Call for Experts for Specialist Task Force UT on REM Interchange: e-mail Interchange between Registered E-Mail (REM) systems

Deja un comentario

Estos dias se ha publicado en ETSI una invitación para participar en el desarrollo del nuevo estándar de Correo Electrónico Registrado o Certificado (REM: Registered Electronic Mail).

Aunque los perfiles buscados en los expertos son muy concretos, es posible que tanto entre los especialistas académicos como los que existen en el mundo de la empresa, pueda surgir algún español que participe en el proyecto.

Transcribo una parte importante de la invitación:

ETSI is looking for experts to establish the Specialist Task Force (STF) UT on REM Interchange: e-mail Interchange between Registered E-Mail (REM) systems based on different transmission protocols.

The project will be organized either over long continuous periods or in sessions so that the experts can carry out their normal duties in their respective organisations.  The sessions plan will be agreed during the Preparatory Meeting, to achieve the best compromise between the STF organization and the requirements of the experts and their Companies.

Candidatures must be proposed by ETSI Members (including Observers and Associate).  If experts with the required qualification are not directly employed by the ETSI Member, candidates from a non ETSI Member Company may be nominated.

Candidates should send a questionnaire duly completed and his/her Curriculum Vitae, in English, in electronic form to the STF Support Unit Director Alberto Berrini, before 21 January 2010.

A short list of candidates will be set up in coordination with the reference TC, as soon as possible after the deadline.  These candidates will be invited to attend the Preparatory Meeting to set up the STF.

The project time scale, the qualification required for the candidates and references for additional information are:
Target date for the start of work:             February/March 2010

Expected duration:                                         Final deliverables to be completed by May 2011

Total manpower required:                          249 working days

Expected number of experts:                     7

The actual number of experts will be decided during the Preparatory Meeting, depending on the mix of skills in the actual applications received.

Qualification required:

  • One or two experts in the SOAP protocol. It is mandatory to bring to the group knowledge of UPU specifications. Knowledge of ongoing work in the specification of the transport protocol will also be valued. These experts will play a relevant role in WP1 (UPU, PEPPOL and STF Common work-plan definition), WP2 (ETSI TS on «Interoperability between REM solutions based on different transport protocols»), and WP4 “Interoperability test suite definition”.
  • At least two experts in SMTP, MIME and S/MIME that also have proven experience in ETSI TS 102 640, Parts 1 to 5 (DTS/ESI-000053 and DTS/ESI-000056). These experts will play a crucial role in WP1 (UPU, PEPPOL and STF Common work-plan definition), WP2 (ETSI TS on «Interoperability between REM solutions based on different transport protocols»), and WP4 “Interoperability test suite definition”.
  • One expert with deep knowledge of existing and prospective regulations (it is mandatory to have a deep knowledge of legal matters), and with experience in the ETSI TS 102 042 and of the ISO/IEC 2700x family. This expert will co-operate with the other experts in WP1 and WP2, and will play a relevant role in WP5, and WP6.
  • One expert with knowledge of ETSI TS 101 733 and/or ETSI TS 101 903 and of ETSI TS 102 734 and or ETSI TS 102 904, and with experience in preparing interoperability tests. This expert will closely work in the most technical WPs (namely WP1, WP2, and WP4).

ECC en TLS – SSL

2 respuestas

La criptografía de curva elíptica (Elliptic Curve Cryptography – ECC)  se está convirtiendo en un tipo de criptografía de elección para entornos de criptografía de clave pública, no solo en entornos móviles en los que se está implantando desde hace años sino también en el uso más convencional de securización de entornos web en los que se usa el protocolo TLS (o SSL, ya que son prácticamente iguales).

Comparados con los criptosistemas basados en el algoritmo RSA, los ECC ofrecen una seguridad equivalente con tamaños menores de clave. Esto se ilustra en la siguiente tabla  (basada en el artículo de Arjen K. Lenstra y Eric R. Verheul «Selecting Cryptographic Key Sizes», Journal of Cryptology 14 – 2001) que permite comparar la robustez relativa de ambos métodos de cifrado en función del tamaño de la clave y en relación con algoritmos de cifrado simétrico:

                        Simétrico   |    ECC     |  DH/DSA/RSA
                        ------------+------------+-------------
                            80      |     163    |     1024
                           112      |     233    |     2048
                           128      |     283    |     3072
                           192      |     409    |     7680
                           256      |     571    |    15360

A la luz de estos datos no es de extrañar que definiera la propuesta de norma RFC 4492 que permite utilizar los algoritmos de curvas elípticas en entornos criptográficos tan ubicuos como las comunicaciones seguras entre navegadores web y servidores web. Es decir en el protocolo TLS –Transport Layer Security o SSL – Secure Sockets Layer (existen pequeñas diferencias entre SSL 3.0 y TLS 1.0, pero el protocolo permanece sustancialmente igual)

ECC – Criptografía de curvas elípticas

2 respuestas

El 3 de diciembre de 2007 se celebró el DISI 2007. Todos los años Jorge Ramió organiza unas jornadas interesantísimas, con ponentes de alto nivel, pero ese año fue especial, con la presencia de Mr Martin Hellman y la interesante propuesta de D. Hugo Scholnik respecto a la factorización de primos que componen el algoritmo RSA y que podría simplificar la forma de obtener la clave privada a partir de la pública.

Para mi fue un motivo de reflexión.

Ya se hablaba de criptografía de curva elíptica el año 1997 cuando me incorporé a FESTE (recuerdo que el tema salió en alguna de las charlas con D. José de Calasanz Pastor Franco, miembro del Patronato de la Fundación auspiciada por el Consejo General del Notariado, y con sus colaboradores en la Universidad de Zaragoza, Miguel Angel Sarasa López y José Luis Salazar Riaño).

La novedad es la sensación de que cada vez estamos más cerca de que el algoritmo RSA no sea suficiente para proteger las firmas electrónicas del futuro.

Por otro lado, desde hace algún tiempo se comentaba en círculos académicos que algunos algoritmos de hash no eran suficientemente robustos como para evitar colisiones en documentos alternativos al firmado, conservando el sentido que corresponde a la aplicación. Especialmente el algoritmo MD5.

Con estas ideas en mente, comenté con colegas de la Comisión de Seguridad de ASIMELEC (una de las principales patronales del Sector TIC) la posibilidad de presentar conjuntamente un proyecto de I+D al Plan Avanza que intentara resolver el reto que supone la gestión a largo plazo de firmas electrónicas. Jorge Gómez, de IDONEUM, fue quien percibió las implicaciones y pensó que podían ser interesantes para posicionar a su empresa (como yo a la mia).

Así iniciamos el Proyecto Binum. El uso simultáneo de algoritmia de firma electrónica en firmas duales, mucho más difíciles de quebrar, incluso en el supuesto de que cada uno de los algoritmos individuales utilizados fuera menos robusto de lo esperado. El proyecto lo presentamos en el año 2008 y fue finalmente aprobado por el Ministerio de Industria, Turismo y Comercio, dentro del Plan Nacional de Investigación Científica, Desarrollo e Innovación Tecnológica 2008-2011,con referencia TSI-020100-2008-681.

En el proyecto, Idoneum desarrolla la tarjeta chip que permitirá el uso de criptografía RSA y ECC simultáneamente, y Albalia lleva a cabo el estudio de los estándares para intentar lograr que las firmas sean compatibles con los estándares actuales. Posteriormente desarrolla un entorno de referencia con una PKI dual y un sistema de firma electrónica (en este caso XAdES) que genera firmas dobles y las comprueba (con el matiz de que una aplicación «Binum-aware» detecta una firma dual, y una aplicación convencional detecta dos firmas).

Sin embargo, ya hemos dado un paso más de lo previsto en el proyecto. Hemos iniciado la actividad como Prestador de Servicios de Certificación de EADTrust (European Agency of Digital Trust) con una filosofía que intenta ser «future-proof». Esta nueva empresa (relativamente nueva), se inicia con algunas novedades:

  • No está prevista la emisión de certificados a entidades finales (al menos a personas físicas).
  • Se prevé que gestione servicios de confianza de la Sociedad de la Información, especialmente favoreciendo la creación de firmas electrónicas de alta calidad con servicios de timestamping, validación de certificados y custodia digital de documentos electrónicos
  • Proporcionará servicios avanzados a precios competitivos
  • Dispone de CAs root vinculadas que combinan criptografía RSA y criptografía ECC (Elliptic curve cryptography)

Este último es un hito significativo, al ser la primera autoridad de certificación del mundo con tecnología dual, y, posiblemente, la primera autoridad de certificación europea que cuenta con una jerarquía PKI basada en curvas elípticas.

Ya es posible acceder a los certificados de las root :

  • RSA (sha1RSA). Tamaño clave RSA 2048 bits
  • ECC (sha1ECDSA). Tamaño clave ECC: 256 bits (equivalente a 3020 bits en RSA)

Ambas root se generaron en presencia notarial, siguiendo un procedimiento que hemos ido perfeccionando en sucesivas ceremonias de  generación de claves de CA (Certification Authority) en FESTE, Camerfirma, Banesto y ANCERT.

La autoridad de certificación basada en algoritmo de Curva Elíptica utiliza, en particular,  ECDSAFp de 256 BITS aleatorios (secp256r1), según se indica en los documentos generados por el NIST (National Institute of Standards and Technology) FIPS (Federal Information Processing Standards) 186-2 y FIPS 186-3 en sus apéndices 6 y D respectivamente en sus secciones referentes a las Curvas Elípticas Recomendadas para Uso del Gobierno Federal (Estados Unidos)

Por cierto, desde que iniciamos el proyecto, se han producido algunas noticias importantes que revelan hasta qué punto es necesario contar con tecnología como la anunciada. Por ejemplo, la demostración de que el algoritmo de Hash MD5 utilizado en muchos de los certificados de Root, admite colisiones provocadas que ponen en cuestión la tecnología PKI. En el artículo MD5 considered harmful today (MD5 se considera dañino a dia de hoy) Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molnar, Dag Arne Osvik y Benne de Weger generan un certificado de root capaz de suplantar a una autoridad de certificación genuina. Sin necesidad de atacar la criptografía RSA, sino solo el algoritmo de Hash.

Fondo Estatal para el Empleo y la Sostenibilidad Local

Deja un comentario

El nuevo Fondo Estatal para el Empleo y la Sostenibilidad Local (Plan E) aprobado por el Gobierno el pasado 23 de octubre de 2009, supone un importante apoyo a la investigación, el desarrollo tecnológico y la innovación, factores que, sin duda, contribuirán a la creación de empleo y a garantizar la sostenibilidad económica, social y medioambiental de los municipios.

El futuro de nuestras ciudades y pueblos depende en gran medida de su capacidad para integrarse en la Sociedad de la Información y de su desarrollo en el marco de una Administración Local Electrónica más eficiente, que garantice el derecho de los ciudadanos a a acceder a sus Servicios Públicos por via telemática.

Albalia pone a disposición de los Municipios españoles una selección de proyectos que, dentro del marco de financiación previsto por el Real Decreto, ayudarán a las organizaciones en el proceso de modernización de la Administración municipal, dando cumplimiento a la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos.

Para más información es interesante leer los siguientes documentos  sobre el nuevo Fondo de Inversión Local

Decisión de la Comisión 2009/767/CE de 16 de octubre de 2009

1 respuesta

Decisión de la Comisión de 16 de octubre de 2009 por la que se adoptan medidas que facilitan el uso de procedimientos por vía electrónica a través de las «ventanillas únicas» con arreglo a la Directiva 2006/123/CE del Parlamento Europeo y del Consejo relativa a los servicios en el mercado interior
[notificada con el número C(2009) 7806]
(Texto pertinente a efectos del EEE)
(2009/767/CE)

LA COMISIÓN DE LAS COMUNIDADES EUROPEAS,

Visto el Tratado constitutivo de la Comunidad Europea,

Vista la Directiva 2006/123/CE del Parlamento Europeo y del Consejo, de 12 de diciembre de 2006, relativa a los servicios en el mercado interior, y, en particular, su artículo 8, apartado 3,

Considerando lo siguiente:

(1)    Las obligaciones de simplificación administrativa impues­ tas a los Estados miembros en el capítulo II de la Direc­ tiva 2006/123/CE, y, en particular, en sus artículos 5 y 8, incluyen la obligación de simplificar los procedimientos y trámites aplicables al acceso a actividades de servicios y su ejercicio y la obligación de garantizar que los presta­ dores de servicios puedan realizar fácilmente dichos pro­ cedimientos y trámites a distancia y por vía electrónica, a través de las «ventanillas únicas».

(2)    La realización de los procedimientos y trámites a través de las «ventanillas únicas» debe ser posible a través de las fronteras entre Estados miembros con arreglo al artículo 8 de la Directiva 2006/123/CE.

(3)    Para respetar la obligación de simplificar los procedi­ mientos y trámites y facilitar el uso transfronterizo de las «ventanillas únicas», los procedimientos por vía elec­ trónica deben basarse en soluciones sencillas, en particu­ lar en lo que se refiere al uso de firmas electrónicas. En los casos en que, tras una adecuada evaluación del riesgo de los procedimientos y trámites concretos, se considere necesario un nivel elevado de seguridad o una equivalen­ cia con la firma manuscrita, podrían exigirse a los pres­ tadores de servicios, para determinados procedimientos y trámites, firmas electrónicas avanzadas basadas en un certificado reconocido, con o sin dispositivo seguro de creación de firma.

(4)    El marco comunitario de la firma electrónica se creó en la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electró­nica . A fin de que del uso transfronterizo de las firmas electrónicas avanzadas basadas en un certificado recono­ cido resulte eficaz, debe reforzarse la confianza en estas firmas electrónicas con independencia del Estado miem­ bro en que esté establecido el firmante o el proveedor de servicios de certificación que expida el certificado reco­ nocido. Esto podría conseguirse ofreciendo más fácil­ mente en una forma confiable la información necesaria para validar las firmas electrónicas, y en particular la información relativa a los proveedores de servicios de certificación que están supervisados/acreditados en un Estado miembro y a los servicios que prestan.

(5)    Es necesario garantizar que los Estados miembros pongan esta información a disposición del público mediante un modelo común, a fin de facilitar su uso y garantizar un nivel de detalle apropiado que permita a la parte recep­ tora validar la firma electrónica.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1
Uso y aceptación de firmas electrónicas

1. Si se justifica sobre la base de una evaluación apropiada de los riesgos existentes y de conformidad con el artículo 5, apar­tados 1 y 3, de la Directiva 2006/123/CE, los Estados miembros podrán exigir, para la realización de algunos procedimientos y trámites a través de las ventanillas únicas con arreglo al artículo 8 de la Directiva 2006/123/CE, el uso por el prestador del servicio de firmas electrónicas avanzadas basadas en un certificado reconocido, con o sin dispositivo seguro de creación de firma, según se definen y regulan en la Directiva 1999/93/CE.

2. Los Estados miembros aceptarán cualquier firma electró­nica avanzada basada en un certificado reconocido, con o sin dispositivo seguro de creación de firma, para la realización de los procedimientos y trámites a que se refiere el apartado 1, sin perjuicio de la posibilidad de que los Estados miembros limiten esta aceptación a las firmas electrónicas avanzadas basadas en un certificado reconocido y creadas mediante un dispositivo seguro de creación de firma si ello está en consonancia con la evaluación del riesgo a que se refiere el apartado 1.

3. Los Estados miembros no supeditarán la aceptación de las firmas electrónicas avanzadas basadas en un certificado reconocido, con o sin dispositivo seguro de creación de firma, a re­quisitos que obstaculicen el uso, por los prestadores de servicios, de procedimientos por vía electrónica a través de las ventanillas únicas.

4. El apartado 2 noimpedirá a los Estados miembros aceptar firmas electrónicas distintas de las firmas electrónicas avanzadas basadas en un certificado reconocido, con o sin dispositivo seguro de creación de firma.

Artículo 2
Establecimiento, mantenimiento y publicación de listas de confianza

1. Cada Estado miembro establecerá, mantendrá y publicará, de conformidad con las especificaciones técnicas que figuran en el anexo, una «lista de confianza» que contenga la información mínima referente a los proveedores de servicios de certificación que expiden certificados reconocidos al público por él supervi­sados/acreditados.

2. Los Estados miembros establecerán y publicarán, como mínimo, una versión legible por las personas de la lista de confianza de conformidad con las especificaciones que figuran en el anexo.

3. Los Estados miembros notificarán a la Comisión cuál es el organismo responsable del establecimiento, mantenimiento y publicación de la Lista de Confianza, el lugar en que está pu­ blicada dicha lista y cualquier eventual modificación al respecto.

Artículo 3
Aplicación

La presente Decisión se aplicará a partir del 28 de diciembre de 2009.

Artículo 4
Destinatarios

Los destinatarios de la presente Decisión serán los Estados miembros.

Hecho en Bruselas, el 16 de octubre de 2009.

Por la Comisión
Charlie McCREEVY
Miembro de la Comisión

Buscando usuarios de FactOffice

2 respuestas

FactOffice es una sencilla herramienta gratuita de facturación electrónica que se instala como complemento de Microsoft Word 2007, y que es de uso muy intuitivo para quienes saben usar Word.

En la actualidad se han producido más de 4.000 decargas desde que Microsoft lo anunció en mayo de 2009, coincidiendo con el IV Congreso de Factura Electrónica organizado por ASIMELEC.

Nos gustaría saber cuantos de los usuarios que se han descargado la aplicación la están utilizando para realizar sus facturas, en papel y electrónicas. Este dato será seguramente difícil de conocer.

También nos gustaría que algunos de estos usuarios contactara con nosotros y nos dijera qué le gusta y qué no le gusta de FactOffice. Como lo podemos mejorar. Qué carencias detecta. Y por supuesto, que nos diga qué es lo que le parece fenomenal…

Si además nos deja que le hagamos una foto y que le mencionemos en nuestro material publicitario, le estaremos muy agradecidos.

Por cierto, para contactar puede llamarnos al 902 365 612 y preguntar por Raquel.

La Factura Electrónica como estrategia de reducción de costes y obligación legal

Deja un comentario

El dia 16 de diciembre de 2009, organizado por Informática El Corte Inglés, y con la participación de Microsoft y Albalia Interactiva, tiene lugar en el  Hotel AC Cuzco (Paseo de la Castellana 133 – Madrid) tiene lugar el evento «La Factura Electrónica como estrategia de reducción de costes y obligación legal»

Este es el programa previsto:

09:30h.    Registro

10:00h.    Bienvenida y apertura de la Jornada.

Vicente Calzado

Director de Soluciones de Negocio, Informática El Corte Inglés

10:15h.    Marco legal y entorno actual de la Factura Electrónica en España

Julián Inza.

Presidente ALBALIA INTERACTIVA

10:45h. La Tecnología de Microsoft como plataforma de la Factura Electrónica

Óscar Sanz,

Director de Ventas de Soluciones de Plataforma. Microsoft 

11:00h. Solución de Factura Electrónica

Javier Gómez Goñi,

Director Centro Experto ECM. INFORMÁTICA EL CORTE INGLÉS

11:30h. Café

12:00. La Digitalización Certificada

Raúl Arranz Arnaiz

Responsable de Desarrollo de Negocio. INFORMÁTICA EL CORTE INGLÉS

12:30h. Externalización de los servicios documentales

Manuel Rama Garda,

Consultor ECM. INFORMÁTICA EL CORTE INGLÉS

13:00h. Demo: Integración, automatización y control de procesos

Óscar Sanz,

Director de Ventas de Soluciones de Plataforma. Microsoft 

13:30h. Turno de preguntas

14:00h.  Cóctel

Propiedad intelectual: demanda penal y demanda mercantil

Deja un comentario

Un juez multa a la SGAE con 500 euros por mala fe procesal y ordena reabrir dos web cerradas

Visto en Gaceta tecnológica

El Juzgado de lo Mercantil de Huelva ha emitido un auto en el que ordena que se reabran dos sitios de enlaces de Internet cerrados y ha multado con 500 euros a la Sociedad General de Autores de España (SGAE) por mala fe procesal.

Las dos web que se encontraban cautelarmente cerradas al pedirlo la SGAE, elitemula.com y etmusica.com, administradas desde Huelva por el grupoET, permitían el intercambio gratuito de música y películas en Internet.

Según el auto, el juez considera que “a la vista de las alegaciones del demandado y la pericial acompañada a su oposición” no existe “apariencia de buen derecho” en la solicitud de la SGAE o que no puede emitirse un juicio provisional e indiciario “favorable al fundamento de la pretensión” contenida en su demanda. Además, se condena en costas a la SGAE y se les impone la multa de 500 euros, pedida por la defensa del demandado, por mala fe procesal ya que, como argumenta el juez, de la actitud de la SGAE “se desprende una intención de evitar el derecho de defensa de la parte contraria, actuación que supone conculcación de las reglas de la buena fe procesal y, como tal, la hace acreedora de la correspondiente sanción”.

David Bravo, abogado de las páginas web, ha apuntado que lo importante de la resolución es que un Juzgado ordenó el cierre de las mismas nada más recoger una demanda de la SGAE y tras ser estudiado el caso, al recibir en audiencia al demandado y comprender el funcionamiento de este tipo de sitios, se ha comprobado que sus contenidos son lícitos, revocando su decisión. “Se trata de una resolución que hasta ahora no tiene precedentes, pues además de revocar el cierre, condena en costas a la SGAE, imponiéndole además una multa de 500 euros”, ha dicho el letrado.

La SGAE ya había presentado una demanda penal contra ambos sitios que fue desestimada por el juez. Al cabo de un año, presentó una mercantil , sin advertir que el caso ya había sido contemplado en la jurisdicción penal. “Además solicitó el cierre cautelar ‘inaudita parte’, fórmula jurídica que supone solicitar el cierre sin oír a la otra parte. Cuando el juez, concluido este trámite, llamó a la defensa, le informamos de los antecedentes del caso y planteamos que el haber solicitado una medida cautelar ‘inaudita parte’ respondía a la intención de evitar que nosotros informáramos al juez del episodio penal”, afirma Bravo. La defensa ha alegado que los sitios no cobijaban archivos, sólo ofrecían enlaces.

PSDC – Prestadores de servicios de Digitalización Certificada

1 respuesta

Los Prestadores de servicios de Digitalización Certificada son entidades que utilizan software homologado de Digitalización Certificada para digitalizar las facturas de sus clientes.

Algunos de estos especialistas desarrollan su propio software y lo homologan, como en el caso de Papyrum Nexus. Otros usan software de terceros, y actualizan los servicios que ya vienen prestando en relación con la digitalización.

Albalia, la entidad auditora de Digitalización Certificada con más experiencia lanza ahora un nuevo servicio de auditoría de PSDC para comprobar la adopción de las mejores prácticas en la digitalización. Tras la auditoría, otorga un sello de calidad de buenas prácticas. 

La auditoría de PSDC estaba prevista originalmente en el borrador de la norma que finalmente se publicó como Orden EHA/962/2007. En el texto final, esta auditoría no es obligatoria, por lo que en estos momentos pocos Prestadores de servicios de Digitalización Certificada están pensando en llevarla a cabo.

Sin embargo, esto puede cambiar cuando las entidades de mayor calidad deseen diferenciar sus servicios de los de sus competidores.