Archivo de la categoría: Firma Electrónica

Microsoft obtiene la certificación Common Criteria para algunos de sus productos

1 respuesta

Microsoft anunció en rueda de prensa a principios de 2006 que ha obtenido la certificación Common Criteria (CC) para varios productos basados en Windows XP y Windows Server 2003. Common Criteria es un estándar en seguridad (ISO 15408), que en España otorga el Centro Criptológico Nacional (CCN), dependiente del CNI, acrónimo del Centro Nacional de Inteligencia del Ministerio de Defensa español.

Sin dejar de ser importante que productos de Microsoft hayan recibido tan alto reconocimiento, un aspecto llamativo de la rueda de prensa fue el énfasis en la divulgación de los conceptos asociados a Common Criteria. Una de las principales conclusiones del evento es la extraordinaria evolución del sector de la seguridad español, que se presenta como uno de los más avanzados del mundo.

El marco de procedimientos para la evaluación de la seguridad se basa en parámetros aceptados en 22 países de todo el mundo, comenta Luis Jiménez, subdirector del Centro Criptológico Nacional. Además la extensión de las tecnologías de la información a la práctica totalidad de las actividades esenciales ha traído consigo cambios y es necesario generar confianza en los nuevos usos que se ofrezcan, tanto ‘hardware’ como ‘software’, por eso es necesario tener un tercer actor independiente, Common Criteria, que certifique las funciones de seguridad y el nivel.

En la actualidad los laboratorios españoles tienen capacidad para certificar productos conforme al exigente estándar EAL4 (nivel máximo de seguridad para un sistema operativo comercial). En la actualidad el INTA (Instituto Nacional de Técnica Aeroespacial) ya ha alcanzado este reconocimiento y LGAI (dentro de la estructura de Applus) será el próximo laboratorio en lograrlo. Coordinando todos estos esfuerzos, el MAP (Ministerio de Administraciones Públicas) y de forma destacada el CCN están logrando que España se sitúe, junto con Estados Unidos, Canadá, Australia, Francia, Alemania, Reino Unido o Japón entre los países capaces de certificar productos.

En el momento actual, un certificado “Common Criteria” otorgado por uno de los países con capacidad de certificar es automáticamente reconocido por todos los demás participantes en el sistema. El CCN está a punto de finalizar las gestiones para que los certificados expedidos por los laboratorios españoles tengan este reconocimiento mundial, esto quiere decir tener el reconocimiento de los 22 países participantes en el esquema.

En el caso de Microsoft, la certificación se ha llevado a cabo en Estados Unidos, por la proximidad de los desarrolladores respecto a los laboratorios de certificación. Los productos certificados presentados por Microsoft son productos relacionados con la seguridad, como sistemas de base (plataformas de sistema operativo), firewalls, sistemas de correo electrónico y sistemas de certificación electrónica.

Proceso, el de la certificación, largo y caro, y que tiene poco sentido si no se enmarca en un compromiso global de los desarrolladores de la organización hacia la seguridad. Alguna de las conclusiones de los expertos inciden más en la importancia de la evolución estratégica de Microsoft que en el hecho de que algunos de los productos alcancen la certificación.

De hecho, un aspecto significativo, que destaca la prioridad de la seguridad real sobre su eventual efecto publicitario, es que el hecho de aplicar un service pack o un parche que mejore la seguridad de un producto implica que el producto parcheado ha perdido el nivel de certificación recibido, por la muy razonable conclusión de los expertos de que al aplicar un parche se pueden arreglar unas cosas y estropear otras.

Cuando se empleen configurados tal y como se señala en la documentación del sistema (cualquier otra configuración pierde los requisitos utilizados en la certificación) los sistemas son conformes con EAL4 y pueden ser considerados Dispositivos Seguros de Creación de Firma (en relación con la Ley 59/2003 de Firma Electrónica).

Entornos muy exigentes como los de Defensa, Banca y Administraciones Públicas de cualquier país comienzan a exigir certificaciones “Common Criteria“ de determinados niveles (no siempre EAL4) para los productos que adquieren, por lo que la disponibilidad de laboratorios españoles es crucial para la competitividad de nuestra industria nacional de seguridad que, siendo muy competitiva en tecnología y coste, se encontraba con grandes barreras por tener que certificar sus productos en laboratorios de otros paises.

Por último, otro aspecto que llama la atención es la extraordinaria transparencia del CCN dependiendo de un organismo tradicionalmente opaco como el CNI. Así, es público y se puede ver en el web del CNI, que se están certificando en España dispositivos como la tarjeta chip que se usará en el futuro DNI electrónico (ya existe una tarjeta de Microelectrónica certificada para su uso en sistemas de firma electrónica del Ministerio de Defensa) o software de certificación electrónica de SafeLayer, o de Secuware.

Firma electrónica en Banca

1 respuesta

Factura electrónica y DNI electrónico son conceptos unidos por algo más que por el “apellido” electrónico. Ambos son dos expresiones de la importancia que está adquiriendo la firma electrónica.

Los primeros proyectos de firma electrónica españoles se llevaron a cabo en el ámbito de las universidades y de las entidades financieras en 1995. Sin embargo, tras el tropiezo que sufrieron proyectos como GTA o Identrus, o las abortadas iniciativas PKI de Iberion, las entidades financieras han adoptado una actitud de "wait and see".

Algunas de ellas advierten el potencial que la nueva normativa (Ley 59/2003) otorga a la firma electrónica cualificada y empiezan a pensar en cómo adaptar las tarjetas de crédito EMV (tarjetas con chip que, según la normativa de Visa y Mastercard seberán sustituir a las actuales con banda magnética) para que permitan llevar a cabo todo tipo de trámites.

 Sin embargo, quizá el reto más importante y para el que pocas entidades están preparadas, es para el despliegue de servicios que se tiene que asociar al DNI electrónico. A partir del 15 de marzo de 2006, y a un ritmo de seis millones de documentos al año, los ciudadanos españoles dispondrán de un mecanismo que no sólo permitirá acreditar su identidad a distancia, sino firmar electrónicamente con el DNI y con su PIN, también en entornos presenciales.

Y las casi 40.000 oficinas bancarias españolas no están preparadas para esto.

En lo que sí empiezan a estar preparadas es en el despliegue de estructuras de gestión de facturas electrónicas, con lo que pueden ser el verdadero motor del éxito de la facturación electrónica en España.

Aunque la normativa europea que generalizará la validez de la factura electrónica es de 2001, las autoridades tributarias españolas adoptaron tempranamente medidas que aceleraran su adopción en España ya en el año 2002.

La Agencia Tributaria ha publicado un nuevo Reglamento de facturación en 2003 y ha simplificado en 2005 los requisitos de la factura rectificativa (que sustituye a la nota de abono, con grandes quebraderos de cabeza para las pymes).

Varias entidades financieras han comenzado a dar pasos en el uso propio de la factura electrónica y en el despliegue de plataformas para sus clientes que se enmarcarán en sus sistemas de banca electrónica para empresas.

Gracias a las facilidades que la nueva norma otorga a los mecanismos de facturación a través de terceros, la posible complejidad del uso de la firma electrónica queda escondida en un simplificado interfaz de usuario que se centra en lo esencial: emitir y recibir facturas, y gestionar su cobro o su pago o el anticipo de crédito a través de la entidad financiera.

Unicaja, Caja Madrid o Eurobits son interesantes exponentes de las mejores prácticas en el despliegue de plataformas de factura electrónica que, en manos de las empresas, mejorarán la eficiencia y la competitividad y conllevarán ahorros de hasta 4 euros por factura gestionada.

Proyectos con Firma Electrónica

Deja un comentario

Los proyectos que utilizan firma electrónica están lidiando con problemas de cierta complejidad en los que intervienen el manejo de diferentes protocolos (algunos de ellos criptográficos), la gestión de certificados (con sus múltiples perfiles) y claves privadas, a veces, el uso de hardware criptográfico, y casi siempre, un entorno jurídico en efervescencia.

Muchas de las paranoias de los técnicos en el desarrollo de sistemas criptográficos correctamente implementados deben complementarse y, a veces, pueden sustituirse por un adecuado mecanismo de cobertura legal y, de ser necesario, por un seguro.

La seguridad absoluta no existe y la complejidad es enemiga de la seguridad. Prefiero una implementación más sencilla en la que un usuario pueda detectar un intento de engaño que una muy compleja que se quiebre del lado del usuario.

El enfoque mejor es el de seguridad "holística" en el que podamos evaluar qué perdemos cuando ganamos algo de seguridad en alguna parte de la implementación.

Al fin y al cabo, se trata de transmitir a los usuarios sensación de "confiabilidad" (lo cual tiene más de publicitario que de técnico), siendo diligentes en la atención al cliente en cualquier percepción que este tenga de que algo "no ha ido bien".

En todo caso hay que transmitir que "el sistema es seguro" y si en algún momento, alguien más listo encuentra un punto débil, los negocios jurídicos subyacentes no se verán afectados y la responsabilidad/quebranto, será asumido por su diligente prestador, dejando al usuario exonerado de toda responsabilidad.

En este sentido, no necesito aclarar que la firma manuscrita tiene graves inconvenientes, asumidos en general por los usuarios, pero que constituye una institución confiable porque se sabe (más o menos) qué hacer en caso de discrepancias.

Con la llegada del DNI electrónico empezaremos a tratar la firma electrónica con naturalidad, y veremos qué problemas resuelve y qué otros no resuelve. Incluso qué problemas crea y cómo se resuelven de modos no técnicos.

En todo caso, los problemas los resolverán las personas: no la tecnología.

Por poner un ejemplo, supongamos un contrato firmado por dos partes. ¿Qué pasa si la firma de uno de ellas, por culpa del bolígrafo (problema técnico) sólo contiene tinta en alguno de sus trazos y en su mayor parte no aparece bien escrita? ¿Vale el contrato? ¿Cómo puede demostrar la existencia del contrato la parte que posee la firma mal escrita?

La Amenaza Fantasma

3 respuestas

Aunque todavía no he recibido comentarios al POST anterior, sigo dándole al tema porque algunas cosas son menos obvias de lo que aparentan.

En el mismo sentido de la prgunta que he dejado en el aire, mi buen amigo César Belda, notario de Onda, gran experto en esto de la firma electrónica, ha dado el nombre de "La Amenza Fantasma" a una curiosa situación.

En la película de este título, perteneciente a la saga de "La guerra de las Galaxias", los malos tienen cientos de miles  de robots, pero un certero ataque a la nave controladora los deja a todos inactivos.

Esta situación presenta paralelismos con otra que se puede dar en el mundo de la firma electrónica: Uno de los requisitos para que una firma electrónica sea equivalente a la manuscrita, es que se acompañe de un certificado cualificado o "reconocido". Este, a su vez, debe ser expedido por un Prestador de Servicios de Certificación que emite Certificados Reconocidos, lo cual implica el cumplimiento de un elevado número de requisitos. Entre los requisitos hay uno, el de la constitución de una garantía económica de 3 millones de euros. La garantía puede ser mediante una de 3 formas:

  • Mediante un seguro de responsabilidad civil, que ninguna entidad aseguradora ESPAÑOLA proporciona. Además no existe previsión en el Consorcio de Compensación de Seguros ni en la Dirección General de Seguros de designar a una entidad para que diseñe el seguro (en los seguros obligatorios, como es este caso, la Ley del Seguro define que tiene que existir una forma de contratarlo).
  • Mediante un aval. Un aval no sirve para PSC porque el damnificado puede ser un titular del certificado o un tercero que confía, mientras que el beneficiario del aval puede ser uno que se nos haya ocurrido al contratarlo (por ejemplo, el Ministerio del Ramo, que no sé con qué excusa podría ejecutarlo)
  • Mediante un seguro de caución. Este es exactamente el mismo caso que el del aval, salvo por el matiz de que la garantía la proporciona una aseguradora en vez de una entidad financiera.

Bueno, como se ve, no hay forma de cumplir en España este requisito legal. Salvo por el pequeño matiz de que alguna aseguradora extranjera sí cuenta con seguros de este tipo (por cierto, también de dudosa ejecutabilidad, dadas las condiciones de contratación).

Bueno, a lo que iba. ¿qué pasaría si, por ejemplo, el PSC no renueva la póliza de seguro, o pasa un tiempo entre el vencimiento y su renovación?

¿dejan de servir los certificados? ¿la firma electrónica ya no es equivalente a la manuscrita? ¿lo firmado deja de ser válido? Es decir, ¿le pasa a la firma electrónica lo que a los robots de la amenaza fantasma? 

La ley 59/2003 de Firma Electrónica

1 respuesta

Al intentar encontrar información sobre un aspecto que me preocupa de la aplicación de esta Ley, he dado con un artículo muy interesante escrito por la persona más directamente involucrada en su desarrollo, durante los años 2002 y 2003.

De paso, he encontrado un pequeño "kiosko virtual" en el ministerio de Industria, Comercio y Turismo, con los diferentes números de la revista Economía Industrial en formato electrónico.

El artículo de Salvador Soriano es un riguroso repaso a la Ley 59/2003, en un tono menos jurídico, pero eligiendo un lenguaje muy preciso, que no pueda dar lugar a falsas intepretaciones.

Por eso no he logrado confirmar ni desechar mi teoría sobre el tema, que expongo aquí por si hubiera algún amigo que quisiera comentar y exponer su punto de vista.

Lo que yo sostengo es que una firma electrónica es que es, ante todo, firma, y que el certificado que la acompaña es circunstancial a la firma, en el sentido de que puede reforzar presunciones hacia su reconocimiento pero no contra el.

Dicho con otras palabras: si los datos del certificado aportan algo a lo firmado, se acepta su relevancia, y si no, es como si no existieran.

Un ejemplo: supongamos que en un certificado se indica que una persona (Fulanito de Copas) es apoderada de la empresa "Aridos del Norte" y de "Bituminosos del Norte", para lo cual dispone de los poderes en papel, recién inscritos en el registro mercantil. Además acaba de obtener un "Certificado de Representante" en el que se señala la vigencia de sus poderes en Aridos. Supongamos que Fulanito trata con Menganito de Oros, apoderado, debidamente acreditado de "Carreteras del Sur", y que acuerdan la venta de Aridos y Bituminosos para la ejecución de proyectos de Carreteras. Firman un contrato en PDF con sus respectivos certificados entre Bituminosos y Carreteras, tras mostrarse su poderes. Sin embargo, Fulanito emplea para firmar el certificado en el que solo se expresa su capacidad de representación en Aridos.

¿Es válido el contrato?

Armonización europea de la factura telemática

1 respuesta

Veo con disgusto que en la próxima reunión de trabajo abierta de factura electrónica en el marco del Comité Europeo de Normalización se presentan borradores de documentos sobre el grado de avance en la adopción de la factura electrónica en Europa que, además de incompletos y sesgados, reflejan una notable ausencia: la de España. No sé si es que los miembros del grupo de trabajo, coordinado por AFNOR (el equivalente de AENOR en Francia) no preguntaron o no recibieron respuesta, pero me parece una ausencia injusta.

La reunión es en Bruselas el próximo dia 11 de abril de 2006, con motivo de los trabajos del CEN/ISSS Workshop on «Interoperability of Electronic Invoices in the European Community» .

La página web del Comité de Interoperabilidad de las Facturas Electrónicas en la Comunidad Europea está hospedado en AFNOR.

A la vista de los propios esfuerzos de normalización de la factura electrónica por la Agencia Estatal de Administración Tributaria, España está muy infrarrepresentada en estos trabajos del CEN.

Lo cierto es que desde la publicación de la Directiva 115 del año 2001, la unión europea está manifestando un gran respaldo a la facturación electrónica, dentro del esfuerzo de armonización de los mecanismos tributarios relacionados con el IVA (Impuesto sobre el Valor Añadido) y la facturación de las empresas y de los profesionales.

Parte de ese esfuerzo puede verse en estas Reglas de Facturación del IVA.

Por otro lado, es inevitable plantearse cómo de sincronizados van los esfuerzos de normalización de la factura a nivel técnico, lo que claramente es un objetivo de este grupo de trabajo, respecto a los grupos de trabajo de OASIS que están avanzando no solo en el mensaje de factura, sino en otros mensajes necesarios en la comunicación entre empresas. De hecho, estamos en la fase previa a la publicación de la versión 2.0 de UBL.  

Voto electrónico en Juntas de Accionistas

4 respuestas

Después de referirme en el Post anterior a los prestadores de servicios de certificación y a Innovoto, he pensado que conviene comentar alguna cosa más sobre este tema, ya que recibo muchas consultas y percibo mucha desorientación.

Al organizar una Junta General, hay que prever el mecanismos para votar a distancia y delegar. Hay que pensar los medios con los que contarán los accionistas, y su procedencia (especialmente las empresas que cotizan en mercados internacionales).

El voto a distancia debe ser compatible con la celebración presencial de la Junta, lo que sigue siendo obligatorio (no se puede convocar una junta virtual: hay que indicar el lugar de la celebración).

Las reglas de limitación de voto, requisitos de quorum, número mínimo de votos en determinadas propuestas, implican considerar el voto a distancia como voto presente en la Junta.

Los votos recibidos pueden estar firmado con cualquier certificado, lo que implica ser capaces de verificar la validez de cualquier certificado, especialmente de los certificados "cualiicados" o "reconocidos".

Al coordinar con Iberclear y con las entidades depositarias es conveniente determinar el sistema de codificación de la tarjeta de asistencia, para permitir su empleo de forma electrónica.

En la convocatoria deben quedar claras las precedencias (voto-delegación, a distancia-presencial) así como los plazos de cada fase de gestión de la junta (convocatoria y definición inicial de puntos en el orden del día, petición por grupos de accionistas de introducción de puntos en el orden del día, publicación del orden del día definitivo, apertura de la urna virtual, cierre de la urna virtual, publicación de estadísticas de voto electrónico, consolidación del voto presencial y a distancia).

En caso de que se tenga constancia de que existen cadenas de representación fiduciaria (por ejemplo cuando las acciones se pueden contratar en diferentes paises, y los registros de Iberclear no reflejan al accionista final sino a alguno de los intermediarios), es conveniente disponer de sistemas que permitan asignar rangos de números de acciones del representante fiduciario, a favor de los representados fideicomitentes, de forma que estos puedan ejercer sus derechos de voto y delegación. El sistema también debe ser capaz de gestionar sistemas de gestión de representación para los accionistas que prefieran que sean especialistas los que en su nombre voten los puntos según sus intereses. 

Aunque el tema tiene cierta complejidad, a dia de hoy, la forma de organizar una junta que tenga en cuenta la participación a distancia de los accionistas está bastante clara. Por eso no se entienden esas convocatorias de juntas (copiadas unas de otras) que no saben ni identificar correctamente los tipos de certificados electrónicos que se pueden utilizar.

 Hay que reconocer que la conflictidad societaria (de los accionistas minoritarios) es muy baja en España, porque hay motivos de sobra para poder impugnar  algunas Juntas, según se aprecia de la redacción de las convocatoras.

 

 

 

 

Prestadores de Servicios de Certificación

7 respuestas

Ahora que el DNI electrónico está volviendo a poner de moda la firma electrónica y la certificación digital, merece la pena hacer un pequeño censo de prestadores de servicios de certificación. Así, pasados unos años, podremos valorar si la aparición del DNI electrónico fue positiva o negativa para el sector.

Respecto a Europa, la fuente principal de información es el repositorio de prestadores de servicios de certificación, regulado por el artículo 11 de la Directiva 1999/93/CE de Firma Electrónica. Los paises que figuran a dia de hoy (los que han enviado información a la Comisión sobre el despliegue de la Directiva) son los siguientes:

  • Suercia
  • Finlandia
  • Bélgica
  • Reino Unido
  • Alemania
  • Austria
  • Dinamarca
  • Francia
  • Holanda
  • Italia
  • República Checa

De los paises mencionados, Italia es el que destaca por el número de PSC acreditados.

En España, la fuente principal es el Censo de Prestadores de la Secretaria de Estado de Telecomunicaciones y para la Sociedad de la Información del Ministerio de Industria, Comercio y Turismo. Este organismo mantiene la responsabilidad de supervisión del sector de la Certificación definida en la Ley 59/2003 de Firma Electrónica. En estos momentos, los PSC (Prestadores de Servicios de Certificación) que han presentado la documentación (y su revisión está finalizada o en curso) son los siguientes:

  • ANF-AC
  • CERES
  • CAMERFIRMA
  • FIRMAPROFESIONAL
  • ACCV
  • AC ABOGACÍA
  • CICCP
  • ANCERT- Agencia Notarial de Certificación
  • BANESTO
  • IZENPE
  • CATCERT
  • IPSCA
  • TELEFONICA DATA ESPAÑA S.A.
  • SERVICIO DE CERTIFICACIÓN DE LOS REGISTRADORES (SCR)

De estos prestadores, muy pocos están presentes en los principales navegadores.

Hay un completo análisis de prestadores de servicios de certificación que se incluyen en los navegadores en el sitio web de Innovoto.

Desde el punto de vista de Innovoto, es decir, del voto electrónico a distancia en Juntas Generales de Accionistas y otros órganos participativos, lo que importa es utilizar certificados reconocidos o cualificados, cuando el accionista sea español o esté en España, de forma que se dé cumplimiento a la Ley 59/2003, pero permitir de forma expresa que puedan utilizar certificados de otros prestadores que, aun no cumpliendo de forma expresa la Directiva 93/1999, permitan suponer una diligente actuación en la prestación de los servicios.

Además de todos estos listados de PSC, merece la pena referirse a dos más.

Como podeis ver, desde el punto de vista del titular, no es nada sencillo detectar qué PSC emiten los certificados más adecuados para una aplicación dada, pero podemos conjeturar que «cualquiera».

Desde el punto de vista del tercero que confía en el certificado, la entidad que desarrolla aplicaciones en las que se pueda usar la firma electrónica el dilema es más sencillo de resolver: hay que aceptar «todos». 

Actualización (18.10.2009)

He actualizado los enlaces porque los originales se han vuelto obsoletos:

Lectores de tarjeta chip para el DNI electrónico

1 respuesta

Cuando uno ya tiene su flamante DNI electrónico, llega el momento de utilizarlo.

¿Qué hay que hacer ahora? Las 3 reglas.

Regla número 1: memorizar el PIN y guardar el papelito en casa en la caja fuerte (o en el calcetín).

Regla número 2: preparar un ordenador con la infraestructura adecuada. Para ello necesitamos un lector de tarjeta chip.

Además de enchufar el dispositivo, necesitamos instalar su software, y también el software del DNI.

Regla número 3: Obtener un software de firma electrónica. Camerfirma ofrece uno gratuito. Una versión menos reciente de su software está disponible aquí. (en esta versión por un bug en la instalacion es necesario ejecutar:
inicio –> ejecutar –> regsvr32 «C:\Archivos de programa\camerfirma\desktopfirma\capicom.dll»)

La «Regla número 3» es un amplio mundo de posibillidades de firma electrónica. Se puede firmar con Adobe Acrobat, con las versiones más modernas de Office, y con muchas aplicaciones web de las administraciones públicas.

Lo que sí es cierto es que conviene perder el miedo a firmar electrónicamente.

Avalancha de noticias sobre el DNI electrónico

Deja un comentario

Estos días se suceden las noticias sobre DNI electrónico.

No es para menos, porque se han desatado montones de espectativas que reactivarán el sector de la seguridad.

Yo estoy encantado, porque en cierto modo me siento un pionero de lo que ahora está pasando.

Incluyo algunas de las referencias más interesantes:

Debate en Kriptópolis
Foro sobre el DNI en kriptópolis
Especial sobre DNI electrónico en en el Blog Xataka
Artículos en Tecnicalia
Blog de Javier Prenafeta
Blog de Felipe Alfaro
Animación en «El Pais»
Blog con Video sobre el DNI