Archivo de la categoría: PKI

Bundle: Todo lo necesario para gestionar la firma electrónica corporativa

Deja un comentario

La Ley 11/2007 marca una serie de obligaciones a los organismos del sector público, de forma parecida al artículo 2 de la Ley 56/2007, que impone a las entidades privadas de especial relevancia económica la obligación de contar con un sistema de interlocución telemática.

Entre los aspectos que las entidades deben manejar para ello están los relativos a la firma electrónica. Deben saber como realizar y comprobar firmas electrónicas, y como integrarlas en sus sistemas informáticos.

Para más información llamar...

Para facilitarlo, un conjunto de empresas especialistas de primer orden nos hemos puesto de acuerdo para configurar un «bundle», un paquete de elementos tecnológicos, que facilitan el despliegue de la firma electrónica de una manera sencilla y económica, y sin rebajar las exigencias de normas de referencia como el Esquema Nacional de Seguridad y el Esquema Nacional de Interoperabilidad.

El «bundle» (con un precio imbatible) está compuesto de los siguientes elementos:

  • Un HSM de red de Safenet
  • Una auditoría especializada (de DSCF) de Albalia Interactiva
  • Un certificado de AC Camerfirma
  • Un conjunto de horas de asesoramiento de Albalia Interactiva
  • Un curso de formación sobre firma electrónica de Atenea Interactiva.

Este «bundle» permite incorporar un Dispositivo Seguro de Creación de Firma (DSCF) en aquellas instituciones que ya cuentan con sistemas de firma electrónica pero todavía no han incorporado este elemento imprescindible en su infraestructura.

Si la entidad no cuenta con un sistema de firma electrónica, hay servicios y productos adicionales disponibles:

  • Software de firma electrónica de Albalia Interactiva
  • Software de comprobación de firmas electrónicas de Albalia Interactiva
  • Software de centralización de claves para múltiples puestos de trabajo de Vanios

Y, por supuesto, también está disponible todo el catálogo de productos y servicios de todos los partners participantes en esta promoción.

Timestamping de EADTrust: certificado de TSA

1 respuesta

Jerarquía de Certificación EADTrustUno de los servicios más importantes de los que presta EADTrust es el de sellado de tiempo (time stamping), que se usa en muchos otros servicios relacionados con la fehaciencia electrónica. Por ejemplo en los sistemas de publicación fehaciente.

Aunque la regulación del Timestamping no sigue unos patrones tan rigurosos como los servicios de certificación (especialmente los que emiten certificados cualificados a personas físicas), frecuentemente las entidades y organismos que precisan sellos de tiempo se preguntan a qué entidad se los pueden contratar.

En España, la fuente de referencia es el censo de prestadores de servicios de certificación del Ministerio de Industria, Turismo y Comercio, ya que esta actividad está supervisada.

En el caso de EADTrust, ya he hecho referencia en otros artículos a sus certificados raíz que definen el origen de la confianza.

Ahora quiero referirme a los certificados de los propios servicios que firman los sellos de tiempo.

Para facilitar el trabajo a los desarrolladores de software, posiblemente les venga bien conocer dicho certificado: Certificado de la TSA (Time Stamping Authority)

Iguala

1 respuesta

La iguala es el pago de una cantidad ajustada que se hace con arreglo a unos servicios contratados.

Este es uno de los primeros servicios que puso en marcha Albalia Interactiva, y que seguimos ofreciendo en la actualidad.

Se trata del soporte especializado de consultoría y asesoría en temas de firma electrónica, factura electrónica, banca electrónica, administración electrónica, documentos electrónicos, evidencias electrónicas, comercio electrónico y medios de pago (entre otros aspectos) a entidades de todo tipo que lidien con esos temas, que cuenten con recursos para gestionarlos, pero que no necesitarán contar con especialistas caros, si solo tienen necesidad de ellos en momentos puntuales.

Con una couta mensual muy ajustada se cuenta con especialistas que pueden resolver cualquier duda por compleja que parezca, tanto en temas técnicos como jurídicos.

Firma electrónica centralizada en servidor

1 respuesta

El próximo 31 de mayo de 2011 se celebra en Barcelona (Hotel Abba Sants, C/ Numancia, 32 – 08029 Barcelona) el seminario «Firma electrónica centralizada en servidor. SOA, Cloud Computing, Software as a Service» organizado por Atenea Interactiva. El coste de inscripción es de 450 euros, pero resulta bonificado por la Fundación Tripartita (llame al 902 365 612 para conocer los detalles).

Este curso es una mejora del impartido en Madrid el pasado 5 de mayo con el título Firma Electrónica en Arquitecturas SOA. Servicios PKI.

Este es el programa previsto:

1. SOA – Service-oriented architecture

  • Introducción y conceptos SOA
  • El modelo de referencia SOA
  • Implementaciones SOA (SOAP y REST)
  • Software as a Service. Cloud Computing. La(s) nube(s), privadas y públicas.

2. Cumplimiento de obligaciones con SOA

  • Sector Privado: La Interlocución Telemática de la Ley 56/2007 con SOA
  • Sector Público: La Administración Electrónica de la Ley 11/2007 con SOA

3. Conceptos de firma electrónica y PKI

  • Conceptos criptográficos
  • La firma digital
  • Los certificados digitales
  • La legalidad de la firma electrónica

4. PKI – Servicios Avanzados

  • TimeStamping – Sellos de Tiempo
  • Validez de certificados
  • Firmas “básicas” y firmas “completas”
  • Firmas “remotas”

5. La firma digital como elemento de arquitectura

  • Introducción. Cambio de paradigma.
  • Gestión segura de claves. Dispositivos hardware criptográficos.
  • PKIs internas.
  • Los servicios de firma digital
  • El estándar DSS.
  • La firma asíncrona (portafirmas).

6. Formatos y estándares de firma

  • Tipos de firma “legales”
  • Formatos básicos
  • Firmas “longevas”
  • Formatos AdES (XAdES, CAdES y PAdES)
  • Políticas de firma

7. Firma electrónica en las Administraciones Públicas

  • La firma electrónica en la Ley 11/2007, el ENI y el ENS. Norma CCN-STIC-807
  • Procesos de firma automatizados. Sello de órgano y CSV
  • Servicios de firma y validación disponibles para Administraciones Públicas
  • Políticas de firma en las AAPP. Descripción y diseño.
  • Interoperabilidad. TSLs. Proyecto Stork

8. Identidad Digital

  • La identidad digital en Internet. Identidad 2.0
  • Los sistemas de federación de identidades
  • Los sistemas “fuertes” de autenticación

n

Appliance de firma electrónica

Deja un comentario

Ya está disponible en formato appliance (y prácticamente con Configuración Cero) el aclamado sistema de firma electrónica BackTrust que permite a los organismos públicos cumplir con la Ley 11/2007 y a las entidades privadas poner en marcha el sistema de interlocución telemática al que les obliga la Ley 56/2007.

Hoy presentamos la variante xBackTrust, construida en torno a un equipo base de IBM x3650 y reforzado criptográficamente con placas IBM 4764 o Safenet Luna PCI.

El xBackTrust Appliance de Firma Electrónica gestiona firmas completas XAdES-XL y firmas PDF. Las genera, comprueba, prepara para el almacenamiento a largo plazo. Maneja TSA facilitando el uso de timestamping a través de protocolo OASIS DSS. Comprueba la validez de los certificados de cualquier prestador español o europeo. Es compatible con @firma y EADTrust.

Public Consultation on Electronic identification, authentication and signatures

Deja un comentario

As always, the last day comes quickly without enough time to prepare a sound document.

But tomorrow is the last day for this consultation and I though that my opinion could help to others.

Public Consultation on Electronic identification, authentication and signatures

1. Respondent information
Are you replying: On behalf of an organisation
Please provide the name of your Organisation
EAD Trust, European Agency of Digital Trust
Please provide if applicable, your interest Representative Register ID number
Please indicate which type of stakeholder you are Small or medium-size enterprise
Please provide your Name and Surname
Julian Inza
Please provide your email address
julian@eadtrust.com
Your country of residence Spain

2. General expectations regarding EU legislation on e-signatures, e-identification and e-authentication

Question 1: Do you / Does your organisation use e-signatures, e-identification and e-authentication?

 yes
If yes, what are your specific needs? Secure transactions
Unambiguous identification of contract partners
Integrity of electronic documents
Legal effect
Legal effect, contract signatures in particular
User convenience
Others
Please comment why
Electronic invoice, electronic documents of all kinds, electronic evidence

If yes, how frequently do you carry out secure transactions?

 Daily

Question 2: For what online transactions do you consider electronic identification, authentication and signatures useful in coming years?

 eGovernment services
Electronic Public Procurement
eCommerce transactions
eBusiness transactions
Online banking and financial transactions
Issuance of authentic electronic documents
Secure archiving or storage of authentic electronic documents
Others
Please comment why
electronic invoices, secure identification in social networks, electronic banking, web services, automated electronic seals,…

Question 3: What socio-economic benefits or drawbacks do you expect from the use of electronic signatures, identification, and authentication in other sectors of activity than yours?
A huge improvement in efficience and costs reductions. More security, more convenience, tele-operations of all kinds
Question 4: Would a stronger involvement of financial institutions in the provision of trusted e-signature and e-identification services have an impact on the take-up of e-signature and e-identification in other sectors? yes

If yes, what would be the appropriate incentives?
A simpler way to manage revocation information of certificates and to define trusted root certs and chain of trust&nbsp
Question 5: Do you think that there are specific interoperability or security aspects that should be taken into account to foster the use of electronic signatures, identification and authentication through mobile devices (e.g. requirements on the SIM cards, on the handset, on the mobile operator)? yes
If yes, regarding: operational
technical

Question 6: For which of the following trust building services and credentials should legal or regulatory measures be considered at EU-level in order to ensure their cross-border use and why?

 Electronic seals
Time stamping
Long term archiving
Certified delivery of mail
Pseudonyms
Certified electronic documents in general
Others (please list)
Please list
Long term accesible digital custody /electronic chartulary /electronic headoffice /secure verification code / certification validation services

3. e-signatures tailored to face the challenges of the digital single market

Question 7: How do you judge the take-up of electronic signatures in Europe?

 Very high
Please comment why
Citizen ID cards are being adopted in advanced countries, which include 2 or more certificates. Virtuous circle fosters the creation of adapted services
Question 8: Which of the following issues have a negative impact on the uptake of e-signature? You may select up to three answers that have according to you the most important impact. Lack of user-friendly signature solutions
Others
Please comment why
Poor solution for trust discovery of roots CA, bad implementations of OCSP in AIA extension of certificates, insufficient use of timestamping / not enough use of complete (AdES_XL) signatures, legacy management of CRLS to OCSP responses (bound to grace period), excesive use of CRLs for validation

Question 9: Which of the following specific issues have an impact on cross-border interoperability of e-signatures in Europe and should be addressed in a revised legal framework on e-signature (the references point to the articles and annexes of the eSignatures Directive)?

 Unclear terminology in Directive 1999/93/EC and heterogeneous terminology in national legislations
Heterogeneous approach to security requirements (e.g. certification requirements on the signing software in some countries)
Insufficient harmonisation of profiles of qualified certificates
Other
Please comment why
Lack of clear definition of electronic seal for legal persons, lack of clear definition of codes to inform about power of attorney in certificate extensions, unclear effect of qualified certificates without secre signature creation devices, lack of clear definition of automated signature&nbsp

Question 10: Which among the following options could be solutions for signature verification and validation at EU level?

 Other
Please comment why
Common list of OCSP services and timestamping services for all Trusted CAs in Europe. Signature software that creates always AdES-XL signatures including Timestamping and OCSP validation, getting the OCSP address from the AIA field of the certificate. OCSP services with grace period=0, supplied by the CA issuing certificates or a entity in its behalf, forbid the use of CRL for validation purposes. Relying party software that verifies XL signatures, Digital custody for secure storage of signatures,
Question 11: Do you have specific expectations from e-signature standardisation to cover? Mass signature (server signing)
Mobile signature creation devices
Remote signature
Others
Question 12: Do you use «qualified» e-signatures? yes
If yes, how often per month and for which kind and value of transactions?
3/4 per month. Transactions not connected to value. I believe transaction amount limits are relevant only to a few kinds of signatures.

Question 13: What is your view on the need to revise the security provisions of «qualified» e-signatures?

 The current provisions should stay as they are

Question 14: Would a classification of a range of e-signatures be desirable to match different levels of security?

 Yes, a classification would be convenient, it should be defined by law and a legal effect should be associated to each or some classes.
Please comment and explain for which usage a classification would be desirable.
legal person seal, automated signature, powers of attorney with use limits, SSL certificate with legal effects, sinonimous certificates and their effects, qualified certificates without SSCD. person associated to a company or government body acting in assigned role but not needing a representation letter or power
Question 15: Should «electronic consent» be recognised formally by future European legislation? yes

If yes, should legislation (where necessary supported by operational and technical standards) define specific requirements on:

 Others
Please explain why
It is already recognized in standards and is named «content commitment». When a certificate has that bit activated, should verify a proof of consent, including a turing test demonstrating the user has read the message and asking clearly for consent. This kind of use should generate evidences for all involved parties and, where possible, an accesible digital custody (chartulary+electronic headoffice+secure verification code) receipt for them)
Question 16: Should «electronic consent» be considered as equivalent to electronic signatures? yes

Question 17: Are there specific aspects that should be taken into account to address electronic archiving?

 yes
If yes, please specify the legal provisions which are needed in your opinion to address electronic archiving needs?
All electronic documents (signed or not) with legal effect, should be available under security considerations applied to archive (WORM), through a URL of trusted sites (electronc headoffice), with the help of a secure verification code. With additional measures for preserving privacy in specific cases, or to allow to be accessible to third parties for proof or evidential reasons. Paper documents or receipts withs URL and SVC, that can be verified against the electronis versions are considered trustworthy equivalent to authentic documents

4. Principles to guide e-identification and e-authentication in europe
Question 18: Do you see a need for additional legal or regulatory measures on electronic identification at EU-level? yes

If yes, in your opinion, what are the general principles that should underlie the legal provisions on the mutual recognition and acceptance of e-identification at EU-level?

 Others
Please comment
compatibility&nbsp
Question 19: What effects for the digital single market do you expect from legal provisions on an EU-wide mutual recognition and acceptance of eID issued in the Member States? Legal certainty
Reduction of administrative burden
Other
Please comment why
Simplicity for citizen to exercise their rights in all countries, Convenience for citizens, efficience for government bodies and enterprises

Question 20: How could users provided with electronic identification and authentication means benefit from their mutual recognition and acceptance across Europe and in which sectors?

 Increase of user convenience
Simplification of access to online services
Reduction of numerous UID/passwords
Reduced exposure to ID theft
Others
Please comment why
Use in day by day in non online services, to dematerialice paper

Question 21: What are the specific aspects that should be taken into account to achieve cross-sector interoperability of electronic identities?

 Others
Please comment why
Common list of trusted CAs and their roots, Common profiles, common OIDs definitions, Correct codification of OCSP servers in AIA fields

Question 22: Please indicate experiences and lessons learned in the private sector that could be transferred to the public sector.
Please make everything EASY for the final user. And define a consistent user experience for all ID cards. Users then can detect if someone try to cheat them (identifying unusual use patterns)

5. Legislative measures for the challenges ahead

Question 23: What European Union legislative measures on e-signatures, e-authentication of natural and legal person claims as well as e-identification would be appropriate in your opinion to best meet the challenges of the digital single market?

 Other
Please comment why
Reglament better than Directive. Clear rules. Clear language, Legal framework ligned with standards (standards are now better than law, but can not be used in the best way because law does not cover some technical uses)

6. Research and Innovation

Question 24: On what issues should EU R&D and standardisation focus to have all the necessary technology to improve eID management?
Nothing. A lot of money has been spent in past years without real improvement. We have standards. We should use them and in some cases improve them, with normal budget.

Question 25: On which technologies should Research & Development focus to improve the usability of e-signatures and electronic identification for end users and to facilitate the deployment for service providers?
Timestamping services, OCSP services, custodian services, registered notice services, mobile service, intelligent NFC services, interoperability services

Question 26: What technologies could contribute to overcoming the lack of trust in electronic identification, authentication and signatures in the European Single Market (ex. addressing the so-called «what you see is what you sign» issue)?
TSL, XAdES-XL, PAdES-LTV, writen signature digitalization with security measures binding the signature to the document in a way equivalent to «advance signature» with use of trusted third parties

7. Others

Question 27: Europe is fully part of the global economy. However, the forthcoming legal framework cannot cover non EU countries. Are there nevertheless international issues that should be taken into account?
The development of the legal framework must take into account existing standards or be compatible with future global standards. For instance RFC 3739

Question 28: Would you wish to share some best practices examples outside Europe?
Maybe connection of strong authentication with ID cards to federated identity systems (such as SAML) or simple authentication systems such as Open-ID can facilitate the use of Strong identity in social networks

Question 29: Are there any other issues which you think should be addressed by policy makers?
Yes. The use of ID systems and electronic signatures should be a strategic movement covering all kind of documents and sectors. In the past different lobbies or groups of interest have tried to convince EU policy makers to take out electronic signatures from electronic invoices to cite just one area. Electronic signatures should be used consistently in all areas or, at the end, exceptions will be greater that the rule and electronic signature can become useles or even worst, dangerous.
Meta Informations
Creation date
15-04-2011
Last update date
User name
null
Case Number
089674306510210511
Invitation Ref.
Status
N
Language
en

Firma electrónica en arquitectura SOA

2 respuestas

El próximo 5 de Mayo de 2011 se celebra en Madrid, en el Hotel Nuevo Madrid y organizado por Atenea Interactiva un nuevo seminario sobre Firma electrónica en arquitectura SOA, destinado a las entidades públicas y privadas. Las primeras obligadas por la ley 11/2007, y las segundas, por la ley 56/2007, y todas aprovechando las oportunidad que brinda la ley 59/2003. Por tan solo 350 euros +IVA.

Para garantizar la confidencialidad y la integridad de las transacciones, así como la identificación inequívoca de su autor  es necesario recurrir a soluciones basadas en Técnicas Criptográficas, Certificación Digital y Firma Electrónica. En soluciones que redunden en la confianza de las transacciones para todos los participantes. En el marco de  Ley de Firma Electrónica publicada en 2003 se han establecido hasta la fecha las bases para conseguir extender el uso y desarrollo de estas tecnologías en la Sociedad de la Información.

Ocho años después, la evolución de las  TICs  hacia entornos basados en el Cloud Computing y la movilidad, están cambiando los paradigmas preestablecidos respecto a la  Firma Electrónica y a  la Identidad Digital, creando a su vez un abanico de servicios relacionados hasta ahora prácticamente desconocidos.

Conceptos como la  Firma Remota, la Gestión centralizada de claves, la Firma electrónica en Movilidad, la Firma Digitalizada, la Custodia de documentos  a largo plazo y los nuevos escenarios creados por el desarrollo de la  Administración Electrónica y sus normas de aplicación, especialmente en lo relativo a la adecuación de los  Esquemas Nacionales de Interoperabilidad y Seguridad, están haciendo evolucionar los recursos de  PKI de un contexto  basado en aplicaciones distribuidas hacia un elemento crítico de infraestructura y el consumo de servicios de  Firma Electrónica.

Este es el programa:

1.- Service-oriented architecture

  • Iniciación a SOA
  • Descripción de entornos típicos de SOA

2. Cumplimiento de obligaciones con SOA

  • Sector Privado: cumplimiento de las obligaciones de Interlocución Telemática de la Ley 56/2007 con SOA
  • Sector Público: cumplimiento de las obligaciones de Administración Electrónica de la Ley 11/2007 con SOA

3. Conceptos de Firma Electrónica y PKI

  • Propiedad de la Firma Electrónica
  • Conceptos Criptográficos
  • Los Certificados Electrónicos. Tipos
  • El proceso de Firma Electrónica
  • Legislación

4. La Firma Electrónica como elemento de Arquitectura

  • La Firma Electrónica como servicio
  • Servidores de Firma y Validación
  • Repositorios de claves centralizadas
  • Despliegue de PKIs internas
  • Dispositivos criptográficos. HSM

5. Servicios avanzados de PKI

  • Firmas remotas y “upgrade” de firmas
  • Servicios de Validación de firmas y certificados centralizados. CRL, CSP, SCVP
  • Servicios de Sellado de Tiempo
  • Firma en entornos móviles. Posibles enfoques
  • Firma manuscrita digitalizada y servicios PKI avanzados.

6. Formatos y estándares de firma

  • Tipos de Firma “legales”
  • Formatos básicos
  • Formatos AdES. XAdES, CAdES y PAdES (TS 101 733, TS 101 903, TS 102 778)
  • Estándar Oasis DSS (Digital Signature Services). Descripción y perfiles
  • Firmas longevas, la importancia de la firma en la conservación de documentos
  • La importancia de las políticas de firma

7. Firma e Identidad Electrónica en las Administraciones
Públicas

  • La Firma Electrónica en la Ley 11/2007, el ENI y el ENS. Norma CCN-STIC-807
  • Procesos de firma automatizados. Sello de órgano y CSV
  • Servicios de Firma y Validación disponibles para Administraciones Públicas
  • Identidad Digital y Administración Pública
  • Políticas de firma en las AAPP. Descripción y Diseño
  • Interoperabilidad. TSL (Ttrust Services Status List) TS 102 231. Proyecto Stork

BackTrust in CeBIT

1 respuesta

We at Albalia are trying to discover our international market. We are going to be at CeBIT with several appointments with potential partners. We already have been at CeBIT last year, with our own booth, in the framework of the spanish pavillion.

We now focus on our BackTrust product. A complete suite that allow to dematerialize all kind of documents, and manage electronic evidences. The core sistema manages electronic signatures and digital custody, and is suitable to deploy eGovernment solutions, and also ebanking, eHealth, eCommerce and eDocuments.

Our solutions helps manage electronic signatures (in the sense of Directive 1999/93/CE), and also digitalized signatures, biometric proofs and electronic evidences (such as certified digitization), thus allowing to eliminate paper while preserving evidential proof of the electronic registers.

Our BackTrust suite is available on zEnterprise with the name zBackTrust, and it is the only electronic signature solution in the world for IBM mainframes (both for Linux for System z, and z/OS). The solution is certified by IBM and is already deployed in customers as NovaCaixaGalicia (see page 12).

Others of our solutions are also mentioned internationally:

  • The Albalia team is very active in Social NetWorks (in Spanish):

    • Seminario de Diplomática Digital

    2 respuestas

    La diplomática es una ciencia auxiliar de la historia que se ocupa de la autenticidad de los documentos, y que se definió inicialmente en 1681 a partir de la obra fundacional “De re diplomática” del benedictino Jean Mabillon.

    En el ámbito de las Administraciones Públicas ha dado lugar al concepto de “diplomática contemporánea” que se ha uniformizado gracias a la Ley 30/1992.

    Con la Ley 11/2007 se les da un nuevo impulso a los aspectos digitales de la diplomática, pero quienes tienen que implantarlos se encuentran frecuentemente con que no tienen el bagaje conceptual que permita resolver las dudas de aplicación más allá de la letra de la ley.

    En el sector privado, la LSSI y el artículo 2 de la Ley 56/2007 marcan una orientación en la Gestión Electrónica de Documentos, pero hay dudas sobre el valor jurídico de muchas de las iniciativas destinadas a mejorar la eficiencia en la Gestión de Documentos. Cuando los proyectos de desmaterialización documental se acometen, se experimentan ahorros de decenas de millones de euros (en función de la dimensión de los proyectos), y períodos de recuperación de la inversión de entre 9 y 12 meses.

    Atenea Interactiva organiza el próximo 24 de marzo de 2010 en el Hotel Nuevo Madrid el Seminario «Diplomática Digital«, en el que se desarrollan los conceptos claves para manejar documentos electrónicos auténticos, de la mano de expertos en Gestión Documental Electrónica de carácter probatorio, y se contextualizan en el marco jurídico español, aunque las ideas claves sean de aplicación universal.

    El coste del evento es de 350 € + IVA (18%). Total 413 € por asistente. Este es el formulario de inscripción. Y este es el programa:

    CONCEPTOS DE DIPLOMÁTICA

    • Archivística, Paleografía, Sigilografía.
    • Cartularios, Códices Diplomáticos, Tumbos, Becerros
    • Autenticidad de los documentos en papel
    • Partes de un documento
    • Tipos de documentos

    MARCO LEGAL

    • Normativa en relación con los archivos
    • Normativa en relación con la Firma Electrónica
    • Normativa de Administración Electrónica
    • Normativa sobre Contratación Electrónica
    • Estándares aplicables en la Gestión de Documentos Electrónicos

    DIPLOMÁTICA DIGITAL

    • Autenticidad de los Documentos Electrónicos. Obliterabilidad, Endosabilidad, Completitud
    • Firma Electrónica. Firma Avanzada. Firma Completa
    • Custodia Digital. Cartulario Digital. Archivo de Constancias Electrónicas. Código de Verificación
    • Convivencia de Documentos Electrónicos y de papel. Albalá, Copia constatable, Digitalización Certificada. Localizador

    GESTIÓN DE DOCUMENTOS EN EL SECTOR PÚBLICO

    • Sede Electrónica. Código seguro de verificación.
    • Registro de entrada, registro de salida, registro telemático, interconexión de registros. SICRES.
    • Expediente Electrónico
    • Digitalización de Documentos
    • Interoperabilidad de Gestión de Documentos entre Administraciones
    • Clasificación de documentos. Metadatos.
    • Notificaciones Fehacientes. Notificaciones Obligatorias.

    GESTIÓN DE DOCUMENTOS EN EL SECTOR PRIVADO

    • Contratos. Novación Electrónica. Prestación del consentimiento.
    • Digitalización Certificada de facturas. Digitalización Certificada de otros tipos de documentos.
    • Uso de la Firma Electrónica.
    • Requisitos de la digitalización de la firma manuscrita para que sea considerada Firma Electrónica avanzada. Tabletas digitalizadoras, bolígrafos electrónicos.
    • Notificaciones Fehacientes. Correo Electrónico Certificado

    GESTIÓN DE DOCUMENTOS ELECTRÓNICOS EN ENTORNOS JURISDICCIONALES

    • La Prueba Electrónica en la Ley de Enjuiciamiento Civil
    • Evidencias Electrónicas estructuradas y no estructuradas.
    • Informática forense.
    • Documentos privados. Documentos públicos. El informe pericial. El testigo perito.

    Certificados duales RSA – ECC (enmarcados en el ENS)

    2 respuestas

    EADTrust ha iniciado una campaña de promoción de certificados electrónicos según un nuevo modelo. En vez de entregar un solo certificado, entrega dos. El primer certificado, RSA, con clave de 2048 bits puede ser utilizado de forma convencional, en servidores SSL. El segundo (vinculado con el primero por una regla de generación cruzada) cumple los principos Binum. Es un certificado ECC con clave de 256 bits (robustez equivalente a 3070 bits en claves RSA) y se utiliza también en servidores SSL.

    Los certificados se entregan en formato PKCS#12 y la generación de claves (llevada a cabo por EADTrust) verifica las recomendaciones contra los ataques matemáticos identificados en la literatura académica. Los certificados tienen una duración de 3 años, por lo que requieren menos esfuerzo de gestión (que los certificados anuales). El precio de los certificados (de cada pareja) es de 99 euros si identifican un dominio y 199 euros en el caso de pareja de certificados multidominio (*). Hasta el 30 de junio de 2011, el coste de cada pareja de certificados será de 50 y 100 euros respectivamente.

    Dado que los certificados ECC no los soportan todos los navegadores, ayudamos a las entidades solicitantes a configurar los servidores de forma que se usen los algoritmos más potentes que soporte cada navegador, combinando ambos certificados.

    Compruebe si su navegador soporta ambas tecnologías instalando los certificados raíz de las dos jerarquías de certificación:

    El uso de claves largas en RSA (al menos de 2048 bits) y el empleo de algoritmos ECC como ECDSA son algunos de los aspectos recomendados por el CCN (Centro Criptológico Nacional) en la documentación de seguridad relativa a la implantación del Esquema Nacional de Seguridad. En particular, el documento Guía 807 – Criptología de empleo en el Esquema Nacional de Seguridad estudia los diferentes alguritmos y sus ataques conocidos y hace recomendaciones sobre los más adecuados en función del objetivo perseguido (identificación, autenticación, cifrado, firma, confidencialidad en SSL,…)

    También hay recomendaciones equivalente en los documentos de la administración nortemaericana NIST (National Institute of Standards and Technology) FIPS (Federal Information Processing Standards) 186 -2 y FIPS 186-3 respectivamente en los apéndices 6 y D en las secciones Recommended Elliptic Curves for Federal Government use (United States).

    A nivel europeo, las especificaciones que tratan sobre los algoritmos criptográficos que se usan para firma electrónica (por ejemplo) se describen en el documento ETSI TS 102 176-1 V2.0.0 (2007-11) “Technical Specification. Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms».

    Otras normas aplicables:

    • RFC 3278 «Use of Elliptic Curve Cryptography (ECC) Algorithms in Cryptographic Message Syntax (CMS)»
    • RFC 4050 «Using the Elliptic Curve Signature Algorithm (ECDSA) for XML Digital Signatures»
    • RFC 4051 “Additional XML Security Uniform Resource Identifiers (URIs)”
    • RFC 4492 “Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS)”
    • ISO/IEC 15946 “Information technology — Security techniques — Cryptographic techniques based on elliptic curves”
    • ANSI X9.62:2005 “Public Key Cryptography for the Financial Services Industry, The Elliptic Curve Digital Signature Algorithm (ECDSA)”

    Otras referencias a EADTrust en este Blog:

    Actualización: A partir de 2020, solo se entrega el certificado solicitado. Las peticiones de certificado deben incluir el tipo de criptotografía deseado, que puede llegar a 8192 bits de tamaño en RSA y 384 bits en ECC.