Archivo de la categoría: Firma Electrónica

Ministerio de Administraciones Públicas. Gestión de identidad

2 respuestas

Al utilizar el Portal del MAP (Ministerio de Administraciones Públicas) para participar en los foros que menciono en el post anterior, he tenido que darme de alta, en un sistema bastante casero de «gestión de identidad» más propio de un foro de comentarios sobre logos y melodias que de un portal de la Administración.

Después de dar un montón de datos (más allá del límite de los que en la LOPD se denominan «pertinentes y no excesivos»), y elegir la password, aparece una pantalla para acceder, tecleando el DNI y las password. Sorprendido porque el sistema me negaba el acceso indicando clave errónea (la acababa de poner y me acordaba perfectamente) aproveché la opción de «Clave olvidada» para restaurarla. Lo intento de nuevo, y sigue dándome el mismo error con la clave nueva.

Al final he resuelto el problema que me impedía entrar en el portal y que consistía en una incorrecta descripción del procedimiento, que no mencionaba el correo de activación. Este tema está también incorrrectamente tratado en el mensaje de error que da el sistema, al introducir usuario y password, y que incorrectamente indica que se ha introducido una password errónea en vez de señalar que la cuenta no se ha activado y que hay que revisar en el correo para buscar el mensaje de activación.

Efectivamernte hay un correo de activación que verifica el e-mail, que también debería quedar verificado por el procedimiento de restauración de la password, aunque en este caso no sirva para nada.

En fin, decepcionante sistema de Gestión de Identidades, que además ignora que existen cerificados (más de un millón y medio, sumando los de todos los PSC) que simplificarían la gestión a quien los quisiera utilizar. Y eso que uno de los temas del Foro es la «Firma Electrónica«

Comentarios a la Ley de Administración Electrónica

5 respuestas

Recientemente y hasta el 30 de septiembre de 2006 el Ministerio de Administraciones Públicas ha abierto un par de Foros para recoger opiniones de temas que debería ser cubiertos en esta Ley. El primer foro es el de Administración Electrónica y el segundo el de Firma Electrónica.

He enviado algunos comentarios que edito para ampliarlos aquí.

Firma de órgano administrativo como asimilada de la de persona jurídica 

Por la normativa de Potestades, la firma del órgano se deriva de la firma de quien tiene atribuciones para representarlo. No traslademos a la Administración Pública lo que es un error flagrante de la Ley 59/2003 de Firma Electrónica: la atribución de la «capacidad» de firmar a las Personas Jurídicas. Las Personas Jurídicas no tienen firma, lo tienen sus representantes. Otra cosa sería que se publicara una «Ley del Sello Electrónico» que atributa ciertos efectos (pero no los de equivalencia funcional con la firma manuscrita, obviamente)al uso de la criptografía de clave pública de forma automatizada, o con un control laxo de la identidad de quien activa esta modalidad de «firma», tal y como sucede en la actualidad con los sellos de caucho.

Firma electrónica con diferentes sistemas operativos y navegadores 

Tanto Safari para Mac como Konqueror para KDE tienen soporte para la gestión de certificados, al menos en la variante de «Client Certificate» de SSL 2.0. Al igual que Firefox y todas las variantes de Mozilla, al igual que IE y Opera. En todos los casos se pueden instalar los ficheros PKCS#12 que generan varios Prestadores de Servicios de Certificación. En mi opinión, el PSC (de entre los que emiten «Certificados Cualificados») que lo hace más sencillo para los usuarios es Camerfirma. También se pueden hacer «pruebas» con certificados gratuitos en Mac, Linux o Windows con los disponibles en este sitio de Certificados de Prueba. No obstante, para obtener un certificado cualificado (el que otorga valor de firma manuscrita a la electrónica) se debe pasar por un procedimiento que obligatoriamente supone verificación presencial de identidad.

¿Qué paso con los lectores de tarjeta chip Smarty?

Deja un comentario

Hace unos años se presentó como una gran innovación un tipo de lector de tarjeta chip que aprovechaba la ubicuidad de las disqueteras de 3,5″ y evitaba tener que adquirir lectores específicos.

Smarty lector de tarjeta chip con aspecto de disketteLa idea desarrollada por Fischer International Systems Corporation y Smartdisk parecía tan buena que incluso se produjo un litigio de patentes, cuya resolución finalmente dio la razón a Smartdisk.

El pleito tiene interés por las conclusiones, que pueden extenderse a situaciones similares en el mundo de los lectores de tarjeta chip, pero la sentencia final llegó demasiado tarde: en 2005.

Demasiado tarde, porque desgraciadamente estos dispositivos no tuvieron la difusión que se esperaba y hoy en dia los ordenadores se venden sin lector de diskette. .

Smarty es un dispositivo de las mismas dimensiones que un disco de 3.5″, que utiliza la disquetera del PC como lector de tarjeta chip.

Smarty de Smartdisk y FischerSe argumentaba, entre sus ventajas:

  • Compacto y fácil de llevar. Smarty cabe en el bolsillo de la camisa.
  • Listo para usar inmediatamente con su disquetera de 3.5″.
  • Fácil de usar y de intercambiar entre PCs de sobremesa y ordenadores portátiles.
  • Bajo coste, pero realmente fiable y efectivo.
  • Una revolución para los portátiles. Smarty es el único lector de tarjeta chip que no precisa puertos serie, paralelo o USB.

Hoy en día, estos dispositivos son curiosidades de museo.

Por cierto, yo tengo uno.

Tractis, modelo de buenas prácticas en Firma Electrónica

2 respuestas

Acabo de publicar mi primer POST como blogger invitado en el Blog de Negonation, como preparación del próximo lanzamiento de Tractis.

La verdad es que estoy muy orgulloso del pequeño pero importante papel de Albalia en el proyecto.,

Las frecuentes críticas a determinadas implementaciones de firma electrónica (o recomendaciones de otras) que hago en este blog han sido tenidas en cuenta en el proyecto de Tractis.  Mi visión sobre la obligatoriedad de reconocer cualquier certificado reconocido, ha sido tenida en cuenta en el proyecto de Tractis. La importancia de generar evidencias electrónicas con indicación de tiempo y validación, ha sido tenida en cuenta en el proyecto de Tractis.

La transparencia en el esfuerzo de desarrollo, elementos de visión y de implementación, y el conocimiento de las personas que están detrás del proyecto, me hacen abrigar grandes expectativas respecto a su éxito. Cuando eso suceda podré decir: «yo estuve allí, preparando el lanzamiento«.

Jordi Sevilla en el Observatorio del Notariado para la Sociedad de la Información

3 respuestas

Hace unos días escribí un post sobre la intervención del Ministro de Administraciones Públicas en el Observatorio del Notariado para la sociedad de la información.

En el evento hice un comentario sobre las dificultades que existen para entender algunos de los conceptos criptográficos (como la importancia de protección de la clave privada) y el reto de las Administraciones Públicas en hacer que los conceptos asociados al DNI Electrónico y a la Firma Electrónica lleguen al gran público de la forma más intuitiva posible, aun sabiendo que muchos aspectos del uso de la firma electrónica se parecen poco a los que conocemos de la firma manuscrita u ológrafa.

Puse como ejemplo el importante acto que supuso, el 4 de septiembre de 1988 la firma conjunta de un Comunicado sobre el Comercio Electrónico del Primer Ministro Irlandés (Taoiseach) Bertie Ahern y el Presidente de los Estados Unidos Bill Clinton. Por limitaciones de los desarrollos legislativos de ambos estados en lo referido al reconocimiento legal con valor de presunción de la Firma Electrónica en el momento de esta firma, no se pudo firmar un Tratado Internacional, lo que hubiera sido, si cabe, más impactante.

Bill Clinton y Bertie Ahern firmando electrónicamenteEl acto fue importante, y la mera notoriedad del acto (como los contratos celebrados «ad solemnitatem«) hubiera supuesto plena eficacia probatoria. Sin embargo, el protocolo oficial dejó en entredicho los planeamientos que probablemente les hicieron sus asesores a ambos mandatarios, ya que al finalizar la firma, los dos dignatarios intercambiaron protocolariamente los instrumentos utilizados para firmar.

Si el documento se hubiera firmado en papel y el intercambio hubiera sido de plumas estilográficas, la foto final hubiera sido una de tantas. Pero puesto que las firmas fueron firmas electrónicas y los instrumentos tarjetas inteligentes (smartcards), la foto (la que se ve a la izquierda) fue muy especial.

Hay que recordar que la tarjeta chip contiene la clave privada que constituye la capacidad criptográfica de firmar del titular, y cederla a otro implica ceder buena parte de la capacidad de firmar,con plena atribución de lo firmado a quien aparece como firmante. Afortunadamente, es necesario, además la clave secreta, por lo que seguramente ninguno de los dos mandatarios pudo suplantar al otro pese a tener su tarjeta chip.

La foto es bonita, pero desde el punto de vista de un «purista» de la firma electrónica, transmite un concepto peligroso: «las tarjetas se pueden ceder a otras personas y no pasa nada«.

No es cierto. Hay que evitar que nadie más que nosotros tenga acceso a nuestra tarjeta chip (a nuestro DNI), entre otras cosas porque no es muy difícil obtener las claves de múltipes formas. Ya no debemos dejar el DNI de prenda cuando reservemos una taquilla, o una cancha de tenis, o nos quedemos sin dinero al echar gasolina.

Técnicamente, el acto político no tuvo apenas impacto criptográfico. Al finalizar, probablemente se revocaron ambos certificados y posiblemente no había más oportunidades de usar las tarjetas chip ya que en 1998 el número de lectores de tarjeta chip (chipeteras) era mínimo.

Julián Inza en el Observatorio del Notariado para la Sociedad de la InformaciónPero la tentación política de llevar a cabo firmas electrónicas en determinados actos públicos para impulsar la adopción del DNI electrónico, que es loable, deberá tener en cuenta que, casi 10 años depués de la firma de la foto, ya no se puede disculpar el «compromiso de las claves» al que equivale la cesión o intercambio de tarjetas chip.

Me acordado de esta anécdota al ver en la Revista «Escritura Pública» (número 36, mayo-junio de 2006) que edita el Consejo General del Notariado una referencia a la reunión con el ministro y a mi intervención, aunque no se ha transcrito con precisión. Lo que si agradezco es la foto que incluyen, en la que me sacan muy favorecido (la incluyo).

Mi pretensión era que no se minimizara la dificultad del uso del DNI electrónico y que en su adopción en las Administraciones Públicas, junto con la facilidad de uso se primara la adopción de mensajes de seguridad. Como en toda innovación que acaba permeabilizando a toda la sociedad, todavía no sabemos como intentarán sacar partido de ella los delincuentes en el futuro, pero podemos tener la certeza de que los intentos de ataque de «ingeniería social» (o «picaresca«, término que prefiero), superarán a las búsquedas de vulnerabilidades tecnológicas.

La documentación de este POST ha sido un poco complicada, porque yo recordaba unas imágenes de la firma de Ahern y Clinton vistas en televisión, de la época en la que yo estaba en FESTE (la Fundación para el Estudio de la Seguridad de las Telecomunicaciones). Suponia que un evento tan importante estaría bien documentado, pero la verdad es que en Internet existe una extraña mezcla de preservación y olvido.

Así que voy a incluir una lista de las referencias más interesantes que he utilizado, mencionado en primer lugar la de Ugo Bechini en su artículo Quando la smart card diventa un souvenir y que ya se hacía en el 2001 reflexiones semejantes a estas.

En los siguientes enlaces hay algunas fotos del evento, llevado a cabo en la factoría de Gateway, con ordenadores portátiles de esta marca ensamblados en Irlanda, con tarjetas cuyo fabricante no he identificado aún y con software de Baltimore, empresa irlandesa que en aquel momento lideraba el mercado del software de PKI y que ha desaparecido tras la crisis de las punto com.

El album fotográfico del dia 4 de septiembre de 1988 es cortesía de la Casa Blanca.

Historia de Baltimore.

Página de Notas del Dr. John Cosgrave, matemático irlandés que preparó una conferencia sobre matemáticas, números primos y algoritmo RSA con ocasión de la firma electrónica del documento.

Seguimiento del dia 4 de septiembre por la CNN (los enlaces a los videos no funcionan)

Esquema de Certificación de Prestadores de Servicios de Certificación (PSC)

7 respuestas

Anteayer tuve la satisfacción de presidir la reunión plenaria del Esquema de Certificación de PSC desarrollado por ASIMELEC.

Este esquema (Proyecto Bitácora) ha merecido el apoyo del Ministerio de Industria, Turismo y Comercio, dentro del Plan Nacional de Investigación Científica, Desarrollo e Innovación Tecnológica 2004-2007.

Supone el sistema más elaborado existente en España para el cumplimiento de lo previsto en el artículo 11 de la Directiva 1999/93/CE de Firma Electrónica:

Artículo 11 . Notificación

1. Los Estados miembros interesados notificarán a la Comisión y a los demás Estados miembros lo siguiente:

a) información sobre los sistemas voluntarios de acreditación de ámbito nacional, incluidos cualesquiera requisitos adicionales con arreglo al apartado 7 del artículo 3;

b) el nombre y dirección de los organismos nacionales competentes en materia de acreditación y supervisión, así como de los organismos a que se refiere el apartado 4 del artículo 3; y

c) el nombre y dirección de todos los proveedores nacionales de servicios de certificación acreditados.

2. Toda la información facilitada en virtud del apartado 1 y cualquier modificación de su contenido serán notificadas por los Estados miembros a la mayor brevedad.

El servicio de información del artículo 11 ya se ha actualizado desde la última vez que hablé de este tema. Esta es la información que (¡por fin!) figura sobre España:

SPAIN

a) information on national voluntary accreditation schemes, including any additional requirements pursuant to Article 3(7):

Spain has no national governmental voluntary accreditation schemes.

Nonetheless, there is a private initiative of a voluntary accreditation scheme managed by the «Asociación Multisectorial de Empresas Españolas de Electrónica y Comunicaciones» (ASIMELEC – www.asimelec.es)

The Spanish Law on electronic signatures implements article 3(7) of the Directive. Therefore, Public Administrations may impose additional requirements accordingly.

b) the names and addresses of the national bodies responsible for accreditation and supervision as well as of the bodies referred to in Article 3(4):

– Body responsible for supervision:

Ministry of Industry, Tourism and Commerce. http://www.mityc.es (Spanish/English)

– Accreditation body:

NA

– Certification bodies: In process of being designated: National Cryptology Centre – National Intelligence Centre. http://www.oc.ccn.cni.es/index_en.html

c) the names and addresses of all accredited national certification service providers:

The certification service providers which have notified (not accredited) their activities in Spain at the present moment are listed in the following URL:

http://www11.mityc.es/prestadores/busquedaPrestadores.jsp (Spanish)

Creo que este es un gran espaldarazo para el esquema y pronto se conocerán otros de igual o de mayor calado.

Entre las decisiones adoptadas en la reunión a la que me refiero, cabe señalar la aprobación de las tarifas de obtención del sello de calidad de ASIMELEC para PSC, para lo que queda de 2006 y para el 2007, que hacen que la propuesta sea muy atractiva para los prestadores de servicios de certificación que hasta la fecha se hubieran auditado bajo las especificaciones de Webtrust for CAs.

Avanzo los principales valores:

  • Primera certificación (válida por 2 años):
    • Certificado normalizado: 6.000 euros
    • Certificado reconocido: 12.000 euros
  • Certificaciones sucesivas (por renovación o cambio de alcance, validez 2 años):
    • Certificado normalizado: 3.000 euros
    • Certificado reconocido: 6.000 euros

El pago puede fraccionarse en los 2 años de vigencia del sello de calidad, aunque debe tenerse en cuenta que el mantenimiento del sello tiene un coste, el segundo año, del 20% del coste de la certificación sucesiva (lo que en el certificado normalizado equivale a un coste anual de 1.800 euros).

Además de acreditar las buenas prácticas adoptadas por el PSC, el sello aporta otras ventajas:

  • Facilita la inclusión de las Autoridades de Certificación (CAs) raiz del PSC en los productos de Microsoft.
  • Reduce el coste del Seguro Obligatorio de PSC
  • Facilita la aceptación del PSC ante las Administraciones Públicas.

ASIMELEC tiene previsto un mecanismo de apoyo para la adopción del sello que lo hace aún más interesante.

Ley de Benford – Newcomb

5 respuestas

La ley de Benford, también conocida como la ley del primer dígito, asegura que, en toda colección de números que se refiere de forma homogénea a alguna propiedad natural o hecho estadístico de la vida real, aquellos números que empiezan por el dígito 1 ocurren con mucha más frecuencia que el resto de números, los que empiezan por el 2, ocurren con más frecuencia que el resto, salvo el 1 y según crece el valor de primer dígito, más improbable es que este forme parte de un número. Este hecho, que se admite como Ley, se puede aplicar a datos relacionados con el mundo natural o con elementos sociales.

En la página de Manuel Perera Domínguez puede encontrarse un buen artículo sobre la Ley de Bendford, que Manuel elaboró junto con Juan David Ayllón Burguillo.

Esta introducción viene al caso porque esta Ley, no suficientemente ponderada, salió en una conversación que tuve el otro día con Jesús González Fuentes. Estábamos hablando de técnicas de investigación y auditoría, y Jesús, como buen auditor, recordó que en la investigación contable (y por extensión en la de todo tipo de fraudes) esta Ley se ha revelado como un excelente indicador de actividades irregulares.

De modo que la incluyo en la Caja de Herramientas del Investigador Forense Informático como un primer estimador (o disparador de alarma) respecto a los casos a revisar cuando tenemos una amplia colección de casos a estudiar y debemos elegir un procedimiento para priorizar y seleccionar a los más prometedores para profundizar en la investigación.

Para concluir la parte didáctica de esta ley, conviene comentar que el hayazgo se remonta a 1881, cuando el astrónomo y matemático Simon Newcomb observó que las primeras páginas de las tablas de logaritmos de su facultad estaban manifiestamente más usadas que las finales de lo que dedujo que aparentemente los dígitos iniciales de los números (al menos los utilizados en su trabajo por quienes habían consultado las tablas) no son equiprobables. Para cotejar su descubrimiento marchó a otras facultades: ingeniería, física, otras de matemáticas, etcétera. El resultado era el mismo.

Frank Benford, un físico de General Electric reformuló esta ley en 1938, sorprendido por el mismo efecto de páginas gastadas en los libros de logaritmos. El estudió colecciones de datos de todo tipo y generalizó el hallazgo que superaba el marco de las tablas de logaritmos.
Ambos llegaron a establecer la probabilidad de aparición de cada dígito como primer guarismo de un número, por lo que cualquier situación que se diferencia claramente de esta distribución de probabilidades es sospechosa. Esta es la frecuencia (probabilidad) de las diferentes cifras:

1 : 30,1 %; 2 : 17,6 %; 3 : 12,5 %; 4 : 9,7 %; 5 : 7,9 %,;6 : 6,7 %;  7 : 5,8 %; 8 : 5,1 %; 9 : 4,6 %

PDF-417. Malas prácticas en Factura Electrónica (o Digital, o Telemática)

8 respuestas

La normativa de facturación contempla la posibilidad de hacerla en formato digital.

Aunque los primeros pasos en la normativa de factura digital consideraban una modalidad para conservar facturas digitales «en papel», ciertamente esa modalidad está obsoleta y está superada por las circunstancias.

El formato PDF-417, que algunas empresas esgrimen como argumento de sus «soluciones» de facturación electrónica, es un resto arqueológico poco coherente con los últimos desarrollos en facturación.

Afortunadamente algunas empresas proveedoras actuan con honestidad y ya no intentan «colar» su solución con códigos de barras que son una rémora de la verdadera facturación digital.

No deje que le engañen. Los códigos PDF-417 no son un requisito en la emisión de facturas. Al contrario, suponen una carga para el receptor de la factura si decide imprimirla, porque está obligado a contar con un sistema que permita volver a obtener la factura en el formato electrónico original, es decir, un lector especial de código de barras, cuyo coste no baja de 300 euros, y el software adecuado.

Para eso, es más sencillo enviar una factura en cualquier formato, firmándola electrónicamente, de forma que el receptor pueda abrirla e imprimirla si lo desea. La factura firmada es lo único que se debe conservar para la Inspección Tributaria.

Existe software gratuito de Firma Electrónica que se puede utilizar con sencillez, para firmar y para verificar la firma. Pronto pondré enlaces a ese tipo de software.

Entretanto, que no os cuenten «milongas»: el PDF-417 no hace falta para nada.

i-Button y RFID

3 respuestas

Hace poco se ha publicado alguna vulnerabilidad de ciertos dispositivos RFID.

Sin minimizar el efecto que la mayor o menor seguridad de estos dispositivos pueda suponer en las aplicaciones prácticas, o la alarma social que signifique el riesgo de suplantación de los futuros Pasaportes que incluirán esta tecnología, cabe recordar que existen muchos tipos de dispositivos RFID y con diferentes medidas de seguridad.

Los RFID sofisticados funcionan a través de un mecanismo de «challenge»-«response» y con tecnología de clave pública: El sensor (adosado a un equipo que aloja los certificados o las claves públicas de las personas autorizadas) genera una clave aleatoria (el reto) que envía al dispositivo RFID. Este «despierta», y cifra el reto con su clave privada, convirtiéndolo en la respuesta. Lo envía al sensor que es capaz de descifrar el reto con ayuda de uno (y solo uno, se supone) de los certificado alojados. Este sistema es «skimming-resistant» y suficientemente robusto para el uso cotidiano.

1-wire 1-hilo i-Button de Maxim Dallas

El anillo Java de Scott McNeallyUna interesante alternativa al RFID son los dispositivos de «1-hilo» o «1-wire». Es decir, dispositivos que funcionan por contacto pero uno solo, sin requerir alimentación ni hilo de masa. Estos dispositivos también disponen de diferentes variantes y pueden ser criptográficos o incluir una máquina virtual Java.

Echad un vistazo al i-button, que usa esta tecnología y que permite poner una máquina virtual Java en un anillo como los de Scott McNeally (lo que a él le encanta: ha llegado a bromear que espera ver a Bill Gates con otro anillo Java).

Digitalización Certificada

3 respuestas

En el borrador de la normativa que la AEAT está preparando para aclarar conceptos relativos a la Facturación Telemática, aparece un concepto nuevo que tiene cierto parecido con la Compulsa Electrónica.

Cabe la posibilidad de digitalizar facturas en papel y otros documentos de interés tributario, siempre que los dispositivos que permiten la digitalización incluyan en el proceso una firma electrónica avanzada.

Tanto los fabricantes de estos aparatos como las empresas que los usan, deben auditar respectivamente su funcionamiento y la metodología de digitalización.

Nuestra empresa está ya ofreciendo servicios de auditoría de lo que posiblemente se denominará «digitalización certificada» para empresas desarrolladoras de software de digitalización, de forma que se puedan cumplir los requisitos de la norma, una vez que se publique en el BOE.