Archivo de la categoría: Herramientas

Aprender con un experto

Deja un comentario

Crane Softwrights LtdComo ya comenté, Ken Holman viaja en marzo de 2009 a Europa en donde impartirá varios seminarios.

Me comenta que quizá cambie la organización de los cursos en función del perfil de asistentes, de modo que cabe la posibilidad de organizarlos de esta forma:

Los que tengáis posibilidad de viajar a Bruselas o a Praga para asistir a sus cursos, hacedlo porque merece la pena, tanto por el ponente, como por la documentación y las herramientas que pone a disposición de los alumnos.

Ken está acostumbrado a impartir sus cursos en audiencias multinacionales y aunque los imparte en inglés, son relativamente fáciles de seguir incluso para personas cuyo nivel de inglés no es excesivamente alto.

En este video se puede ver un ejemplo de sus cursos.

XAdES/CAdES ETSI Plugtest

12 respuestas

Plug Test LogoAlbalia Interactiva participa una vez más en el juego de pruebas de interoperabilidad XAdES de ETSI (European Telecommunications Standards Institute). Solo dos entidades españolas participan en esta edición de febrero de 2009 frente a las 10 que se inscribieron hace un año.

Existe un informe en el que se recogen los principales resultados del evento de septiembre de 2008. Como se puede comprobar, el nivel de las entidades participantes es muy alto, y entre ellas, Albalia Interactiva obtiene un elevado grado de interoperabilidad e interpretación del estándar. Ver nota de prensa de ETSI.

Las nuevas pruebas se desarrollarán del 16 al 27 de febrero de  2009 y el último dia para inscribirse es el 6 de febrero de 2009.

En esta ocasión, nosotros testaremos nuestras soluciones Backtrust desarrolladas para .net, ya que en la anterior edición probamos bastante exhaustivamente las desarrolladas para entornos java.

Dado el pequeño número de inscritos (la mitad de otras ediciones) las diferentes pruebas deberían desarrollarse con bastante celeridad. Sin embargo, veo que el entorno de pruebas se ha rediseñado por completo y que bastantes de los inscritos figuran por primera vez, por lo que quizá los primeros días serán de «ajuste» entre los participantes.

Proyecto Binum. Firma electrónica combinada RSA y curvas elípticas

2 respuestas

En Albalia hemos creado un laboratorio de productos y servicios relacionado con la Sociedad de las Información que desarrolla mecanismos probatorios en torno a los documentos electrónicos, sistemas de notificación y publicación fehaciente y otras iniciativas avanzadas.

Cuando identificamos ciertos riesgos en el uso de algoritmos concretos de hash y de criptografía asimétrica nos planteamos la conveniencia de utilizar sistemas duales que garantizaran que si se producen colisiones respecto de un algoritmo se mantenga otro en el que la colisión respecto al mismo documento sea virtualmente imposible.

Uno de los resultados de esta iniciativa es el Proyecto Binum.

Binum es un proyecto de I+D+i realizado en cooperación por Idoneum Electronic Identity y Albalia Interactiva y con la colaboración de la Universitat de les Illes Balears que tiene por objeto la creación de un criptosistema PKI de firma electrónica que combina los algoritmos criptográficos RSA y de curvas elípticas.

Las tareas realizadas en el año 2008 para este proyecto han sido cofinanciadas por el Ministerio de Industria, Turismo y Comercio, dentro del Plan Nacional de Investigación Científica, Desarrollo e Innovación Tecnológica 2008-2011 (con referencia TSI-020100-2008-681).

El objeto del proyecto Binum es crear la tecnología suficiente para poder realizar implementaciones de sistemas PKI lo más seguras posibles llevando el estado del arte un poco más allá mediante al uso combinado de los algoritmos RSA y de curvas elípticas.

Para ello son necesarios principalmente los elementos que se detallan a continuación:

  • Estudio y propuesta de modificación de especificaciones, estándares y protocolos para la inclusión de esta novedad, que permita una evolución de los sistemas usados en la actualidad a esta nueva tecnología.
  • Realización de una aplicación que demuestre dichos conceptos.
  • El desarrollo de un dispositivo seguro de creación de firma, compatible con la definición que de éste hace la ley 59/2003, de 19 de diciembre, de firma electrónica, y el desarrollo técnico de estas características en la especificación CEN CWA 14169.
  • El desarrollo del middleware necesario para poder interactuar con el dispositivo seguro de creación de firma desde aplicaciones ejecutadas en ordenadores personales y demás sistemas.

Como comprobar firmas XAdES-XL

1 respuesta

Muchos me hacéis esta pregunta, y lo cierto es que hay una respuesta sencilla.

Dado que en la especificación de facturae, se define la posibilidad de firmar electrónicamente las facturas con ese tipo de firma, XAdES-XL (definida en la norma TS 101 903), y que nuestra implementación ha optado por este nivel de seguridad (que consideramos el máximo), hemos desarrollado una función de comprobación gratuita en nuestro servicio Faccil.

Está en este enlace: Comprobar facturae.

Aunque el servicio hace otras comprobaciones respecto al contenido de la factura, que no serán de aplicación en otros documentos XML, es muy útil, para saber si la firma está bien.

Globant adquiere Openware por 1,5 millones de dólares

Deja un comentario

Las empresas brindan servicios de IT desde la Argentina hacia el mundo. La base es en ambos casos el código fuente abierto (open source).

Globant, empresa para el desarrollo y mantenimiento de productos de software, anunció el pasado 17 de diciembre de 2008  la adquisición de la compañía especializada en seguridad de infraestructura de redes, Openware. El valor de la operación fue de US$ 1,5 millones. Openware, empresa fundada en 1994 en Rosario, Argentina, se especializó en servicios para la gestión de infraestructura IT.

“Estamos muy entusiasmados por esta incorporación: es el segundo paso que damos en vías de consolidarnos como multinacional argentina y nos fortalece para continuar realizando adquisiciones en Argentina y América Latina”, comentó Guibert Englebienne, CTO y co-fundador de Globant. La empresa había iniciado el proceso de en julio de 2008 al integrar a la  compañía de software Accendra.

Globant nació en 2003 con capital semilla de US$ 5000. Hoy cuenta con una amplia cartera de clientes en la Argentina y en más de 35 países y una plantilla de 1.000 que trabajan en alguna de las oficinas en Buenos Aires, La Plata, Tandil, Rosario, Santiago de Chile, Bogota, México DF, Boston, Palo Alto, Austin y Londres. El año pasado facturó US$ 24 millones y para este año contemplan alcanzar la marca de US$ 40 millones. Recientemente la empresa cerró su tercera ronda de inversión con Riverwood Capital y FTVentures. “Con Openware compartimos una cultura de innovación y desafíos. Ambos somos emprendedores Endeavour, y desde nuestros inicios apostamos al país y a la calidad de nuestros profesionales. Estoy seguro de que la pasión y la visión global de Globant, combinados con la experiencia y los talentos de ambas empresas, permitirán enriquecer nuestros servicios y relaciones con clientes”, agregó Englebienne.

Por su parte, Federico Seineldin, CEO y fundador de Openware, comentó: “Esta integración es un gran hito para la industria IT. Globant es una empresa de admirable potencial, y  Openware podrá sumar su portafolio de soluciones, capacidades y experiencias luego de 14 años de reconocida operación,  Este proceso traerá un cambio positivo en la industria de servicios IT de toda la Argentina”.

Albalia Interactiva distribuye en Europa algunos servicios de Openware, como la herramienta de comprobación de vulnerabilidades Attaka, gestionada en modalidad SaaS y basada en la herramienta libre Nessus.

Visto en Info Technology.

Servicios DSS en EADTrust

8 respuestas

EADTrustEADTrust es la denominación del conjunto de servicios on-line que impulsa Albalia, relacionados con la firma electrónica, la factura electrónica y la administración electrónica. Entre los servicios disponibles están los relacionados con el sellado de tiempo (timestamping) tan necesarios en los servicios de autenticidad de la sociedad de la información.

Desde hace unos dias hemos liberado la funcionalidad DSS (Digital Signature Service) que permite firmar electrónicamente y verificar firmas electrónicas de forma remota. Esta funcionalidad va a quedar a disposición de los integradores que van a poder desarrollar servicios cliente DSS sin coste alguno.

El entorno que ahora se publica cuenta con algunas restricciones que no se aplicarán a los servicios comerciales: solo gestionará firmas XAdES X-L , no se permitirán frecuencias de consulta o peticiones de servicio superiores a 10 por minuto, la TSA utilizada es la propia de EADTrust, los servicios de validación no son configurables.

La especificación DSS (Digital Signature Services) alcanzó el nivel de Standard de OASIS en junio de 2007, en su versión 1.0. Esta especificación simplifica la gestión de las firmas electrónicas en las organizaciones, permitiendo la definición de modelos de gestión centrados en servidores que se alinean con las arquitecturas de sistemas más avanzadas. Las claves privadas se pueden gestionar de forma segura en entornos centralizados y puede evitarse la dispersión de material criptográfico en los ordenadores individuales de los usuarios, robusteciendo la política de seguridad mientras se saca partido a las múltiples funcionalidades de la firma electrónica.

DSS describe dos protocolos de tipo petición/respuesta basados en XML, uno para generar firmas electrónicas  y otro para verificarlas. Al usar estos protocolos, un cliente puede enviar documentos al servidor y obtener el documento firmado electrónicamente, o enviar un documento firmado al servidor y obtener los datos de la comprobación de la firma electrónica.

DSS da cobertura a diferentes tipos de firmas electrónicas, como las basadas en XML and CMS. Se desarrolla sobre un núcleo de elementos y procedimientos que pueden perfilarse para proporcionar determinadas funciones como time-stamping (incluyendo los basados en XML), validaciones de vigencia de certificados de múltiples prestadores de servicios de certificación, sellos corporativos, sellos de sede electrónica, marcas de notificación o publicación fehaciente, o firma de código ejecutable.

El estándar DSS de OASIS se desarrolló gracias al esfuerzo de reprerentantes de la American Bar Association, Cancillería Federal de Austria, BEA Systems, CATCert-Agencia Catalana de Certificacio, IBM, Nokia, Universal Postal Union, y otros.

Estos servicios representan la posibilidad de que el sector privado pueda disfrutar de servicios equivalentes a los que proporciona la herramienta @firma del MAP y de la Junta de Andalucía, o PSIS (Plataforma de Servicios de Identificación y firma) de CatCert en el sector público, pero actualizados a las versiones más recientes de los estándares técnicos. También en muchos organismos del ámbito público pueden preferir el uso de EADTrust al de @firma, dependiendo de cuales sean sus necesidades en relación con la firma electrónica.

Algo muy necesario en el marco de las obligaciones marcadas por la Ley 11/2007 y la Ley 30/2007 para el sector público y la Let 22/2007 y la Ley 56/2007.

BackTrust en las pruebas de compatibilidad de firma electrónica XAdES en ETSI

14 respuestas

El pasado mes de marzo de 2008,  Albalia Interactiva participó en las primeras pruebas remotas de interoperabilidad de ETSI  (Remote XAdES Interoperability event on the XAdES Plugtest Portal) con su producto BackTrust, lo que ya comenté en este blog.

Tras el verano tuvo lugar el segundo “ETSI remote plugtest” sobre firma electrónica XAdES, en el que también participó Albalia. Empezó el día 8 de Septiembre de 2008, y terminó el 17 del mismo mes.

Ha contado con 21 participantes de los más diversos países, tales como  Japón, Hungría, Rumania, Macao, Francia, Alemania, Austria, Estonia, Belgica y España.

Los primeros «plugtest» fueron presenciales y se celebraron en Noviembre del 2003 y en mayo de 2004. Los participantes viajaron a la sede de ETSI en Francia en donde colaboraron probando mutuamente sus soluciones y desarrollando código sobre la marcha para ir cubriendo los problemas detectados.

En la primera edición presencial se citaron en Sophia Antipolis tan sólo 5 participantes. En la segunda el número de  participantes ascendió a 11.

Después de éste evento hubo un parón hasta que en Marzo del 2008 se realizó el tercero (primero en la versión remota, que permite que los participantes trabajen desde sus oficinas y se coordinen con llamadas internacionales y chats) con la lista más amplia de participantes, que en este caso alcanzó el número de 28. Albalia Interactiva participó por vez primera, poniendo a prueba su herramienta BackTrust. El siguiente Plugtest (quinto de la serie, tercero en la versión remota) se va a realizar en Febrero del 2009, y en este caso va a permitir probar tanto las modalidades de firma XAdES como CAdES.

Un Plugtest de este tipo sirve indirectamente para que los distintos participantes pongan a prueba sus herramientas de firma XAdES. Los organizadores generan una serie de documentos firmados (materiales criptográficos) y despliegan servicios online de PKI para conseguir los perfiles de firma de los participantes, servicios de CRLs, de OCSPs, y dictan una serie de tipos de firma, (en este caso todas detached), que van desde XAdES BES a XAdES A, con bastantes variantes.

Los participantes deben realizar las distintas firmas y validar las de los demás usuarios, de tal modo que cualquier firma de un participante pueda ser validada por los demás.

En ambos Plugtest la suite de productos BackTrust de Albalia Interactiva ha realizado una buena participación, con firmas electrónicas verificadas por bastantes de los participantes, y demostrando su capacidad de verificar las firmas de la mayor parte de los participantes.

Uno de los objetivos del Plugtest, es el de conseguir un estándar claro y conciso de los formatos de firmas electrónicas  XAdES, de tal forma que todo el mundo pueda realizar y verificar firmas de la misma forma y no existan incongruencias ni distintas interpretaciones del estandar. Para ello todos los participantes pueden comentar posibles cambios, dudas y ampliaciones del estándar, se discute sobre cada una de las cuestiones que surgen durante la duración del Plugtest, y se dan soluciones a dichas cuestiones si se llega a un consenso, o se deja la cuestión para el siguiente congreso de XAdES en el que pueda fundamentarse el debate y la solución.

Interlocución telemática

3 respuestas

El 29 de diciembre de 2007 se publicó en el BOE la LMISI, Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información. Una de las características de esta norma es que impone a las empresas privadas ciertas obligaciones coherentes con el derecho de los ciudadanos a usar la vía telemática que se consagra en la  LAECSP, Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos .

En el artículo 2 de la LMISI se establece la obligación de ciertas empresa de disponer de un medio de interlocución telemática para la prestación de servicios al público de especial trascendencia económica. Y en la disposición final cuarta se indica que esta obligación entrará en vigor a los doce meses de la publicación de la Ley en el Boletín Oficial del Estado.

Todo el artículo tiene su interés, pero conviene destacar que sin perjuicio de la utilización de otros medios de comunicación a distancia con los clientes, las empresas que presten servicios al público en general de especial trascendencia económica deberán facilitar a sus usuarios un medio de interlocución telemática que, mediante el uso de certificados reconocidos de firma electrónica, les permita la realización de ciertos trámites como la contratación electrónica, modificación de condiciones contractuales, altas, bajas, quejas, histórico de facturación, sustitución de informaciones y datos en general, así como el ejercicio de los derechos de acceso, rectificación, oposición y cancelación en materia de protección de datos

Las empresas obligadas por esta normativa son aquellas con más de 100 empleados o un volumen de operaciones superior a los 6 millones de euros que presten servicios al público considerados como de especial trascendencia económica, como banca, electricidad, agua y gas, y telecomunicaciones, entre otros.

Para facilitar a todo tipo de empresas el cumplimiento de esta norma, Albalia Interactiva ha desarrollado en el marco de su gama de servicios EADTrust la funcionalidad de Interlocución Telemática que se integra con facilidad en el entorno web  de la empresa. De esta manera, en un tiempo record, es posible contar con este tipo de servicios y cumplir los plazos marcados por la ley. Los formularios firmados electrónicamente se guardan en formato XAdES-X-L (según se define por la norma TS 101 903) por lo que incluyen todas las evidencias electrónicas que afectan a la validez del certificado en el momento de la firma.

El sistema es personalizable con la imagen del web de la entidad y permite definir todo tipo de trámites y formularios. Además, es posible diseñar entornos mixtos en los que el formulario se completa y se prevalida en la entidad y se firma electrónicamente en la plataforma EADTrust.

Trámites que debe permitir la interlocución telemática

Mediante el uso de certificados reconocidos de firma electrónica, la interlocución telemática debe permitir a los clientes y usuarios la realización de, al menos, los siguientes trámites:

  • Contratación electrónica de servicios, suministros de bienes, la modificación y finalización o rescisión de los contratos, así como cualquier acto o negocio jurídico entre las partes.
  • Consulta de los datos de cliente, que incluirán información sobre su historial de facturación de, al menos, los tres últimos años y el contrato suscrito.
  • Presentación de quejas, incidencias, sugerencias y reclamaciones, garantizando la constancia de su presentación para el consumidor y asegurando una atención personal directa.
  • Ejercicio de los derechos de acceso, rectificación, cancelación y oposición en los términos previstos en la normativa reguladora de protección de datos de carácter personal.

Empresas afectadas por la normativa

Las empresas obligadas por esta normativa son aquellas que agrupen a más de cien trabajadores o cuenten con un volumen anual de operaciones superior a los 6.010.121 euros y que, en ambos casos, operen en los siguientes sectores:

  • Servicios de comunicaciones electrónicas a consumidores.
  • Servicios financieros destinados a consumidores, que incluyen los servicios bancarios, de crédito o de pago, los servicios de inversión, las operaciones de seguros privados, los planes de pensiones y la actividad de intermediación de seguros.
  • Servicios de suministro de agua a consumidores.
  • Servicios de suministro de gas al por menor.
  • Servicios de suministro eléctrico a consumidores finales.
  • Servicios de agencia de viajes.
  • Servicios de transporte de viajeros por carretera, ferrocarril, vía marítima o aérea.
  • Actividades de comercio al por menor.

Además, el Gobierno y las Comunidades Autónomas, podrán ampliar el ámbito de aplicación de esta obligación a otras empresas distintas de las previstas en la Ley, en aquellos casos en los que se considere que en el desarrollo de su actividad normal deban tener una interlocución telemática con sus clientes o usuarios.

Hito en EADTrust. Ceremonia de generación de claves root

Deja un comentario

Ayer tuvo lugar un hecho histórico en el desarrollo de EADTrust, Prestador de servicios de confianza digital, lo que supone un motivo de orgullo para todos los integrantes del equipo.

Llevamos a cabo la ceremonia de generación de claves de la autoridad de certificación root de la PKI en sede notarial. En la foto adjunta estamos los presentes en el acto.

De izquierda a derecha, yo mismo, Julián Inza, y seguidamente Fernando Pino, Maria Luisa Blasco, Luis Osses y Santi Casas.

Julian Inza - Fernando Pino - Maria Luisa Blasco - Luis Osses - Santi Casas

Julian Inza – Fernando Pino – Maria Luisa Blasco – Luis Osses – Santi Casas

No está en la foto, pero tuvo una contribución esencial, Mar de las Heras que ha aportado buena parte de los documentos legales del evento.

La fecha del 24 de septiembre de 2008, dia de la Virgen de la Merced, adquiere un nuevo significado para nosotros.

HomSec 2008

Deja un comentario

Desde el 1 al 4 de diciembre de 2008 se celebra en el Recinto de Feria de Madrid del Campo de las naciones HomSec (Salón Internacional «Homeland Security»), evento de carácter bienal, que constituye una cita mundial de referencia para el mercado de la Seguridad Interior del Estado y la Defensa.

Las principales amenazas para la seguridad de la sociedad son hoy el terrorismo y el crimen organizado y las grandes catástrofes naturales o humanas. Para hacerles frente, las Fuerzas de Seguridad y de Protección Civil, así como las Fuerzas Armadas, han de contar con medios adecuados de última generación para detectar, prevenir, neutralizar o reparar los daños causados en el menor plazo posible.

Homsec es un lugar de encuentro adecuado para que las Fuerzas de Seguridad y las de Protección Civil conozcan directamente los últimos desarrollos ofrecidos por las empresas y éstas tengan la oportunidad de saber, de primera mano, sus necesidades.

La primera edición, HomSec 2007, tuvo lugar entre los días 9 y 12 de enero de 2007 en el Pabellón de Cristal de la Casa de Campo de Madrid. Esta primera cita contó con la visita de más 3000 profesionales y cerca de un centenar de empresas expositoras. Para más información, puede consultar la sección HomSec 2007 en esta misma web.

El Salón contó con el patrocinio de las empressas Amper, Indra, EADS, HP, IBM y Atos Origin, y fue incluido dentro del programa PROFIT del Ministerio de Industria