Archivo por meses: diciembre 2021

Expedición de certificados cualificados sin comparecencia presencial (a distancia)

Deja un comentario

El Reglamento UE 910/2014 establece en su artículo 24:

1.   Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.

La información a que se refiere el párrafo primero será verificada por el prestador de servicios de confianza bien directamente o bien por medio de un tercero de conformidad con el Derecho nacional:

  1. en presencia de la persona física o de un representante autorizado de la persona jurídica, o
  2. a distancia, utilizando medios de identificación electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto», o
  3. por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a) o b), o
  4. utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.

El apartado 24-1.b permite la identificación a través de una plataforma de gestión de identidad siempre que se hayan adoptado medidas de seguridad apropiadas. El Reglamento de Ejecución (UE) 2015/1502 de la Comisión de 8 de septiembre de 2015 orienta sobre los aspectos a cumplir.

Para el caso de la opción  24-1.d ya existe en España adecuada cobertura según la Ley 6/2020 (Artículo 7):

(…) 
Podrá prescindirse de la personación de la persona física que solicite un certificado cualificado si su firma en la solicitud de expedición de un certificado cualificado ha sido legitimada en presencia notarial. 
(…) 
2. Reglamentariamente, mediante Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital, se determinarán otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación como videoconferencia o vídeo-identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según su evaluación por un organismo de evaluación de la conformidad. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario. 
Serán considerados métodos de identificación reconocidos a escala nacional, a los efectos de lo previsto en el presente apartado, aquellos que aporten una seguridad equivalente en términos de fiabilidad a la presencia física y cuya equivalencia en el nivel de seguridad sea certificada por un organismo de evaluación de la conformidad, de acuerdo con lo previsto en la normativa en materia de servicios electrónicos de confianza.

Este artículo da cobertura legal a la adopción de estas dos normas:

  • Orden ETD/465/2021, de 6 de mayo, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados. Normativa a cumplir para la identificación a distancia (videoconferencia y videoidentificación) y criterios de auditoría para permitir la evaluación de los sistemas que la implementan. Específica de España
  • ETSI TS 119 461 V1.1.1 (2021-07) – Policy and security requirements for trust service components providing identity proofing of trust service subjects. Para uso en toda la Unión Europea. Toca más casos de uso, no solo la videoidentificación remota .

Los CABs (Conformity Assessment Bodies) ya contemplan estas normas en sus auditorías.

Y es algo muy necesario como se pudo comprobar en la fase de confinamiento de la ciudadanía del primer semestre de 2020 provocado por la enfermedad COVID-19.

Firma electrónica indirecta

1 respuesta

En ocasiones hay que realizar firmas electrónicas sobre un documento electrónico principal que lleva adjuntos otros documentos electrónicos. Y puede que sea conveniente que alguno o todos los documentos adjuntos estén firmados electrónicamente. El primer documento suele estar en formato PDF y se puede firmar con herramientas como Adobe Acrobat DC (atención, las denominaciones de la firma en Acrobat son confusas: la que hay que usar es la firma basada en certificado).

Una posible solución a la firma de múltiples documentos (en caso de que el procedimiento al que se van a incorporar los documentos lo admita) es incluir en el escrito principal un anexo de firmas indirectas que incluye la relación de documentos electrónicos adjuntos, utilizando para ellos nombres descriptivos que deberán coincidir con los de los propios documentos y, si es posible, de forma que el nombre incluya entre sus primeros caracteres las cifras que componen su número ordinal dentro de la relación de documentos según la preferencia de ordenación del firmante o de quien elabora el escrito.

Para cada fichero es conveniente indicar el tamaño y es preceptivo indicar el valor hash correspondiente al fichero.

En la sección inicial del anexo, antes de incluir la propia tabla que contiene los nombres de los ficheros y sus valores, se debe especificar el formato de hash utilizado, que normalmente será de los tipos SHA-2 o SHA-3, considerando la variante concreta. Por ejemplo «SHA-2 (variante SHA-256)». Conviene indicar la notación empleada. Por ejemplo, «El resultado del valor HASH se expresa en notación hexadecimal», o «El resultado del valor HASH se expresa en notación Base64».

También es conveniente que los valores hash se incluyan en una tipografía de las denominadas  «de espaciado fijo entre caracteres» (en inglés «monospaced») como el tipo de letra Courier que permite apreciar que todas las tiras de caracteres tienen el mismo tamaño (y detectar errores relacionados con la existencia de un número de caracteres mayor o menor del que corresponde).

Para calcular los valores HASH de los ficheros existen diversas herramientas. En sistemas Windows, una de las recomendables por su sencillez es Hashtab disponible originalmente en la web Implbits.

Tras instalar el software, se crea una opción de menú contextual en el Explorador de Windows, de modo que, si pulsamos sobre un fichero con el botón derecho del ratón y a continuación sobre la opción «Propiedades» (la opción que queda abajo del todo) se abre una ventana que contiene una pestaña para los valores hash del documento («Hash de Archivos»).

A continuación se pulsa en la pestaña de la zona superior «Hash de Archivos» y se pueden ver los valores hash del fichero por tipo de algoritmo.

Si se pulsa sobre el enlace «Parámetros» (hacia la mitad de la ventana) se pueden elegir los tipos de hash que se desea que muestre la herramienta.

Este tipo de firmas indirectas puede considerarse similar a las denominadas «separadas» o «acompañantes» («detached» en inglés) ya que los propios documentos no se modifican para incluir las firmas (como en las firmas «attached enveloped») ni se crean estructuras contenedoras de la firma y del documento (como en las firmas «attached enveloping»)