El dinero se encripta en la primera autoridad bancaria
El Banco de España desarrolla el proyecto de PKI con Safelayer
El Banco de España cuenta, desde hace más de 15 años, con una política de seguridad informática muy exigente, aprobada por su dirección y plasmada en normas internas de obligado cumplimiento por el personal. Desarrollada con herramientas informáticas de desarrollo propio y de terceros, los departamentos responsables de la información son considerados, a nivel interno, como propietarios de los datos. Son los encargados de gestionar los accesos a la información a través de la figura de los administradores de seguridad, ubicados en todos y cada uno de los departamentos y son responsables de hacer accesible a sus usuarios la información de su competencia.
“En este contexto –señala Julián Valentín González, responsable de gestión interna y seguridad del Banco de España–, y habida cuenta de la pertenencia del Banco de España al Sistema Europeo de Bancos Centrales (ESCB) y del elevado volumen de información muy sensible, en gran medida confidencial, que se intercambia, la dirección del Banco se planteó la conveniencia de evolucionar la infraestructura de seguridad y dotar a la entidad de una solución integral de seguridad para los servicios a proporcionar a los usuarios internos y a diversos usuarios externos”.
Solución: implantar una PKI
Después de estudiar las posibilidades que en este campo ofrecía el mercado, los responsables del Banco consideraron que, “era necesario implantar una PKI propia que resolviera en una primera fase las cada vez más evidentes necesidades de los usuarios internos, ya estuvieran en las propias sedes del Banco o conectándose desde un acceso remoto”, asegura el responsable.
Una vez definida esta primera fase, el Banco de España estableció que, para una fase posterior, la solución elegida debía proporcionar funcionalidades de seguridad a los servicios que el Banco fuera a prestar a entidades financieras, empresas o ciudadanos a través de las redes públicas, suministrando un mecanismo seguro de autenticación, integridad y confidencialidad, permitiendo además centralizar la validación de los certificados electrónicos emitidos por Prestadores de Servicios de Certificación externos.
Una vez que las necesidades y los requerimientos estuvieron claros para los responsables del proyecto dentro del Banco de España, llegó el momento de la decisión de los suministradores.
La elección recayó sobre la compañía Safelayer porque, como afirma Valentín González, “al ser su tecnología muy flexible y modular, podía personalizarse y adaptarse sin mucho esfuerzo a los requisitos funcionales concretos del Banco. Además, esta tecnología está construida en base a estándares, por lo que es sencillo conseguir la interoperabilidad de los servicios y aplicaciones desarrollados en base a ella con otros productos de PKI. Por otra parte, Safelayer es una empresa española con mucha experiencia en el sector de la seguridad basada en PKI, ofrece un muy buen servicio de soporte y mantenimiento por lo que es muy ágil para las organizaciones españolas”.
Arquitectura de sistemas
La PKI del Banco de España, denominada PKIBDE (PKI Banco de España), está implementada sobre la red interna corporativa. Esta dispone de una VLAN que une los dos centros de cálculo del banco, a la que están conectados tanto los servidores de la PKI como los puestos de usuario. Todos los servicios de la PKI se ejecutan en dos servidores con Windows Server 2003, cada uno en un centro de cálculo y balanceando la carga entre los dos.
“Utilizamos una misma base de datos Oracle, distribuida en dos servidores con sistema operativo AIX en configuración activo-pasivo, con objeto de acceder siempre a un mismo servidor AIX-Oracle y sólo en el caso de una parada en el nodo activo, el nodo pasivo cambia a modo activo”, explica el responsable. “Por otra parte, –continúa–, debido a que el dispositivo elegido como almacén de claves y certificados fue el de la tarjeta de identificación física del empleado, convirtiéndola además en tarjeta de identificación electrónica, se ha desarrollado una aplicación para la emisión de tarjetas de identificación. Esta se ejecuta en dos ordenadores personales, uno por edificio y a ellos se conectan sendas impresoras de tarjetas ImageCard Select Platinum de Datacard”. En cuanto al software de PKI implantado ha sido el de la gama KeyOne v4 de Safelayer.
Hay una parte importante en todo este proyecto desarrollado por el Banco de España, los procedimientos de registro para la obtención de certificados personales que están integrados con una aplicación de administración de seguridad informática desarrollada en el banco sobre el ordenador central, un IBM z/OS, empleada para la gestión de usuarios y acceso a recursos. La interfaz utilizada por los usuarios finales para la obtención de certificados está basada en una aplicación web, desarrollada en base a KeyOne RA.
Todo este sistema requiere la existencia de una Autoridad de Validación (VA) basada en KeyOne VA, configurada para responder sobre el estado de los certificados emitidos por la PKI del banco y de otros Prestadores de Servicios de Certificación (PSCs) externos. Actualmente ya permite validar los certificados emitidos por la Fábrica Nacional de Moneda y Timbre y más adelante se incluirán también los de otros prestadores de servicios de certificación reconocidos por el Banco de España, el futuro DNI digital, etc.
“Contamos también –señala Valentín González–, como herramienta de firma y cifrado de documentos con KeyOne Desktop en todos los ordenadores personales del banco. Su configuración está gestionada a través de KeyOne Desktop Manager y esta, a su vez, está integrada con KeyOne Custody para ofrecer la funcionalidad de cifrado compartido y accede a KeyOne VA para consultar el estado de revocación de los certificados. Para la firma y cifrado de correo electrónico se utiliza la funcionalidad de correo seguro de Microsoft Outlook 2003, pero en algunos puestos desde los que se intercambia correo en base a certificados emitidos por PSCs externos, se ha implantado el plug-in de Safelayer para Outlook”.
Otros elementos del sistema consisten, por ejemplo, en que para el inicio de sesión en Windows con tarjeta se ha realizado una integración de la PKI en el Directorio Activo del dominio de Windows y como almacén de claves y certificados se ha elegido una tarjeta con el chip criptográfico Java SmartCafé 64 KB de G&D. Por último, la aplicación de emisión de tarjetas está basada en el producto ID Works v.4.1 de Datacard, extendida a través de un plug-in desarrollado para el Banco con objeto de integrarla con las bases de datos corporativas del Banco, ubicadas en el ordenador central.
Beneficios y ventajas
El primero de los beneficios de todo este proyecto es, como comenta el responsable de gestión interna y seguridad del Banco de España, “la autenticación fuerte del usuario, que utiliza su certificad