Buenas Prácticas

ANIMSA – SignCloud. Uso de certificados digitales en movilidad, para autenticación y firma electrónica

Posted on 0 comentarios

Descripción corta:

Uso de certificados digitales en movilidad, para autenticarse en páginas web y para firmar electrónicamente en dispositivos móviles Android o IOS, o también en equipos de sobremesa Windows, sin necesidad de instalar el certificado, ni llevar un token o tarjeta.

Fecha de elaboración del texto:

Febrero 2018.

Autores:  Eduardo Tuñón Gonzalo. Director Técnico de ANIMSA.

Administración / Proveedor que lo propone: Ayuntamiento de Pamplona / ANIMSA

Área responsable del proyecto: ANIMSA

Estado del Proyecto / Caso en la fecha del alta:  Implantado en ANIMSA, el Ayuntamiento de Pamplona y otras EELL de Navarra.

Carácter innovador:

Solución móvil completa, tanto para autenticación, como para firma, y verificación tanto para Android o IOS, como para PC. Los certificados están disponibles en el PC para cualquier software de firma, y en dispositivos móviles a través de la app ANIMSA-SignCloud.

Problemática:

Hasta la fecha, en la misión de las AAPP por impulsar el uso de certificados electrónicos, los elementos hardware han frenado durante años la facilidad de uso en movilidad.

Debíamos hallar la manera de que ciudadanos y empleados públicos pudieran acceder con su certificado electrónico a las distintas sedes electrónicas, y realizar firma de documentos en cualquier momento y/o lugar. La mayoría de los dispositivos móviles actuales no disponen, en general, de capacidad de reconocer tokens o tarjetas criptográficas, ni de almacenar certificados, ni de poderlos utilizar tanto para acceso a páginas web en las que se exige un certificado para autenticar a la persona, como para realizar firma electrónica.

Las personas que realizan en las Entidades Locales operaciones con certificados son, a menudo, las que ostentan los cargos más importantes: Alcaldes, Concejales, Directores de Área, Secretarios, etc. Incluso en el mundo del PC ocurre que un cargo no puede firmar en un
momento determinado, porque está en una dependencia municipal diferente de aquella en la que firma habitualmente, bien porque tiene instalado en su ordenador un certificado software, y solamente puede firmar en ése, o bien porque el token o tarjeta hardware se le ha olvidado en otro sitio.

Los certificados software instalados en la cryptoapi, generan problemas de gestión a los equipos de Sistemas, ya que, cuando se quiere renovar el equipo de un usuario hay que acordarse de exportar el certificado y eliminarlo del almacén de certificados, lo que exige la presencia física del dueño del mismo. Por otro lado, muchos usuarios instalan los certificados con la opción de que no se pueda exportar la clave privada, y al cambiarles de ordenador, es preciso encontrar el archivo original .p12, que en ocasiones ha sido borrado por el usuario
como medida de seguridad.

Solución planteada:

El Ayuntamiento de Pamplona ha impulsado el desarrollo e implantación de una solución que resuelve todos estos inconvenientes, permitiendo poder autenticarse en páginas web que exigen certificado y firmar, bien en equipos de sobremesa o bien en múltiples dispositivos móviles, sin necesidad de instalar el certificado, ni llevar un token o tarjeta.

Detalles de la solución:

Esta solución se basa en 3 elementos principales:

  • Un Sistema seguro de almacenamiento centralizado de certificados (SignCloud) en modo Servidor, que alberga de forma segura los certificados, y los vincula a usuarios del Active Directory. Es posible generar pares de claves dentro del SignCloud, enviar el archivo CSR a una Autoridad de Certificación y obtener un certificado “hardware” reconocido. También permite subir certificados “software” (.p12)
  • Un “middleware” (UKC Desktop) que permite a un usuario del dominio que la cryptoapi de Windows reconozca los certificados almacenados en el HSM para el usuario, como si estuvieran en una tarjeta criptográfica “pinchada” en el ordenador, y por lo tanto, utilizable por cualquier aplicación/navegador. Puede utilizarse en equipos de la red municipal, o en cualquier PC que tenga conexión a internet que llegue a https://firma.animsa.es
  • Una app denominada “ANIMSA SignCloud” que puede descargarse desde Play Store para dispositivos Android, o desde App Store para dispositivos iOS, que incorpora un navegador web y un motor de firma, y que, a través de internet, accede al HSM con el usuario y contraseña del dominio municipal y reconoce y utiliza los certificados del usuario autenticado.

DIAGRAMA GENERAL DE LA SOLUCIÓN

SISTEMA DE ALMACENAMIENTO CENTRALIZADO DE CERTIFICADOS (SignCloud)

Se han instalado en el CPD del Ayuntamiento de Pamplona dos “appliances” en alta disponibilidad con la solución SignCloud del fabricante Bit4id, que proporcionan la capacidad de almacenar de forma segura los certificados digitales. La solución, que cumple la certificación de
seguridad FIPS 140-2, se integra con el Active Directory donde se encuentra la información de los usuarios municipales.

El Ayuntamiento de Pamplona es Autoridad de Registro de Camerfirma desde 2011 y a raíz de la implantación de este proyecto, ANIMSA también lo es de Uanataca. Ambas autoridades de Certificación han instalado un software que permite a un operador de ANIMSA la generación de certificados reconocidos/cualificados.

Es posible generar pares de claves dentro del SignCloud asociados a un usuario, y enviar el archivo CSR con la clave pública, a una Autoridad de Certificación, que creará un certificado reconocido “hardware” vinculado a la clave privada que ha quedado almacenada en el
SignCloud. El .cer se envía al usuario, que a través de la página web https://firma.animsa.es/ acepta las condiciones de uso y lo asocia a su cuenta de dominio, y a la clave privada asociada.

El Sistema SignCloud también permite que el operador de ANIMSA habilite a un usuario del dominio el que el propio usuario suba a este almacén de certificados central un archivo .p12 con su identidad digital a través de la página web https://firma.animsa.es/.

Una vez el certificado está almacenado en el sistema, se envía un email automático a la cuenta de correo que el usuario tiene en el Active Directory, (es decir, a su cuenta de correo municipal) con el PIN y el PUK. A partir de este momento, ya se puede utilizar el certificado
desde la App ANIMSA-SignCloud o desde un equipo cualquiera, conectado a la red municipal, o bien a internet, sin necesidad de llevarlo físicamente.

MIDDLEWARE UKC DESKTOP

El software de Bit4id denominado UKC Desktop se instala en el PC como un servicio que actúa como una pasarela hasta el servidor HSM, de forma que entre los certificados que el sistema reconoce como utilizables, se encuentra el almacenado en el servidor, asociado al usuario que ha accedido.

UKC Desktop actúa como un proveedor de identidades digitales, ya sean remotas o en token/tarjeta. En el caso de identidades remotas, el sistema operativo Windows, a través de su servicio criptográfico CSP, es agnóstico al contenedor criptográfico de estas identidades. Esto
quiere decir que la trata de igual forma que a una identidad alojada en una tarjeta/token.

Cuando un software de firma electrónica de cualquier fabricante solicita a la cryptoapi la lista de certificados disponibles, aparece entre ellos, de forma automática, el del servidor, que puede ser utilizado como cualquier otro que esté instalado en el PC. Para comprobar esto, se
puede acceder al almacén de certificados de Windows y ver como las Identidades Remotas sevisualizan, estando preparadas para ser utilizadas.

 

Para la realización de la firma o autenticación, se presenta en pantalla la petición del PIN que protege el uso del certificado, con lo que éste está protegido por un doble sistema de contraseñas: las de la cuenta del usuario en el dominio municipal, y el propio PIN del certificado.

UKC Desktop, al proveer identidades digitales en el sistema, también puede ser utilizado para llevar a cabo autenticaciones en plataformas web, siempre que el método de autenticación empleado por éstas sea del tipo SSL cliente (a través de certificado digital).

Para mostrar un ejemplo de esta funcionalidad, accederemos a la sección de ‘Mis Expedientes’ de la Sede Electrónica de la Agencia Tributaria.

1.En el cuadro de diálogo, seleccionamos la opción de acceder ‘Con certificado electrónico de identificación o DNI electrónico’.

2.Seleccionamos el certificado a utilizar para la autenticación web. En este caso el certificado digital remoto provisto por UKC Desktop.

3.UKC Desktop nos solicita el PIN de la Identidad Remota para llevar a cabo la autenticación.

4.Al introducir el PIN de forma satisfactoria, la plataforma web, como resultado, nos da el acceso a nuestros datos.

Por lo tanto, y de forma transparente, el trabajador municipal tiene a su disposición su certificado en cualquier PC que tenga instalado el UKC Desktop. Este software se ha instalado en todos los PCs que utilizan los distintos firmantes municipales.

APP ANIMSA-SIGNCLOUD PARA ANDROID E iOS

Para dispositivos iOS se puede descargar Animsa-SignCloud desde la tienda de aplicaciones App Store. Para dispositivos Android se puede descargar Animsa-SignCloud desde la tienda de aplicaciones Play Store

Como se ha indicado anteriormente, para poder utilizar las funcionalidades de Animsa-SignCloud es necesario disponer de una identidad centralizada en el sistema SignCloud. Para poder iniciar sesión en la aplicación, debemos introducir el Nombre de usuario la Contraseña del dominio municipal.

La App contiene un menú de navegación situado en la parte inferior, que permite al usuario
cambiar de sección. Éstas son:

  • La sección principal o Home. Representa la vista principal, donde se da la opción de acceder a las funcionalidades principales (firma, validación y acceso al Navegador Web que posibilita la autenticación).
  • Identidad. Aquí se pueden gestionar las identidades centralizadas que se encuentren configuradas en la App. Se permite añadir una nueva identidad, ver detalles de una identidad o eliminarla de la App, entre otras funciones.
  • Ajustes. Cualquier tipo de ajuste dentro de la aplicación se lleva a cabo a través de esta sección. Una de estas configuraciones es la selección del lenguaje. Se puede optar entre varios idiomas o definir la opción en ‘Automático’, donde se seleccionará el idioma del teléfono por defecto.
  • Ayuda. Esta pestaña tiene el objetivo de brindar información de soporte al usuario, ya sea a través de una consulta por correo electrónico o de forma telefónica, al departamento de Atención a Usuarios de ANIMSA.

Desde la vista Principal, el usuario puede utilizar las principales funcionalidades que ofrece la App:

  • Firmar archivos, a través de tres estándares: CAdES (cualquier tipo de archivo), PAdES (archivos PDF) o XAdES (archivos XML)
  • Autenticación en páginas web haciendo uso del Navegador Web que incorpora la App
  • Validar archivos firmados que nos hayan enviado.
  • Acceder al Histórico de documentos firmados en el dipositivo

Firma electrónica

Para firmar, la App ofrece la posibilidad de navegar en el sistema de archivos del dispositivo para seleccionar el archivo a firmar. Tambien es posible llamar a Animsa-SignCloud desde otra aplicación externa, utilizando la opción ‘Compartir’ sobre el archivo que queremos firmar y
seleccionando Animsa-SignCloud como aplicación destino. Esta opción puede aparecer con diferente formato en función de la App que utilicemos, entre los nombres alternativos de dicha función se encuentran: ‘Exportar’, ‘Abrir con’, etc.

El ejemplo más común consiste en la firma de un archivo gestionado por la aplicación de correo electrónico (p. ej. Gmail o Microsoft Outlook), por una aplicación de mensajería instantánea (p. ej. WhatsApp o Facebook) o por un gestor de almacenamiento en la nube (p.
ej. OneDrive o Dropbox).

Inmediatamente después de la selección del archivo, Animsa-SignCloud detecta el tipo de archivo y muestra los estándares de firma disponibles. La opción de firma CAdES siempre aparece disponible, ya que este tipo de firma electrónico puede ser aplicado a cualquier tipo de
archivo.

Desde el Asistente de firma, el usuario puede ver la información del archivo a firmar y seleccionar el estándar de firma a utilizar. Si se trata de una firma del tipo PAdES, el usuario podrá aplicar una marca gráfica a la firma, así como incluir una georreferencia.

El último paso antes de la firma de documento es el de ‘Autenticación’. El usuario escoge la Identidad Digital a utilizar (si hubiera más de una configurada en la App) y se introduce el PIN de firma. Después de haber realizado la autenticación con éxito, se lleva a cabo la firma. En el último paso, el Asistente nos notifica si ha sido satisfactoria y nos permite compartir el archivo firmado.

NAVEGACIÓN WEB Y AUTENTICACIÓN

Animsa-SignCloud dispone de un Navegador Web incorporado. A través de éste, podremos autenticarnos en plataformas web haciendo uso de nuestra Identidad Digital custodiada por SignCloud.

El uso y gestión del Navegador Web se lleva a cabo desde la sección Home. Haciendo uso de la barra de navegación superior, podremos acceder directamente a cualquier URL. En el caso de introducir un valor diferente a una URL, el buscador, automáticamente, lleva a cabo
la búsqueda en Google utilizando dicho valor y mostrando los resultados obtenidos. Tambien podemos ir directamente a un sitio web que hayamos señalado como favorito al navegar en la app.

Dentro del sitio web, debemos seleccionar aquél tipo de autenticación que haga uso de un certificado digital (Autenticación SSL de cliente), por ejemplo, la consulta de expedientes de la Sede Electrónica de la AEAT.

En el momento de proceder con la autenticación en cualquier plataforma web, Animsa-SignCloud, de forma análoga a la firma electrónica de archivos, pide al usuario seleccionar la

Identidad Digital que desea utilizar y los datos de autenticación (PIN, TouchID o ambas). Una vez nos hayamos autenticados con éxito, el sitio web nos dará acceso al contenido o página personal solicitada.

VALIDACIÓN DE ARCHIVOS FIRMADOS

La App permite la verificación de la firma de los documentos firmados, que se encuentren en el dispositivo. Esta funcionalidad puede ser útil al recibir un email con un documento adjunto firmado, y comprobar su autenticidad. Tras la verificación, se puede mostrar un informe que contiene el resultado técnico de la misma. Este informe puede compartirse a través de las app del móvil.

Ventajas

Las ventajas que presenta esta solución son múltiples:

  • Los certificados están almacenados en un sistema seguro, que garantiza que solamente el propietario puede utilizar el certificado, ya que, además del acceso con usuario y contraseña, se protegen con un PIN de firma, e incluso puede vincularse el PIN a un TouchID y “firmar” con huella dactilar.
  • Sirve para autenticarte desde cualquier teléfono móvil o Tablet Android, o Apple, o cualquier PC con Windows, en cualquier Sede Electrónica y usar el certificado en cualquier página web que lo exija como sistema de acceso.
  • Permite firma en cualquier dispositivo móvil, sin comprometer la seguridad del certificado, ni necesitar hardware/software adicional.
  • Cualquier programa de firma del PC puede utilizar el certificado, no es preciso utilizar una solución de firma concreta.
  • En el día a día, los usuarios pueden utilizar el certificado allí donde lo necesiten, cuando lo necesiten, no tienen que recordar el llevar su tarjeta criptográfica o token USB.
  • La sustitución de equipamiento por parte de los equipos de Sistemas es más sencilla y menos comprometida, ya que no tienen que extraer los certificados de un equipo y pasarlo a otro.
  • La gestión centralizada permite un mayor control y garantía de uso a los usuarios, quedando almacenado en el sistema un “log” de todos los usos que ha tenido ese certificado. Dar de baja un usuario en el dominio, evita directamente su utilización , sin tener que enviar técnicos al equipo concreto a borrar el certificado.
  • Se pueden crear certificados reconocidos/cualificados, enviando el archivo .cer por email al usuario desde la Autoridad de Certificación.
  • Permite la utilización de certificados “software” que ya tenga en su poder el usuario, no exige que sean generados por la plataforma
  • El proceso de alta de un usuario nuevo es mucho más rápido, al no requerir la entrega presencial del token/tarjeta. En el momento que acepta las condiciones de uso y sube el .p12 o .cer a la plataforma, recibe el email con el PIN y ya tiene disponible el certificado.

Financiación:
Pública

Persona responsable del proyecto:
Jose María Aguinaga Pérez. Gerente de ANIMSA.

Contacto:
Eduardo Tuñón Gonzalo

Cargo: 
Director Técnico de ANIMSA

Teléfono:
948 420 800

Correo electrónico: 

Dirección:
ANIMSA
Avda Ejército 2, 8a Planta. 31002 Pamplona (Navarra).

Sigue toda la actualidad con Club de Innovación:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *