Identificación y autenticación

Ley 11/2007,de 22 de junio, de acceso

electrónico de los ciudadanos a los
Servicios Públicos
(LAECSP)

Alfonso Berral López

Ministerio de Administraciones Públicas
1

Aspectos recogidos en la LAECSP sobre sede

electrónica, identificación y autenticación

1. Sede electrónica
– Accesible a través de redes de las AAPP, Integridad y veracidad de la información publicada, titularidad,
accesibilidad y usabilidad, publicación de actos y comunicaciones

2. Relación de los Ciudadanos con la Administración

– Certificados de persona física, jurídica y entidad sin personalidad jurídica
(LFE), DNIe, otros (eje. claves concertadas)

3. Relación de la Administración con los Ciudadanos y otras

Administraciones
– Sede electrónica, sello electrónico (procesos automatizados), personal al
servicio de las AAPP (empleado).
– Entre AAPP en entorno cerrado, por determinar … (reglamento)

4. Lista de certificados admitidos por las AAPP y

servicios de validación y firma
– Condiciones adicionales, lista de sistemas de firma admitidos por cada AAPP, gratuidad de verificación,
Plataformas de verificación de certificados y firmas.

5. Representación de los Ciudadanos

– Por parte de un funcionario público y por personas físicas o jurídicas autorizadas

1
 Metodología seguida para el desarrollo
del reglamento de la Ley
– Administración General del Estado:
Creación de varios grupos de trabajo de expertos en la Comisión Permanente
de Administración electrónica:
– Acciones Organizativas: Plan de Administración Electrónica,
Esquemas de Interoperabilidad y Seguridad, Comité Técnico
Consejo Superior
Sectorial (CTS), Centro de Transferencia de Tecnologías (CTT). de Administración Electrónica

– Sedes, Registros y Comunicaciones: Normalización de Sedes y Comisión Permanente

del CSAE
registros electrónicos y normalización de comunicaciones y documentos.
Archivo electrónico. Comisiones
Ministeriales
– Identificación y autenticación: certificados electrónicos, modelos
de prestación de servicios y condiciones adicionales. Esquema de Consejo Asesor
para la
autenticación y firma electrónica. Administración
Electrónica

– Infraestructuras Comunes: consulta del estado de tramitación

“cómo va lo mío”, red de comunicaciones de las Administraciones
Públicas (red SARA), red integrada de atención al ciudadano (060).

certiCA: Proyecto del MAP para el desarrollo de Esquema de

Certificado de
Administración Pública
CAP
identificación y firma electrónica en la Administración. 3

Metodología seguida para el desarrollo

del reglamento de la Ley
– Comunidades Autónomas:

Comité Sectorial de Administración electrónica con

las Comunidades Autónomas. Conferencia Sectorial
de Administración Pública
– Existen grupos de trabajo que desarrollan
activamente varias líneas (ver gráfico).
– Varios grupos convergen en la Ley: red Comité Técnico de
Administración Electrónica
SARA, mejora de procesos, intercambio de
datos, LAECSP e identificación y firma
electrónica. Grupos
Trabajo
– Reuniones con Prestadores de Servicios de
LAECSP
Certificación
e-Contratos Soft
Reutilización
Libre
 Puesta en común de propuestas y enfoques
Intercambio Mejora
Observatorio
Datos Procesos
 Se presentan propuestas de regulación y de
Grupo Red SARA
desarrollo acordados en la AGE orientados a Id. Y firma
conseguir un esquema nacional interoperable y
con el foco en el ciudadano.
4

2
 Metodología seguida para el desarrollo del
reglamento de la Ley.
Análisis Internacional
– Países analizados
– Alemania, Austria, Bélgica, Portugal, Suecia, EEUU, Francia,
Noruega, Reino Unido

– Base del estudio:

– Establecimiento de niveles de aseguramiento: Unión Europea (IDABC), OCDE
– Esquemas de reconocimiento mutuo de firma-e IDABC
– Modelo de prestación de servicios de certificación
– Escenario normativo: transposición de Directiva Comunitaria de firma-e, Leyes de e-
Government, …
– Orientación a modelos de acreditación:
1. Esquema de acreditación de prestadores:
– Francia (PRIS), EEUU (esquema específico para certificados utilizados por el sector público,
que complementa el esquema general de certificación de firma electrónica)
2. Contrato marco con prestadores de servicios (RFP):
– Noruega, Finlandia, Suecia.

Esquema de Identificación y
firma electrónica

• POLÍTICAS DE CERTIFICACIÓN
• PERFILES DE CERTIFICADOS
REGULACIÓN
DE LA PKI
• MODELO DE DECLARACIÓN DE PRÁCTICAS
DE CERTIFICACIÓN
• GUÍA PARA LA REDACCIÓN DE
PROCEDIMIENTOS OPERATIVOS
• CONDICIONES ADICIONALES CERTIFICADOS
Esquema de Y PSCs DE LAECSP, ...
identificación y firma
electrónica de la
LAECSP Reglamento Administración MODELO DE
LAECSP • POLÍTICA DE GESTIÓN DE LA LISTA DE
GESTIÓN PKI
SERVICIOS DE CONFIANZA (TSLs)
• PERFIL DE LA LISTA DE SERVICIOS DE
CONFIANZA
• PROCEDIMIENTOS DE GESTIÓN, ADMISIÓN O
ACREDITACIÓN DE TSLs, ...

CONDICIONES
GENERALES • CONDICIONES ADICIONALES
• POLÍTICA DE FIRMA ELECTRÓNICA
• NIVELES DE ASEGURAMIENTO
• PLANTILLAS DE INTEGRACIÓN
• GESTIÓN DE LA REPRESENTACIÓN
Ley de Firma • ...

3
 Actividades llevadas a cabo en el seno de la
Administración General del Estado
Etapas cubiertas
9 Análisis de certificados similares y modelos de gestión de PKIs
• Análisis de prestadores públicos (FNMT, CATCert, IZENPE, ACCV, MTAS, MDEF, Seg. Social, MAPA, DGP y GC,
DNIe, …); y privados (Firmaprofesional, Camerfirma, ANF, …)
• Análisis de iniciativas legislativas en AGE y CCAA.
• Estudio de iniciativas internacionales: legislación, estudios IDABC
9 Síntesis de modelos y certificados
9 Propuesta inicial de condiciones adicionales
9 Propuesta preliminar de guión de reglamento de Título 3-Capítulo II de LAECSP: Identificación y
autenticación.

En curso …

9 Desarrollo de detalle de condiciones adicionales: a completar por grupo MAP/MITyC

9 Desarrollo de detalle de modelos de gestión, considerando tanto la dimensión AGE, como CCAA e
Internacional
9 Desarrollo de detalle de Perfiles, Políticas de Certificación, modelos de DPCs, etc.
9 Profundizar en aspectos técnicos no abordados del reglamento de Título 3-Capítulo II de LAECSP:
Interoperabilidad, gestión de la representación, Plataformas de validación, ...

El resultado final sería la creación del:

“Esquema de identificació
identificación y firma electró
electrónica de la Administració
Administración”
7

Nuevos certificados digitales y condiciones

adicionales

Ley de Firma-e /
Directiva EU
LAECSP

Persona
física Empleado
Público

Persona Sello
jurídica Certificado
Órgano Órgano

Entidad sin
personalidad Sede
jurídica

Condiciones adicionales
(requisitos generales)

– Las condiciones adicionales (art. 4 Ley Firma-e ) se desarrollan para que apliquen a todos los
certificados regulados, los ya contemplados en la Ley de firma-e y los nuevos de la
LAECSP.
– La definición precisa de los modelos para los certificados nuevos de la LAECSP, evitará la
aplicación de condiciones adicionales exhaustivas.

4
 Condiciones adicionales de LFE y
LAECSP

– Se recogen en:
– Artículo 3.7 de la Directiva 99/93/CE, de 13 de diciembre, de firma electrónica, y
– En el transpuesto artículo 4 de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

– Se analizarán y sintetizarán seguidamente en el seno del grupo MAP/MITyC y se elevarán a la

AGE para su aprobación. Se presentarán a las CCAA para contrastarlas.
– Se han desarrollado múltiples condiciones con varias alternativas c.u., y catalogadas en los grupos
siguientes:

A. Organizativas: Cómo y quién se responsabilizaría de llevar a cabo las acreditación y seguimiento del
resto de medidas definidas.
B. Servicios: Hacen referencia a porfolio de servicios que ofrecerían los PSC sobre los certificados
admitidos en la Administración. SLAs
C. Seguridad: Requisitos de seguridad que afectan a algoritmos criptográficos, cumplimiento de normas y
criterios de seguridad, etc.
D. Semánticos: Aquellos que hacen referencia a la configuración de la información en los certificados
E. Interconexión: Sobre los medios de acceso a listas de revocación, protocolos, etc.
F. De longevidad de las firmas

Modelos de Prestación de Servicios de

Certificación entre AAPP
AGE
- Validador
– La Ley de acceso es clara al mantener el principio - Acreditador
TSL - Gestor TSL
de subsidiariedad e interoperabilidad entre las MAP/
TSL-GE MITyC
diferentes AAPP:
PSCs
TSL-FR Mins Def… privados
PSCs
públicos
acreditados
TSL-UK
– Cada Administración determina las condiciones Estados
para admitir los nuevos sistemas de firma y Miembros
certificados (sello, sede o empleado) en su ámbito.
– Se podrán establecer criterios de reconocimiento
mutuo y reciprocidad
TSL-ES
– Habrá, al menos, una Plataforma de verificación de certificados
y firmas, por Administración.
– Se ha de buscar un modelo que facilite la
interoperabilidad entre Administraciones y refuerce
la confianza del ciudadano. CA-1 CA-2

– Los Esquemas nacionales de Interoperabilidad

y de Seguridad tendrán carácter nacional y se TSL TSL
aprobarán por Real Decreto del Gobierno CA-1 CA-2

(art. 42.3 de LAECSP).

PSCs
PSCs PSCs
privados públicos
PSCs
acreditados privados públicos
acreditados

Solución: han de establecerse mecanismos de puente (bridge) de listas de certificados y

prestadores admitidos (TSLs) y una federación de Plataformas de validación y firma
para conseguir la necesaria interoperabilidad (art. 41 LAECSP). 10

5
 La actuación administrativa
automatizada: el sello electrónico
– Se recoge en los artículos 13.3.b), y 18 de la LAECSP
– Se permite para ello el uso de certificados electrónicos o códigos seguros de verificación.
– Era una necesidad. La Ley de Firma, sólo recogía la actuación no automatizada de personas
físicas y jurídicas. … su uso por la Administración no estaba regulado hasta la fecha.
– Actualmente se vienen usando certificados de personas jurídicas, componentes informáticos,
servidores seguros …
– Los certificados de sello electrónico podrían incluir, opcionalmente, la identidad de la persona
titular del órgano administrativo.
– Cada Administración ha de publicar los sellos electrónicos utilizados, y se han de poder
verificar.
– Se podrían “sellar” documentos electrónicos que previamente han sido firmados por un
empleado público.
– Casos de uso:
– Intercambio de datos entre Administraciones (art. 20 LAECSP)
– Identificación y autenticación de un sistema, servicio web o aplicación.
– Interoperabilidad de e-Documents
– Archivo electrónico automatizado
– Federación de firmas e identidades
– Compulsas y copias electrónicas, ...
11

La autenticación electrónica:
la sede electrónica (1/2)

– Se recoge en los artículos 8, 10, 11, 12, 13.3.a), y 17 de la LAECSP

– Al menos una sede por Administración.
– Sede electrónica es una dirección electrónica I*NET
S.A.R.A.
S.A.R.A.
I*NET
disponible a través de redes de
telecomunicaciones cuya titularidad,
gestión y administración corresponde
a la Administración Pública: eje red SARA.
– El titular de la sede ha de responder por la integridad y veracidad de la
información publicada.
– Cada Administración establece las condiciones, pero se ha de
identificar al titular, y quejas y sugerencias.
– Principios de accesibilidad y usabilidad.
12

6
 La autenticación electrónica:
la sede electrónica (2/2)

– Publicación de diarios, boletines oficiales y edictos (opcional).

– Han de disponer de contenidos publicados en las lenguas oficiales
reconocidas en su ámbito
– Identificación de sede electrónica. Sistema de firma electrónica basado en
certificado de dispositivo seguro o medio equivalente. Se crea certificado
electrónico ad-hoc. Eje. certificado de servidor seguro para SSL.
1. Dispositivo seguro: eje. HSM (Hardware Security Module)
2. “Medio equivalente”: eje: servidor que está configurado y gestionado de forma segura;
dispondría de una catalogación como tal generado por entidades acreditadas.

– Casos de uso:
– Conexión segura de ciudadanos a sitios web oficiales (sedes)
– Autenticación, no firma electrónica.
– Hospeda el Registro Electrónico (art. 25 y 26 LAECSP).

13

Firma del personal al servicio de las

Administraciones Públicas
– Se recoge en los artículos 13.3.c), y 19 de la LAECSP
– Se emplearán para identificar un empleado público, en cualquiera de sus categorías:
funcionario, laboral fijo, eventual, ....
– Identificar el titular y el órgano o Administración.
– Cada Administración determinará sus características.
– Han de poder complementar su uso con el DNIe (potestad del empleado)
– No todos los métodos de firma electrónicas han de basarse en certificados electrónicos
– Se proponen certificados que podrían disponer de varios perfiles:
– Medio: soporte sw, algoritmos débiles de firma o cifrado
– Alto: Dispositivos seguros de creación de firma, certificación de seguridad, algoritmos robustos de
firma o cifrado

– Casos de uso:
– Competencias laborales (salvo en caso del DNIe)
– Autenticación y firma electrónica avanzada o reconocida ante el ciudadano y otras Administraciones.
– Representación de ciudadanos (art. 22 LAECSP)
– En concepto de titular de órgano.
14

7
 Estrategia de determinación de perfiles de
certificados sello, sede y empleado público

– Se parte de un estado inmejorable: se disponen de escasos certificados en circulación.

– Perfiles basados en información mínima suficiente.

– Evitar ciclo corto de vida de los certificados

P lat af or m a de
Gest ión de
– Determinar diferentes niveles de aseguramiento. C apacidades y
A t r ibut os
P er sonal
Eje. certificados sw vs. hw. S edes
S ellos
@ f ir m a
R epr esent ación
– Completar información de capacidades y
A .G.E .
atributos con sistemas externos.
D at os cer t if icado V alidez f ir m a D at os
digit al solicit ant e C apacidades
Eje: Registros de representación, • Nombre y apellidos • Estado (resultado)
• Fecha
• Clasificación • Proceso
• Código resultado
• Email • Ruta validación
• NIP (Número de Id personal)
Registros de personal, Registros de sedes … •
•
Fecha nacimiento
idEmisor
•
•
Resultado final
Sello de tiempos
•
•
Nombre y apellidos
Fecha nacimiento • Ministerio adscrito
• NIF-CIF • Errores / códigos • Centro Directivo ads.
• NRP
• Número de serie • País destino
• Clase Personal
• Razón social • Provincia destino
• Cuerpo
• Subject • Localidad destino
• Grupo
• Tipo de certificado • LiteralLocaDes
• Convenio
• Extensión uso certificado
• Fecha nombramiento • Puesto que ocupa
• Organización emisora • Nivel que ocupa
• Situación
• Política
• Situación adva. (última)
• Uso certificado
• Fecha Inicio puesto
• Valido desde y hasta, ...

15

Alfonso Berral López

alfonso.berral@map.es
Dirección General de Modernización Administrativa
Ministerio de Administraciones Públicas
http://www.map.es/

Muchas gracias

16