Tarjetas Inteligentes Criptográficas en TDT Interactiva MHP DNI Electrónico en TDTi - Jesús Mª Alonso García Atos Consulting
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
Tarjetas Inteligentes Criptográficas
en TDT Interactiva MHP
DNI Electrónico en TDTi
Jesús Mª Alonso García
Atos Consulting
Rioja, mayo 2008
Agenda Qué es la Televisión Digital Terrestre T-Administración Identificación Tarjetas Chip DNIe
TDT ¿Qué es la Televisión Digital Terrestre? La Televisión Digital Terrestre es una nueva tecnología de emisión de señales de televisión que va a sustituir, en los próximos años, a la televisión analógica convencional (3 de Abril de 2010). La legislación española establece que todas las emisiones de televisión deberán realizarse con esta tecnología.
TDT ¿Qué es la Televisión Digital Terrestre? La imagen, el sonido y los contenidos adicionales de la Televisión Digital Terrestre son información digital, que se difunde mediante ondas terrestres y se recibe a través de las antenas de televisión convencionales.
TDT
¿Qué es la Televisión Digital
Terrestre?
Estándar DVB y MHP
El Ministerio de Industria, Comercio y
Turismo ha promocionado la adopción
de este estándar y la creación de
servicios públicos interactivos
basados en el mismo.
TDT
¿Qué es la Televisión Digital
Terrestre?
DVB desarrolló un estándar, MHP
(Multimedia Home Platform), para
dotar de interactividad a la TDT.
El núcleo de MHP se basa en una
plataforma denominada DVB-J:
versión reducida de una máquina
virtual Java (JVM).TDT
¿Qué es la Televisión Digital
Terrestre?
Existen diversos paquetes de
software que proporcionan interfaces
para programación de aplicaciones
(API) para acceder a las
funcionalidades que proporciona la
plataforma.TDT
¿Qué es la Televisión Digital
Terrestre?
Las aplicaciones acceden a la
plataforma a través de las APIs. Las
implementaciones de MHP resuelven
la correspondencia entre las APIs y
los recursos y el Software del Sistema
específicos de cada terminal.TDT
Arquitectura
RED DE CONTRIBUCIÓN RED DE TRANSPORTE RED DISTRIBUCIÓN RED DE DIFUSIÓN RED DE ACCESO
SATELITE
DVB-S (Satélite)
TELEPUERTO
Radioenlace
Radioenlace
DVB-T (terrenal)
Radioenlace CENTRO EMISOR
Fibra óptica
Fibra óptica
Fibra Óptica Centro de Fibra óptica
Centro de Producción Centro Codificación
y Emisión Distribución
y de la Señal NODO CABLE Cable Coaxial
de programas Multiplexado TERMINAL DVB-C (Cable)
(Cabecera)
RED DE RETORNO
Digitalización Compresión
Fuente de señal
Presentación
(vídeo+audio)
Transporte - Modulación - Demodulación -
Multiplexado
Distribución Difusión Decodificación
Servicio
InteractivoTDT
TDT: Servicios Interactivos
Servicios informativos (difusión de
contenidos):
Nivel básico de interacción local.
Independientes o ligados a la
programación (Teletexto avanzado o
guía electrónica de programas).
Contenidos breves y ligeros.
(Resulta esencial preservar la
SIMPLICIDAD).TDT
TDT: Servicios Interactivos
Servicios ligados a la
programación televisiva:
Complementan con información
suplementaria la programación
emitida.
Otras vistas o tomas de producción,
información adicional, combinaciones
de vistas de pantalla.TDT
TDT: Servicios Interactivos
Servicios interactivos y
transaccionales:
Requieren un canal de retorno.
Servicios de consulta personalizados
(autentificación débil): p. ej. carpeta
del ciudadano.
Servicios transaccionales
(autentificación fuerte): p. ej. pago de
tributos, solicitud de licencias.TDT
TDT: Servicios Interactivos
Servicios interactivos y
transaccionales:
Servicios de confirmación
(proporcionalidad en el mecanismos
de autenticación): confirmación
borrador IRPF, de citas médicas, etc.
Otros contextos de utilización: reserva
de plazas , Banca Electrónica,
telecompra, etc…Administración y TDT T-Administración Servicios informativos: Información general sobre órganos y oficinas de las Administraciones Públicas. Acceso a directorios. Información sobre convocatorias de empleo, becas, ayudas y contratación pública.
Administración y TDT T-Administración Servicios informativos: Información sanitaria y consejos para el cuidado de la salud: alertas médicas y epidemiológicas, consejos sobre maternidad, vacunaciones, primeros auxilios, accidentes e intoxicaciones, farmacias de guardia, urgencias, etc.
Administración y TDT T-Administración Servicios informativos: Servicios meteorológicos, estado de las carreteras y transportes. Información turística: alojamientos, restauración, entretenimiento, fiestas populares, actividades deportivas.
Administración y TDT T-Administración Servicios interactivos y transaccionales: Carpeta del Ciudadano: consulta de datos y trámites administrativos. Petición de documentos, certificados personales, solicitudes en general (becas, ayudas, asistencia social).
Administración y TDT T-Administración Servicios interactivos y transaccionales: Pago de tributos, tramitación de licencias municipales, reserva de instalaciones deportivas municipales, etc. Reserva de cita médica de cabecera y solicitud de recetas para enfermos crónicos.
Administración y TDT T-Administración Servicios interactivos y transaccionales: Servicios de confirmación: declaraciones tributarias, confirmación de citas, peticiones, etc.
TDT
Identificación
Clasificación clásica métodos de
identificación:
Algo que se:
• usuario y contraseña
Algo que tengo (certificado) y algo
que se:
• token, tarjeta, más contraseñaTDT
Identificación
Clasificación clásica métodos de
identificación:
Algo que tengo, algo que se y algo
que soy:
• token, tarjeta, certificado más contraseña
más patrón biométricoTDT Identificación - DNIe Es un caso particular de certificado en tarjeta Permite autenticación y firma con certificados
TDT
Identificación - DNIe
Para poder desarrollar librerías
criptográficas que permitan su uso en
TDT es necesario:
Que la DGP proporcione librerías para
MHP, ó …
Que la DGP libere las
especificaciones del chip del DNIe
Puede utilizarse en TDT, pero ….Estructura en capas de una
aplicación con tarjetas inteligentes
criptográficas en MHP
TARJETA
API Acceso Lector / Tarjeta
Funcionalidad ISO 7816 Estructura PKCS#15 Funcionalidad PC/SC Funcionalidad Propietaria
API ASN.1
API Seguridad / Criptografía
APLICACIÓNEstructura en capas de una aplicación con tarjetas inteligentes criptográficas en MHP
API Acceso Lector / Tarjeta: OCF vs.
SATSA
OCF (MHP 1.0).
Acceso a bajo nivel a las tarjetas.
Acceso a alto nivel O
a tarjetas mediante
ET
CardServices. OL
BS
Eventos deOinserción y extracción.
Creado por un conjunto de empresas,
evolución ajena a Java
• SchlumbergerSema (Atos Origin), Sun
Microsystems, Gemplus (Gemalto), G&D,…API Acceso Lector / Tarjeta: OCF vs.
SATSA
SATSA APDU (MHP 1.0.2 y
superiores).
Acceso a bajo nivel a las tarjetas.
Restricciones en el uso de ciertos
comandos ISO 7816-4.
• Selección de ficheros por nombre.
• Respuestas automáticas en ciertas
APDU.API Acceso Lector / Tarjeta: OCF vs.
SATSA
Pensado inicialmente para tarjetas
SIM.
• Soporte únicamente de tarjetas multi-
aplicación.
• La solución CXS
• Carencia de eventos de inserción y
extracción.
• Paliada por clases externas
(org.dvb.smartcard).API Acceso Lector / Tarjeta: OCF vs.
SATSA
Creado por un conjunto de empresas,
evolución ligada a Java (JME)
• Sun Microsystems, Vodafone, Telefónica,
Motorola, Nokia, etc.
Se descartan los módulos adicionales
de SATSA (PKI, criptografía, etc.)Comandos APDU y estructura PKCS#15 ISO 7816-4. Gestión de ficheros y funcionalidad básica de la tarjeta. Define comandos APDU. PC/SC. Gestión de ficheros y funcionalidad criptográfica de la tarjeta. Define comandos APDU.
Comandos APDU y estructura PKCS#15 Funcionalidad propietaria. Dependiente de marca y modelo de la tarjeta inteligente. Define comandos APDU.
Comandos APDU y estructura PKCS#15 PKCS#15. Estructura general de los ficheros en las tarjetas criptográficas. Basado en ASN.1 No define comandos APDU.
Comandos APDU y estructura
PKCS#15 s
n te
CWA 14890. te lige
s in
rj e ta
Funcionalidades de dispositivos
s ta de
e la
firma segura. Establecimiento
% d seguro
0 0
del canal deel comunicación.
1
a ra
Basado ú n p en ASN.1.
o m
C
80%Define comandos APDU (códigos de
operación y respuesta).Detalle de la estructura de ficheros PKCS#15
ASN.1 ASN.1 es un lenguaje de descripción de datos ampliamente usado en entornos de redes y en normativas de seguridad: SNMP, UMTS, X.509, PKCS, X.400, LDAP, etc.
ASN.1 ASN.1 define múltiples codificaciones, complejas organizaciones de datos y a menudo precisa de herramientas específicas para su análisis y tratamiento. En el mercado existen múltiples opciones para el manejo de ASN.1 (Atos Origin Marben, A2J, etc.), pero ninguna se adapta perfectamente a MHP.
ASN.1 Un analizador ASN.1 a medida no es en absoluto una opción descartable. El proyecto PHONEME de Sun Microsystems dispone de un API ASN.1 (integrado en SATSA PKI y SATSA Crypto) open source que puede adecuarse para MHP con poco esfuerzo.
ASN.1 Es necesario analizar a fondo las opciones antes de tomar decisiones precipitadas. El personal debe dominar ASN.1 y conocer las declaraciones ASN.1 de distintas normativas PKCS y X.509 para afrontar este tipo de proyectos.
API Seguridad / Criptografía
Nivel más bajo aún en el ámbito de la
tarjeta inteligente, ligado a sus
funcionalidades y peculiaridades.
Nivel superior ligado a la plataforma:
MHP 1.0.2 / 1.0.3
javax.net (SSL) javax.securityAPI Seguridad / Criptografía
MHP 1.1.2 / 1.1.3¿PKCS#11? PKCS#11 define un interfaz C para funcionalidades de seguridad, firma digital y almacén/gestión de claves criptográficas en dispositivos hardware o software. PKCS#11 es el estándar de facto para acceso a tarjetas inteligentes criptográficas. Sin olvidar Microsoft CSP.
¿PKCS#11? Es necesario un “wrapper” para proveer un interfaz Java a PKCS#11. Múltiples opciones en el mercado: IAIK, IBM, MUSCLE, etc. El soporte a PKCS#11 es una característica ya incorporada en JSE. Uso del interfaz IAIK
¿PKCS#11?
TARJETA
API Acceso Lector / Tarjeta
PKCS#11
Funcionalidad ISO 7816 Estructura PKCS#15 Funcionalidad PC/SC Funcionalidad Propietaria
API ASN.1
API Seguridad / Criptografía
APLICACIONESArquitectura Recomendada en MHP
1.1.3
TARJETA
SATSA
Parte Específica Parte Común
IAIK Interfaz
SecurityProvider
JCA / JCE
APLICACIONESProblemática específica DNIe Controladores existentes no sirven para MHP como solución universal. PKCS#11, CSP… Windows, Linux, Solaris, Mac… ¿Canal cifrado? CWA 14890 ¿Normativas soportadas?
Problemática específica DNIe en TDT
Acceso a datos del DNIe:
SIN establecer el canal seguro.
SIN utilizar las librerías de la DGP.
SIN acceder a los certificados.
• Acceso a fichero: Nombre y apellidos,
número de DNIUso del DNIe en TDT
Problemática específica DNIe en TDDT
Acceso a datos del DNIe:
Canal cifrado: CWA 14890
Acceso a certificados
Autenticación y Firma
¿Disponibilidad claves creación canal
seguro?
¿Perfiles de protección?Muchas gracias por su atención
Jesús Mª Alonso García
mayo de 2008También puede leer
