Archivo de la categoría: Prestadores de Servicios de Certificación

Firma electrónica en arquitectura SOA

2 respuestas

El próximo 5 de Mayo de 2011 se celebra en Madrid, en el Hotel Nuevo Madrid y organizado por Atenea Interactiva un nuevo seminario sobre Firma electrónica en arquitectura SOA, destinado a las entidades públicas y privadas. Las primeras obligadas por la ley 11/2007, y las segundas, por la ley 56/2007, y todas aprovechando las oportunidad que brinda la ley 59/2003. Por tan solo 350 euros +IVA.

Para garantizar la confidencialidad y la integridad de las transacciones, así como la identificación inequívoca de su autor  es necesario recurrir a soluciones basadas en Técnicas Criptográficas, Certificación Digital y Firma Electrónica. En soluciones que redunden en la confianza de las transacciones para todos los participantes. En el marco de  Ley de Firma Electrónica publicada en 2003 se han establecido hasta la fecha las bases para conseguir extender el uso y desarrollo de estas tecnologías en la Sociedad de la Información.

Ocho años después, la evolución de las  TICs  hacia entornos basados en el Cloud Computing y la movilidad, están cambiando los paradigmas preestablecidos respecto a la  Firma Electrónica y a  la Identidad Digital, creando a su vez un abanico de servicios relacionados hasta ahora prácticamente desconocidos.

Conceptos como la  Firma Remota, la Gestión centralizada de claves, la Firma electrónica en Movilidad, la Firma Digitalizada, la Custodia de documentos  a largo plazo y los nuevos escenarios creados por el desarrollo de la  Administración Electrónica y sus normas de aplicación, especialmente en lo relativo a la adecuación de los  Esquemas Nacionales de Interoperabilidad y Seguridad, están haciendo evolucionar los recursos de  PKI de un contexto  basado en aplicaciones distribuidas hacia un elemento crítico de infraestructura y el consumo de servicios de  Firma Electrónica.

Este es el programa:

1.- Service-oriented architecture

  • Iniciación a SOA
  • Descripción de entornos típicos de SOA

2. Cumplimiento de obligaciones con SOA

  • Sector Privado: cumplimiento de las obligaciones de Interlocución Telemática de la Ley 56/2007 con SOA
  • Sector Público: cumplimiento de las obligaciones de Administración Electrónica de la Ley 11/2007 con SOA

3. Conceptos de Firma Electrónica y PKI

  • Propiedad de la Firma Electrónica
  • Conceptos Criptográficos
  • Los Certificados Electrónicos. Tipos
  • El proceso de Firma Electrónica
  • Legislación

4. La Firma Electrónica como elemento de Arquitectura

  • La Firma Electrónica como servicio
  • Servidores de Firma y Validación
  • Repositorios de claves centralizadas
  • Despliegue de PKIs internas
  • Dispositivos criptográficos. HSM

5. Servicios avanzados de PKI

  • Firmas remotas y “upgrade” de firmas
  • Servicios de Validación de firmas y certificados centralizados. CRL, CSP, SCVP
  • Servicios de Sellado de Tiempo
  • Firma en entornos móviles. Posibles enfoques
  • Firma manuscrita digitalizada y servicios PKI avanzados.

6. Formatos y estándares de firma

  • Tipos de Firma “legales”
  • Formatos básicos
  • Formatos AdES. XAdES, CAdES y PAdES (TS 101 733, TS 101 903, TS 102 778)
  • Estándar Oasis DSS (Digital Signature Services). Descripción y perfiles
  • Firmas longevas, la importancia de la firma en la conservación de documentos
  • La importancia de las políticas de firma

7. Firma e Identidad Electrónica en las Administraciones
Públicas

  • La Firma Electrónica en la Ley 11/2007, el ENI y el ENS. Norma CCN-STIC-807
  • Procesos de firma automatizados. Sello de órgano y CSV
  • Servicios de Firma y Validación disponibles para Administraciones Públicas
  • Identidad Digital y Administración Pública
  • Políticas de firma en las AAPP. Descripción y Diseño
  • Interoperabilidad. TSL (Ttrust Services Status List) TS 102 231. Proyecto Stork

Seminario de Diplomática Digital

2 respuestas

La diplomática es una ciencia auxiliar de la historia que se ocupa de la autenticidad de los documentos, y que se definió inicialmente en 1681 a partir de la obra fundacional “De re diplomática” del benedictino Jean Mabillon.

En el ámbito de las Administraciones Públicas ha dado lugar al concepto de “diplomática contemporánea” que se ha uniformizado gracias a la Ley 30/1992.

Con la Ley 11/2007 se les da un nuevo impulso a los aspectos digitales de la diplomática, pero quienes tienen que implantarlos se encuentran frecuentemente con que no tienen el bagaje conceptual que permita resolver las dudas de aplicación más allá de la letra de la ley.

En el sector privado, la LSSI y el artículo 2 de la Ley 56/2007 marcan una orientación en la Gestión Electrónica de Documentos, pero hay dudas sobre el valor jurídico de muchas de las iniciativas destinadas a mejorar la eficiencia en la Gestión de Documentos. Cuando los proyectos de desmaterialización documental se acometen, se experimentan ahorros de decenas de millones de euros (en función de la dimensión de los proyectos), y períodos de recuperación de la inversión de entre 9 y 12 meses.

Atenea Interactiva organiza el próximo 24 de marzo de 2010 en el Hotel Nuevo Madrid el Seminario «Diplomática Digital«, en el que se desarrollan los conceptos claves para manejar documentos electrónicos auténticos, de la mano de expertos en Gestión Documental Electrónica de carácter probatorio, y se contextualizan en el marco jurídico español, aunque las ideas claves sean de aplicación universal.

El coste del evento es de 350 € + IVA (18%). Total 413 € por asistente. Este es el formulario de inscripción. Y este es el programa:

CONCEPTOS DE DIPLOMÁTICA

  • Archivística, Paleografía, Sigilografía.
  • Cartularios, Códices Diplomáticos, Tumbos, Becerros
  • Autenticidad de los documentos en papel
  • Partes de un documento
  • Tipos de documentos

MARCO LEGAL

  • Normativa en relación con los archivos
  • Normativa en relación con la Firma Electrónica
  • Normativa de Administración Electrónica
  • Normativa sobre Contratación Electrónica
  • Estándares aplicables en la Gestión de Documentos Electrónicos

DIPLOMÁTICA DIGITAL

  • Autenticidad de los Documentos Electrónicos. Obliterabilidad, Endosabilidad, Completitud
  • Firma Electrónica. Firma Avanzada. Firma Completa
  • Custodia Digital. Cartulario Digital. Archivo de Constancias Electrónicas. Código de Verificación
  • Convivencia de Documentos Electrónicos y de papel. Albalá, Copia constatable, Digitalización Certificada. Localizador

GESTIÓN DE DOCUMENTOS EN EL SECTOR PÚBLICO

  • Sede Electrónica. Código seguro de verificación.
  • Registro de entrada, registro de salida, registro telemático, interconexión de registros. SICRES.
  • Expediente Electrónico
  • Digitalización de Documentos
  • Interoperabilidad de Gestión de Documentos entre Administraciones
  • Clasificación de documentos. Metadatos.
  • Notificaciones Fehacientes. Notificaciones Obligatorias.

GESTIÓN DE DOCUMENTOS EN EL SECTOR PRIVADO

  • Contratos. Novación Electrónica. Prestación del consentimiento.
  • Digitalización Certificada de facturas. Digitalización Certificada de otros tipos de documentos.
  • Uso de la Firma Electrónica.
  • Requisitos de la digitalización de la firma manuscrita para que sea considerada Firma Electrónica avanzada. Tabletas digitalizadoras, bolígrafos electrónicos.
  • Notificaciones Fehacientes. Correo Electrónico Certificado

GESTIÓN DE DOCUMENTOS ELECTRÓNICOS EN ENTORNOS JURISDICCIONALES

  • La Prueba Electrónica en la Ley de Enjuiciamiento Civil
  • Evidencias Electrónicas estructuradas y no estructuradas.
  • Informática forense.
  • Documentos privados. Documentos públicos. El informe pericial. El testigo perito.

Certificados duales RSA – ECC (enmarcados en el ENS)

2 respuestas

EADTrust ha iniciado una campaña de promoción de certificados electrónicos según un nuevo modelo. En vez de entregar un solo certificado, entrega dos. El primer certificado, RSA, con clave de 2048 bits puede ser utilizado de forma convencional, en servidores SSL. El segundo (vinculado con el primero por una regla de generación cruzada) cumple los principos Binum. Es un certificado ECC con clave de 256 bits (robustez equivalente a 3070 bits en claves RSA) y se utiliza también en servidores SSL.

Los certificados se entregan en formato PKCS#12 y la generación de claves (llevada a cabo por EADTrust) verifica las recomendaciones contra los ataques matemáticos identificados en la literatura académica. Los certificados tienen una duración de 3 años, por lo que requieren menos esfuerzo de gestión (que los certificados anuales). El precio de los certificados (de cada pareja) es de 99 euros si identifican un dominio y 199 euros en el caso de pareja de certificados multidominio (*). Hasta el 30 de junio de 2011, el coste de cada pareja de certificados será de 50 y 100 euros respectivamente.

Dado que los certificados ECC no los soportan todos los navegadores, ayudamos a las entidades solicitantes a configurar los servidores de forma que se usen los algoritmos más potentes que soporte cada navegador, combinando ambos certificados.

Compruebe si su navegador soporta ambas tecnologías instalando los certificados raíz de las dos jerarquías de certificación:

El uso de claves largas en RSA (al menos de 2048 bits) y el empleo de algoritmos ECC como ECDSA son algunos de los aspectos recomendados por el CCN (Centro Criptológico Nacional) en la documentación de seguridad relativa a la implantación del Esquema Nacional de Seguridad. En particular, el documento Guía 807 – Criptología de empleo en el Esquema Nacional de Seguridad estudia los diferentes alguritmos y sus ataques conocidos y hace recomendaciones sobre los más adecuados en función del objetivo perseguido (identificación, autenticación, cifrado, firma, confidencialidad en SSL,…)

También hay recomendaciones equivalente en los documentos de la administración nortemaericana NIST (National Institute of Standards and Technology) FIPS (Federal Information Processing Standards) 186 -2 y FIPS 186-3 respectivamente en los apéndices 6 y D en las secciones Recommended Elliptic Curves for Federal Government use (United States).

A nivel europeo, las especificaciones que tratan sobre los algoritmos criptográficos que se usan para firma electrónica (por ejemplo) se describen en el documento ETSI TS 102 176-1 V2.0.0 (2007-11) “Technical Specification. Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms».

Otras normas aplicables:

  • RFC 3278 «Use of Elliptic Curve Cryptography (ECC) Algorithms in Cryptographic Message Syntax (CMS)»
  • RFC 4050 «Using the Elliptic Curve Signature Algorithm (ECDSA) for XML Digital Signatures»
  • RFC 4051 “Additional XML Security Uniform Resource Identifiers (URIs)”
  • RFC 4492 “Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS)”
  • ISO/IEC 15946 “Information technology — Security techniques — Cryptographic techniques based on elliptic curves”
  • ANSI X9.62:2005 “Public Key Cryptography for the Financial Services Industry, The Elliptic Curve Digital Signature Algorithm (ECDSA)”

Otras referencias a EADTrust en este Blog:

Actualización: A partir de 2020, solo se entrega el certificado solicitado. Las peticiones de certificado deben incluir el tipo de criptotografía deseado, que puede llegar a 8192 bits de tamaño en RSA y 384 bits en ECC.

Certificados ECC para SSL en EADTrust

1 respuesta

Los que seguís este blog, ya conocéis la importancia que le doy a la criptografía de curvas elípticas para servidores web (ver, por ejemplo ECC en SSL y TLS).

Pues bien, en EADTrust ya estamos emitiendo estos certificados para los primeros clientes, en fase piloto. Dadas las características de nuestro servicio, entregamos dos certificados a los solicitantes, uno RSA y otro ECC, de forma que si consideran que su base de usuarios no cuenta con browsers adecuados, puedan «retornar» al sistema criptográfico más difundido, sin esfuerzo.

Tanto Internet Explorer, como Chrome, como Mozilla Firefox soportan el cifrado ECC. De momento, Opera y Safari no lo soportan, aunque esto puede cambiar en breve.

La forma de implementar una solución que sea compatible en el 100% de los casos es instalar el certificado RSA en el modo seguro de un servidor convencional (puerto 443), y si al establecer el protocolo SSL se detecta que el browser soporta la robustez criptográfica extra, se le desvía automáticamente a otro puerto (o a otro servidor) en el que se instala el certificado ECC.

Dado que el nivel de seguridad adicional es necesario en determinados supuestos (intranets, organismos públicos, banca, defensa), en las primeras emisiones tutelamos a las entidades clientes para facilitar la adopción de esta potente tecnología.

Digitalización Certificada. Últimas novedades

1 respuesta

Anunciamos un nuevo curso de Digitalización Certificada organizado por Atenea Interactiva.

Desde el  10 de Abril de 2007,  fecha de la publicación de  la Orden EHA/962/2007, y más concretamente,  tras la publicación de la resolución del director de la Agencia Tributaria, del 24 de Octubre de 2007 sobre el procedimiento para la homologación de software de Digitalización,  las empresas pueden eliminar las facturas en papel sustituyéndolas por una imagen  digital que sea un reflejo fiel del documento que se quiere eliminar.

Por otro lado, la Ley 11/2007 prevé en sus artículos 30 y 31 la posibilidad de gestionar versiones electrónicas de documentos en  papel, que ha recibido una referencia adicional con la reciente publicación del Real Decreto 4/2010 de 8 de Enero, del Esquema Nacional de Interoperabilidad, que enmarca el desarrollo de la futura normativa que unifique los criterios de digitalización en el sector público.

Es, pues, un momento propicio para conocer los últimos desarrollos en torno a la  Digitalización Certificada, que se cubrirán en este seminario con un planteamiento que se enfocará a los intereses de las Administraciones Públicas, y también al de las empresas que desarrollan soluciones de Digitalización Certificada, o que prestan servicios de digitalización.

De todas formas, todas las entidades que hayan iniciado o piensen acometer proyectos de eliminación de papel se beneficiarán de los conceptos presentados en este evento. Los ahorros y la eficiencia obtenidos son de especial relevancia en un entorno económico como el actual.

El coste de participación en el seminario es de 350€ + IVA (18%), pero es posible descontar el importe del curso de las cuotas de la Seguridad Social,  a través del convenio que Atenea Interactiva ha suscrito con la Fundación Tripartita.

La jornada la impartiremos Fernando PinoJulián Inza con experiencia en más de 20 proyectos en este ámbito a nuestras espaldas.

Esta es la Agenda:

1. Similitudes y diferencias entre la Digitalización Certificada aplicable en el sector privado y en el sector Público

  • Periodos Contables
  • Llevanza de los libros de Gestión de Documentos
  • Certificado utilizado en las Firmas Electrónicas del proceso de Digitalización
  • Prestadores de Servicios de Digitalización Certificada
  • Digitalización Certificada en los registros de entrada
  • Digitalización Certificada en los registros telemáticos
  • Digitalización Certificada por  los órganos de gestión de la administración pública

2. Normativa relacionada con la Facturación Electrónica y la Digitalización Certificada

  • Directiva 2006/112/CE: sistema común del Impuesto sobre el Valor añadido.
  • Directiva 1999/93/CE del Parlamento Europeo y de Consejo: marco comunitario para la Firma Electrónica
  • Directiva 2010/45/UE del Consejo de 13 de Julio de 2010 por la que se modifica la Directiva 2006/112/CE relativa al sistema común del impuesto sobre el valor añadido, en lo que respecta a las normas de facturación
  • Real Decreto 1496/2003 de 28 de Noviembre: Cómo se regulan las obligaciones de facturación.
  • Reseña sobre la normativa foral relativa a la facturación
  • Ley 59/2003 de Firma Electrónica
  • Facturación Electrónica en la Ley 30/2007 de Contratos del Sector Público
  • La facturación Electrónica en la Ley 56/2007 de Medidas de Impulso de la Sociedad de la Información
  • RESOLUCIÓN de 24 de Octubre de 2007, de la Agencia Estatal de Administración Tributaria, sobre procedimiento para la homologación de software de Digitalización.
  • Digitalización de documentos en la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos.
  • Digitalización de documentos en el Esquema Nacional de Interoperabilidad.

3. Firma Electrónica. Autenticidad de la Factura Electrónica y de la copia Digitalizada

  • Cumplimiento de los requisitos de integridad y autenticidad de origen
  • Tipos de firmas: simple, avanzada y cualificada. Tipos de Certificados Electrónicos. Personas físicas y Jurídicas
  • Dispositivos seguros de creación de Firma
  • Prestadores de servicios de Certificación disponibles en España. DNI Electrónico
  • Formatos de las Firmas Electrónicas. Estándares TS 101 733 (CAdES) y TS 101 903 (XAdES). Firmas PDF TS 102 778 (PAdES)
  • Servicios de Validación (VA) y de Sellado de Tiempo (TSA). Servicios DSS
  • Herramientas de Firma: BackTrust y EADTrust
  • Control de la integridad de la base de datos. Técnicas de Hash encadenados

4. Orden EHA/962/2007, de 10 de Abril

  • Estudio de la Orden EHA/962/2007, de 10 de Abril: desarrollo de disposiciones sobre Facturación Telemática y conservación electrónica de facturas
  • Obligaciones del expedidor en la conservación de las Facturas y Documentos sustitutivos
  • Obligaciones de los destinatarios de la conservación electrónica de las facturas y documentos sustitutivos
  • Digitalización Certificada de las facturas recibidas y documentos sustitutivos recibidos y de otros documentos o justificantes
  • Impresión de facturas y documentos sustitutivos remitidos en formato electrónico
  • Certificados Electrónicos de las entidades prestadoras de servicios de Certificación y Firma Electrónica

5. Proyectos de Digitalización Certificada y de Facturación Electrónica

  • Arquitectura Tecnológica y  requerimientos funcionales de proyecto de implantación
  • Soluciones tecnológicas empaquetadas y “a medida”: ventajas y limitaciones
  • Gestión de la Firma Electrónica y de la Validación. Excepciones a la Validación
  • Protección de Datos en relación con las Facturas Electrónicas
  • Archivo y conservación de las Facturas Electrónicas. Disponibilidad para auditoría e inspección tributaria
  • Digitalización de Facturas en el Sector Público: la destrucción de facturas en papel y tratamiento deFacturas Digitalizadas como originales de cara a la Intervención General.

6. Proceso de Homologación del Software de Digitalización certificada

  • Procedimientos y controles para garantizar la fidelidad del proceso de Digitalización Certificada
  • Funcionalidades del software de Digitalización Certificada: Gestión de metadatos. Firma en memoria del documento electrónico. Firma de la base de datos para garantizar la integridad de datos e imágenes. Períodos contables
  • Imagen binaria del documento digitalizado o enlace al fichero que la contenga
  • Garantía de acceso a base de datos: consulta en línea, búsqueda selectiva. CD-ROM y On-line
  • Proceso de Digitalización.  Garantías del Sistema: Autenticidad e Integridad
  • Organización documental de los campos exigibles del registro de datos (según Art. 62 y siguientes del RD 1624/1992
  • Proceso de Homologación del software de Digitalización Certificada. Documentación a preparar: Declaración responsable, Memoria técnica, Plan de calidad, Informe de Auditoría.
  • Auditoría del software de Digitalización Certificada
  • Digitalización Certificada por terceros: cómo garantizar que es correcta la Digitalización efectuada por el prestador.
  • Ampliación de requisitos, en previsión de nuevos desarrollos legislativos en torno a la Ley 11/2007
  • Lista de software homologado por la AEAT

Jornada «Construyendo la identidad digital»

2 respuestas

El próximo 26 de enero de 2011 tendrá lugar en Santiago de Compostela la Jornada «Construíndo a identidade dixital«. Lo organiza el Colegio de Ingeniería Informática de Galicia (Colexio de Enxeñaría en Informática de Galicia) en colaboración con la Xunta de Galicia y el lugar del evento es  la EGAP (Escola Galega de Administración Pública) – Rúa de Madrid, 2-4 (Polígono de Fontiñas).

La inscripción es gratuita, pero solo hay plazo para cumplimentarla hasta el 24 de enero.

El evento reunirá un amplo número de expertos para abordar la firma electrónica desde diferentes puntos de vista: los prestadores de servicios de certificación, la administración electrónica, y las empresas, entre outros. La Secretaria Geeneral de Modernización e Innovación Tecnológica de la Xunta de Galicia, Mar Pereira, y el presidente el  CPEIG, Fernando Suárez Lorenzo, inaugurarán la jornada, junto al director de la  Escola Galega de Administración Pública,  Pablo Figueroa Dorrego.

La jornada servirá de presentación del libro «Construíndo a Identidade Dixital. Situación actual da sinatura electrónica e das entidades de certificación«, elaborado por el colegio, y que estará publicado en el portal del CPEIG a partir del día 25. Muchos de los ponentes presentes en la Jornada contribuyeron a la realización del estudio con sus reflexiones y análisis.

La idea que voy a presentar es que la interoperabilidad de las firmas electrónicas no es excesivamente complicada y que se han perdido varios años y muchos millones de euros por una deficiente gestión del web del artículo 11 de la Directiva 1999/93/CE por parte de la comisión europea (entre otras cosas por la irritante costumbre de cambiar la URL de vez en cuando), hasta la reciente creación de las TSL, a las que faltaría incluir información relevante sobre las URL de los servicios OCSP de los Prestadores de Servicios de Certificación. Por el camino, indicaré por qué hay que eliminar la verificación de validez basada en CRLs (y centrarse en los OCSP), por qué es importante que los PSC codifiquen bien la extensión AIA de sus certificados y por qué las firmas deben generarse en origen en su modalidad XL, con preferencia por el XAdES-XL.

Artículos relacionados:

Construyendo la identidad digital

2 respuestas

El próximo 26 de enero de 2011 tendrá lugar en Santiago de Compostela la Jornada “Construíndo a identidade dixital“. Lo organiza el Colegio de Ingeniería Informática de Galicia (Colexio de Enxeñaría en Informática de Galicia) en colaboración con la Xunta de Galicia y el lugar del evento es  la EGAP (Escola Galega de Administración Pública) – Rúa de Madrid, 2-4 (Polígono de Fontiñas).

La inscripción es gratuita, y hay de plazo para cumplimentarla hasta el 24 de enero.

El evento reunirá un amplo número de expertos para abordar la firma electrónica desde diferentes puntos de vista: los prestadores de servicios de certificación, la administración electrónica, y las empresas, entre otros. La Secretaria Geeneral de Modernización e Innovación Tecnológica de la Xunta de Galicia, Mar Pereira, y el presidente el  CPEIG, Fernando Suárez Lorenzo, inaugurarán la jornada, junto al director de la  Escola Galega de Administración Pública,  Pablo Figueroa Dorrego.

La jornada servirá de presentación del libro “Construíndo a Identidade Dixital. Situación actual da sinatura electrónica e das entidades de certificación“, elaborado por el colegio, y que estará publicado en el portal del CPEIG a partir del día 25 de enero. Muchos de los ponentes presentes en la Jornada contribuyeron a la realización del estudio con sus reflexiones y análisis.

El programa previsto es el siguiente:

09:00 RECEPCIÓN DE ASISTENTES

09:10 APERTURA

  • Pablo Figueroa Dorrego
    Director de la Escola Galega de Administración Pública
  • Fernando Suárez Lorenzo
    Presidente del Colexio Profesional de Enxeñaría en Informática de Galicia
  • Mar Pereira Álvarez
    Secretaria General de Modernización e Innovación Tecnológica de la Xunta de Galicia

09:30 MESA REDONDA: La firma electrónica y la e-Administración: situación actual y tendencias de futuro

  • La situación de despliegue de la Ley 11/2007 en la Comunidad Autónoma de Galicia
    María José García Sexto
    Subdirectora Xeral de Sistemas de Información e Modernización da Admón. Pública
    Secretaría Xeral de Modernización e Innovación Tecnolóxica da Xunta de Galicia
  • El papel de las CA’s ante las necesidades de la Ley 11/2007
    Eduardo Portero Delgado
    Director General de Ziurtapen eta Zerbitzu Enpresa-Empresa de Certificación y Servicios (IZENPE)
  • La Ley 11/2007 en la Administración local
    Jesús Rodríguez Castro
    Jefe del Departamento de Informática del Concello de Santiago de Compostela
  • El  DNI-e en la e-Administración
    Juan Crespo
    Inspector Jefe del Cuerpo Nacional de Policía para el área de Informática

11:00 MESA REDONDA: Os prestadores de servizos de certificación

  • Certificación electrónica desde un punto de vista global
    David Blanco
    Cofundador e CEO de Tractis
  • Necesidades de colectivos profesionales
    Santiago Núñez Mella
    Responsable de Cuentas de Firmaprofesional
  • Asesoramiento e innovación
    Xavier Tarrés Chamorro
    Director General de la Agència Catalana de Certificació
  • Perspectivas de mercado de los prestadores de servicios de certificación
    Rafael Román Álvarez
    Responsable de Administraciónes Públicas de Camerfirma

12:30 DESCANSO – Café

13:00 MESA REDONDA: Los retos de los servicios de certificación digital y de la firma electrónica

  • Retos legislativos
    Victor Salgado Seguín
    Socio de Pintos & Salgado Abogados
  • Interoperabilidad de firmas electrónicas
    Julián Inza
    Presidente de Albalia Interactiva
  • Convivencia de las CA’s públicas y privadas
    Diego Hernández Gallardo
    Director del departamento CERES de la  FNMT-RCM
  • Retos en la seguridad
    Marcos Gómez Hidalgo
    Subdirector de Programas del Instituto Nacional de Tecnologías de la Comunicación (INTECO)

14:30 CLAUSURA

  • Fernando Suárez Lorenzo
    Presidente del Colegio Profesional de Ingeniería de Informática de Galicia

Mainframe supported electronic signature: zBackTrust

Deja un comentario

Albalia is an IBM partner in the System z environment (now zEnterprise) that has developed the only SOA electronic signature solution for Mainframes running z/OS or zLinux

This solution complies with standards such as OASIS DSS or ETSI TS 101 903.

Find more in this zBackTrust brochure, and in  this IBM page.

Contact your IBM dealer worldwide or though  INSA exclusive channel: www.insags.com— +34 901 116 376— soluciones@insags.com

Diseño y planificación de una infraestructura de clave pública (PKI)

3 respuestas

Albalia Interactiva, empresa especializada en firma electrónica, factura electrónica, banca electrónica y administración electrónica, en colaboración con IBM,  ofrece el servicio de Diseño y planificación de una infraestructura de claves públicas (PKI)

Una infraestructura de claves públicas (PKI) bien planificada y construida permite afrontar los requisitos estrictos de autenticación, cifrado y firma digital que se espera de las actuales aplicaciones de e-business.

Destacamos

Los servicios de diseño y planificación de la infraestructura de claves públicas de IBM preparan la estructura necesaria para cumplir con los objetivos de su empresa y mejorar la seguridad de sus iniciativas de e-business.

Gracias al aprovechamiento de las metodologías probadas y del capital intelectual, los asesores y arquitectos de IBM le permiten comprender cómo debe aplicarse la infraestructura de claves públicas (PKI) a su entorno empresarial, desarrollar la solución y preparar el despliegue de la tecnología PKI en su empresa.

El servicio incluye:

El siguiente conjunto de actividades conforma las fases de planificación y diseño de la infraestructura completa de servicios de PKI probados y se ofrece de forma individual o en paquetes, según sus necesidades:

  • La estrategia de la infraestructura de claves públicas (PKI) examina el entorno y la estrategia de su empresa y construye los fundamentos para tomar en consideración una infraestructura de claves públicas.
  • El asesoramiento de preparación de la PKI determina el modo en el que la creación de una infraestructura de claves públicas incidirá en la empresa y recomienda los pasos a seguir para su preparación.
  • El valor de la PKI describe las ventajas y la justificación empresarial de una infraestructura de claves públicas.
  • Los requisitos de la PKI definen los requisitos empresariales, tecnológicos y del proceso de seguridad que responden a las necesidades de su empresa.
  • La política de PKI define las políticas operativas, de procedimiento y de seguridad que regularán la infraestructura de claves públicas.
  • La arquitectura conceptual identifica la estructura de la PKI, el modelo de seguridad y los principios del diseño.
  • La arquitectura funcional se basa en la arquitectura conceptual de la infraestructura de claves públicas y define sus funciones requeridas y las relaciones entre dichas funciones.
  • La selección de productos de PKI proporciona un análisis de los requisitos de su infraestructura de claves públicas y de la arquitectura conceptual de la misma, en comparación con las soluciones del sector para que pueda escoger la tecnología que mejor se ajusta a sus necesidades.
  • La selección del sitio y el diseño de la infraestructura le permiten evaluar las posibles ubicaciones y ofrece recomendaciones para el diseño y el despliegue del recurso.
  • La arquitectura de los componentes se basa en la arquitectura funcional de la infraestructura de claves públicas y define las tecnologías, los estándares, las interfaces y los productos seleccionados que cumplan con los requisitos, la estrategia y la política de la infraestructura de claves públicas de su empresa.
  • El desarrollo de procesos describe los procesos necesarios para dar soporte a la infraestructura de claves públicas, incluidos el registro, la revocación, el mantenimiento de registros y la generación de claves de la entidad emisora de certificados.
  • Las prácticas de certificación de la PKI destacan los componentes técnicos de los documentos de la política de infraestructura de claves públicas más importantes, la declaración de práctica de certificación y las políticas de certificación.
  • El plan de implementación incluye los pasos, los conocimientos y los recursos necesarios para implementar la infraestructura de claves públicas.

Una vez definidos los planes, el siguiente paso es integrar e implementar su solución de PKI mediante nuestros servicios personalizados, que están disponibles previa petición.

En los entornos corporativos, que disponen de Mainframe, con z/OS, parte de los recursos hardware y software necesarios están ya disponibles, por lo que la estrategia de gestión de PKI es una alternativa económica o otros sistemas de gestión de certificados.

IBM ha publicado los documentos que explican la forma de desplegar su PKI en organizaciones con sistemas z/OS:

Otros artículos relacionados:

    EADTrust – European Agency of Digital Trust

    3 respuestas

    Logo EAD Trust As I mentioned in other articles, one of the companies with which I am working is EADTrust, European Agency of Digital Trust, a CSP (Certification Service Provider) that provides services related to electronic signatures in the framework of Law 59/2003 (or Directive 1999/93/CE) with a philosophy we intend to be innovative:

    • It is not planned to issue individual certificates to natural persons (we might consider issuing certificates to natural persons linked to groups as part of a project).
    • It provides services to manage trust of the Information Society, particularly by encouraging the creation of high quality electronic signatures with timestamping services, validation of digital certificates and electronic document custody.
    • It provides advanced services, some specifically designed for public administrations in the framework of eGovernment Law 11/2007: certified publication in the contractor’s profile, certified service of notice, electronic invoicing or generation and verification of electronic signatures through the OASIS DSS protocol (the Ministry of Presidence announced that the evolution of the official @firma platform will evolve to implement this protocol).
    • It manages two root CAs linked together, combining RSA cryptography and ECC (Elliptic curve cryptography).

    The latter is a significant milestone, since this way EADTrust becomes the first certification authority in the world with dual technology, and possibly the first European Certification Authority that manages a PKI hierarchy based on elliptic curve cryptography.

    The root CAs of both of the certificate hierarchies are as follows:

    • RSA (sha1RSA). RSA 2048-bit key size
    • ECC (sha1ECDSA). ECC key sizes: 256 bits (equivalent to 3020 bit RSA)

    Both root CA certificates and keys were generated in the presence of a notary, a procedure that we have been refining on several CA (Certification Authority) key generation ceremonies to other certification providers with whom we have collaborated: FESTE, Camerfirma, Banesto and ANCERT.

    The certification authority based on Elliptic Curve algorithm, uses random 256 BITS ECDSAFp (secp256r1), as indicated in the documents generated by the NIST (National Institute of Standards and Technology) FIPS (Federal Information Processing Standards) 186 -2 and FIPS 186-3 in Appendices 6 and D respectively in their sections on the Recommended Elliptic Curves for Federal Government use (United States).

    This algorithm is also described in document ETSI TS 102 176-1 V2.0.0 (2007-11) «Technical Specification. Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms».

    Other references:

    • RFC 4051 «Additional XML Security Uniform Resource Identifiers (URIs)»
    • RFC 4492 «Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS)»
    • ISO/IEC 15946 «Information technology — Security techniques — Cryptographic techniques based on elliptic curves»
    • ANSI X9.62:2005 «Public Key Cryptography for the Financial Services Industry, The Elliptic Curve Digital Signature Algorithm (ECDSA)»