Archivo de la categoría: Prestadores de Servicios de Certificación

Prestadores de servicios de certificacion en la Wikipedia

1 respuesta

Una de las lagunas de la Wikipedia es la informacion sobre los Prestadores de Servicios de Certificacion.

Siendo este un tema tan relevante para el desarrollo de la Sociedad de la Informacion, los editores de Wikipedia eliminan sistematicamente la informacion sobre los PSC. Una muestra tipica del aserto que Antonio Machado atribuia a Castilla y que cabe aplicar a los mas celosos vigilantes de la pureza de la Wikipedia: «desprecian cuanto ignoran»

No obstante, esto es algo que podemos arreglar entre todos, si todos los lectores de este articulo contribuyen a enriquecer la informacion publicada sobre los siguientes prestadores de certificacion  censados por el Ministerio de Industria, Turismo y Comercio:

Si todos añadimos algun parrafo, completamos informacion e incluimos referencias, no quedara ninguna duda de la relevancia del tema, incluso para el wikitaliban mas intolerante.

EADTrust en el censo de PSC del MITyC

2 respuestas

En España existen del orden de 30 Prestadores de Servicios de Certificación, según se comprueba en el censo de PSC del MITyC, definido en la Ley 59/2003.

Uno de estos PSC es EADTrust (European Agency of Digital Trust – Agencia Europea de Confianza Digital).

En esta fase, EADTrust no pretende emitir certificados de entidad final, pero sí prestar otros servicios relacionados con la confianza digital, como sellos de tiempo o información sobre el estado de los certificados de otros prestadores de servicios de certificación (servicios de validación). Servicios semejantes a los que @firma presta en el sector público, pero pensando especialmente en el sector privado: bancos, aseguradoras, operadores de telecomunicaciones,… Por supuesto, entre ellos, todos los obligados por la Ley 56/2007 a disponer de servicios de interlocución telemática.

Los servicios también están disponibles para el sector público, en ocasiones como sistema de respaldo de @firma o de los que han desplegado algunas comunidades autónomas. Esto puede ser de interés para entidades obligadas a cumplir la Ley 11/2007 y la Ley 30/2007.

Esta nueva entidad de certificación  se inicia con algunas novedades:

  • No está prevista la emisión de certificados a entidades finales (al menos a personas físicas).
  • Se prevé que gestione servicios de confianza de la Sociedad de la Información, especialmente favoreciendo la creación de firmas electrónicas de alta calidad con servicios de timestamping, validación de certificados y custodia digital de documentos electrónicos
  • Proporcionará servicios avanzados a precios competitivos
  • Dispone de CAs root vinculadas que combinan criptografía RSA y criptografía ECC (Elliptic curve cryptography)

Este último es un hito significativo, al ser la primera autoridad de certificación del mundo con tecnología dual, y, posiblemente, laprimera autoridad de certificación europea que cuenta con una jerarquía PKI basada en curvas elípticas.

Ya es posible acceder a los certificados de las root :

  • RSA (sha1RSA). Tamaño clave RSA 2048 bits
  • ECC (sha1ECDSA). Tamaño clave ECC: 256 bits (equivalente a 3020 bits en RSA)

Ambas root se generaron en presencia notarial, siguiendo un procedimiento que los responsables de Albalia y EADTrust hemos ido perfeccionando en sucesivas ceremonias de  generación de claves de CA (Certification Authority) en FESTECamerfirmaBanestoANCERT.

La autoridad de certificación root basada en algoritmo de Curva Elíptica utiliza, en particular, la forma ECDSAFp de 256 BITS aleatorios (secp256r1), según se indica en los documentos generados por el NIST (National Institute of Standards and Technology) FIPS (Federal Information Processing Standards) 186-2 y FIPS 186-3 en sus apéndices 6 y D respectivamente en sus secciones referentes a las Curvas Elípticas Recomendadas para Uso del Gobierno Federal (Estados Unidos)

Una de las ventajas de EADTrust es que sus servicios se implementan en base al standard de OASIS DSS (Digital Signature Services), lo cual supone una protección de las inversiones de las entidades que las implementan, ya que suponen la evolución futura de los servicios de este tipo. Izenpe y CatCert ya soportan este estándar, y @firma lo anunciado en su «roadmap».

Recientemente EADTrust ha firmado un acuerdo con VaniOS, para implementar su sistema de gestión centralizada de claves, activable de forma biométrica o mediante usuario y password, y que es compatible con aplicaciones que funcionan en entornos Windows accediendo a los tradicionales interfaces CSP (Crypotographic Service Provider) y PKCS#11. De esta forma estará disponible un novedoso sistema de firma electrónica como servicio, basado en el concepto de agente de firma, con las ventajas de la firma en el ordenador del usuario, y las ventajas de la seguridad gestionada de los entornos centralizados.

Orden por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.

1 respuesta

Estando en vigor el Real Decreto Ley 14/1999, de 17 de septiembre, sobre firma electrónica (derogado por la Ley 59/2003, de 19 de diciembre, de firma electrónica, se publicó la Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.

Aunque esta Orden está derogada por la DISPOSICIÓN DEROGATORIA ÚNICA de la Ley 59/2003, es interesante conocerla y especular sobre cual será la norma que ocupe su rol, en desarrollo de la DISPOSICIÓN FINAL SEGUNDA de la Ley 59/2003.

Sobre todo ahora que la normativa sobre firma electrónica comienza a hacerse tan extensa, fragmentada y en ocasiones contradictoria, especialmente tras la publicación de la Ley 11/2007, y su normativa relacionada.

Este es el texto original de la norma, que recordemos, no está vigente.

El Real Decreto-ley 14/1999, de 17 de septiembre, sobre firma electrónica, que se redactó tomando en consideración la posición común del Consejo de Ministros de Telecomunicaciones de la Unión Europea sobre la Directiva por la que se establece un marco comunitario para la firma electrónica, finalmente aprobada el 13 de diciembre de 1999, prevé el establecimiento de sistemas voluntarios para la acreditación de prestadores de servicios de certificación y para la evaluación de la conformidad de los productos de firma electrónica con los requisitos que exige.

A este respecto, el artículo 6 del Real Decreto-ley 14/1999, de 17 de septiembre, establece que las normas que regulen los sistemas de acreditación y de certificación deberán ser objetivas, razonables y no discriminatorias. Igualmente, señala que las funciones de certificación a que se refiere dicho Real Decreto-ley serán ejercidas por los órganos, en cada caso competentes, referidos en la Ley 11/1998, de 24 de abril, General de Telecomunicaciones; en la Ley 21/1992, de 16 de julio, de Industria, y en la demás legislación vigente sobre la materia. Por su parte, elartículo 22 del Real Decreto-ley 14/1999, de 17 de septiembre, establece que el Real Decreto al que se refiere el artículo 6 de aquel determinará los términos en los que podrá certificarse la conformidad de los dispositivos de verificación de firma electrónica avanzada con los requisitos indicados en dicho artículo 22.

El Real Decreto-ley 16/1999, de 15 de octubre, por el que se adoptan medidas para combatir la inflación y facilitar un mayor grado de competencia en las telecomunicaciones, habilita al Ministro de Fomento para desarrollar, mediante Orden, los artículos 622 del Real Decreto-ley 14/1999, de 17 de septiembre. En ejercicio de la citada habilitación, se aprueba este Reglamento. A través de esta norma, el Ministerio de Fomento cumple el mandato legal contenido en el artículo 68.1.a) de la Ley 11/1998, de 24 de abril, General de Telecomunicaciones, de acercar al ciudadano los nuevos servicios de la sociedad de la información, dando a éstos un elemento adicional de seguridad en la firma electrónica.

Con el establecimiento de estos sistemas, se persigue fomentar la adopción de prácticas que garanticen que los servicios y productos relacionados con la firma electrónica se ofrecen al público en unas condiciones satisfactorias de calidad y seguridad técnica. La acreditación y la certificación funcionarán así, como un sello de calidad de los prestadores de servicios y productos de firma electrónica que las obtengan, permitiendo incrementar la confianza de los usuarios en la utilización de esta nueva garantía para las comunicaciones y el comercio electrónico.

En este Reglamento se regula el funcionamiento de los sistemas de acreditación y de certificación que, tal como han sido diseñados por el Real Decreto-ley 14/1999, de 17 de septiembre, giran en torno a tres clases de órganos, entidades u organismos, a saber: Los órganos competentes para la acreditación de prestadores y la emisión de certificados de conformidad de productos de firma electrónica, las entidades encargadas de evaluar y emitir informe o certificado y el organismo independiente al que se encomienda la acreditación de dichas entidades de evaluación, cuya designación se lleva a cabo en este Reglamento. Así mismo, se determina el régimen jurídico de las acreditaciones y certificados de conformidad, los requisitos para su obtención y las condiciones para el reconocimiento de los expedidos en otros Estados.

En la elaboración de esta norma, se han tenido en cuenta los modelos de certificación ya existentes para la evaluación de la conformidad de productos afines y los esquemas que esten siendo desarrollados en el ámbito europeo para la evaluación de la seguridad de las tecnologías de la información y las comunicaciones.

Esta disposición ha sido sometida al procedimiento de información en materia de normas y reglamentaciones técnicas y de reglamentos relativos a los servicios de la sociedad de la información, previsto en la Directiva 98/34/CE, del Parlamento Europeo y del Consejo, de 22 de junio, modificada por la Directiva 98/48/CE, de 20 de julio, y en el Real Decreto 1337/1999, de 31 de julio, que incorpora estas Directivas al ordenamiento jurídico español.

Por otra parte, en la disposición adicional única se introducen algunas modificaciones de la Orden de 14 de octubre de 1999, por la que se regulan las condiciones de calidad en la prestación de los servicios de telecomunicaciones. En primer lugar, se de una mayor coherencia al contenido del artículo 2, evitando que la aplicación de la Orden a los operadores afectados por la transformación de sus títulos se produzca en fecha posterior a la prevista para los que hayan accedido directamente, a partir de 1 de diciembre de 1998, a la licencia individual. Además, se añade una nueva disposición adicional a la Orden de calidad, por la que se faculta al Secretario general de Comunicaciones para modificar el anexo 1 de dicha Orden. Con objeto de posibilitar una rápida adopción de las definiciones y métodos de medida que apruebe el Instituto Europeo de Normalización de Telecomunicaciones (ETSI) en sustitución de los actualmente vigentes. Finalmente, se incluyen dos modificaciones del artículo 9 para adaptar el cuerpo de la Orden a la norma del ETSI sobre definiciones y métodos de medida y se corrigen dos errores del anexo II.

En su virtud, de acuerdo con el Consejo de Estado, dispongo:

Artículo Único. Aprobación del Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.

En desarrollo de los artículos 622 del Real Decreto-ley 14/1999, de 17 de septiembre, sobre firma electrónica, se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica, que figura como anexo a esta Orden.

DISPOSICIÓN ADICIONAL ÚNICA. Modificación de la Orden de 14 de octubre de 1999 por la que se regulan las condiciones de calidad en la prestación de los servicios de telecomunicaciones.

Uno. Se rectifican incorrecciones y se salvan errores en la Orden de 14 de octubre de 1999, por la que se regulan las condiciones de calidad en la prestación de los servicios de telecomunicaciones, en los siguientes términos:

  • En el inciso final del artículo 2, apartado 1, letra b), donde dice: … desde el otorgamiento de la licencia., debe decir: … desde el inicio de la prestación del servicio.
  • En el inciso final del artículo 2, apartado 1, letra c), donde dice: … desde su otorgamiento., debe decir: … desde el inicio de la prestación del servicio.
  • En el artículo 9, apartado 1, letra g), donde dice: Inferior a tres segundos para el 95 % de las llamadas, debe decir: Inferior a cinco segundos para el 95 % de las llamadas o un valor medio inferior a tres segundos.
  • Se suprime el subapartado f.3) del apartado 1 del artículo 9 y el subapartado f.2) queda redactado de la siguiente manera: f.2) Internacionales: Inferior al 2,5 %.
  • En el anexo II, apartado 1, subapartado Medida, primer párrafo, donde dice: La medida se expresará en días naturales, debe decir: La medida se expresará en días laborables.
  • En el anexo II, apartado 3, subapartado Medida, primer párrafo, donde dice: … se medirá en horas de reloj, debe decir: … se medirá en horas laborables.

Dos. Se añade una nueva disposición adicional, con la siguiente redacción:

Disposición adicional sexta. Autorización al Secretario general de Comunicaciones para modificar el anexo I.

Se faculta al Secretario general de Comunicaciones para modificar el contenido del anexo I de esta Orden, al objeto de armonizarlo con las definiciones y métodos de medida de los parámetros requeridos por la Directiva 98/10/CE del Parlamento Europeo y del Consejo sobre la aplicación de la oferta de red abierta a la telefonía vocal y sobre el servicio universal de telecomunicaciones en un ámbito competitivo, que se adopten por las Instituciones europeas en sustitución de los contenidos en el documento ETSI ETR 138, que figura actualmente referido en el anexo III de dicha Directiva, y a establecer los plazos necesarios para su aplicación.

DISPOSICIÓN FINAL ÚNICA. Entrada en vigor.

La presente Orden entrará en vigor transcurrido el plazo de un mes desde su publicación en el Boletín Oficial del Estado.

Madrid, 21 de febrero de 2000.

Arias-Salgado Montalvo,
Ilmo. Sr. Secretario general de Comunicaciones.

ANEXO.
REGLAMENTO DE ACREDITACIÓN DE PRESTADORES DE SERVICIOS DE CERTIFICACIÓN Y DE CERTIFICACIÓN DE DETERMINADOS PRODUCTOS DE FIRMA ELECTRÓNICA.

CAPÍTULO I.
SISTEMA DE ACREDITACIÓN Y DE CERTIFICACIÓN.

Artículo 1. Fin, objeto y ámbito de aplicación.

1. El fin de este Reglamento es lograr un adecuado grado de seguridad, calidad y confianza en la prestación de servicios de certificación y proteger debidamente los derechos de los usuarios, estableciendo los sistemas de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.

2. Es objeto de este Reglamento la regulación del sistema de acreditación de prestadores de servicios de certificación y de certificación de los productos de firma electrónica respecto de los que es competente la Secretaría General de Comunicaciones del Ministerio de Fomento.

3. El sometimiento a los sistemas de acreditación y de certificación regulados en este Reglamento será voluntario.

Artículo 2. Órgano de acreditación y certificación.

1. La Secretaría General de Comunicaciones del Ministerio de Fomento es el órgano competente para, salvaguardando la seguridad en las comunicaciones, acreditar a los prestadores de servicios de certificación y certificar los productos de firma electrónica a los que se refiere el apartado siguiente.

2. La competencia de la Secretaría General de Comunicaciones para certificar productos de firma electrónica se ejercerá sobre aquellos que cumplan las siguientes condiciones:

  • Que estén destinados a conectarse directa o indirectamente a los puntos de terminación de una red pública de telecomunicaciones, con el objeto de enviar, procesar o recibir señales.
  • Que estén destinados a garantizar la seguridad de cualquier tipo de información que se transmita por vía electrónica por redes de telecomunicaciones.

3. Se entiende que estas circunstancias concurren, especialmente, en los dispositivos de creación de firma y en los de verificación de firma electrónica avanzada.

4. Respecto de los productos de firma electrónica en los que no se den las condiciones previstas en el apartado 2, su certificación se llevará a cabo con arreglo a la Ley 21/1992, de 16 de julio, de Industria.

Artículo 3. Evaluación previa de prestadores de servicios y productos de firma electrónica.

1. El otorgamiento de la correspondiente acreditación o del certificado de conformidad por la Secretaría General de Comunicaciones, exigirá la previa evaluación del prestador de servicios o la del producto de firma electrónica para los que se solicite, realizada por una entidad facultada para actuar conforme al artículo 6.5 del Real Decreto-ley 14/1999, de 17 de septiembre, sobre firma electrónica y a este Reglamento. Al término de la evaluación efectuada, dicha entidad emitirá un certificado de cumplimiento de los requisitos exigibles o un informe de evaluación, según lo que dispongan las normas aplicables en cada caso. En esta norma, salvo que otra cosa se exprese, las expresiones informeinforme de evaluación se referirán tanto al certificado como al informe propiamente dicho.

2. El informe de evaluación describirá el procedimiento y las normas aplicadas para llevarla a cabo, así como los resultados de las pruebas efectuadas. Este informe será entregado a la persona o entidad que haya solicitado la evaluación.

Artículo 4. Contenido de las resoluciones de acreditación o de certificación.

Las resoluciones por las que se acredite a los prestadores del servicio de firma electrónica o se certifiquen los productos, confirmarán que la evaluación se ha realizado correctamente de acuerdo con las normas establecidas en este Reglamento y que la conclusión alcanzada es coherente con los resultados de la evaluación practicada. Cuando este Reglamento establezca otros requisitos para la acreditación de un prestador de servicios o la certificación de un producto de firma electrónica, la resolución también confirmará su cumplimiento.

CAPÍTULO II.
ENTIDADES DE EVALUACIÓN.

Artículo 5. Independencia de las entidades de evaluación.

Las entidades de evaluación de prestadores de servicios de certificación y de productos de firma electrónica no podrán tener relación de dependencia alguna con los prestadores de servicios ni con los fabricantes o importadores de productos de firma electrónica que soliciten su intervención en el proceso de acreditación o certificación.

Artículo 6. Acreditación de las entidades de evaluación.

1. Podrán actuar como entidades de evaluación de prestadores de servicios de certificación y de productos de firma electrónica, los organismos públicos o privados que hayan sido acreditados por la Entidad Nacional de Acreditación (ENAC) o por cualquier otra entidad de acreditación, en el marco del esquema común de acreditación promovido por la Unión Europea.

2. Con carácter previo al inicio de la actividad de acreditación prevista en el apartado anterior, se firmará el Convenio de colaboración previsto en el artículo 11 de este Reglamento.

Artículo 7. Procedimiento de acreditación de las entidades de evaluación.

1. Para la acreditación de las entidades de evaluación, la ENAC tomará en consideración los siguientes aspectos:

  1. La forma en que garantizan su independencia respecto a los fabricantes o importadores de productos de firma electrónica y prestadores de servicios sometidos a evaluación.
  2. Su competencia técnica.
  3. Sus locales y equipos.
  4. Los procedimientos de trabajo que emplean.

Los aspectos referidos en las letras b), c) y d) se valorarán en función de la actividad para la que las entidades de evaluación soliciten su acreditación.

2. Los aspectos relacionados en el apartado anterior se valorarán de acuerdo con las normas que, a propuesta de la ENAC, se determinen por la Secretaría General de Comunicaciones, mediante resolución publicada en el Boletín Oficial del Estado, respetando el siguiente orden de prelación:

  1. Normas, especificaciones o recomendaciones aprobadas por organismos europeos, que sean generalmente aplicadas en la industria.
  2. Normas, especificaciones o recomendaciones adoptadas por organismos internacionales, generalmente aplicadas.
  3. Normas nacionales generalmente aplicadas.

3. La acreditación se otorgará para la evaluación de prestadores de servicios o de productos de firma electrónica, o para ambos fines, si la entidad de evaluación estuviera suficientemente capacitada para su realización.

4. La ENAC comunicará a la Secretaría General de Comunicaciones las acreditaciones de entidades de evaluación que otorgue, en los términos que se establezcan en el Convenio de colaboración previsto en el artículo 11.

Artículo 8. Obligaciones de las entidades de evaluación.

Las entidades de evaluación deberán cumplir las obligaciones que les sean exigibles entre las establecidas en el capítulo III del Reglamento de la Infraestructura para la Calidad y la Seguridad Industrial, aprobado por el Real Decreto 2200/1995, de 28 de diciembre, y las que a continuación se establecen:

  • Facilitar información actualizada a cualquier persona que lo solicite, en relación con la función de evaluación (evaluación de prestadores o de productos) para la que hayan obtenido la acreditación.
  • Abonar los gastos originados por la evaluación realizada para su acreditación como entidad de evaluación.
  • No utilizar la acreditación de manera que pueda perjudicar la reputación del organismo evaluador de la misma.
  • Cesar inmediatamente en el uso de la acreditación a partir de la fecha en que ésta sea retirada.
  • Indicar, con la mayor claridad posible y en todos los contratos celebrados con sus clientes, que cualquiera de los exámenes e informes previos que se realicen, no implican, de manera alguna, una aprobación por la Secretaría General de Comunicaciones del prestador o producto evaluado.

Artículo 9. Vigencia de las acreditaciones.

La ENAC fijará el periodo de validez de las acreditaciones, de conformidad con lo establecido en el artículo 17.f) del Reglamento de la Infraestructura para la Calidad y la Seguridad Industrial. Asimismo, tendrá en cuenta la actividad para la que se acredite a una entidad de evaluación y la tecnología utilizada por ésta.

Artículo 10. Extinción de las acreditaciones.

1. La acreditación de la entidad de evaluación se extinguirá por las siguientes causas:

  1. El vencimiento del plazo por el que se otorgó.
  2. La renuncia expresa del interesado.
  3. El cese de actividad por la entidad de evaluación.

2. La extinción de la acreditación será declarada por la entidad de acreditación prevista en el artículo 6.

CAPÍTULO III.
ÓRGANO DE ACREDITACIÓN Y CERTIFICACIÓN Y COORDINACIÓN CON OTROS SISTEMAS DE CERTIFICACIÓN.

Artículo 11. Régimen de colaboración entre la Secretaría General de Comunicaciones y la Entidad Nacional de Acreditación.

Entre la Secretaría General de Comunicaciones y la ENAC, se celebrará un convenio de colaboración para determinar el régimen de información y cooperación mutua en cuanto al otorgamiento de acreditaciones y el control posterior de las entidades de evaluación que pueda realizarse. Igualmente, se establecerá la participación de los representantes de la Secretaría General de Comunicaciones en los órganos gestores de la ENAC.

Artículo 12. Funciones del órgano de acreditación y certificación.

La Secretaría General de Comunicaciones velará por el correcto funcionamiento del sistema de acreditación y certificación. Para ello, y sin perjuicio de lo que se estipule en el Convenio de colaboración con la ENAC, la Secretaría General de Comunicaciones podrá realizar o encargar exámenes sobre prestadores de servicios acreditados o los productos de firma electrónica certificados, con el fin de comprobar que se mantienen todos los requisitos en función de los cuales se otorgó la correspondiente acreditación o certificación.

A tal fin, los prestadores de servicios de certificación, deberán colaborar con los agentes o el personal inspector de la Secretaría General de Comunicaciones, en los términos establecidos en elartículo 17 del Real Decreto-Ley 14/1999, de 17 de septiembre.

Artículo 13. Coordinación con otros sistemas de acreditación y certificación.

El sistema de acreditación y certificación previsto en este Reglamento, podrá ser coordinado con otros establecidos para la evaluación de la seguridad de las tecnologías de la información o de los productos de firma electrónica respecto de los que la Secretaría General de Comunicaciones no actúe como órgano de acreditación o certificación, mediante el intercambio de información, el envío de observadores, la armonización, hasta donde sea posible, de los criterios de evaluación aplicados u otras medidas orientadas al aprovechamiento conjunto de conocimientos y experiencias. El alcance de dichas medidas podrá ser concretado, mediante la celebración de un convenio de colaboración entre los responsables de los distintos sistemas de acreditación y certificación mencionados.

CAPÍTULO IV.
ACREDITACIÓN DE PRESTADORES DE SERVICIOS DE CERTIFICACIÓN.

Artículo 14. Concepto de prestador de servicios de certificación.

Los prestadores de servicios de certificación de firma electrónica que lo deseen pueden solicitar su acreditación, especificando el ámbito, general o referido a una o varias actividades concretas, para el que requieran la acreditación. A los efectos de este Reglamento, son prestadores de servicios de certificación:

  • Las personas físicas o jurídicas que expidan certificados al público.
  • Las personas físicas o jurídicas que, además de expedir certificados al público, presten otros servicios relacionados con la firma electrónica, como los de consignación de fecha y hora, los de directorio o los de archivo de documentos electrónicos.

Artículo 15. Acreditación de los prestadores de servicios que expidan certificados al público.

1. Para la acreditación de los prestadores que expidan certificados reconocidos al público, se exigirá el cumplimiento de los requisitos establecidos en los artículos 1112 del Real Decreto-Ley 14/1999, de 17 de septiembre, sobre firma electrónica. El cumplimiento de la obligación establecida en el artículo 1 2.g) del Real Decreto-ley 14/1999, de 17 de septiembre, será controlado, en todo caso, por la Secretaría General de Comunicaciones.

Los prestadores de servicios de certificación que no expidan certificados reconocidos, podrán ser acreditados sí cumplen las condiciones previstas en el artículo 11 del Real Decreto-ley 14/1999, de 17 de septiembre, sobre firma electrónica.

2. En ambos casos, podrán reconocerse distintos niveles de acreditación, en función de lo que se establezca en las normas a las que se refiere el artículo 17.

Artículo 16. Requisitos para la acreditación de prestadores de servicios relacionados con la firma electrónica, distintos de la emisión de certificados.

1. Los prestadores de servicios que, además de emitir certificados al público, presten algún otro servicio relacionado con la firma electrónica, podrán solicitar que su acreditación comprenda éstos. La acreditación se otorgará si, de acuerdo con el informe emitido por la entidad de evaluación, desarrollan la actividad de que se trate con un grado suficiente de fiabilidad. podrán reconocerse distintos niveles de acreditación, en función de lo que se establezca en las normas a las que se refiere el artículo 17.

2. En la acreditación de las personas que presten un servicio de consignación de fecha y hora, se valorarán especialmente el grado de exactitud de los datos temporales que constaten, la disponibilidad de éstos para las partes y los mecanismos empleados para evitar su alteración.

Artículo 17. Criterios y normas aplicables para la evaluación de prestadores de servicios.

Las entidades de evaluación determinarán el cumplimiento de las condiciones previstas para la acreditación de los prestadores de servicios de certificación conforme a las normas que se indiquen en el Diario Oficial de las Comunidades Europeas. En su defecto, se aplicarán las normas que determine la Secretaría General de Comunicaciones y cuyos números de referencia se publiquen en el Boletín Oficial del Estado. Para su fijación, se respetará el orden de prelación establecido en el artículo 7.2 de este Reglamento.

Artículo 18. Solicitud de la acreditación.

1. El prestador de servicios que esté interesado en obtener una acreditación deberá presentar, en cualquiera de los lugares indicados en el artículo 38.4 de la Ley 30/1992, una solicitud dirigida a la Secretaría General de Comunicaciones, que contenga los elementos indicados en el artículo 70 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

2. A dicha solicitud, deberá adjuntar el informe de evaluación emitido por la entidad de evaluación acreditada que hubiera examinado la actividad para la que pide la acreditación.

Artículo 19. Resolución del órgano de acreditación.

1. La Secretaría General de Comunicaciones otorgará la acreditación solicitada si el procedimiento aplicado para la evaluación es el adecuado para la actividad de que se trate y se cumplen los demás requisitos incluidos en este Reglamento para obtener la acreditación.

2. Si considera que el procedimiento o las normas aplicadas son inadecuados, indicará al prestador de servicios, mediante resolución, qué pruebas han de realizarse o qué normas deben aplicarse para que el procedimiento de evaluación pueda ser aceptado.

3. El plazo máximo de resolución y notificación será de seis meses, contados desde que la solicitud del prestador haya tenido entrada en cualquiera de los registros del Ministerio de Fomento. Si la Secretaría General de Comunicaciones no hubiera notificado la resolución en este plazo, el prestador de servicios podrá entender estimada su solicitud.

4. Las resoluciones de acreditación de prestadores de servicios de certificación serán publicadas en el Boletín Oficial del Estado y notificadas a la Comisión Europea, de acuerdo con lo dispuesto en la normativa comunitaria.

Artículo 20. Contenido y vigencia de la acreditación.

1. La resolución por la que se otorgue la acreditación a un prestador de servicios obligará a éste a mantener, en todo momento, los requisitos con arreglo a los cuales consiguió su acreditación.

2. La acreditación tendrá una vigencia de cuatro años. A su vencimiento, podrá ser renovada por períodos iguales, siempre que se constate, mediante informe favorable de una entidad de evaluación, que el prestador sigue cumpliendo las condiciones exigibles para su acreditación. Será aplicable a este supuesto, lo dispuesto en el artículo 19, en cuanto al plazo máximo de resolución y notificación y al sentido del silencio administrativo.

Artículo 21. Modificación de la acreditación.

1. Los prestadores de servicios podrán solicitar la revisión de su acreditación con el fin de acceder a un nivel distinto, si demuestran, mediante informe favorable de una entidad de evaluación, que reúnen las condiciones necesarias para ello. El plazo para resolver sobre dicha solicitud será de seis meses y el silencio administrativo, si lo hubiere, será positivo.

2. La resolución de acreditación podrá ser modificada, cuando los prestadores dejen de cumplir las condiciones establecidas para cada tipo de acreditación. La resolución de modificación será dictada en expediente contradictorio, en el plazo de seis meses.

3. Las resoluciones por las que la Secretaría General de Comunicaciones renueve, de acuerdo con el artículo anterior, amplie o rebaje la acreditación de un prestador de servicios, se publicarán en el Boletín Oficial del Estado y serán notificadas a la Comisión Europea, de acuerdo con lo dispuesto en la normativa comunitaria.

Artículo 22. Extinción de la acreditación.

1. La acreditación de un prestador de servicios se extinguirá por las siguientes causas:

  1. El vencimiento de su plazo de otorgamiento, sin que se haya solicitado su renovación.
  2. La renuncia expresa del prestador de servicios.
  3. El cese en la actividad de certificación de que se trate, del prestador de servicios.

2. La extinción de la acreditación será declarada por la Secretaría General de Comunicaciones, una vez constatada.

3. La resolución por la que se declare la extinción de la acreditación de un prestador de servicios, será publicada en el Boletín Oficial del Estado, y se notificará a la Comisión Europea, de acuerdo con la normativa comunitaria.

Artículo 23. Reconocimiento mutuo de acreditaciones.

1. Serán reconocidas en España las acreditaciones concedidas a los prestadores de servicios en otros Estados de la Unión Europea para las clases y niveles de acreditación equivalentes a los establecidos en este Reglamento.

2. Con arreglo al mismo criterio, podrán ser reconocidas las acreditaciones otorgadas en un Estado que no sea miembro de la Unión Europea, a un prestador de servicios reconocido en virtud de un acuerdo entre la Comunidad Europea y terceros países u organizaciones internacionales.

CAPÍTULO V.
CERTIFICACIÓN DE DISPOSITIVOS SEGUROS DE CREACIÓN DE FIRMA Y DISPOSITIVOS DE VERIFICACIÓN DE FIRMA ELECTRÓNICA AVANZADA.

Artículo 24. Requisitos para la certificación de dispositivos de firma electrónica.

1. La Secretaría General de Comunicaciones podrá certificar, como dispositivos seguros de creación de firma, los dispositivos que, a tenor de los informes emitidos por una entidad de evaluación acreditada, cumplan los requisitos establecidos en el artículo 19 del Real Decreto-ley 14/1999, de 17 de septiembre.

2. La Secretaría General de Comunicaciones podrá determinar la conformidad de los dispositivos de verificación de firma electrónica avanzada con los requisitos señalados en el artículo 22.1 del Real Decreto-ley 14/1999, de 17 de septiembre, de acuerdo con lo que dispone el artículo siguiente.

Artículo 25. Normas para la evaluación de dispositivos de firma electrónica.

La evaluación de la conformidad de los dispositivos seguros de creación de firma y de los dispositivos de verificación de firma electrónica avanzada con los requisitos exigibles en cada caso, se realizará aplicando aquellas normas cuyos números de referencia se publiquen en el Diario Oficial de las Comunidades Europeas. En su defecto, se aplicarán las normas que determine la Secretaría General de Comunicaciones y cuyas referencias se publiquen en el Boletín Oficial del Estado. Para su fijación, se respetará el orden de prelación establecido en el artículo 7.2 de este Reglamento.

Artículo 26. Procedimiento aplicable al otorgamiento del certificado de conformidad.

1. Las solicitudes de certificación de dispositivos de creación y de verificación de firma electrónica podrán ser presentadas por sus fabricantes o importadores o por los prestadores de servicios.

2. El procedimiento para la obtención de la certificación será el regulado en los artículos 1819 de este Reglamento, entendiéndose, a estos efectos, que las referencias hechas a los prestadores de servicios lo son a los fabricantes, importadores o comercializadores de dichos dispositivos.

3. Las resoluciones por las que se otorguen los certificados de conformidad serán publicadas en el Boletín Oficial del Estado.

Artículo 27. Vigencia de los certificados de conformidad.

Los certificados de conformidad especificarán el período de vigencia por el que se expiden, el cual, en ningún caso, podrá ser superior a cinco años. A su término, los certificados podrán ser renovados, siempre que se acredite, mediante informe favorable de una entidad de evaluación, que se cumplen las condiciones exigibles para la certificación del dispositivo de que se trate. Será aplicable a este supuesto, lo dispuesto en el artículo 19.3 de este Reglamento.

Artículo 28. Caducidad de los certificados.

1. La Secretaría General de Comunicaciones podrá retirar un certificado de conformidad cuando compruebe que los dispositivos de creación o de verificación de firma electrónica al que afecte ya no cumplen los requisitos que determinaron su otorgamiento.

2. La resolución de caducidad del certificado se dictará, en el plazo de seis meses, en expediente contradictorio y se publicará en el Boletín Oficial del Estado.

Artículo 29. Reconocimiento mutuo de certificados.

1. Se reconocerá eficacia a los certificados sobre dispositivos seguros de creación de firma electrónica y de verificación de firma electrónica avanzada que hayan sido expedidos por los organismos designados, para ello, por los Estados miembros de la Unión Europea.

2. Igualmente, se reconocerá eficacia a los certificados sobre dispositivos seguros de creación de firma electrónica y de verificación de firma electrónica avanzada que hayan sido expedidos por los organismos designados por Estados que no sean miembros de la Unión Europea, cuando un acuerdo internacional de reconocimiento mutuo vinculante para España así lo disponga.

Nota: las referencias legales están tomadas de noticias.juridicas.com

SITE 2010 Salón Internacional de las Nuevas Tecnologías

1 respuesta

SITE 2010 es la primera edición del Salón Internacional de Tecnología, que se celebra en La Coruña el 17, 18 y 19 de noviembre de 2010. Desde Albalia estamos ayudando a impulsar esta feria que va a tener, esperamos, una gran relevancia en el mundo de las transacciones electrónicas.

SITE 2010 Salón Internacional de Tecnología reúne por vez primera en un evento ferial los avances de innovación en la banca, el comercio electrónico y la interoperabilidad con las administraciones públicas, sin perder de vista los factores de seguridad y ahorro vinculados a ellos. Así, se estructura en 3 grandes áreas:

  • Comercio y transacciones electrónicas – internacionalización
  • Tecnología financiera
  • Innovación Tecnológica en el sector público

La elección de Galicia como enclave para su celebración no es casual; viene dada por la propia trayectoria y proyección de las empresas y profesionales gallegos que, con proyectos punteros y líderes, han destacado en diversos ámbitos tecnológicos y empresariales. Y no sólo en el sector privado. Galicia es la comunidad con una mayor implantación de la e- administración que se refleja en el uso del DNI electrónico en gestiones y transacciones o en la implantación de la factura electrónica en los pagos de la administración gallega. Confluyen así las múltiples razones de peso que convierten a A Coruña en anfitriona y escaparate de lo que está ocurriendo en el ámbito internacional.

CIT 2010

Deja un comentario

A partir de mañana, durante los dias 9 y 10 de marzo de 2010 tienen lugar en Madrid las Jornadas CIT 2010, el punto de encuentro ibérico ineludible de  los especialistas en tarjetas (de crédito, de transporte, de fidelización, de identidad).

Este decimotercer Congreso de Smartcards, Identificación y Medios de Pago, se celebra en el Palacio Municipal de Congresos del Campo de las Naciones.

El amplio programa puede obtenerse aquí.

Yo ejerceré de Presidente de la Sesión 2 dedicada a ID CARD: tarjeta ciudadana y e-government

En esta sesión yo destacaría las siguientes ponencias relativas a casos concretos de uso de la tarjeta ciudadana:

La experiencia práctica de Izenpe: éxitos y fracasos, ¿qué trámites incorpora para relacionarse con Ayuntamientos, Diputaciones Forales, polideportivos, bibliotecas, y efectuar diversas tramitaciones a través de Internet?
Raquel Garay
Responsable del Area de Proyectos
IZENPE

La experiencia de San Sebastián: la convivencia tarjeta ciudadana y DNI electrónico
Javier García Ramos
Director del Departamento de Presidencia
AYUNTAMIENTO SAN SEBASTIAN

La tarjeta ciudadana de Navarra: una acreditación para los servicios públicos
Amelia Salanueva
Consejera de Administración Local y de Vivienda y Ordenación del Territorio GOBIERNO DE NAVARRA

Productos y servicios basados en DSS

7 respuestas

En el artículo «Firma electrónica con OASIS DSS» ya di algunas indicaciones de la importancia de este protocolo para desplegar servicios de firma electrónica en las grandes organizaciones. Recientemente se ha anunciado que está previsto incluir esta funcionalidad en futuras versiones de @firma, la herramienta más utilizada en las administraciones públicas para gestionar firmas electrónicas.

En el momento actual, solo dos productos dan soporte a este protocolo:

Sin embargo, sí que está disponible como servicio (en lo que en Albalia llamamos Trustworthiness of services in the cloud) a través de algunos prestadores de servicios de certificación:

En cuanto a entidades, Caixa Galicia lo ha implantado en su arquitectura sobre zSeries (Mainframe IBM), gracias a zBackTrust, la variante de BackTrust orientada a zLinux y z/OS, con Websphere.

Breve historia de la FNMT-RCM como PSC

1 respuesta

La FNMT-RCM ha sido uno de los prestadores de servicios de certificación más significativos, y el que más certificados tiene emitidos, si exceptuamos a la Dirección General de Policía con el DNIe.

Hace unos meses, se publicó un breve resumen histórico de sus actividades en la revista Computing. El artículo es de Lola Sánchez. Lo reproduzco a continuación

Tras la puesta en marcha en 1996 del proyecto CERES (CERtificación ESpañola), la Real Casa de la Moneda-Fábrica Nacional de Moneda y Timbre (RCM-FNMT) se constituyó en 1997 como Prestador de Servicios de Certificación (PSC), convirtiéndose en un agente clave de la expansión de la Sociedad de la Información. Los primeros pasos de la RCM-FNMT en este campo sentaron las bases de una carrera que está lejos de terminar. Diego Hernández, al frente de la Dirección de Sistemas de Información del Departamento Ceres de la RCM-FNMT, explica que “en esos años se elaboró un Plan de Viabilidad y se estudiaron iniciativas similares de carácter internacional con un objetivo claro: dar un servicio a los ciudadanos con un certificado electrónico como soporte; potenciando, en consecuencia, el uso de Internet”.

La iniciativa exigía a la RCM-FNMT dotarse de una plataforma y de una serie de tecnologías, específicamente una Infraestructura de Clave Pública (PKI-Public Key Infrastructure), capaz de dar soporte a los diferentes procesos que configuran el ciclo de vida completo de los certificados. Se levantó entonces una plataforma hardware, formada fundamentalmente por equipos Sun/Solaris, que ha resultado clave en el avance del proyecto Ceres en tanto que “nos ha permitido llegar a los casi dos millones de certificados activos y dar soporte a las miles de aplicaciones que funcionan con Ceres”.

La plataforma de la RCM-FNMT, que cuenta con el certificado de seguridad EAL3+ (ALC-FLR.1) otorgado por el Centro Criptológico Nacional según el esquema de certificación europeo Common Criteria, lógicamente se encuentra en un CPD que cumple con la más estricta normativa en materia de seguridad y cuenta con tres entornos diferenciados de desarrollo, preproducción y producción. A día de hoy, la plataforma se encuentra en proceso de migración al calor de la incorporación de nuevos equipos Sun Sparc Enterprise M5000 a la búsqueda de niveles máximos de escalabilidad y disponibilidad.

En la misma línea y hace ahora alrededor de un año, también se modernizó la infraestructura de almacenamiento SAN de la plataforma Ceres, pasando de máquinas EMC Clariion a sistemas Symmetrix. Adicionalmente, se encuentra en fase de estudio avanzado el proyecto para la construcción de un Centro de Respaldo y no se descarta la posibilidad de que se realice en un centro alternativo de la propia RCM-FNMT.

No en vano, la misión de la RCM-FNMT es dar servicios 24×7 de validación de certificados, firma, verificación y facturación electrónica, además de gestionar todo el ciclo de vida de los certificados, entre los que se encuentran los certificados de personas físicas y de personas jurídicas para el ámbito tributario y el de las Administraciones Públicas; así como certificados de componentes y servicios avanzados. Se trata de una misión críticaque requiere de una plataforma robusta y, al mismo tiempo, muy flexible. “El servicio de Sellado de Tiempo (Time Stamping) dispone de un entorno autónomo constituido por un oscilador de rubidio y dos centrales de sincronización ubicadas en un rack dedicado. Todo el sistema está sincronizado permanentemente con el Real Observatorio de la Armada, lo que permite alcanzar precisiones horarias de nanosegundos. Toda la infraestructura está configurada para asumir grandes variaciones en el nivel de carga, coincidiendo con los periodos de presentación de declaraciones de Renta o pago de IVA”, indica José Francisco Jerez, jefe de Servicio del Área Técnica de la Dirección de Sistemas de Información del Departamento Ceres de la RCM-FNMT, en el que trabajan un total de 36 personas.

Otro componente clave de la infraestructura de Ceres es la plataforma de PKI (Public Key Infrastructure), es decir, el sistema mixto hardware/software que permite la generación de certificados; un entorno lógicamente muy protegido. En su momento, la selección de PKI exigió un profundo análisis dado su carácter incipiente y, de hecho, España fue pionera en su apuesta por esta tecnología. “Cuando empezamos en el año 1996 no había prácticamente ninguna tecnología PKI plenamente probada, de modo que en los análisis de viabilidad se estudiaron las alternativas de Baltimore, Entrust y de otras europeas para determinar finalmente que Entrust era la más avanzada”, recuerda Hernández. No obstante y el con el paso del tiempo, la española Safelayer desarrolló su propia tecnología de PKI y en 2000 la RCM-FNMT decidió migrar de modo que, a día de hoy, la RCM-FNMT utiliza ambas: Entrust ySafelayer.

El frontal de la plataforma de CERES está formado por cinco servidores web Apache, en tanto que la capa de aplicaciones es Oracle OAS y la de BBDD descansa también en Oracle.“Actualmente”, comenta Jerez, “algunas de aplicaciones ya funcionan con Oracle 10g y se están migrando otras, aunque lentamente para garantizar la compatibilidad”.

Renta On Line, prueba de fuego

La fiabilidad y correcta operativa de esta plataforma se constató mediante el desarrollo de proyectos pilotos con más de 60 organismos en los tres niveles de la Administración (AGE, CCAA y administración local), hasta que en 1999 se produjo un hito de primer orden. Ese año la Agencia Tributaria (AEAT) daba por primera vez la posibilidad de realizar las declaraciones de impuestos a través de Internet. “En esa primera ocasión”, recuerda Hernández, “sin marketing ni anuncios, con 15.000 certificados se realizaron 26.000 declaraciones de impuestos”.

Con los años, el uso de certificados para la declaración on line de impuestos ha crecido exponencialmente y, a día de hoy, “son casi 3,7 millones de declaraciones las que se realizan telemáticamente y, del total, un 98,6 por ciento usan nuestro certificado”.

Pero no es el único ámbito en el que se ha expandido su uso. “El Ministerio de Economía, el Ministerio de Sanidad, el Ministerio de Interior, El Ministerio de Defensa…, es decir,prácticamente toda la Administración General del Estado tiene aplicaciones que hacen uso de los certificados Ceres; además tenemos convenios con todas las CCAA con la excepción de Cataluña, País Vasco y Valencia, que tienen sus propias entidades públicas de certificación; y en el ámbito local hay más de 5.500 ayuntamientos que están adheridos o tienen un convenio con la RCM-FNMT”, comenta Hernández.

Lejos de hacer sombra a los certificados de Ceres, la llegada del DNI electrónico ha supuesto un revulsivo para la RCM-FNMT. De hecho, la RCM-FNMT ha jugado un papel clave en el desarrollo de este estratégico proyecto impulsado por el Ministerio de Interior y la Dirección General de la Policía. Y es que, la RCM-FNMT no sólo fabrica el soporte físico del eDNI, también participó activamente en su diseño, así como en el del sistema operativo y los kioskos asociados. “Verdaderamente el DNI electrónico llega en un momento totalmente adecuado; nosotros, como entidad pública de certificación estábamos a la expectativa y hemos visto que desde su nacimiento en Burgos el 16 de marzo de 2006 el DNI se ha extendido y ha permitido ver a los ciudadanos que existe la firma electrónica y su utilidad”, señala Hernández, para apostillar que “desde que el DNI electrónico nació, en Ceres hemos tenido un crecimiento exponencial y estamos emitiendo entre 1.500 y 1.700 certificados al día”.

No obstante, el DNI electrónico también ha requerido de la RCM-FNMT una evolución tecnológica al calor de su constitución en 2006 comoEntidad Pública de Validación del DNI electrónico. Hay que señalar que en la PKI adoptada para el DNI electrónico, se ha optado por asignar las funciones de Autoridad de Validación a entidades diferentes de las Autoridades de Certificación, con el objetivo de aislar la comprobación de la vigencia de un certificado electrónico de los datos de identidad de su titular. De este modo, la Autoridad de Certificación (en este caso el Ministerio de Interior-Dirección General de la Policía) no tiene acceso a los datos de las transacciones que se realizan con los certificados que ella emite y, por otro lado, la Autoridad de Validación no tiene acceso a la identidad de los titulares de los certificados que valida, reforzando, si cabe, la transparencia del sistema.

Con esta filosofía y junto al Ministerio de Administraciones Públicas, que presta servicios de validación al conjunto de las AAPP; y el Ministerio de Industria, Turismo y Comercio, enfocado a las empresas; la RCM-FNMT proporciona este servicio con carácter universal, es decir, a ciudadanos, empresas y AAPP.

Para cumplir con esta labor y si bien la política de Ceres contempla la apuesta siempre que sea posible del desarrollo propio de aplicaciones, fundamentalmente en J2EE, en esta ocasión optó por una solución de mercado que, además de dar respuesta, a los requerimientos de validación del eDNI, ha permitido a la RCM-FNMT incorporar los servicios de e-firma electrónica y validación de e-firma. Jérez señala que “para dar servicios de validación de DNI electrónico desarrollamos nuestro propio OCPS multi CA y en paralelo se adquirió la plataforma ASF (Advanced Signature Framework) de TB Solutions, con el fin de disponer de una doble tecnología basada en Web Services, pudiendo acabar finalmente el proyecto en la fecha prevista”. De esta forma, Ceres da cobertura a los distintos algoritmos del eDNI. El servicio de validación se presta desde ambos servicios, si bien por el momento uno está configurado para atender peticiones que utilicen el algoritmo (SHA-1) y el otro para peticiones que incluyan (SHA-2).

En este escenario, la plataforma de validación de certificados de Ceres resulta crítica puesto que antes de validar cualquier transacción es necesario comprobar el estado del certificado y asegurar que no está revocado ni expirado. Esta función se realiza utilizando CRLs (Listas de Certificados Revocados), en las que se almacena la información sobre los certificados electrónicos revocados o no vigentes. Sin embargo, la validación del DNI electrónico se realiza mediante OCSP (Online Certificate Status Protocol), un proceso que implica el envío por parte de un cliente OCSP de una petición sobre el estado del certificado a la Autoridad de Validación que, tras consultar su BBDD, ofrece respuesta vía http.

Movilidad y eAdministración

De cara al futuro y como indica Hernández, son dos las iniciativas estrella en las que trabaja Ceres: “la validación y certificación con dispositivos móviles y el proyecto de Certificado de Empleado Público”.
En el primer ámbito, los acuerdos de Ceres con las dos grandes empresas de telefonía móvil del país –Telefónica Vodafone– que han dado nacimiento a un SIM criptográfico que, con un certificado embebido, permite transaccionar con totales garantías.

Respecto al Certificado de Empleado Público, se trata de una iniciativa estrechamente ligada al cumplimiento de la Ley de Acceso de los Ciudadanos a los Servicios Públicos. “Hemos montado un entorno de PKI para la Administración Pública; este entorno constituye una herramienta de firma electrónica para los empleados públicos y un sistema de identificación de sedes electrónicas y que, junto al sellado de tiempo, resulta clave en el desarrollo de actuaciones automatizadas con ejemplos como el Boletín Oficial del Estado”, indica Hernández. Aunque se trata de un proyecto que todavía tiene mucho recorrido, el Certificado de Empleado Público “será utilizado en breve en el Ministerio de Economía y Hacienda, y existe una gran demanda a medio plazo”.

ISO 27001 para Albalia Interactiva

1 respuesta

Los últimos dias del año 2009 vieron como lográbamos un hito importante (para nosotros) tras un año de esfuerzo. La certificación UNE-ISO/IEC 27001:2007 expedida por AENOR, con el número SI-0094/2009

El estándar para la seguridad de la información UNE-ISO/IEC 27001 (Information technology – Security techniques – Information security management systems – Requirements) fue aprobado y publicado como estándar internacional en Octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. En España, en el año 2004 se publicó su antecesora, la norma UNE 71502 «Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI)» y fue elaborada por el comité técnico AEN/CTN 71. Era la adaptación nacional de la norma británica British Standard BS 7799-2:2002.

Con la publicación de UNE-ISO/IEC 27001 (traducción al español del original inglés) dejó de estar vigente la UNE 71502

La norma especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el ciclo PDCA – acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Se relaciona con la adopción de buenas prácticas según se describe en la antigua norma ISO/IEC 17799 que ha pasado a ser la actual ISO/IEC 27002.

La implantación de UNE-ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance (el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información). En nuestro caso, nos ha costado casi 12 meses el esfuerzo de adecuación y certificación, considerando que además hemos renovado este año las certificaciones ISO 9001 e ISO 14001. En cuanto al alcance, este ha tenido en cuenta la prestación de servicios de alojamiento de PKI y Prestadores de Servicios de Certificación (PSC), ya que prestamos servicios a otras empresas del grupo y quien sabe si llegaremos a prestar servicios de alojamiento y gestión de Autoridades de Certificación de otras entidades.

El Proyecto de Adecuación y Certificación  ha sido posible gracias al impulso del Plan Avanza, en el marco del Proyecto PYMESecurity, TSI-030200-2008-0030,  coordinado por CONETIC Confederación Española de Empresas de Tecnologías de la Información, Comunicaciones y Electrónica (que agrupa a 14 Asociaciones Territoriales). La empresa que nos ayudó en la adecuación fue S21Sec, y la Entidad de Certificación AENOR.

PymeSecurity es un proyecto de ámbito nacional que pretende establecer un factor de competitividad clave para la consolidación del sector TIC Español de mayor fragmentación, como es el de la MicroPyme y Pyme, cuya distinción por la calidad será determinante para su supervivencia empresarial.


ECC – Criptografía de curvas elípticas

2 respuestas

El 3 de diciembre de 2007 se celebró el DISI 2007. Todos los años Jorge Ramió organiza unas jornadas interesantísimas, con ponentes de alto nivel, pero ese año fue especial, con la presencia de Mr Martin Hellman y la interesante propuesta de D. Hugo Scholnik respecto a la factorización de primos que componen el algoritmo RSA y que podría simplificar la forma de obtener la clave privada a partir de la pública.

Para mi fue un motivo de reflexión.

Ya se hablaba de criptografía de curva elíptica el año 1997 cuando me incorporé a FESTE (recuerdo que el tema salió en alguna de las charlas con D. José de Calasanz Pastor Franco, miembro del Patronato de la Fundación auspiciada por el Consejo General del Notariado, y con sus colaboradores en la Universidad de Zaragoza, Miguel Angel Sarasa López y José Luis Salazar Riaño).

La novedad es la sensación de que cada vez estamos más cerca de que el algoritmo RSA no sea suficiente para proteger las firmas electrónicas del futuro.

Por otro lado, desde hace algún tiempo se comentaba en círculos académicos que algunos algoritmos de hash no eran suficientemente robustos como para evitar colisiones en documentos alternativos al firmado, conservando el sentido que corresponde a la aplicación. Especialmente el algoritmo MD5.

Con estas ideas en mente, comenté con colegas de la Comisión de Seguridad de ASIMELEC (una de las principales patronales del Sector TIC) la posibilidad de presentar conjuntamente un proyecto de I+D al Plan Avanza que intentara resolver el reto que supone la gestión a largo plazo de firmas electrónicas. Jorge Gómez, de IDONEUM, fue quien percibió las implicaciones y pensó que podían ser interesantes para posicionar a su empresa (como yo a la mia).

Así iniciamos el Proyecto Binum. El uso simultáneo de algoritmia de firma electrónica en firmas duales, mucho más difíciles de quebrar, incluso en el supuesto de que cada uno de los algoritmos individuales utilizados fuera menos robusto de lo esperado. El proyecto lo presentamos en el año 2008 y fue finalmente aprobado por el Ministerio de Industria, Turismo y Comercio, dentro del Plan Nacional de Investigación Científica, Desarrollo e Innovación Tecnológica 2008-2011,con referencia TSI-020100-2008-681.

En el proyecto, Idoneum desarrolla la tarjeta chip que permitirá el uso de criptografía RSA y ECC simultáneamente, y Albalia lleva a cabo el estudio de los estándares para intentar lograr que las firmas sean compatibles con los estándares actuales. Posteriormente desarrolla un entorno de referencia con una PKI dual y un sistema de firma electrónica (en este caso XAdES) que genera firmas dobles y las comprueba (con el matiz de que una aplicación «Binum-aware» detecta una firma dual, y una aplicación convencional detecta dos firmas).

Sin embargo, ya hemos dado un paso más de lo previsto en el proyecto. Hemos iniciado la actividad como Prestador de Servicios de Certificación de EADTrust (European Agency of Digital Trust) con una filosofía que intenta ser «future-proof». Esta nueva empresa (relativamente nueva), se inicia con algunas novedades:

  • No está prevista la emisión de certificados a entidades finales (al menos a personas físicas).
  • Se prevé que gestione servicios de confianza de la Sociedad de la Información, especialmente favoreciendo la creación de firmas electrónicas de alta calidad con servicios de timestamping, validación de certificados y custodia digital de documentos electrónicos
  • Proporcionará servicios avanzados a precios competitivos
  • Dispone de CAs root vinculadas que combinan criptografía RSA y criptografía ECC (Elliptic curve cryptography)

Este último es un hito significativo, al ser la primera autoridad de certificación del mundo con tecnología dual, y, posiblemente, la primera autoridad de certificación europea que cuenta con una jerarquía PKI basada en curvas elípticas.

Ya es posible acceder a los certificados de las root :

  • RSA (sha1RSA). Tamaño clave RSA 2048 bits
  • ECC (sha1ECDSA). Tamaño clave ECC: 256 bits (equivalente a 3020 bits en RSA)

Ambas root se generaron en presencia notarial, siguiendo un procedimiento que hemos ido perfeccionando en sucesivas ceremonias de  generación de claves de CA (Certification Authority) en FESTE, Camerfirma, Banesto y ANCERT.

La autoridad de certificación basada en algoritmo de Curva Elíptica utiliza, en particular,  ECDSAFp de 256 BITS aleatorios (secp256r1), según se indica en los documentos generados por el NIST (National Institute of Standards and Technology) FIPS (Federal Information Processing Standards) 186-2 y FIPS 186-3 en sus apéndices 6 y D respectivamente en sus secciones referentes a las Curvas Elípticas Recomendadas para Uso del Gobierno Federal (Estados Unidos)

Por cierto, desde que iniciamos el proyecto, se han producido algunas noticias importantes que revelan hasta qué punto es necesario contar con tecnología como la anunciada. Por ejemplo, la demostración de que el algoritmo de Hash MD5 utilizado en muchos de los certificados de Root, admite colisiones provocadas que ponen en cuestión la tecnología PKI. En el artículo MD5 considered harmful today (MD5 se considera dañino a dia de hoy) Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molnar, Dag Arne Osvik y Benne de Weger generan un certificado de root capaz de suplantar a una autoridad de certificación genuina. Sin necesidad de atacar la criptografía RSA, sino solo el algoritmo de Hash.

Decisión de la Comisión 2009/767/CE de 16 de octubre de 2009

1 respuesta

Decisión de la Comisión de 16 de octubre de 2009 por la que se adoptan medidas que facilitan el uso de procedimientos por vía electrónica a través de las «ventanillas únicas» con arreglo a la Directiva 2006/123/CE del Parlamento Europeo y del Consejo relativa a los servicios en el mercado interior
[notificada con el número C(2009) 7806]
(Texto pertinente a efectos del EEE)
(2009/767/CE)

LA COMISIÓN DE LAS COMUNIDADES EUROPEAS,

Visto el Tratado constitutivo de la Comunidad Europea,

Vista la Directiva 2006/123/CE del Parlamento Europeo y del Consejo, de 12 de diciembre de 2006, relativa a los servicios en el mercado interior, y, en particular, su artículo 8, apartado 3,

Considerando lo siguiente:

(1)    Las obligaciones de simplificación administrativa impues­ tas a los Estados miembros en el capítulo II de la Direc­ tiva 2006/123/CE, y, en particular, en sus artículos 5 y 8, incluyen la obligación de simplificar los procedimientos y trámites aplicables al acceso a actividades de servicios y su ejercicio y la obligación de garantizar que los presta­ dores de servicios puedan realizar fácilmente dichos pro­ cedimientos y trámites a distancia y por vía electrónica, a través de las «ventanillas únicas».

(2)    La realización de los procedimientos y trámites a través de las «ventanillas únicas» debe ser posible a través de las fronteras entre Estados miembros con arreglo al artículo 8 de la Directiva 2006/123/CE.

(3)    Para respetar la obligación de simplificar los procedi­ mientos y trámites y facilitar el uso transfronterizo de las «ventanillas únicas», los procedimientos por vía elec­ trónica deben basarse en soluciones sencillas, en particu­ lar en lo que se refiere al uso de firmas electrónicas. En los casos en que, tras una adecuada evaluación del riesgo de los procedimientos y trámites concretos, se considere necesario un nivel elevado de seguridad o una equivalen­ cia con la firma manuscrita, podrían exigirse a los pres­ tadores de servicios, para determinados procedimientos y trámites, firmas electrónicas avanzadas basadas en un certificado reconocido, con o sin dispositivo seguro de creación de firma.

(4)    El marco comunitario de la firma electrónica se creó en la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electró­nica . A fin de que del uso transfronterizo de las firmas electrónicas avanzadas basadas en un certificado recono­ cido resulte eficaz, debe reforzarse la confianza en estas firmas electrónicas con independencia del Estado miem­ bro en que esté establecido el firmante o el proveedor de servicios de certificación que expida el certificado reco­ nocido. Esto podría conseguirse ofreciendo más fácil­ mente en una forma confiable la información necesaria para validar las firmas electrónicas, y en particular la información relativa a los proveedores de servicios de certificación que están supervisados/acreditados en un Estado miembro y a los servicios que prestan.

(5)    Es necesario garantizar que los Estados miembros pongan esta información a disposición del público mediante un modelo común, a fin de facilitar su uso y garantizar un nivel de detalle apropiado que permita a la parte recep­ tora validar la firma electrónica.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1
Uso y aceptación de firmas electrónicas

1. Si se justifica sobre la base de una evaluación apropiada de los riesgos existentes y de conformidad con el artículo 5, apar­tados 1 y 3, de la Directiva 2006/123/CE, los Estados miembros podrán exigir, para la realización de algunos procedimientos y trámites a través de las ventanillas únicas con arreglo al artículo 8 de la Directiva 2006/123/CE, el uso por el prestador del servicio de firmas electrónicas avanzadas basadas en un certificado reconocido, con o sin dispositivo seguro de creación de firma, según se definen y regulan en la Directiva 1999/93/CE.

2. Los Estados miembros aceptarán cualquier firma electró­nica avanzada basada en un certificado reconocido, con o sin dispositivo seguro de creación de firma, para la realización de los procedimientos y trámites a que se refiere el apartado 1, sin perjuicio de la posibilidad de que los Estados miembros limiten esta aceptación a las firmas electrónicas avanzadas basadas en un certificado reconocido y creadas mediante un dispositivo seguro de creación de firma si ello está en consonancia con la evaluación del riesgo a que se refiere el apartado 1.

3. Los Estados miembros no supeditarán la aceptación de las firmas electrónicas avanzadas basadas en un certificado reconocido, con o sin dispositivo seguro de creación de firma, a re­quisitos que obstaculicen el uso, por los prestadores de servicios, de procedimientos por vía electrónica a través de las ventanillas únicas.

4. El apartado 2 noimpedirá a los Estados miembros aceptar firmas electrónicas distintas de las firmas electrónicas avanzadas basadas en un certificado reconocido, con o sin dispositivo seguro de creación de firma.

Artículo 2
Establecimiento, mantenimiento y publicación de listas de confianza

1. Cada Estado miembro establecerá, mantendrá y publicará, de conformidad con las especificaciones técnicas que figuran en el anexo, una «lista de confianza» que contenga la información mínima referente a los proveedores de servicios de certificación que expiden certificados reconocidos al público por él supervi­sados/acreditados.

2. Los Estados miembros establecerán y publicarán, como mínimo, una versión legible por las personas de la lista de confianza de conformidad con las especificaciones que figuran en el anexo.

3. Los Estados miembros notificarán a la Comisión cuál es el organismo responsable del establecimiento, mantenimiento y publicación de la Lista de Confianza, el lugar en que está pu­ blicada dicha lista y cualquier eventual modificación al respecto.

Artículo 3
Aplicación

La presente Decisión se aplicará a partir del 28 de diciembre de 2009.

Artículo 4
Destinatarios

Los destinatarios de la presente Decisión serán los Estados miembros.

Hecho en Bruselas, el 16 de octubre de 2009.

Por la Comisión
Charlie McCREEVY
Miembro de la Comisión