Archivo de la categoría: TS 101 903

Firma electrónica con el DNI electrónico en BlackBerry

Deja un comentario

El Mobile World Congress (MWC) acaba de cerrar sus puertas, tras cuatro días en los que Barcelona se convirtió en la capital del mundo de la movilidad. Según cifras de la organización, 67.000 visitantes de 205 países visitaron el evento.

Albalia ha estado presente, anunciando su solución de firma electrónica en dispositivos BlackBerry, mediante el DNI electrónico gracias al dispositivo SCR (Smart Card Reader) de RIM.

La aplicación de firma electrónica genera firmas XAdES-XL (y otras variantes de la norma TS 101 903) y en el caso del ejemplo que se muestra en el siguiente video, permite firmas de facturas electrónicas codificadas en formato facturae.

.

.

Pido disculpas por la calidad del vídeo, ya que ha sido una grabación improvisada. Próximamente prepararemos uno mejor

El desarrollo se ha realizado con total fidelidad a los criterios definidos en los perfiles del protección  (los requisitos que especifican una solución de seguridad, en este caso de creación y verificación de firma electrónica) del DNI electrónico en el marco de la certificación Common Criteria.

El desarrollo acometido es uno más entre la serie de dispositivos para los que ha desarrollado drivers de DNIe Albalia Interactiva. De esta forma Albalia Interactiva se consolida como la entidad que ha logrado implementar drivers de DNIe y sistemas de firmas en más plataformas: Móviles con Windows CE, Kioskos de Autoservicio, Cajeros Automáticos, Set Top Boxes de TDT interactiva, Smartphones con BlackBerry OS, entornos Linux con Tomcat y Websphere, entornos .net, entornos VSTO (extensiones de Office),  entornos Mainframe (zLinux y z/OS).

Otros artículos relacionados:

New remote Plugtests™ event for XAdES

Deja un comentario

ETSI’s Centre for Testing and Interoperability (CTI) is organizing a new remote Plugtests™ event for XAdES (XML Advanced Electronic Signature).

This event will run remotely from 14th March to 28th March 2012.

ETSI plays a key role in the development of electronic signature related standards, including Advanced Electronic Signatures like XAdES, CAdES, PAdES and ASiC.

The importance of XAdES has been clearly demonstrated by the increasing support legislation as well as by the increasing market support as more and more products report capability for supporting XAdES.

The XAdES 2012 Plugtests event aims to conduct interoperability test cases on XAdES signatures (TS 101 903), including the XAdES Baseline Profile (TS 103 171). This will include a set of specific test cases related to the standard XAdES providing full test coverage of the specifications.

This Plugtests event will enable participants to conduct 4 types of tests (Interoperability and Conformance):

  • Generation and cross-verification tests.
  • Only-verification (Negative) tests.
  • Signature Upgrade tests
  • Conformance testing on XAdES Baseline Profile signatures

The event will be run from 14th March to 28th March 2012 and are open to both ETSI members and non-members.

As this is a REMOTE event, there will be no need for the participants to travel to the ETSI premises and all signature exchanges and verifications will be performed via the dedicated portal.

All information related to this event along with registration details may be found at the following page

The event is open to XAdES software vendors as well as vendors of platforms offering XAdES signature production and/or verification capabilities. The event is also open to service providers offering XAdES signature production and/or verification capabilities as well as to Government agencies and private companies that are developers of generation and verification of XAdES signatures tools.

Hardware as a Service

1 respuesta

Desde hace unos años EADTrust proporciona servicios DSS en modalidad SaaS (Software as a Service), o computación en la nube (Cloud Trust Services), actividad en la que ha sido pionera. Uno de los servicios prestados era el de sello de tiempo mediante el DSS Time-stamp profile, junto al más habitual servicio basado en el RFC 3161 .

El servicio funciona muy bien en usos esporádico de gestión de sellos de tiempo (por ejemplo, en el marco de la generación de firmas CAdES-XL y XAdES-XL en programas de escritorio), pero las entidades que hacen un uso intensivo del sellado de tiempo demandaron ya hace algo más de 2 años el suministro de hardware específico, instalado en sus centros de proceso de datos (equipos denominados TSU, time Stamping Unit), para disminuir la latencia de la red y manejar picos de transacciones con mejores garantías de disponibilidad. Aquellas TSU fueron las primeras unidades que concretaron el concepto de Hardware as a Service dentro de los servicios de EADTrust: Equipos desplegados en las instalaciones de los clientes pero gestionados bajo la responsabilidad del PSC (Prestador de Servicios de Certificación), en este caso la sección de TSA (Time Stamping Authority). 

Ahora, el resto de los servicios de OASIS Digital Signature Services (DSS) de EADTrust están también disponibles en modalidad DSSU (Digital Signature Services Unit), como equipamiento en las instalaciones de grandes consumidores de servicios de confianza, con funciones como VSU (Validation Service Unit), DSU (Digital Signature Unit) o EEMU (Electronic Evidence Management Unit). Ya es posible instalar una o más unidades de este tipo por centro de proceso de datos, con las ventajas de ser servicios gestionados de muy bajo impacto en la gestión de infraestructura de la entidad. Y con la ventaja de no tener que invertir en la adquisición de equipamiento y licencias, ya que se paga mediante reducidas cuotas mensuales, como corresponde a la filosofía de servicio.

Y sin riesgo de obsolescencia, ya que el prestador va renovando los equipos según evoluciona la tecnología, sin que la entidad usuaria deba preocuparse de nada.

Normas técnicas relativas a la firma electrónica

Deja un comentario

En el marco de ETSI (European Telecommunications Standards Institute) se han desarrollado diferentes normas técnicas relacionadas con la firma electrónica que conviene conocer.

Las incluyo en la siguiente tabla:

Standard Título del Standard
TS 101 733 CMS Advanced Electronic Signatures (CAdES)
TS 102 734 Profiles of CMS Advanced Electronic Signatures based on TS 101 733 (CAdES)
TS 101 903 XML Advanced Electronic Signatures (XAdES)
TS 102 904 Profiles of XML Advanced Electronic Signatures based on TS 101 903 (XAdES)
TS 102 778-1 PDF Advanced Electronic Signature Profiles;
Part 1: PAdES Overview – a framework document for PAdES
TS 102 778-2 PDF Advanced Electronic Signature Profiles;
Part 2: PAdES Basic – Profile based on ISO 32000-1
TS 102 778-3 PDF Advanced Electronic Signature Profiles;
Part 3: PAdES Enhanced – PAdES-BES and PAdES-EPES Profiles
TS 102 778-4 PDF Advanced Electronic Signature Profiles;
Part 4: PAdES Long Term – PAdES LTV Profile
TS 102 778-5 PDF Advanced Electronic Signature Profiles;
Part 5: PAdES for XML Content – Profiles for XAdES signatures
TR 102 047 International Harmonization of Electronic Signature Formats
TR 102 438 Application of Electronic Signature Standards in Europe
TR 102 605 Registered E-Mail
TS 102 640-1 Registered Electronic Mail (REM); Architecture, Formats and Policies;
Part 1: Architecture
TS 102 640-2 Registered Electronic Mail (REM); Architecture, Formats and Policies;
Part 2: Data Requirements and Formats for Signed Evidences for REM
TS 102 640-3 Registered Electronic Mail (REM); Architecture, Formats and Policies;
Part 3: Information Security Policy Requirements for REM Management Domains
TS 102 231 Provision of harmonized Trust-service status information
TS 101 861 Time stamping profile
TS 101 862 Qualified Certificate profile
TR 102 272 ASN.1 format for signature policies
TS 102 280 X.509 V.3 Certificate Profile for Certificates Issued to Natural Persons
TS 101 456 Policy requirements for certification authorities issuing qualified certificates
TR 102 437 Guidance on TS 101 456 (Policy Requirements for certification authorities issuing qualified certificates)
TR 102 458 Mapping Comparison Matrix between the US Federal Bridge CA Certificate Policy and the European Qualified Certificate Policy (TS 101 456)
TS 102 023 Policy requirements for time-stamping authorities
TR 102 040 International Harmonization of Policy Requirements for CAs issuing Certificates
TS 102 042 Policy requirements for certification authorities issuing public key certificates
TS 102 158 Policy requirements for Certification Service Providers issuing attribute certificates usable with Qualified certificates
TR 102 572 Best Practices for handling electronic signatures and signed data for digital accounting
TS 102 573 Policy requirements for trust service providers signing and/or storing data for digital accounting
TS 102 176-1 Algorithms and Parameters for Secure Electronic Signatures;
Part 1: Hash functions and asymmetric algorithms
TS 102 176-2 Algorithms and Parameters for Secure Electronic Signatures;
Part 2: Secure channel protocols and algorithms for signature creation devices
 
 

Firma electrónica en EDITRAN, Pelican, SwiftNet

Deja un comentario

Aunque las versiones de PC de EDITRAN permiten desde hace varios años generar y comprobar firmas PKCS#7 (la forma primitiva de las firmas CMS avanzadas que hoy en dia se extienden desde la CAdES-BES hasta la CAdES-A), en la actualidad los estándares de firma electrónica han evolucionado y se han consolidado especialmente en torno a las especificaciones CAdES y XAdES, y no existe soporte del fabricante de EDITRAN para estos tipos de firma.

Esto lo vemos en Albalia como una oportunidad para nuestras soluciones de firma electrónica multiplataforma (BackTrust)  que funcionan en entornos Mainframe (zLinux y z/OS, con soporte de la última versión de la arquitectura de IBM: zEnterprise), en entornos Solaris, HP-UX, AIX y diferentes variantes de Linux y BSD en diferentes plataformas, en entornos Windows Server (con una implementación .net nativa, o con un porting java, a aelegir por el cliente).

Efectivamente, sea cual sea la versión del sistema de intercambio de ficheros (ftp, sftp, ftps, EDITRAN, Pelican /Inter.Pel / XFB / CFT, SwiftNet-FileAct) o de los sistemas de mensajería (MQ-Series, SwiftNet-InterAct), la gestión multiplataforma de la firma electrónica avanzada (AdES) se resuelve mejor con la versión de BackTrust apropiada.

Además, la posibilidad de utilizar protocolos como OASIS DSS, APIs (Aplication program Interface) y Wrappers, permite gestionar las firmas electrónicas desde diferentes lenguajes de programación.

Otros artículos relacionados:

CAdES y XAdES en los ficheros de la TGSS

2 respuestas

Las entidades que utilizan EDITRAN y que reciben ficheros de la TGSS (Tesorería General de la Seguridad Social) ya tienen la posibilidad de comprobarlos cuando están firmados en base a los formatos CAdES (TS 101 733) y XAdES (TS 101 903).

La solución zBackTrust es la adecuada para implementaciones en Mainframe IBM, la solución BackTrust se instala en sistemas medios y el appliance xBackTrust permite un depliegue rápido.

Además los servicios de Albalia permiten resolver rápidamente los retos de despliegue. Todo ello con la garantía de INSA e IBM.

Conviene valorar si en la entidad financiera existen dispositivos HSM (Hardware Security Module) porque en ese caso, pueden reprovecharse, para uniformizar la gestión de claves, certificados y firmas electrónicas.

SOA – Service Oriented Architecture y la firma electrónica

1 respuesta

Las instituciones, organismos públicos y grandes empresas, usan cada vez más la firma electrónica, por los grandes ahorros que promueve, la eficiencia que añade a los procesos, y por prescripcion legal.

Con 25 millones de DNI electrónicos y casi 5 millones de otros certificados cualificados, se utiliza para identificar y establecer la prestación del consentimiento en miles de documentos electrónicos. Las firmas automatizadas requieren infraestructuras comunes y la mera gestión de políticas de firma hace recomendable en ocasiones utilizar sistemas de firma centralizados aunque los usuarios trabajen en puestos distribuidos en le organzación.

Servicios de gestión centralizada de firmas electrónicas y servicios conexos que forman parte de la arquitectura tecnológica de las organizaciones  se emplean cada vez más, también para garantizar una funcionalidad fluida que no dependa de las múltiples configuraciones de los equipos de los usuarios. La diversidad de equipamientos es con frecuencia causa de fallos de funcionamiento.

Entre los servicios que despliegan las organizaciones, cabe citar los siguientes:

  • Servicios de Firma (DSS).  El servicio de firma automatizada permite firmar documentos XML y PDF, respectivamente con firmas XAdES y PAdES. Los documentos de otro tipo pueden encapsularse en firmas CAdES o firmas XAdES, si bien requerirán de servicios de comprobación compatibles con la técnica de encapsulado.  Este servicio permite también  verificar las firmas de documentos ya firmados. El servicio permite utilizar diferentes claves y certificados, asociados a diferentes políticas, que se gestionan de forma centralizada en un HSM (Hardware Security Module). Se usa, por ejemplo, para automizar el uso de los sellos de órgano.
  • Servicio de Sellado de Tiempo. Este servicio emite y verifica sellos de tiempo sobre protocolo RFC 3161 y (o)  webservice (DSS). Si se usa con un certificado de TSU de una CA apropiada, en el marco de un acuerdo de gestión, estos sellos de tiempo pueden tener valor legal.  El sistema permite sincronización mediante NTP (accediendo a ROA), GPS y DCF77.
  • Servicio de Validación de Certificados. Este servicio permite comprobar la validez de un certificado y extraer la información contenida en él, relativa al titular del mismo (nombre y apellidos, NIF/CIF, ….). Para ello hace uso de consultas OCSP o consultas de certificados revocados según el protocolo definido por la AEAT (ycaestec).
  • Servicio de Copia. Este servicio añade información gráfica (Código QR o PDF 417) relativa a una firma electrónica sobre una copia constatable de un documento electrónico (albalá), facilitando así posteriores procesos de comprobación de documentos electrónicos impresos.
  • Servicio de Potestades. Este servicio permite gestionar y comprobar atribuciones en un marco de gestión de políticas de firma, o en relación con flujos de proceso (worlflows) de diferentes roles del organismo (cargos administrativos, firmantes finales por nombramiento oficial, responsables, apoderados, …).
  • Servicio de Custodia. Este servicio permite almacenar y recuperar documentos almacenados en el Sistema de Constancias (Cartulario). Existen varios tipos de custodia con diferentes restricciones de acceso (o sin restricciones). Se utiliza el concepto de Código Seguro de Verificación.
  • Servicio de Interconexión con otras Redes. Este servicio permite obtener información de validación de certificados y otras informaciones de redes asociadas. En particular existen integraciones con la Red SARA.
  • Servicios de validación de esquemas. Relacionados con documentos intercambiados, frecuentemente en formato XML se trata de validar la correcta formación de los documentos y la cumplimentación de su contenido. Por ejemplo el formato factuare en el caso de las facturas electrónicas.
  • Servicio de Publicación Fehaciente. Este servicio permite obtener certificados que acrediten fehacientemente el momento en el que los documentos son publicados en una Sede Electrónica. Utiliza el sistema de sello de tiempo y permite cumplir el artículo 42 de la Ley de Contratos del Sector Público (en el caso de las administraciones públicas) o la normativa de publicación de convocatorias de juntas de la Ley de Sociedades de Capital (en el caso del sector privado).

Además hay servicios adicionales que proporcionan funcionalidades localizadas en sistemas cliente o servidor, accesibles por otros programas:

  • Ejecutable de firma en cliente: permite la firma de documentos por parte de un usuario, haciendo uso de su clave y sucertificado digital. Existen variantes como por ejemplo el de  firmador java (websigner) y el de firmador de escritorio.
  • Módulos que desarrollan las funcionalidades en forma de API (SDK) para ser invocadas por otras aplicaciones en entorno cliente o en entorno servidor.

Estos conceptos pueden extenderse y se tratan enel Seminario Firma Electrónica en Arquitectura SOA. Os invito a inscribiros.

Firma Electrónica en Arquitectura SOA

Deja un comentario

El 17 de Noviembre de 2011  se celebrará en Madrid el curso de Firma Electrónica en Arquitecturas SOA. Servicios PKI», que impartiré junto con Fernando Pino. Lo organiza Atenea Interactiva.

Una excelente oportunidad para conocer como se gestiona la firma electrónica en servidor para poder aplicar de forma segura las políticas de firma de la empresa o de las administraciones públicas. Ahorros significativos de costes y optimización de la seguridad respecto al uso de tarjetas de firma electrónica que se comparten o se pierden. Y con las mejores prácticas para la gestión de firmas electrónicas  automatizadas.

Programa del Seminario Firma Electrónica en Arquitectura SOA

1. Service-oriented Architecture

  • Iniciación a SOA
  • Descripción de entornos típicos de SOA

2. Cumplimiento de obligaciones con SOA

  • Sector Privado: cumplimiento de las obligaciones de Interlocución Telemática de la Ley 56/2007 con SOA
  • Sector Público: cumplimiento de las obligaciones de Administración Electrónica de la Ley 11/2007 con SOA
  • Factura electrónica firmada.

3. Conceptos de Firma Electrónica y PKI

  • Propiedad de la Firma Electrónica
  • Conceptos Criptográficos
  • Los Certificados Electrónicos. Tipos
  • El proceso de Firma Electrónica
  • Legislación

4. La Firma Electrónica como elemento de Arquitectura

  • La Firma Electrónica como servicio
  • Servidores de Firma y Validación
  • Repositorios de claves centralizadas
  • Despliegue de PKIs internas
  • Dispositivos criptográficos. HSM

5. Servicios avanzados de PKI

  • Firmas remotas y “upgrade” de firmas
  • Servicios de Validación de firmas y certificados centralizados. CRL, OCSP, SCVP
  • Servicios de Sellado de Tiempo
  • Firma en entornos móviles: posibles enfoques
  • Firma manuscrita digitalizada y servicios PKI avanzados. Unión necesaria

6. Formatos y estándares de firma

  • Tipos de Firma “legales”
  • Formatos básicos
  • Formatos AdES. XAdES, CAdES y PAdES
  • Estándar DSS (Digital Signature Services). Descripción y perfiles
  • Firmas longevas, la importancia de la firma en la conservación de documentos
  • La importancia de las políticas de firma

7. Firma e Identidad Electrónica en las Administraciones Públicas

  • La Firma Electrónica en la Ley 11/2007, el ENI y el ENS. Norma CCN-STIC-807
  • Procesos de firma automatizados. Sello de órgano y CSV
  • Servicios de Firma y Validación disponibles para Administraciones Públicas
  • Identidad Digital y Administración Pública
  • Políticas de firma en las AAPP. Descripción y Diseño
  • Interoperabilidad. TSLs. Proyecto Stork

Firma Electrónica y Diplomática Digital – Seminario para los Archiveros de Navarra

2 respuestas

El próximo Viernes, 11 de noviembre de 2011,  de 9:30 a 14:30 horas, impartiré un seminario en el Civivox de Iturrama en la calle  Esquíroz 24, de  Pamplona sobre  Firma Electrónica y Diplomática Digital, auspiciado por la Asociación de Archiveros de Navarra

Estos son los temas que trataré:

1. Conceptos de Diplomática

  • Archivística, Paleografía, Sigilografía
  • Cartularios, Códices Diplomáticos, Tumbos, Becerros
  • Autenticidad de los documentos en papel
  • Partes de un documento
  • Tipos de documentos

2. Marco Legal

  • Normativa en relación con los archivos
  • Normativa en relación con la Firma Electrónica
  • Normativa de Administración Electrónica
  • Normativa sobre Contratación Electrónica
  • Estándares aplicables en la Gestión de Documentos Electrónicos

3. Diplomática Digital

  • Autenticidad de los Documentos Electrónicos. Obliterabilidad, Endosabilidad, Completitud
  • Custodia Digital. Cartulario Digital. Archivo de Constancias Electrónicas. código de Verificación
  • Convivencia de Documentos Electrónicos y de papel. Albalá, copia constatable, Digitalización Certificada. Localizador

4. Firma electrónica

  • Descripción técnica de la Firma Electrónica.
  • Descripción legal de la Firma Electrónica.  Firma Avanzada. Firma Reconocida
  • Prestadores de servicios de certificación en España y en Europa
  • Firma Básica, Fechada, Completa. Conservación de firmas a largo plazo
  • Timestamping. Comprobación de validez de certificados (CRL, OCSP)
  • Dispositivos seguros de creación de firma.

5. Gestión de Documentos en el Sector Público

  • Sede Electrónica. Código seguro de verificación
  • Registro de entrada, registro de salida, registro telemático, interconexión de registros. SICRES
  • Expediente Electrónico
  • Digitalización de Documentos
  • Interoperabilidad de Gestión de Documentos entre Administraciones
  • Clasificación de documentos. Metadatos
  • Notificaciones Fehacientes. Notificaciones Obligatorias

6. Gestión de Documentos en el Sector Privado

  • Contratos. Novación Electrónica. Prestación del consentimiento
  • Digitalización Certificada de facturas. Digitalización Certificada de otros tipos de documentos
  • Uso de la Firma Electrónica. Requisitos de la digitalización de firmas manuscritas para que sea considerada Firma Electrónica avanzada. Tabletas digitalizadoras, bolígrafos electrónicos
  • Notificaciones Fehacientes. Correo Electrónico Certificado.

Es una satisfacción que los Archiveros de Navarra hayan pensado en mi para ello. Eso de ser «profeta en su tierra» no es habitual.

Funcionalidades de BackTrust

Deja un comentario

BackTrust es una plataforma de servicios (SOA)  asociados a la firma electrónica que puede ser utilizada en entornos de Administración Electrónica y también, en el sector privado, en el marco de las obligaciones de Interlocución Telemática.

Es un producto de Albalia Interactiva, con versiones para plataformas Mainframe (System z), entornos Linux y entornos Windows Server

Entre los servicios que presta BackTrust cabe citar los siguientes:

  • Servicio de Firma (DSS). El servicio de firma automatizada permite firmar documentos XML y PDF, respectivamente con firmas XAdES y PAdES. Los documentos de otro tipo pueden encapsularse en firmas CAdES o firmas XAdES, si bien requerirán de servicios de comprobación compatibles con la técnica de encapsulado.  Este servicio permite también  verificar las firmas de documentos ya firmados. El servicio permite utilizar diferentes claves y certificados, asociados a diferentes políticas, que se gestionan de forma centralizada en un HSM (Hardware Security Module). Se usa, por ejemplo, para automizar el uso de los sellos de órgano.
  • Ejecutable de firma en cliente: permite la firma de documentos por parte de un usuario, haciendo uso de su clave y sucertificado digital. Existen 2 variantes: firmador java (websigner) y firmador de escritorio.
  • Servicio de Sellado. Este servicio emite y verifica sellos de tiempo sobre protocolo RFC 3161 y (o)  webservice (DSS). Si se usa con un certificado de TSU de una CA apropiada, en el marco de un acuerdo de gestión, estos sellos de tiempo pueden tener valor legal.  El sistema permite sincronización mediante NTP (accediendo a ROA), GPS y DCF77.
  • Servicio de Validación Avanzada de Certificados. Este servicio permite comprobar la validez de un certificado y extraer la información contenida en él, relativa al titular del mismo (nombre y apellidos, NIF/CIF, correo electrónico, etc.).
  • Servicio de Copia. Este servicio añade información gráfica (Código QR) relativa a una firma electrónica sobre una copia constatable de un documento electrónico (albalá), facilitando así posteriores procesos de comprobación de documentos electrónicos impresos.
  • Servicio de Potestades. Este servicio permite gestionar y comprobar atribuciones en un marco de gestión de políticas de firma, o en relación con flujos de proceso (worlflows) de diferentes roles del organismo (cargos administrativos, firmantes finales por nombramiento oficial, responsables, apoderados, …).
  • Servicio de Custodia. Este servicio permite almacenar y recuperar documentos almacenados en el Sistema de Constancias (Cartulario). Existen varios tipos de custodia con diferentes restricciones de acceso (o sin restricciones). Se utiliza el concepto de Código Seguro de Verificación.
  • Servicio de Interconexión con otras Redes. Este servicio permite obtener información de validación de certificados y otras informaciones de redes asociadas. En particular existen integraciones con la Red SARA y con el sistema de acceso a información de certificados revocados definido por la AEAT (ycaestec).
  • Servicio de Publicación Fehaciente. Este servicio permite obtener certificados que acrediten fehacientemente el momento en el que los documentos son publicados en una Sede Electrónica. Utiliza el sistema de sello de tiempo y permite cumplir el artículo 42 de la Ley de Contratos del Sector Público (en el caso de las administraciones públicas) o la normativa de publicación de convocatorias de juntas de la Ley de Sociedades de Capital (en el caso del sector privado).

Además de la dispobilidad de funcionalidades en modalidad de servicio SOA, existen módulos que desarrollan las funcionalidades en forma de API (SDK) para ser invocadas por otras aplicaciones en entorno cliente o en entorno servidor. En particular, en entornos EDITRAN, permitiendo la firma y comprobación de firma de mensajes intercambiados entre plataformas de diferente tecnología.