Alterno y Preproducción
• Integración del Sistema de gestión de contenido de Alfresco Enterprise
• Auditoría de logs
• 70.000 documentos firmados electrónicamente cada mes
• Firmas longevas
• Tiempo de implementación: 4 meses
13
Trenitalia (Italia)
Trenitalia es la compañía ferroviaria italiana. Por razones de seguridad, los trenes están equipados
con un tacógrafo que genera un registro digital, el cual debe ser firmado por los conductores
de vehículos ferroviarios con certificado digital en tarjeta criptográfica.
La solución de Bit4id permite a Trenitalia generar certificados digitales a sus conductores, con un
sistema central de back-end a cargo de la división de Recursos Humanos de Trenitalia, además
de la creación de dos Autoridades de Registro. El sistema actual funciona desde 2015, tras una
implementación previa, también desarrollada por Bit4id, que funcionó durante los ocho años
anteriores.
Características a destacar:
• 30.000 usuarios
• Integración con Baltimore Unicert CA (actualmente Verizon Unicert)
• Base de datos de usuarios administrada por la división de Recursos Humanos de Trenitalia
a través de interfaz web
• Integración con base de datos Oracle
• Generación de CRL
14
Buffetti (Italia)
Buffetti es una cadena nacional italiana de puntos de venta que ofrece servicios a múltiples
profesionales, como abogados y gestores entre otros. Bit4id desarrolló una solución que permite
a cada una de las tiendas Buffetti actuar como una Autoridad de Registro. Los clientes compran
un kit que contiene un token criptográfico. Posteriormente los empleados de los puntos de venta
realizan una verificación visual de los solicitantes y los registran. Los sistemas centrales de Bit4id
se ocupan del flujo de trabajo administrativo para que después de una revisión de la información
suministrada, el usuario pueda generar su certificado de manera autónoma.
Seguidamente, mediante el uso de una aplicación de Bit4id contenida en el token criptográfico,
el usuario se autogenera el par de claves y el certificado digital.
Características a destacar:
• 20.000 tokens activados
• 650 operadores de Registro
• 450 puntos de venta que actúan como Autoridades de Registro
• Conexión con dos Autoridades de Certificación diferentes
• Kits para el uso y la generación de certificados digitales con diferentes formatos
• Sistema centralizado de gestión
• Modelo flexible
• Estadísticas de negocio
15
Macao Post (Macao)
Posteriormente a la adopción de la Ley EDS núm. 5/2005 sobre documentos y firmas electrónicas,
Macao Post respaldó su apoyo a la nueva ley introduciendo recursos financieros significativos
para establecer en plena conformidad con esta ley un proveedor de servicios de certificación
denominado eSignTrust.
Las funciones de eSignTrust son proporcionar servicios de autenticación y gestión de identidades
a ciudadanos, organizaciones y entidades gubernamentales y llevar a cabo todas las
actividades establecidas por la ley, tales como la identificación de personas que soliciten
certificados y la emisión de los mismos. Para ello está utilizando un sistema que garantiza la
fiabilidad de los servicios prestados y, por consiguiente, la seguridad de las transacciones legales.
Macao Post eSignTrust fue el primer Proveedor de Servicios de Certificación en ofrecer el Servicio
de Sellado de Tiempo. Con este servicio las transacciones por Internet y los documentos
electrónicos pueden ser sellados a tiempo real (firmados electrónicamente) con datos de
tiempo confiables y precisos.
Bit4id es el socio tecnológico de confianza de eSignTrust que proporciona una infraestructura PKI
de confiable y eficaz para la emisión de millones de sellos de tiempo al año.
Características a destacar:
• Calidad del nivel de servicio del 99.998%
• 130 transacciones por segundo realizadas a través de internet
• Más de 10 millones de sellos de tiempo emitidos al año