Certificados digitales y protocolos seguros
15 noviembre, 2016
Ver todos

Infraestructura de clave pública (PKI) en el Ministerio de Defensa

La implementación de una PKI en el Ministerio de Defensa proporciona las siguientes funcionalidades en las comunicaciones electrónicas:

  • Identificación de usuarios.
  • Cifrado y autenticación de redes de comunicación.
  • Cifrado de documentos
  • Firma electrónica
  • No repudio de mensajes.
  • Acceso remoto seguro.

El 14 de febrero de 2012 se aprobó la Orden Ministerial 315 en donde se prevén una serie de acciones previstas en el Plan Director de Sistemas de Información y Telecomunicaciones del Ministerio de Defensa sobre los Proyectos de Identidad Digital del mismo.

El 3 de diciembre de 2015 se aprobó la Orden Ministerial 2639 en donde se establece la Política de los Sistemas y Tecnologías de la Información y las Comunicaciones del Ministerio de Defensa. Como en el texto no hace referencia a la PKI, no la citaré en este trabajo.

La OM 315 establece la siguiente estructura para los flujos de datos en las comunicaciones:

  1. PKIDEF. Se desarrollará una Infraestructura de Clave Pública (PKI) como soporte de seguridad para el acceso a la plataforma y a los sistemas de información, así como para el cifrado y la firma electrónica.
  1. TEDEF o TEMD. Se crearán tarjetas con chip individualizadas y personalizadas para cada usuario del Ministerio para que sirvan como soporte físico de los certificados.
  1. EC. Se creará una única Entidad de Certificación Raíz para la gestión de dicha infraestructura, con dos EC delegadas, una para cada entorno WAN y tantas Entidades de Registro (ERL) como se consideren necesarias.

La implementación de la Infraestructura de Clave Pública y de la Tarjeta Electrónica del Ministerio de Defensa permite la utilización de servicios de seguridad en sistemas y aplicaciones gracias a la utilización de certificados digitales sobre un soporte seguro.

Gracias a que el Ministerio de Defensa ha desarrollado un modelo de PKI con Entidades de Certificación propias, se consiguen lograr altos niveles de servicio y seguridad. Todo ello debido, también, a la autonomía que proporciona la gestión interna que se hace de los certificados digitales y a la utilización de productos certificados por el Centro Criptográfico Nacional (CCN).

Además, la Tarjeta Electrónica de Defensa (TEDEF), certificada por el Centro Nacional de Inteligencia (CNI), incorpora unas prestaciones de seguridad muy altas gracias a sus características criptográficas y de impresión que garantizan que sea la única tarjeta capaz de manejar información clasificada SECRETO.

De esta manera, se establecen los siguientes flujos de información.

  1. Entre los ciudadanos, las entidades públicas y privadas y el Ministerio de Defensa. Se aceptarán los certificados emitidos por Prestadores de Servicios de Certificación (PSCs) reconocidos, entre ellos el DNI.
  1. Entre el Ministerio de Defensa y las entidades, organizaciones o ciudadanos. En los casos en los que las comunicaciones afecten a información clasificada o el ámbito de la Defensa Nacional el Ministerio de Defensa utilizará sus propios certificados para el intercambio de datos.

NORMATIVA QUE REGULA EL USO DE LA FIRMA ELECTRÓNICA

Aunque todavía no existe una normativa específica para las comunicaciones electrónicas del Ministerio de Defensa que haya sido aprobada, el marco de Identidad Digital al que hacía referencia anteriormente se encuentra regulado por el artículo 4.4 de la Ley 59/2003 y por la Orden DEF/2639/2015 de 3 de diciembre.

Ha sido el propio Ministerio de Defensa el que ha elaborado un Real Decreto, pendiente de aprobación, en el que desarrolla la normativa relativa al cifrado de la información y de las comunicaciones y el uso de la firma electrónica en el ámbito de la defensa nacional o la información clasificada.

FASES DEL PROTECTO DE IMPLEMENTACIÓN DE LA PKI Y LA TEDEF

El proceso de implantación de la PKI y de la Tarjeta Electrónica del Ministerio de Defensa se realizó en cuatro fases:

FASE 1 – Diseño (2003).

Desarrollo e implementación de la PKI.  Que se realizó teniendo en cuenta las siguientes premisas:

  • Gestión propia de la gestión de certificados, lo que aporta una gran flexibilidad:
    • Autenticación.
    • Cifrado
    • Firma electrónica reconocida.
  • Definición y Control de la Política de Certificación. Que se realiza según los requisitos y necesidades del Ministerio de Defensa:
    • La PKI se adapta a las necesidades internas y externas del Ministerio de Defensa.
    • La integración con PKIs externas como las de la Unión Europea, la OTAN, etc.
    • Se adapta a los requisitos de seguridad en el tratamiento de la información clasificada.
    • Permite la conexión y operatividad con los propios Sistemas de Defensa.
    • Mayor rapidez, eficacia, control, seguridad y operatividad.

Tarjeta Electrónica de Defensa (TEDEF). Que cumple con los siguientes requisitos:

  • Es construida según patrones de alta seguridad, tanto gráficos como criptográficos y de imagen.
  • Dispone de la Certificación Nacional SECRETO.
  • Permite una alta funcionalidad: firma electrónica, integridad, cifrado y control de acceso físico y lógico.
  • Aporta una imagen institucional al Ministerio de Defensa.
  • Permite un uso dual, tanto en forma de chip con contactos como de chip sin contactos.
  • Permite un uso universal en las dos WAN del Ministerio de Defensa, la WAN para el Mando y Control Militar (WAN-C2) y la WAN Corporativa de Propósito General (WAN-PG). Al mismo tiempo también sirve como tarjeta de identidad militar y de acceso a las instalaciones.

FASE 2 – Pilotos de implantación (2004).

Durante esta fase se realizaron pruebas de implantación reducida tanto de la PKI como de la TEDEF en la red táctica WAN-C2 y la red administrativa WAN-PG.

El propósito durante esta fase era comprobar la validez de la Política de Certificación y de los procedimientos definidos en un entorno real de producción, así como evaluar la tecnología elegida y la realización de pruebas en los entornos de propósito general y de mando y control.

FASE 3 – Implantación del núcleo (2005).

Durante esta fase se realizaron las siguientes actividades:

  • Implementación de la Infraestructura Central de la PKI.
  • Consolidación de los entornos de pruebas (pilotos).
  • Integración con el Sistema de Gestión de Órdenes de Proceder.
  • Despliegue inicial de los servicios a unos 1500 usuarios de emplazamientos de la Comunidad de Madrid.
  • Implementación del Centro de Personalización de Tarjetas (CPTDEF),

FASE 4 – Despliegue (2006-2007).

En esta última fase se realizaron las siguientes actividades:

  • Despliegue de las Autoridades de Registro Local.
  • Despliegue de los Puestos de Gestión de Tarjetas.
  • Instalación y configuración de los puestos de usuario, así como el despliegue de los servicios de la PKI al resto del Ministerio de Defensa.

Actualmente el PKIDEF emite certificados X.509 de los siguientes tipos:

  • Dispositivos: servidores seguros (SSL), routers y controladores.
  • Sistemas y aplicaciones: webservices, firma, autenticación y cifrado.
  • Firma de código.
  • De persona física: autenticación, firma reconocida y cifrado.

En la actualidad, es posible acceder mediante el certificado de autenticación emitido por PKIDEF que se encuentra alojado en la tarjeta electrónica de defensa, a los siguientes servicios de otros Ministerios:

  • Aplicación INTECO de la Intervención General de la Administración del Estado para la expedición de instrumentos cobratorios de Ingresos No Tributarios.
  • Aplicación SVDIR (Sistema de Verificación de Datos de Identidad y Residencia) a través del Ministerio de la Presidencia.
  • Borrador del IRPF, de la Agencia Tributaria.

Además, la Plataforma de Servicios de Seguridad del Ministerio de Defensa (PSSDEF) permite y facilita la integración de las aplicaciones y sistemas que precisen los servicios de una PKI dotándoles de todos los servicios de certificación electrónica que sean precisos para el desarrollo de la [email protected]ón dentro del Ministerio de Defensa.

El Ministerio de Defensa utiliza la PSSDEF como la única plataforma de servicios de seguridad y único punto de conexión con los servicios ofrecidos por otros Prestadores de Servicios de Certificación como el DNIe, la Fábrica Nacional de Moneda y Timbre y las Plataformas de Seguridad de otros organismos de la Administración General del Estado como, por ejemplo, @firma.

El acceso de las aplicaciones corporativas a las funcionalidades proporcionadas por la PSSDEF se realiza a través de arquitecturas web SOA, garantizando a los diferentes entornos del Ministerio las propiedades de alta disponibilidad, facilidad de gestión y escalabilidad en una plataforma centralizada que cumple con las complejidades de los algoritmos de la certificación digital.

Actualmente se encuentran integrados en la PSSDEF:

  • El Registro Electrónico del Ministerio de Defensa.
  • El Portal Tramitación Electrónica del Instituto Social de las Fuerzas Armadas (ISFAS).
  • El Almacén Geospacial Nacional (AGN).
  • El Portal Personal del Ministerio de Defensa.
  • El Sistema Integral Militar de Gestión de Emergencias de la UME.
  • etc.

 

BIBLIOGRAFÍA

Díaz-Villarejo, F. B. (s.f.). La identidad digital en el Ministerio de Defensa. Obtenido de administracionelectronica.gob.es: https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&ved=0ahUKEwjGwaG_6f3OAhXK2B4KHQrGBJUQFggkMAE&url=http%3A%2F%2Fadministracionelectronica.gob.es%2Fpae_Home%2Fdms%2Fpae_Home%2Fdocumentos%2FEstrategias%2Fpae_Tecnimap%2Fpae_TECNIMAP-2010%2Fpae_

Fernández, M. Á. (2006). La identidad digital en el Ministerio de Defensa. Sevilla: tecnimap.

Ministerio de Defensa. (10 de 12 de 2015). Orden DEF/2639/2015 por la que se establece la Política de los Sistemas y Tecnologías de la Información y las Comunicaciones del Ministerio de Defensa. España.

Piñeiro, S. B. (s.f.). La Tarjeta Electrónica del Ministerio de Defensa. Obtenido de revistadintel.es: http://www.revistadintel.es/Revista/Numeros/Numero16/TyAP/bolibar.pdf

Miguel Angel Olivares
Miguel Angel Olivares
Perito Informático Forense

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.