CloudTrust – Servicios de Confianza Digital

EADTrust es un Prestador de Servicios de Certificación supervisado por el MITyC. Da soporte a una plataforma de servicios de confianza (CloudTrust) que incluye un conjunto de servicios de seguridad estandarizados (autenticación, autorización, firma electrónica y protección de datos) como servicios Web (webservice) y disponibles “en la nube”. Contacte con el 902 365 612 para contratar o aclarar cualquier duda.

La plataforma CloudTrust, soluciona la complejidad que supone dotar de los mecanismos de seguridad relacionados con la firma electrónica a las aplicaciones, mediante el uso de las clásicas herramientas de integración. La Arquitectura Orientada a Servicios (SOA) de la plataforma y su completo sistema de gestión de la información simplifican la integración de los mecanismos de confianza en los procesos de negocio, independizándolos unos de otros, y ofreciendo la capacidad de gestión de políticas de seguridad y auditoría de forma centralizada. Su modularidad favorece el crecimiento de funcionalidad y de prestaciones, y su arquitectura otorga escalabilidad y alta disponibilidad.

Para entidades públicas y privadas aporta:

  • Sencillez de implementación y recursos de soporte a programadores
  • Funcionalidad extensible a petición de las entidades usuarias. Aplicación de los estándares siempre que sea posible.
  • Para las entidades públicas, aporta funcionalidades adicionales respecto a @firma el cumplimiento de los requisitos del ENI y del ENS de forma externalizada
  • Independencia de la infraestructura de la entidad. La plataforma aporta HSM y otros dispositivos críticos
  • Los responsables de EADTrust participan en los foros de estandarización como CEN, ETSI y OASIS

Servicios de Confianza en la nube

CloudTrust ofrece un conjunto completo de servicios de confianza basados en infraestructuras de clave pública (PKI), de una forma estándar y orientada a servicios, que pueden ser usados por cualquier tipo de entidad cliente, ya sea un usuario final, una aplicación u otro servicio web.

  • Firma electrónica. Soporta la mayoría de los formatos de firma para documentos electrónicos, correo electrónico y mensajería web; incluyendo firmas múltiples, firmas con sello de tiempo y firmas longevas, con inclusión de respuestas OCSP (por ejemplo, XAdES-XL, CAdES-XL, PAdES-LTV) para garantizar la validez de la firma electrónica una vez transcurrido el periodo de vigencia de los certificados digitales.
  • Extensión de Firma electrónica. Si la entidad solicitante cuenta con una firma básica, puede solicitar al webservice el servicio de extensión de firma (pasando de -BES, a -T, -C, o -XL) incluyendo timestamping y validación OCSP. Las firmas longevas (por ejemplo, XAdES-XL, CAdES-XL, PAdES-LTV) se recomiendan para garantizar la validez de la firma electrónica una vez transcurrido el periodo de vigencia de los certificados digitales.
  • Validación de certificados digitales. Reconocimiento de múltiples prestadores de servicios de certificación, uniformizando la información asociada a los certificados. Soporta los mecanismos estándares de validación de certificados (OCSP, CRL, SCVP, XKMS) y admite la integración de otros mecanismos personalizados (como queries SQL o el webservice AEAT). Soporte a TSL
  • Autenticación y autorización. Intercambio de información de autenticación y autorización entre las aplicaciones corporativas y dominios de seguridad externos, haciendo posible el control de acceso único a nivel de web (SSO), mediante los estándares definidos por OASIS.
  • Pasarela de integración. Permite definir y conectar entre sí un conjunto de transformaciones sucesivas de datos XML, en interacción con los diferentes servicios de la plataforma, actuando de pasarela de confianza entre los procesos y aplicaciones o redes.
  • Soporte de federación de identidades. Mecanismos de asociación de tokens de identidad para vincular sistemas de autenticación de diferente robustez y permitir la cesión de tokens entre servicios. Soporte a OpenID, SAML, CardSpace, Liberty, OAuth, OATH (Open Authentication), …
  • Cifrado de datos. Protección de la información mediante mecanismos de cifrado; ya sea documentos electrónicos, correo electrónico o mensajería web. En futuras versiones se incluirá el servicio de custodia de las claves de cifrado, controlando el acceso a los datos para los grupos de personas o sistemas de confianza.
  • Auditoría y Contabilización. Servicio que gestiona de forma centralizada, uniforme y segura toda la información de logs y registros de auditoría generada por todos los componentes de servicio de la plataforma, así como la información de uso, lo que favorece la aplicación de políticas de atribución de costes por consumo diferenciando el organismo o departamento solicitante del servicio.
  • Gestión de objetos y entidades. Mecanismo de abstracción que ofrece una visión uniforme en XML de los objetos y entidades gestionados por la plataforma, permitiendo ignorar los formatos específicos de los datos (XML, ASN.1, Texto, etc.) y las diferentes fuentes de información (LDAP, SQL, Ficheros, CRL, …)

Internamente existen varios módulos diferenciados:

  • Gestión de claves. Servicios de registro, revocación, consulta y verificación.
  • Gestión de objetos y entidades. Servicios de registro, consulta, y modificación de información sobre objetos y entidades, en particular, información de identificación.
  • Servicios de autenticación, autorización y control de acceso de las entidades registradas.
  • Firma electrónica. Servicios de generación, extensión y verificación de firmas electrónicas.
  • Cifrado digital. Servicios de cifrado, descifrado, ensobrado y desensobrado de datos.
  • Registro de tarificación. Mecanismos basados en el concepto de CDR (Call Detail Record) adaptado al entorno de gestión de evidencias electrónicas.
  • Custodia digital. Mecanismo de soporte de almacenamiento en alta disponibilidad, base del servicio de Cartutario electrónico

Las evidencias electrónicas gestionadas por CloudTrust incluyen la información acerca del momento que se produjo una firma electrónica, todos los certificados que conforman la cadena de confianza hasta la raíz y la información fiable del estado de los certificados en dicho instante. El uso de listas TSL oficiales y propias permite un control extendido de los mecanismos de confianza.

Beneficios de  CloudTrust

  • Integración estratégica orientada a servicios. CloudTrust ofrece una solución que permite integrar las funciones de seguridad en las aplicaciones como servicios de confianza en entornos orientados a servicios (SOA).
  • Integración sencilla con los procesos de negocio. Una de las características de la plataforma CloudTrust es su capacidad para suministrar datos de identidad, atributos y transformaciones XML a las aplicaciones, simplificando su lógica, aportando mayor fiabilidad e integrando los servicios de seguridad o nuevos mecanismos de autenticación. Gestionando múltiples CAs y sus correspondientes servicios OCSP.
  • Flexibilidad en la integración de aplicaciones. CloudTrust es accesible mediante  servicios web, con ejemplos preparados para diferentes plataformas de ejecución y entornos de programación, y con toolkits basados en APIs, applets Java o controles Active-X.
  • Protege la inversión, al ofrecer un amplio soporte de los estándares. Por su propia naturaleza, el modelo de CloudTrust garantiza la protección de la inversión puesto que incorpora los estándares de seguridad reconocidos en foros internacionales y adoptados por la industria (IETF, W3C, ETSI, CEN, OASIS).

Timestamping

Los timestamps (sellos de tiempo) avalan de forma irrefutable la existencia de un documento electrónico con anterioridad a una fecha concreta. La fiabilidad del sello de tiempo se fundamenta en que es una Tercera Parte de Confianza (TTP, Trusted Third Party), habitualmente denominada Autoridad de Sellado de Tiempo (TSA, Timestamping Authority), quien relaciona una fecha concreta con el documento electrónico (a través de su hash, función resumen).

El sello de tiempo, usado en la firma electrónica, garantiza la existencia de la firma con anterioridad al tiempo indicado en el sello, y de ahí puede establecerse si el certificado estaba revocado o no en el momento de firmar accediendo al mecanismo de consulta de su validez, al como el OCSP.

Características técnicas

  • Infraestructura de servicios web de tipo  SOA (Service Oriented Architecture): WSDL, UDDI y SOAP.
  • Servicios de seguridad: OASIS WSS, SSL/TLS, OASIS SAML
  • Servicio de firma electrónica OASIS DSS.
  • Estándares de sobre digital: PKCS#7, IETF CMS, ETSI TS 101733 – CAdES, W3C XML-DSig, W3C XML-Enc, ETSI TS 101903 – XAdES, Firma para documentos PDF según IETF y S/MIME.
  • Soporte de sellado de tiempo digital: Protocolo de Sellado de tiempo sobre DSS y también compatible IETF RFC 3161.
  • Verificación de estado de certificados digitales: Mediante CRLs, protocolo OCSP de IETF (RFC 2560) y otros mecanismos personalizables.
  • Soporte de directorio: Protocolo LDAP.
  • Sistemas de Base de Datos soportados: Oracle, Microsoft SQL Server, mySQL o PostGreSQL.
  • Soporte de Gestor Documental: Protocolo HTTP/WebDAV. Webservice específico orientado a cartulario electrónico
  • Soporte de HSM: Dispositivos PKCS #11 . Verificado con Safenet, Realsec, IBM 4764

Leave a Reply