Archivo de la categoría: Firma digital

Validación de Certificados

1 respuesta

En Albalia Interactiva estamos muy preocupados sobre la forma de simplificar la realización y verificación de las firmas electrónicas. Por eso recomendamos emplear la variante ES-X-L de las normas TS 101 733 y TS 101 903, de forma que la firma se genere de forma completa en origen, liberando al receptor del problema de conocer sobre cualquier prestador de servicios de certificación, si un certificado está revocado o no.

Sin embargo, el receptor, especialmente en grandes empresas y entornos institucionales, no puede confiar en que las firmas le lleguen siempre de forma completa, y tendrá que disponer de una infraestructura que le permita completarla. Si los certificados estuvieran correctamente codificados en todos los casos, bastaría con acceder a la URL del servicio OCSP indicado en el campo AIA y consultar al propio PSC que emitió el certificado.

Pero una opción más sencilla es recurrir a servicios de consulta de revocación que aglutinen a múltiples PSC. En este sentido, Albalia ha firmado un acuerdo con Certiver para integrar los servicios de consulta multi-CA en sus soluciones de firma y validación electrónicas.

Merced a este acuerdo, las siguientes autoridades de certificación se pueden validar en un único punto, bajo el concepto de «ventanilla única»:

NOMBRE DE LA CA URL
A-Trust http://www.atrust.at/
AC ABOGACIA http://www.acabogacia.org/
AC Camerfirma Certificados Camerales http://www.camerfirma.com/
ACC-Admin Local http://www.catcert.net
ACC-Funció Pública http://www.catcert.net
ACC-GenCat http://www.catcert.net
ACCV http://www.accv.es/
ACTALIS http://www.actalis.it
Adacom S.A. http://www.adacom.com/
Agència Catalana de Certificació (ó ACC) http://www.catcert.net
Ancert-Not-Corporativos http://www.ancert.com
Ancert-Not-Personales http://www.ancert.com
Ancert-Not-Sistemas http://www.ancert.com
Ancert-Notariales http://www.ancert.com
Ancert-Priv-Personales http://www.ancert.com
Ancert-Privados http://www.ancert.com
Ancert-Pub-Corporaciones http://www.ancert.com
Ancert-Publicos http://www.ancert.com
ANF AC http://www.anf.es
ASCERTIA http://www.ascertia.com
Austrian Grid http://ca.austriangridca.at/
AuthentiDate International AG http://www.authentidate.de/
BANCA DI ROMA S.p.A http://www.bancaroma.it
Banca Monte dei Paschi di Siena S.p.A http://www.mps.it/
Banesto http://www.banesto.es/index.html
BanestoClientes(sub) http://www.banesto.es/index.html
Belgacom E-trust http://www.e-trust.belgacom.be/
BNP PARIBAS http://entreprise.bnpparibas.fr/certification
Cable & Wireless http://www.cwsecurity.net/
Camerfirma – CertiVeR http://www.camerfirma.com/
Camerfirma – con poderes http://www.camerfirma.com/
Camerfirma – sin poderes http://www.camerfirma.com/
Canada-GridCanada http://www.gridcanada.ca/ca/
CEDACRI S.p.A (Già Cedacrinord S.p.A) http://www.cedacri.it/
CERES-FNMT http://www.cert.fnmt.es/
CERN CA http://service-grid-ca.web.cern.ch/service-grid-ca/
CERTEUROPE http://www.certeurope.fr/
Certification Authority Ministry of Public Administration http://www.gov.si/ca/eng/
CERTIGREFFE http://www.CERTIGREFFE.FR/
CERTINOMIS http://www.certinomis.com/
CERTIPOST http://www.certipost.be
Certplus http://www.certplus.com/
CERTUM GENERAL CERTIFICATION AUTHORITY https://www.certum.pl
CesNet New http://www.cesnet.cz/
CesNet Old http://www.cesnet.cz/
Chambers of Commerce Root http://www.chambersign.org/
China-IEHP https://gridca.ihep.ac.cn/
CNIPA – Centro nazionale per l’informatica nella pubblica amministrazione http://www.cnipa.gov.it/site/it-IT/
Comando C4 Difesa – Stato Maggiore della Difesa http://www.pkiff.difesa.it
Comando Transmisioni e Informazioni Esercito (già Comado C4-IEW) http://www.eicert.esercito.difesa.it
CONSIGLIO NAZIONALE DEL NOTARIATO https://ca.notariato.it/
Consiglio Nazionale Forense http://ca.consiglionazionaleforense.it/
CONSORZIO CERTICOMM http://www.certicomm.it
CREDIT AGRICOLE http://www.ca-certificat.com
CYBERTRUST http://www.cybertrust.com
D-Trust https://www.d-trust.net/internet/content/d-trust-roots.html
D-Trust Chambersign Deutchsland http://www.d-trust.net/ihk
DFN Basic Classic http://www.dfn.de/content/
DFN Basic Grid http://www.dfn.de/content/
DFN Basic Root http://www.dfn.de/content/
DFN-PCA http://www.dfn-pca.de/
DigiNotar http://www.diginotar.nl/
DLRG CA http://www.dlrg.de/
DSV http://www.s-trust.de/
E-COMMERCE PKI http://www.ecommercepki.com/
e-commercePKI http://www.ecommercepki.com/
Equifax Secure e Business CA http://www.equifaxsecure.co.uk/
Euro Trust http://www.eurotrust.dk
EuroPKI Austrian CA https://europki.iaik.at/
Finsign http://www.fineid.fi/
Firma Profesional http://www.firmaprofesional.com/NW/home.html
Firma Profesional Subordinada http://www.firmaprofesional.com/NW/home.html
FirmaProfesional http://www.firmaprofesional.com/NW/home.html
France – CNRS http://www.cnrs.fr/
France – CNRS Grid http://www.cnrs.fr/
France – CNRS Proj http://www.cnrs.fr/
GlobaChamberlSign http://www.globalsign.com/
GLOBALSIGN http://www.globalsign.com
Greece-Hellas Certification Authority http://pki.physics.auth.gr/hellasgrid-ca/
Hiteles http://www.giro.hu/
I.T TELECOM S.r.l http://www.firmasicura.it/home.asp
Idem-Sign http://www.siltanet.fi/
InfoCamere http://www.infocamere.it/
INTESA http://e-trustcom.intesa.it
IpsCA http://www.ipsca.com
IpsCAB1(sub) http://www.ipsca.com
IpsCAB2(sub) http://www.ipsca.com
IpsCAB3(sub) http://www.ipsca.com
Ireland – Grid Ireland https://www.cs.tcd.ie/grid-ireland/gi-ca/
ISABEL http://www.isabel.be
Israel – IUCC http://certificate.iucc.ac.il/
Italy-INFN http://security.fi.infn.it/CA/
IZENPE, SA http://www.izenpe.com
KEYNECTIS http://www.keynectis.com/
KMD-CA http://www.kmd-ca.dk/
KPN Telecom http://certificaat.kpn.com/
Lidia CA (TU Darmstadt) http://www.informatik.tu-darmstadt.de/TI/Forschung/LiDIA-CA/Lidia-ca-homepage/
LOMBARDIA INTEGRATA S.p.A (LISIT) http://www.lisit.it/
Matav Trust Center http://www.eszigno.matav.hu
Medizon http://www.medizon.de
MULTICERT http://www.multicert.com
NetLock CA http://www.netlock.net/
OSIS http://www.osis.uk.net/
Pink Roccade https://pki.pinkroccade.com/
PKI Partner http://www.pkipartner.com
PKI partner http://www.pkipartner.com/
Poland – PolishGrid http://www.man.poznan.pl/pcss/public/main/index.html
Portugal – LIP http://www.lip.pt/
Portugal – LIP CA http://www.lip.pt/
POSTECOM http://www.postecom.it
Posten http://www.posten.se/m/home
RACER http://www.camerfirma.com/
Russia – RGrid http://ca.grid.kiae.ru/RDIG/
Sanpaolo IMI S.p.A http://ca.sanpaoloimi.com
ScandTrust http://www.scandtrust.se/
ScanTrust http://www.scandtrust.se/
SEE- Grid CA http://www.grid.auth.gr/pki/seegrid-ca/
SG TRUST SERVICES http://www.sgtrustservices.com/
SI-CA https://www.si-ca.org
Sigillum http://www.sigillum.fr/fr/press.html
SigillumActDept(sub) http://www.banesto.es/index.html
Slovakia Grid http://www.ui.savba.sk/
Slovenia – Signet https://signet-ca.ijs.si/
SOGEI S.p.A http://ca.sogei.it
Sonera http://www.sonera.fi
Space Hellas http://www.spacehellas.com/
Spain – DataGrid http://grid.ifca.unican.es/
SwissSign http://www.swisssign.com/
TC Trust CenterAG http://www.trustcenter.de/
TDC Internet http://www.certifikat.dk/
Telefonica/ACE http://www.ace.es/
Telia http://www.telia.se
TFH Berlin http://www.tfh-berlin.de/
TheGlobaltrustauthority http://www.globaltrustauthority.org/
TRUST ITALIA http://www.trustitalia.it/
Trust Services http://www.btglobalservices.com/en/products/trustservices/
Trustis http://www.trustis.com/
TU Freiberg CA http://tubaf-ca.hrz.tu-freiberg.de/
TUB CA http://ca.tu-berlin.de/TUB-CA/
UK – eScience http://ca.grid-support.ac.uk/
Uni Kiel CA http://www.informatik.uni-kiel.de/
USA – DoE Grids Sub http://www.doegrids.org/
USA – ESNet http://www.es.net/
USA – FNAL http://computing.fnal.gov/cd/
Verisign http://www.verisign.com
Wiskey http://www.wiskey.com
Zebsign http://www.zebsign.com/

Exposec llega a Ciudad Real

Deja un comentario

El próximo dia 14 de junio nos veremos en Ciudad Real, donde tiene lugar el evento Exposec que organiza ASIMELEC.

El lugar, la sede de CEOE-CEPYME CIUDAD REAL sito en la Carretera de Ciudad Real a Valdepeñas, Km 3 – 13170 Miguelturra  (a menos de 1 hora de Madrid, en tren).

Regalaremos el famoso libro de «La Factura Electrónica»

Adjunto el Programa que podéis ver ampliado  en el web del evento.

9:30-9:45 Bienvenida y Recepcion asistentes

9:45-10:00 Inauguracion de las Jornadas CAJA DE CASTILLA LA MANCHA

D. Ignacio Carrasco
Director de Expansión
ASIMELEC

10:00-10.30 Análisis de la seguridad como concepto global

  • Concepcion global de la Seguridad, Puntos de referencia y de interés
  • Valoración de la Seguridad, Roi de la inversión y situaciones criticas
  • Entidades y Empresas

D. Santi Casas
Asesor
ASIMELEC

10.30-11.00 Aplicaciónes de firma electrónica y e-factura

  • Requisitos técnicos a tener en cuenta en los proyectos de factura electrónica
  • Obligaciones por la empresa como emisora y como receptora de facturas
  • Formatos de firma y de factura

D. Julián Inza Aldaz
Presidente
ALBALIA INTERACTIVA

11.00-11.30 LSSI y LOPD

  • Reglamentación actual
  • Desarrollos Normativo en España
  • Normativa especial a tener en cuenta

D. Abel González
Director de Desarrollo de Negocio
 ESA Security

11.30-12.00 COFFEE-BREAK

12:00 -12.30 ISO 17799 E ISO 27001

  • ISMS
  • Valoración de riegos (Risk Assesment)
  • Controles

Dª Eva Muñoz APPLUS
Certification Technological Center
APPlus+

12:30-13:00 Recuperación y Continuidad de Negocio

  • Incidencias de Seguridad
  • Impacto
  • Medidas preventivas y Medidas correctivas

D. Alfonso García Catalán NEORIS
Director
NEORIS

13.00-13:30 e-firma: requerimientos y demos
D. Juan Jose Nombela
Director
G&D

13.30-14:00 Archivado de firmas a largo plazo: estándar XAdES

  • Firma Electrónica y Certificados Electrónicos
  • Formatos XADES

D. Enric Hernández
Responsable PKI
ANCERT Agencia Notarial de Certificación

14:00-14:30 Mesa Redonda:Aplicaciones específicas de seguridad

  • Barreras y Defensas.
  • Identificación
  • Antivirus, antispyware, etc

D. Ignacio Carrasco
Director de Expansión
ASIMELEC

D. Julián Inza Aldaz
Presidente
ALBALIA INTERACTIVA

D. Santi Casas
Asesor
ASIMELEC

14:30-Conclusiones y Clausura

ABANCE. Autoridad BANcaria de CErtificacion. PKI del sector financiero

Deja un comentario

Desde el año 2004 estoy presentando ABANCE en diferentes entornos.

Por ejemplo, en el CIT, el Congreso Internacional de Tarjetas que organiza IIR. A lo largo de esta última década, el evento ha sido testigo de la evolución y transformación del sector de las tarjetas y los medios de pago. Desde hace varios años. ABANCE se ha presentado o comentado en estos eventos:

Además, lo he mencionado en algunos eventos:

Y en algunos artículos:

  • Red Seguridad (noviembre 2006)
  • PC PYMES (ver)
  • VNU NET (ver)
  • Tribuna PC PYMES (ver)
  • Financial Tech Magazine (ver)

Y, por supuesto, en este Blog:

También he incluido información en la Presentación de Albalia Interactiva  (este PPT convertido a PDF incluye información sobre ABANCE)

El objetivo del proyecto es contribuir a la creación de una infraestructura de certificación común para la banca, que permita poner en valor inversiones anteriores y aprovechar las ventajas creadas por los desarrollos legislativos y la madurez de la tecnología.

Parte de los logros de iniciativas como Consorcio Iberion, GTA (Global Trust Authority) e Identrus, intentando aprovechar sus mejores aportaciones y soslayar los problemas por los que dichos proyectos no fueron un éxito.

Contribuye a ello el marco de desarrollo de servicios de firma electrónica, especialmente con el DNI electrónico que está siendo una realidad en España, y el despliegue de tarjetas EMV a partir de 2008 como compromiso de SEPA

Conferències TIC-2007: La factura electrònica

Deja un comentario

Esta tarde estaré en Barcelona en el Il·lustre Col·legi d’Advocats de Barcelona donde a partir de las 16:00 tiene lugar el evento Conferències TIC-2007: La factura electrònica.

Con el objetivo de analizar la ORDEN EHA/962/2007, de 10 de abril, por la que se desarrollan determinadas disposiciones sobre facturación telemática y conservación electrónica de facturas, contenidas en el Real Decreto 1496/2003, de 28 de noviembre, por el que se aprueba el reglamento por el que se regulan las obligaciones de facturación intervendremos:

Juan José Segura
Responsable de Factura Electrònica del Departament d’Informàtica Tributària de l’AEAT.

Julián Inza
Coordinador del Grup E-factura d’ASIMELEC.

Santi Casas
Director General Catalunya ALBALIA INTERACTIVA.

Jesús Ricart
Assessor fiscal

Pilar Franquet
Consultora de Serveis Financers de «la Caixa».

Josep Torres
Cap de l’Àrea de Gestió i Coordinació de CATCERT (projecte d’implantació de l’e-factura a l’administració autonòmica i local catalana promogut per l’AOC, la Diputació de Lleida i l’Ajuntament de Barcelona).

MODERADOR:

David Gràcia
Advocat. Vocal de la Secció de Dret de les Tecnologies de la Informació i la Comunicació de l’ICAB.

Lista PKI

1 respuesta

Hace unos años (por el año 2000-2001) Oscar Conesa coordinaba la lista de correo de PKI, en la que participábamos unos cuantos pioneros.

Aun quedan vestigios y rescoldos.

A su pluma se debe el siguiente artículo sobre el Comercio Electrónico  que fue publicado por el año 1999 (hoy ha perdido parte de su vigencia) en el Criptonomicon del CSIC, en el número 43 que coordinaba Gonzalo Álvarez Marañón

Introducción

Entendemos el Comercio Electrónico como cualquier tipo de intercambio financiero realizado a distancia y por medios electrónicos, siendo Internet el medio ideal para realizar este tipo de negocios. EL principal beneficio que puede obtenerse en este tipo de negocios es la relación directa entre fabricante y cliente sin necesidad de intermediarios lo que en teoría debería rebajar el precio del producto. Hoy en día se puede realizar este tipo de actividades a través de Internet pero aun no se ha producido el verdadero «boom» que según todas las consultorías importantes se producirá en los próximos años. Tan solo algunas empresas pioneras, como el conocido caso de la librería Amazon, han sabido aprovechar la oportunidad. Aunque también es verdad que muchas grandes empresas están preparándose a la espera de ese gran «boom» anunciado del Comercio Electrónico.

Principales problemas del comercio electrónico hoy

Hoy en día el principal problema es que la gente no se ha lanzado a comprar por Internet por una falta de costumbre y seguridad. Las empresas deben crear un marco global que permita las transacciones seguras por Internet, e inevitablemente esto debe venir acompañado de una rebaja sustancial en los precios que haga atractivo a los nuevos consumidores utilizar este medio.

Seguridad en las Transacciones Electrónicas

Desde el punto de vista de la Seguridad Informática, el principal problema radica en garantizar la seguridad de las transacciones electrónicas realizadas a distancia. Esto debe garantizarse mediante el uso de la moderna criptografía de clave publica.

El método de pago por excelencia en Internet es y será las tarjetas de crédito. Para ello ahora se esta utilizando el protocolo SSL que garantiza la creación de un canal seguro entre Cliente y Vendedor. Por este canal el Cliente envía su Numero de Tarjeta de Crédito. EL Vendedor hace pasar este numero por un Interface a un TPV (Terminal Punto de Venta) como los que se utilizan en todas las tiendas para cobrar con tarjeta y así se realiza la transferencia. Aunque se garantiza la confidencialidad de las transmisiones, aun hay varios puntos muy importantes que SSL no garantiza:

  • No hay recibos, una reclamación por parte del cliente quedaría a la buena voluntad del Vendedor.
  • No hay autentificaron de tarjetas, cualquier persona que tenga acceso a un numero de una tarjeta de crédito podría realizar una transacción. El cliente puede realizar fraudes fácilmente.
  • El Vendedor obtiene toda la información del cliente (numero de tarjeta de crédito) y podría utilizarla fraudulentamente.

¿Tienen solución? ¿Qué se está haciendo para solucionarlos?

En un sistema de comercio electrónico se deberían garantizar las siguientes características:

1. Confidencialidad: Ninguna persona ajena a la transacción debe tener

acceso a los datos financieros. Mas aun, seria importante que el vendedor tampoco tuviese acceso a esos datos y que el banco no tuviese acceso a los datos de la venta.

2. Integridad: El sistema debe garantizar que la integridad de los datos enviados, de no ser así el Vendedor podría aumentar el importe de la compra posteriormente, por ejemplo.

3. Autenticación: Todos los participantes deben estar perfectamente identificados para evitar el principal tipo de fraude: la utilización de tarjetas de crédito robadas.

4. No repudio: El sistema debe generar Recibos que impidan que alguno de los participantes en la transacción niegue haber participado en ella.

SSL no garantiza la mayoría de estas propiedades. Por este motivo VISA y MASTERCARD decidieron dar un impulso a la utilización de Tarjetas de Crédito en la compra por Internet creando un nuevo protocolo que tuviese en cuenta todos estos condicionantes. El protocolo resultante se llama SET (Secure Electronic Transactions). Este proyecto cuenta con el apoyo de empresas como: IBM, GTE, Microsoft, Netscape, RSA, Verisign y Verifone (HP).

SET – Secure Electronic Transactions

En este protocolo se establecen tres entidades independientes: El Cliente, el Vendedor y la Pasarela de Pago. Todas las comunicaciones entre ambos se realizan por Internet y se cifran. Antes de realizar cualquier transacción, todas las partes deben obtener un Certificado Electrónico que garantice su Identidad.

El protocolo comienza cuando el Cliente abre su software de Billetera Electrónica y decide hacer una compra. El Vendedor envía un mensaje que especifica la descripción del producto y el importe del mismo, así como un certificado con su clave publica. El Cliente cifra su numero de tarjeta de crédito y estos datos y los envía al Vendedor. El Vendedor, una vez recibido este mensaje lo descifra y lo vuelve a cifrar con la clave pública de la Pasarela de Pago. La pasarela recibe el mensaje y lo envía al Banco correspondiente utilizando las redes bancarias. Se realiza la transacción y la Pasarela envía la respuesta al Vendedor y este la manda al Cliente finalizando así la compra. Todos los mensajes se firman digitalmente de tal manera que existan comprobantes de compra.

Los datos bancarios se firman con un sistema denominado firma dual, que posibilita que el banco no tenga acceso a los datos de la compra y que el Vendedor no pueda acceder a los datos financieros de la tarjeta de crédito.

Los algoritmos criptográficos utilizados son RSA y DES.

¿El comercio electrónico será una realidad o es una quimera futurista?

SET ha sido aceptado por todos los implicados, incluidos los bancos que han apostado fuertemente por este sistema. Para que SET funcione es necesario que se den los siguientes pasos:

  • Incorporar software de Billetera Electrónica SET en los navegadores.
  • Creación de Software de Vendedor, Pasarela de Pago y Autoridad Certificadora compatibles con SET.
  • Crear los certificados SET tanto para Clientes como para Vendedores y Bancos.

Situación de España en el panorama del comercio electrónico

En España se ha apostado muy fuerte por el protocolo SET, tanto es así que se ha creado una Autoridad Certificadora especialmente para este propósito llamada ACE (Agencia de Certificación Electrónica). ACE fue creada por Telefónica (40%), sistema 4B (20%), Visa España (20%) y la Confederación Española de Cajas de Ahorro (CECA-20%). Lo que significa que toda la banca española esta incluida en este proyecto. ACE ha comenzado a emitir certificados SET pero de modo experimental. De momento se ha creado una pasarela de pago en Sistemas 4B.

Futuro de SET

Aunque se ha apostado muy fuerte por SET, este sistema no acaba de arrancar por diferentes motivos. Según mi opinión este sistema no llegara a funcionar en su versión actual sino que se esperara a la versión SET 2.0.

El defecto de SET 1.0 es el modo de almacenar los certificados electrónicos, que convierten a estos archivos en un punto muy vulnerable del sistema de seguridad, sobre todo teniendo en cuenta que serán utilizados por el publico en general.

SET 2.0 es la nueva versión de SET que integrara el uso de Tarjetas Inteligentes. El principal problema es la necesidad de incorporar un lector de tarjetas en cada PC. Si se superase este problema tendríamos un sistema realmente robusto de pagos electrónicos.

Expertos en derecho de nuevas tecnologías en Negonation


Agradezco a David Blanco que me haya incluido en el «Negonation Security Excellence Center” (SEC), un organismo consultivo externo e independiente integrado por personalidades de gran relieve cuyo objetivo es asesorar a Negonation en materias jurídicas y tecnológicas.

En la actualidad, el SEC está formado por las siguientes personas:

Los participantes muestran un foco claro en derecho de nuevas tecnologías, arbitraje y firma digital.

Todos ellos velarán por que los servicios ofrecidos por Negonation gocen de las máximas garantías. En este proyecto se atreven a soñar con una justicia mejor, más rápida y eficiente. Aunque con perfiles diversos, incluso filosofías contrapuestas, es de esperar que de la diversidad nazcan conversaciones interesantes y soluciones originales, válidas para todos. Todos los despachos mencionados realizarán un piloto de Tractis.

Negonation está dedicada a la consecución de un comercio electrónico seguro y confiable global, por encima de islas legislativas. Partiendo de la base de que “seguridad” y “confianza” son dos palabras difíciles de definir, más relacionadas con una sensación subjetiva que con un hecho objetivo, la solución no está en utilizar un estándar, tecnología, hardware, filosofía, proceso o legislación concreta. Se trata más bien de lograr una combinación de muchas aportaciones, sin fórmula magistral. El usuario se sentirá seguro utilizando Tractis o no. Confíará en el servicio o no. Pero aspectos como la formación y el soporte de este foro pueden ser pasos en la dirección correcta.

La firma electrónica en las juntas generales de accionistas

6 respuestas

El 24 de mayo pasado vi en algunos periódicos la convocatoria de Junta General de Accionistas de Altadis. Cada vez que veo una convocatoria, me leo la parte de Voto a Distancia y Delegación. Y año tras año, veo que se siguen cometiendo los mismos errores. Algunas entidades fueron pioneras en el año 2004 y es asumible que cometieran algunos errores, pero lo gracioso es que sus errores los copiaron otras, y así año tras año.

Desde el año 2004 en Albalia Interactiva hemos estado asesorando a los Consejos de Administración de entidades importantes para desarrollar correctamente la parte de firma electrónica de la gestión del voto a distancia y de la delegación a distancia de las Juntas Generales de Accionistas de sus sociedades. En la actualidad somos menos activos en este tema porque estamos excesivamente ocupados con los de la factura electrónica.

Sin embargo no he podido evitar irritarme por el escaso conocimiento que sobre los aspectos jurídicos de la fima electrónica exhiben los asesores mercantiles (muchos de prestigiosos despachos de abogados) de las empresas cotizadas. Hoy me he fijado en Altadis, pero intentaré ir recogiendo en el Blog otras convocatorias que me parezcan equivocadas.

A raiz de la convocatoria mencionada, he preparado un Podcast sobre el asunto. Es un poco espartano, pero espero merecer vuestra indulgencia, ya que es el primer intento. En sucesivos Podcasts iré mejorando.

Dura 2 minutos 50 segundos y se titula La firma electrónica en el voto a distancia y en la delegación por los accionistas en las juntas generales de accionistas. Ocupa 4M en MP3.

Firma electrónica en banca

3 respuestas

El sector bancario ha sido, junto con el académico, el que más tempranamente acogió los conceptos de criptografía de clave pública y certificación digital como componentes de seguridad de soluciones por desplegar. Lo cierto es que también el sector financiero ha sido promotor de la criptografía de clave simétrica desde mucho antes, adoptando el DES (Data Encryption Standard) como  base de sus sistemas de cifrado en todos los dispositivos relacionados con los medios de pago, como TPVs y Cajeros automáticos.

Sin embargo, iniciativas tan prometedoras como “Negocios Cibernéticos”, ACE, Iberion, GTA o Identrus han quedado por el camino como testimonios de “failure case” : soluciones para problemas que no existían. Y como corolario la sentencia “Las PKI no funcionan en banca”.

 

En banca, ha sido frecuente justificar la escasa adopción de técnicas seguras de identificación con argumentos como “el usuario no lo demanda”, “añade complejidad al sistema”, “no hay casos de fraude”, “es complejo de gestionar” o “es caro”.

Todos esos argumentos, que en realidad son falaces, no han sido óbice para que la banca impulsara en el pasado el despliegue de canales, productos y servicios de gran aceptación por los usuarios, lo que se ha demostrado años después de que se “impusieran” a los clientes sin que existiera demanda, sin que importara la complejidad añadida, o el coste de despliegue. En particular el rentable (hasta hace unos meses) mundo de la tarjeta de crédito  se ha desarrollado con un nivel razonable de seguridad en el mundo físico (muy basado en los servicios de autorización en tiempo real) hasta el punto que, en España,  hacían poco necesaria la adopción de medidas adicionales.

En cambio, en el despliegue  del canal Internet, el relajamiento excesivo en la adopción de medidas de seguridad, tras el argumento de que “otras entidades están peor”, “se frena el crecimiento de usuarios” , “genera llamadas al call center”, ha retrasado el consenso en la adopción de estándares comunes hasta que se ha producido una avalancha de incidentes asociados a téminos como “phishing”, “pharming” “keyloggers” y “troyanos” que están creando una verdadera alarma social y ponen en peligro no solo la credibilidad del nuevo canal, sino incluso el buen nombre de la banca en su conjunto, con quiebra de conceptos como el de “confianza” que son la base del negocio bancario.

Todos estos incidentes eran previsibles, y de hecho algunas voces llevan años advirtiéndolo. Sin embargo, ahora son una realidad y hay que tomar medidas. Y las medidas las está tomando cada entidad a su manera, unas con mensajes a móviles, otras con tarjetas de coordenadas, algunas con teclados en pantalla (afortunadamente, las menos), otras con dispositivos de clave fungible (OTP, One Time Password) y las más sofisticadas con Certificados Electrónicos.

 

La primera crítica a todas estas soluciones proviene de que los usuarios son clientes de varias entidades y diferentes “experiencias de usuario” son caldo de cultivo para que puedan producirse intentos de fraude basados en “ingeniería social” engañando a los usuarios, como de hecho sucede en técnicas como el Phishing. De modo que una recomendación sería consensuar aspectos comunes en la operativa de las distintas entidades para que las excepciones a la operativa (lo que suponen las técnicas de ingeniería social) al menos sea “sospechoso” para los usuarios.

Oath logoCalculadora OTP EMVSi se llega a consensuar la operativa, se estará muy cerca de disponer de infraestructuras comunes de autenticación. Aquí se puede limitar el coste de iniciativas que, desarrolladas individualmente por cada entidad, podrían ser muy caras. Por ejemplo, cabe pensar en disponer de servidores comunes de autenticación OATH de forma que los tokens OTP desplegados por todas las entidades sean compatibles, y no exijan que los usuarios carguen con varios dispositivos anillados a su llavero. O que las “calculadoras” generadoras de claves OTP  a partir de tarjetas EMV (Europay Mastercard, VISA, tarjetas con chip) sean compatibles, de forma que se pueda aprovechar el despliegue de tarjetas EMV impuesto por las condiciones de gestión SEPA (Single Euro Payment Area) en el sentido de que la operatividad y el coste de uso de las tarjetas sea equivalente a operaciones domésticas (las que llevan a cabo las entidades en su propio país).

El consenso tendría efectos beneficiosos, por ejemplo, en el despliegue de la firma electrónica a partir del DNI y otros certificados cualificados. En efecto, uno de los retos que supone aceptar firmas electrónicas respaldadas por sus correspondientes certificados electrónicos es que, según la Ley 59/2003 y la Directiva 93/1999, cualquier firma electrónica cualificada (la que se expide cumpliendo ciertos requisitos entre los que destaca la verificación presencial de la identidad del solicitante del certificado asociado) tiene equivalencia funcional con  la firma manuscrita, y por tanto impone la obligación de verificar su validez al tercero que confía en los certificados. En la práctica cualquier prestador de servicios de certificación europeo puede cumplir los requisitos y esto implica que las entidades financieras deben ser capaces de acceder a los servicios de información de validez de los certificados (a través de diferentes modalidades como OCSP – Online Certificate Status Protocol, CRL – Certificate Revocation List , o SCVP – Server-based Certificate Validation Protocol )  de CUALQUIER prestador de servicios de certificación. De modo que la gran oportunidad que representa el DNI electrónico (cuyo despliegue, que supone un gran esfuerzo, ha sido asumido por la Administración) se amplía y se complica por la necesidad de aceptar cualquier certificado emitido por cualquier PSC (Prestador de Servicios de Certificación)  español o europeo.  Esta tarea puede ser compleja para una sola entidad pero puede ser resuelta fácilmente desde  un organismo común que permita compartir sus costes. En el fondo no es muy distinto de lo que supone el sistema de validación “SARA” (Sistema de Aplicaciones y Redes para las Administraciones) desplegado por el Ministerio de Administraciones Públicas  para cualquier organismo de la administración.

Otra ventaja del consenso: la unificación en la estrategia de despliegue de EMV. Es obligatorio el despliegue completo de tarjetas EMV por parte de las entidades emisoras de tarjetas VISA y MasterCard (entre otras) antes de fin del año 2010 como consecuencia de los requisitos impuestos por la iniciativa SEPA. Dentro de las especificaciones EMV hay dos modalidades principales de funcionamiento que determinan la tecnología de la tarjeta chip: autenticación estática y autenticación dinámica. Sin tomar en cuenta algunos puntos débiles de los sistemas de autenticación estática, preferidos por los delincuentes, los de autenticación dinámica incluyen por un coste adicional poco significativo la posibilidad de gestionar claves privadas en la tarjeta, dentro de un infraestructura de clave asimétrica (PKI, Public Key Infrastructure). Hay algunas tarjetas que permiten su uso de forma simultánea como tarjeta EMV y como Dispositivo Seguro de Creación de Firma  (DSCF, SSCD, Secure Signature Creation Device), y son aptas, por tanto para que las propias entidades financieras puedan desplegar sus propios certificados cualificados. Entre estas tarjetas, cabe citar, por ejemplo la Advantis Crypto de SERMEPA y la M.MAR de Microelectrónica, aunque todos los fabricantes están desarrollando tecnologías convergentes.

El hecho de unificar la estrategia de despliegue de la tarjeta (incluso sin unificar su tecnología), permite compartir estrategias en la distribución del driver CSP o PKCS#11, que pueden facilitarse desde un organismo de comunicación común. Aquí convendría hacer algunos esfuerzos adicionales: la unificación del perfil de los certificados adoptando OID comunes y consensuando el significado de estos allí donde no hay un estándar, la colaboración en la gestión de una autoridad de certificación raíz común para los certificados de todas las entidades, que facilite el establecimiento de la cadena de confianza, el desarrollo común del Web Service de la AEAT para facilitar la generalización del uso en el ámbito tributario…

Con un coste marginal, respecto al que tiene el despliegue de tarjetas EMV convencionales, se puede conseguir la completa disponibilidad de certificados cualificados para los titulares de tarjetas, a un ritmo más rápido que el que puede lograr el DNI electrónico. De esta forma las entidades podrían establecer estrategias de comunicación que enfatizaran la disponibilidad de múltiples servicios (los mismos que se vayan desarrollando para el DNI) por el solo hecho de tener una tarjeta de crédito de la entidad.

La estrategia de colaboración en certificación ha recibido el nombre de “ABANCE” (Autoridad BANcaria de CErtificación) durante los  últimos años, pero en la actualidad es solo una de las múltiples áreas de colaboración de  bancos y cajas más allá de la interconexión de redes de medios de pago. Efectivamente, la posibilidad de colaboración en sistemas de claves de un solo uso (OTP) compartiendo el servidor de autenticación bajo el modelo OATH (Initiative for Open Authentication), amplía el alcance de ABANCE.

 

PKI ABANCE

Pero hay más. Las entidades están preocupadas ahora por el phishing, el pharming, los keyloggers o los troyanos, porque son amenazas muy claras que ya se han hecho presentes en nuestros días y se contabilizan en las estadísticas. Pero saben que cada nuevo paso que se da en la securización de las transacciones lleva aparejado una nueva modalidad de ataque o de fraude, la posibilidad de explotar una nueva vulnerabilidad  o de idear un nuevo tipo de engaño. Y es necesario un grupo de especialistas que permita reaccionar ante cada nueva situación. Sin restar mérito a las ofertas de empresas privadas que resuelven algunos de los retos o aportan soluciones parciales, sigue haciendo falta una acción integradora que sea un recurso de las entidades financieras. Es necesario un CERT (Computer Emergency Response Team) o, por usar un término más actual, un CSIRT (Computer Security Incident Response Team), es decir, un Equipo de Respuesta ante Incidentes de Seguridad Informática Bancario.  

Desde hace algunos meses esta es una idea que he intentado promover, y finalmente parece que ya existe un grupo de entidades que están dispuestas a acometer su creación. Este órgano se está estructurando como una de las líneas de actuación de una nueva Fundación que tiene objetivos adicionales. En efecto, otra las líneas de actividad identificada como esencial ha sido la que lleve a término la determinación de luchar contra la impunidad en la red. Ha llegado el momento de pasar de una situación defensiva, en la que la máxima aspiración de una entidad es minimizar el quebranto y posicionarse en seguridad sólo un poco mejor que los competidores (la gacela no pretende correr más que el león, sólo más que la víctima, otra gacela) a otra ofensiva en la que sea posible localizar al delincuente y que este pague por el delito, restituyendo la confianza al medio.

La iniciativa, aunque novedosa, tiene un antecedente notable en la BSA (Business Software Alliance). Esta institución de carácter multinacional, con presencia en 80 países,  propugna el uso legal del software y promueve diferentes iniciativas adaptadas a la situación del país en el que actúa. De forma similar, la Fundación para la Confianza Digital promueve un uso seguro de la red actuando contra los delincuentes en cualquier lugar del mundo, apoyándose en abogados e investigadores que actúen en los países en los que esté presente. Permitiendo una reacción ágil ante ataques internacionales, apoyándose en la legislación y los medios del país desde el que actúa, colaborando con la policía y la justicia hasta lograr la condena y el cumplimiento de la pena de los atacantes. Proporcionando medios y formación a la policía y a los miembros de las diferentes instancias jurídicas, de todos los países. Reforzando la seguridad de las redes, la idemnidad de los usuarios y la confianza en el medio y en las instituciones. Las entidades Fundadoras están en estos momentos revisando los estatutos y estructurando su participación con la idea de constituirla a lo largo de 2007. Si se cumplen las previsiones, se habrá dado forma al adagio “La mejor defensa, el ataque”.

Exposec en Fuerteventura y en La Gomera

Deja un comentario

Acabamos de regresar de La Gomera donde finalizó el periplo de empresas de ASIMELEC que colaboran en las jornadas Exposec, difundiendo conceptos de seguridad y confianza en las comunicaciones, firma electrónica y factura electrónica entre las empresas.

El viernes 18 de mayo fue la jornada de La Gomera y el miércoles 16 la de Fuerteventura.

Para la ocasión se desplazaron Martín Pérez, Presidente de ASIMELEC y Experto en Seguridad (es Director general de i-Systems); José Pérez, Director General de ASIMELEC; Ignacio Carrasco, Director deExpansión de ASIMELEC, José Helguero, Director General de HELAS CONSULTING; Miguel Vega, Director de Marketing de ipsCA, Alfredo Gosálvez, Director General de Firmaprofesional, Victorino Martín,  Director de Seguridad TIC del GRUPO ICA; Sergio Pérez,  Responsable de Publicaciones de Red.es y yo mismo, contando con el soporte de  Maria Luisa Blasco, de Atenea Interactiva y Juan Carlos.

Además colaboraron los Cabildos de La Gomera y de Fuerteventura y las Cámaras de Comercio de Fuerteventura (de reciente creación) y de Tenerife.

Discordia en la fima electrónica

Deja un comentario

Veo por Diario Médico que se le da tal importancia a la firma electrónica, como para sea causa de disensiones entre profesionales.

Los colegios de médicos de Gerona, Lérida y Tarragona y los colegios de enfermería de Gerona y Tarragona han creado la sociedad limitada Healthsign para la certificación y registro de las firmas digitales de sus colegiados y de las de todos los miembros de corporaciones profesionales sanitarias de España y el resto de Europa que quieran adherirse en igualdad de condiciones respecto a sus socios fundadores.

La iniciativa parte del colegio de Gerona, que preside Eudald Bonet, y cuenta con el apoyo asesor y tecnológico de la empresa Wisekey  que gestionará el PSC desde  Suiza.

La nueva Healthsign está presidida por Carmen Puigvert, presidenta del Colegio de Enfermería de Gerona, y su consejero delegado es Lluis Barnés, gerente del colegio de médicos de la misma ciudad.

Con esta nueva empresa especializada en firmas profesionales digitales, las tres corporaciones de médicos catalanes intervienen en la disputa que protagonizan la Organización Médica Colegial (OMC) y el Colegio de Médicos de Barcelona (COMB) por esta cuestión, y lo hacen quitándoles la razón tanto a la corporación como al COMB.

Es curioso lo que se parece esta disputa a la que protagonizaron hace 4 años los Colegios de Abogados de Madrid y Barcelona contra la iniciativa del Consejo General de la Abogacía, que creó ACA (Autoridad de Certificación de la Abogacía).

También es curioso que los profesionales piensan que todo se puede hacer de forma más sencilla y con menor coste que los proyectos que ya están en marcha.

Mi experiencia es que la diversidad de iniciativas a la larga aumenta los costes y la complejidad para todos, para los que impulsan el proyecto inicial y para los disidentes.

Por lo que parece más un problema de política de pasillos y de protagonismos, que una verdadera reflexión de lo que ha de significar la firma electrónica para los profesionales.

Mi última reflexión va sobre el origen de las disidencias. Sorprende que muchas de ellas surjan de Cataluña. Y la sorpresa no tiene matiz político. Mi verdadera sorpresa se debe a que en Cataluña hay una alta concentración de especialistas en firma electrónica y certificación, y cualquiera de estos especialistas les puede explicar a quienes tienen estas iniciativas de duplicación o triplicación de esfuerzos qué ha pasado en los 15 años de desarrollo de la firma electrónica es España, cuando se han producido situaciones parecidas.