Breve historia de la FNMT-RCM como PSC


La FNMT-RCM ha sido uno de los prestadores de servicios de certificación más significativos, y el que más certificados tiene emitidos, si exceptuamos a la Dirección General de Policía con el DNIe.

Hace unos meses, se publicó un breve resumen histórico de sus actividades en la revista Computing. El artículo es de Lola Sánchez. Lo reproduzco a continuación

Tras la puesta en marcha en 1996 del proyecto CERES (CERtificación ESpañola), la Real Casa de la Moneda-Fábrica Nacional de Moneda y Timbre (RCM-FNMT) se constituyó en 1997 como Prestador de Servicios de Certificación (PSC), convirtiéndose en un agente clave de la expansión de la Sociedad de la Información. Los primeros pasos de la RCM-FNMT en este campo sentaron las bases de una carrera que está lejos de terminar. Diego Hernández, al frente de la Dirección de Sistemas de Información del Departamento Ceres de la RCM-FNMT, explica que “en esos años se elaboró un Plan de Viabilidad y se estudiaron iniciativas similares de carácter internacional con un objetivo claro: dar un servicio a los ciudadanos con un certificado electrónico como soporte; potenciando, en consecuencia, el uso de Internet”.

La iniciativa exigía a la RCM-FNMT dotarse de una plataforma y de una serie de tecnologías, específicamente una Infraestructura de Clave Pública (PKI-Public Key Infrastructure), capaz de dar soporte a los diferentes procesos que configuran el ciclo de vida completo de los certificados. Se levantó entonces una plataforma hardware, formada fundamentalmente por equipos Sun/Solaris, que ha resultado clave en el avance del proyecto Ceres en tanto que “nos ha permitido llegar a los casi dos millones de certificados activos y dar soporte a las miles de aplicaciones que funcionan con Ceres”.

La plataforma de la RCM-FNMT, que cuenta con el certificado de seguridad EAL3+ (ALC-FLR.1) otorgado por el Centro Criptológico Nacional según el esquema de certificación europeo Common Criteria, lógicamente se encuentra en un CPD que cumple con la más estricta normativa en materia de seguridad y cuenta con tres entornos diferenciados de desarrollo, preproducción y producción. A día de hoy, la plataforma se encuentra en proceso de migración al calor de la incorporación de nuevos equipos Sun Sparc Enterprise M5000 a la búsqueda de niveles máximos de escalabilidad y disponibilidad.

En la misma línea y hace ahora alrededor de un año, también se modernizó la infraestructura de almacenamiento SAN de la plataforma Ceres, pasando de máquinas EMC Clariion a sistemas Symmetrix. Adicionalmente, se encuentra en fase de estudio avanzado el proyecto para la construcción de un Centro de Respaldo y no se descarta la posibilidad de que se realice en un centro alternativo de la propia RCM-FNMT.

No en vano, la misión de la RCM-FNMT es dar servicios 24×7 de validación de certificados, firma, verificación y facturación electrónica, además de gestionar todo el ciclo de vida de los certificados, entre los que se encuentran los certificados de personas físicas y de personas jurídicas para el ámbito tributario y el de las Administraciones Públicas; así como certificados de componentes y servicios avanzados. Se trata de una misión críticaque requiere de una plataforma robusta y, al mismo tiempo, muy flexible. “El servicio de Sellado de Tiempo (Time Stamping) dispone de un entorno autónomo constituido por un oscilador de rubidio y dos centrales de sincronización ubicadas en un rack dedicado. Todo el sistema está sincronizado permanentemente con el Real Observatorio de la Armada, lo que permite alcanzar precisiones horarias de nanosegundos. Toda la infraestructura está configurada para asumir grandes variaciones en el nivel de carga, coincidiendo con los periodos de presentación de declaraciones de Renta o pago de IVA”, indica José Francisco Jerez, jefe de Servicio del Área Técnica de la Dirección de Sistemas de Información del Departamento Ceres de la RCM-FNMT, en el que trabajan un total de 36 personas.

Otro componente clave de la infraestructura de Ceres es la plataforma de PKI (Public Key Infrastructure), es decir, el sistema mixto hardware/software que permite la generación de certificados; un entorno lógicamente muy protegido. En su momento, la selección de PKI exigió un profundo análisis dado su carácter incipiente y, de hecho, España fue pionera en su apuesta por esta tecnología. “Cuando empezamos en el año 1996 no había prácticamente ninguna tecnología PKI plenamente probada, de modo que en los análisis de viabilidad se estudiaron las alternativas de Baltimore, Entrust y de otras europeas para determinar finalmente que Entrust era la más avanzada”, recuerda Hernández. No obstante y el con el paso del tiempo, la española Safelayer desarrolló su propia tecnología de PKI y en 2000 la RCM-FNMT decidió migrar de modo que, a día de hoy, la RCM-FNMT utiliza ambas: Entrust ySafelayer.

El frontal de la plataforma de CERES está formado por cinco servidores web Apache, en tanto que la capa de aplicaciones es Oracle OAS y la de BBDD descansa también en Oracle.“Actualmente”, comenta Jerez, “algunas de aplicaciones ya funcionan con Oracle 10g y se están migrando otras, aunque lentamente para garantizar la compatibilidad”.

Renta On Line, prueba de fuego

La fiabilidad y correcta operativa de esta plataforma se constató mediante el desarrollo de proyectos pilotos con más de 60 organismos en los tres niveles de la Administración (AGE, CCAA y administración local), hasta que en 1999 se produjo un hito de primer orden. Ese año la Agencia Tributaria (AEAT) daba por primera vez la posibilidad de realizar las declaraciones de impuestos a través de Internet. “En esa primera ocasión”, recuerda Hernández, “sin marketing ni anuncios, con 15.000 certificados se realizaron 26.000 declaraciones de impuestos”.

Con los años, el uso de certificados para la declaración on line de impuestos ha crecido exponencialmente y, a día de hoy, “son casi 3,7 millones de declaraciones las que se realizan telemáticamente y, del total, un 98,6 por ciento usan nuestro certificado”.

Pero no es el único ámbito en el que se ha expandido su uso. “El Ministerio de Economía, el Ministerio de Sanidad, el Ministerio de Interior, El Ministerio de Defensa…, es decir,prácticamente toda la Administración General del Estado tiene aplicaciones que hacen uso de los certificados Ceres; además tenemos convenios con todas las CCAA con la excepción de Cataluña, País Vasco y Valencia, que tienen sus propias entidades públicas de certificación; y en el ámbito local hay más de 5.500 ayuntamientos que están adheridos o tienen un convenio con la RCM-FNMT”, comenta Hernández.

Lejos de hacer sombra a los certificados de Ceres, la llegada del DNI electrónico ha supuesto un revulsivo para la RCM-FNMT. De hecho, la RCM-FNMT ha jugado un papel clave en el desarrollo de este estratégico proyecto impulsado por el Ministerio de Interior y la Dirección General de la Policía. Y es que, la RCM-FNMT no sólo fabrica el soporte físico del eDNI, también participó activamente en su diseño, así como en el del sistema operativo y los kioskos asociados. “Verdaderamente el DNI electrónico llega en un momento totalmente adecuado; nosotros, como entidad pública de certificación estábamos a la expectativa y hemos visto que desde su nacimiento en Burgos el 16 de marzo de 2006 el DNI se ha extendido y ha permitido ver a los ciudadanos que existe la firma electrónica y su utilidad”, señala Hernández, para apostillar que “desde que el DNI electrónico nació, en Ceres hemos tenido un crecimiento exponencial y estamos emitiendo entre 1.500 y 1.700 certificados al día”.

No obstante, el DNI electrónico también ha requerido de la RCM-FNMT una evolución tecnológica al calor de su constitución en 2006 comoEntidad Pública de Validación del DNI electrónico. Hay que señalar que en la PKI adoptada para el DNI electrónico, se ha optado por asignar las funciones de Autoridad de Validación a entidades diferentes de las Autoridades de Certificación, con el objetivo de aislar la comprobación de la vigencia de un certificado electrónico de los datos de identidad de su titular. De este modo, la Autoridad de Certificación (en este caso el Ministerio de Interior-Dirección General de la Policía) no tiene acceso a los datos de las transacciones que se realizan con los certificados que ella emite y, por otro lado, la Autoridad de Validación no tiene acceso a la identidad de los titulares de los certificados que valida, reforzando, si cabe, la transparencia del sistema.

Con esta filosofía y junto al Ministerio de Administraciones Públicas, que presta servicios de validación al conjunto de las AAPP; y el Ministerio de Industria, Turismo y Comercio, enfocado a las empresas; la RCM-FNMT proporciona este servicio con carácter universal, es decir, a ciudadanos, empresas y AAPP.

Para cumplir con esta labor y si bien la política de Ceres contempla la apuesta siempre que sea posible del desarrollo propio de aplicaciones, fundamentalmente en J2EE, en esta ocasión optó por una solución de mercado que, además de dar respuesta, a los requerimientos de validación del eDNI, ha permitido a la RCM-FNMT incorporar los servicios de e-firma electrónica y validación de e-firma. Jérez señala que “para dar servicios de validación de DNI electrónico desarrollamos nuestro propio OCPS multi CA y en paralelo se adquirió la plataforma ASF (Advanced Signature Framework) de TB Solutions, con el fin de disponer de una doble tecnología basada en Web Services, pudiendo acabar finalmente el proyecto en la fecha prevista”. De esta forma, Ceres da cobertura a los distintos algoritmos del eDNI. El servicio de validación se presta desde ambos servicios, si bien por el momento uno está configurado para atender peticiones que utilicen el algoritmo (SHA-1) y el otro para peticiones que incluyan (SHA-2).

En este escenario, la plataforma de validación de certificados de Ceres resulta crítica puesto que antes de validar cualquier transacción es necesario comprobar el estado del certificado y asegurar que no está revocado ni expirado. Esta función se realiza utilizando CRLs (Listas de Certificados Revocados), en las que se almacena la información sobre los certificados electrónicos revocados o no vigentes. Sin embargo, la validación del DNI electrónico se realiza mediante OCSP (Online Certificate Status Protocol), un proceso que implica el envío por parte de un cliente OCSP de una petición sobre el estado del certificado a la Autoridad de Validación que, tras consultar su BBDD, ofrece respuesta vía http.

Movilidad y eAdministración

De cara al futuro y como indica Hernández, son dos las iniciativas estrella en las que trabaja Ceres: “la validación y certificación con dispositivos móviles y el proyecto de Certificado de Empleado Público”.
En el primer ámbito, los acuerdos de Ceres con las dos grandes empresas de telefonía móvil del país –Telefónica Vodafone– que han dado nacimiento a un SIM criptográfico que, con un certificado embebido, permite transaccionar con totales garantías.

Respecto al Certificado de Empleado Público, se trata de una iniciativa estrechamente ligada al cumplimiento de la Ley de Acceso de los Ciudadanos a los Servicios Públicos. “Hemos montado un entorno de PKI para la Administración Pública; este entorno constituye una herramienta de firma electrónica para los empleados públicos y un sistema de identificación de sedes electrónicas y que, junto al sellado de tiempo, resulta clave en el desarrollo de actuaciones automatizadas con ejemplos como el Boletín Oficial del Estado”, indica Hernández. Aunque se trata de un proyecto que todavía tiene mucho recorrido, el Certificado de Empleado Público “será utilizado en breve en el Ministerio de Economía y Hacienda, y existe una gran demanda a medio plazo”.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s