Let’s Encrypt – Cifremos

Deja un comentario

The Internet Security Research Group (ISRG), en español, Grupo de Investigación de Seguridad de Internet (GISI), se ha constituido recientemente como entidad sin ánimo con el objetivo de impulsar la seguridad de Internet, especialmente a través de su iniciativa  ”Let’s Encrypt“Cifremos” que pretende distribuir gratuita y automáticamente certificados de servidor web basados en el protocolo “Secure Sockets Layer/Transport Layer Security” (SSL/TLS)ca todos los servidores del mundo.

En el Consejo del ISRG estarán representadas las entidades MozillaAkamai,Cisco, la Universidad de Michigan, la  Stanford Law School, CoreOS, IndenTrust, y la Fundación EFF (Electronic Frontier Foundation).

Estos son los miembros:

  • Josh Aas (Mozilla) — ISRG Executive Director
  • Stephen Ludin (Akamai)
  • Dave Ward (Cisco)
  • J. Alex Halderman (University of Michigan)
  • Andreas Gal (Mozilla)
  • Jennifer Granick (Stanford Law School)
  • Alex Polvi (CoreOS)
  • Peter Eckersley (EFF) — Observer

La iniciativa Let’s Encrypt, en español  “Cifremos” tiene entre sus destinatarios a los webmasters de las empresas, que instalan y mantienen servidores web. Si en la actualidad  conseguir los certificados de servidor es un engorro, por ser relativamente costosos y difíciles de instalar, con Let’s Encrypt se pretende resolver estos problemas creando una nueva Autoridad de Certificación (CA) que prepare e instale los certificados gratuita y automáticamente cuando se instalan los servidores o se reconfigura el software de un proyecto.

La gran ventaja de una internet en la que todos los servidores web usan SSL/TLS es que las comunicaciones se cifran siempre, y por tanto sus contenidos no son accesibles ni para atacantes maliciosos ni para gobiernos con pretensiones de espiar o censurar a sus ciudadanos (o a ciudadanos de otros países).

Let’s Encrypt ya ha comenzado a desarrollar los protocolos y el software necesario.

La Autoridad de Certificación (CA) de Let’s Encrypt dialoga con un software de gestión específico instalado en los servidores mediante el protocolo ACME (“Automated Certificate Management Environment”). Ya existe un borrador de la especificación ACME. Se pretende promover esta especificación para que sea parte del cuerpo normativo de la Internet Engineering Task Force (IETF) en el plazo más breve posible, y de esta forma garantizar su evolución como estándar abierto.

Tanto el software utilizado por la CA (Certification Authority) como el de las aplicaciones que acceden a ella y que facilitan a los administradores de sistemas la configuración de certificados SSL/TLS en servidores web como Apache, Nginx y Microsoft IIS, serán de fuentes abiertas. La CA pretende operar de forma transparente de modo que el repositorio de certificados emitidos y revocados estará a disposición de quien quiera inspeccionarlos.

Let’s Encrypt se someterá a los procesos de auditoría habituales de todas las CA y cumplirá los requerimientos básicos (baseline requirements) establecidos por la organización de cooperación entre desarrolladores de navegadores y autoridades de certificación  CA/Browser Forum en cuanto a la emisión y gestión de certificados digitales.

El Internet Security Research Group (ISRG) solicitará que sus certificados raíz se incluyan en los programas definidos por los desarrolladores de navegadores como Mozilla y Microsoft, para que estos navegadores confíen en los certificados emitidos por la CA de ISRG por defecto (sin requerir una aprobación expresa por los usuarios). Dado que este proceso puede ser largo y laborioso y que puede llegar a necesitar hasta 3 años por cada navegador, inicialmente ISRG solicitará a IdenTrust  (cuyas CA raíz ya están integradas en los navegadores) que firme sus certificados.   IdenTrust es uno de los impulsores del proyecto.

Para colaborar en España con esta iniciativa, contactar con Julian (@) inza.net

BBVA y Dwolla se unen para ofrecer servicios de pagos innovadores en Estados Unidos

Deja un comentario

BBVA Compass ha firmado un acuerdo para abrir su plataforma tecnológica a Dwolla, una innovadora empresa en el ámbito de los medios de pago. El acuerdo permitirá que los clientes del banco utilicen la red en tiempo real de la startup estadounidense para realizar transferencias.

Este acuerdo convierte a BBVA Compass en el mayor banco asociado con Dwolla, una alternativa ágil a las redes de pagos tradicionales que, en la mayoría de los casos, tienen décadas de antigüedad, están  lejos de ofrecer operaciones en tiempo real y, además, resultan más caras de utilizar.

BBVA Compass se posiciona así como el primer gran banco en abrir su plataforma de este modo a los desarrolladores digitales como Dwolla, en un movimiento pionero inspirado en la apertura de estándares que ha impulsado el crecimiento de otras industrias.

BBVA Compass considera que este acuerdo llega en el momento oportuno dentro del proceso de transformación de BBVA en un banco digital y lo considera indispensable para responder a los cambios en los hábitos de los consumidores.

“Estamos decididos en convertirnos en el mejor banco digital del siglo, y creemos firmemente que la mejor forma de lograr nuestro objetivo es combinar nuestras capacidades internas —  nuestra plataforma core bancaria en tiempo real —  con startups cuya razón de ser es redefinir la industria de los servicios financieros”,  afirma Manolo Sánchez, country manager de BBVA Compass. “Dwolla con su infraestructura de pagos en tiempo real, está liderando la modernización de los procesos de pagos, y esperamos que su tecnología acelere nuestra visión de la banca de la era digital”.

A partir del primer trimestre de 2015, esta alianza va a permitir realizar pagos en tiempo real entre los titulares de una cuenta de BBVA Compass de un modo tan seguro, rápido, directo y transparente como el envío de un correo electrónico. La arquitectura y las herramientas de Dwolla permiten a cualquier negocio, organización o particular con una cuenta en un banco estadounidense mover su dinero a un coste sin competencia frente a las redes tradicionales. (Las transacciones de más de 10 dólares tienen una tarifa plana de 25 centavos de dólar; y el resto de operaciones son gratuitas).

En la primera fase de este acuerdo, BBVA Compass usará el protocolo FiSync de Dwolla, diseñado especialmente para los bancos y cooperativas de crédito, para mover fondos de los clientes de BBVA Compass a través de la red en tiempo real de Dwolla.

Esto va a ser particularmente útil para para startups, empresas y pymes que busquen un sistema rápido y económico para manejar sus desembolsos o los pagos B2B, entre otras cosas. BBVA Compass y Dwolla continuarán desplegando nuevas funcionalidades y actualizaciones como parte de su alianza en los próximos meses.

“Mientras las nuevas tecnologías superan las limitaciones de las actuales infraestructuras de pagos y las iniciativas federales apoyan la demanda de sistemas de pagos en tiempo real, son las instituciones financieras que hoy están trabajando para ofrecer a sus clientes verdaderos pagos en streaming las que mañana tendrán la ventaja competitiva”, dice Ben Milne, fundador y consejero delegado de Dwolla. “BBVA Compass comparte con Dwolla la visión de una infraestructura de pagos moderna, una que ayude a las instituciones financieras y a los titulares de las cuentas a crear nuevos productos y servicios, mejorar los procesos de negocio y, que les permita seguir siendo relevantes en un contexto crecientemente digital y centrado en el cliente”.

Con el apoyo de fondos de capital riesgo como Andreessen Horowitz y Union Square Ventures, y el de inversores estratégicos como CME Group, Dwolla persigue transformar los sistemas de pagos y el movimiento de dinero; y para lograrlo está asociándose con instituciones financieras con visión de futuro. BBVA Compass invirtió más 362 millones de dólares en 2012 en su plataforma tecnológica lo que le permite operar en tiempo real.

COBIT 5

Deja un comentario

Gestionar las Tecnologías de la Información (TI) consiste en tomar decisiones operativas dentro del gobierno de las TI. La gestión de la TI se refiere a los aspectos operativos para el suministro de productos y servicios de TI en la forma más eficaz.

La gestión de la TI se lleva a cabo mediante la adopción de buenas prácticas, ampliamente usadas, que proceden de diversas fuentes como son:

  • Los estándares como ISO 9000, ISO 20000, ISO 27001, ISO 25999 e ISO 38500, que son un conjunto de criterios que ayudan a desplegar y comprobar operativas de gestión saludables en relación con alguna de las lineas de actividad de las empresas, en particular en el uso o comercialización de soluciones TIC. Estos estándares pueden estar basados en prácticas de la industria existentes, u originados por investigación (académica).
  • Las prácticas de la industria (ITIL®, COBIT®, CMMI®, eSCM-SP, PRINCE2TM, PMBOK®, M_o_R®, eTOM®, Six Sigma…) que son un conjunto de guías usadas en la industria.
  • La experiencia interna, también llamada conocimiento propietario.

COBIT-5-ISACAEl estándar COBIT (Control Objectives for Information and related Technology) ofrece un conjunto de “mejores prácticas” para la gestión de los Sistemas de Información de las organizaciones. El objetivo de COBIT es brindar buenas prácticas a través de un marco de trabajo de dominios y procesos, y presentar las actividades de una manera manejable y lógica. Estas prácticas están enfocadas más al control que a la ejecución.

La primera edición fue publicada en 1996; la segunda edición en 1998; la tercera edición en 2000 (la edición on-line estuvo disponible en 2003); y la cuarta edición en diciembre de 2005, y la versión 4.1 estuvo disponible desde mayo de 2007. La última versión del estándar COBIT, versión 5, aparece en el año 2012.

Mantenido por ISACA (en inglés: Information Systems Audit and Control Association) y el IT GI (en inglés: IT Governance Institute), tiene una serie de recursos que pueden servir de modelo de referencia para la gestión de TI, incluyendo un resumen ejecutivo, un framework, objetivos de control, mapas de auditoría, herramientas para su implementación y principalmente, una guía de técnicas de gestión.

COBIT presenta un enfoque al negocio que radica en vincular las metas de negocio con las metas de TI, brindando métricas y modelos de madurez para medir sus logros, e identificando las responsabilidades asociadas de los propietarios de los procesos de negocio y de TI.

COBIT presenta, asimismo, un enfoque respecto a procesos de acuerdo a las fases del ciclo de Deming, ofreciendo una visión de extremo a extremo de la TI, ayudando a identificar los recursos esenciales para el éxito de los procesos, es decir, aplicaciones, información, infraestructura y personas.

La nueva versión del COBIT se basa en cinco principios clave:

  • Principio 1: Satisfacer las necesidades de las Partes Interesadas.
  • Principio 2: Cubrir la organización de principio a fin. Integrando el Gobierno corporativo con el Gobierno de las TI. Orientación al negocio.
  • Principio 3: La aplicación de un único marco de trabajo integrado.
  • Principio 4: Habilitación de un enfoque holístico. Para conseguir una Gestión y Gobierno de las TI con eficiencia y eficacia.
  • Principio 5: La separación la Gestión de Gobierno.

COBIT 5 ayuda a las empresas de todos los tamaños aportando una beneficios tales como:

  • Mantener la información de alta calidad para apoyar las decisiones de negocios.
  • Alcanzar los objetivos estratégicos y obtener los beneficios de negocio a través del uso efectivo e innovador de las TI.
  • Lograr la excelencia operativa a través de una aplicación fiable, eficiente de la tecnología.
  • Mantener los riesgos relacionados con TI a un nivel aceptable.
  • Optimizar los servicios el coste de las TI y la tecnología.
  • Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y las políticas.

El 15 de enero de 2015 será obligatorio facturar electrónicamente

Deja un comentario

Dentro de las medidas estructurales del Plan de erradicación de la morosidad en el sector público, la Ley 25/2013, de 27 de diciembre, dotada de carácter básico y, por tanto, aplicable a todas las Administraciones Públicas, tiene por objetivo impulsar el uso de la factura electrónica y crear el registro contable de facturas. Esta medida permitirá una mayor protección del proveedor, reduciendo la morosidad del sector público, y un mejor control contable de las facturas pendientes de pago, lo que contribuirá a mejorar el control del gasto público y reforzar la transparencia.

Las obligaciones de facturación tanto para el sector público como para aulunas entidades del sector privado se inician el 15 de enero de 2015.

Las empresas de especial relevancia económica podrán ser penalizadas con multas de hasta 10.000 euros por incumplir los aspectos a los que les obliga la Ley en relación con la emisión de facturas electrónicas.

La obligación de facturar al sector público se vehiculiza a través de Puntos de Facturación por cada nivel de la administración: AGE (Administración General del Estado), Autonómica y Local, con la posibilidad de que todos converjan en el Punto General de Entrada de Facturas ElectrónicasAbre nueva ventana.

Puede ser interesante para las entidades obligadas inscribirse en la formación concentrada en un día que prepara Atenea Interactiva, en Madrid, a mediados de diciembre de 2014.

Normativa:

Información sobre factura Electrónica:

FAQS del Ministerio:

Material de difusión:

Seguridad en entornos de trabajo móviles

Deja un comentario

HP-FMDA-SERBAN-EADTRUSTjpg

En la nueva era de IT la migración hacia entornos móviles en las grandes organizaciones constituye una tendencia imparable.

Ante este hecho están apareciendo algunas incógnitas relacionadas con la seguridad en el entorno IT profesional. Movilidad y seguridad, ¿incompatibles ?…. No, en absoluto.

En esta jornada podrá conocer de primera mano las soluciones conjuntas de HP y SERBAN y el asesoramiento y auditoría de EADTRUST para la implementación de proyectos de movilidad de firma manuscrita digitalizada con total seguridad, así como algunas experiencias reales de grandes organizaciones, como Banc Sabadell,  pioneras en proyectos de movilización de la fuerza de ventas.

Descubrirá también las mejoras en eficiencia, ahorro de costes e incremento en la calidad de servicio e imagen que conlleva la eliminación del papel en la firma de contratos, con la implantación de la firma digitalizada biométrica de SERBAN sobre dispositivos de HP.

Fecha: 26.11.2014
Ubicación:

Casa de la Seda
Carrer de Sant Pere Més Alt, 1
08003 Barcelona

Agenda
09:30         Recepción de asistentes y coffee de bienvenida
10:00 Bienvenida y apertura de la jornada 
Víctor Fernández, Director de Ventas para Grandes Cuentas, HP Sistemas Personales
10:15 Conformidad normativa de la Firma Digitalizada 
Julián Inza, Socio, European Agency of Digital Trust
10:45 Integración de dispositivos móviles HP en entornos de seguridad 
Melchor Sanz, Director de Preventa, HP Impresión y Sistemas Personales
11:15 La firma digitalizada biométrica en movilidad 
Juan Pablo Yagüe, Director Comercial, SERBAN Biometrics
11:45 Visión y experiencia de Banc Sabadell 
Juan Tomás Barrionuevo, Banc Sabadell
12:15 Coloquio y preguntas. Demostraciones de producto
13:00 Cocktail
14:00 Fin de la jornada

Servicios OCSP de FNMT abiertos y gratuitos

3 respuestas

Casi dos años después de que se propusiera como medida de la Comisión para la Reforma de las Administraciones Públicas (CORA), el Consejo de Ministros ha autorizado el pasado 27 de octubre de 2014  la financiación necesaria para una encomienda global entre la Administración General del Estado (AGE) y la Fábrica Nacional de Moneda y Timbre- Real Casa de la Moneda (FNMT-RCM), para la prestación de los servicios de certificación electrónica.

La nota de prensa completa se puede leer aquí. Esta es su transcripción:

Encomienda entre la Administración General del Estado y la FNMT para servicios de certificación electrónica

El Consejo de Ministros ha autorizado la financiación necesaria para una encomienda global entre la Administración General del Estado (AGE) y la Fábrica Nacional de Moneda y Timbre- Real Casa de la Moneda (FNMT-RCM), para la prestación de los servicios de certificación electrónica.

Esta encomienda se enmarca dentro del Informe de la Comisión para la Reforma de las Administraciones Públicas (CORA), y será de aplicación en los órganos, organismos y entidades pertenecientes a la Administración General del Estado.

Además, aquellos organismos que no formen parte de la AGE, así como otras instituciones y poderes del Estado y/o sociedades estatales que ejerzan funciones públicas, podrán sumarse a la encomienda, previa vinculación del presupuesto correspondiente.

Con esta encomienda global se persigue reducir el esfuerzo, tiempo y recursos de los departamentos, organismos encomendantes y de la propia FNMT – RCM. Además, supondrá un ahorro de costes para la Administración General del Estado y la posibilidad de extender los servicios de firma electrónica a otros organismos.

La contraprestación a percibir por la FNMT-RCM para el ejercicio 2015 será de 2,79 millones de euros, inferior al gasto actual realizado por los organismos que quedan incluidos en el ámbito de la encomienda. Debe tenerse en cuenta además que el ámbito de aplicación es mayor que el de las encomiendas actuales.

La entrada en vigor será el 1 de noviembre de 2014 con la prestación de servicios a los servicios centrales del Ministerio de Hacienda y Administraciones Públicas, y el 1 de enero de 2015 para el resto de los departamentos y organismos incluidos en su ámbito de aplicación, con una vigencia hasta el 31 de diciembre de 2015, pudiendo prorrogarse por años naturales.

Con esta encomienda y este presupuesto, no tiene sentido mantener la anomalía que supone que los servicios de certificación digital de la FNMT no ofrecen servicios OCSP abiertos y gratuitos para cualquier servicio público o privado que quiera admitir el uso de los certificados de la FNMT.

Yo creo que los aspectos claves de la encomienda de gestión y los que justifican su elevado coste son los que tienen que ver con el mantenimiento de múltiples sistemas de emisión de certificados y gestión de RA (Registration Authority» para funcionarios, empleados que trabajan al servicio de las administraciones públicas y de la administración de justicia y ciudadanos que pueden solicitar sus certificados en múltiples organismos públicos cuyos funcionarios se han de formar, auditar y administrar.

Seguro que también supone un esfuerzo la tarea (no lograda a día de hoy) de que los certificados de la FNMT se incluyan en los repositorios de confianza de los sistemas operativos, de los navegadores y de los lectores de ficheros PDF, y dejen de aparecer los avisos de «este certificado no es de confianza»

También supone un esfuerzo redactar y mantener las políticas y prácticas de certificación y sus declaraciones.

Supone un esfuerzo asesorar a las diferentes administraciones públicas respecto a la forma de integrar sistemas que hacen uso de los certificados de la FNMT, en su emisión o aceptación.

Hay muchos costes que merecen compensación. Pero no es uno de ellos el mantenimiento de los servidores OCSP que con el último Reglamento Europeo EU 910/2014 han de ser abiertos y gratuitos para todos los prestadores de servicios de confianza digital que expiden certificados cualificados.

Esperamos que quienes negocien la encomienda de gestión tengan en cuenta estos aspectos que parecen obvios pero no se han resuelto en los más de 15 años desde que se inició el proyecto CERES (Certificación Española) en la FNMT.

Por cierto, la disponibilidad abierta y gratuita de los servicios OCSP debe ir acompañada de una correcta codificación de los certificados de la FNMT que en la actualidad siguen siendo una anomalía en la aplicación de la normativa técnica. Entre los aspectos que deben incluir destaca el que ha de servir para saber si un certificado es válido: la inserción en elcampo AIA (Authority Information Access) de la información relativa a la dirección URL en la que está diponible el servicio OCSP abierto y gratuito.

Veremos si finalmente priman los principios de la Comisión para la Reforma de las Administraciones Públicas o si se preservan intereses espúreos, ajenos a los interese de la sociedad española.

Documentalidad

Deja un comentario

Traducción de «Documentalità» Documentality en Wikipedia. Traducción pendiente de refinar

La «Documentalidad» o «Documentalità» es la teoría de los documentos en los que desemboca la ontología de la realidad social propuesta por el filósofo italiano Maurizio Ferraris

La teoría confiere a los documentos una ubicación central dentro de la esfera de los objetos sociales, entendida como un ámbito de la realidad autónomo y distinto al de los objetos físicos y al de los objetos ideales.

La importancia de la inscripción es el sello característico de la Documentalidad  y, en general, de la ontología social propuesta: para producir un objeto no es suficiente que un acto sea pronunciado ; es necesario que sea registrado.

A través de la ejecución de los documentos registrados (firmas, inscripciones en un disco duro o en la memoria de los individuos,  publicaciones de documentos oficiales), cambiamos el mundo, dando lugar a la existencia de los objetos sociales.

Sobre esta base, Ferraris sostiene que los objetos sociales son «actos sociales que se han registrado en algún tipo de soporte», ya sea un pedazo de papel, soportes magnéticos  o aunque sólo sea la memoria de las personas (como es el caso de promesas que hacen todos los días). La regla de los objetos sociales se convierte en objeto = acto inscrito. En una ontología social delineada de esta forma, el documento, en tanto que inscripción dotada de relevancia y valor social incorpora  los rasgos esenciales y prototípicos de los objetos sociales, y la teoría de la Documentalità debe entenderse como la investigación y la definición de las propiedades que, en diferentes tipos de casos, constituyen las condiciones necesarias y suficientes para que algo sea un objeto social.

La teoría de la Documentalità se inspiró, por un lado,  por la reflexión sobre la centralidad de la escritura desarrollada por Jacques Derrida (1967, 1972) y , por otro lado,  por las teorías de los actos sociales de Adolf Reinach (1913) y  de los actos lingüísticos de John L. Austin (1962).

Searle: X cuenta como Y en C

En el debate contemporáneo, una de las teorías más importantes de los objetos sociales ha sido la propuesta por el filósofo norteamericano John R. Searle, en particular, en su libro La Construcción de la Realidad Social (1995). La ontología de Searle reconoce una esfera de objetos sociales, que define cómo objetos de orden superior respecto a los objetos físicos, de conformidad con la regla:

X cuenta como Y en C

lo que significa que el objeto físico X, por ejemplo, un trozo de papel de color, cuenta como Y, un billete de 10 €, en el contexto C, la Europa de 2010 Todo el complejo de la realidad social, de acuerdo con Searle , se deriva de la iteración de esta simple regla.

*La teoría de Searle , sin embargo , se reúne , como señala Ferraris (2005 ) , algunos problemas . En primer lugar, no es obvio cómo podemos pasar de la física con el objeto social. Si cada objeto físico realmente puede ser el origen de un objeto, entonces, no está claro lo que impediría cualquier objeto físico se convierte automáticamente en un objeto social. Si decido elaborar un proyecto de ley , no por esto me produjo un billete de banco . Para explicar la transfiguración de X en Y la teoría estándar de los objetos sociales se basa en la noción clave de » intencionalidad colectiva » . Sin embargo , esta idea – dice Ferraris – no es del todo claro . En segundo lugar , ¿cómo funciona el sobreviviente de la esfera social a la física ? Intuitivamente , un billete de banco es también un pedazo de papel y un presidente es también una persona ; Searle y cuando está solo en una habitación de hotel , no sólo hay un objeto físico , pero muchos objetos sociales ( un marido , un empleado del Estado de California, un ciudadano estadounidense , un titular de un permiso de conducir , etc .. ) . En este caso , la transición de la Y ( lo social) a X ( la física) es bastante fácil ; Sin embargo , las cosas cambian si tenemos en cuenta las diferentes situaciones . ¿Cómo podemos , de hecho, las entidades con vaga o amplia , como un estado , una batalla , una universidad ? Y ¿qué pasa con las entidades negativas como las deudas ?

En la raíz de la Documentalidad

La teoría de la Documentalidad tiene sus raíces en tres tesis principales, respectivamente, inspirados en la obra del fenomenólogo alemán Adolf Reinach, economista peruano Hernando de Soto y el filósofo francés Jacques Derrida.

La teoría de los actos liguísticos  

Para la tesis de los actos liguísticos  – cuyas raíces se encuentran más en la teoría de los actos sociales propuesto en 1913 por el fenomenólogo alemán Adolf Reinach en los escritos de Austin y Searle [1] – a través de la ejecución de los actos de habla (actos de promesa de casarse , para acusar, para bautizar) cambiamos el mundo poniendo en reclamaciones existencia, obligaciones, derechos, relaciones de autoridad, deudas, permisos, nombres, y una variedad de otros tipos de entidades que constituyen la ontología del mundo social. Desde los actos de habla son evanescentes, la base física de la existencia de las entidades del mundo social – en pequeñas empresas, y para las interacciones simples – puede ser identificado con las huellas de la memoria y otras características de la psicología de las personas involucradas. En la sociedad en general, y para las interacciones sociales más complejas, memoria de la gente no es suficiente: son los documentos que crean y mantienen esos tipos de poderes deónticos, duraderos y reutilizables, que se extienden de la memoria humana, crear y mantener en existencia, por lo que , formas nuevas y más complejas de orden social que son característicos de la civilización moderna.

La «tesis de Soto»
De acuerdo con esta tesis – que encuentra su inspiración en el trabajo de Hernando de Soto (2000) – documental mediante la realización de actos (actos de la compilación, registro, información, validación y complementación) cambiamos el mundo poniendo en las relaciones de existencia propiedad, contabilidad forense, organización empresarial, y una variedad de otros órdenes institucionales típicos de las sociedades modernas. A medida que el número total de acciones y sus accionistas crear división entre la capital, por lo que los estatutos de incorporación crean empresas. Cómo crear documentos de identidad de identidad (el tipo de cosas que pueden ser objeto de robo de identidad), creando así los diplomas académicos. Si de Soto son los documentos de papel comercial que crean lo que él llama «la gestión de activos de infraestructura invisible […] que se basa en la increíble fecundidad del capitalismo occidental», Ferraris va más allá y afirma que los documentos, tanto copia impresa y en formato electrónico, crear la infraestructura invisible de la realidad social contemporánea.

La «tesis de Derrida»
La Documentalidad  hace eco de la filosofía de la escritura inaugurada por Jacques Derrida en De la gramatología (1967), reemplazándolo en su propia esfera, el social. Como se ha señalado Derrida (1972), muchos actos de habla son, de hecho, los documentos registrados – porque sin algún tipo de registro no produciría los objetos sociales performativos como conferencias, bodas, ceremonias de graduación, o constituciones. (El punto es simple: si imaginamos una ceremonia de graduación o una boda o una coronación en la que no hay directores o testigos, entonces es difícil argumentar que son producidos por un graduado de la universidad, un esposo y una esposa, o un rey: el objetos sociales parecen estar estrechamente relacionados con las formas de sus inscripciones y registros) Sin embargo, Derrida estaba mal -. según Ferraris (2005) – afirmando que «no hay nada fuera del texto.» De hecho, y por supuesto, existe todo el mundo de la física y la química y la biología fuera del texto – sin tener en cuenta ningún tipo de registro. El mundo ha existido durante miles de millones de años antes de que existan las letras o dispositivos de grabación (o personas). Lo mismo no puede decirse de los objetos sociales en lugar. Esto último depende íntimamente de las grabaciones creadas por los seres humanos para mantenerlos en existencia. Ferraris guarda el núcleo de verdad en la tesis original de Derrida se propone elaborar ontología social de la tesis de que «no existe nada fuera del texto social.»

Sobre la base de los tres argumentos mencionados anteriormente, Ferraris avanzando así un enfoque innovador a la ontología social llamada Documentalità.

Ferraris: Objeto = Acto Inscrito

Según la ontologist Barry Smith (en prensa), con la Documentalità, Ferraris propone una teoría de la realidad social que implica tres etapas [2].

Primer paso: el reconocimiento de la esfera de los objetos sociales

El primer paso es el reconocimiento – en el contexto de las teorías desarrolladas por el propio Smith (véase especialmente Smith 1999) – la esfera de los objetos sociales, es decir, entidades tales como el dinero, obras de arte, matrimonios, divorcios y custodia compartida, los años de prisión, códigos de impuestos, los juicios de Nuremberg, la Academia sueca de Ciencias, las crisis económicas, proyectos de investigación, conferencias, etc .. Estos objetos habitan nuestro mundo más que lo hacen en las rocas, los árboles y los cocos, y sobre todo, son de mayor importancia para nosotros, ya que dependen de una gran cantidad de nuestra felicidad o infelicidad.

Segundo paso: la identificación de la ley constitutiva de los objetos sociales

El segundo paso es el reconocimiento de la ley que da vida a los objetos sociales, es decir,

Objeto = Acto Inscrito

Lo que significa que un objeto es el resultado de un acto social (que implica por lo menos dos personas, o una persona y una máquina, como un ordenador), caracterizado por el hecho de que se está grabando en un pedazo de papel, un archivo informáticos o cualesquiera otros medios digitales, o incluso sólo en cabeza de la gente.

Tercer paso: la identificación de la esfera de la Documentalidad
Sobre la base de los dos primeros pasos, usted puede desarrollar una ontología puede clasificar y dar cuenta de la naturaleza de los documentos, comenzando con la distinción fundamental entre esos Ferraris (2009) llama «documentos en el sentido fuerte», que son el reconocimiento de los actos y que constituyen los objetos sociales en el sentido pleno, y «documentos en el sentido débil», que son los registros de los hechos y se derivan secundario y de poca importancia. El tercer paso que conduce a la identificación de la esfera de Documentalità, entendida como el alcance de su investigación y el desarrollo de esas propiedades que constituyen las condiciones necesarias y suficientes para que algo sea un objeto social.

La Documentalidad en once tesis

La teoría de la Documentalidad ha sido resumida por el autor en once tesis fundamentales (Ferraris 2009a) [3]:

1 La ontología clasifica el mundo de la vida.
La filosofía que guía la Documentalità es una metafísica descriptiva de sistema realista, que tiene como objetivo dar cuenta del mundo social y de la experiencia cotidiana, es decir el mundo que está más allá del ámbito de las ciencias naturales. Su modelo es el catálogo. El tipo de propuesta requiere primero entender la identificación, clasificación y distinción: ¿qué hay en el mundo, ya que se ordenó, en qué se diferencia de otras cosas que están ahí. En este contexto, el mundo se entiende como el conjunto de individuos: rocas, organismos, objetos, naturales y personas jurídicas. La característica más destacada de los individuos es pertenecer a la clase (la clase del sacacorchos, uno de los emperadores, la poesía simbolista) como «ejemplar» en el sentido de que puede valer tanto como un principio de clasificación como un miembro (de serie) de una clase, pero no pre-existir individuos, sino que desciende.

2 Hay tres tipos de objetos: naturales e ideales sociales.
Las muestras se dividen en sujetos y objetos. Temas representaciones, objetos no lo hacen. Los objetos, a su vez, se dividen en tres clases: los objetos naturales, objetos ideales y objetos sociales. Los objetos naturales están en el espacio y el tiempo, independientemente del tema; objetos ideales están fuera del espacio y del tiempo, independientemente del tema; objetos sociales se encuentran en el espacio y el tiempo en función de los temas. Como la principal característica de los sujetos, para tener representación, tiene una importancia central para la ontología social, la diferencia entre los sujetos y los objetos no pretende ser una diferencia básica de la categoría. Los sujetos, de hecho, son también un tipo de objetos naturales (hay un sub-categoría), como entidades biológicas, y, si se incluye en una empresa, sino que también son objetos sociales. Objetos sociales son, desde el punto de vista de una teoría de la experiencia, la más importante de todas, ya que dependen en gran medida de nuestra felicidad o nuestra infelicidad.

3 La ontología es distinta de la epistemología.
Desde un punto de vista metodológico, es necesario establecer una distinción entre la ontología y epistemología. El primero se refiere a lo que está ahí, independientemente de la forma en que la conocemos, o sea que lo sepamos o no. El segundo es el conocimiento de lo que es, o más precisamente lo que estamos justificados en creer en un contexto dado. Estas dos dimensiones a menudo se han confundido, como es evidente por el hecho de que a menudo dependemos de el ser de los objetos a partir de los conocimientos que tenemos. ¿Qué hay, en el mundo de los objetos naturales, posee la característica esencial de inemendabilità, no se puede corregir con el poder del pensamiento. Lo que sabemos acerca de lo que está ahí, sin embargo, es modificable, y esta corrección es el proceso de aumentar el progreso y el sentido último del conocimiento. Lo que estamos justificados en creer, de hecho, puede cambiar (modificar, de hecho) con el progreso de la ciencia.

4 objetos sociales dependen del sujeto, pero no son subjetivos.
El mundo exterior, destinado principalmente como un mundo de objetos naturales, es independiente de los esquemas conceptuales y el aparato perceptivo. Del mismo modo, hay un hilo continuo y necesidad de la percepción que conduce a la experiencia, y de allí a la ciencia, ni tampoco el saber es la actividad principal dentro de nuestra experiencia. En el mundo de los objetos sociales, sin embargo, la creencia determina el BE, ya que estos objetos están sujetos dependientes. Esto no quiere decir que las cosas como el dinero o promesas poseen una puramente subjetiva. Significa, más bien, que si había individuos capaces de reconocer objetos sociales, entonces no habría objetos sociales. El resultado de esta consideración es que el trascendentalismo, inaplicable a los objetos naturales, revela objetos applicabilissimo sociales. La tesis kantiana de que las intuiciones sin conceptos son ciegas no se aplica a los lagos y las tormentas (que son lo que son independientemente de nuestras conceptualizaciones), pero para las hipotecas y conferencias.

5 La regla constitutiva de los objetos sociales es Objeto = Acto inscrito.
De este modo, se hace posible el desarrollo de una ontología y epistemología de los objetos sociales. La epistemología es un renacimiento de la tradición de las ciencias del espíritu, sino que califica como una «ciencia de la carta,» a la importancia de las inscripciones en la construcción de la realidad social. La ontología es una teoría de los objetos sociales, los que responden a la regla constitutiva «Object = Ley inscrito.» En otras palabras, los objetos sociales son el resultado de actos sociales (los que participen al menos dos personas) que se caracterizan por el hecho de que los miembros sobre el papel, en un archivo de computadora, o incluso sólo en cabeza de la gente.

6 Nada existe fuera del contexto social.
La importancia de la membresía es el sello de este Documentalità y, en general, la propuesta de la ontología social. La idea básica es que no basta que el acto se pronunció para producir un objeto; debe estar registrado. Una boda o una promesa de que no posea un registro no serían objetos, mientras que una montaña puede muy bien existir sin grabaciones. En este sentido, no es argumentar que «no hay nada fuera del texto» (ya que existen objetos naturales y objetos ideales incluso sin inscripciones), pero que «no existe nada fuera del texto social.»

7 La empresa no se basa en la comunicación, sino en la grabación.
Puesto que nada existe fuera del contexto social, mapas, archivos y documentos constituyen el fundamento del mundo social. La empresa no se basa en la comunicación, pero en la grabación, que es la condición para la creación de los objetos sociales. El hombre crece como hombre y socializar a través de la grabación. La nuda vida es más que un arranque a control remoto, la cultura comienza muy temprano, usted sufrió una «vida vestida», que se manifiesta a través de grabaciones y de imitación: el lenguaje, el comportamiento, los rituales. Esto explica por qué es tan importante para la escritura, e incluso antes de la tura, es decir, la esfera de las grabaciones que precede y rodea la escritura en el sentido propio o corriente.

8 La mente es una tabula recogiendo inscripciones.
En términos de una teoría de la mente, la ontología social está fundada por icnología, que es una doctrina de la pista. La representación de la mente tan en blanco como un servicio de soporte, no una metáfora, pero capta el hecho de que las percepciones y los pensamientos son como las inscripciones en nuestras mentes. Pero la mente no es sólo un Inscrita en blanco, sino que también es capaz de reconocer las inscripciones, las pistas que están en el mundo, que está en la mesa delante de nosotros en la experiencia. Se dibuja así una jerarquía ascendente que incluye las pistas (cada una incisión sobre un fondo), grabaciones (huellas en la mente como una tabula) y las entradas en el sentido técnico (rastros tan accesible para al menos dos personas).

9 Los documentos son las inscripciones en el sentido fuerte de actos.
En términos de una teoría de la sociedad, la ontología de los objetos sociales se presenta como Documentalità, es decir, como una doctrina de los documentos como la forma más elevada de los objetos sociales. Los documentos se dividen en documentos en el sentido fuerte, es decir, el registro de escrituras y documentos en el sentido débil, es decir, un registro de los hechos. Los documentos pueden ser de propósitos prácticos, o pueden estar dirigida principalmente a la evocación de sentimientos. En este caso se trata de obras de arte entendidas como las cosas que se hacen pasar por personas.

10 La letra es el fundamento del espíritu.
En términos de una teoría de la cultura, la ontología de los objetos sociales se caracteriza por ser una fenomenología de la carta. Se reconoce en todo el trabajo del espíritu el resultado de inscripciones internas y externas, mediante la explotación de las adquisiciones de icnología y Documentalità. Esto se aplica tanto al espíritu subjetivo (el alma como tabula), de acuerdo con el espíritu objetivo (el mundo de las instituciones) y el espíritu absoluto (el arte, la religión, la filosofía): no hay producción del espíritu podría existir sin la letra, es decir, el registro y el documento; y, más radicalmente, el espíritu encuentra su condición de posibilidad en la carta, en las inscripciones que nos constituyen como seres sociales.

11 La individualidad se manifiesta en la firma.
En términos de una teoría del sujeto, la ontología de los objetos sociales se desarrolló como una teoría del lenguaje, estilo y firma. La sensación de singularidad que caracteriza a cada sujeto depende de sus peculiares desviaciones de la norma, al igual que en la firma, que es una manera de representar públicamente su presencia e identidad, y que consiste en escribir su nombre en una manera que es diferente, así o como poco de la caligrafía norma. Este principio de individuación se aplica a las obras de arte (que se caracterizan por el estilo) como señales de reconocimiento que se pueden encontrar en los documentos. El individuo es inefable, nunca puede ser capturado por una ontología o epistemología, sino la señal de esta individualidad se manifiesta en el estilo.

Notas

1^ Sobre esto ver Mulligan (eds.), Los actos de habla y Sachverhalt: Reinach y los Fundamentos de la fenomenología realista (1987).
2^ Para una discusión de pasos alternativos que componen la teoría se puede ver Casetta (2010).
3^ Para un comentario crítico de las once tesis véase también la sección «Documentalità» del sitio

www.rescogitans.it

Bibliografia

  • Austin, J.L. 1962, How to Do Things with Words: The William James Lectures Delivered at Harvard University in 1955, J.O. Urmson (a c. di), Oxford, Clarendon; trad. it. di C. Penco e M. Sbisà, Come fare cose con le parole, Genova, Marietti, 1987. ISBN 88-211-8635-0.
  • Casetta, E. 2010, “Note in margine a Documentalità.Perché è necessario lasciar tracce di Maurizio Ferraris” http://www.centroeinaudi.it/biblioteca-della-liberta/archivio-edizione-online/126-anno-xlv-settembre-dicembre-2010-n-199/8268-note-in-margine-a-ldocumentalita-perche-e-necessario-lasciar-traccer-di-maurizio-ferraris.html], Biblioteca della libertà, XLV (2010), settembre-dicembre, n. 199 online: 1-12.
  • de Soto, H. 2000, The Mystery of Capital: Why Capitalism Triumphs in the West and Fails Everywhere Else, New York, Basic Books; trad. it. di G. Barile, Il mistero del capitale, Milano, Garzanti, 2001. ISBN 88-11-74004-5.
  • Derrida, J. 1967, De la grammatologie, Paris, Ed. de Minuit; trad. it. di AA.VV., Della grammatologia, Milano, Jaca Book, 1969. ISBN 88-16-40228-8.
  • Derrida, J. 1972, “Signature, événement, contexte”, in Id., Marges de la philosophie, Paris, Ed. de Minuit; trad. it. di M. Iofrida, in J. Derrida, Margini della filosofia, Torino, Einaudi, 1997. ISBN 978-88-06-12238-6.
  • Ferraris, M. 2005, Dove Sei? Ontologia del telefonino, Milano, Bompiani. ISBN 88-452-3446-0.
  • Ferraris, M. 2007, “Documentality or Why Nothing Social Exists Beyond the Text”, in Ch. Kanzian ed E. Runggaldier (a c. di), Cultures. Conflict – Analysis – Dialogue, Proceedings of the 29th International Ludwig Wittgenstein-Symposium in Kirchberg, Austria, Publications of the Austrian Ludwig Wittgenstein Society, New Series, 3: 385-401. ISBN 978-3-938793-66-4.
  • Ferraris, M. 2008, “Science of Recording”, in H. Hrachovec e A. Pichler (a c. di), Philosophy of the Information Society, Proceedings of the 30th International Ludwig Wittgenstein-Symposium in Kirchberg 2007, Frankfurt/a.M., Ontos Verlag: 110-123.
  • Ferraris, M. 2009a, Documentalità. Perché è necessario lasciar tracce, Roma-Bari, Laterza. ISBN 978-88-420-9106-6
  • Ferraris, M. 2009b, “Documentality or Europe”, The Monist, 92: 286-314.
  • Mulligan, K. (a c. di) 1987, Speech Act and Sachverhalt. Reinach and the Foundations of Realist Phenomenology, Dordrecht, Martinus Nijhoff. ISBN 90-247-3427-4.
  • Reinach, A. 1913, “Die apriorischen Grundlagen des bürgerlichen Rechtes”, Jahrbuch für Philosophie und phänomenologische Forschung, I/2: 685-847; trad. ingl. “The Apriori Foundations of the Civil Law”, Aletheia. An International Journal of Philosophy, 3 (1983): 1-142.
  • Searle, J. 1995, The Construction of Social Reality, New York, Free Press; trad. it. di A. Bosco, La costruzione della realtà sociale, Torino, Einaudi, 2005.
  • Smith, B. 1999, “Les objects sociaux” http://www.erudit.org/revue/philoso/1999/v26/n2/004987ar.html, Philosophiques, 26/2: 315-47; (versione ingl.http://ontology.buffalo.edu/document_ontology/)
  • Smith, B. in corso di pubblicazione, “How to do Things with Documents”, Rivista di Estetica; prolusione in occasione della prima edizione del “Premio Paolo Bozzi per l’Ontologia”, 15 aprile 2010, Torino.

¿En qué se diferencian SAML, OpenID y OAuth?

2 respuestas

Aunque entrar en detalle llevará unos cuantos párrafos, la respuesta breve sería que son sistemas que facilitan el acceso unificado (single sign on) con los siguientes matices:

  • OpenID – Es un «single sign on» para usuarios finales, tales como consumidores.
  • SAML – Es un «single sign-on» orientado a usuarios empresariales.
  • OAuth – Es una API (Application Programming Interface) de autorización entre aplicaciones.

OpenID es relativamente sencillo de utilizar y muy prometedor.  EADTrut desarrolló hace unos años un piloto de servidor de autenticación OpenID, que utilizaba el DNI electrónico como base de la autenticación SSL/TLS y que luego podía heredarse de forma muy sencilla en otros servidores (páginas web) que implementaran OpenID.  Se publicaron varias referencias  sobre el piloto, que resultó un éxito.

SAML

El Lenguaje de Marcado para Confirmaciones de Seguridad, conocido como SAML, (pronunciado como «sam-el») es un estándar abierto que define un esquema XML para el intercambio de datos de autenticación y autorización. Usualmente las partes que intervienen en el intercambio son un proveedor de identidad (IdP – Identity Provider) y un proveedor de servicio. SAML es una especificación publicada por el comité OASIS (Security Services Technical Committee).

SAML inició su especificación en el año 2001, siendo su versión estable liberada en el año 2005, y es utilizado como elemento clave en sistemas centralizados de autenticación y autorización (Single Sign-On).

La especificación SAML define tres roles:

  • Principal
  • Proveedor de identidad
  • Proveedor de servicio.

En un escenario típico, el rol principal solicita un servicio al proveedor de servicios, quien a su vez solicita y obtiene en caso de éxito, una confirmación de identidad desde el proveedor de identidad. Teniendo como base la confirmación recibida, el proveedor de servicio puede tomar decisiones acerca del acceso autorizado a un usuario.

OpenID

OpenID es un estándar de identificación digital descentralizado, con el que un usuario puede identificarse en una página web a través de una URL (o un XRI en la versión actual) y puede ser verificado por cualquier servidor que soporte el protocolo.

En los sitios que soporten OpenID, los usuarios no tienen que crearse una nueva cuenta de usuario para obtener acceso. En su lugar, solo necesitan disponer de un identificador creado en un servidor que verifique OpenID, llamado proveedor de identidad o IdP (Identity Provider).

El proveedor de identidad puede confirmar la identificación OpenID del usuario al sitio que soporte este sistema y que confíe en el.

A diferencia de otras arquitecturas Single Sign-On, OpenId no especifica el mecanismo de autenticación. Por lo tanto, la seguridad de una conexión OpenId depende de la confianza que tenga el cliente OpenID en el proveedor de identidad. Si no existe confianza en el proveedor, la autenticación no será adecuada para servicios bancarios o transacciones de comercio electrónico, sin embargo el proveedor de identidad puede usar autenticación fuerte pudiendo ser usada para dichos fines.

OAuth

OAuth (Open Authorization) es un protocolo abierto, propuesto por Blaine Cook y Chris Messina, que permite autorización segura de una API de modo estándar y simple para aplicaciones de escritorio, móviles y web.

Para desarrolladores de consumidores, OAuth es un método para interactuar con datos protegidos y publicarlos. Para desarrolladores de proveedores de servicio, OAuth proporciona a los usuarios un acceso a sus datos al mismo tiempo que protege las credenciales de su cuenta. En otras palabras, OAuth permite a un usuario del sitio A compartir su información en el sitio A (proveedor de servicio) con el sitio B (llamado consumidor) sin compartir toda su identidad.

En relación con la gestión de identidad, hay, además otras tecnologías y organizaciones que merece la pena tomar en consideración, como OATH, Liberty Alliance, Kantara, Passport, o CardSpace

OATH

OATH (Initiative for Open Authentication) es una arquitectura abierta de autenticación robusta (Open Strong Authentication) basada en tokens efímeros de autenticación, en posesión del usuario y gestionados por hardware o por software. Agrupa a más de 30 fabricantes y sus especificaciones  están basadas en diversos estándares.

Liberty Alliance

El proyecto Liberty Alliance fue una organización que operó entre 2001 y 2009 para establecer estándares y buenas prácticas para la gestión de identidad en sistemas informáticos. Llegó a agrupar más de 150 organizaciones.

Definió marcos de interoperabilidad para la federación de identidades.

La iniciativa desembocó, junto con otras en la organización Kantara.

Kantara

Kantara es una asociación profesional sin fines de lucro orientada a impulsar los avances en aspectos técnicos y legales relacionados con la gestión digital de identidad, ubicada en Delaware.

Kantara unifica inciativas anteriores como Liberty Alliance, el proyecto DataPortability, el proyecto Concordia, la Internet Society, la Information Card Foundation, OpenLiberty.orgXDI.org.  Se anunció en junio de 2009.

Kantara no es un organismo de estandarización, pero envía propuestas y recomendaciones a este tipo de organismos, tales como  OASIS (Organization for the Advancement of Structured Information Standards), IETF (Internet Engineering Task Force),   ISO (International Organization for Standardization), o  ITU-T (ITU Telecommunication Standardization Sector, uno de los sectores de la International Telecommunication Union).

Microsoft Passport

Microsoft Passport está formado por dos servicios: un servicio de inicio de sesión único que permite que los miembros utilicen un único nombre y contraseña para iniciar sesión en un número creciente de sitios Web participantes y un servicio de cartera que los miembros pueden utilizar para realizar compras en línea rápidas y cómodas.

Con el tiempo ha evolucionado a Windows Live ID.

CardSpace

Windows CardSpace (cuyo código de proyecto interno era InfoCard), es un cliente de software destinado a su uso en el metasistema de gestión de identidad (Identity Metasystem) y como iniciativa de gestión de identidades ha sido cancelado.   Su punto fuerte era la interfaz de usuario, basada en tarjetas de información que permitían gestionar de forma sencilla y segura la identidad dependiendo de la aplicación y de los sitios web a los que se acede. Además, en su diseño se tuvieron en cuenta la resistencia a los ataques de «phishing» y las denominadas «7  leyes de la Identidad» de Kim Cameron.

PKI para la Internet de las cosas (IoT)

Deja un comentario

A medida que la Internet de las cosas(IoT, Intenet of Things) continúa para conectar objetos y transmitir información a las personas, aparecen nuevas posibilidades para la vida profesional y personal. IDC proyecta que para el 2020, la IoT crecerá a 200 millones de objetos conectados. Sin embargo, a pesar de las posibilidades de la IoT , los hackers están innovando también en ese terreno. A la luz de las grandes cantidades de datos sensibles que la IoT genera, la necesidad de seguridad nunca ha sido mayor. Una posible respuesta a ese reto viene de una solución que ha estado trabajando en silencio para proteger los datos durante 20 años: la Infraestructura de Clave Pública (PKI, Public Kuey Infrstructure).  Nunca han sido exploradas todas sus posibilidades pero son muy prometedoras las que ofrece a la securización de la IoT.

El reto de la confianza

En cuanto a la seguridad, la IoT tiene dos importantes requisitos: la confianza y el control. Esto es difícil de lograr en la gran escala de la IoT, pero es indiscutible que la criptografía va a jugar un papel central. Por supuesto, las tecnologías de cifrado y PKI ya han sido probados en sistemas a gran escala, como la red de pagos mundial. Sin embargo, asegurar la IoT conlleva nuevos retos que nos obligan a replantear los supuestos tradicionales sobre gestión de claves y las inminentes amenazas a la seguridad.

Los dispositivos conectados deben proporcionar información confiable, a veces directamente al usuario y, a veces el proveedor de infraestructura, a menudo empleando análisis de datos que abarcan millones de tales dispositivos. Establecer la confianza en todos los dispositivos dispares en una escala masiva es, por supuesto, un reto importante. Los dispositivos en sí son susceptibles de recibir los ataques físicos, y las redes a través de las que se comunican suelen ser difíciles de asegurar. Además, los sistemas de back-end y repositorios de datos donde la información se recopila y analiza y se toman las decisiones también son objetivos atractivos para potenciales atacantes. Bajo el control de agentes maliciosos, la IoT podría convertirse rápidamente en la Internet de los espías o el Ejército de los objetos.

Lo que el IoT necesita para tener éxito

Aspectos como alta integridad en mensajería, comunicaciones seguras y autenticación mutua a escala de Internet será absolutamente necesaria para que la IoT tenga éxito. Para superar el reto de tener los dispositivos conectados a la red de forma segura durante décadas, la tecnología de los certificados digitales emitidos por una PKI está bien situada para servir como el mecanismo que garantiza la identidad en línea de las cosas y objetos. Las PKI ha funcionado bien durante años en entornos con altos requerimientos de seguridad donde cientos de millones de certificados de dispositivo han sido desplegados para cajeros automáticos, estaciones base celulares y teléfonos inteligentes. Aunque las cosas en la IoT tienen mucho en común con este tipo de dispositivos,afloran   algunas nuevas cuestiones acerca de las garantías, la escala y la tecnología.

En primer lugar, cuando se trata de seguridad y validación, hay una distinción entre aplicaciones públicas de PKI y aplicaciones PKI privadas o cerradas. Aplicaciones PKI comunes como la seguridad de correo electrónico a menudo requieren un nivel de confianza con distribución de roots a nivel del público – la capacidad para cualquier persona para validar las afirmaciones hechas por la garantía de las credenciales basadas en PKI, tales como certificados. Esto requiere la capacidad de dotar a todos los receptores posibles, de las claves y certificados que permiten comprobar las afirmaciones de todos los emisores potenciales y, aún más difícil, de revocar la capacidad de hacer reclamaciones si se pierde la confianza en un certificado. En muchos sentidos, la situación en la IoT es más fácil porque muchas implementaciones de la IoT no necesitan la confianza del público en general- ya que son sistemas cerrados. Por otra parte, la comprobación de revocación y validación en línea ya no será necesaria ya que la organización en el control ya se sabrá el estado de sus propios dispositivos en la red y no necesitan depender de la comprobación de la situación de las credenciales del dispositivo.

El segundo desafío se centra en la escalabilidad. Aunque entre las implementaciones de PKI sin duda existen las que tienen la capacidad de gestionar millones de certificados, la mayoría operan en niveles significativamente más pequeños. La magnitud de muchas implementaciones de la IoT hará que sean comunes los sistemas con decenas o incluso cientos de millones de credenciales. Sin embargo, muchas de las implementaciones de estos dispositivos será relativamente estática, las credenciales tienen ciclos de vida relativamente larga y los cambios relativos a la identidad de los objetos serán raras.

Por último, tenemos el tema de la tecnología. A diferencia de las PKI tradicionales, en la Iot  los dispositivos conectados serán de muy bajo consumo y de bajo presupuesto. La criptografía tradicional no está diseñada para estos entornos y es matemáticamente intensiva, lo que requiere mayor energía aplicada a la CPU. Otro problema es la generación de credenciales. Crear buenas claves no es fácil, y hacierlo en grandes volúmenes puede suponer un cuello de botella. Una vez más, los algoritmos criptográficos diseñados para dispositivos de baja potencia y la rápida generación de claves ya existen y han sido ampliamente probados.

Asegurar el futuro

Los beneficios de un mundo conectado significan que la IoT sólo se hará más grande. Mientras lo hace, también lo hará la posibilidad de amenazas a la seguridad. Por esta razón, es esencial reconsiderar la gestión de claves. A medida que más dispositivos se conectan a Internet y entre sí, estos dispositivos requieren certificados. Las PKI han proporcionadoSeguridad de los dispositivos conectados a la red todo el tiempo, por lo que la expansión de su uso para la IoT tiene sentido. La tecnología de PKI ha demostrado su eficacia en la solución de problemas de alta seguridad para las últimas dos décadas y está dispuesta a gestionar de forma segura los certificados digitales para la IoT .

Artículo en inglés de Richard Moulds, VP of strategy, Thales e-Security

PKI for the Internet of Things

Declaración de Conformidad ENI, ENS, EJIS

Deja un comentario

EADTrust, Prestador de Servicios de Confianza Digital, ha desarrollado una metodología para certificar declaraciones de conformidad en el marco del ENI (Esquema Nacional de Interoperabilidad), el ENS (Esquema Nacional de Seguridad) y el EJIS (Esquema Judicial de Interoperabilidad y Seguridfad). Según el contexto, se aplica como norma de referencia la Ley 11/2007 (Administraciones Públicas) o la Ley 18/2011 (Administración de Justicia).

En la actualidad, las declaraciones de conformidad son declaraciones unilaterales de cumplimiento de un determinado modelo normativo, en un contexto muy amplio de exigencias insoslayables y buenas prácticas de adopción voluntaria. El modelo de EADTrust establece un sistema de varios niveles que permite acreditar mediante la auditoría realizada por sus especialistas el cumplimiento mínimo imprescindible del modelo normativo (ENI, ENS, EJIS) y la adopción adicional de procedimientos o despliegue de funcionalidades de administración pública electrónica  o de administración de justicia electrónica.

De esta forma, gracias a la certificación de declaraciones de conformidad, se expresa el compromiso del órgano requirente respecto al cumplimiento de la normativa e incluso la excelencia en el despliegue de iniciativas de administración electrónica, y su sometimiento a que sea un tercero el que compruebe el cumplimiento normativo y la debida diligencia de sus gestores.

Para solicitar el servicio contacte con EADTrust en el 917160555 o el 902 365 612