Archivo de la categoría: PKI

Del Legado de Ettore Majorana al Criptocalipsis: Adopción de la computación postcuántica para firmas electrónicas y otros usos

1 respuesta

Ettore Majorana fue un físico italiano brillante y enigmático que dejó una huella imborrable en la ciencia antes de desaparecer misteriosamente en 1938. En 1937, propuso la existencia de unas partículas especiales, hoy llamadas “fermiones de Majorana”, que son únicas porque son sus propias antipartículas. Este concepto, inicialmente teórico, ha inspirado avances modernos como el chip Majorana 1, anunciado por Microsoft en febrero de 2025. Con este chip, la computación cuántica da un salto hacia adelante, pero también nos acerca a un “criptocalipsis”: el momento en que las claves privadas de los criptosistemas de clave pública actuales podrían descifrarse mediante la computación cuántica.

El avance en computación cuántica que supone el chip Majorana 1, con qubits topológicos, pone en riesgo la criptografía de clave pública basada en algortmos RSA y ECC.

Las autoridades de certificación (CAs), nos planteamos la disyuntiva: ¿priorizamos la emisión de certificados resistentes a la criptografía cuántica futuro o mejoramos los sistema de archivo electrónico para preservar documentos firmados electrónicamente con las técnicas actuales? Este artículo analiza el impacto técnico del Majorana 1, el papel del algoritmo de Shor y estrategias prácticas frente a esta transición.

Majorana 1 y el Algoritmo de Shor

El chip Majorana 1 usa los fermiones de Ettore para crear “qubits topológicos”, unidades de cálculo cuántico más estables que las tradicionales. Aunque el presentado estos días solo tiene 8 qubits, Microsoft promete escalarlo a miles o incluso un millón en pocos años. ¿Por qué importa? Porque con suficientes qubits (digamos, 3000-6000), una computadora cuántica podría usar el algoritmo de Shor para descifrar sistemas como ECC-512, comunes en certificados digitales, en cuestión de horas. Esto podría pasar hacia 2031-2033. Para RSA-4096, más resistente, harían falta 20,000 qubits o más, retrasando su caída quizás a 2035-2040. Sin embargo, el peligro ya existe: los datos protegidos hoy podrían ser guardados y descifrados después, un riesgo conocido como “recolectar ahora, descifrar después”.

Certificados Post-Cuánticos

La criptografía post-cuántica (PQC) utiiza algoritmos que no son vulnerables frente al algoritmos de Shor con problemas matemáticos resistentes, como los basados en retículos (lattices). En 2024, NIST estandarizó algoritmos clave:

  • CRYSTALS-Dilithium (ML-DSA): Usa Module-LWE y SIS; firmas de 2.7-4.8 KB, nivel 128-256 bits PQC.
  • FALCON (FN-DSA): Basado en NTRU-SVP; firmas compactas (0.6-1.2 KB), optimizado para verificación rápida.
  • CRYSTALS-Kyber (ML-KEM): Cifrado con MLWE; claves/cifrados de 0.8-1.6 KB.

La estrategia híbrida combina estos algoritmos con los clásicos: un certificado con ECDSA P-256 y ML-DSA-44 es válido hoy y seguro contra el algoritmo de Shor en el futuro. En eIDAS, un HSM QSCD como el Thales Luna S750 (firmware 7.7+, que figura en el listado de QSCD certificados en el Dashboard de la UE) genera estas claves duales. Para ECC, que se usó en pasaportes digitales COVID, la urgencia sería alta en otros usos que requieran validez a mayor plazo: 3000 qubits en 2031 podrían atacar estas longitudes de clave. Las claves basadas en RSA-4096 permiten una transición más pausada, pero iniciar PQC híbrido pronto evita prisas futuras.

Archivado Digital: Garantizar la Preservación

El archivado digital es un pilar técnico y regulatorio, especialmente bajo eIDAS (Art. 32), que exige poder validar firmas años después de su realización. Si el algoritmo de Shor rompe claves ECC en 2031 o RSA en 2035, las firmas y sello electrónicos basados en los certificados actuales deben seguir siendo verificables, Por lo que conviene ir adoptando técnicas apropiadas:

  • Sellos de tiempo cualificados: Firmarlos con ML-DSA asegura su resistencia cuántica.
  • Almacenamiento: Bases de datos replicadas y HSMs guardan certificados, CRLs y logs por 7-10 años (siguiendo las pautas de la norma ETSI EN 319 521).

Para CAs con predominio de RSA-4096, reforzar el servicio de archivo electróncio es prioritario: su mayor resistencia da tiempo, pero la trazabilidad es crítica. Para ECC, el archivado complementa PQC, protegiendo datos históricos mientras Shor acecha.

Recomendaciones para Prestadores de Servicios de Confianza DIgital

A modo de resumen

  • Prestadores que emiten certificados ECC : Deben considerar que existe una alta probabilidad de que se puede alcanzar un computador cuántico de 3000-6000 qubits en 2031, por lo que el algoritmo ECC-512 podría estar en riesgo (logaritmo discreto resuelto en O(n3)). Los PSC debería emitir certificados híbridos (ECC + PQC) ya y gestionar el archivo con sellos de tiempo basados en algoritmos PQC.
  • Prestadores que emiten certificados RSA-4096: Se requieren 20,000+ qubits (factorización en O(n3)), por lo que el computador cuántico apropiado podría no llegar hasta hasta 2035+. En este caso convendría priorizar el archivado digital, con sellos de tiempo basados en algoritmos PQC.

El chip Majorana 1, heredero del genio de Ettore, hace que el algoritmo de Shor se convierta en una amenaza más inminente de lo que se pensaba para los algoritmos de criptografía de clave pública ECC y RSA. La respuesta técnica combinará certificados PQC híbridos y un archivado robusto.

XI Congreso Internacional de Derecho Digital ENATIC

Deja un comentario

Madrid acogerá el próximo 27 de febrero de 2025, la undécima edición del Congreso Internacional de Derecho Digital de ENATIC, en la que me han invitado a participar.

El congreso se celebrará en la sede del Consejo General de la Abogacía Española en Paseo de Recoletos 13 – 28004 Madrid y ya es posible inscribirse.

La cita reunirá a expertos de referencia y líderes en sus áreas de actividad en el ámbito del Derecho Digital, como inteligencia artificial, Blockchain, servicios y mercados digitales, ciberseguridad o privacidad.

Estructura de la jornada

9:00 Inaugración. Belén Arribas (Abogada y Presidenta de ENATIC). Participan Miguel Hermosa (Consejero adjunto a Presidencia CGAE), SEDIA, Red.es y ENATIC

9:30 Mesa redonda: Los Derechos Digitales para la nueva era. Modera: Rodolfo Tesone (Presidente emérito ENATIC)

  • Borja Adsuara
  • Ofelia Tejerina
  • Ramsés Gallego

10:15 Mesa redonda: Los Derechos Digitales y la IA. Modera: José Manuel Muñoz

  • Carmen Muñoz
  • Antonio Serrano
  • Belén Arribas

11:00 Pausa – Café

11:30 Mesa redonda: Protección de Datos. Modera: Esther García

  • Francisco Pérez
  • Joana Marí
  • Marcos Mª Judel

12:15 Mesa redonda: Ciberseguridad. Modera: Carlos Saiz

  • Francisco Lázaro
  • Daniel García

13:00 TBD- Enatic, ISMS, ESYS, ICMedia, Registradores

14:00 Comida Asamblea General

15:30 Mesa redonda: Identidad Digital (eIDAS2). Moderada por Pilar Garrido

  • Elena Gil
  • Lucas Carmona
  • Julián Inza

16:15 Mesa redonda: Legaltech. Modera: Carlos Fernández

  • Sara Molina
  • Ferrán Sala

16:45 Mesa redonda: Protección de menores de edad y Ciberseguridad. Moderada por Pilar Tintoré

  • Beatriz Izquierdo
  • Escarlata Gutiérrez

17:15 Modernización de la Justicia. Modera: Laura Fra

  • Miguel Hermosa
  • Ana de la Ser
  • Joaquín Delgado

18:00 Los Derechos Digitales y el Compliance. Leandro Núñez

  • Eloy Velasco
  • Concepción Campos

18:45 Clausura.

  • Belén Arribas
  • Rodolfo Tesone
  • Participan: CGAE, SEDIA, Red.es y ENATIC

Present and Future of the European and Global Remote Signature Market

Deja un comentario

🚨 Last chance to be first to receive the report! 🚨
Be among the first to receive exclusive insights into the European and Global Remote Signature Market—but time is running out! Before February 14th

💡 Share your perspective now in our 👉 survey:
📊 «Present and Future of the European and Global Remote Signature Market»

We’re uncovering key trends, challenges, and opportunities, with a focus on:
✅ Legal frameworks (eIDAS 2.0)
✅ Availability, integration, and adoption of remote signatures
✅ Market dynamics & customer expectations
This survey is conducted by Obserwatorium.biz and Nimbus Technologieberatung GmbH for the Cloud Signature Consortium.
The results will be featured in an upcoming CSC publication.
⏳ Don’t miss your chance—take the survey today!

Se está desarrollando un estudio sobre «Presente y futuro del mercado europeo y mundial de la firma remota» y los que participen en la encuestan recibirán el informe sin coste, tan pronto como se complete. Y quedan pocos días para responder a la encuesta. ¡El plazo acaba el 14 de febrero!

Dos reconocidas consultoras del ámbito de los Servicios de Confianza Digital y EIDAS Obserwatorium.biz y Nimbus Technologieberatung GmbH han diseñado la encuesta para el Cloud Signature Consortium, que publicará los resultados del estudio.

🚨 ¡Última oportunidad para ser de los primeros en recibir el informe! 🚨
Sea de los primeros en recibir información exclusiva sobre el mercado europeo y mundial de la firma a distancia, ¡pero se acaba el tiempo!

💡 Comparte tu perspectiva ahora en esta👉 encuesta::
📊 «Presente y futuro del mercado europeo y mundial de la firma remota»

El estudio está descubriendo tendencias, retos y oportunidades clave, con especial atención a:
✅ Marcos jurídicos (eIDAS 2.0)
✅ Disponibilidad, integración y adopción de firmas remotas
✅ Dinámica del mercado y expectativas de los clientes

Los resultados aparecerán en una próxima publicación del Cloud Signature Consortium.

⏳ No pierda su oportunidad: ¡responda a la encuesta hoy mismo!

Qué son los OID y qué papel juegan en ellos los PEN (Private Enterprise Numbers)

Deja un comentario

Los OIDs (Object Identifiers o Identificadores de Objeto) son elementos fundamentales en los certificados X.509, que se utilizan en las infraestructuras de clave pública (PKI) para crear etiquetas y contenidos que forman parte de los certificados. También se usan para identificar sistemas en contextos de gestión de red SNMP.

SNMP es un tipo de protocolo que permite a los administradores supervisar el estado del hardware y el software de una red. Los dispositivos habilitados para SNMP pueden supervisarse de forma remota con herramientas que muestran el estado de la red para realizar el seguimiento de su rendimiento y la disponibilidad. Los OID forman parte del sistema de identificación de equipos y aplicaciones.

Aunque hay varios organismos en los que gestionar las secuencias numéricas de OID para garantizar que identifican de manera única un concepto, los OID gestionados a través de la herramienta Private Enterprise Numbers (PEN) de la Internet Assigned Numbers Authority (IANA) son los más extendidos.

La norma técnica de referencia (de la codificación ASN1) es la de ITU-T, «Information technology – ASN.1 encoding rules: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER)«, ITU-T Recommendation X.690, February 2021.

Características principales de los OIDs

  • Representación: Los OIDs se representan como una serie de números separados por puntos, formando una estructura jerárquica.
  • Unicidad: Cada OID es único a nivel mundial, lo que permite identificar de manera inequívoca diferentes elementos dentro de un certificado.
  • Estandarización: Proporcionan un enfoque estandarizado para nombrar e identificar elementos en la estructura del certificado X.509.

Funciones de los OIDs en certificados

Los OIDs cumplen diversas funciones importantes en los certificados X.509:

  1. Identificación de algoritmos: Especifican los algoritmos criptográficos utilizados para la firma y verificación de certificados.
  2. Definición de tipos de claves: Identifican diferentes tipos de claves criptográficas empleadas en los certificados.
  3. Especificación de políticas: Definen políticas específicas asociadas con la emisión y uso de certificados.
  4. Usos extendidos de claves: Indican los propósitos para los cuales se puede utilizar la clave pública de un certificado.
  5. Atributos de sujeto y emisor: Definen varios atributos como nombre común, unidad organizativa, país, etc.

Ejemplos de OIDs comunes

  • 2.5.4.3: Corresponde al «Nombre común» dentro de un Nombre distinguido (DN) de un certificado.
  • 1.2.840.113549.1.1.11: Identifica el algoritmo RSA-SSA-PSS para firmas digitales.
  • 2.5.29.15: Indica la extensión «Uso de clave».
  • 0.4.0.1862.1.1: Representa la declaración de certificado cualificado (QcCompliance).

Los OIDs son esenciales para comprender y procesar los certificados X.509 de manera coherente en diferentes sistemas y aplicaciones en todo el mundo. Su uso garantiza la interoperabilidad y la seguridad en el complejo ecosistema de la infraestructura de clave pública.

Private Enterprise Numbers (PEN)

Los Private Enterprise Numbers (PEN) son identificadores únicos asignados por la Internet Assigned Numbers Authority (IANA) a organizaciones para diversos propósitos dentro de estándares de red y protocolos. Se utilizan principalmente en la identificación de objetos dentro de esquemas de numeración, como en OID (Object Identifiers). Estos identificadores son los más adoptados por los Prestadores de Servicios de Certificación y comienzan con la secuencia de números; 1.3.6.1.4.1.

Por ejemplo, el de EADTrust es 1.3.6.1.4.1.501.

En la web de IANA es posible solicitar y consultar los identificadores PEN. También hay un listado completo de PEN – Private Enterprise Numbers.

Uso en Prestadores de Servicios de Certificación (PSC)

En el contexto de los Prestadores de Servicios de Certificación (PSC) y la infraestructura de clave pública (PKI), los PENs son esenciales porque:

  1. Definen OID personalizados: Los PSC necesitan OIDs para definir sus políticas de certificación, perfiles de certificados, extensiones personalizadas y atributos dentro de certificados digitales.
  2. Garantizan unicidad: Como los OIDs se utilizan en certificados digitales y listas de revocación (CRLs), cada autoridad de certificación (CA) necesita identificadores únicos, y un PEN asignado por IANA garantiza que no haya colisiones.
  3. Facilitan la interoperabilidad: Muchas entidades gubernamentales y privadas exigen que los PSC definan sus propias políticas de certificación usando OIDs únicos, los cuales derivan de su PEN.

EADTrust, la entidad líder en Digital Transaction Management (DTM)

Deja un comentario

El concepto Digital Transaction Management (DTM), Gestión de Transacciones Digitales engloba un conjunto de servicios y tecnologías basados en la nube diseñados para gestionar digitalmente transacciones basadas en documentos. El objetivo principal de la Gestión de Transacciones Digitales es eliminar la fricción inherente a las transacciones que involucran personas, documentos y datos, creando procesos más rápidos, fáciles, convenientes y seguros.

Los componentes clave de un sistema DTM incluyen:

  1. Firmas electrónicas: Permiten la vinculación de documentos a sus firmantes, su autenticación segura y la atribución legalmente vinculante de documentos firmados.
  2. Gestión de documentos y transacciones: Incluye almacenamiento digital, asociado al concepto de custodia, organización y recuperación eficiente de documentos y operaciones.
  3. Automatización de flujos de trabajo: Reduciendo tareas manuales y mejorando la consistencia de los procesos.
  4. Protocolos de seguridad: Implementando el cifrado donde se precisa (teniendo en ciuenta los riesgos que anuncia la computación cuántica) y controles de acceso para proteger información sensible.
  5. Autenticación digital: Verificando la identidad de los participantes en las transacciones.
  6. Gestión de evidencias digitales para favorecer la fuerza probatoria en contextos de resolución de controversias.
  7. Gestión de entornos híbridos de documentos digitales y en papel, con gestión de la digitalización cualificada de documentos en papel con fuerza probatoria y documentos nacidos digitales que se pueden usar impresos por la posibilidad de cotejo de su CSV (Código Seguro de Verificación) en su sede electrónica de referencia.

Los servicios de EADTrust encajan perfectamente en el concepto de Digital Transaction Management, ya que ofrecen varias soluciones clave que son fundamentales para la gestión digital de transacciones:

  1. Firmas electrónicas cualificadas: EADTrust emite certificados cualificados para personas físicas y entidades legales, que permiten la creación de firmas y sellos electrónicos avanzados y cualificados. También ofrece servicios de comprobación de las firmas electrónicas que se reciben en las entidades.
  2. Sellos de tiempo cualificados: Estos sellos permiten probar el momento exacto en que ocurrió un evento digital, dejando un registro irrefutable de la fecha, hora y contenido del evento mediante criptografía. Se asocia un sello de teiempo con cada transacción.
  3. Custodia digital: EADTrust ha desarrollado una tecnología que permite a los usuarios almacenar documentos digitalmente, pudiendo probar su autenticidad a través de CSV y su inalterabilidad mediante métodos criptográficos avanzados. En línea con la normativa de eArchivos de EIDAS2
  4. Notificaciones certificadas (Noticeman): Ofreciendo una plataforma de gestión de correo electrónico y SMS certificados que permite registrar la identidad del remitente, el receptor, el contenido y el momento exacto en que se realizaron las comunicaciones.
  5. Servicios corporativos: Proporcionan testimonios de publicación de documentos a las entidades obligadas para convocatorias de juntas generales de accionistas, foros y gestión de voto electrónico, cumpliendo con la Ley de Sociedades de Capital.
  6. Custodia de claves privadas: Celebran ceremonias de creación de claves, generando pares de claves asimétricas y manteniendo la clave privada para garantizar la integridad. Estos servicios son esenciales en la gestión de firmas manuscritas capturadas en tabletas digitalizadoras

Estos servicios de EADTrust abordan aspectos críticos de DTM, como la autenticación, la seguridad, la gestión de documentos y el cumplimiento normativo. Al ofrecer estas soluciones, EADTrust contribuye significativamente a la transformación digital de las empresas, permitiéndoles gestionar sus transacciones de manera más eficiente, segura y conforme a la normativa vigente.

En relación con las Carteras IDUE ayuda a adaptarse a las entidades obligadas por mandato del Reglamento EIDAS2 en el articulo 5 septies: 

Cuando el Derecho de la Unión o nacional exija que las partes usuarias privadas que prestan servicios —con la excepción de las microempresas y pequeñas empresas según se definen en el artículo 2 del anexo de la Recomendación 2003/361/CE de la Comisión ( 5 )— utilicen una autenticación reforzada de usuario para la identificación en línea, o cuando se requiera una autenticación reforzada de usuario para la identificación en línea en virtud de una obligación contractual, en particular en los ámbitos del transporte, la energía, la banca, los servicios financieros, la seguridad social, la sanidad, el agua potable, los servicios postales, la infraestructura digital, la educación o las telecomunicaciones, dichas partes usuarias privadas también aceptarán, a más tardar treinta y seis meses a partir de la fecha de entrada en vigor de los actos de ejecución a que se refieren el artículo 5 bis, apartado 23, y el artículo 5 quater, apartado 6, y únicamente a petición voluntaria del usuario, las carteras europeas de identidad digital proporcionadas de conformidad con el presente Reglamento.

Como son los nuevos certificados que necesitan los organismos sanitarios para adherirse a la red mundial de certificación sanitaria digital tras la finalización de la pandemia COVID

Deja un comentario

Para facilitar una libre circulación segura durante la pandemia de COVID-19, la Unión Europea creó el certificado COVID digital de la UE.  

El 1 de julio de 2023, la Organización Mundial de la Salud (OMS) adoptó el sistema de la UE de certificación digital de la COVID-19 para establecer un sistema mundial que ayude a proteger a los ciudadanos de todo el mundo de las amenazas sanitarias actuales y futuras, incluidas las pandemias.

El certificado COVID digital de la UE ha sido un elemento crucial en la respuesta de Europa a la pandemia de COVID-19, con más de 2 300 millones de certificados expedidos.

El certificado, que abarcaba la vacunación, las pruebas de diagnóstico y la recuperación de la COVID-19, facilitó la seguridad de los desplazamientos de los ciudadanos, y también fue fundamental para apoyar al sector turístico europeo, duramente afectado.

El Reglamento sobre el certificado COVID digital de la UE comenzó a ser aplicable el 1 de julio de 2021 y expiró el 30 de junio de 2023. 

La adopción de las especificaciones del certificado COVID digital de la UE por parte de la OMS en 2023 se apoya en un acuerdo de amplio alcance en el ámbito de la sanidad digital.

Se ha concretado en la RECOMENDACIÓN (UE) 2023/1339 DEL CONSEJO de 27 de junio de 2023 relativa a la adhesión a la red mundial de certificación sanitaria digital establecida por la Organización Mundial de la Salud y a las disposiciones temporales para facilitar los viajes internacionales ante la expiración del Reglamento (UE) 2021/953 del Parlamento Europeo y del Consejo

En la recomendación se indica:

  1. El Consejo acoge con satisfacción la intención de la Comisión de cooperar estrechamente con la OMS en el desarrollo de la red mundial de certificación sanitaria digital, lo que permitirá a la OMS incorporar en su propia estructura el marco de confianza del certificado COVID digital de la UE, así como sus principios y tecnologías abiertas, sobre la base de las especificaciones técnicas previamente establecidas en la Decisión de Ejecución (UE) 2021/1073.
  2. Se anima a los Estados miembros a que se conecten a la red mundial de certificación sanitaria digital que está estableciendo la OMS, siempre que en el Derecho nacional exista una base jurídica adecuada, a la mayor brevedad y a más tardar el 31 de diciembre de 2023.
  3. Se alienta a cada Estado miembro que desee incorporarse a la red mundial de certificación sanitaria digital de la OMS a que expida un nuevo certificado de firmante de documentos con la máxima validez técnica posible y a que lo registre en la pasarela de la UE antes de la expiración del Reglamento (UE) 2021/953.
  4. El Consejo acoge con satisfacción la intención de la Comisión de facilitar una transición fluida del sistema de certificado COVID digital de la UE a la red mundial de certificación sanitaria digital de la OMS. No obstante, corresponde a los Estados miembros decidir si conectarse a la red mundial de certificación sanitaria digital y si hacerlo con la tecnología existente o realizar la conexión en una fase posterior.

De modo que en España, estos certificados, que emite EAdTrust, serán como máximo de 5 años, según la normativa aplicable

EADTrust ha tenido un rol clave en la implementación del Pasaporte COVID en España:

  • Es el principal emisor de los certificados electrónicos utilizados por los organismos sanitarios españoles para firmar los Pasaportes COVID.
  • Emite certificados cualificados de Sello de Entidad basados en Criptografía de Curva Elíptica, considerados más seguros
  • Su Autoridad de Certificación Subordinada ECC se convirtió en la principal CSCA (Certificate Signing Certificate Authority) de España para este propósito, asumiendo el rol de autoridad de certificación raíz (de los certificados de pasaportes)

Estos fueron los certificados emitidos a los organismos sanitarios a nivel mundial para que firmaran los pasaportes COVID mientras estuvo vigente la normativa.

En la actualidad, la lista de certificados de organismos sanitarios firmantes (EU DCC Trust List) la gestiona la Comisión Europea. Es una Lista de DCC (Digital COVID Certificate) comprimida en formato ZIP.

En este blog ya se han incluido otros artículos en relación con los certificados COVID:

Los organismos sanitarios deberían contactar con EADTrust en el +34 91 716 0555 para ver la forma de obtener estos certificados.

Disponibles los primeros borradores de normas ETSI para la Cartera IDUE y aspectos especiales de los certificados electrónicos

Deja un comentario

El ETSI (European Telecommunications Standards Institute) y el CEN (European Committee for Standardization) desempeñan un papel crucial en el desarrollo de normas técnicas para facilitar la implementación de la Cartera de Identidad Digital Europea (Cartera IDUE o EUDI Wallet) establecida por el Reglamento (UE) 2024/1183 (eIDAS2).

Entre otros aspectos se busca garantizar la interoperabilidad y la seguridad de la Cartera IDUE (EUDI Wallet) en toda Europa. ETSI y CEN están trabajando en la actualización y adaptación de normas preexistentes para alinearlas con los requisitos de eIDAS2 o creando nuevas normas si es necesario.

Por estas fechas se han publicado las versiones en estado borrador de las siguientes normas de ETSI:

  • Nuevo OID a incluir en los certificados cualificados con los que los organismos públicos firmen Testimonio o Declataciones de Atributos. 0.4.0.1862.1.10
ESI(24)000059r3_CR5_on_412-5_-_PSB_certificate_extension_to_412-5_to_support-publicDescarga
  • Implementación de Certificados Cualificados de Sitio WEB a la luz del Reglamento UE 2014/1183. Ampliación de la normativa de servicios de emisión de certificados EN 319 411. Norma de Evaluación (Requerimientos de Política y Seguridad) TS 119 411-5
ETSI DRAFT TS_119_411-5v1.1.7-publicDescarga
  • Norma para evaluar a los Prestadores de Servicios de Expedición de Testimonios/Credenciales de Atributos. Requerimientos de Política y Seguridad TS 119 471
ETSI DRAFT TS_119_471v0.0.11-publicDescarga
  • Caracterización de «Partes Usuarias» o «Partes Informadas» para que puedan realizar consultas a las Carteras IDUE. Incluye OIDs específicos . Atributos en los certificados de Partes informadas TS 119 475.
ETSI DRAFT TS_119_475v0.0.4-publicDescarga

Nuevos borradores de Actos de Ejecución necesarios para el desarrollo de la Cartera IDUE (Identidad Digital de la Unión Europa) correpondientes al segundo lote

3 respuestas

El viernes 29 de noviembre de 2024 la Comisión Europea publicó nuevos borradores de Actos de Ejecución necesarios para el desarrollo de la Cartera IDUE (Identidad Digital de la Unión Europea) en el portal ‘Have your say’ (Díganos lo que piensa), solicitando comentarios de los expertos y partes interesadas hasta el 27 de diciembre.

Este segundo lote podría publicarse, tras las modificaciones propuestas que se hayan aceptado, en marzo de 2025 en el Diario Oficial.

Wallet lists
This implementing act sets out rules for the submission to the Commission of information on certified wallet solutions and their associated electronic identification schemes by EU countries. It also sets out the requirements for the secure electronic system to be set up by the Commission for receiving the submissions.

Este acto de ejecución establece normas para la notificación a la Comisión por los países de la UE de la información sobre sus soluciones certificadas de cartera y los esquemas de identificación electrónica asociados. También establece los requisitos para el sistema electrónico seguro que debe desplegar la Comisión para recibir las notificaciones.

Draft implementing regulation – Ares(2024)8509195

Draft implementing regulation – Ares(2024)8509195-090166e51561e6d5Descarga

Annex – Ares(2024)8509195

Annex – Ares(2024)8509195-090166e51561e6d4Descarga

Identity matching – Cross-border identity matching of natural persons by public sector bodies (RP)

This implementing act sets out the provisions on unequivocal identity matching when using electronic identification means or European Digital Identity Wallets. It sets out what EU countries must do to ensure unequivocal identity matching when users want to access online cross-border public services when using electronic identification means or European digital identity wallets.

Este acto de ejecución establece las disposiciones sobre la correspondencia inequívoca de identidades cuando se utilizan medios de identificación electrónica o carteras europeas de identidad digital. Establece lo que deben hacer los países de la UE para garantizar la concordancia inequívoca de la identidad cuando los usuarios deseen acceder a servicios públicos transfronterizos en línea utilizando medios de identificación electrónica o carteras digitales de identidad europea.

Draft implementing regulation – Ares(2024)8509332

Draft implementing regulation – Ares(2024)8509332-090166e51561f3b3Descarga


Relying parties – The registration of relying parties and the common mechanism for allowing the identification and authentication of relying parties

This act sets out the provisions on the process for registering relying parties in EU countries. The provisions relate to information necessary for authentication to access European Digital Identity Wallets, and to relying parties’ contact details and their intended use of wallets, including what data relying parties may ask users for. The provisions include specifications and requirements for relying party access certificates issued after the registration of a wallet relying party.

Este acto establece las disposiciones sobre el proceso de registro de las partes usuarias (partes informadas) en los países de la UE. Las disposiciones se refieren a la información necesaria para la autenticación con el fin de acceder a las carteras de identidad digital europea, así como a los datos de contacto de las partes usuarias y el uso previsto de las carteras, incluidos los datos que las partes usuarias pueden solicitar a los usuarios. Las disposiciones incluyen especificaciones y requisitos para los certificados que habilitan el acceso de las partes usuarias a las que se expide tras su registro como parte usuaria (parte informada) de cartera.

Draft implementing regulation – Ares(2024)8509234

Draft implementing regulation – Ares(2024)8509234- 090166e51562041cDescarga

Annex – Ares(2024)8509234

Annex – Ares(2024)8509234-090166e51562041dDescarga

Security Breaches

This implementing act sets out rules for EU countries to have mechanisms in place to ensure the suspension and, where applicable, withdrawal of European Digital Identity Wallets if there is a security breach or partial compromise affecting a wallet’s reliability.

Este acto de ejecución establece normas para que los países de la UE dispongan de mecanismos que garanticen la suspensión y, en su caso, la retirada de las carteras de identidad digital europea si se produce una violación de la seguridad o un incidente de seguridad parcial que afecte a la fiabilidad de la cartera.

Draft implementing regulation – Ares(2024)8509261

Draft implementing regulation – Ares(2024)8509261-090166e51561f731Descarga

Annex – Ares(2024)8509261

Annex – Ares(2024)8509261-090166e51561f730Descarga

Electronic Attestations of Attributes

For the successful implementation of European Digital Identity Wallets, this implementing act sets out requirements for issuing and validating electronic attestations of attributes.

It also establishes a catalogue of attributes that must be verifiable against authentic sources, and sets out rules on notifying and publishing information on public sector bodies that issue attestations of attributes and are responsible for managing the authentic sources these attestations come from. 

Para implantar con éxito las Carteras de Identidad Digital Europea, este acto de ejecución establece requisitos para la emisión y validación de declaraciones electrónicas o testimonios electrónicos de atributos.

También establece un catálogo de atributos que deben poder verificarse a partir de fuentes auténticas, así como normas sobre notificación y publicación de información sobre los organismos del sector público que expiden declaraciones o testimonios de atributos y son responsables de la gestión de las fuentes auténticas de las que proceden dichos certificados.

Draft implementing regulation – Ares(2024)8509285-090166e515620562Descarga
Annex – Ares(2024)8509285-090166e515620563Descarga

Se pueden ver todas las iniciativas en el portal ‘Have your say‘ (Díganos lo que piensa)

Justamente el dia anterior, 28 de noviembre de 2024, se hizo oficial la aprobación de los actos de ejecución del lote 1 y lo comenté en este Blog.

También he comentado en este blog la aprobación formal del primer lote de actos de ejecución que tuvo lugar el dia 21 de noviembre de 2024. En ese artículo se incorporaba el texto con las modificaciones introducidas a los borradores de Actos de Ejecución publicados en agosto que se llevaban al Comité EIDAS para su aprobación.

Ese primer lote de borradores de los primeros actos de ejecución (implementing acts) se publicaron 12 de agosto de 2024 y se abrió un plazo hasta el 9 de septiembre de 2024 para que se pudieran enviar comentarios. También me referí a ellos en el Blog.

La Comisión adopta varias normas necesarias para el despliegue de la Carteras de Identidad Digital Europea

1 respuesta

La Comisión ha adoptado el 28 de noviembre de 2024 el primer paquete de normas para las funcionalidades básicas y la certificación de la Cartera de Identidad Digital Europea (eID ) con arreglo al Marco Europeo de Identidad Digital. Se trata de un paso importante para que los Estados miembros creen sus propias Carteras y las pongan en circulación antes de que finalice 2026.

Cuatro reglamentos de ejecución establecen normas, especificaciones y procedimientos uniformes para las funcionalidades técnicas de las carteras, como los formatos de datos necesarios para el uso transfronterizo de documentos digitales y las medidas para garantizar la fiabilidad y seguridad de las carteras. El establecimiento de normas y especificaciones uniformes permitirá a cada Estado miembro desarrollar carteras interoperables y aceptadas en toda la UE, protegiendo al mismo tiempo los datos personales y la privacidad. Los datos se almacenan localmente en la cartera, y los usuarios tienen el control sobre la información que comparten, sin posibilidad de rastreo o de elaboración de perfiles en el diseño de las carteras. También se incorporará un cuadro de mandos de privacidad que ofrecerá total transparencia sobre cómo y con quién se comparte la información de la cartera.

El quinto Reglamento de ejecución establece especificaciones y procedimientos para crear un marco robusto de certificación de las carteras electrónicas, garantizando su seguridad y la protección de la intimidad y de los datos personales de los usuarios.

Las carteras de identidad digital europea ofrecerán a los usuarios particulares y a las empresas una forma universal, fiable y segura de identificarse cuando accedan a servicios públicos y privados de su país y de otros países de la Unión Europea.

Algunos ejemplos de uso de las carteras digitales son la apertura de una cuenta bancaria, la posibilidad de demostrar la edad sin revelar la fecha de nacimiento, la posibilidad de exhibir recetas médicas para su dispensación, el alquiler de un coche o la presentación de billetes de avión en un punto de embarque.

La normativa de aplicación se publicará en breve en el Diario Oficial de la Unión Europea y entrará en vigor 20 días después.

Ya comenté en este blog la aprobación en la tercera reunión del Grupo EIDAS del 21 de noviembre.

Fuente de la noticia: Daily News 28 / 11 / 2024.

Gracias a Joerg Lenz que lo comentó en LinkedIn

Aprobados los actos de ejecución de EIDAS2 del primer lote

2 respuestas

El 21 de noviembre de 2024, la tercera reunión del Comité eIDAS dio lugar a la adopción de cinco actos de ejecución claves para el reglamento eIDAS2.

Estos actos establecen las especificaciones técnicas y los procedimientos para la Cartera de Identidad Digital Europea (𝗘𝘂𝗿𝗼𝗽𝗲𝗮𝗻 𝗗𝗶𝗴𝗶𝘁𝗮𝗹 𝗜𝗱𝗲𝗻𝘁𝗶𝘁𝘆 𝗪𝗮𝗹𝗹𝗲𝘁), incluidas las normas de referencia para los certificados electrónicos y las medidas de seguridad. La Comisión hizo hincapié en que estos actos son cruciales para garantizar la interoperabilidad y la seguridad entre los Estados miembros, con un plazo para que los Estados miembros proporcionen al menos un monedero de identidad digital para 2026.

Los proyectos de actos de ejecución aprobados están relacionados con los Artículos 𝟱𝗮(𝟮𝟯) (5 bis) y 𝟱𝗰(𝟲) (5 quater) del Reglamento (UE) nº 910/2014 (eIDAS), modificado por el REGLAMENTO (UE) 2024/1183 (eIDAS2) . Estos artículos se refieren al marco jurídico de la identificación electrónica y los servicios de confianza en toda la Unión Europea.

La versión aprobada fue publicada previamente por el parlamento austriaco. Está disponible una copia local de ese texto de los «Implementing Acts»:

parlament-gv-at-imfname_11416115Descarga

Hay que recordar que los primeros borradores públicos se difundieron el 12 de agosto de 2024, y ya preparé un artículo sobre ello: Actos de ejecución de #EIDAS2 que incluye los textos publicados en aquella ocasión.

No he verificado aun qué diferencias hay entre los nuevos textos y los de agosto, pero más abajo hago referencia a la información publicada por Epicenter Work.

A continuación comparto el enlace a los resultados de las votaciones según los temas individuales del orden del día (ver mi post anterior con los textos de los borradores vigentes en agosto de 2024).

1. 𝗔𝗿𝘁𝗶𝗰𝗹𝗲 𝟱𝗮: 𝗜𝗻𝘁𝗲𝗴𝗿𝗶𝘁𝘆 𝗮𝗻𝗱 𝗖𝗼𝗿𝗲 𝗙𝘂𝗻𝗰𝘁𝗶𝗼𝗻𝗮𝗹𝗶𝘁𝗶𝗲𝘀
Artículo 5 bis. Carteras de identidad digital europea – Integridad y funcionalidades básicas.

Descripción de las características esenciales para garantizar la fiabilidad de los sistemas compatibles con eIDAS.

2. 𝗔𝗿𝘁𝗶𝗰𝗹𝗲 𝟱𝗮: 𝗣𝗿𝗼𝘁𝗼𝗰𝗼𝗹𝘀 𝗮𝗻𝗱 𝗜𝗻𝘁𝗲𝗿𝗳𝗮𝗰𝗲𝘀
Artículo 5 bis. Carteras de identidad digital europea – Protocolos e interfaces.

Establecimiento de normas técnicas para la interoperabilidad entre los sistemas eIDAS.

3. 𝗔𝗿𝘁𝗶𝗰𝗹𝗲 𝟱𝗮: 𝗣𝗜𝗗 & 𝗘𝗔𝗔
Artículo 5 bis. Carteras de identidad digital europea – Datos de identificación de la persona y Declaraciones electrónicas de atributos.

Aclaraciones sobre el tratamiento de los Datos de Identificación Personal (DIP) y Declaraciones de atributos en la Arquitectura de la Cartera de Identidad Digital Europea.

4. 𝗔𝗿𝘁𝗶𝗰𝗹𝗲 𝟱𝗮: 𝗪𝗮𝗹𝗹𝗲𝘁 𝗘𝗰𝗼𝘀𝘆𝘀𝘁𝗲𝗺 𝗡𝗼𝘁𝗶𝗳𝗶𝗰𝗮𝘁𝗶𝗼𝗻𝘀
Artículo 5 bis. Carteras de identidad digital europea – Notificaciones a la Comisión en relación con el Ecosistema de la Cartera de identidad digital europea.

Introducción de actualizaciones para los requisitos de notificación dentro del ecosistema de carteras digitales.

5. 𝗔𝗿𝘁𝗶𝗰𝗹𝗲 𝟱𝗰: 𝗖𝗲𝗿𝘁𝗶𝗳𝗶𝗰𝗮𝘁𝗶𝗼𝗻
Artículo 5 quater. Certificación de las carteras europeas de identidad digital.

Definición del proceso de certificación de Carteras.

Aspectos controvertidos

1. 𝗢𝗽𝗲𝗻 𝗦𝗼𝘂𝗿𝗰𝗲 𝗥𝗲𝗾𝘂𝗶𝗿𝗲𝗺𝗲𝗻𝘁: La obligación de que el código fuente de la Cartera Europea de Identidad Digital se publique bajo una licencia de código abierto suscitó preocupaciones sobre la seguridad y la propiedad intelectual.

2. 𝗠𝗮𝗻𝗱𝗮𝘁𝗼𝗿𝘆 𝗗𝗮𝘁𝗮 𝗗𝗶𝘀𝗰𝗹𝗼𝘀𝘂𝗿𝗲: las propuestas que exigen la divulgación de un conjunto mínimo de datos para la identificación podría entrar en conflicto con la protección de la privacidad y obstaculizar las alternativa de empleo de métodos de divulgación selectiva.

3. 𝗨𝗻𝗶𝗾𝘂𝗲 𝗜𝗱𝗲𝗻𝘁𝗶𝗳𝗶𝗲𝗿𝘀: la introducción de identificadores únicos para los usuarios encontró oposición debido a posibles violaciones de la privacidad y conflictos con las leyes nacionales vigentes en algunos Estados miembros.

Cambios en los borradores sometidos a votación, respecto a las versiones de agosto

A continuación se detallan los cambios relevantes en el último borrador de los actos de ejecución del artículo 5 bis del eIDAS (con los cambios de EIDAS2). El análisis procede de Epicenter Works que había identificado aspectos controvertidos. La base de este análisis es el texto que fue enviado por la Comisión Europea el pasado 15. noviembre de 2024 y se votó el 21de Noviembre. Desde entonces, el texto ha sido publicado por el parlamento austriaco. Para facilitar la comprensión, este documento puede leerse conjuntamente con las presentaciones anteriores de esta entidad (Epicenter Works).

1. Inobservabilidad

Al retirar una adición en la definición de «instancia de cartera», ahora se garantiza una vez más que los registros de transacciones solo permanezcan en el dispositivo del usuario final. Anteriormente, la información sobre el comportamiento de uso concreto de todos los usuarios de la cartera habría sido visible para el operador de la cartera a través del almacenamiento de todos los registros de transacciones en el servidor. Esto contradice el principio de inobservabilidad establecido en el artículo 5 bis, apartado 14, y en el considerando 32 del Reglamento. Esta enmienda refleja la recomendación de Epicenter Works.

2. Regulación de casos de uso

El registro de los usuarios de confianza que incluye los atributos que pretenden solicitar ahora se refleja en la introducción de los «certificados de registro de usuarios de confianza de cartera». Gracias a las modificaciones introducidas en los artículos 2 y 3 del acto de ejecución sobre protocolos e interfaces, ahora se advierte al usuario al menos si la parte usuaria va más allá de su registro. De conformidad con el artículo 5b, apartado 3, del eIDAS, estas solicitudes de información que vayan más allá del registro serían ilegales. Los Estados miembros individuales ahora pueden ir más allá y evitar por completo que tales consultas ilegales se presenten al usuario. Esta no es la solución óptima, pero al menos una arquitectura que permita proteger a los usuarios y que pueda evitar que se repita un desastre de banner de cookies.

3. Divulgación selectiva

Si los consumidores se enfrentan a solicitudes de información, tienen derecho, en virtud del Reglamento eIDAS, a responderlas en su totalidad, no responderlas en absoluto o responderlas de forma parcial o selectiva. Este principio de divulgación selectiva no se incluyó anteriormente en los actos de ejecución y ahora se ha adoptado con la redacción de las enmiendas propuestas por el Tribunal en el artículo 3 del acto de ejecución sobre protocolos e interfaces.

Una desacierto sería que en el artículo 14 del acto de ejecución sobre integridad y funcionalidades básicas, el uso de un seudónimo sigue yendo de la mano con la transferencia de datos personales solicitada sin necesidad de un consentimiento por separado.

4 Derecho al seudónimo

Epicenter Works Lamenta que el artículo 14 del acto de ejecución sobre integridad y funcionalidades básicas no ha adoptado sus recomendaciones. Y, el considerando 14 se limita a reiterar el tenor literal del Reglamento. La norma técnica del Anexo V también ha cambiado aquí de «WebAuthn» a «Credenciales Verificables». Incluso después de consultar con varios negociadores, existe confusión en cuanto a cómo exactamente se supone que esto funciona para la autenticación y la declaración de atributos.

Parece preocupante que todavía no hay una forma técnica de que la cartera pueda averiguar si un caso de uso específico está sujeto a una obligación legal de identificar al usuario (KYC: Know Your Customer). Sin embargo, esta distinción es necesaria para garantizar el derecho al seudónimo en los casos que no se exija el cumplimiento de la normativa KYC.

5. Ampliación de las bases de datos

El anexo del PID contiene dos nuevos campos de datos opcionales: correo electrónico y número de teléfono. Estos dos identificadores únicos causan preocupación a Epicenter Works y se agregaron en la última versión del texto.

Este artículo está basado en la publicación en LinkedIn de Roberto Garavaglia y la citada de Epicenter Works