Sincronicemos nuestros relojes

2 respuestas

El asunto de la sincronización de todos los relojes utilizados en informática resulta crucial y desde luego es importante en los ámbitos en los que se emplea la firma electrónica.

En las organizaciones es vital la sincronización de relojes, especialmente por motivos de seguridad, cuando se custodian logs (registros) de transacciones, operaciones o alertas, ya que en ocasiones es preciso correlacionar sucesos almacenados en diferentes sistemas, que tienen sentido si los datos se refieren al mismo marco temporal.

En relación con las firmas electrónicas, la modalidad XAdES-T incorpora un sello de tiempo y conviene que la haga el firmante en el momento mismo de la firma. El sello de tiempo lo emite una TSA (como EADTrust) que utiliza una referencia de tiempos fiable. El sello de tiempo vincula un documento (a partir de su HASH o resumen) con un instante de tiempo y esa vinculación queda firmada electrónicamente por la TSA.

Para la sincronización de relojes y para las referencias de sello firmadas (timestamping) debemos recurrir a las fuentes fiables de tiempo disponibles en los diferentes paises.

Una de estas entidades es el ROA (Real Observatorio de la Armada), que determina la hora oficial española.Puede accederse a su servidor NTP a través de la URL hora.roa.es (al ser una fuente de tiempo de referencia, desde el punto de vista de NTP se denomina Stratum 1).

El protocolo NTP (Network Time Protocol) está basado en el estándar RFC 1305 (NTP version 3) publicado en marzo de 1992. Existe una versión simplificada (SNTP, Simple Network Time Protocol, version 4) publicada como Informational RFC  (RFC 2030) en octubre de  1996, diseñada para entornos que no requieren todas las funciones de NTP y que supone la mayor parte del tráfico NTP actual. En la actualidad se está intentando minimizar los problemas de interoperabilidad entre las versiones NTPv3 and SNTPv4, al tiempo que se añaden características de seguridad (ver, por ejemplo, el borrador de norma «Network Time Protocol Version 4 Autokey Specification«)

En España existen otros servidores NTP subordinados (que denominamos Stratum 2), además del de ROA, y sincronizados con él:

  • time.eadtrust.net
  • time.camerfirma.com
  • ntp.escomposlinux.org
  • hora.oxixares.com
  • hora.rediris.es
  • hora.uniovi.es
  • hora.unex.es
  • hora.uvigo.es
  • hora.uv.es
  • gong.uv.es

He tocado con frecuencia el tema del tiempo en otros artículos:

Proyecto Invoicex

2 respuestas

El pasado verano del año 2009 se cumplieron las fechas definidas en la ley 30/2007 de contratos del sector público para la entrada en vigor de la obligación de los proveedores de las administraciones públicas de enviar a estas las facturas electrónicas correspondientes a sus servicios prestados o productos suministrados.

Aunque no se ha publicado ninguna norma formal en desarrollo de la disposición final novena de la Ley 30/2007, contamos con la Orden PRE/2971/2007 que definía el formato facturae y en cuya disposición final segunda se establecía su evolución en el plazo de dos años (que ya se han cumplido) al estándard UBL 2.0

Con la publicación de la arquitectura normalizada de recepción de facturas electrónicas en la Administración General del Estado se da un paso más en la disponibilidad de especificaciones técnicas para llevar a cabo la facturación electrónica al sector público.

Por otro lado, algunas comunidades autónomas ya han iniciado los trabajos para constituir plataformas que faciliten la recepción de facturas electrónicas en los organismo públicos de su ámbito. Entre ellas, Cataluña, País Vasco, la Comunidad de Valencia y La Rioja.

En todo caso el mercado es cada vez más maduro, y las diferentes plataformas de facturación electrónica están en mejor disposición que nunca para llevar a cabo esfuerzos cooperativos que faciliten la interoperabilidad.

Este es el objetivo del proyecto Invoicex, presentado por Albalia Interactiva al Programa de Ayudas del Plan Avanza, junto con ASIMELEC y otras 7 entidades, y al que se ha invitado a participar a un conjunto amplio de empresas y organismos relacionados con la factura electrónica, incluyendo a las entidades financieras. Al finalizar el año hemos recibido la resolución definitiva por parte del Ministerio de Industria, Turismo y Comercio, del proyecto identificado con el código TSI-020512-2009-69.

En total ya son 20 las entidades participantes y aun estamos abiertos a empresas y organismos interesados en impulsar la interoperbilidad de los intercambios de los documentos electrónicos (inicialmente facturas) entre empresas españolas y entre estas y las del resto del mundo. Las entidades interesadas en participar pueden contactar con el 902 365 612.

Rooted CON: Congreso de Seguridad Informática. Madrid, 18-20 Marzo 2010

Deja un comentario

El congreso de seguridad Rooted CON, que tendrá lugar en Madrid del 18 al 20 de marzo de 2010, lo organiza un grupo de profesionales con más de 10 años de experiencia en el sector de la Seguridad TIC, junto con especialistas en áreas de hacking, análisis forense e ingeniería inversa, además de ponentes habituales de conferencias de seguridad.

El congreso contendrá conferencias altamente técnicas con un enfoque práctico y contará con diversos eventos como el concurso CTF (“Capture the flag”).

Se celebrará en el Auditorio del Centro de Convenciones Mapfre. Para estimular la inscripción el precio normal de acceso al Congreso es inicialmente de 50€, (estudiantes: 25€) aunque ser irá incrementando progresivamente.

Se dirige tanto a  genios de la seguridad (hackers) como a cualquier persona con inquietudes relacionadas con el mundo de la Seguridad Informática, profesionales del sector (empresas y/o freelancers) y aficionados con alto perfil técnico y elevado potencial en el mercado laboral (underground):

  • Responsables de Seguridad (CSO), Sistemas (CIO), Técnicos (CTO) y managers en general.
  • Cuerpo técnico – consultores, auditores, ingenieros y arquitectos, investigadores,…
  • Docentes – profesores y estudiantes, principalmente de Universidad,…
  • Fuerzas del estado, juristas y especialistas en la lucha contra el crimen tecnológico.
  • Aficionados a la seguridad informática.

Durante el 15, 16 y 17 de Marzo del 2010, los tres días previos a Rooted CON 2010, se celebrarán las acciones formativas RootedLabs, que consisten en una serie de cursos o labs que se llevarán a cabo en la Calle de Cartagena, 70 en Madrid, con un coste de 200€.

Firmas XAdES en Office 2010

1 respuesta

Estamos colaborando con Microsoft en lo que creemos será un importante instrumento asociado a Office 2010, que previsiblemente se lanzará en la primera mitad de 2010.

En el programa de desarrollo para partners, hemos tenido ocasión de probar betas de diferentes productos, y particularmente de los entornos de desarrollo y del propio Office 2010 .

La verdad es que es un conjunto de herramientas tremendamente potente que puede redefinir las formas de integración de las suites ofimáticas en la próxima generación de aplicaciones en la nube de forma colaborativa.

Nosotros ya estamos proponiendo a muchas empresas iniciarse en los nuevos conceptos a través de adaptaciones personalizadas de FactOffice, el premiado gestor de facturas electrónicas que hemos desarrollado para Microsoft y que Microsoft ha liberado como Software de Fuentes Abiertas.

Ya tenemos una versión interna de FactOffice generando facturas en formato UBL y facturae funcionando en Office 2010 (además de, por supuesto, Office 2007), y proponemos extender la funcionalidad de las opciones de menú incluyendo además diferentes formas de conexión a entornos «en la nube» (in the cloud), mediante webservices y generación y comprobación de firmas electrónicas. Estamos pensando en extensiones muy interesantes para banca electrónica y administración electrónica, con acceso al registro telemático.

Y aunque nosotros disponemos de nuestras propias librerías para generar y comprobar firmas electrónicas XAdES-XL (las famosas librerías de BackTrust), una de las novedades del Office 2010 es el soporte nativo a la firma electrónica avanzada XAdES según el estándard TS 101 903.

De esto trata la información publicada en el Blog de desarrolladores de Office 2010: Digital Signatures in Office 2010. En el artículo, preparado por Shelley Gu, Program Manager del equipo Trustworthy Computing Security, se describe de forma detallada la firma electrónica en Office 2010, y las diferentes modalidades de firmas XAdES. En la versión beta de Office, el nivel de firma alcanzado es el XAdES-T (el más importante a los efectos de comprobación del momento de firma, que incide en la vigencia del certificado empleado), pero se alcanzará el nivel XAdES-XL en la versión final (incluyendo además el estado de comprobación del certificado).

De esta forma se podrán generar y comprobar firmas electrónicas en aplicaciones de usuario, y por otro lado, comprobar las firmas en servidor de documentos generados en aplicaciones tan ubicuas como Word. Y de esto sabemos bastante en Albalia.

24 uvas

Deja un comentario

Esta es la noticia que he oído esta mañana en una radio musical (no olvidemos el día que es hoy):

El alcalde de Madrid, Alberto Ruiz Gallardón, ha anunciado que este año se sustituye el tradicional reloj de la Puerta de Sol por uno digital, para anunciar el cambio de año.

Por este motivo, en vez de 12 campanadas sonarán 24 pitidos al alcanzar la hora 24 del 31 de diciembre de 2009 que se transformará en las 00 del 1 de enero de 2010.

Efectivamente, en vez de las campanadas de los 4 cuartos previos a las de las horas, doce, sonarán 2 pitidos largos, que indican la fase de «preparados» y «listos»  y a continuación 24 pitidos cortos que señalan las horas del día que se alcancen en ese momento, veinticuatro.

Un representante de los vendedores de uva navideña ha elogiado la medida, señalando que este avance tecnológico situará a España como referente mundial.

24 campanadas

Constelación de EURión

Deja un comentario

La Constelación de EURión es un patrón de 5 círculos pequeños en color que se encuentra en varios diseños recientes de billetes (a partir de 1996) de diferentes denominaciones, y en particular, en las de euro, dólar y libra esterlina.

Ésta es una medida contra la falsificación, próxima a la esteganografía, que puede ser detectada en una imagen digital y varios programas rechazan el escaneo del billete o la impresión de imágenes que lo contengan.

La denominación es un juego de palabras, al parecer acuñado por el especialista en seguridad Markus Kuhn, que lo identificó en torno al año 2002. Otra denominación para este concepto es el de «Anillos de OMROM» ya que parece ser que se describieron por primera vez en una solicitud de patente de OMROM Corporation.

Los círculos pueden ser de color amarillo, verde o naranja, dependiendo de la denominación del billete.

Esta técnica de protección es una de las utilizadas en el marco del Counterfeit Deterrence System (CDS).

Más información en Wikipedia