Archivo de la categoría: EIDAS2

Logo EUDI Wallet

Código fuente de la implementación de referencia de la Cartera IDUE (EUDI Wallet)

1 respuesta

Descripción general

Este artículo vuelca al español el titulado EUDI Wallet Reference Implementation, explicado por la Unión Europea sobre la disponibilidad del código fuente de la cartera IDUE.

La implementación de referencia de la Cartera IDUE se basa en su documento resúmen de arquitectura y marco de referencia y tiene como objetivo mostrar una plataforma robusta e interoperable para la identificación digital de personasy entidades, la autenticación y las firmas electrónicas basadas en estándares comunes en toda la Unión Europea.

La implementación de referencia de la cartera EUDI se adopta una arquitectura modular compuesta por un conjunto de componentes reutilizables para cada funciónque se desarrollarán paulatinamente y se podrán reutilizar en otros proyectos. En concreto, como parte de la implementación de referencia de la cartera IDUE, se entregará el siguiente conjunto de componentes:

Consulte la documentación publicada en Github que se detalla en las siguientes secciones para saber como compilar y participar en la Implementación de referencia de Cartera IDUE (EUDI Wallet).

Ámbito funcional

El alcance de la Implementación de Referencia de la Cartera IDUEse publica pensando en mejoras sucesivas de funcionalidad enfatizando las funcionalidades clave que permiten acoger un amplio conjunto de casos de uso. Por ejemplo:

  • Permiso de conducir móvil
  • Acceso a servicios públicos y privados en línea
  • Apertura de una cuenta bancaria
  • Registro de SIM
  • Autorización de pago
  • Autenticar un servicio de terceros para firmar documentos

Las siguientes observaciones se considerarán en relación con las funcionalidades proporcionadas.

Presentación remota

  • Flujos entre dispositivos y en el mismo dispositivo para autenticación y autorización en línea (OpenID4VP (borrador 20) que transfiere mDoc para autenticación y autorización remotas)
  • Plataformas aplicables: Android, iOS

Compartir proximidad

  • Uso de protocolos de proximidad QR/BLE
  • Etiqueta NFC para compatibilidad con dispositivos (entrega estática)
  • Plataformas aplicables: Android, iOS

Emisor

  • Una implementación de un servicio de emisión de credenciales, según OpenId4VCI (borrador 13) (proporciona un servicio de emisión de PID y mDL de prueba en formato mDoc y SD-JWT-VC)

Hoja de ruta

La hoja de ruta de la implementación de referencia de EUDI Wallet ofrece una visión transparente de las características y mejoras que se están desarrollando actualmente o que se planean para el futuro. Su propósito es promover la comunicación y la colaboración abiertas en nuestra comunidad.

Puede consultar más detalles en la Hoja de ruta de implementación de referencia de EUDI Wallet .

Contribuciones y comentarios

Le animamos a que contribuya o proporcione sus comentarios o sugerencias para la implementación de referencia de EUDI Wallet. Según el tipo de comentarios que desee proporcionar, puede utilizar uno de los siguientes canales:Contribuciones al códigoSugerencias para la hoja de rutaOtros comentarios

Repositorios

En esta sección se ofrece una descripción general de los repositorios clave de la implementación de referencia de EUDI. La tabla que aparece a continuación sirve como ayuda de navegación para encontrar la información que está buscando.

Bibliotecas

Bibliotecas coordinadoras de Wallet Core (Android) y Wallet Kit (iOS)

RepositorioDescripción
Cartera básica (Android)Implementación de la biblioteca EUDI Wallet (Cartera IDUE) Core para Android que sirve como capa coordinadora entre la aplicación UI y las bibliotecas Wallet. Actualmente, coordina las bibliotecas de emisión, proximidad y presentación remota.
Kit de Cartera (iOS)Implementación de la biblioteca EUDI Wallet Kit (Cartera IDUE) para iOS que sirve como capa coordinadora entre la aplicación UI y las bibliotecas Wallet. Actualmente coordina las bibliotecas de emisión, proximidad y presentación remota.

Bibliotecas iOS para compartir por proximidad

RepositorioDescripción
Seguridad de Carné de conducir móvil mDoc (iOS)Implementación de mecanismos de seguridad mDoc según ISO/IEC 18013-5.
Transferencia de datos mDoc (iOS)Implementación de la biblioteca de transferencia de datos mDoc según ISO/IEC 18013-5.
Modelo de datos de Carné de conducir móvil mDoc (iOS)Implementación del modelo de datos mDoc según ISO/IEC 18013-5.

Bibliotecas de Android para compartir por proximidad

RepositorioDescripción
Transferencia de datos de mDoc (Android)Esta biblioteca proporciona un conjunto de clases para gestionar la transferencia de documentos en una Cartera IDUE Android ISO 18013-5.

Bibliotecas iOS para presentaciones remotas

RepositorioDescripción
Intercambio de presentaciones (iOS)Implementación de la especificación DIF Presentation Exchange v2 en Swift.
Protocolos SIOPv2 y OpenID4VP (iOS)Implementación de los protocolos SIOPv2 y OpenID4VP (borrador 20) (rol de cartera) en Swift.
SD-JWT (iOS)Biblioteca SD-JWT para crear y verificar SD-JWT en JVM Swift.

Bibliotecas Android para presentaciones remotas

RepositorioDescripción
Intercambio de presentaciones (Android)Implementación de la especificación DIF Presentation Exchange v2 en Kotlin.
Protocolos SIOPv2 y OpenID4VP (Android)Implementación de los protocolos SIOPv2 y OpenID4VP (borrador 20) (rol de la cartera) en Kotlin.
SD-JWT (Android)Biblioteca SD-JWT para crear y verificar SD-JWT en JVM Kotlin.

Emisión de bibliotecas iOS

RepositorioDescripción
OpenId4VCI (iOS)Implementación de gestión de credenciales que soporta el protocolo OpenId4VCI (borrador 13).

Emisión de bibliotecas de Android

RepositorioDescripción
OpenId4VCI (Android)Implementación de gestión de credenciales que soporta el protocolo OpenId4VCI (borrador 13).

Bibliotecas iOS de almacenamiento de datos de billetera y gestión criptográfica

RepositorioDescripción
Almacenamiento de documentos mDoc (iOS)Almacenamiento para llaves y documentos de cartera.

Bibliotecas Android para almacenamiento de datos de cartera y gestión criptográfica

RepositorioDescripción
Almacenamiento de documentos mDoc (Android)Esta biblioteca proporciona un conjunto de clases para administrar documentos y sus claves criptográficas en una cartera Android EUDI.

Aplicación Wallet UI y aplicación de demostración para Android e iOS

RepositorioDescripción
Interfaz de usuario/aplicación de demostración (Android)Implementación de la aplicación de interfaz de usuario de carterapara Android. Actualmente, también incluye una aplicación de demostración que demuestra las siguientes capacidades: presentación de proximidad, autenticación en línea en el mismo dispositivo y emisión de PID y mDL.
Interfaz de usuario/aplicación de demostración (iOS)Implementación de la aplicación de interfaz de usuario de cartera para iOS. Actualmente, también incluye la aplicación de demostración, que demuestra las siguientes capacidades: presentación de proximidad y presentación en línea desde el mismo dispositivo y emisión de PID y mDL.

Aplicaciones y servicios de verificación

RepositorioDescripción
Verificador webAplicación de interfaz de usuario (frontend) de Web Verifier de demostración que actúa como punto final de confianza de Verifier/RP. Disponible en https://verifier.eudiw.dev
API Restful (servicios web)Aplicación de demostración de verificador web (servicio Restful de backend) que actúa como un punto final confiable de Verificador/RP.

Emisión de aplicaciones y servicios

RepositorioDescripción
Emisor OpenId4VCI (Python)Implementación de un servicio de emisión de credenciales, según OpenId4VCI (borrador 13), en Python. Disponible en https://issuer.eudiw.dev/
Emisor OpenId4VCI (Kotlin)Una implementación de un servicio de emisión de credenciales, según OpenId4VCI (borrador 13), en JVM Kotlin. Disponible en https://issuer-backend.eudiw.dev/

Firma de aplicaciones y servicios

RepositorioDescripción
Proveedor de confianza FirmanteTrust Provider Signer es un proveedor y cliente de servicios de firma remota en Java

Preguntas frecuentes y guías prácticas

Se ha recogido una lista de preguntas frecuentes sobre la implementación de la referencia de cartera IDUE.

Las instrucciones para instalar y utilizar las aplicaciones/bibliotecas correspondientes se pueden encontrar en los archivos ‘ReadMe’ correspondientes, es decir:

Descargo de responsabilidad

El software publicado en GitHub es una versión de desarrollo inicial:

  • La versión de desarrollo inicial es un entregable inicial que refleja los esfuerzos de un período de tiempo corto y no puede considerarse el producto final.
  • La versión de desarrollo inicial puede modificarse sustancialmente con el tiempo, puede acoger nuevas características pero también puede cambiar o eliminar las existentes, renunciando, potencialmente, a la compatibilidad con su código preexistente.
  • La versión de desarrollo inicial tiene un alcance funcional limitado.
  • La versión de desarrollo inicial puede contener errores o fallos de diseño y otros problemas que podrían causar fallas del sistema u otros errores y pérdida de datos.
  • La versión de desarrollo inicial hace uso de un juego de estándares de seguridad, privacidad, disponibilidad y confiabilidad reducidos en relación con las versiones futuras. Esto podría hacer que el software sea más lento, menos confiable o más vulnerable a ataques que el software maduro.
  • La versión de desarrollo inicial aún no está documentada exhaustivamente.
  • Los usuarios del software deben realizar ingeniería y pruebas adicionales suficientes para evaluar adecuadamente su aplicación y determinar si alguno de los componentes de código abierto es adecuado para su uso en esa aplicación.
  • Se recomienda encarecidamente no utilizar esta versión del software en producción.
  • Solo se admitirá la última versión del software.

Evento: Soluciones ‘tecnolegales’ para cumplir con el marco regulatorio de la agenda digital europea

Deja un comentario

Nos vemos en este evento en el que tengo el honor de participar.

Cuando: 13 de Noviembre de 2024 – De 16:30 a 19:00
Donde: Hermosilla, 3, 28001, Madrid Madrid (Sede de Garrigues)

Programa en PDF

Inscripción por email: confirmaciones.madrid (at) garrigues.com

Con la entrada en vigor de regulaciones clave como el Reglamento de Inteligencia Artificial, la Ley de Servicios Digitales (DSA) o el Reglamento eIDAS2, las organizaciones enfrentan el reto de revisar su estrategia de cumplimiento sobre la materia e integrar soluciones tecnológicas y legales enfocadas a la gestión del riesgo.

En esta jornada, Garrigues reúne a abogados y tecnólogos para explorar, a través de un formato práctico, cómo las herramientas tecnolegales facilitan el cumplimiento normativo, utilizando ejemplos y demostraciones reales de soluciones basadas en los servicios de confianza digital. 

16:30 h – Introducción: el marco regulatorio de la UE y su impacto en las empresas.
16:45 h – Inteligencia artificial y cumplimiento del Reglamento de IA.
Alejandro Padín.
17:30 h – Contratación digital en la economía de plataformas. Especial referencia a la DSA.
Cristina Mesa.
18:15 h – EIDAS2: Hacia las ‘EUDI Wallet Ready Organizations’
Moisés Menéndez y Julián Inza.
18:45 h – Conclusiones y preguntas
19:00 h – Cóctel

EADTrust en el GLTHDAY – Global Legaltech Hub

Deja un comentario

Ayer y anteayer se celebró en Madrid el evento GLTHDAY y EADTrust ha sido uno de los patrocinadores.

El evento tuvo lugar en ESPACIO FUNDACIÓN TELEFÓNICA de Gran Vía, con entrada por C/ Fuencarral, 3 28004 Madrid

El equipo de EADTrust y el de Garrigues estuvieron presentes en el evento, resumiendo las ventajas de GoCertius en el «Elevator Pitch» y en el Stand, en el que entrábamos en detalle para explicarlo a los interesados.

En esta foto aparecemos parte del equipo que estuvo en el evento:

GoCertius es la base conceptual sobre la que hemos construidos los servicios de EAD Factory. Una panoplia de servicios para que empresas de diferentes tamaños puedan desarrollar entornos de gestión de evidencias electrónicas sacando ventaja de los servicios regulados, tales como los que se describen en el Reglamento europeo eIDAS.

Prestadores de servicios cualificados de confianza en España

1 respuesta

España es el país europeo que más prestadores de servicios de certificación acoge.

Según la lista oficiosa que sitúa los prestadores cualificados en el mapa de Europa, España tiene 52 Prestadores de Servicios de Confianza (TSP; Trust Service Providers, en inglés) cualificados.

La lista oficial de Prestadores Cualificados también indica esa cifra: 52

Hay unos pocos menos porque algunos prestadores figuran con dos denominaciones societarias (a veces por ser empresas con CIF distintos participadas por otra) y otros pertenecen a grupos internacionales que registran varios prestadores en diferentes listas de confianza (TSL, Trust Services List) de países europeos y que en la práctica supondría que hay menos prestadores en el conjunto de Europa de lo que parece (en teoría 268).

Esta es la lista de prestadores que incluye un enlace por cada uno a la descripción de servicios reflejada en la relación de la Unión Europea:

  1. 3G Soluciones Movilidad, S.L.
  2. AC Camerfirma, S.A.
  3. Agencia Notarial de Certificación S.L. Unipersonal
  4. ANF Autoridad de Certificación Asociación ANF AC
  5. ANF Certification Authority, S.L.
  6. Asetec Ingeniería de Sistemas, S.L.
  7. Autoridad de Gestión de la PKI del Ministerio de Defensa (AGPMD) y Director del CESTIC. Centro de Sistemas y Tecnologías de la Información y las Comunicaciones (CESTIC)
  8. AVIVA Voice Systems and Services, S.L.
  9. Bewor Tech, S.L.
  10. BTP Onetec, S.L.
  11. CGI Information Systems and Management Consultants España SA
  12. Colegio Oficial de Registradores de la Propiedad y Mercantiles de España
  13. Coloriuris, S.L
  14. Consejo General de Colegios Oficiales de Médicos
  15. Consejo General de la Abogacía Española
  16. Consorci Administració Oberta de Catalunya – CAOC
  17. Customer Communications Tecknalia, S.L.
  18. DEH Notificación Electrónica Habilitada S.L.
  19. Digitel On Trusted Services, S.L.U.
  20. Dirección General de la Policía
  21. Docuten Tech, S.L.
  22. EAD Trust European Agency of Digital Trust, S.L.
  23. Edicom Capital, S.L.
  24. Entrust EU, S.L.
  25. Espublico Servicios Para La Administración, S.A.
  26. Evicertia, S.L.U.
  27. Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda, Entidad Pública Empresarial, Medio Propio (FNMT-RCM)
  28. Factorynet Augusta, S.L.
  29. Factum Identity Solutions, S.L.U.
  30. Firmaprofesional, S.A.
  31. Full Certificate, S.L.
  32. Infraestructuras y Servicios de Telecomunicaciones y Certificación, S.A.
  33. Instituto para la Dinamización Económica, S.A.U.
  34. Ivnosys soluciones S.L.U.
  35. Lleidanet PKI, S.L.
  36. Lleidanetworks Serveis Telematics, S.A.
  37. Logalty Prueba por Interposición, S.L.
  38. Mailteck, S.A.
  39. Sectigo (Europe) SL
  40. Servicios De Mailcertificado SL
  41. Signaturit Solutions, S.L.U.
  42. Signe, S.A.
  43. Signicat, S.L.U.
  44. Sistemas Informaticos Abiertos, S.A.U.
  45. Tecalis Sotware, S.L.
  46. TrustCloud Solutions, S.L.
  47. Uanataca, S.A
  48. Validated Id, S.L
  49. Viafirma, S.L.
  50. Vintegris, S.L.U.
  51. Wise Security Global, S.L.
  52. Ziurtapen eta Zerbitzu Enpresa-Empresa de Certificación y Servicios, Izenpe, S.A.

De estos, ANF figuraría por duplicado, así como Lleidanet (que adquirió inDenova) y Logalty (que adquirió Firmaprofesional). Algo similar sucede con Signaturit e Ivnosys que pertenecen al mismo grupo (ahora «Signaturit Group«) respaldado por el inversor PSG Equity L.L.C.) que también incluye Universign, registrada en Francia como Cryptolog International.

Evicertia y Uanataca también forman parte de un grupo, en este caso Ambienta SGR SpA (“Ambienta”), que en 2022 adquirió Bit4 Group S.r.l. (“Bit4id”), proveedor tecnológico especializado en identidad digital y confianza digital con sede en Nápoles (Italia) para unirlo a Namirial que adquirió en 2020. Recientemente la estructura societaria en España se ha gestionado como una absorción de empresas en la que UANATACA, S.A.U. absorbe las empresas BIT4ID IBÉRICA, S.L.U. y EVICERTIA, S.L.U.

Otra vinculación a nivel internacional es la de AC Camerfirma, que forma parte del grupo Infocert (que posee el 51% e Camerfirma) desde mayo de 2018. El mismo año, Infocert tomó una participación del 50% en LuxTrust. InfoCert, del Grupo Tinexta, es posiblemente es el mayor QTSP (Qualified Trust Service Provider) de Europa, con presencia en más de 60 países. Infocert agrupa además a CertEurope (100%), Ascertia (65%) y Authada (16.7%).

Otra inversión relevante en el segmento ha sido la de la firma de abogados Garrigues, que tomó el 51% de EADTrust en 2023.

También conviene aclarar que la ACCV (Agencia de Tecnología y Certificación Electrónica) de la Comunidad Valenciana sigue prestando servicios como parte de Istec, (Infraestructures i Serveis de Telecomunicacions i Certificació, SA).

De modo que, a efectos prácticos, en España hay 47 Prestadores Cualificados de Servicios de Confianza Digital, que tampoco está nada mal.

La Cartera IDUE o EUDI Wallet en Deep Tech Talks

Deja un comentario

El próximo miércoles 23 de octubre desde las 5:30 pm hasta las 7:30 pm nos encontraremos en un nuevo evento de «Deep Tech Talks» para hablar de Identidad Digital, y en concreto de la Identidad Digital de la Unión Europea impulsada por el Reglamento UE 2024/1183 que entró en vigor el 20 de mayo de 2024.

Tendrá lugar en el Madrid Innovation Lab (MIL). C/ Bravo Murillo 37-39 (acceso detallado al final del registro).

En la era digital, nuestra identidad digital y las herramientas para gestionarla, serán esenciales para acceder a servicios, realizar transacciones y participar activamente en la sociedad en línea. Sin embargo, los riesgos de fraude, robo de datos y suplantación de identidad son innegables, de modo que es esencial que las Carteras Digitales de Identidad que van a estar disponibles a partir de 2026 se diseñen con los criterios más rigurosos de seguridad y promuevan el concepto de «User Centric Identity«.

Madrid Innovation Lab (MIL), iniciativa pionera del Ayuntamiento de Madrid para catalizar el avance tecnológico en la ciudad, organiza un ciclo de charlas que tratarán aspectos clave de la identidad digital.

La primera de las cuales es la anunciada para el próximo 23 de octubre y en la que se abordará esta temática en una mesa redonda compuesta por tres expertos y en las que se tratarán:

  • El concepto y la historia de la identidad digital
  • Marco de identidad digital europeo (ARF) y las nuevas oportunidades que ofrece
  • Expectativas de evolución
  • Casos de uso

Todo ello de la mano de los expertos:

  • Julián Inza, presidente de EAD TRUST.
  • Irene Hernández, fundadora y CEO de Gataca.
  • Lucas Carmona, director Identidad Digital Descentralizada en Teknei.

 A la sesión también se puede acceder online a través del canal de YouTube de Madrid Innovation Lab (MIL).

ENISA dará soporte a la Certificación de la Cartera de identidad digital de la UE: Otro paso hacia la identificación electrónica segura de los europeos

Deja un comentario

En el contexto del desarrollo de lo previsto en el Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) n.° 910/2014 en lo que respecta al establecimiento del Marco Europeo de Identidad Digital, la Comisión Europea ha solicitado a ENISA que proporcione apoyo para la certificación de las Carteras de Identidad Digital de la Unión Europea (Carteras IDUE, EUDI Wallets), incluido el desarrollo de un esquema europeo candidato de certificación de ciberseguridad de conformidad con la Ley Europea de Ciberseguridad (Reglamento (UE) 2019/881).


La directora en funciones de Sociedad Digital, Confianza y Ciberseguridad de la Comisión Europea, Christiane Kirketerp de Viron, destacó: «El sistema de certificación para las Carteras de Identidad Digital de la UE es clave para un funcionamiento exitoso del concepto de Carteras. La certificación garantiza que las Carteras IDUE son seguros y protegen la privacidad de los usuarios y sus datos personales. Además, garantizará que los ciudadanos puedan utilizar sus Carteras digitales nacionales en toda la UE».
El Director Ejecutivo de ENISA, la Agencia de Ciberseguridad de la UE, Juhan Lepassaar, declaró que: «En el mundo interconectado de hoy, el uso de Carteras digitales es un paso fundamental hacia una identificación segura tanto en el mundo físico como en el digital. Mediante el desarrollo del sistema europeo de certificación de la ciberseguridad para la Cartera de Identidad Digital de la Unión Europea (EUDIWallet), ENISA ayudará a la Comisión y a los Estados miembros a establecer controles de ciberseguridad en el ámbito de la identificación digital que permitan su adopción en toda la UE. Las Carteras digitales contribuyen a la madurez de la digitalización de la UE y mejoran la ciberseguridad y la privacidad de los ciudadanos.»


¿Qué pasa con las Carteras de Identidad Digital de la UE?

Dado que la ola de avances tecnológicos ha transformado los sectores y servicios privados y públicos por igual, es esencial proponer soluciones que permitan identificar y autenticar de forma segura a los usuarios en un mundo digitalizado en evolución.

En mayo de 2024 entró en vigor el Marco Europeo de Identidad Digital (Reglamento EIDAS2). El despliegue de EUDI Wallets (Carteras IDUE) es un paso en esta dirección. Las Carteras IDUE permiten almacenar, acceder y compartir datos y documentos de identificación personal, todo ello en una aplicación de fácil acceso. A través de las Carteras IDUE, los procesos de identificación y autenticación en línea mejorarán y contribuirán a reducir las barreras existentes desde hace tiempo de manera que la identificación digital se extienda de forma segura e interoperable en toda Europa.

Desarrollo de sistemas de certificación para EUDIW

La petición de la Comisión aborda dos líneas de trabajo principales.

En primer lugar, pide a ENISA que apoye el establecimiento de esquemas nacionales de certificación por los Estados miembros de la UE proporcionando requisitos de certificación armonizados con arreglo al Marco de Identidad Digital Europea. Como complemento, ENISA participará en la preparación de los actos de ejecución pertinentes que establezcan una lista de normas de referencia y, en caso necesario, especificaciones y procedimientos con el fin de expresar especificaciones técnicas detalladas de dichos requisitos (abordando principalmente aspectos de seguridad y privacidad).

En segundo lugar, solicita a ENISA que inicie la preparación de un esquema de certificación de ciberseguridad europeo candidato para los Carteras IDUE y sus esquemas de identificación electrónica (eID) en el marco de la Ley europea de Ciberseguridad.

De acuerdo con la Ley de Ciberseguridad de la UE adoptada en 2019, la Comisión Europea puede emitir una solicitud a ENISA para el desarrollo de un esquema europeo de certificación de ciberseguridad. ENISA iniciará el trabajo técnico preparatorio teniendo en cuenta los esquemas de certificación existentes y los previsibles en la medida de lo posible. En la actualidad, ENISA puede apoyarse en el Sistema Europeo de Certificación de la Ciberseguridad sobre Criterios Comunes (EUCC, European Cybersecurity Certification Scheme on Common Criteria) adoptado, así como en el trabajo relacionado con el proyecto candidato de Sistema Europeo de Certificación de los Servicios en la Nube (EUCS, European Certification Scheme for Cloud Services) y la certificación de la 5G (EU5G).

Actualmente se está llevando a cabo una consulta pública sobre la certificación de la tarjeta de circuito integrado universal incorporada (eUICC,  Universal Integrated Circuit Card) con arreglo a la EUCC, desarrollada en el marco de la EU5G. La certificación eUICC sería una posibilidad para dar soporte a los objetivos de certificación de las carteras IDUE.

ENISA dirigirá este trabajo en estrecha cooperación con los Estados miembros de la UE y las diferentes partes interesadas. Ya ha estado apoyando al Grupo de Expertos eIDAS y a su Subgrupo de Certificación y apoyará al Grupo Europeo de Cooperación en materia de Identidad Digital (European Digital Identity Cooperation Group) una vez establecido. Además, ENISA ha prestado apoyo al conjunto de herramientas IDUE (EUDI Toolbox) durante los últimos tres años, asesorando sobre las amenazas y los requisitos de seguridad de las carteras digitales. El desarrollo del sistema europeo candidato de certificación de la ciberseguridad contará con el apoyo de un Grupo de Trabajo ad hoc compuesto por expertos en la materia y se llevará a cabo en estrecha coordinación con el Grupo Europeo de Certificación de la Ciberseguridad (ECCG, European Cybersecurity Certification Group), en consonancia con la Ley europea de Ciberseguridad (Cybersecurity Act).

La información de este artículo está disponible en la página web de ENISA

Actos de ejecución de #EIDAS2

2 respuestas

El 12 de agosto de 2024 se publicaron los borradores de los primeros actos de ejecución (implementing acts) que se van a ir publicando en el desarrollo del Reglamento EIDAS2 y se abrió un plazo hasta el 9 de septiembre de 2024 para que se pudieran enviar comentarios.

Aunque el plazo ha vencido, he considerado útil recoger en este artículo la documentación de estos borradores.

Los desarrollos normativos se centran principalmente en la «Cartera IDUE» o «EUDI Wallet»

Carteras de identidad digital de la Unión Europea: Certificación

Esta iniciativa tiene por objeto establecer los requisitos para la certificación de la conformidad de las carteras de identidad digital de la Unión Europea . Si los Estados miembros no puedan utilizar los esquemas europeos de certificación de la ciberseguridad basados en el Reglamento (UE) 2019/881 o estos esquemas son insuficientes, deberán establecer esquemas nacionales de certificación que los completen. Dichos esquemas deben, por ejemplo, especificar los requisitos de competencia y un proceso de evaluación.

Proyecto de Reglamento de Ejecución – Ares(2024)578679Descarga
Anexo – Ares(2024)5786790Descarga

Carteras de identidad digital de la Unión Europea: Marco de confianza

Esta es una de las cuatro iniciativas sobre la configuración principal de las carteras de identidad digital de la Unión Europea.

Su objetivo es garantizar que el sistema electrónico de notificación establecido por la Comisión Europea funcione como un canal de comunicación seguro y transparente para el intercambio de información entre la Comisión y los Estados miembros.

Proyecto de Reglamento de Ejecución – Ares(2024)5786798Descarga
Anexo – Ares(2024)5786798Descarga

Carteras de identidad digital de la Unión Europea: datos de identificación de la persona y declaraciones electrónicas de atributos

Esta es una de las cuatro iniciativas sobre la configuración principal de las carteras de identidad digital de la Unión Europea.

Su objetivo es garantizar una gestión fluida del ciclo de vida de los datos de identificación personal y de las declaraciones electrónicas, que abarca la expedición, la verificación, la revocación y la suspensión. Esto garantiza que los datos de identificación personal y las certificaciones electrónicas de los usuarios se expidan a la cartera y puedan divulgarse a las partes pertinentes.

Proyecto de Reglamento de Ejecución – Ares(2024)5786783Descarga
Anexo – Ares(2024)5786783Descarga


Carteras de identidad digital de la Unión Europea: protocolos e interfaces que deben admitir

Esta es una de las cuatro iniciativas sobre la configuración principal de las carteras de identidad digital de la Unión Europea . Su objetivo es garantizar la correcta aplicación de protocolos e interfaces cruciales para el funcionamiento eficaz de las carteras.

Al admitir protocolos e interfaces comunes, las carteras pueden garantizar:

  • la correcta expedición y presentación de los datos de identificación y las declaraciones electrónicas,
  • el adecuado intercambio de datos entre carteras, y
  • una comunicación eficiente con las partes pertinentes.
Proyecto de Reglamento de Ejecución – Ares(2024)5786773Descarga
Anexo – Ares(2024)5786773Descarga

Carteras europeas de identidad digital: integridad y funcionalidades básicas

Esta es una de las cuatro iniciativas sobre la configuración principal de las carteras europeas de identidad digital. Su objetivo es establecer normas para garantizar que los Estados miembros proporcionen carteras interoperables y que puedan utilizarse para todos los fines previstos.

Por ejemplo, las carteras deben permitir:

  • la identificación transfronteriza segura en línea para una amplia gama de servicios públicos y privados;
  • compartir certificaciones electrónicas, y
  • la expedición de firmas electrónicas.
Proyecto de Reglamento de Ejecución – Ares(2024)5786754Descarga
Anexo – Ares(2024)5786754Descarga

Próximos eventos «Trust Services and eID Forum» y «CA-day» en Heraclión, Creta el 25 y 26 de septiembre de 2024

Deja un comentario

Viajo en unos días a Heraclión para participar de forma presencial en dos eventos que se vienen celebrando anualmente y que se esperan con grandes expectativas en el sector de los Prestadores Cualificados de Servicios de Confianza.

Este año será especialmente significativo porque después de que en el Diario Oficial de la Unión Europea de 30 de abril de 2024 se publicara el Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) n.° 910/2014 en lo que respecta al establecimiento del marco europeo de identidad digital, se ha puesto de relieve la frenética actividad desarrollada para generar la arquitectura y el marco de referencia de la Cartera IDUE, preparar los borradores de los actos de ejecución y aterrizar los cambios necesarios en las normas técnicas, especialmente de CEN y ETSI, pero también de normas ISO que facilitarán la interoperabilidad futura con implementaciones de otros continentes.

Hace una semana pudimos ver muchos de esos avances en el evento conjunto de ETSI y CEN que tuvo lugar en Sophia Antipolis (Francia) y del que ya hablé en este Blog en el artículo «Jornadas de ETSI y el CEN: normas técnicas para el marco de Identidad Digital de la Unión Europea«.

Otro hito significativo que hace estas jornadas especiales es la celebración del vigésimo aniversario desde la creación de la Agencia Europea ENISA radicada en Grecia, en la actualidad en Atenas (desde 2012), pero inicialmente en Heraclión, Creta, desde 2004, en las instalaciones del centro FORTH (Foundation for Research and Technology – Hellas) que fue fundada en 1983 y acogió las primeras actividades de ENISA.

En estas jornadas se pretende

  • Compartir las mejores prácticas para la aplicación del Reglamento eIDAS2, incluidos los nuevos servicios de confianza, los pros y los contras para los proveedores de servicios de confianza y las perspectivas de extensión a otras regiones del globo;
  • Debatir los últimos avances en el marco que rodea a las Carteras de Identidad Digital de la Unión Europea (IDUE) incluida la certificación, las normas, los actos de ejecución y las cuestiones técnicas;
  • Intercambiar puntos de vista sobre cuestiones operativas y de aplicación identificadas de las Carteras IDUE y los Servicios de Confianza Cualificados;
  • Debatir estrategias para seguir promoviendo el mercado de los servicios de confianza y prever el panorama futuro.

Las jornadas se celebrarán en el FORTH Research Institute (ITE), Auditorium “Georgios Lianis”

10th Trust Services and eID Forum

La décima edición de Trust Services and eID Forum tendrá lugar el 25 de septiembre con una Agenda preparada por ENISA:

TimeSPEAKERS AND PANELISTSPANEL
09:00 10:00Registrations & Coffee
10:00 11:20Dimitris Papastergiou, Minister of Digital Governance
Hans de Vries, Chief Cybersecurity and Operational Officer, ENISA
Andrea Servida
Vedran Lalic, Head of Office at European Parliament
Vicente Andreu Navarro, Policy Officer, European Commission		Welcome Statements
Setting up the scene
Introductory Speeches / Keynotes
11:20Let’s have a coffee 
11:40 11:55Mathias Trier Reindel, Division for eID and Apps, Agency for Digital Government, DenmarkPerspectives on Implementing an EUDI Wallet in Denmark
11:55 12:45Paolo de Rosa, Digital Identity & Trust Services CTO, European Commission
Wim Coulier, Belgian Mobile ID-itsme
Katarzyna Seroczynska, Legal Expert, National IT Centre, Poland
Mathias Trier Reindel, Agency for Digital Government, Denmark Moderated by
Rossen Naydenov, ENISA  		Panel Discussion
Digital Wallets: Exploring Current Trends, Overcoming Challenges, and Unveiling Opportunities
12:45Maria Owczarek, Polish Data Protection AuthorityDigital Identities and Privacy Challenges
13:00Lunch Break 
14:00 15:00Arno Fiedler, Vice Chair, ETSI ESI
Clemens Wanko, Chair EU-Accredited Conformity Assessment Bodies
Stéfane Mouille, General Manager, CLR Labs
Sam Van den Eynde, eIDAS and Digital Identity Expert, BOSA Moderated by
Eric Vetillard, ENISA		Presentation: Setting up the scene  
Panel Discussion
Why Digital Wallet Certification and Standardization are so vital?  
15:00Jon Shamah, Co-founder & Director, Global Trust FoundationDigital Wallets – A Future Vision  
15:20Let’s have a coffee 
15:40 16:30Jérôme Bordier, ClubPSCo
Maria Kalli, Digital Trust Services Manager, JCC Payment Systems – Cyprus
Kim Nguyen, Bundesdruckerei/D-Trust
Andras Barsi, Senior Consultant, ARUBA Moderated by
Evgenia Nikolouzou, ENISA		Panel Discussion  
What are the main changes that TSPs will experience under eIDAS2?  
16:30 16:45Apostolos Apladas, Program Manager, DG DIGITPreservation of Qualified Electronic Signatures and eIDAS Dashboard update
16:45 17:15Christine Crippa Martinez, Security Certification team Manager, Thales
Franziska Granc, Senior Project Manager, Nimbus  		Let’s dream of the future
– CRA and Digital wallets
– Market perspectives  
17:15 17:30Andreas Mitrakas, Head of Market, Certification and Standardisation Unit, ENISA  Closing remarks
19:30 22:30@Neworking event

16th CA-day

La decimosexta edición del CA-day tendrá lugar el 26 de septiembre con una Agenda preparada por  D-TRUST en cooperación con  TÜV NORD:

TimeSPEAKERS AND PANELISTSPANEL
08:30 09:00Registrations & Coffee
09:00 10:15Welcome by D-Trust, TÜV NORD CERT and ENISA 
Dr. Katharina von Knop, VDE e.V.
Tim Callan, Sectigo
Dr. Kim Nguyen, Bundesdruckerei
Paloma Llaneza González, Certeidas  		Welcome Statements                Setting up the scene Keynotes on digital trust, preventing security incidents, trust services and AI, legal perspective on trust services
10:15 10:40Let’s have a coffee 
10:40 12:10Andreas Wand, Christian Seegebarth, D-Trust
Jon Ølnes, Signicat
Andrea Röck, ANSSI
Enrico Entschew (D-Trust),
Dimitris Zacharopoulous (HARICA – CA/Browser Forum Chair),
Matthias Wiedenhorst (TÜV NORD CERT),
Andrea Servida,
Arno Fiedler (Nimbus)  		Presentations: Stimulations from the QTSP-Trust anchors, QEAA and other challenges, Identity proofing, Best practices for implementing eIDAS 2   Fireside Chat Pros and Cons for eIDAS 2 stakeholders  
12:10 13:10Lunch Break 
13:10 14:30Michal Tabor, Obserwatorium.biz
Dr. Ignacio Alamillo-Domingo, Logalty
Jörg Lenz, Namirial
Ivan Marin, GLEIF		Presentations: QES for the wallet, EBSI perspectives on qualified electronic ledger, Intelligent trust services, Organisational identities  
14:30 14:50Let’s have a coffee 
14:50 16:15Keynote: Giorgia Paola Dragoni, Digital Identity Observatory, Politecnico di Milano
Dean Coclin, DigiCert
Juliana Cafik (Microsoft),
Evgenia Nikolouzou (ENISA),
Viky Manaila (Intesi/CSC),
Giorgia Paola Dragoni (Digital Identity Observatory, Politecnico di Milano)		Presentations: Investments of the private sector in the EUDIW, Transatlantic perspectives on eIDAS Panel Discussion Digital Identities 2035 – what does the future look like?
16:15 16:20Closing remarks 
16:20 18:00@Neworking event

Ya estoy deseando saludaros a los que podáis acudir.

Normas técnicas y de política relativas a la preservación cualificada de archivos digitales (eArchiving)

Deja un comentario

El Artículo 34 del Reglamento UE 2014/910 (EIDAS) regula el Servicio cualificado de conservación de firmas electrónicas cualificadas

1.   Solo podrá prestar un servicio cualificado de conservación de firmas electrónicas cualificadas el prestador cualificado de servicios de confianza que utilice procedimientos y tecnologías capaces de ampliar la fiabilidad de los datos de la firma electrónica cualificada más allá del período de validez tecnológico.

2.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas al servicio cualificado de conservación de firmas electrónicas cualificadas. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando los mecanismos del servicio cualificado de conservación de firmas electrónicas cualificadas se ajusten a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Y el artículo Artículo 40 extiende el concepto al Servicio cualificado de conservación de sellos electrónicos cualificados, ya que establece que los artículos 32, 33 y 34 se aplicarán mutatis mutandis a la validación y conservación de los sellos electrónicos cualificados.

En ETSI se han publicado normas técnicas y de políticas para estos servicios:

El servicio de conservación cualificada de firmas y sellos electrónicos podrá implementarse de acuerdo con:

  1. La conservación durante largos períodos de tiempo, utilizando técnicas de firma digital, de la capacidad de validar una firma digital, de la capacidad de mantener su estado de validez y de la capacidad de obtener una prueba de la existencia de los datos firmados asociados tal como estaban en el momento del envío al servicio de preservación, incluso si más tarde la clave de firma se ve comprometida, el certificado caduca o los ataques criptográficos son factibles en el algoritmo de firma o el algoritmo hash utilizado en la firma enviada.
  2. La aportación de una prueba de la existencia de objetos digitales, estén o no firmados, mediante técnicas de firma digital (firmas digitales, tokens de sello de tiempo, registros de pruebas, etc.).

Dentro de los estándares utilizados para definir este servicio se distinguen tres modelos de almacenamiento de conservación para el servicio de conservación:

  1. Servicios de conservación con almacenaje. En este caso, los datos a conservar son almacenados por el servicio de conservación mientras que las pruebas y los datos conservados son entregados a petición del servicio de conservación al cliente de conservación.
  2. Servicios de conservación con almacenamiento temporal. En este caso, los datos a conservar se almacenan en el lado del cliente. El servicio de conservación conserva los datos o un hash de los datos a conservar solo temporalmente, como máximo hasta que se produzca la prueba. Las evidencias se producen de forma asíncrona. Una vez producidas, las evidencias se almacenan durante un tiempo para que el cliente pueda recuperarlas.
  3. Servicios de conservación sin almacenamiento. En este caso, los datos a conservar se almacenan en el lado del cliente. Las evidencias se producen de forma sincrónica y se incluyen en la respuesta al cliente. El servicio de conservación sólo conserva rastros de sus acciones para poder proporcionar registros de sus actividades.

La norma ETSI TS 119 511 es una especificación técnica desarrollada por el Instituto Europeo de Normas de Telecomunicaciones (ETSI). Establece los requisitos de política y seguridad para los prestadores de servicios de confianza que ofrecen servicios cualificados de preservación a largo plazo de firmas y sellos digitales o cualquier tipo de archivo utilizando técnicas de firma digital. Esta especificación es crucial para garantizar la integridad y autenticidad de los documentos electrónicos durante largos períodos de tiempo, lo cual es esencial para preservar el valor probatorio y la disponibilidad de las evidencias electrónicas que respaldan los procesos tecnológicos con los que se implementan las transacciones legales y comerciales.

Está norma permite también dar cumplimiento a los requisitos de conservación documental que impone la normativa tributaria, mercantil y administrativa.

Aunque la norma se orienta a la conservación de documentos electrónicos, desde el punto de vista de la archivística se podría aplicar a documentos procedentes de la digitalización de soportes analógicos, como los documentos en papel, los documentos en microfichas, las fotografías, las grabaciones de video o audio y los registros en celuloide.

La conversión de soportes analógicos requiere de la aplicación de ciertos requerimientos que garanticen la imagen fiel y fidedigna con un nivel de calidad adecuado al tipo de documento preservado. Además, en documentos escritos o sonoros es deseable acompañar la posibilidad de visualización o de escucha activa con el reconocimiento de caracteres o la transcripción de texto hablado para facilitar las búsquedas y el posicionamiento del indicador de lectura sobre las apariciones del texto buscado,

En el caso de las grabaciones de video es conveniente manejar versiones de fotogramas de tamaño reducido obtenidas cada pocos segundos como sistema complementario de gestión de integridad que permita jugar con secuencias de imágenes para su extracción auténtica cuando sea necesario escalar la secuencia de video a resoluciones menores que la de la grabación original.

El Reglamento 2024/1183 (EIDAS2) dedica los artículo 45 decies y 45 undecies a definir los servicios de archivo electrónico (eArchiving) y los servicios cualificados de archivo electrónico (Qualified eArchiving).

Viendo los requisitos, se comprueba que se pueden implementar con las normas ya desarrolladas ETSI TS 119 511 y ETSI TS 119 512.

Salvo en lo relativo a la conversión de documentos existentes en soportes físicos (en papel) que se deban preservar de forma electrónica (según lo previsto en el considerando 66 del Reglamento UE 2024/1183.

(…)El marco jurídico para los servicios cualificados de archivo electrónico debe ofrecer a los prestadores de servicios de confianza y a los usuarios un conjunto de herramientas eficiente que incluya requisitos funcionales aplicables al servicio de archivo electrónico, así como efectos jurídicos claros cuando se utilice un servicio cualificado de archivo electrónico. Dichas disposiciones deben aplicarse a los datos y documentos electrónicos creados en forma digital, así como a los documentos en papel escaneados y digitalizados. Cuando sea necesario, dichas disposiciones deben permitir la reproducción de los datos y documentos electrónicos conservados en diferentes soportes o formatos con el fin de ampliar su durabilidad y legibilidad después del período de validez tecnológica, evitando al mismo tiempo la pérdida y la alteración en la medida de lo posible. Cuando los datos y documentos electrónicos presentados al servicio de archivo electrónico contengan una o varias firmas electrónicas cualificadas o sellos electrónicos cualificados, el servicio debe utilizar procedimientos y tecnologías capaces de ampliar su fiabilidad durante el período de conservación de dichos datos, posiblemente basándose en el uso de otros servicios de confianza cualificados establecidos por el presente Reglamento. Con el fin de crear pruebas de conservación cuando se utilicen firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, deben utilizarse servicios de confianza cualificados.(…)

Faltaría establecer los procedimientos conversión que tendrían que recogerse en una normativa similar a las existentes para la digitalización certificada, la digitalización garantizada, la «conservazione sostitutiva» de Italia, o la Ersetzendes Scannen (RESISCAN, Replacement Scanning) de Alemania.

Jornadas de ETSI y el CEN: normas técnicas para el marco de Identidad Digital de la Unión Europea

1 respuesta

He venido a Sophia Antipolis, localidad cercana a Niza (Francia) para participar en las jornadas organizadas por el ETSI y el CEN para tratar sobre las normas técnicas que se requerirán para desarrollar del marco de identidad digital de la Unión Europea (ETSI & CEN Workshop on EU Digital Identity Framework Standards).

Las jornadas tendrán lugar a partir de mañana, 10 de septiembre de 2024, en la Sede de ETSI:

650 Route des Lucioles
06560 Valbonne – Sophia Antipolis
Francia.

La necesidad de normalización se encuadra en los tensos plazos establecidos por el Reglamento (UE) 2024/1183 (EIDAS2).

El pasado 30 de abril de 2024 se publicó en el Diario Oficial de la Unión Europea el Reglamento (UE) 2024/1183 por el que se modifica el Reglamento (UE) 910/2014 sobre identidades, autenticación y firmas electrónicas (eIDAS 2).

Esta modificación establece un ambicioso Marco Europeo de Identidad Digital que incluye los principales requerimientos de la Cartera de Identidad Digital de la Unión Europea (Cartera IDUE o EUDI Wallet) y una serie de nuevos servicios de confianza.

Todo ello supondrá una importante transformación de la seguridad de la infraestructura digital europea que facilitará las transacciones transfronterizas, mediante un acceso sencillo a los servicios financieros, a los de las administraciones públicas y a los de las empresas en general en toda Europa de manera que se produzca también un alto grado de involucración de las entidades participantes.

El ETSI y el CEN colaboran en la elaboración de una serie de normas técnicas que sustenten este nuevo marco regulatorio, basándose en las normas preexistentes a nivel mundial, algunas de muy reciente creación, para la autenticación de sitios web, la gestión abierta de identidad y las carteras digitales basadas en teléfonos móviles.

En las jornadas se presentará la situación actual de elaboración de estas normas técnicas a partir de sus versiones de «borrador» y se incluirán demostraciones de algunos de los proyectos piloto a gran escala que hacen uso de versiones preliminares de la cartera de identidad digital de la UE.

El taller está dirigido por el Comité Técnico ESI (Electronic Signatures and Trust Infrastructures) del ETSI y el CEN/TC 224 (Personal identification and related personal devices with secure elements, systems, operations and privacy in a multi sectorial environment).

¿Por qué son tan interesantes estas jornadas?

Las nuevas normas técnicas de CEN y de ETSI que concretarán los requisitos de este nuevo Marco Europeo de Identidad Digital tendrán un gran impacto en el mercado digital europeo que los prestadores de soluciones de Confianza Digital deben conocer para mantenerse al día en un entorno tan cambiante.

Además, las jornadas y la posterior consulta abierta sobre los documentos en estado de «borrador» de las normas técnicas ofrecen la oportunidad de influir en la dirección que tomen esas normas de CEN y de ETSI que definen la implementación del Marco Europeo de Identidad Digital.

.