Tarjetas Inteligentes Criptográficas en TDT Interactiva MHP DNI Electrónico en TDTi - Jesús Mª Alonso García Atos Consulting

Página creada Mario Pelliser
 
SEGUIR LEYENDO
Tarjetas Inteligentes Criptográficas en TDT Interactiva MHP DNI Electrónico en TDTi - Jesús Mª Alonso García Atos Consulting
Tarjetas Inteligentes Criptográficas
en TDT Interactiva MHP

DNI Electrónico en TDTi

                        Jesús Mª Alonso García
                               Atos Consulting

                               Rioja, mayo 2008
Tarjetas Inteligentes Criptográficas en TDT Interactiva MHP DNI Electrónico en TDTi - Jesús Mª Alonso García Atos Consulting
Agenda

 Qué es la Televisión Digital Terrestre
 T-Administración
 Identificación
 Tarjetas Chip
 DNIe
Tarjetas Inteligentes Criptográficas en TDT Interactiva MHP DNI Electrónico en TDTi - Jesús Mª Alonso García Atos Consulting
TDT

¿Qué es la Televisión Digital
Terrestre?
 La Televisión Digital Terrestre es una
 nueva tecnología de emisión de
 señales de televisión que va a
 sustituir, en los próximos años, a la
 televisión analógica convencional (3
 de Abril de 2010). La legislación
 española establece que todas las
 emisiones de televisión deberán
 realizarse con esta tecnología.
Tarjetas Inteligentes Criptográficas en TDT Interactiva MHP DNI Electrónico en TDTi - Jesús Mª Alonso García Atos Consulting
TDT

¿Qué es la Televisión Digital
Terrestre?
 La imagen, el sonido y los contenidos
 adicionales de la Televisión Digital
 Terrestre son información digital, que
 se difunde mediante ondas terrestres
 y se recibe a través de las antenas de
 televisión convencionales.
Tarjetas Inteligentes Criptográficas en TDT Interactiva MHP DNI Electrónico en TDTi - Jesús Mª Alonso García Atos Consulting
TDT

¿Qué es la Televisión Digital
Terrestre?
 Estándar DVB y MHP

    El Ministerio de Industria, Comercio y
    Turismo ha promocionado la adopción
    de este estándar y la creación de
    servicios públicos interactivos
    basados en el mismo.
Tarjetas Inteligentes Criptográficas en TDT Interactiva MHP DNI Electrónico en TDTi - Jesús Mª Alonso García Atos Consulting
TDT

¿Qué es la Televisión Digital
Terrestre?
    DVB desarrolló un estándar, MHP
    (Multimedia Home Platform), para
    dotar de interactividad a la TDT.

    El núcleo de MHP se basa en una
    plataforma denominada DVB-J:
    versión reducida de una máquina
    virtual Java (JVM).
TDT

¿Qué es la Televisión Digital
Terrestre?
    Existen diversos paquetes de
    software que proporcionan interfaces
    para programación de aplicaciones
    (API) para acceder a las
    funcionalidades que proporciona la
    plataforma.
TDT

¿Qué es la Televisión Digital
Terrestre?
    Las aplicaciones acceden a la
    plataforma a través de las APIs. Las
    implementaciones de MHP resuelven
    la correspondencia entre las APIs y
    los recursos y el Software del Sistema
    específicos de cada terminal.
TDT

Arquitectura
                                  RED DE CONTRIBUCIÓN                    RED DE TRANSPORTE                         RED DISTRIBUCIÓN                  RED DE DIFUSIÓN       RED DE ACCESO

                                                                                                                                                SATELITE

                                                                                                                                                                          DVB-S (Satélite)

                                                                                          TELEPUERTO
                                                                                                                             Radioenlace

                                                     Radioenlace

                                                                                                                                                                          DVB-T (terrenal)
                                                                               Radioenlace                                                 CENTRO EMISOR
                                                                                                             Fibra óptica

                                                     Fibra óptica
                                                                               Fibra Óptica    Centro de                    Fibra óptica
         Centro de Producción                                  Centro Codificación
               y Emisión                                                                      Distribución
                                                                        y                     de la Señal                                  NODO CABLE Cable Coaxial
            de programas                                          Multiplexado                                                              TERMINAL                       DVB-C (Cable)
                                                                  (Cabecera)
                                                                                                                   RED DE RETORNO

                                    Digitalización       Compresión
Fuente de señal

                                                                                                                                                                                             Presentación
                  (vídeo+audio)

                                                                                                   Transporte -                             Modulación -              Demodulación -
                                                                           Multiplexado
                                                                                                   Distribución                               Difusión                Decodificación
                                                          Servicio
                                                         Interactivo
TDT

TDT: Servicios Interactivos

 Servicios informativos (difusión de
 contenidos):
    Nivel básico de interacción local.
    Independientes o ligados a la
    programación (Teletexto avanzado o
    guía electrónica de programas).
    Contenidos breves y ligeros.
    (Resulta esencial preservar la
    SIMPLICIDAD).
TDT

TDT: Servicios Interactivos

 Servicios ligados a la
 programación televisiva:
    Complementan con información
    suplementaria la programación
    emitida.
    Otras vistas o tomas de producción,
    información adicional, combinaciones
    de vistas de pantalla.
TDT

TDT: Servicios Interactivos

 Servicios interactivos y
 transaccionales:
    Requieren un canal de retorno.
    Servicios de consulta personalizados
    (autentificación débil): p. ej. carpeta
    del ciudadano.
    Servicios transaccionales
    (autentificación fuerte): p. ej. pago de
    tributos, solicitud de licencias.
TDT

TDT: Servicios Interactivos

 Servicios interactivos y
 transaccionales:
    Servicios de confirmación
    (proporcionalidad en el mecanismos
    de autenticación): confirmación
    borrador IRPF, de citas médicas, etc.
    Otros contextos de utilización: reserva
    de plazas , Banca Electrónica,
    telecompra, etc…
Administración y TDT

T-Administración

 Servicios informativos:
   Información general sobre órganos y
   oficinas de las Administraciones
   Públicas. Acceso a directorios.
   Información sobre convocatorias de
   empleo, becas, ayudas y contratación
   pública.
Administración y TDT

T-Administración

 Servicios informativos:
   Información sanitaria y consejos para
   el cuidado de la salud: alertas
   médicas y epidemiológicas, consejos
   sobre maternidad, vacunaciones,
   primeros auxilios, accidentes e
   intoxicaciones, farmacias de guardia,
   urgencias, etc.
Administración y TDT

T-Administración

 Servicios informativos:
   Servicios meteorológicos, estado de
   las carreteras y transportes.
   Información turística: alojamientos,
   restauración, entretenimiento, fiestas
   populares, actividades deportivas.
Administración y TDT

T-Administración

 Servicios interactivos y
 transaccionales:
   Carpeta del Ciudadano: consulta de
   datos y trámites administrativos.
   Petición de documentos, certificados
   personales, solicitudes en general
   (becas, ayudas, asistencia social).
Administración y TDT

T-Administración

 Servicios interactivos y
 transaccionales:
   Pago de tributos, tramitación de
   licencias municipales, reserva de
   instalaciones deportivas municipales,
   etc.
   Reserva de cita médica de cabecera y
   solicitud de recetas para enfermos
   crónicos.
Administración y TDT

T-Administración

 Servicios interactivos y
 transaccionales:
   Servicios de confirmación:
   declaraciones tributarias, confirmación
   de citas, peticiones, etc.
TDT

Identificación

  Clasificación clásica métodos de
  identificación:
    Algo que se:
      • usuario y contraseña
    Algo que tengo (certificado) y algo
    que se:
      • token, tarjeta, más contraseña
TDT

Identificación

  Clasificación clásica métodos de
  identificación:
    Algo que tengo, algo que se y algo
    que soy:
      • token, tarjeta, certificado más contraseña
        más patrón biométrico
TDT

Identificación - DNIe

 Es un caso particular de certificado en
 tarjeta
 Permite autenticación y firma con
 certificados
TDT

Identificación - DNIe

 Para poder desarrollar librerías
 criptográficas que permitan su uso en
 TDT es necesario:
    Que la DGP proporcione librerías para
    MHP, ó …
    Que la DGP libere las
    especificaciones del chip del DNIe
 Puede utilizarse en TDT, pero ….
Estructura en capas de una
aplicación con tarjetas inteligentes
criptográficas en MHP
                                    TARJETA

                          API Acceso Lector / Tarjeta

Funcionalidad ISO 7816 Estructura PKCS#15 Funcionalidad PC/SC Funcionalidad Propietaria

                                    API ASN.1

                          API Seguridad / Criptografía

                                APLICACIÓN
Estructura en capas de una
aplicación con tarjetas inteligentes
criptográficas en MHP
API Acceso Lector / Tarjeta: OCF vs.
SATSA
  OCF (MHP 1.0).
    Acceso a bajo nivel a las tarjetas.
    Acceso a alto nivel O
                        a tarjetas mediante
                     ET
    CardServices. OL
                 BS
    Eventos deOinserción y extracción.
    Creado por un conjunto de empresas,
    evolución ajena a Java
     • SchlumbergerSema (Atos Origin), Sun
       Microsystems, Gemplus (Gemalto), G&D,…
API Acceso Lector / Tarjeta: OCF vs.
SATSA
 SATSA APDU (MHP 1.0.2 y
 superiores).
    Acceso a bajo nivel a las tarjetas.
    Restricciones en el uso de ciertos
    comandos ISO 7816-4.
     • Selección de ficheros por nombre.
     • Respuestas automáticas en ciertas
       APDU.
API Acceso Lector / Tarjeta: OCF vs.
SATSA
    Pensado inicialmente para tarjetas
    SIM.
     • Soporte únicamente de tarjetas multi-
       aplicación.
        • La solución CXS
     • Carencia de eventos de inserción y
       extracción.
        • Paliada por clases externas
          (org.dvb.smartcard).
API Acceso Lector / Tarjeta: OCF vs.
SATSA
    Creado por un conjunto de empresas,
    evolución ligada a Java (JME)
     • Sun Microsystems, Vodafone, Telefónica,
       Motorola, Nokia, etc.
    Se descartan los módulos adicionales
    de SATSA (PKI, criptografía, etc.)
Comandos APDU y estructura
PKCS#15
  ISO 7816-4.
   Gestión de ficheros y funcionalidad
   básica de la tarjeta.
   Define comandos APDU.
  PC/SC.
   Gestión de ficheros y funcionalidad
   criptográfica de la tarjeta.
   Define comandos APDU.
Comandos APDU y estructura
PKCS#15
 Funcionalidad propietaria.
   Dependiente de marca y modelo de la
   tarjeta inteligente.
   Define comandos APDU.
Comandos APDU y estructura
PKCS#15
 PKCS#15.
   Estructura general de los ficheros en
   las tarjetas criptográficas.
   Basado en ASN.1
   No define comandos APDU.
Comandos APDU y estructura
PKCS#15                                                      s
                                                      n te
 CWA 14890.                                  te   lige
                                         s in
                                       rj e ta
    Funcionalidades de dispositivos
                                  s ta           de
                              e la
    firma segura. Establecimiento
                          % d                  seguro
                       0 0
    del canal deel comunicación.
                     1
                a ra
    Basado ú n p en ASN.1.
       o m
      C
 80%Define     comandos APDU (códigos de
    operación y respuesta).
Detalle de la estructura de ficheros
PKCS#15
ASN.1

  ASN.1 es un lenguaje de descripción
 de datos ampliamente usado en
 entornos de redes y en normativas de
 seguridad:
   SNMP, UMTS, X.509, PKCS, X.400,
   LDAP, etc.
ASN.1

 ASN.1 define múltiples codificaciones,
 complejas organizaciones de datos y a
 menudo precisa de herramientas
 específicas para su análisis y
 tratamiento.
  En el mercado existen múltiples
 opciones para el manejo de ASN.1 (Atos
 Origin Marben, A2J, etc.), pero ninguna
 se adapta perfectamente a MHP.
ASN.1

   Un analizador ASN.1 a medida no es
   en absoluto una opción descartable.
   El proyecto PHONEME de Sun
   Microsystems dispone de un API
   ASN.1 (integrado en SATSA PKI y
   SATSA Crypto) open source que
   puede adecuarse para MHP con poco
   esfuerzo.
ASN.1

   Es necesario analizar a fondo las
   opciones antes de tomar decisiones
   precipitadas.
  El personal debe dominar ASN.1 y
 conocer las declaraciones ASN.1 de
 distintas normativas PKCS y X.509
 para afrontar este tipo de proyectos.
API Seguridad / Criptografía

 Nivel más bajo aún en el ámbito de la
 tarjeta inteligente, ligado a sus
 funcionalidades y peculiaridades.
 Nivel superior ligado a la plataforma:

    MHP 1.0.2 / 1.0.3
           javax.net (SSL)   javax.security
API Seguridad / Criptografía

    MHP 1.1.2 / 1.1.3
¿PKCS#11?

 PKCS#11 define un interfaz C para
 funcionalidades de seguridad, firma
 digital y almacén/gestión de claves
 criptográficas en dispositivos
 hardware o software.
 PKCS#11 es el estándar de facto
 para acceso a tarjetas inteligentes
 criptográficas.
   Sin olvidar Microsoft CSP.
¿PKCS#11?

 Es necesario un “wrapper” para
 proveer un interfaz Java a PKCS#11.
   Múltiples opciones en el mercado:
   IAIK, IBM, MUSCLE, etc.
  El soporte a PKCS#11 es una
 característica ya incorporada en JSE.
   Uso del interfaz IAIK
¿PKCS#11?

                               TARJETA
                           API Acceso Lector / Tarjeta

                                                                                          PKCS#11
Funcionalidad ISO 7816 Estructura PKCS#15 Funcionalidad PC/SC Funcionalidad Propietaria

                                    API ASN.1

                          API Seguridad / Criptografía

                           APLICACIONES
Arquitectura Recomendada en MHP
1.1.3
              TARJETA
                  SATSA

     Parte Específica     Parte Común

               IAIK Interfaz

             SecurityProvider

                JCA / JCE

        APLICACIONES
Problemática específica DNIe

 Controladores existentes no sirven
 para MHP como solución universal.
   PKCS#11, CSP…
   Windows, Linux, Solaris, Mac…
  ¿Canal cifrado?
   CWA 14890
 ¿Normativas soportadas?
Problemática específica DNIe en TDT

  Acceso a datos del DNIe:
   SIN establecer el canal seguro.
   SIN utilizar las librerías de la DGP.
   SIN acceder a los certificados.
    • Acceso a fichero: Nombre y apellidos,
      número de DNI
Uso del DNIe en TDT
Problemática específica DNIe en TDDT

  Acceso a datos del DNIe:
    Canal cifrado: CWA 14890
    Acceso a certificados
    Autenticación y Firma

 ¿Disponibilidad claves creación canal
 seguro?
 ¿Perfiles de protección?
Muchas gracias por su atención

               Jesús Mª Alonso García

mayo de 2008
También puede leer