Archivo de la categoría: Prestadores de Servicios de Certificación

Certificados duales RSA – ECC (enmarcados en el ENS)

2 respuestas

EADTrust ha iniciado una campaña de promoción de certificados electrónicos según un nuevo modelo. En vez de entregar un solo certificado, entrega dos. El primer certificado, RSA, con clave de 2048 bits puede ser utilizado de forma convencional, en servidores SSL. El segundo (vinculado con el primero por una regla de generación cruzada) cumple los principos Binum. Es un certificado ECC con clave de 256 bits (robustez equivalente a 3070 bits en claves RSA) y se utiliza también en servidores SSL.

Los certificados se entregan en formato PKCS#12 y la generación de claves (llevada a cabo por EADTrust) verifica las recomendaciones contra los ataques matemáticos identificados en la literatura académica. Los certificados tienen una duración de 3 años, por lo que requieren menos esfuerzo de gestión (que los certificados anuales). El precio de los certificados (de cada pareja) es de 99 euros si identifican un dominio y 199 euros en el caso de pareja de certificados multidominio (*). Hasta el 30 de junio de 2011, el coste de cada pareja de certificados será de 50 y 100 euros respectivamente.

Dado que los certificados ECC no los soportan todos los navegadores, ayudamos a las entidades solicitantes a configurar los servidores de forma que se usen los algoritmos más potentes que soporte cada navegador, combinando ambos certificados.

Compruebe si su navegador soporta ambas tecnologías instalando los certificados raíz de las dos jerarquías de certificación:

El uso de claves largas en RSA (al menos de 2048 bits) y el empleo de algoritmos ECC como ECDSA son algunos de los aspectos recomendados por el CCN (Centro Criptológico Nacional) en la documentación de seguridad relativa a la implantación del Esquema Nacional de Seguridad. En particular, el documento Guía 807 – Criptología de empleo en el Esquema Nacional de Seguridad estudia los diferentes alguritmos y sus ataques conocidos y hace recomendaciones sobre los más adecuados en función del objetivo perseguido (identificación, autenticación, cifrado, firma, confidencialidad en SSL,…)

También hay recomendaciones equivalente en los documentos de la administración nortemaericana NIST (National Institute of Standards and Technology) FIPS (Federal Information Processing Standards) 186 -2 y FIPS 186-3 respectivamente en los apéndices 6 y D en las secciones Recommended Elliptic Curves for Federal Government use (United States).

A nivel europeo, las especificaciones que tratan sobre los algoritmos criptográficos que se usan para firma electrónica (por ejemplo) se describen en el documento ETSI TS 102 176-1 V2.0.0 (2007-11) “Technical Specification. Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms».

Otras normas aplicables:

  • RFC 3278 «Use of Elliptic Curve Cryptography (ECC) Algorithms in Cryptographic Message Syntax (CMS)»
  • RFC 4050 «Using the Elliptic Curve Signature Algorithm (ECDSA) for XML Digital Signatures»
  • RFC 4051 “Additional XML Security Uniform Resource Identifiers (URIs)”
  • RFC 4492 “Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS)”
  • ISO/IEC 15946 “Information technology — Security techniques — Cryptographic techniques based on elliptic curves”
  • ANSI X9.62:2005 “Public Key Cryptography for the Financial Services Industry, The Elliptic Curve Digital Signature Algorithm (ECDSA)”

Otras referencias a EADTrust en este Blog:

Actualización: A partir de 2020, solo se entrega el certificado solicitado. Las peticiones de certificado deben incluir el tipo de criptotografía deseado, que puede llegar a 8192 bits de tamaño en RSA y 384 bits en ECC.

Certificados ECC para SSL en EADTrust

1 respuesta

Los que seguís este blog, ya conocéis la importancia que le doy a la criptografía de curvas elípticas para servidores web (ver, por ejemplo ECC en SSL y TLS).

Pues bien, en EADTrust ya estamos emitiendo estos certificados para los primeros clientes, en fase piloto. Dadas las características de nuestro servicio, entregamos dos certificados a los solicitantes, uno RSA y otro ECC, de forma que si consideran que su base de usuarios no cuenta con browsers adecuados, puedan «retornar» al sistema criptográfico más difundido, sin esfuerzo.

Tanto Internet Explorer, como Chrome, como Mozilla Firefox soportan el cifrado ECC. De momento, Opera y Safari no lo soportan, aunque esto puede cambiar en breve.

La forma de implementar una solución que sea compatible en el 100% de los casos es instalar el certificado RSA en el modo seguro de un servidor convencional (puerto 443), y si al establecer el protocolo SSL se detecta que el browser soporta la robustez criptográfica extra, se le desvía automáticamente a otro puerto (o a otro servidor) en el que se instala el certificado ECC.

Dado que el nivel de seguridad adicional es necesario en determinados supuestos (intranets, organismos públicos, banca, defensa), en las primeras emisiones tutelamos a las entidades clientes para facilitar la adopción de esta potente tecnología.

Digitalización Certificada. Últimas novedades

1 respuesta

Anunciamos un nuevo curso de Digitalización Certificada organizado por Atenea Interactiva.

Desde el  10 de Abril de 2007,  fecha de la publicación de  la Orden EHA/962/2007, y más concretamente,  tras la publicación de la resolución del director de la Agencia Tributaria, del 24 de Octubre de 2007 sobre el procedimiento para la homologación de software de Digitalización,  las empresas pueden eliminar las facturas en papel sustituyéndolas por una imagen  digital que sea un reflejo fiel del documento que se quiere eliminar.

Por otro lado, la Ley 11/2007 prevé en sus artículos 30 y 31 la posibilidad de gestionar versiones electrónicas de documentos en  papel, que ha recibido una referencia adicional con la reciente publicación del Real Decreto 4/2010 de 8 de Enero, del Esquema Nacional de Interoperabilidad, que enmarca el desarrollo de la futura normativa que unifique los criterios de digitalización en el sector público.

Es, pues, un momento propicio para conocer los últimos desarrollos en torno a la  Digitalización Certificada, que se cubrirán en este seminario con un planteamiento que se enfocará a los intereses de las Administraciones Públicas, y también al de las empresas que desarrollan soluciones de Digitalización Certificada, o que prestan servicios de digitalización.

De todas formas, todas las entidades que hayan iniciado o piensen acometer proyectos de eliminación de papel se beneficiarán de los conceptos presentados en este evento. Los ahorros y la eficiencia obtenidos son de especial relevancia en un entorno económico como el actual.

El coste de participación en el seminario es de 350€ + IVA (18%), pero es posible descontar el importe del curso de las cuotas de la Seguridad Social,  a través del convenio que Atenea Interactiva ha suscrito con la Fundación Tripartita.

La jornada la impartiremos Fernando PinoJulián Inza con experiencia en más de 20 proyectos en este ámbito a nuestras espaldas.

Esta es la Agenda:

1. Similitudes y diferencias entre la Digitalización Certificada aplicable en el sector privado y en el sector Público

  • Periodos Contables
  • Llevanza de los libros de Gestión de Documentos
  • Certificado utilizado en las Firmas Electrónicas del proceso de Digitalización
  • Prestadores de Servicios de Digitalización Certificada
  • Digitalización Certificada en los registros de entrada
  • Digitalización Certificada en los registros telemáticos
  • Digitalización Certificada por  los órganos de gestión de la administración pública

2. Normativa relacionada con la Facturación Electrónica y la Digitalización Certificada

  • Directiva 2006/112/CE: sistema común del Impuesto sobre el Valor añadido.
  • Directiva 1999/93/CE del Parlamento Europeo y de Consejo: marco comunitario para la Firma Electrónica
  • Directiva 2010/45/UE del Consejo de 13 de Julio de 2010 por la que se modifica la Directiva 2006/112/CE relativa al sistema común del impuesto sobre el valor añadido, en lo que respecta a las normas de facturación
  • Real Decreto 1496/2003 de 28 de Noviembre: Cómo se regulan las obligaciones de facturación.
  • Reseña sobre la normativa foral relativa a la facturación
  • Ley 59/2003 de Firma Electrónica
  • Facturación Electrónica en la Ley 30/2007 de Contratos del Sector Público
  • La facturación Electrónica en la Ley 56/2007 de Medidas de Impulso de la Sociedad de la Información
  • RESOLUCIÓN de 24 de Octubre de 2007, de la Agencia Estatal de Administración Tributaria, sobre procedimiento para la homologación de software de Digitalización.
  • Digitalización de documentos en la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos.
  • Digitalización de documentos en el Esquema Nacional de Interoperabilidad.

3. Firma Electrónica. Autenticidad de la Factura Electrónica y de la copia Digitalizada

  • Cumplimiento de los requisitos de integridad y autenticidad de origen
  • Tipos de firmas: simple, avanzada y cualificada. Tipos de Certificados Electrónicos. Personas físicas y Jurídicas
  • Dispositivos seguros de creación de Firma
  • Prestadores de servicios de Certificación disponibles en España. DNI Electrónico
  • Formatos de las Firmas Electrónicas. Estándares TS 101 733 (CAdES) y TS 101 903 (XAdES). Firmas PDF TS 102 778 (PAdES)
  • Servicios de Validación (VA) y de Sellado de Tiempo (TSA). Servicios DSS
  • Herramientas de Firma: BackTrust y EADTrust
  • Control de la integridad de la base de datos. Técnicas de Hash encadenados

4. Orden EHA/962/2007, de 10 de Abril

  • Estudio de la Orden EHA/962/2007, de 10 de Abril: desarrollo de disposiciones sobre Facturación Telemática y conservación electrónica de facturas
  • Obligaciones del expedidor en la conservación de las Facturas y Documentos sustitutivos
  • Obligaciones de los destinatarios de la conservación electrónica de las facturas y documentos sustitutivos
  • Digitalización Certificada de las facturas recibidas y documentos sustitutivos recibidos y de otros documentos o justificantes
  • Impresión de facturas y documentos sustitutivos remitidos en formato electrónico
  • Certificados Electrónicos de las entidades prestadoras de servicios de Certificación y Firma Electrónica

5. Proyectos de Digitalización Certificada y de Facturación Electrónica

  • Arquitectura Tecnológica y  requerimientos funcionales de proyecto de implantación
  • Soluciones tecnológicas empaquetadas y “a medida”: ventajas y limitaciones
  • Gestión de la Firma Electrónica y de la Validación. Excepciones a la Validación
  • Protección de Datos en relación con las Facturas Electrónicas
  • Archivo y conservación de las Facturas Electrónicas. Disponibilidad para auditoría e inspección tributaria
  • Digitalización de Facturas en el Sector Público: la destrucción de facturas en papel y tratamiento deFacturas Digitalizadas como originales de cara a la Intervención General.

6. Proceso de Homologación del Software de Digitalización certificada

  • Procedimientos y controles para garantizar la fidelidad del proceso de Digitalización Certificada
  • Funcionalidades del software de Digitalización Certificada: Gestión de metadatos. Firma en memoria del documento electrónico. Firma de la base de datos para garantizar la integridad de datos e imágenes. Períodos contables
  • Imagen binaria del documento digitalizado o enlace al fichero que la contenga
  • Garantía de acceso a base de datos: consulta en línea, búsqueda selectiva. CD-ROM y On-line
  • Proceso de Digitalización.  Garantías del Sistema: Autenticidad e Integridad
  • Organización documental de los campos exigibles del registro de datos (según Art. 62 y siguientes del RD 1624/1992
  • Proceso de Homologación del software de Digitalización Certificada. Documentación a preparar: Declaración responsable, Memoria técnica, Plan de calidad, Informe de Auditoría.
  • Auditoría del software de Digitalización Certificada
  • Digitalización Certificada por terceros: cómo garantizar que es correcta la Digitalización efectuada por el prestador.
  • Ampliación de requisitos, en previsión de nuevos desarrollos legislativos en torno a la Ley 11/2007
  • Lista de software homologado por la AEAT

Jornada «Construyendo la identidad digital»

2 respuestas

El próximo 26 de enero de 2011 tendrá lugar en Santiago de Compostela la Jornada «Construíndo a identidade dixital«. Lo organiza el Colegio de Ingeniería Informática de Galicia (Colexio de Enxeñaría en Informática de Galicia) en colaboración con la Xunta de Galicia y el lugar del evento es  la EGAP (Escola Galega de Administración Pública) – Rúa de Madrid, 2-4 (Polígono de Fontiñas).

La inscripción es gratuita, pero solo hay plazo para cumplimentarla hasta el 24 de enero.

El evento reunirá un amplo número de expertos para abordar la firma electrónica desde diferentes puntos de vista: los prestadores de servicios de certificación, la administración electrónica, y las empresas, entre outros. La Secretaria Geeneral de Modernización e Innovación Tecnológica de la Xunta de Galicia, Mar Pereira, y el presidente el  CPEIG, Fernando Suárez Lorenzo, inaugurarán la jornada, junto al director de la  Escola Galega de Administración Pública,  Pablo Figueroa Dorrego.

La jornada servirá de presentación del libro «Construíndo a Identidade Dixital. Situación actual da sinatura electrónica e das entidades de certificación«, elaborado por el colegio, y que estará publicado en el portal del CPEIG a partir del día 25. Muchos de los ponentes presentes en la Jornada contribuyeron a la realización del estudio con sus reflexiones y análisis.

La idea que voy a presentar es que la interoperabilidad de las firmas electrónicas no es excesivamente complicada y que se han perdido varios años y muchos millones de euros por una deficiente gestión del web del artículo 11 de la Directiva 1999/93/CE por parte de la comisión europea (entre otras cosas por la irritante costumbre de cambiar la URL de vez en cuando), hasta la reciente creación de las TSL, a las que faltaría incluir información relevante sobre las URL de los servicios OCSP de los Prestadores de Servicios de Certificación. Por el camino, indicaré por qué hay que eliminar la verificación de validez basada en CRLs (y centrarse en los OCSP), por qué es importante que los PSC codifiquen bien la extensión AIA de sus certificados y por qué las firmas deben generarse en origen en su modalidad XL, con preferencia por el XAdES-XL.

Artículos relacionados:

Construyendo la identidad digital

2 respuestas

El próximo 26 de enero de 2011 tendrá lugar en Santiago de Compostela la Jornada “Construíndo a identidade dixital“. Lo organiza el Colegio de Ingeniería Informática de Galicia (Colexio de Enxeñaría en Informática de Galicia) en colaboración con la Xunta de Galicia y el lugar del evento es  la EGAP (Escola Galega de Administración Pública) – Rúa de Madrid, 2-4 (Polígono de Fontiñas).

La inscripción es gratuita, y hay de plazo para cumplimentarla hasta el 24 de enero.

El evento reunirá un amplo número de expertos para abordar la firma electrónica desde diferentes puntos de vista: los prestadores de servicios de certificación, la administración electrónica, y las empresas, entre otros. La Secretaria Geeneral de Modernización e Innovación Tecnológica de la Xunta de Galicia, Mar Pereira, y el presidente el  CPEIG, Fernando Suárez Lorenzo, inaugurarán la jornada, junto al director de la  Escola Galega de Administración Pública,  Pablo Figueroa Dorrego.

La jornada servirá de presentación del libro “Construíndo a Identidade Dixital. Situación actual da sinatura electrónica e das entidades de certificación“, elaborado por el colegio, y que estará publicado en el portal del CPEIG a partir del día 25 de enero. Muchos de los ponentes presentes en la Jornada contribuyeron a la realización del estudio con sus reflexiones y análisis.

El programa previsto es el siguiente:

09:00 RECEPCIÓN DE ASISTENTES

09:10 APERTURA

  • Pablo Figueroa Dorrego
    Director de la Escola Galega de Administración Pública
  • Fernando Suárez Lorenzo
    Presidente del Colexio Profesional de Enxeñaría en Informática de Galicia
  • Mar Pereira Álvarez
    Secretaria General de Modernización e Innovación Tecnológica de la Xunta de Galicia

09:30 MESA REDONDA: La firma electrónica y la e-Administración: situación actual y tendencias de futuro

  • La situación de despliegue de la Ley 11/2007 en la Comunidad Autónoma de Galicia
    María José García Sexto
    Subdirectora Xeral de Sistemas de Información e Modernización da Admón. Pública
    Secretaría Xeral de Modernización e Innovación Tecnolóxica da Xunta de Galicia
  • El papel de las CA’s ante las necesidades de la Ley 11/2007
    Eduardo Portero Delgado
    Director General de Ziurtapen eta Zerbitzu Enpresa-Empresa de Certificación y Servicios (IZENPE)
  • La Ley 11/2007 en la Administración local
    Jesús Rodríguez Castro
    Jefe del Departamento de Informática del Concello de Santiago de Compostela
  • El  DNI-e en la e-Administración
    Juan Crespo
    Inspector Jefe del Cuerpo Nacional de Policía para el área de Informática

11:00 MESA REDONDA: Os prestadores de servizos de certificación

  • Certificación electrónica desde un punto de vista global
    David Blanco
    Cofundador e CEO de Tractis
  • Necesidades de colectivos profesionales
    Santiago Núñez Mella
    Responsable de Cuentas de Firmaprofesional
  • Asesoramiento e innovación
    Xavier Tarrés Chamorro
    Director General de la Agència Catalana de Certificació
  • Perspectivas de mercado de los prestadores de servicios de certificación
    Rafael Román Álvarez
    Responsable de Administraciónes Públicas de Camerfirma

12:30 DESCANSO – Café

13:00 MESA REDONDA: Los retos de los servicios de certificación digital y de la firma electrónica

  • Retos legislativos
    Victor Salgado Seguín
    Socio de Pintos & Salgado Abogados
  • Interoperabilidad de firmas electrónicas
    Julián Inza
    Presidente de Albalia Interactiva
  • Convivencia de las CA’s públicas y privadas
    Diego Hernández Gallardo
    Director del departamento CERES de la  FNMT-RCM
  • Retos en la seguridad
    Marcos Gómez Hidalgo
    Subdirector de Programas del Instituto Nacional de Tecnologías de la Comunicación (INTECO)

14:30 CLAUSURA

  • Fernando Suárez Lorenzo
    Presidente del Colegio Profesional de Ingeniería de Informática de Galicia

Mainframe supported electronic signature: zBackTrust

Deja un comentario

Albalia is an IBM partner in the System z environment (now zEnterprise) that has developed the only SOA electronic signature solution for Mainframes running z/OS or zLinux

This solution complies with standards such as OASIS DSS or ETSI TS 101 903.

Find more in this zBackTrust brochure, and in  this IBM page.

Contact your IBM dealer worldwide or though  INSA exclusive channel: www.insags.com— +34 901 116 376— soluciones@insags.com

Diseño y planificación de una infraestructura de clave pública (PKI)

3 respuestas

Albalia Interactiva, empresa especializada en firma electrónica, factura electrónica, banca electrónica y administración electrónica, en colaboración con IBM,  ofrece el servicio de Diseño y planificación de una infraestructura de claves públicas (PKI)

Una infraestructura de claves públicas (PKI) bien planificada y construida permite afrontar los requisitos estrictos de autenticación, cifrado y firma digital que se espera de las actuales aplicaciones de e-business.

Destacamos

Los servicios de diseño y planificación de la infraestructura de claves públicas de IBM preparan la estructura necesaria para cumplir con los objetivos de su empresa y mejorar la seguridad de sus iniciativas de e-business.

Gracias al aprovechamiento de las metodologías probadas y del capital intelectual, los asesores y arquitectos de IBM le permiten comprender cómo debe aplicarse la infraestructura de claves públicas (PKI) a su entorno empresarial, desarrollar la solución y preparar el despliegue de la tecnología PKI en su empresa.

El servicio incluye:

El siguiente conjunto de actividades conforma las fases de planificación y diseño de la infraestructura completa de servicios de PKI probados y se ofrece de forma individual o en paquetes, según sus necesidades:

  • La estrategia de la infraestructura de claves públicas (PKI) examina el entorno y la estrategia de su empresa y construye los fundamentos para tomar en consideración una infraestructura de claves públicas.
  • El asesoramiento de preparación de la PKI determina el modo en el que la creación de una infraestructura de claves públicas incidirá en la empresa y recomienda los pasos a seguir para su preparación.
  • El valor de la PKI describe las ventajas y la justificación empresarial de una infraestructura de claves públicas.
  • Los requisitos de la PKI definen los requisitos empresariales, tecnológicos y del proceso de seguridad que responden a las necesidades de su empresa.
  • La política de PKI define las políticas operativas, de procedimiento y de seguridad que regularán la infraestructura de claves públicas.
  • La arquitectura conceptual identifica la estructura de la PKI, el modelo de seguridad y los principios del diseño.
  • La arquitectura funcional se basa en la arquitectura conceptual de la infraestructura de claves públicas y define sus funciones requeridas y las relaciones entre dichas funciones.
  • La selección de productos de PKI proporciona un análisis de los requisitos de su infraestructura de claves públicas y de la arquitectura conceptual de la misma, en comparación con las soluciones del sector para que pueda escoger la tecnología que mejor se ajusta a sus necesidades.
  • La selección del sitio y el diseño de la infraestructura le permiten evaluar las posibles ubicaciones y ofrece recomendaciones para el diseño y el despliegue del recurso.
  • La arquitectura de los componentes se basa en la arquitectura funcional de la infraestructura de claves públicas y define las tecnologías, los estándares, las interfaces y los productos seleccionados que cumplan con los requisitos, la estrategia y la política de la infraestructura de claves públicas de su empresa.
  • El desarrollo de procesos describe los procesos necesarios para dar soporte a la infraestructura de claves públicas, incluidos el registro, la revocación, el mantenimiento de registros y la generación de claves de la entidad emisora de certificados.
  • Las prácticas de certificación de la PKI destacan los componentes técnicos de los documentos de la política de infraestructura de claves públicas más importantes, la declaración de práctica de certificación y las políticas de certificación.
  • El plan de implementación incluye los pasos, los conocimientos y los recursos necesarios para implementar la infraestructura de claves públicas.

Una vez definidos los planes, el siguiente paso es integrar e implementar su solución de PKI mediante nuestros servicios personalizados, que están disponibles previa petición.

En los entornos corporativos, que disponen de Mainframe, con z/OS, parte de los recursos hardware y software necesarios están ya disponibles, por lo que la estrategia de gestión de PKI es una alternativa económica o otros sistemas de gestión de certificados.

IBM ha publicado los documentos que explican la forma de desplegar su PKI en organizaciones con sistemas z/OS:

Otros artículos relacionados:

    EADTrust – European Agency of Digital Trust

    3 respuestas

    Logo EAD Trust As I mentioned in other articles, one of the companies with which I am working is EADTrust, European Agency of Digital Trust, a CSP (Certification Service Provider) that provides services related to electronic signatures in the framework of Law 59/2003 (or Directive 1999/93/CE) with a philosophy we intend to be innovative:

    • It is not planned to issue individual certificates to natural persons (we might consider issuing certificates to natural persons linked to groups as part of a project).
    • It provides services to manage trust of the Information Society, particularly by encouraging the creation of high quality electronic signatures with timestamping services, validation of digital certificates and electronic document custody.
    • It provides advanced services, some specifically designed for public administrations in the framework of eGovernment Law 11/2007: certified publication in the contractor’s profile, certified service of notice, electronic invoicing or generation and verification of electronic signatures through the OASIS DSS protocol (the Ministry of Presidence announced that the evolution of the official @firma platform will evolve to implement this protocol).
    • It manages two root CAs linked together, combining RSA cryptography and ECC (Elliptic curve cryptography).

    The latter is a significant milestone, since this way EADTrust becomes the first certification authority in the world with dual technology, and possibly the first European Certification Authority that manages a PKI hierarchy based on elliptic curve cryptography.

    The root CAs of both of the certificate hierarchies are as follows:

    • RSA (sha1RSA). RSA 2048-bit key size
    • ECC (sha1ECDSA). ECC key sizes: 256 bits (equivalent to 3020 bit RSA)

    Both root CA certificates and keys were generated in the presence of a notary, a procedure that we have been refining on several CA (Certification Authority) key generation ceremonies to other certification providers with whom we have collaborated: FESTE, Camerfirma, Banesto and ANCERT.

    The certification authority based on Elliptic Curve algorithm, uses random 256 BITS ECDSAFp (secp256r1), as indicated in the documents generated by the NIST (National Institute of Standards and Technology) FIPS (Federal Information Processing Standards) 186 -2 and FIPS 186-3 in Appendices 6 and D respectively in their sections on the Recommended Elliptic Curves for Federal Government use (United States).

    This algorithm is also described in document ETSI TS 102 176-1 V2.0.0 (2007-11) «Technical Specification. Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms».

    Other references:

    • RFC 4051 «Additional XML Security Uniform Resource Identifiers (URIs)»
    • RFC 4492 «Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS)»
    • ISO/IEC 15946 «Information technology — Security techniques — Cryptographic techniques based on elliptic curves»
    • ANSI X9.62:2005 «Public Key Cryptography for the Financial Services Industry, The Elliptic Curve Digital Signature Algorithm (ECDSA)»

    Obtener certificados de CERES – FNMT

    7 respuestas

    Aunque muchos usuarios de firma electrónica ya saben que la solicitud y obtención de certificados de CERES es algo más sencilla con el navegador Mozilla Firefox que con Internet Explorer 8 (especialmente en sistemas operativos Windows Vista y Windows 7),  teniendo en cuenta unas sencillas indicaciones (que el propio servicio CERES de la FNMT remite a los usuarios que experimentan algún problema y solicitan ayuda a través de los números 902181696 / 913463892 / 917040191) es posible gestionarlos adecuadamente en estos entornos.

    Las indicaciones se recogen seguidamente y hay que seguirlas antes de solicitar el certificado.

    El problema, que no es específico de la FNMT, sino que afecta a todos los PSC que incluyan un mecanismo parecido de «enrollment»,  aparece como consecuencia de que el  control de solicitud de certificados (CertEnroll) no funciona con Internet Explorer 8 en equipos que ejecutan Windows 7 cuando se incluye en un elemento FRAME o IFRAME en la página web, que es el caso de la página de la FNMT. Se explica en el blog de desarrolladores MSDN de Microsoft:  CertEnroll control won’t work when hosted inside a frame/iframe in IE8

    La forma de resolverlo para los usuarios es descargar e instalar el hotfix 322891 relacionado con el artículo KB 2078942 de la Microsoft Knowledge Base o que la entidad de certificación prepare las páginas teniendo en cuenta ciertas recomendaciones (como se indica en el citado blog).

    Al descargarse el parche, es preciso elegir el paquete adecuado para instalar. Las opciones son:

    • Windows 7/WindowsServer 2008 R2 (x86) – Para Windows 7 de 32 bits
    • Windows 7/WindowsServer 2008 R2 (x64) – Para Windows 7 de 64 bits
    • Windows 7/WindowsServer 2008 R2 (ia64) – Para Arquitectura Intel (Intel Itanium) de 64 bits

    En el proceso hay que introducir una dirección de correo electrónico a la que se enviará un email con el enlace para descargar el paquete. En dicho correo también se le enviará la contraseña para poder instalar el paquete.

    Después de instalar el hotfix hay que configurar el navegador (Internet Explorer) accediendo a la sección de opciones de menú siguientes: Herramientas/Opciones de Internet/Seguridad.

    • Pulsar en «Sitios de Confianza».
    • En el control de nivel de la izquierda, desplazar hacia abajo hasta seleccionar nivel «bajo». Si no aparece control de nivel hay que pulsar el botón «nivel predeterminado«
    • Pulsar en el botón «Sitios«.
    • Abajo, desmarcar la opción de «Requerir comprobación del servidor (https://) para todos los sitios de la zona»
    • En el cuadro de texto «Agregar este sitio Web a la zona»: hay que agregar las siguientes URLs http://*.fnmt.es y https://*.fnmt.es
    • Cerrar la ventana.
    • En el icono «Sitios de Confianza» pulsar botón Nivel personalizado y reducir los niveles de seguridad habilitando las siguientes opciones de configuración:
    1. Comportamiento de binarios y scripts
    2. Descargar los controles ActiveX firmados.
    3. Descargar los controles ActiveX sin firmar.
    4. Ejecutar controles y complementos de ActiveX.
    5. Generar scripts de los controles ActiveX marcados como seguros para scripting.
    6. Inicializar y generar scripts de los controles ActiveX no marcados como seguros para scripts.
    7. Permitir que todos los controles activeX no usados anteriormente se ejecuten sin preguntar.
    8. Permitir scriptlets.
    9. Preguntar automáticamente si se debe usar un control activeX
    • Pulsar en Aceptar, tras el que aparecerá un mensaje para confirmar que se deberá aceptar.
    • Aplicar y aceptar la última ventana.
    • Cerrar el navegador para que se apliquen los cambios.

    Una vez instalado el parche y ajustados los parámetros es posible solicitar el certificado. Después de realizar la solicitud (y la instalación del certificado tras acudir a una de las entidades de registro), se puede volver a reestablecer las opciones de seguridad a un nivel más alto.

    Hay más información en el sitio web de Microsoft.

    Una alternativa para no usar la extensión de «Certificate enrollment» que suele ser fuente de problemas desde hace muchos años, en Albalia recomendamos a los PSC que generen directamente el fichero PKCS#12 con las claves y los certificados, de modo que el propio fichero ya es un respaldo (backup) para que los usuarios lo puedan guardar en un lugar seguro y además para que lo puedan importar con facilidad en diferentes navegadores.

    Un ejemplo es la propia CA de pruebas que Albalia ha desarrollado y a la que ya he hecho mención en alguna ocasión. Los certificados de prueba generados por esta CA no tienen valor legal pero son muy útiles para experimentar.

    EADTrust – European Agency of Digital Trust

    1 respuesta

    Como ya he mencionado en otros artículos, una de las empresas en las que colaboro es EADTrust, European Agency of Digital Trust, un Prestador de Servicios de Certificación que presta servicios relacionados con la firma electrónica en el marco de la Ley 59/2003 con una filosofía que intentamos que sea novedosa:

    • No está prevista la emisión de certificados individuales a personas físicas (podría considerarse la emisión de certificados a personas vinculadas a colectivos, en el marco de un proyecto).
    • Se prevé que gestione servicios de confianza de la Sociedad de la Información, especialmente favoreciendo la creación de firmas electrónicas de alta calidad con servicios de timestamping, validación de certificados y custodia digital de documentos electrónicos
    • Proporciona servicios avanzados, algunos especialmente diseñados para administraciones públicas en el marco de la Ley 11/2007: publicación fehaciente en el perfil del contratante, notificación fehaciente, facturación electrónica o generación y verificación de firmas electrónicas mediante protocolo DSS de OASIS (el Ministerio de Presidenca ha anunciado que la evolución de la plataforma @firma se orientará a la implementación de este protocolo).
    • Dispone de CAs root vinculadas que combinan criptografía RSA y criptografía ECC (Elliptic curve cryptography)

    Este último es un hito significativo, al ser la primera autoridad de certificación del mundo con tecnología dual, y, posiblemente, la primera autoridad de certificación europea que cuenta con una jerarquía PKI basada en curvas elípticas.

    Los certitificados raiz de la jerarquía dual son estos:

    • RSA (sha1RSA). Tamaño clave RSA 2048 bits
    • ECC (sha1ECDSA). Tamaño clave ECC: 256 bits (equivalente a 3020 bits en RSA)

    Ambas root se generaron en presencia notarial, siguiendo un procedimiento que hemos ido perfeccionando en sucesivas ceremonias de  generación de claves de CA (Certification Authority) en otros prestadores con los que hemos colaborado: FESTE, Camerfirma, Banesto y ANCERT.

    La autoridad de certificación basada en algoritmo de Curva Elíptica utiliza, en particular,  ECDSAFp de 256 BITS aleatorios (secp256r1), según se indica en los documentos generados por el NIST (National Institute of Standards and Technology) FIPS (Federal Information Processing Standards) 186-2 y FIPS 186-3 en sus apéndices 6 y D respectivamente en sus secciones referentes a las Curvas Elípticas Recomendadas para uso del Gobierno Federal (Estados Unidos).