Archivo de la categoría: Criptografía

Root ECC para la Internet de las cosas (IoT)

1 respuesta

Desde el 5 de octubre de 2009 EADTrust ofrece una Jerarquía de Certificación (PKI Public Key Infraestructure) basada en certificados de curvas elípticas ESDSA. El certificado de la autoridad raíz ECC de EADTrust  solo ocupa 2K por lo que es especialmente adecuado para entornos de baja disponibilidad de memoria, sistemas embebidos y dispositivos orientados a la Internet de las cosas, y, entre ellos, dispositivos «de vestir».

En este tipo de criptografía, los certificados son más compactos y las firmas electrónicas, también, por lo que añadir seguridad a los dispositivos no es especialmente costoso, en términos de potencia computacional o memoria.

En el uso de certificados para la IoT es posible generar certificados y claves por miles y personalizar los dispositivos a través de un número de serie o un valor de MAC address, de forma que con posterioridad se puede añadir información adicional al número de serie, como tipo de dispositivo, tipo y versión de software y funcionalidades activadas, mediante funciones de consulta a una extensión mochila que puede ir firmada por el propio dispositivo y respaldada en la nube en un servidor de consulta para permitir funciones de cifrado.

Las posibilidades son muy amplias y el coste de los certificados muy reducido en las cantidades que se manejan en este tipo de proyectos.

Algunos dispositivos como el Atmel ATECC508A o el Atmel ATECC108A ya incluyen funcionalidades de criptografía de curvas elípticas (ECC, Elliptic Curve Cryptography) que se pueden integrar en cualquier proyecto y que inclue además protección de clave por hardware.

La  root ECC de EADTrust implementa ECDH P-256Los protocolos de intercambio de claves Diffie-Hellman de curva elíptica (ECDH) forman parte de la «Suite B» licenciada por la National Security Agency (NSA)  y se documentan en el Instituto nacional de estándares y tecnología (NISTSpecial Publication 800-56A Revision 2 

Los certificados que se firman mediante el algoritmo de firma Digital (ECDSA) de curva elíptica pueden utilizarse como método de autenticación. Los equipos identificados mediante un certificado pueden incluir este certificado en las negociaciones IPsec con un equipo remoto. El equipo remoto confirma criptográficamente que el propietario del certificado es el que se lo envió. La firma de certificados en ECDSA está documentada en la publicación de las normas de procesamiento de información federal FIPS 186-2

Dispositivos como beacons, sensores, sistemas de monitorización, sistemas de apertura y cierres, grabadores de parámetros, evaluadores de salud de entornos integrados o sensores de stress de seres vivos son algunos usos de estos dspositivos,

Metacolo

1 respuesta

La diplomática, como ciencia que estudia las formas documentales, su autenticidad y su valor probatorio, establece una serie de términos sobre los elementos internos de la forma de los documentos. Para cada documento distingue las siguientes partes: protocolo, texto (o cuerpo)escatocolo.

Etimológicamente el protocolo es lo que va «pegado» (colo) al principio y el escatocolo es lo que va «pegado» (colo) al final.

La diplomática contemporánea establece el estudio de los documentos oficiales, especialmente en el ámbito notarial y administrativo.

La diplomática digital se centra en los documentos electrónicos y, entre otros aspectos, en su transcripción al papel para ser utilizados en contextos de prueba diferentes, que pueden llegar al ámbito jurisdiccional. Los documentos impresos con carácter de documento auténtico gracias a la posibilidad de cotejarlos con los electrónicos descargados de su matriz en virtud de su código CSV se denominan con frecuencia documentos híbridos o albalá electrónico,  y, en el ámbito administrativo «copias auténticas«.

Sin embargo, para el caso de los documentos digitales, es necesario considerar un aspecto nuevo que los estudiosos de la diplomática y paleografía no podían identificar en los tres siglos largos que han transcurrido desde la controversia entre el jesuita Daniel Papenbröeck y el benedictino Jean Mabillón sobre la autenticidad de ciertos documentos merovingios.

Se trata de los metadatos de los documentos. Información relevante acerca de los documentos que se gestiona indirectamente pero que puede acompañar a los documentos como extensión invisible pero consultable, de ser necesario. La propia crítica diplomática de un documento identifica aspectos intrínsecos y extrínsecos de los documentos que podrían ser considerados metadatos de estos documentos.

Así, tendríamos el metacolo, que es la parte del documento formada por sus metadatos, añadida a los conceptos clásicos de la diplomática:

  • Protocolo. Invocación (verbal o simbólica -Crismón-), intitulación (nombre del autor del documento), dirección (nombre del destinatario del documento), saludo (fórmula de cortesía).
  • Parte central o Cuerpo. Preámbulo (sólo en documentos muy solemnes), notificación (advertencia para el destinatario), exposición (motivos por los cuales se hace el documento), dispositivo (objetivo por el cual se expide un documento; es la acción jurídica que incluye el documento y que se identifica con un verbo. Este apartado puede incluir también las características del objeto relacionado con el contrato jurídico); sanción y corroboración (conjunto de fórmulas y cláusulas que sirven para garantizar el contenido jurídico del documento; pueden ser cláusulas preceptivas, derogativas, prohibitivas, reservativas, obligatorias, renunciativas, penales, corroborativas, de emplazamiento o de cumplimiento).
  • Escatocolo. Aprecación (saludo protocolario, muy habitual en las cartas misivas); fecha (tópica, es decir, del lugar donde se ha redactado el documento, y cronológica); validación (formalidades que garantizan la autenticidad del documento; son las firmas de los autores del documento, del escribano y de los testigos.

Entre los datos que se incluyen en el metacolo están la referencia al expediente del que forma parte, las anotaciones posteriores al documento, su vigencia o derogación y las referencias a documentos posteriores que afectan a sus efectos jurídicos. Se incluyen también autores, copistas, condición de copia, formato, idioma, firmas electrónicas, referencias complementarias,…

Criptografía con curvas elípticas en el MOOC de Crypt4you

Deja un comentario

El 03/09/2015 se ha publicado la segunda lección del curso de Criptografía con Curvas Elípticas en el MOOC de Crypt4you, con el título Curvas elípticas en seguridad web y siendo su autor el Dr. Francesc Sebé del Grupo de Investigación Cryptography & Graphs de la Universitat de Lleida.

En esta segunda lección se muestra cómo crear una clave pública certificada, en formato X.509, utilizando criptografía de curvas elípticas mediante la herramienta OpenSSL. Realiza además su instalación en un servidor web Apache2 y el acceso al servidor se lleva a cabo utilizando un navegador web Firefox.

La lección cuenta con los siguientes capítulos:

  • Apartado 2.1. Almacén de autoridades de certificación
  • Apartado 2.2. Creación de claves para criptografía de curvas elípticas
  • Apartado 2.3. Instalación del certificado
  • Apartado 2.4. Conexión segura con el servidor web
  • Apartado 2.5. Referencias bibliográficas

El curso consta de dos lecciones más que se publicarán próximamente: Lección 3. Criptografía con emparejamientos y  Lección 4. Protocolos criptográficos con curvas elípticas.

Otros enlaces de interés relacionados:

Homenaje al profesor Juan Tena Ayuso con motivo de su jubilación

Deja un comentario

El Instituto de Matemáticas de la Universidad de Valladolid (IMUVa) celebrará del 29 de junio al 3 de julio de 2015  en el edificio histórico de la Universidad, sede de la Facultad de Derecho, las VI Jornadas de Teoría de Números.

  • Cerca de 50 matemáticos se darán cita en la Universidad de Valladolid (UVa) en un encuentro referente en torno a la Teoría de Números
  • La Teoría de Números es uno de los campos dentro de las Matemáticas que más empleos genera
  • Las Jornadas servirán para homenajear al catedrático de Álgebra de la Universidad de Valladolid Juan Tena Ayuso con motivo de su jubilación

En la organización de las Jornadas, que suponen un lugar de encuentro de matemáticos interesados en la Teoría de Números en sus diferentes vertientes (algebraica, analítica, geométrica, combinatoria y computacional), colaboran la Real Sociedad Matemática Española (RSME) y las universidades de Valladolid y de Salamanca.

El encuentro, que se ha convertido en referente en la materia, se celebra cada dos años con el fin de mostrar los avances de grupos de investigación formados por científicos españoles e iberoamericanos. También fomenta la actividad de jóvenes que presentan comunicaciones en el congreso con resultados de sus primeros proyectos de investigación o tesis doctorales.

El programa de las Jornadas, a las que asistirán cerca de medio centenar de investigadores, consiste en 22 conferencias invitadas y nueve plenarias seleccionadas por el comité científico y el objetivo es promover la discusión y el debate entre todos los participantes.

Tras la inauguración a cargo del rector de la Universidad de Valladolid, Daniel Miguel San José, que tendrá lugar a las 12 horas del lunes 29 de junio en la Sala de Grados de la Facultad de Derecho, se desarrollará la conferencia inaugural de la catedrática de la Universidad de Barcelona Pilar Bayer con el título Parametrización automorfa de las curvas de Fermat. Asistirán a la inauguración, entre otros, el nuevo director electo del IMUVa, Félix Delgado, decano de la Facultad de Ciencias, y el presidente de la RSME y del comité organizador de las Jornadas, Antonio Campillo, quien apunta que se darán cita en la UVa “los principales referentes españoles y algunos extranjeros en Teoría de Números».

Homenaje al profesor Juan Tena

Una de las conferencias plenarias, que lleva por título De curvas elípticas sobre los números racionales hasta curvas elípticas sobre los enteros módulo p, será impartida por el catedrático de Álgebra de la Universidad de Valladolid Juan Tena Ayuso. Esta conferencia, que se celebrará también en la Sala de Grados a las 18.30 horas del día 2 de julio, junto a la que le precede, Contando conjuntos libres de configuraciones finitas, del catedrático de la Universidad Libre de Berlín Juanjo Rué Perna, forma parte de un homenaje que los participantes y colegas de varias universidades ofrecerán al profesor Juan Tena con motivo de su jubilación.

Campillo ensalza la figura del profesor Tena, “uno de los pioneros en España en el campo de la criptografía, un área con una sólida raíz matemática», así como la relevancia de las Matemáticas en general, y del Álgebra y la Geometría en particular, en la Universidad de Valladolid, donde se realiza un trabajo “puntero» a nivel internacional.

El resto de conferencias plenarias estarán a cargo de Adolfo Quirós (Universidad Autónoma de Madrid), Nicolás Thériault (Universidad de Bio-Bio, Chile), Jesús Guillera (Universidad de Zaragoza), Julia Wolf (Universidad de Bristol), Jorge Jiménez (Universidad Politécnica de Cataluña) y José Ignacio Burgos (ICMAT-CSIC de Madrid).

Una disciplina con importantes implicaciones prácticas

Entre los asuntos que se abordarán en las conferencias plenarias se encuentran los resultados recientes sobre la descripción de las famosas curvas del paradigmático problema de Fermat, la explicitación de las cifras decimales del número “pi» vía series del célebre matemático indio Ramanujan, el conocimiento de series generales del tipo de la famosa hipótesis de Riemann, la aplicación de la teoría de grafos a la combinatoria aplicada, los principales métodos o algoritmos de cifrado secreto o avances recientes en geometría aritmética.

Las Jornadas finalizarán a las 14 horas del viernes 3 de julio de 2015.

Antonio Campillo recuerda que la Teoría de Números “es una de las disciplinas que más impacto tiene dentro de las Matemáticas y uno de los campos que más empleos genera». “Los graduados que se especializan en Teoría de Números acceden a puestos de trabajo destacados en diversas empresas por ejemplo del campo de la criptografía. Es una disciplina que necesita una formación específica de posgrado pero que compensa», asegura.

Las Jornadas de Teoría de Números se celebran bianualmente desde 2005. Tras una exitosa primera edición en Vilanova i la Geltrú (Barcelona), se llevaron a cabo en 2007 en Madrid, en 2009 en Salamanca, en 2011 en Bilbao y en 2013 en Sevilla.

Campillo ensalza la figura del profesor Tena, “uno de los pioneros en España en el campo de la criptografía, un área con una sólida raíz matemática»

Ponentes del Congreso Internacional sobre buzones seguros y cajas fuertes en Internet

Deja un comentario

El 17 Junio de 2015. se celebra en el Parque Tecnológico de Miramón (Guipuzcoa) el Primer Congreso Internacional sobre buzones seguros y cajas fuertes en Internet. Al interés de la temática hay que añadir el de los propios ponentes y la actualidad que otorga la reciente publicación del Reglamento UE 910/2014 del Parlamento Europeo y del Consejo (#EIDAS), relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas.

Destaco seguidamente las iniciativas que se presentarán y sus ponentes:

E-BOKS (DINAMARCA)

e-Boks (DINAMARCA)
Dinamarca constituye, al día de hoy, el país más digitalizado de Europa. En ello tiene mucho que ver e-Boks, el sistema de buzón y caja fuerte que es utilizado por el 100% de la población. La clave en el despegue en la adopción de e-Boks residió en una decisión del Parlamento Danés que, por unanimidad de todos los partidos políticos, impulsó la extensión decidida del sistema a todos los ámbitos de la sociedad. Al día de hoy, más de 20.000 empresas e instituciones remiten documentos a e-Boks.Coincidiendo con la adopción generalizada de e-Boks en Dinamarca, el Parlamento Danés aprobó la obligatoriedad de la relación digital de las empresas (en 2013) y de la ciudadanía (en 2014) con el conjunto de la administración pública danesa. Previamente, en el año 2006, Dinamarca fue el primer país del mundo en la adopción obligatoria de la factura electrónica por el conjunto de las empresas.e-Boks.dk ha captado ya el 40% del tráfico postal existente hace una década en Dinamarca y se ha convertido en una de las empresas de referencia del sector TIC en Dinamarca, con beneficios que alcanzan los 29 M de dólares.
Herik Andersen. e-Boks (DINAMARCA)
Ponente: Herik Andersen.
Henrik Andersen creó e-Boks como Director Ejecutivo en 2001. Anteriormente, trabajó en los departamentos de ventas, marketing y venta minorista internacional de Shell, McDonald’s Nordic, France Telecom y Dell.

DATA BOX (REPÚBLICA CHECA)

DATA BOX (REPÚBLICA CHECA)
DATA BOX es un sistema promovido por el Gobierno Checo, gestionado por Correos de Chequia y que cuenta con la colaboración del conjunto de la administración pública checa.El Gobierno de la República Checa está acelerando la adopción del servicio DATA BOX con el propósito de implantar la relación de los ciudadanos y las empresas exclusivamente a través de los medios digitales. A tales efectos, DATA BOX se haya integrado con los servicios del Czech POINT, el portal unificado de la Administración Pública Checa.
DATA BOX (REPÚBLICA CHECA)
Ponente: Radek Horácek
Radek Horáček es Jefe de la Unidad de Comunicaciones de la Administración Electrónica, perteneciente al Departamento de Administración Electrónica del Ministerio del Interior de la República Checa. Como jefe de dicha unidad, se encarga de coordinar la puesta en práctica, a escala nacional, del reglamento relativo a la identificación electrónica y los servicios de confianza (eIDAS, por sus siglas en inglés) y de actualizar la legislación nacional relativa a la firma electrónica y los sistemas informáticos de la administración pública.

VIACTT (PORTUGAL)

viactt
Es un sistema dependiente de Correos de Portugal. ViaCTT cuenta con una creciente adhesión de empresas y de la administración pública, habiendo obtenido importantes referencias de implementación en la banca, seguros, energía, telefonía, aguas, ayuntamientos…. e incluso en clubs de futbol como el Sporting de Portugal.
VIACTT (PORTUGAL)
Ponente: André Gonçalves Silva
Como Jefe de Negocio y de Operaciones de ViaCTT, se encarga de gestionar y coordinar las principales áreas del servicio ViaCTT, entre las que destacan Desarrollo Empresarial y Plan Estratégico, Operaciones de los Servicios, Gestión de Proveedores y Subcontratación, Gestión de Proyectos y Gestión de Asuntos Legales.

MINA MEDDELANDEN (SUECIA)

MINA MEDDELANDEN (SUECIA)
Es un sistema de buzón ciudadano gestionado por el Gobierno Sueco. Mina Meddelandenestá articulado con el servicio de caja fuerte y buzón seguro Digimail; el cual es utilizado por el Gobierno, las Administraciones Locales y las Empresas. Uno de los ámbitos de experimentación recientes del sistema ha correspondido a la sanidad, siendo utilizado como soporte a una versión resumida del dossier médico ciudadano.
Hakan Johansson
Ponente: Hakan Johansson
Líder de proyecto en la Agencia tributaria sueca

MESSAGE BOX (HOLANDA)

MESSAGE BOX (HOLANDA)
MESSAGE BOX es una caja fuerte integrada en el buzón ciudadano (MijnOverheid) de la infraestructura ha sido desarrollado para su uso por el conjunto de la administración pública holandesa.
Paul ZEEF
Ponente: Paul Zeef
Paul Zeef es el Consultor Jefe Empresarial de la Caja Fuerte de MijnOverheid, de Holanda. Fue uno de los creadores de la Página de Internet Personal para Ciudadanos (MijnOverheid) en 2006, de la cual pasó a formar parte la Caja Fuerte. Como consultor empresarial, es responsable de las conexiones y adaptaciones del sistema de Caja Fuerte y de las normas impuestas por diferentes organismos gubernamentales. Cuenta con una amplia experiencia en administración electrónica como director de programas y jefe de varias unidades del gobierno holandés y es Doctor en Administración Pública por la Universidad de Rotterdam.
Wouter Welling
Ponente: Wouter Welling
Wouter Welling es jefe de producto de la Caja Fuerte de MijnOverheid, de Holanda. Es el responsable de desarrollo futuro y calidad del portal para ciudadanos MijnOverheid, del que forma parte la Caja Fuerte. Es, asimismo, responsable de la investigación (internacional) sobre posibles desarrollos futuros de MijnOverheid.

DE-MAIL (ALEMANIA)

DE-MAIL (ALEMANIA)
De-Mail es un sistema mixto de (Caja Fuerte + Correo Electrónico + Notificación Electrónica) que puede ser utilizado tanto para recibir y almacenar documentos, como soporte certificado para la relación oficial entre personas, empresas y administración pública.Es un sistema gestionado por el Ministerio del Interior, responsable del conjunto de las acciones de eAdministración en Alemania. De-Mail cuenta con una especificación estándar, de manera que proveedores privados de correo electrónico y cajas fuertes puedan ofrecer un servicio compatible con De-Mail.
Dr. Kai Schmitz-Hofbaner
Ponente: Dr. Kai Schmitz-Hofbaner
Director de Producto & Portfolio de De-Mail en T-Systems Internacional GmBH (parte de Telecom Alemania AG). Anteriormente, Consultor Senior de Enterpise Content Management (ECM) en T-Systems Internacional GmBH, responsable de la implantación de De-Mail dentro de las infraestructuras y procesos de los clientes corporativos incluyendo Proveedores públicos de Servicio TIC y Gobierno. Socio en W3L, responsable para el desarrollo de soluciones para la Enterprise Content Management (ECM) y Document Related Technologies (DRT).

MA PREUVE (FRANCIA)

MA PREUVE (FRANCIA)
En nuestros días y en el contexto de una defensa preventiva de la propiedad industrial e intelectual de las empresas, es creciente el interés de las empresas por crear evidencias digitales fehacientes de desarrollos tecnológicos, prototipos o proyectos antes incluso de que estos hayan alcanzado un estadio que permita registrarlos ante organismos especializado de registro, o porque interesa mantenerlos como secreto industrial.La difusión ubicua de ordenadores personales, aparatos de laboratorio y sistemas digitales de fotografía, video y sonido permite efectivamente la fácil generación de evidencias digitales que pueden ser sujetas a mecanismos digitales de constancia, tales como lafirma electrónica y sellado de tiempo, y su posterior custodia legal.El 14 de Septiembre de 2014 entró en vigor el Reglamento (UE) Nº 910 /2014 del Parlamento Europeo y del Consejo relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas. El Reglamento, también conocido bajo las siglas eIDAS, regula para el conjunto de la Unión Europea la creación, verificación y validación de firmas electrónicas, sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios.Son crecientes las referencias de servicios privados que ofrecen sistemas de buzón y caja fuerte electrónica como medio para la protección de la propiedad intelectual mediante la aplicación de la firma electrónica y el estampillado de tiempo. Uno de los países más activos en la materia es Francia, que aportará a la Conferencia la experiencia del sistema MA PREUVE.

Gaétan Paccou
Ponente: Gaétan Paccou
Gaëtan Paccou es el Desarrollador Comercial de MaPreuve.com. Es el responsable de la Promoción y Desarrollo Empresarial de MaPreuve en Francia, Europa y Regiones Internacionales.

METAPOSTA (EUSKADI)

METAPOSTA (EUSKADI)
Creada por el Gobierno Vasco a través de la SPRI desde su inclusión en la Agenda Digital 2010, posteriormente pasó a capital público-privado y se mantiene dentro de la Agenda Digital 2015.Proporciona a ciudadanos y empresas un buzón y caja fuerte seguros, donde almacenartodo tipo de documentos provenientes de diferentes emisores (entidades financieras, administraciones, operadores telefónicos y energéticos, proveedores, clientes, centros de formación etc.). Permite la utilización de firmas digitales y realiza la Custodia Legal de los documentos que lo necesiten. Igualmente sirve para que el propietario del buzón lo utilice como caja fuerte aportando sus propios documentos digitales.Ofrece a las entidades emisoras y usuarias una serie de aplicaciones y utilidades para la interacción con otras entidades usuarias.
Gaétan Paccou
Ponente: Javier Gómez
Como Director Gerente de METAPOSTA es el responsable, además de las funciones habituales de gestión y de la representación institucional de la empresa, de la definición de las líneas estratégicas tanto técnicas como comerciales, de la búsqueda y puesta en marcha de nuevos productos y servicios y la evolución de los mismos

 

Se publican más borradores de las normas de ETSI sobre firma electrónica

Deja un comentario

Los pasados 16, 17 y 19 de febrero se han añadido en el servidor de ETSI un nuevo lote de documentos «drafts» (borradores) relativos al esfuerzo de normalización de la firma electrónica bajo el Mandato M460, necesario también para aplicar el Reglamento UE 910/2014.

El mapa descriptivo del nuevo modelo de normalización se describe en tr_119000v003-rationalised_framework_document_COMPLETE-draft.pdf

Están  abiertos a comentarios por parte de los especialistas, con la vista puesta en su mejora antes de que se publiquen como definitivos. Para enviar comentarios se puede usar la siguiente plantilla: Template-for-comments.doc

16 de febrero de 2015

17 de febrero de 2015

19 de febrero de 2015

Electronic signature framework draft standards documents

Deja un comentario

Since october 2013 ETSI has made available a set of drafts for public reviews. The comment period has ended.

The documents are available at http://docbox.etsi.org/ESI/Open/Latest_Drafts/

The list includes the following:

TR 119 000     Rationalised structure for Electronic SignatureStandardisation

Signature Creation and validation

TR 119 100    Business Driven Guidance for implementing Signature Creation and Validation

TS 119 101    Policy and Security Requirements for Electronic Signature Creation and Validation

Cryptographic Suites

TR 119 300    Business Driven Guidance for Cryptographic Suites

TS 119 312    Cryptographic Suites for Secure Electronic Signatures

Trust Service Providers Supporting Electronic Signatures

TR 119 400    Business Driven Guidance for TSPs Supporting Electronic Signatures

EN 319 412    Profiles for TSPs issuing Certificates

319 412-1: Overview and common data structures

319 412-2: Certificate profile for certificates issued to natural persons

319 412-3: Certificate profile for certificates issued to legal persons

319 412-4: Certificate profile for web site certificates issued to organisations

319 412-5: Qualified certificate statements for qualified certificate profiles

EN 319 422    Profiles for TSPs providing Time-Stamping Services

EN 319 403    Trust Service Provider Conformity Assessment – Requirements for conformity assessment bodies assessing Trust Service Providers

Trust Application Service Providers

TR 119 500    Guidance for Trust Application Service Provider

SR 019 530    Study on standardisation requirements for e-Delivery services applying e-Signatures

Trust Service Status Lists Providers

TR 119 600    Business Driven Guidance for Trust Service Status Lists Providers

Draft eSignature Standards Second batch

A second batch came a couple of months later:

Rationalized Framework

SR 019 020 Rationalised Framework of Standards for Advanced Electronic Signatures in Mobile Environment

Signature Creation and validation

EN 319 102: Procedures for Signature Creation and Validation

EN 319 122 CMS Advanced Electronic Signatures (CAdES)

Part 1: Core Specification

Part 2: Baseline Profile

EN 319 132 XML Advanced Electronic Signatures (XAdES)

Part 1: Core Specification

Part 2: Baseline Profile

EN 319 142 PDF Advanced Electronic Signature Profiles (PAdES)

Part 1: PAdES Overview – a framework document for PAdES

Part 2: PAdES Basic – Profile based on ISO 32000-1

Part 3: PAdES Enhanced – PAdES-BES and PAdES-EPES Profiles

Part 4: PAdES Long Term – PAdES-LTV Profile

Part 5: PAdES for XML Content – Profiles for XAdES signatures

Part 6: Visual Representations of Electronic Signatures

Part 7: PAdES Baseline Profile

EN 319 162 Associated Signature Containers (ASiC)

Part 1: Core Specification

Part 2: Baseline Profile

EN 319 172 Signature Policies

Trust Service Providers Supporting Electronic Signatures

EN 319 411 Policy and security requirements for Trust Service Providers issuing certificates

Part 1: Policy requirements for Certification Authorities issuing web site certificates

Part 2: Policy requirements for certification authorities issuing qualified certificates

Part 3: Policy requirements for Certification Authorities issuing public key certificates

Part 4: Policy requirements for certification authorities issuing Attribute Certificates

EN 319 421 Policy and Security Requirements for Trust Service Providers providing Time-Stamping Services

Let’s Encrypt – Cifremos

Deja un comentario

The Internet Security Research Group (ISRG), en español, Grupo de Investigación de Seguridad de Internet (GISI), se ha constituido recientemente como entidad sin ánimo con el objetivo de impulsar la seguridad de Internet, especialmente a través de su iniciativa  ”Let’s Encrypt“Cifremos” que pretende distribuir gratuita y automáticamente certificados de servidor web basados en el protocolo “Secure Sockets Layer/Transport Layer Security” (SSL/TLS)ca todos los servidores del mundo.

En el Consejo del ISRG estarán representadas las entidades MozillaAkamai,Cisco, la Universidad de Michigan, la  Stanford Law School, CoreOS, IndenTrust, y la Fundación EFF (Electronic Frontier Foundation).

Estos son los miembros:

  • Josh Aas (Mozilla) — ISRG Executive Director
  • Stephen Ludin (Akamai)
  • Dave Ward (Cisco)
  • J. Alex Halderman (University of Michigan)
  • Andreas Gal (Mozilla)
  • Jennifer Granick (Stanford Law School)
  • Alex Polvi (CoreOS)
  • Peter Eckersley (EFF) — Observer

La iniciativa Let’s Encrypt, en español  “Cifremos” tiene entre sus destinatarios a los webmasters de las empresas, que instalan y mantienen servidores web. Si en la actualidad  conseguir los certificados de servidor es un engorro, por ser relativamente costosos y difíciles de instalar, con Let’s Encrypt se pretende resolver estos problemas creando una nueva Autoridad de Certificación (CA) que prepare e instale los certificados gratuita y automáticamente cuando se instalan los servidores o se reconfigura el software de un proyecto.

La gran ventaja de una internet en la que todos los servidores web usan SSL/TLS es que las comunicaciones se cifran siempre, y por tanto sus contenidos no son accesibles ni para atacantes maliciosos ni para gobiernos con pretensiones de espiar o censurar a sus ciudadanos (o a ciudadanos de otros países).

Let’s Encrypt ya ha comenzado a desarrollar los protocolos y el software necesario.

La Autoridad de Certificación (CA) de Let’s Encrypt dialoga con un software de gestión específico instalado en los servidores mediante el protocolo ACME (“Automated Certificate Management Environment”). Ya existe un borrador de la especificación ACME. Se pretende promover esta especificación para que sea parte del cuerpo normativo de la Internet Engineering Task Force (IETF) en el plazo más breve posible, y de esta forma garantizar su evolución como estándar abierto.

Tanto el software utilizado por la CA (Certification Authority) como el de las aplicaciones que acceden a ella y que facilitan a los administradores de sistemas la configuración de certificados SSL/TLS en servidores web como Apache, Nginx y Microsoft IIS, serán de fuentes abiertas. La CA pretende operar de forma transparente de modo que el repositorio de certificados emitidos y revocados estará a disposición de quien quiera inspeccionarlos.

Let’s Encrypt se someterá a los procesos de auditoría habituales de todas las CA y cumplirá los requerimientos básicos (baseline requirements) establecidos por la organización de cooperación entre desarrolladores de navegadores y autoridades de certificación  CA/Browser Forum en cuanto a la emisión y gestión de certificados digitales.

El Internet Security Research Group (ISRG) solicitará que sus certificados raíz se incluyan en los programas definidos por los desarrolladores de navegadores como Mozilla y Microsoft, para que estos navegadores confíen en los certificados emitidos por la CA de ISRG por defecto (sin requerir una aprobación expresa por los usuarios). Dado que este proceso puede ser largo y laborioso y que puede llegar a necesitar hasta 3 años por cada navegador, inicialmente ISRG solicitará a IdenTrust  (cuyas CA raíz ya están integradas en los navegadores) que firme sus certificados.   IdenTrust es uno de los impulsores del proyecto.

Para colaborar en España con esta iniciativa, contactar con Julian (@) inza.net

XVII Edición Master en Negocio y Derecho de las Telecomunicaciones, Internet y Audiovisual

Deja un comentario

Este año se celebra la XVII Edición del Master en Negocio y Derecho de las Telecomunicaciones, Internet y Audiovisual organizado por el despacho Cremades & Calvo-Sotelo, en colaboración con el Centro Universitario Villanueva, y al que amablemente me han invitado, una vez más, como profesor.

El MNDTIA tiene como objetivo la formación altamente cualificada de abogados que deseen ejercer la abogacía en el sector de las telecomunicaciones, combinando los conocimientos teóricos específicos de esta rama del derecho con la realización de prácticas en empresas líderes del sector y en nuestro Despacho.

El MNDTIA es el master pionero en materia de telecomunicaciones & TIC en España, se viene impartiendo desde hace 16 años y ha sido diseñado por reputados profesionales especialistas del sector, y pensado para aquellos que quieran crecer profesionalmente adquiriendo conocimientos especializados en una rama del derecho que abarca uno de los sectores que más profundamente se ha visto transformado en los últimos años y uno de los que mayor potencial de futuro aguarda debido a la revolución digital.

Yo impartiré la sesión de Firma Digital, introduciendo algunos conceptos de Diplomática Digital.

DUKPT – Derived Unique Key Per Transaction – clave derivada única por transacción

Deja un comentario

En criptografía, clave derivada única por transacción (DUKPT)  es un sistema de gestión de claves en la que para cada transacción, se utiliza una clave única que se deriva de una clave establecida. Por lo tanto, si se llega a ver comprometida una clave derivada, los datos de las transacciones anteriores y posterioressiguen protegidas ya que las claves siguientes o anteriores no se pueden determinar fácilmente. La especificación DUKPT se detalla en la norma ANSI X9.24 parte 1.

DUKPT permite que el procesamiento del cifrado se haga en un lugar diferente del que gestiona la clave. El cifrado se realiza con una clave derivada, que no se vuelve a utilizar después de la transacción. DUKPT se utiliza para cifrar transacciones de comercio electrónico. Aunque podría utilizarse  para proteger la información entre dos empresas o bancos, normalmente se utiliza para cifrar la información de PIN adquirida por los terminales punto de venta (TPV) .

DUKPT por sí mismo no es un estándar de cifrado; más bien es una técnica de gestión de claves . Las características de un entorno de uso de DUKPT son:

  • permite  a las partes que intervienen en una transacción acordar la clave que se utiliza para una transacción dada
  • cada transacción tendrá una clave distinta de todas las demás transacciones , excepto por coincidencia vcasual
  • si llega comprometerse una clave derivada, las  anteriores y posteriores (y por lo tanto los datos de transacciones cifradas con ellas) no están en riesgo
  • cada dispositivo genera una secuencia de claves diferente
  • los extremos de la comunicación no necesitan preacordar de forma interactiva la clave.

 

Descripción

Hay dos componentes principales en la creación de un entorno de transacción DUKPT: una Clave de Derivación Base (Base Derivation Key, BDK) y un Número de Serie de Clave (Key Serial Number, KSN) único.

El módulo de seguridad de hardware responsable de inyectar las claves contiene un contador que se incrementa cada vez que se añade un nuevo dispositivo a la red. Este contador se cifra utilizando la BDK, lo que da como resultado la clave inicial DUKPT que se inyecta en el dispositivo.

Esta clave inicial se utiliza posteriormente para crear un conjunto de claves de transacción, cada una con un modificador para diferentes usos de la clave. El contador también se utiliza para formar el KSN del dispositivo.

Todas las transacciones que utilicen DUKPT incluirán el KSN. Los números de serie de las claves desempeñan un papel integral en el proceso DUKPT, ya que permiten al HSM identificar qué clave inicial se utilizó para cifrar los datos.

Tal como se especifica en la norma ANS X9.24-1, DUKPT utiliza un KSN de 10 bytes, que suele representarse como una secuencia de 20 caracteres hexadecimales en la que cada byte del KSN está representado por un par de caracteres hexadecimales.

Cuando se introduce un PIN en el terminal de punto de venta, se formatea en un bloque de PIN. A continuación, este bloque de PIN se cifra mediante Triple DES utilizando la clave de transacción actual, que se elige del conjunto de claves creado por la clave inicial.

Junto con información como el KSN, el bloque PIN se envía a la aplicación host, donde la información se utiliza para verificar la identidad del dispositivo de origen.

Una vez en manos de la aplicación host, el bloque PIN puede traducirse utilizando un esquema de gestión de claves diferente.

Una vez enviado el bloque PIN a la aplicación host, el KSN se incrementa en una cantidad definida por el usuario, normalmente 1, y luego se utiliza con la clave de transacción actual para crear más claves futuras.

Una vez generadas las claves futuras, la clave de transacción actual se borra del sistema, eliminando del dispositivo cualquier información sobre una transacción anterior. Después, el dispositivo estará listo para extraer una clave futura para la siguiente transacción.

Al utilizar la clave de cifrado actual para formar la clave que se utilizará en la siguiente transacción, DUKPT forma un sistema de autorreciclado que fomenta la seguridad, la eficacia y la facilidad de implementación.