Archivo de la categoría: Formato PDF

Firma electrónica en arquitectura SOA

2 respuestas

El próximo 5 de Mayo de 2011 se celebra en Madrid, en el Hotel Nuevo Madrid y organizado por Atenea Interactiva un nuevo seminario sobre Firma electrónica en arquitectura SOA, destinado a las entidades públicas y privadas. Las primeras obligadas por la ley 11/2007, y las segundas, por la ley 56/2007, y todas aprovechando las oportunidad que brinda la ley 59/2003. Por tan solo 350 euros +IVA.

Para garantizar la confidencialidad y la integridad de las transacciones, así como la identificación inequívoca de su autor  es necesario recurrir a soluciones basadas en Técnicas Criptográficas, Certificación Digital y Firma Electrónica. En soluciones que redunden en la confianza de las transacciones para todos los participantes. En el marco de  Ley de Firma Electrónica publicada en 2003 se han establecido hasta la fecha las bases para conseguir extender el uso y desarrollo de estas tecnologías en la Sociedad de la Información.

Ocho años después, la evolución de las  TICs  hacia entornos basados en el Cloud Computing y la movilidad, están cambiando los paradigmas preestablecidos respecto a la  Firma Electrónica y a  la Identidad Digital, creando a su vez un abanico de servicios relacionados hasta ahora prácticamente desconocidos.

Conceptos como la  Firma Remota, la Gestión centralizada de claves, la Firma electrónica en Movilidad, la Firma Digitalizada, la Custodia de documentos  a largo plazo y los nuevos escenarios creados por el desarrollo de la  Administración Electrónica y sus normas de aplicación, especialmente en lo relativo a la adecuación de los  Esquemas Nacionales de Interoperabilidad y Seguridad, están haciendo evolucionar los recursos de  PKI de un contexto  basado en aplicaciones distribuidas hacia un elemento crítico de infraestructura y el consumo de servicios de  Firma Electrónica.

Este es el programa:

1.- Service-oriented architecture

  • Iniciación a SOA
  • Descripción de entornos típicos de SOA

2. Cumplimiento de obligaciones con SOA

  • Sector Privado: cumplimiento de las obligaciones de Interlocución Telemática de la Ley 56/2007 con SOA
  • Sector Público: cumplimiento de las obligaciones de Administración Electrónica de la Ley 11/2007 con SOA

3. Conceptos de Firma Electrónica y PKI

  • Propiedad de la Firma Electrónica
  • Conceptos Criptográficos
  • Los Certificados Electrónicos. Tipos
  • El proceso de Firma Electrónica
  • Legislación

4. La Firma Electrónica como elemento de Arquitectura

  • La Firma Electrónica como servicio
  • Servidores de Firma y Validación
  • Repositorios de claves centralizadas
  • Despliegue de PKIs internas
  • Dispositivos criptográficos. HSM

5. Servicios avanzados de PKI

  • Firmas remotas y “upgrade” de firmas
  • Servicios de Validación de firmas y certificados centralizados. CRL, CSP, SCVP
  • Servicios de Sellado de Tiempo
  • Firma en entornos móviles. Posibles enfoques
  • Firma manuscrita digitalizada y servicios PKI avanzados.

6. Formatos y estándares de firma

  • Tipos de Firma “legales”
  • Formatos básicos
  • Formatos AdES. XAdES, CAdES y PAdES (TS 101 733, TS 101 903, TS 102 778)
  • Estándar Oasis DSS (Digital Signature Services). Descripción y perfiles
  • Firmas longevas, la importancia de la firma en la conservación de documentos
  • La importancia de las políticas de firma

7. Firma e Identidad Electrónica en las Administraciones
Públicas

  • La Firma Electrónica en la Ley 11/2007, el ENI y el ENS. Norma CCN-STIC-807
  • Procesos de firma automatizados. Sello de órgano y CSV
  • Servicios de Firma y Validación disponibles para Administraciones Públicas
  • Identidad Digital y Administración Pública
  • Políticas de firma en las AAPP. Descripción y Diseño
  • Interoperabilidad. TSL (Ttrust Services Status List) TS 102 231. Proyecto Stork

BackTrust in CeBIT

1 respuesta

We at Albalia are trying to discover our international market. We are going to be at CeBIT with several appointments with potential partners. We already have been at CeBIT last year, with our own booth, in the framework of the spanish pavillion.

We now focus on our BackTrust product. A complete suite that allow to dematerialize all kind of documents, and manage electronic evidences. The core sistema manages electronic signatures and digital custody, and is suitable to deploy eGovernment solutions, and also ebanking, eHealth, eCommerce and eDocuments.

Our solutions helps manage electronic signatures (in the sense of Directive 1999/93/CE), and also digitalized signatures, biometric proofs and electronic evidences (such as certified digitization), thus allowing to eliminate paper while preserving evidential proof of the electronic registers.

Our BackTrust suite is available on zEnterprise with the name zBackTrust, and it is the only electronic signature solution in the world for IBM mainframes (both for Linux for System z, and z/OS). The solution is certified by IBM and is already deployed in customers as NovaCaixaGalicia (see page 12).

Others of our solutions are also mentioned internationally:

  • The Albalia team is very active in Social NetWorks (in Spanish):

    • PAdES: PDF Advanced Electronic Signature (ETSI 102 778)

    Deja un comentario

    El estándar PAdES (ETSI TS 102 778) perfila el soporte para firmas digitales del formato PDF 1.7 (ISO 32000-1) con la finalidad de poder incluir firmas electrónicas avanzadas en los documentos PDF. Además, amplía dicho soporte ya que define estructuras de datos adicionales que sirven para mantener la validez de las firmas durante períodos largos de tiempo. Está previsto que las extensiones de ISO 32000-1 que define PAdES sean recogidas por ISO 32000-2.

    Concretamente, PAdES (ETSI TS 102 778) define los siguientes perfiles:

    • PAdES-CMS: Define una firma CMS/PKCS#7 basada en ISO 32000-1, que tiene como restricciones específicas la necesidad de que la clave /ByteRange del diccionario de firma abarque la totalidad del documento y que la clave /SubFilter sólo pueda contener los valores adbe.pkcs7.detached y adbe.pkcs7.sha1. Además, este perfil recomienda la inclusión de un sello de tiempo como un atributo no firmado del CMS/PKCS#7. Este es el perfil soportado por la mayor parte de la soluciones de software que generan firmas en PDF.
    • PAdES-BES y PAdES-EPES: Define una firma CAdES-BES (ETSI TS 101 733) y otra CAdES-EPES (ETSI TS 101 733) que tienen como restricciones específicas la necesidad de que la clave /ByteRange del diccionario de firma abarque la totalidad del documento, la obligatoriedad de que la clave /SubFilter tenga el valor ETSI.CAdES.detached y la prohibición de utilizar la clave /Cert. Ambos tipos de firma admiten la posibilidad de incluir un sello de tiempo que las convierta, de hecho, en firmas CAdES-T (ETSI TS 101 733). Así pues, las características de las firmas PAdES-BES y PAdES-EPES son las mismas que las de las firmas CAdES-BES, CAdES-EPES y CAdES-T.
    • PAdES-LTV: Este perfil constituye una extensión de ISO 32000-1, ya que define dos estructuras que permiten prorrogar la validez de las firmas por tiempo indefinido. Por un lado, el diccionario DSS (Document Security Store), cuya finalidad es contener todos los datos de validación (certificados de CA, CRLs y respuestas OCSP) que sean necesarios para validar las firmas del documento. Por otro lado, el diccionario Document Time-Stamp, que es un diccionario de firma ISO 32000-1 cuya clave /SubFilter tiene el valor ETSI.RFC.3161 y que contiene un sello de tiempo de todo el documento PDF, incluyendo el diccionario DSS en el que se guardan los datos de validación de las firmas. Este sello de tiempo mantendrá, durante su vigencia, el valor probatorio de los datos de validación de las firmas. Es decir, mantendrá su fortaleza más allá de la fecha de caducidad que tengan. Por otro lado, antes de que el primer sello de tiempo caduque, podrán utilizarse de nuevo las estructuras DSS y Document Time-stamp con la finalidad de mantener el valor probatorio de dicho sello y, de este modo, mantener la validez de la firma. En este caso el diccionario DSS contendrá los datos de validación del primer sello de tiempo. Y el diccionario Document Time-stamp, un segundo sello de tiempo que abarcará, de nuevo, la totalidad del documento. De este modo, repitiendo la adición de un diccionario DSS que contenga los datos de validación del ultimo sello de tiempo y la de un diccionario Document Time-stamp que contenga un nuevo sello de tiempo, se puede mantener la validez de las firmas de un documento PDF durante un tiempo arbitrario. Mediante la utilización del perfil PAdES-LTV sobre documentos PDF que contengan firmas generadas de acuerdo a los perfiles PAdES-BES y PAdES-EPES se consiguen firmas con las mismas características de longevidad que las firmas CAdES-XL y CAdES-A (ETSI TS 101 733).
    • PAdES-XML: Engloba un conjunto de perfiles que describen como utilizar las firmas XAdES (ETSI TS 101 903) en los documentos PDF. Concretamente, se distingue entre que los documentos firmados según XAdES sean documentos XML cualesquiera y que los documentos firmados según XAdES correspondan a formularios XFA.

    Referencias:

    Colisiones en las firmas en PDF

    1 respuesta

    Florian Zumbiehl reporta un problema en las firmas PDF que permitiría forzar colisiones de funciones resumen (hash) de documentos de forma que la firma electrónica de uno de ellos podria ser utilizada para aparentar que el firmado es el otro.

    Según su descripción es una vulnerabilidad que radica en la propia especificación del formato PDF por lo que no depende de la implementación, y por tanto no cabe atribuirlo a un producto en particular.

    En mi opinión, el tipo de ataque documentado no supone un problema real para los documentos PDF ya firmados, más allá de los aspectos probabilísticos  de las colisiones, consustanciales a las funciones resumen.

    Es decir, siempre que obtengamos colisiones de documentos «a priori» estas colisiones podrán ser utilizadas para «suplantar» los documentos que colisionan, utilizando la firma de uno para dar la apariencia de firma al otro.

    En este caso particular la concatenación de documentos, siendo uno de ellos firmado, podría dar lugar a que se considerara válida una firma sin serlo, ya que solo aplicaría a uno de los documentos y no al otro.

    La solución general es utilizar funciones resumen diferentes en sistemas de firma dual o múltiple, tal y como hacemos en el proyecto Binum, que ya mencioné en este blog o tal como es posible llevar a cabo con certificados emitidos en la jerarquía de certificación dual de EADTrust.

    Y, por supuesto, también merece la pena adoptar la solución propuesta por Florian, que consiste en afinar un poco más la especificación de la firma en PDF para que se reforzaran los controles que identifican lo que va firmado dentro del PDF.

    IBM 4765 Cryptographic Coprocesor

    2 respuestas

    Estamos muy orgullosos con zBackTrust, nuestra solución de firma electrónica para Host IBM (Mainframe). Además de ser la única a nivel mundial para esta plataforma definida por los modelos z9 y z10, incorpora los aspectos más avanzados a nivel de estándares, como DSS  o PAdES.

    Efectivamente, nuestras implementaciones de las normas suelen ser de las primeras que ven la luz tras la publicación de las especificaciones, por lo que siempre estamos dispuestos a hacer pruebas de compatibilidad con otros colegas.

    Hemos sido los primeros en implementar firmas electrónicas en facturas electrónicas  codificadas en UBL y CII (Cross Industry Invoice) , además de facturae y nuestras soluciones en entornos Microsoft posiblemente sean de las más descargadas en Codeplex, dentro de nuestra especialidad.

    El motivo de nuestra satisfacción en estos momentos es el soporte por parte de nuestras soluciones de Mainframe del nuevo HSM de IBM en formato PCIe, el modelo 4765, coprocesador criptográfico de nueva generación anunciado por el fabricante a finales de 2009.

    Este equipo, cuya principal denominación será Crypto Express3 presenta unas avanzadas características desde el punto de vista de la seguridad, de la velocidad y de la potencia en términos de los algoritmos implementados, tanto de clave privada como de clave pública, además de disponer de procesadores redundados. Cuenta con la certificación FIPS-140-2 level 4

    En los System z, se pueden configurar hasta 8 equipos, que mantienen separadas las áreas de funcionamiento de cada partición y facilitan la virtualización. Los equipos se pueden utilizar bajo z/OS, entorno en el que se le pueden exprimir todas sus posibilidades, y en distribuciones Linux  tanto de SuSE como de RedHat, en cuyo caso son compatibles con los equipos Cryptoexpress 2 (IBM 4764). Por cierto, el rendimiento de las nuevas tarjetas multiplica por 7 el de las de generación anterior. 

    Gracias a la robustez de los equipos System z y de estos coprocesadores, nuestras implementaciones de firma electrónica son las más seguras del mundo, ya que los sistemas de IBM cuentan con la certificación Common Criteria EAL5 (una de las más elevadas que existen) para sus sistemas de particiones y los coprocesadores con la FIPS 140-2 ya mencionada.

    Artículos relacionados:

    Firmas avanzadas en PDF (PAdES) TS 102 778

    3 respuestas

    Desde el año pasado está disponible esta nueva especificación de firma electrónica en PDF compatible con las modalidades definidas en el marco de la legislación europea de firma electrónica.

    • ETSI TS 102 778-1 V1.1.1 (2009-07)
      Reference:DTS/ESI-000072-1 Source:ESI 706598 bytes (20 Pages). Title: Electronic Signatures and Infrastructures (ESI);PDF Advanced Electronic Signature Profiles;Part 1: PAdES Overview – a framework document for PAdES
    • ETSI TS 102 778-2 V1.2.1 (2009-07)
      Reference:DTS/ESI-000072-2 Source:ESI 72540 bytes (12 Pages). Title: Electronic Signatures and Infrastructures (ESI);PDF Advanced Electronic Signature Profiles;Part 2: PAdES Basic – Profile based on ISO 32000-1
    • ETSI TS 102 778-3 V1.1.2 (2009-12)
      Reference:RTS/ESI-000082-3 Source:ESI 85718 bytes (13 Pages). Title: Electronic Signatures and Infrastructures (ESI);PDF Advanced Electronic Signature Profiles;Part 3: PAdES Enhanced – PAdES-BES and PAdES-EPES Profiles
    • ETSI TS 102 778-4 V1.1.2 (2009-12)
      Reference:RTS/ESI-000082-4 Source:ESI 170171 bytes (20 Pages). Title: Electronic Signatures and Infrastructures (ESI);PDF Advanced Electronic Signature Profiles;Part 4: PAdES Long Term – PAdES LTV Profile
    • ETSI TS 102 778-5 V1.1.2 (2009-12)
      Reference:RTS/ESI-000082-5 Source:ESI 209958 bytes (27 Pages). Title: Electronic Signatures and Infrastructures (ESI);PDF Advanced Electronic Signature Profiles;Part 5: PAdES for XML Content – Profiles for XAdES signatures

    En Albalia Interactiva ya estamos trabajando para implementar las extensiones de firma PDF basadas en XAdES, en nuestro producto BackTrust. Nuestra plataforma ya soporta el resto de modalidades de firma electrónica en PDF, ya que son compatibles con las versiones anteriores de Acrobat. En breve, os presentaremos las primeras soluciones con soporte de PAdES-XL.

    Productos y servicios basados en DSS

    7 respuestas

    En el artículo «Firma electrónica con OASIS DSS» ya di algunas indicaciones de la importancia de este protocolo para desplegar servicios de firma electrónica en las grandes organizaciones. Recientemente se ha anunciado que está previsto incluir esta funcionalidad en futuras versiones de @firma, la herramienta más utilizada en las administraciones públicas para gestionar firmas electrónicas.

    En el momento actual, solo dos productos dan soporte a este protocolo:

    Sin embargo, sí que está disponible como servicio (en lo que en Albalia llamamos Trustworthiness of services in the cloud) a través de algunos prestadores de servicios de certificación:

    En cuanto a entidades, Caixa Galicia lo ha implantado en su arquitectura sobre zSeries (Mainframe IBM), gracias a zBackTrust, la variante de BackTrust orientada a zLinux y z/OS, con Websphere.

    Características de zBackTrust

    6 respuestas

    La firma electrónica es parte de los requisitos que tienen que cumplir entidades financieras y aseguradoras (junto con otras entidades «de especial relevancia económica») para implementar su sistema de interlocución telemática según se dicta en el artículo 2 de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información. También forma parte de la Sede Electrónica, el Registro Telemático y los sistemas de publicación y notificación fehaciente que todos los organismo de la administración pública deben implementar como consecuencia de la aplicación de las Leyes  30/2007, de 30 de octubre, de Contratos del Sector Público y 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

    En las instituciones que cuentan con equipos System z, la solución de firma electrónica de elección es zBackTrust, conjunto de módulos de firma electrónica diseñado por Albalia Interactiva para los equipos de IBM y comercializado conjuntamente con INSA.

    El módulo principal es un servicio Web basado en el estándar OASIS DSS (Digital Signature Service) que se instala de forma centralizada y que ofrece funcionalidades de Firma Electrónica Remota, Verificación y Ampliación de Firmas XAdES-XL a toda la organización. Dispone de funcionalidades de firma electrónica de PDFs y está disponible también en forma de API.

    Estas son algunas de las características de zBackTrust:

    • Celeridad en los procesos de generación y comprobación de Firmas electrónicas a través de API y DSS (Digital Signature Service).
    • Generación de firmas completas XAdES – XL
    • Validación de certificados y firmas electrónicas (permite comprobar los certificados de cualquier prestador de servicios de certificación)
    • Generación de evidencias electrónicas para la custodia digital de documentos electrónicos firmados
    • Compatible con el procesador criptográfico (HSM) IBM 4764
    • Compatible con diferentes Middleware: WebSphere, Weblogic y Tomcat.
    • Entornos z/OS y z/Linux
    • Cumplimiento de estándares de ETSI y OASIS.

    Ventajas de la Solución

    • Indenpendiza los servicios de seguridad y confianza de los procesos de negocio, al disponer de una infraestructura común de firma electrónica para todas las aplicaciones en las que se requiere integrar dichas funcionalidades.
    • Garantiza el crecimiento del sistema con nuevas funcionalidades, sin que afecte al desarrollo del resto de aplicaciones.
    • Minimiza los costes de desarrollo y mantenimiento, evitando la programación de código común en múltiples aplicaciones y plataformas.
    • Garantiza la capacidad de aceptar certificados de cualquier prestador de servicios de certificación europeo.
    • Permite cumplir con la normativa reciente:
      • Factura electrónica (Orden PRE/2971/2007)
      • Contratación Pública (Ley 30/2007)
      • Administración Electrónica (Ley 11/2007)
      • Interlocución Telemática (Ley 56/2007)
      • Directiva 1999/93/CE

    Otros artículos relacionados:

    zBackTrust, firma electrónica para System Z

    10 respuestas

    Acaba de incluirse en la oferta de INSA la solución desarrollada por Albalia Interactiva zBackTrust, que permite desarrollar el soporte a la firma electrónica desde las plataformas corporativas más avanzadas basadas en equipos System z de IBM.

    En su continuo empuje por los sistemas Mainframe, IBM tiene planeado el lanzamiento de unas 30 mejoras de software para la plataforma System z, las cuales se irán introduciendo a lo largo del 2009.

    12 de ellas ya se han puesto en el mercado y están relacionadas con las herramientas de desarrollo Rational Software, la administración de los datos de InfoSphere y Cognos, las ofertas de gestión de transacciones de WebSphere y los servicios TI de Tivoli.

    El Gigante Azul ha hablado durante años del resurgimiento de los sistemas Mainframe para dar respuesta a las nuevas cargas de trabajo. El aumento de los MIPS (Millones de Instrucciones por Segundo) y el creciente interés de los ISV (Vendedores de Software Independientes) por estos sistemas así lo confirma.

    No en vano y según la compañía, durante el año pasado más de 150 ISVs se han pasado a la plataforma System z y se han añadido más de 1.000 aplicaciones que pueden ser ejecutadas en los mainframes.

    Los analistas indican que buena parte de este resurgir de la plataforma se puede atribuir a los nuevos motores de procesado que IBM ha construido para hacer más fácil la ejecución de tareas Linux y Java en los System z.

    Otros vendedores también están ayudando a este crecimiento. Es el caso de los desarrolladores de software CA o BMC Software, que siguen mejorando sus soluciones para la gestión de los mainframes. Por su parte Unisys lanzó a finales de mayo nuevos equipos basados en la plataforma de IBM.

    Los sistemas z son excelentes entornos de ejecución Java, tanto operando sobre sistema operativo z/OS como zLinux, por lo que permiten la adopción de las tecnologías más avanzadas en un marco de ejecución de alto rendimiento corporativo.

    Referencias:

    Herramientas de firma electrónica

    Deja un comentario

    Una de las herrramientas gratuitas de firma electrónica disponibles desde hace más tiempo es nuestro programa Profirma, que se instala como sistema de firma contextual en el botón derecho del ratón, y genera firmas PKCS#7 . Esa herramienta gratuita ha sido bastante utilizada aunque no se ha actualizado conforme han evolucionado las versiones de Windows.

    En la actualidad nuestra suite de firma electrónica  BackTrust cuenta con un componente más potente que permite generar firmas en PDF y en XAdES. Se trata de BackTrust Portafirmas y puede utilizarse gratuitamente con fines educativos y no comerciales. Para evitar los mensajes publicitarios hay que adquirir una licencia.

    Por otro lado van apareciendo otras herramientas gratuitas como Sinadura, que se utiliza para firmar PDFs. Venan ha hecho un resumen interesante de una jornada de presentación de Sinadura.

    Y por supuesto, FactOffice cuenta con la posibilidad de generar firmas electrónicas XAdES-XL de forma gratuita, aunque solo en el entorno de facturación electrónica con formato facturae.