Tarjetas Inteligentes Criptográficas en TDT Interactiva MHP DNI Electrónico en TDTi - Jesús Mª Alonso García Atos Consulting
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
Tarjetas Inteligentes Criptográficas en TDT Interactiva MHP DNI Electrónico en TDTi Jesús Mª Alonso García Atos Consulting Rioja, mayo 2008
TDT ¿Qué es la Televisión Digital Terrestre? La Televisión Digital Terrestre es una nueva tecnología de emisión de señales de televisión que va a sustituir, en los próximos años, a la televisión analógica convencional (3 de Abril de 2010). La legislación española establece que todas las emisiones de televisión deberán realizarse con esta tecnología.
TDT ¿Qué es la Televisión Digital Terrestre? La imagen, el sonido y los contenidos adicionales de la Televisión Digital Terrestre son información digital, que se difunde mediante ondas terrestres y se recibe a través de las antenas de televisión convencionales.
TDT ¿Qué es la Televisión Digital Terrestre? Estándar DVB y MHP El Ministerio de Industria, Comercio y Turismo ha promocionado la adopción de este estándar y la creación de servicios públicos interactivos basados en el mismo.
TDT ¿Qué es la Televisión Digital Terrestre? DVB desarrolló un estándar, MHP (Multimedia Home Platform), para dotar de interactividad a la TDT. El núcleo de MHP se basa en una plataforma denominada DVB-J: versión reducida de una máquina virtual Java (JVM).
TDT ¿Qué es la Televisión Digital Terrestre? Existen diversos paquetes de software que proporcionan interfaces para programación de aplicaciones (API) para acceder a las funcionalidades que proporciona la plataforma.
TDT ¿Qué es la Televisión Digital Terrestre? Las aplicaciones acceden a la plataforma a través de las APIs. Las implementaciones de MHP resuelven la correspondencia entre las APIs y los recursos y el Software del Sistema específicos de cada terminal.
TDT Arquitectura RED DE CONTRIBUCIÓN RED DE TRANSPORTE RED DISTRIBUCIÓN RED DE DIFUSIÓN RED DE ACCESO SATELITE DVB-S (Satélite) TELEPUERTO Radioenlace Radioenlace DVB-T (terrenal) Radioenlace CENTRO EMISOR Fibra óptica Fibra óptica Fibra Óptica Centro de Fibra óptica Centro de Producción Centro Codificación y Emisión Distribución y de la Señal NODO CABLE Cable Coaxial de programas Multiplexado TERMINAL DVB-C (Cable) (Cabecera) RED DE RETORNO Digitalización Compresión Fuente de señal Presentación (vídeo+audio) Transporte - Modulación - Demodulación - Multiplexado Distribución Difusión Decodificación Servicio Interactivo
TDT TDT: Servicios Interactivos Servicios informativos (difusión de contenidos): Nivel básico de interacción local. Independientes o ligados a la programación (Teletexto avanzado o guía electrónica de programas). Contenidos breves y ligeros. (Resulta esencial preservar la SIMPLICIDAD).
TDT TDT: Servicios Interactivos Servicios ligados a la programación televisiva: Complementan con información suplementaria la programación emitida. Otras vistas o tomas de producción, información adicional, combinaciones de vistas de pantalla.
TDT TDT: Servicios Interactivos Servicios interactivos y transaccionales: Requieren un canal de retorno. Servicios de consulta personalizados (autentificación débil): p. ej. carpeta del ciudadano. Servicios transaccionales (autentificación fuerte): p. ej. pago de tributos, solicitud de licencias.
TDT TDT: Servicios Interactivos Servicios interactivos y transaccionales: Servicios de confirmación (proporcionalidad en el mecanismos de autenticación): confirmación borrador IRPF, de citas médicas, etc. Otros contextos de utilización: reserva de plazas , Banca Electrónica, telecompra, etc…
Administración y TDT T-Administración Servicios informativos: Información general sobre órganos y oficinas de las Administraciones Públicas. Acceso a directorios. Información sobre convocatorias de empleo, becas, ayudas y contratación pública.
Administración y TDT T-Administración Servicios informativos: Información sanitaria y consejos para el cuidado de la salud: alertas médicas y epidemiológicas, consejos sobre maternidad, vacunaciones, primeros auxilios, accidentes e intoxicaciones, farmacias de guardia, urgencias, etc.
Administración y TDT T-Administración Servicios informativos: Servicios meteorológicos, estado de las carreteras y transportes. Información turística: alojamientos, restauración, entretenimiento, fiestas populares, actividades deportivas.
Administración y TDT T-Administración Servicios interactivos y transaccionales: Carpeta del Ciudadano: consulta de datos y trámites administrativos. Petición de documentos, certificados personales, solicitudes en general (becas, ayudas, asistencia social).
Administración y TDT T-Administración Servicios interactivos y transaccionales: Pago de tributos, tramitación de licencias municipales, reserva de instalaciones deportivas municipales, etc. Reserva de cita médica de cabecera y solicitud de recetas para enfermos crónicos.
Administración y TDT T-Administración Servicios interactivos y transaccionales: Servicios de confirmación: declaraciones tributarias, confirmación de citas, peticiones, etc.
TDT Identificación Clasificación clásica métodos de identificación: Algo que se: • usuario y contraseña Algo que tengo (certificado) y algo que se: • token, tarjeta, más contraseña
TDT Identificación Clasificación clásica métodos de identificación: Algo que tengo, algo que se y algo que soy: • token, tarjeta, certificado más contraseña más patrón biométrico
TDT Identificación - DNIe Es un caso particular de certificado en tarjeta Permite autenticación y firma con certificados
TDT Identificación - DNIe Para poder desarrollar librerías criptográficas que permitan su uso en TDT es necesario: Que la DGP proporcione librerías para MHP, ó … Que la DGP libere las especificaciones del chip del DNIe Puede utilizarse en TDT, pero ….
Estructura en capas de una aplicación con tarjetas inteligentes criptográficas en MHP TARJETA API Acceso Lector / Tarjeta Funcionalidad ISO 7816 Estructura PKCS#15 Funcionalidad PC/SC Funcionalidad Propietaria API ASN.1 API Seguridad / Criptografía APLICACIÓN
Estructura en capas de una aplicación con tarjetas inteligentes criptográficas en MHP
API Acceso Lector / Tarjeta: OCF vs. SATSA OCF (MHP 1.0). Acceso a bajo nivel a las tarjetas. Acceso a alto nivel O a tarjetas mediante ET CardServices. OL BS Eventos deOinserción y extracción. Creado por un conjunto de empresas, evolución ajena a Java • SchlumbergerSema (Atos Origin), Sun Microsystems, Gemplus (Gemalto), G&D,…
API Acceso Lector / Tarjeta: OCF vs. SATSA SATSA APDU (MHP 1.0.2 y superiores). Acceso a bajo nivel a las tarjetas. Restricciones en el uso de ciertos comandos ISO 7816-4. • Selección de ficheros por nombre. • Respuestas automáticas en ciertas APDU.
API Acceso Lector / Tarjeta: OCF vs. SATSA Pensado inicialmente para tarjetas SIM. • Soporte únicamente de tarjetas multi- aplicación. • La solución CXS • Carencia de eventos de inserción y extracción. • Paliada por clases externas (org.dvb.smartcard).
API Acceso Lector / Tarjeta: OCF vs. SATSA Creado por un conjunto de empresas, evolución ligada a Java (JME) • Sun Microsystems, Vodafone, Telefónica, Motorola, Nokia, etc. Se descartan los módulos adicionales de SATSA (PKI, criptografía, etc.)
Comandos APDU y estructura PKCS#15 ISO 7816-4. Gestión de ficheros y funcionalidad básica de la tarjeta. Define comandos APDU. PC/SC. Gestión de ficheros y funcionalidad criptográfica de la tarjeta. Define comandos APDU.
Comandos APDU y estructura PKCS#15 Funcionalidad propietaria. Dependiente de marca y modelo de la tarjeta inteligente. Define comandos APDU.
Comandos APDU y estructura PKCS#15 PKCS#15. Estructura general de los ficheros en las tarjetas criptográficas. Basado en ASN.1 No define comandos APDU.
Comandos APDU y estructura PKCS#15 s n te CWA 14890. te lige s in rj e ta Funcionalidades de dispositivos s ta de e la firma segura. Establecimiento % d seguro 0 0 del canal deel comunicación. 1 a ra Basado ú n p en ASN.1. o m C 80%Define comandos APDU (códigos de operación y respuesta).
Detalle de la estructura de ficheros PKCS#15
ASN.1 ASN.1 es un lenguaje de descripción de datos ampliamente usado en entornos de redes y en normativas de seguridad: SNMP, UMTS, X.509, PKCS, X.400, LDAP, etc.
ASN.1 ASN.1 define múltiples codificaciones, complejas organizaciones de datos y a menudo precisa de herramientas específicas para su análisis y tratamiento. En el mercado existen múltiples opciones para el manejo de ASN.1 (Atos Origin Marben, A2J, etc.), pero ninguna se adapta perfectamente a MHP.
ASN.1 Un analizador ASN.1 a medida no es en absoluto una opción descartable. El proyecto PHONEME de Sun Microsystems dispone de un API ASN.1 (integrado en SATSA PKI y SATSA Crypto) open source que puede adecuarse para MHP con poco esfuerzo.
ASN.1 Es necesario analizar a fondo las opciones antes de tomar decisiones precipitadas. El personal debe dominar ASN.1 y conocer las declaraciones ASN.1 de distintas normativas PKCS y X.509 para afrontar este tipo de proyectos.
API Seguridad / Criptografía Nivel más bajo aún en el ámbito de la tarjeta inteligente, ligado a sus funcionalidades y peculiaridades. Nivel superior ligado a la plataforma: MHP 1.0.2 / 1.0.3 javax.net (SSL) javax.security
API Seguridad / Criptografía MHP 1.1.2 / 1.1.3
¿PKCS#11? PKCS#11 define un interfaz C para funcionalidades de seguridad, firma digital y almacén/gestión de claves criptográficas en dispositivos hardware o software. PKCS#11 es el estándar de facto para acceso a tarjetas inteligentes criptográficas. Sin olvidar Microsoft CSP.
¿PKCS#11? Es necesario un “wrapper” para proveer un interfaz Java a PKCS#11. Múltiples opciones en el mercado: IAIK, IBM, MUSCLE, etc. El soporte a PKCS#11 es una característica ya incorporada en JSE. Uso del interfaz IAIK
¿PKCS#11? TARJETA API Acceso Lector / Tarjeta PKCS#11 Funcionalidad ISO 7816 Estructura PKCS#15 Funcionalidad PC/SC Funcionalidad Propietaria API ASN.1 API Seguridad / Criptografía APLICACIONES
Arquitectura Recomendada en MHP 1.1.3 TARJETA SATSA Parte Específica Parte Común IAIK Interfaz SecurityProvider JCA / JCE APLICACIONES
Problemática específica DNIe Controladores existentes no sirven para MHP como solución universal. PKCS#11, CSP… Windows, Linux, Solaris, Mac… ¿Canal cifrado? CWA 14890 ¿Normativas soportadas?
Problemática específica DNIe en TDT Acceso a datos del DNIe: SIN establecer el canal seguro. SIN utilizar las librerías de la DGP. SIN acceder a los certificados. • Acceso a fichero: Nombre y apellidos, número de DNI
Uso del DNIe en TDT
Problemática específica DNIe en TDDT Acceso a datos del DNIe: Canal cifrado: CWA 14890 Acceso a certificados Autenticación y Firma ¿Disponibilidad claves creación canal seguro? ¿Perfiles de protección?
Muchas gracias por su atención Jesús Mª Alonso García mayo de 2008
También puede leer