Archivo de la categoría: Firma digital

EADTrust – European Agency of Digital Trust

1 respuesta

Como ya he mencionado en otros artículos, una de las empresas en las que colaboro es EADTrust, European Agency of Digital Trust, un Prestador de Servicios de Certificación que presta servicios relacionados con la firma electrónica en el marco de la Ley 59/2003 con una filosofía que intentamos que sea novedosa:

  • No está prevista la emisión de certificados individuales a personas físicas (podría considerarse la emisión de certificados a personas vinculadas a colectivos, en el marco de un proyecto).
  • Se prevé que gestione servicios de confianza de la Sociedad de la Información, especialmente favoreciendo la creación de firmas electrónicas de alta calidad con servicios de timestamping, validación de certificados y custodia digital de documentos electrónicos
  • Proporciona servicios avanzados, algunos especialmente diseñados para administraciones públicas en el marco de la Ley 11/2007: publicación fehaciente en el perfil del contratante, notificación fehaciente, facturación electrónica o generación y verificación de firmas electrónicas mediante protocolo DSS de OASIS (el Ministerio de Presidenca ha anunciado que la evolución de la plataforma @firma se orientará a la implementación de este protocolo).
  • Dispone de CAs root vinculadas que combinan criptografía RSA y criptografía ECC (Elliptic curve cryptography)

Este último es un hito significativo, al ser la primera autoridad de certificación del mundo con tecnología dual, y, posiblemente, la primera autoridad de certificación europea que cuenta con una jerarquía PKI basada en curvas elípticas.

Los certitificados raiz de la jerarquía dual son estos:

  • RSA (sha1RSA). Tamaño clave RSA 2048 bits
  • ECC (sha1ECDSA). Tamaño clave ECC: 256 bits (equivalente a 3020 bits en RSA)

Ambas root se generaron en presencia notarial, siguiendo un procedimiento que hemos ido perfeccionando en sucesivas ceremonias de  generación de claves de CA (Certification Authority) en otros prestadores con los que hemos colaborado: FESTE, Camerfirma, Banesto y ANCERT.

La autoridad de certificación basada en algoritmo de Curva Elíptica utiliza, en particular,  ECDSAFp de 256 BITS aleatorios (secp256r1), según se indica en los documentos generados por el NIST (National Institute of Standards and Technology) FIPS (Federal Information Processing Standards) 186-2 y FIPS 186-3 en sus apéndices 6 y D respectivamente en sus secciones referentes a las Curvas Elípticas Recomendadas para uso del Gobierno Federal (Estados Unidos).

Colisiones en las firmas en PDF

1 respuesta

Florian Zumbiehl reporta un problema en las firmas PDF que permitiría forzar colisiones de funciones resumen (hash) de documentos de forma que la firma electrónica de uno de ellos podria ser utilizada para aparentar que el firmado es el otro.

Según su descripción es una vulnerabilidad que radica en la propia especificación del formato PDF por lo que no depende de la implementación, y por tanto no cabe atribuirlo a un producto en particular.

En mi opinión, el tipo de ataque documentado no supone un problema real para los documentos PDF ya firmados, más allá de los aspectos probabilísticos  de las colisiones, consustanciales a las funciones resumen.

Es decir, siempre que obtengamos colisiones de documentos «a priori» estas colisiones podrán ser utilizadas para «suplantar» los documentos que colisionan, utilizando la firma de uno para dar la apariencia de firma al otro.

En este caso particular la concatenación de documentos, siendo uno de ellos firmado, podría dar lugar a que se considerara válida una firma sin serlo, ya que solo aplicaría a uno de los documentos y no al otro.

La solución general es utilizar funciones resumen diferentes en sistemas de firma dual o múltiple, tal y como hacemos en el proyecto Binum, que ya mencioné en este blog o tal como es posible llevar a cabo con certificados emitidos en la jerarquía de certificación dual de EADTrust.

Y, por supuesto, también merece la pena adoptar la solución propuesta por Florian, que consiste en afinar un poco más la especificación de la firma en PDF para que se reforzaran los controles que identifican lo que va firmado dentro del PDF.

Diplomática Digital

6 respuestas

La diplomática, como ciencia que estudia las formas documentales, su autenticidad y su valor probatorio, establece una serie de términos sobre los elementos internos de la forma de los documentos. Para cada documento distingue las siguientes partes: protocolo, texto y escatocolo.

En este último, enumera diferentes elementos estructurales que pueden estar presentes en los dcumentos: corroboración, fecha, apreciación, salutación, claúsulas complementarias, atestación, certificación de firmas, notas de secretaría, etc.

La diplomática contemporánea establece el estudio de los documentos oficiales, especialmente en el ámbito notarial y administrativo.

La diplomática digital se centra en los documentos electrónicos y en su transcripción al papel para ser utilizados en contextos de prueba diferentes, que pueden llegar al ámbito jurisdiccional.

La transcripción al papel de un documento electrónico se denomina Albalá (o copia constatable)  y en él se incluye un elemento nuevo, denominado metacolo, que es una extensión del protocolo, y que puede ir a continuación del escatocolo.

El metacolo recoge elementos complementarios del documento electrónico que se extiende en sus metadatos. Entre los datos que se incluyen en el metacolo están la referencia al expediente del que forma parte, las anotaciones posteriores al documento, su vigencia o derogación y las referencias a documentos posteriores que afectan a sus efectos jurídicos.

En el escatócolo se indican, entre otros detalles, la información técnica relativa a las firmas electrónicas que acompañan al documetos: datos del certificado, datos del timestamping, datos de la comprobación de la vigencia del certificado (OCSP).

Crypto Summer Camp

4 respuestas

En Albalia estamos buscando programadores que quieran vivir un interesante reto en torno a sistemas de criptografía y firma electrónica.

Lo vemos como una experiencia de verano (retribuida), pero que puede tener continuidad si los participantes piensan que este tipo de proyectos destinados a «despapelizar» la sociedad manteniendo el valor probatorio de las alternativas digitales, les enganchan.

Puede ser una interesante oportunidad profesional que continuará tras el verano en torno a un nuevo «paradigma» de gestión electrónica que producirá ahorros millonarios a las empresas y administraciones que adopten estas tecnologías.

Nuevo seminario sobre eAdministración

1 respuesta

El próximo 21 de septiembre de 2010 Atenea Interactiva organiza un nuevo seminario de eAdministración en el que compartiremos cartel Santi Casas, Fernando Pino y yo mismo. El evento, tendrá lugar en el Hotel Nuevo Madrid, y tiene un coste de 350 € (+IVA).

Este es el progrma previsto:

1.     Introducción. Iniciativas de Impulso de la Administración electrónica

2.     Nuevo Marco Legal de  eAdministración y Contratación Pública Electrónica

3.     Identidad Digital y DNIe.

  • La identidad digital en Internet
  • Los sistemas de federación de identidades
  • Los sistemas “fuertes” de autenticación
  • Los certificados digitales y el DNIe
  • La gestión de las capacidades y la representación
  • Aceptación de Certificados de otros países

4.     Documento Electrónico

  • Modelo General del documento electrónico de carácter probatorio
  • Firma Electrónica, Custodia Digital, Sede Electrónica y Metadatos
  • Convivencia de los documentos electrónicos y de los documentos en papel: Compulsa, digitalización certificada y copia constatable

5.     Sede Electrónica

  • La Sede Electrónica en la Ley 11/2007 y en el RD 1671/2009
  • Autenticidad. Certificados

6.     Registro Telemático

  • Flujo de documentos. Conservación y registro de entradas
  • Distribución de copias electrónicas a los distintos usuarios
  • Visor de Documentos, firmas electrónicas, validaciones y sellados de tiempo
  • Orden  PRE/3523/2009  Registro Electrónico Común

7.     Notificación fehaciente por vía telemática

  • SMS y correo electrónico certificado

8.     Expediente Electrónico

  • Compulsa electrónica de documentos. Digitalización de Documentos
  • Identificación de los empleados públicos en los trámites telemáticos

9.     Esquemas  Nacionales de Interoperabilidad y de Seguridad

  • Interoperabilidad organizativa, semántica y técnica
  • Principios del Esquema Nacional de Seguridad
  • Requisitos mínimos de Seguridad
  • Auditoria bienal de la Seguridad

10.   Licitación Electrónica

  • Perfil del Contratante
  • Publicación Fehaciente
  • Factura Electrónica
  • Tipos Contractuales
  • Expediente de Contratación. Fases de la Contratación Pública
  • Tipos de Procedimientos
  • Usos de medios electrónicos, informáticos y telemáticos en los procedimientos. Contratación Pública

Está disponible el folleto en PDF

Iberdrola envía cinco millones de facturas electrónicas al año

Deja un comentario

Iberdrola cuenta con 500.000 clientes con factura electrónica gracias a los que evita el envío físico de casi 5 millones de comunicaciones postales a lo largo de un año, lo que supone un importante beneficio medioambiental plasmado en el ahorro de papel, tinta y transportes, así como en la reducción de emisiones de CO2.

Según informó la compañía en julio de 2010, la factura electrónica entraña, asimismo, ventajas para los clientes, como una mayor comodidad (ya que se pueden consultar las facturas desde cualquier equipo con conexión a Internet y desde el mismo día de su emisión, que se notifica mediante e-mail), accesibilidad (la información está disponible las 24 horas del día, los siete días de la semana) y libertad (dado que el cliente no firma ningún compromiso de permanencia y puede darse de baja de forma instantánea).

Este tipo de factura, además, reúne ciertos requisitos de seguridad, ya que va firmado electrónicamente (no obstante, al utilizar el certificado de firma electrónica de la Fábrica Nacional de Moneda y Timbre se dificulta la comprobación de su validez por terceos, ya que esta funcionalidad es muy onerosa en el caso de la FNMT).

 

Curso on-line sobre DNI electrónico

6 respuestas

Brujuleando por internet he tropezado con un curso on-line sobre DNI electrónico de forma inesperada.

El curso no es muy bueno, y tiene varios conceptos erróneos, pero tiene un alto componente visual, por lo que puede servir de primer paso de iniciación para el público en general, que no necesite profundizar.

Para los que quieren profundizar, y tienen perfil de programador, quizá sea más recomendable el curso on-line sobre Desarrollo de aplicaciones sobre DNIe y pautas para su certificación de 80 horas de duración, disponible en la Zona TIC del portal usatudni.

Es un curso técnico de desarrollo de aplicaciones sobre DNIe, pautas para la evaluación y certificación de las mismas en base a Common Criteria, siguiendo los criterios de seguridad marcados por los Perfiles de Protección del DNIe. Pensado para desarrolladores y empresas de desarrollo, comienza dando a conocer los conceptos básicos necesarios y concluye con un caso práctico recapitulativo que muestra cómo se desarrolla una aplicación básica de firma electrónica que haga uso del DNIe de forma que siga las recomendaciones de los Perfiles de Protección del DNIe.

Este curso lo hemos elaborado en Albalia Interactiva para Inteco y hemos puesto un gran esfuerzo para que sea lo más completo y progresivo posible, aunque exige un cierto perfil técnico para seguirlo. Aún está abierta la inscripción a este curso de formación en línea, y es gratuita.

Algunos de los temas: criptografía, tarjetas inteligentes, DNIe, marco regulatorio, desarrollo seguro,… Además se incluye un caso práctico de firmado de facturas electrónicas con el DNIe.

Jornadas de difusión del DNI electrónico

1 respuesta

Como estaba previsto,  se celebraron en pasadas fechas las jornadas de difusión del DNI electrónico, organizadas por Inteco, con la colaboración de Red.es. La de Madrid, el 6 de Mayo; la de Barcelona, el 27 de Mayo; y el pasado 17 de Junio se celebró el evento en Sevilla.

Las sesiones tenían como objetivo dar a conocer los servicios existentes que hacen del uso del DNIe un mecanismo seguro de autenticación y firma, identificar las ventajas y oportunidades en torno al DNIe, fomentar el desarrollo seguro de aplicaciones mediante la certificación en base a los Perfiles de Protección y exponer las iniciativas que se están llevando a cabo por parte de la Administración.

Una charla inaugural sobre presente y DNIe, una presentación de INTECO sobre las actuaciones para el estímulo al DNIe, y tres mesas redondas que abordaron el futuro y el DNIe, el marco regulatorio, y las garantías de seguridad en torno al DNI electrónico, conformaron un programa dirigido a empresas del sector TIC, de desarrollo de aplicaciones y servicios y a la Administración.

La última sesión, la de Sevilla,  contó con la presentación del programa desarrollada por Víctor Izquierdo,  director general de INTECO y en ella se hicieron importantes anuncios, vinculados con la sección para especialistas Zona TIC del portal «Usa tu DNIe«.

Mi intervención hacia una comparativa entre la publicación de la normativa de 1900 que hacía obligatoria la aceptación en la administración pública de los documentos escritos a máquina, y la de la Ley 11/2007, que obliga a aceptar los documentos electrónicos. Con referencias a los esfuerzos que también tiene que hacer el sector privado y a los elementos que caracterizan a los documentos electrónicos con valor probatorio.

Cito de la norma:

PARTE OFICIAL

PRESIDENCIA DEL CONSEJO DE MINISTROS

SS.MM.  el Rey y la Reina Regente (Q.D.G.) y Augusta Real Familia continúan en esta Corte sin novedad en su importante salud.

Real ORDEN

Excmo.Sr.:Vista la petición formulada por Antonio Comyn en instancia fecha 1º del corriente solicitando que en todas las oficinas del Estado, de las provincias y de los Municipios se admitan las instancias y demás documentos hechos con máquinas de escribir, en los mismos términos y con los mismos efectos de los escritos o copiados a mano:

Considerando que no existe ninguna razón administrativa ni de otra índole que aconseje no admitir en las oficinas anteriormente citadas las instancias y demás documentos que en ellas se presenten hechos con máquinas de escribir, siendo más clara y fácil su lectura que muchos de los escritos a mano y cuya legalidad consiste en la autenticidad de la firma que los suscribe y no en que estén hechos precisamente con letra manuscrita;

S.M. el REY (Q.D.G.), y en su nombre la REINA Regente del Reino, ha tenido á bien disponer que en todas las oficinas del Estado, provinciales y municipales se admitan cuantas instancias y documentos se presenten hechos con máquinas de escribir, en los mismos términos y con iguales efectos de los escritos ó copiados a mano.

De Real orden lo digo a V.S. para su conocimiento y efectos consiguientes. Dios guarde a V.S. muchos años. Madrid 12 de febrero de 1900.

FRANCISCO SILVELA

Todos los asistentes salieron del evento con un teclado de alta calidad con lector de tarjeta chip integrado, cortesía de los organizadores. Lo cierto es que estos elementos (chipeteras y lectores de trajeta chip incluidos en otros dispositivos como teclados y ratones) siguen siendo necesarios para impulsar la adopción del DNI electrónico tras constatar que el acuerdo firmado hace casi un año por las asociaciones tecnológicas ha tenido un efecto casi nulo en la disponibilidad de lectores del DNIe en los ordenadores vendidos desde entonces.

Post relacionados:

Prestadores de servicios de certificacion en la Wikipedia

1 respuesta

Una de las lagunas de la Wikipedia es la informacion sobre los Prestadores de Servicios de Certificacion.

Siendo este un tema tan relevante para el desarrollo de la Sociedad de la Informacion, los editores de Wikipedia eliminan sistematicamente la informacion sobre los PSC. Una muestra tipica del aserto que Antonio Machado atribuia a Castilla y que cabe aplicar a los mas celosos vigilantes de la pureza de la Wikipedia: «desprecian cuanto ignoran»

No obstante, esto es algo que podemos arreglar entre todos, si todos los lectores de este articulo contribuyen a enriquecer la informacion publicada sobre los siguientes prestadores de certificacion  censados por el Ministerio de Industria, Turismo y Comercio:

Si todos añadimos algun parrafo, completamos informacion e incluimos referencias, no quedara ninguna duda de la relevancia del tema, incluso para el wikitaliban mas intolerante.

Una firma digitalizada no es una firma electrónica

8 respuestas

Como bien dice Damiá Soler en su blog, Una firma digitalizada no es una firma electrónica.

La mayor parte de las implementaciones tecnológicas que capturan imágenes de firma tienen diferentes problemas de carácter probatorio, o en relación con la protección de datos.

Sin embargo, existen ciertas condiciones que, si se siguen, permitirían caracterizar una firma digitalizada como firma electrónica avanzada, en el sentido en el que la define la Ley de Firma Electrónica. Poner en marcha un sistema adecuado es complejo, ya que debe ser muy garantista, e implica un componente de simetría probatoria que casi ninguna aplicación existente implementa de forma adecuada.

En breve plazo se anunciarán algunas soluciones bien planteadas que sí desarrollan de forma adecuada la infraestructura que permite caracterizar la firma digitalizada como firma electrónica, y en las que colabora EADTrust. Esas soluciones combinan bolígrafos digitales (que plasman la firma en tinta sobre papel mientras captan los datos técnicos de la firma) y tabletas digitalizadoras.

Los datos técnicos de la firma manuscrita (trazado de la firma en forma de puntos de muestreo definidos por sus coordenadas y tiempos transcurridos entre los puntos captados) se cifran asociándolos al documento al que se vincula la firma.

El usuario final dispone de dos opciones desde el punto de vista probatorio: el documento en papel y su contrapartida electrónica, mientras que la entidad no necesita gestionar papel. La firma se custodia de forma cifrada, de forma que la institución no tiene acceso a ella, pero existe un mecanismo que permite al usuario o a un tercero comprobar la firma y su vinculación a un documento específico, en términos equivalentes a lo que la Ley 59/2003 denomina «firma electrónica avanzada«.

Artículos relacionados:

Digitalización de firma manuscrita