Archivo de la categoría: Smart Cards

Despliegue de DNI electrónico en Banca

5 respuestas

Aunque estos dias se están publicando algunas noticias sobre que tal o cual entidad está aceptando el DNI electrónico en determinados entornos, lo cierto es que son entornos «demo» sin una verdadera implementación real.

En cajeros automáticos o kioskos de autoservicio, el driver «oficial» del DNI electrónico no sirve, y es preciso desarrollar funciones especiales, que establezcan el canal seguro con el dispositivo y accedan a los certificados, dando la opción de firmar o autenticar. Y me consta que hay pocas implementaciones reales (como la de Albalia Interactiva) y muchas «ñapas» para presentar una demo con la información disponible en el entorno público del dispositivo (que es muy poca).

En el diseño de los terminales de oficina, también es necesario el empleo de drivers especiales, para captar las firmas electrónicas de los usuarios y pocas entidades han previsto el despliegue de la nueva infraestructura de oficina.

Los servicios centrales deben revisar su arquitectura y resolver la forma en que el DNI electrónico se incardina en toda una nueva suerte de procesos, en los que han de convivir los documentos en papel con los electrónico. Y esto tampoco está hecho en las instituciones.

Y, por supuesto, hay que saber lidiar con firmas completas en entornos escalables y establecer su archivo y custodia, implementando mecanismos probatorios, y aplicando sistemas de validación OCSP y Timestamping.

Sin restar mérito a permitir el uso del DNI electrónico en el establecimiento del canal SSL con autenticación del cliente (que es lo que han mostrado algunas entidades indicando la posibilidad de usar el DNI electrónico al acceder a la banca electrónica via web), eso solo es una parte de lo que hay que hacer, aunque bastante efectivo en un entorno de demostración. Por cierto, semejante a los que los Prestadores de Servicios de Certificación muestran desde hace 5 años, con tecnología muy madura con la que cuenta el Internet Explorer.

O firmar ficheros PDF con Acrobat. El software lo hace todo, y la pizca de complicación surge cuando queremos que la indicación de tiempo (timestamping) y validación sean fiables.

El Despliegue del DNI electrónico es algo más.

Preguntas y respuestas sobre la adopción de 3D Secure y EMV en España

4 respuestas

Recientemente he participado en una encuesta sobre medios de pago, centrada en 3D secure y EMV, algunas de cuyas preguntas (y respuestas) pueden ser de interés para quienes trabajan en el mundo de los medios de pago. No dejan de ser opiniones personales circunscritas la mercado español, por lo que agradeceré vuestras opiniones tanto si coincidís con las mías como si disentís.

¿Su institución (en su carácter de emisora de tarjetas de crédito y débito) utiliza alguna solución 3D Secure? ¿Desde qué año?

Albalia Interactiva no emite tarjetas, pero yo he estado vinculado con el 3D secure desde el año 2000, y desde antes con el sistema SET.

¿Porqué cree que pese a estar España relegada en el nivel de Comercio Electrónico con sus vecinos europeos ha sido el primero y más amplio en implementar 3D?

Porque previamente se intentó implementar SET de forma amplia con ciertas dificultades por incompatibilidad de soluciones y complejidad añadida al pago desde el punto de vista de usuario. Y no es cierto que el nivel de Comercio Electrónico en España sea inferior al de otros paises europeos. Le recuerdo que la mayor parte del comercio 3D del MUNDO se lleva a cabo en España.

¿Cómo considera -7 años después- el estadio del 3D Secure? ¿Ha triunfado o fracasado? ¿Porqué?

Ha fracasado. Porque la adopción fuera de España es muy baja y no tiene apoyo de las marcas VISA y MasterCard, especialmente en Estados Unidos.

Respecto a España es un éxito clamoroso por su adopción, pero la percepción de ser una isla digital implica que no hay excesivas barreras para adoptar mecanismos alternativos como Mobipay, en el que también España es pionera.

¿Los TPV Virtuales utilizados por las tiendas virtuales, son propios o pertenecientes a la procesadora de pagos?

En algunos casos son de las procesadoras, y en otros de entidades financieras. En España se usa el modelo triangular, por lo que es fácil migrar a cualquier plataforma de autenticacion de transacciones. No se da el caso de TPV virtual propio, salvo en grandes entidades que también disponen de lineas dedicadas para las transacciones presenciales.

¿La utilización es exclusivamente a través de su red de pagos o está implementada internamente?

El modelo triangular implica que la fase de pago (dentro del proceso de carrito de la compra) se lleva a cabo en la entidad financiera adquirente o en su procesador asociado.

Prácticamente hablando, ¿La implementación del 3D Secure es exclusivamente un tema a cargo de su procesadora de pagos? ¿Qué recae a cuenta de la institución?

La institución define el mecanismo de autenticación del titular. Frecuentemente delega este tema tambén en la procesadora.

¿Qué relación existe entre los sistemas de seguridad de la Banca Electrónica y del Comerció Electrónico?

En ocasiones coinciden, pero no de forma generalizada. Ahora se está debatiendo la posibilidad de utilizar calculadoras OTP comunes para toda la banca a partir de tarjetas EMV con autenticación dinámica. Esto unificaría la visión de seguridad de banca electrónica y comercio electrónico.

¿Considera la seguridad en el Comercio Electrónico un elemento de diferenciación competitiva en el mercado financiero?

Solo algunas entidades dan importancia a ese tema. Además en los últimos tiempos, las entidades financieras son refractarias a aceptar más tiendas virtuales, por ciertos errores de gestión de clasificación del pasado.

¿Existe alguna interfase que permite aprovechar los medios de identificación del cliente tanto para la Banca Electrónica como para el Comercio Electrónico?

Si. Uno de ellos ya lo he mencionado, pero no es el único. En particular existen grandes expectativas sobre la próxima universalidad del DNI electrónico.

¿Cuál es el porcentaje de tiendas virtuales que están utilizando 3D Secure?

Prácticamente el 100%. Todas aquellas que usan la pasarela de pago de su entidad financiera.

Unas pocas usan SSL para captar datos de tarjeta y despues utilizan un TPV convencional para volver a introducir los datos de tarjeta con la modalidad «reentry», lo que requiere un permiso especial de la entidad adquirente.

¿Cuál es la situación de las grandes tiendas (virtuales) como las compañías aéreas, agencias de turismo y de pasajes, grandes tiendas o cadenas?

Usan accesos especiales derivado de la norma ISO 8583, que en España tienen denominaciones como PUC, PUCE, o PRICE y antiguamente «Protocolo Hipermercado». Recientemente han tenido que incluir las modificaciones derivadas de la introducción de EMV que será obligatoria desde inicios de 2008, por la entrada en vigor de los compromisos SEPA.

¿Cómo entiende ha sido la evolución en la aceptación de esta tecnología?

Las propias entidades han evolucionado en su uso como tiendas físicas a tiendas virtuales, unificando la plataforma para ambos usos.

¿Cuál es el porcentaje de inscripción en el 3D Secure por parte de los portadores de tarjetas?

Prácticamente el 100% de las entidades dan la opción, si bien, por problemas de adopción, permiten llevar a cabo algunas transacciones iniciales de forma no autenticada. Los titulares esporádicos no suelen enrolarse.

Por otro lado Mobipay permite llevar a cabo transacciones 3D de forma más sencilla y más segura y se incluye como opción en las pasarelas de adquirente.

¿Cuál es el proceso de registración de éstos (personalmente en las oficinas, al momento de adqquirir, están obligados o es una opción por su conveniencia?

El proceso es on-line, vinculandolo a algún dato común que el usuario debe conocer, por ejemplo datos de acceso a la banca on-line. EN las primeras transacciones se avisa al usuario del proceso completo de enrolamiento pero se le suele dar la opción de autorizar la transacción sin autenticación.

¿Los clientes han aceptado positivamente la iniciativa al ver mejorada su seguridad o se molestan por la registración y posterior necesidad de recordad su clave?

Creo que ambas situaciones se dan, pero el modelo de aceptar las primeras operaciones sin autenticación minimiza el impacto de las molestias y produce una beneficiosa sensación de seguridad al usuario. Creo que la relación debe estar en torno al 80-20.

¿El «liability shift» (revierte la carga del fraude de la tienda o su banco al banco emisor de la tarjeta) afectará las medidas de seguridad en el Comercio Electrónico?

Si, aunque las entidades no parecen aplicar conscientemente esta situación.

¿Los proyectos SEPA y EMV afectarán también la seguridad en el Comercio Electrónico?

Si. Se intenta llegar a modelos unificados. Ya he comentado el tema de las calculadoras OTP:

¿En un futuro las tarjetas EMV serán también utilizadas para el Comercio Electrónico? ¿Colaborará o dificultará la ejecución de operaciones electrónicas?

En mi opinión sí, si se generalizan las calculadoras OTP. Sin embargo, es más probable que en España se adopte Mobipay como un mecanismo mejor y más barato para la autenticación.

¿Los clientes estarían a cargo de la compra de la unidad lectora de EMV?

El despliegue del DNI electrónico tendrá como efecto la inclusión generalizada de lectores de tarjeta chip por los particulares. Los fabricantes e importadores han anunciado que desde 2008 los ordenadores llevaran teclados con lector de tarjeta chip compatible PC/SC o bien otras variantes de lector. Este sistema podría ser utilizado para aceptar tarjetas EMV.

Firma electrónica en banca

3 respuestas

El sector bancario ha sido, junto con el académico, el que más tempranamente acogió los conceptos de criptografía de clave pública y certificación digital como componentes de seguridad de soluciones por desplegar. Lo cierto es que también el sector financiero ha sido promotor de la criptografía de clave simétrica desde mucho antes, adoptando el DES (Data Encryption Standard) como  base de sus sistemas de cifrado en todos los dispositivos relacionados con los medios de pago, como TPVs y Cajeros automáticos.

Sin embargo, iniciativas tan prometedoras como “Negocios Cibernéticos”, ACE, Iberion, GTA o Identrus han quedado por el camino como testimonios de “failure case” : soluciones para problemas que no existían. Y como corolario la sentencia “Las PKI no funcionan en banca”.

 

En banca, ha sido frecuente justificar la escasa adopción de técnicas seguras de identificación con argumentos como “el usuario no lo demanda”, “añade complejidad al sistema”, “no hay casos de fraude”, “es complejo de gestionar” o “es caro”.

Todos esos argumentos, que en realidad son falaces, no han sido óbice para que la banca impulsara en el pasado el despliegue de canales, productos y servicios de gran aceptación por los usuarios, lo que se ha demostrado años después de que se “impusieran” a los clientes sin que existiera demanda, sin que importara la complejidad añadida, o el coste de despliegue. En particular el rentable (hasta hace unos meses) mundo de la tarjeta de crédito  se ha desarrollado con un nivel razonable de seguridad en el mundo físico (muy basado en los servicios de autorización en tiempo real) hasta el punto que, en España,  hacían poco necesaria la adopción de medidas adicionales.

En cambio, en el despliegue  del canal Internet, el relajamiento excesivo en la adopción de medidas de seguridad, tras el argumento de que “otras entidades están peor”, “se frena el crecimiento de usuarios” , “genera llamadas al call center”, ha retrasado el consenso en la adopción de estándares comunes hasta que se ha producido una avalancha de incidentes asociados a téminos como “phishing”, “pharming” “keyloggers” y “troyanos” que están creando una verdadera alarma social y ponen en peligro no solo la credibilidad del nuevo canal, sino incluso el buen nombre de la banca en su conjunto, con quiebra de conceptos como el de “confianza” que son la base del negocio bancario.

Todos estos incidentes eran previsibles, y de hecho algunas voces llevan años advirtiéndolo. Sin embargo, ahora son una realidad y hay que tomar medidas. Y las medidas las está tomando cada entidad a su manera, unas con mensajes a móviles, otras con tarjetas de coordenadas, algunas con teclados en pantalla (afortunadamente, las menos), otras con dispositivos de clave fungible (OTP, One Time Password) y las más sofisticadas con Certificados Electrónicos.

 

La primera crítica a todas estas soluciones proviene de que los usuarios son clientes de varias entidades y diferentes “experiencias de usuario” son caldo de cultivo para que puedan producirse intentos de fraude basados en “ingeniería social” engañando a los usuarios, como de hecho sucede en técnicas como el Phishing. De modo que una recomendación sería consensuar aspectos comunes en la operativa de las distintas entidades para que las excepciones a la operativa (lo que suponen las técnicas de ingeniería social) al menos sea “sospechoso” para los usuarios.

Oath logoCalculadora OTP EMVSi se llega a consensuar la operativa, se estará muy cerca de disponer de infraestructuras comunes de autenticación. Aquí se puede limitar el coste de iniciativas que, desarrolladas individualmente por cada entidad, podrían ser muy caras. Por ejemplo, cabe pensar en disponer de servidores comunes de autenticación OATH de forma que los tokens OTP desplegados por todas las entidades sean compatibles, y no exijan que los usuarios carguen con varios dispositivos anillados a su llavero. O que las “calculadoras” generadoras de claves OTP  a partir de tarjetas EMV (Europay Mastercard, VISA, tarjetas con chip) sean compatibles, de forma que se pueda aprovechar el despliegue de tarjetas EMV impuesto por las condiciones de gestión SEPA (Single Euro Payment Area) en el sentido de que la operatividad y el coste de uso de las tarjetas sea equivalente a operaciones domésticas (las que llevan a cabo las entidades en su propio país).

El consenso tendría efectos beneficiosos, por ejemplo, en el despliegue de la firma electrónica a partir del DNI y otros certificados cualificados. En efecto, uno de los retos que supone aceptar firmas electrónicas respaldadas por sus correspondientes certificados electrónicos es que, según la Ley 59/2003 y la Directiva 93/1999, cualquier firma electrónica cualificada (la que se expide cumpliendo ciertos requisitos entre los que destaca la verificación presencial de la identidad del solicitante del certificado asociado) tiene equivalencia funcional con  la firma manuscrita, y por tanto impone la obligación de verificar su validez al tercero que confía en los certificados. En la práctica cualquier prestador de servicios de certificación europeo puede cumplir los requisitos y esto implica que las entidades financieras deben ser capaces de acceder a los servicios de información de validez de los certificados (a través de diferentes modalidades como OCSP – Online Certificate Status Protocol, CRL – Certificate Revocation List , o SCVP – Server-based Certificate Validation Protocol )  de CUALQUIER prestador de servicios de certificación. De modo que la gran oportunidad que representa el DNI electrónico (cuyo despliegue, que supone un gran esfuerzo, ha sido asumido por la Administración) se amplía y se complica por la necesidad de aceptar cualquier certificado emitido por cualquier PSC (Prestador de Servicios de Certificación)  español o europeo.  Esta tarea puede ser compleja para una sola entidad pero puede ser resuelta fácilmente desde  un organismo común que permita compartir sus costes. En el fondo no es muy distinto de lo que supone el sistema de validación “SARA” (Sistema de Aplicaciones y Redes para las Administraciones) desplegado por el Ministerio de Administraciones Públicas  para cualquier organismo de la administración.

Otra ventaja del consenso: la unificación en la estrategia de despliegue de EMV. Es obligatorio el despliegue completo de tarjetas EMV por parte de las entidades emisoras de tarjetas VISA y MasterCard (entre otras) antes de fin del año 2010 como consecuencia de los requisitos impuestos por la iniciativa SEPA. Dentro de las especificaciones EMV hay dos modalidades principales de funcionamiento que determinan la tecnología de la tarjeta chip: autenticación estática y autenticación dinámica. Sin tomar en cuenta algunos puntos débiles de los sistemas de autenticación estática, preferidos por los delincuentes, los de autenticación dinámica incluyen por un coste adicional poco significativo la posibilidad de gestionar claves privadas en la tarjeta, dentro de un infraestructura de clave asimétrica (PKI, Public Key Infrastructure). Hay algunas tarjetas que permiten su uso de forma simultánea como tarjeta EMV y como Dispositivo Seguro de Creación de Firma  (DSCF, SSCD, Secure Signature Creation Device), y son aptas, por tanto para que las propias entidades financieras puedan desplegar sus propios certificados cualificados. Entre estas tarjetas, cabe citar, por ejemplo la Advantis Crypto de SERMEPA y la M.MAR de Microelectrónica, aunque todos los fabricantes están desarrollando tecnologías convergentes.

El hecho de unificar la estrategia de despliegue de la tarjeta (incluso sin unificar su tecnología), permite compartir estrategias en la distribución del driver CSP o PKCS#11, que pueden facilitarse desde un organismo de comunicación común. Aquí convendría hacer algunos esfuerzos adicionales: la unificación del perfil de los certificados adoptando OID comunes y consensuando el significado de estos allí donde no hay un estándar, la colaboración en la gestión de una autoridad de certificación raíz común para los certificados de todas las entidades, que facilite el establecimiento de la cadena de confianza, el desarrollo común del Web Service de la AEAT para facilitar la generalización del uso en el ámbito tributario…

Con un coste marginal, respecto al que tiene el despliegue de tarjetas EMV convencionales, se puede conseguir la completa disponibilidad de certificados cualificados para los titulares de tarjetas, a un ritmo más rápido que el que puede lograr el DNI electrónico. De esta forma las entidades podrían establecer estrategias de comunicación que enfatizaran la disponibilidad de múltiples servicios (los mismos que se vayan desarrollando para el DNI) por el solo hecho de tener una tarjeta de crédito de la entidad.

La estrategia de colaboración en certificación ha recibido el nombre de “ABANCE” (Autoridad BANcaria de CErtificación) durante los  últimos años, pero en la actualidad es solo una de las múltiples áreas de colaboración de  bancos y cajas más allá de la interconexión de redes de medios de pago. Efectivamente, la posibilidad de colaboración en sistemas de claves de un solo uso (OTP) compartiendo el servidor de autenticación bajo el modelo OATH (Initiative for Open Authentication), amplía el alcance de ABANCE.

 

PKI ABANCE

Pero hay más. Las entidades están preocupadas ahora por el phishing, el pharming, los keyloggers o los troyanos, porque son amenazas muy claras que ya se han hecho presentes en nuestros días y se contabilizan en las estadísticas. Pero saben que cada nuevo paso que se da en la securización de las transacciones lleva aparejado una nueva modalidad de ataque o de fraude, la posibilidad de explotar una nueva vulnerabilidad  o de idear un nuevo tipo de engaño. Y es necesario un grupo de especialistas que permita reaccionar ante cada nueva situación. Sin restar mérito a las ofertas de empresas privadas que resuelven algunos de los retos o aportan soluciones parciales, sigue haciendo falta una acción integradora que sea un recurso de las entidades financieras. Es necesario un CERT (Computer Emergency Response Team) o, por usar un término más actual, un CSIRT (Computer Security Incident Response Team), es decir, un Equipo de Respuesta ante Incidentes de Seguridad Informática Bancario.  

Desde hace algunos meses esta es una idea que he intentado promover, y finalmente parece que ya existe un grupo de entidades que están dispuestas a acometer su creación. Este órgano se está estructurando como una de las líneas de actuación de una nueva Fundación que tiene objetivos adicionales. En efecto, otra las líneas de actividad identificada como esencial ha sido la que lleve a término la determinación de luchar contra la impunidad en la red. Ha llegado el momento de pasar de una situación defensiva, en la que la máxima aspiración de una entidad es minimizar el quebranto y posicionarse en seguridad sólo un poco mejor que los competidores (la gacela no pretende correr más que el león, sólo más que la víctima, otra gacela) a otra ofensiva en la que sea posible localizar al delincuente y que este pague por el delito, restituyendo la confianza al medio.

La iniciativa, aunque novedosa, tiene un antecedente notable en la BSA (Business Software Alliance). Esta institución de carácter multinacional, con presencia en 80 países,  propugna el uso legal del software y promueve diferentes iniciativas adaptadas a la situación del país en el que actúa. De forma similar, la Fundación para la Confianza Digital promueve un uso seguro de la red actuando contra los delincuentes en cualquier lugar del mundo, apoyándose en abogados e investigadores que actúen en los países en los que esté presente. Permitiendo una reacción ágil ante ataques internacionales, apoyándose en la legislación y los medios del país desde el que actúa, colaborando con la policía y la justicia hasta lograr la condena y el cumplimiento de la pena de los atacantes. Proporcionando medios y formación a la policía y a los miembros de las diferentes instancias jurídicas, de todos los países. Reforzando la seguridad de las redes, la idemnidad de los usuarios y la confianza en el medio y en las instituciones. Las entidades Fundadoras están en estos momentos revisando los estatutos y estructurando su participación con la idea de constituirla a lo largo de 2007. Si se cumplen las previsiones, se habrá dado forma al adagio “La mejor defensa, el ataque”.

Congreso eDNI: 24 de abril de 2007

4 respuestas

No faltéis a la cita.

El próximo martes 24 de abril, en el Palacio de Congresos del Paseo de la Castellana, 99 de Madrid tendrá lugar el Congreso sobre DNI electrónico de ASIMELEC.

Interesantes experiencias para conocer y compartir.

Y un Workshop (taller) para explicar a los más técnicos la forma de desarrollar aplicaciones en torno al DNI-e.

Ver más detalles en el Web del Congreso.

Actualización.

Ya hay referencias sobre el evento como la de CIO y la de Arbol de Noticias.

Sin embargo, finalmente no se presentará el cajero automático anunciado.

Otra novedad: para permitir que una misma persona pueda acudir al Congreso y al Taller Práctico, finalmente el Taller se ha aplazado hasta el dia 22 de mayo de 9 a 14:00.

Firmando con Clauer. Casi un Dispositivo Seguro de Creación de Firma

Deja un comentario

Clauer USBHace algunos dias mencionaba el Proyecto Clauer destacando sus posibilidades.

Me parece una iniciativa tan relevante como para insistir sobre ella.

Es un modo elegante y seguro de transpostar claves a un coste ridículo y con una gran facilidad de uso.

Clauer CDEl sistema permite utilizar casi cualquier soporte para ello, de forma que incluso se pueden transportar los drivers que facilitan su uso que se integran de forma no invasiva en la experiencia de usuario. Como se ve en estas fotos, ya existen implementaciones (con personalización de marca) en «llave» USB y en CD.

La solución se puede usar virtualmente en cualquier sistema operativo y con diferentes tipos de programas de navegación por internet.

Conviene echar un vistazo periódicamente al web del proyecto, y hacer seguimiento de sus avances. Hay mucha y muy interesante información, además de accesos al propio software. Y por supuesto, el uso práctico en el entorno real de la Universitat Jaume I.

En este trabajo, Manuel Mollar ha ideado el dispositvo clauer, definido la aquitectura del sistema y coordinado las labores de desarrollo, en el que han participado:

  • Mauro Esteve (Ene 2005 – ): Gestor del USB, gestor del CD, gestor de la cartera, ClaBlock.
  • Rafa Forcada (Dic 2003 – Sep 2005) Sist Operativo y formateador USB v1 para Windows.
  • Paul Santapau (Oct 2005 – ) S.O. Linux y Windows v2, formateador USB Windows y Linux, PKCS11 para Mozilla.
  • Juan Segarra (Dic 2003 – ) S.O. Linux y Windows v2, LibRT, CSP, Store y actualizador para Windows.

Con modestia, indican que la limitación de que la generación de claves no se pueda generar de forma interna al dispositivo, reduce algunos usos. En mi opinión es una limitación menor, ya que una buena gestión de políticas del PSC (Prestador de Servicios de Certificación) garantiza la unicidad y privacidad de las claves y permite garantizar siempre que el proceso de obtención de claves (en lo que depende de ciertas vulnerabilidades en la selección de números primos) se lleva a cabo con la versión más actualizada y robusta del generador.

Tarjetas EMV como DSCF (Dispositivos Seguros de Creación de Firma)

9 respuestas

Hace muchos años que propugno la convergencia de EMV y PKI. Para mi es una oportunidad el hecho de que una de las obligaciones que se imponen a las entidades financieras en el marco del desarrollo de SEPA (Single Euro Payment Area), sea la de emitir tarjetas EMV a todos sus titulares a partir del 1 de enero de 2008.

Si todas las entidades financieras adoptan esta idea, emitirán tarjetas mixtas que además de ser EMV (con autenticación dinámica) son DSCF (Dispositivo Seguro de Creación de Firma, en inglés SSCD, Secure Signature Creation Device, denominación de la Directiva y de la Ley de Firma Electrónica) e incluyen un certificado cualificado.

Esto aporta el que todos los titulares de tarjeta de crédito puedan contar con firma cualificada tan pronto como toque renovar la tarjeta. Y con ella, el acceso a todas las aplicaciones on-line o presenciales que se desarrollan tanto en el ámbito privado como en la administración pública para el DNIe y para otros certificados cualificados.

Veo grandes posibilidades de comunicación comercial y nuevos servicios que pueden desarrollar las entidades financieras.

También llevo años proponiendo el desarrollo en banca del sistema ABANCE (Autoridad BANcaria de CErtificación) que ponga en valor las iniciativas de desarrollo de PKI que muchas entidades financieras han llevado a cabo a lo largo de los años, y que entronca directamente con este uso mixto de las tarjetas EMV.

Rescatando las mejores ideas que se intentaron adoptar en el proyecto Iberion y eliminando las causas que acabaron con aquel proyecto, puede desarrollarse una infraestructura de clave pública que permita compartir la root, las políticas de certificación, los perfiles de los certificados y los servicios de gestión de revocación, haciendo que el proyecto sea de bajo coste para las entidades financieras, y con ventajas claras para ellas y para sus clientes.

Y posiblemente ha vuelto a madurar esta idea con todo el potencial que se desarrolla en torno al DNIe, y que algunas entidades financieras como Banesto y SCH están ensayando.

Hoy por hoy, pienso que una de las pocas barreras que existen para lanzar en serio el proyecto es que los criterios de homologación de EMV impiden que una tarjeta pueda presentar simultáneamente esta homologación y la correspondiente al cumplimiento de las normas CWA 14168 y CWA 14169). Por eso, es decisión de la entidad financiera si acepta tarjetas mixtas sin homologación que sepa que vienen de un fabricante que tiene tarjetas homologadas en cada estándar.

En mi opinión debe ser así, pero los responsables no se quieren arriesgar a no ser que un consultor externo se lo diga.

En estos momentos, por mi información, las tarjetas que cumplen las exigencias de DSCF y EMV son las de Microelectrónica (empresa española adquirida por msystems, y que al ser adquirida esta por Sandisk, ha pasado a su órbita) y las de SERMEPA (Advantis Crypto, basada en la TIBC 3.0) que desarrolla con ST Microelectronics. La Advantis Crypto la personalizan la FNMT-RCM, G&D y Oberthur.

Sé que hay otros proveedores que también las tienen, por lo que invito a añadir comentarios señalando más proveedores.

Migración a la Zona Única de Pagos en Euros

1 respuesta

Uno de los grandes retos con los que se enfrentan las entidades financieras al iniciar 2008 es el de universalizar el despliegue de las tarjetas EMV para todos sus clientes.

Afortunadamente en otras exigencias de la convergencia SEPA, las entidades españolas llevan cierto adelanto.

Sorprende la extraordinaria adaptabilidad de las instituciones españolas que aceptan esta exigencia en el momento más duro del entorno comercial de los que han vivido al reducirse severamente los ingresos por comisiones como consecuencia de un planteamiento premeditamente ingenuo de los diferentes agentes del mercado, y de fuera del mercado, como la del Ministerio de Industria, Comercio y Turismo, que ha actuado de «primo de zumosol» en una actuación que probablemente es tan ajena a las reglas de la libre competencia como la que se ha imputado (en mi opinión, por ignorancia) a las sociedades de medios de pago.

De todas formas, como en todo entorno dinámico los ajustes se irán produciendo de forma que alguien al final pagará la factura. Y ya sabemos a quién le va a tocar.

Invito a leer el artículo homónimo que Fernando Zunzunegui ha incluido en su blog.

DNIe en CIT 2007

8 respuestas

Comentaba ayer lo que fue CIT 2007 a grandes rasgos.

Yo estuve como Presidente de Jornada en la sesión sobre DNI electrónico («Posibilidades y oportunidades del e-DNI como sistema de identificación de electrónica«) que tuvo lugar el 14 de marzo.

Por diferentes motivos no pudieron estar presentes ni Juan Crespo ni José Luis Díez, del Cuerpo Nacional de Policía, pero pusieron a disposición de los asistentes la posibilidad que se abrió a los asistentes de Infosecurity la semana anterior de gestionar la expedición del DNI electrónico en  el circuito de excepción.

Por cierto, si alguno de los asistentes que se apuntó en alguna de las listas lee este post, que vuelva a contactar conmigo en el que caso de que no le haya dado ya la cita. Es que me he liado un poco con las listas y las tarjetas, y no sé si al final he incluido a todos los solicitantes.

Quisiera dar las gracias a Juan y José Luis, y al resto de funcionarios del CNP su disposición para facilitar estas iniciativas, además de felicitarles por el gran trabajo que están realizando en el despliegue del DNIe y en la difusión de sus posibilidades.

Mi intervención trató sobre «Retos de la implantación de sistemas y aplicaciones que permitan aceptar el DNI electrónico para firmar y para identificar al usuario. Medidas tecnológicas que tendrán que llevar a cabo las entidades para adaptarse a la nueva realidad»

En ella repasaba el modelo de arquitectura documental que es necesario desarrollar en paralelo a la arquitectura transaccional con la que cuentan las entidades financieras para gestionar correctamente los documentos electrónicos. En este sentido el sector público está en una fase más madura. Además expliqué los retos de adaptación de oficinas, cajeros, TPVS y dispositivos como los STB (Set Top Boxes) de la TDT, al DNIe y la forma de abordarlos.

Bud P. Bruegger líder del proyecto de Comune di Grosseto, en Italia comentó las inciativas europeas sobre identidad digital, tanto en los documentos de ciudadano, como en los pasaportes, y el reto que supone la interoperabilidad. Desgranó los últimos avances del Grupo de Porvoo

Pol Navarro de Banc Sabadell comentó como ellos están desarrollando el canal internet para permitir el uso del DNIe y cual es el interfaz de usuario que ha diseñado el Banc Sabadell.

Jesús María Alonso de ATOS Origin explicó las ventajas de la TDT interactiva con MHP para el desarrollo de servicios como la T-Administración y los retos que supone la posibilidad de identificarse en ellos con el DNIe. Entre otros la dificultad de encontrar receptores que dispongan de lector de tarjeta chip y la diversidad de entornos de desarrollo con contextos dispares en cuanto a nivel de especificaciones soportado y cada una de sus implementaciones.

Miguel Angel Navarrete y Miguel Hoyo de Caja Madrid trataron sobre el servicio de banca electrónica con identificación mediante el DNIe que la entidad va a lanzar próximamente. Las pantallas presentadas marcan ciertos puntos de convergencia con las de Banc Sabadell, pero el enfoque de uso de los certificados de FIRMA o de AUTENTICACIÓN del DNIe, es diferente por las diferencias de cobertura de los diferentes contratos de Banca Electrónica de las entidades.

En las pausas de la jornada, C3PO, nuestros socios especialistas en lectores de tarjetas chip (chipeteras) repartieron dispositivos gratuitamente a los asistentes.

Por la tarde, Nacho Alamillo de CatCert explicó la forma en la que su entidad resuelve para los organismos públicos catalanes  el problema de la validación de los certificados expedidos por diferentes prestadores de servicios de certificación, y el caso especial que supone el DNIe. En buena medida los proyectos de CatCert son, en mi opinión, referenciales, y pueden servir de modelos de Buenas Prácticas en la Administración Electrónica.

Mi idea era tener tras su intervención una pequeña mesa redonda con los ponentes de la mañana que hubieran podido quedarse, antes de la intervención de Raul Sánchez Reillo, pero no me fijé que estaba en la sala Jesús María Alonso, de modo que aproveché para hacer unas cuantas preguntas a Nacho, y favorecer las de los asistentes. Co esto,  creo que muchas dudas sobre el DNIe y los retos de la gestión adecuada de la firma electrónica quedaron orientadas. De todas formas, la presencia de Jesús en el mesa de ponentes hubiera sido también muy interesante por ver las soluciones que se han planteado en el proyecto de T-Administración que está desarrrollando ATOS Origin.

Finalmente, Raul Sanchez Reillo, especialista en tarjetas inteligentes y biometría, en el marco de su descripción de las posibilidades y limitaciones de estas tecnologías aclaró algunos aspectos del DNIe en los que se aplican. Por su explicación sabemos que las diferentes tecnologías de identificación biométrica tienen un nivel de madurez que las hacen idóneas en muchas aplicaciones. Por cierto, Raul comentó que lo que el Grupo de Investigación dela Universidad Carlos III  en el que desarrolla sus iniciativas, y que inicialmente se denominaba «Grupo Universitario de Tarjeta Inteligente» ahora se denomina «Grupo Universitario de Tecnologías de Identificación». Las mismas siglas y un objeto más amplio.

Una jornada muy interesante, por el nivel de los ponentes y por el de los asistentes, con algunos de los cuales puede comentar temas de interés en las pausas.

CIT 2007. Congreso Internacional de Tarjetas

1 respuesta

Los dias 13, 14 y 15 de marzo tuvieron lugar las jornadas CIT 2007 con resultados positivos de asistencia: 400 profesionales asistieron a las distintas ponencias del Congreso y más de 1500 visitantes acudieron a ExpoCIT, el área de exposición del evento, con 40 empresas representadas procedentes de diversas áreas de negocio.

VISA y MasterCardLas jornadas de CIT 2007 se iniciaron con las intervenciones  de Luis García, director de Visa Europe, y José Sirvent, director de Mastercard Europe, que trataron temas como el del nuevo escenario económico en Europa con el proyecto SEPA para establecer una zona única de pagos en euros, o el acuerdo alcanzado entre banca y comercios para reducir las tasas de intercambio que se aplican las entidades financieras entre sí.

En mi opinión el de estos años es el peor escenario para plantearse la reducción de ingresos de las entidades emisoras de tarjetas puesto que es imprescindible acometer grandes inversiones para cumplir los requisitos SEPA, y, en particular, la emisión masiva de tarjetas EMV que se tiene que producir obligatoriamnete desde incicios de 2008.

El área de exposición, ExpoCIT, mostró un nutrido muestrario de soluciones  en el ámbito de los medios de pago, la identificación, la fidelización, el transporte, la seguridad, los controles de acceso y la biometría.

Los premios Golden Card, que la feria otorga a los proyectos empresariales más destacados en el área de las tarjetas de pago, recayeron en esta 10ª edición en manos de Barceló Viajes, la Fábrica Nacional de Moneda y Timbre junto al Cuerpo Nacional de Policía (por el DNI electrónico) y la Caja de Ingenieros.

CIT, el Congreso y Exposición de Tarjetas y Medios de Pago celebraba su décimo aniversario, en el momento en el que la entidad que lo organiza,  IIR España, celebra su vigésimo aniversario en España.

IIR España (Institute for International Research) es una compañía del Grupo Informa plc, el mayor especialista mundial en contenidos académicos, científicos, profesionales y comerciales. Cotizado en la Bolsa de Londres, Informa plc cuenta con 7.400 empleados y está presente en 43 países a través de 150 unidades operativas, desarrolla anualmente más de 10.000 eventos y su catálogo editorial suma 40.000 libros y más de 2.000 productos de suscripción .

Decodificadores TDT con MHP y lector de tarjeta chip

25 respuestas

MHPParte de este artículo se ha basado en la información sobre TDT de RTVE. En él intento demostrar la importancia de que los usuarios adquieran determinado tipo de receptores de TDT (televisión Digital Terrestre) y conectar el canal de retorno para que puedan usar en ellos el DNI electrónico y sacar ventaja de la interactividad para servicios de T-Administración y T-Banca.

La TDT arranca el 30 de diciembre de 2004 con el anuncio del Gobierno de impulsar la Televisión Digital Terrestre. Las Cortes españolas, aprueban, posteriormente, la Ley 10/2005 de Medidas Urgentes para el Impulso de la Televisión Digital Terrestre, de Liberalización de la Televisión por Cable y de Fomento del Pluralismo de 14 de junio de 2005. Ese mismo mes, se aprueba el Plan técnico nacional de la televisión digital terrestre, mediante el Real Decreto 944/2005 de 29 de julio. Este plan adelanta el llamado apagón analógico al 3 de abril de 2010, se regula un escenario de transición a la televisión digital terrestre y se reserva a RTVE dos múltiplex digitales de cobertura estatal en régimen de gestión directa, tras el cese de las emisiones de televisión terrestre con tecnología analógica. Otro empujón se ha dado cuando el Consejo de Ministros aprobó el 25 de noviembre de 2005 el reparto de canales a los operadores públicos y privados.

Hay tres tipos de descodificadores para acceder a la TDT (también llamada DVB-T). Los más baratos, también llamados “zapper”, no son interactivos y se limitan a descodificar la señal digital y transformarla en analógica para que pueda ser vista en el televisor convencional. Los que permiten grabar programas en un disco duro y programar la grabación con la sincroguía (de InOut TV) o la EPG (Electronic Program Guide) se denominan DVR (Digital Video Recorder) o PVR (Personal Video ecorder). Por último, si se dispone de un receptor de la denominada tecnología MHP (Multimedia Home Platform) será posible acceder a aplicaciones interactivas de los canales digitales.

Desde el teletexto digital -notablemente mejorado respecto al analógico-, hasta los servicios de información del tiempo, del tráfico o de La Bolsa. El receptor será una herramienta interactiva, que en un futuro podrá facilitar las conexiones con la Administración, la Banca Elelctrónica o con servicios de Urgencias.

Mientras que la televisión analógica ofrece imagen, sonido y teletexto, la Televisión digital permite recibir imagen, sonido y datos. Éstos últimos pueden estar asociados, o no, a la programación audiovisual. Gracias a esta capacidad, que no tiene precedentes en la televisión analógica, la nueva TDT puede difundir también lo que conocemos como aplicaciones o servicios interactivos.

En España, el Foro Técnico de la TV Digital concluyó en julio de 2005 sus trabajos previos a la implantación de la TDT, recomendando a la Administración que tome medidas para el impulso de los servicios interactivos basados en MHP. El mismo Foro considera que sería necesario promover que exista en el mercado una amplia oferta de receptores (descodificadores y televisores integrados) que lleven incorporado el sistema MHP.

Los equipos con MHP incluyen un pequeño ordenador programable con aplicaciones que se descargan on-line y que en próximas versiones incluirán persistencia. Los que incluyen lector de tarjeta chip podrán permitir servicios interactivos con el DNI electrónico. Para ello es muy importante conectar el canal de retorno a la línea telefónica, lo que rara vez se lleva a cabo.

Los equipos con MHP no son realmente más caros que los zappers y lo que suele hacerlos más caros es la incorporación del disco para grabar, cuando tienen esta función.

Dentro de esta especificación, la versión más evolucionada hasta el momento es la MHP 1.1.2, por lo que será preferible elegir equipos que indiquen su conformidad con esta versión, y que incluyan el hardware adecuado, en este caso el lector de tarjeta chip (smart card reader).

Entretanto, otros niveles de conformidad que se pueden indicar en las especificaciones son las versiones 1.0.3 y 1.1.1 de MHP, que se estandarizaron en ETSI, como TS 101 812 V1.3.1 y TS 102 812 V1.2.1, respectivamente.

La adquisición de este tipo de equipos tiene además la posibilidad de beneficiarse de subvenciones como esta de Red.es.

Tras brujulear un poco, parece que algunos modelos de equipos TDT con MHP y tarjeta chip podrían ser los siguientes:

  • TDT Interactivo MHP i-CAN 2000T
  • Receptor TDT Inter-activo Homecast T3010 MHP
  • PHILIPS MHP-DTR4600
  • PHILIPS MHP-DTR 6600
  • Digiquest MHP 2006
  • Digiquest MHP 2007 con doble lector de smart card
  • Digiquest MHP 1007
  • Baton QTM100K
  • Humax DTT 4100
  • Humax DTT 3500
  • Humax DTT 4500
  • Humax DigiFox, MHP
  • Telesystem TS 7.4DT
  • Telesystem TS 7.7DT c on doble lector de smart card