Criptografía en Mainframe IBM EC12 y firma electrónica

El nuevo mainframe de IBM zEnterprise EC12 aumenta los niveles de rendimiento y capacidad de los sistemas anteriores y da soporet a la consolidación de servidores permitiendo gran escalabilidad.

Aporta una nueva generación de hardware de seguridad para la firma digital, con soporte para criptografía de curvas elípticas y cuenta con capacidad de análisis avanzado de reconocimiento de patrones para el control inteligente de la salud del propio sistema, lo que permite predicir y evitar fallos. Ahora hay una nueva opción para instalarlo en suelo no técnico y permite configuraciones híbridas para cargas de trabajo distribuidas orientadas a AIX, Linux y Windows, demás de las tradiciones de mainframe, basadas en sistemas operativos OS/2 y zLinux.

El nuevo servidor zEC12 con el chip más rápido del mercado procesando a 5,5 GHz ofrece hasta un 25% más de rendimiento por core y un 50% más de capacidad que su predecesor.

Es el sistema con mayor seguridad y resiliencia para entornos corporativos de misión crítica: Con la criptografía de firma digital Crypto Express 4S y la certificación Common Criteria  EAL 5+

El zEC12 admite requisitos de plataforma heterogéneos con el nuevo IBM zEnterprise BladeCenter Extension (zBX) modelo 003 e IBM zEnterprise Unified Resource Manager para ampliar las capacidades de gestión a otros sistemas y cargas de trabajo que se ejecutan en servidores AIX en POWER7, Linux® en IBM System x y Microsoft® Windows® en IBM System x.

Ahora la nueva versión de zBackTrust 1.3 permite decidir sobre qué tipo de procesador y de sistema operativo se desea ejecutar la funcionalidad de firma electrónica, ya que cuenta con versiones para:

• z/OS: java sobre  z/OS V1.12, V1.13 o superior; z/OS V1.11, V1.10 extensión de ciclo de vida
• Linux en Systemz: java sobre RedHat Enterprise Linux (RHEL) 6y RHEL 5, SUSE Enterprise Server (SLES) 11 y SLES 10
• Windows Server 2008 (c# y .net) (en servidores blade IBM BladeCenter HX5 instalados en ZBX Mod 003)
• Linux en System x: java sobre Red Hat RHEL 5.5, 5.6, 5.7, 6.0, 6.1 y SUSE Linux Enterprise Server (SLES) 10 (SP4), SLES 11 SP1 (sólo de 64 bits)  (en el servidor blade IBM BladeCenter HX5 instalado en zBX Mod 003)

El modo de licenciamiento de zBackTrust permite un número ilimitado de instancias por site, y solo incrementa el coste por número de sistemas operativos soportados o por número de sites. El incremento de costes para sites de backup no activos es de solo un 10% del coste de licencia general. De este modo la escalabilidad está garantizada, sin coste adicional.

A través de CPACF (Central Processor Assist for Cryptographic Function) función que no implica coste al habilitarla en el sistema, puede gestionar los siguientes algoritmos criptográficos:

• Algoritmos de hash (Secure hash algorithms) SHA-1, SHA-224, SHA-256, SHA-384, y SHA-512 habilitado en todos los servidores con unidades de proceso  (PUs – processor units) definidas como  CPs, IFLs, zIIPs, or zAAPs.

• Cifrado Simétrico
  • Data Encryption Standard (DES)
  • Triple Data Encryption Standard (TDES)
  • Advanced Encryption Standard (AES) con claves de 128-bits, 192-bits, y 256-bits
• Control de Integridad (Secure Hash Algorithms)
  • SHA-1: 160 bit
  • SHA-2: 224, 256, 384, and 512 bit
• Control de Integridad (MAC)
  • Single-length key MAC
  • Double-length key MAC

El soporte  IBM Enterprise PKCS #11 (EP11) IBM Enterprise Public-Key Cryptography Standards (PKCS) #11 está basado en la especificatión v2.20 de PKCS #11 y se incluye enlos sistemas operativos  z/OS y z/VM medianteICSF (Integrated Cryptographic Service Facility).

El soporte criptográfico es de especial interés en banca, ya que permite, por ejemplo gestionar las funciones de seguridad de las tarjetas EMV, o cifrar la información relevante sobre tarjetas y titulares que exige el cumplimiento de la normativa PCI DSS. En entornos de banca y seguros, permite la firma de transacciones y la securización de documentos electrónicos, permitiendo la eliminación de documentos en papel.

Entre las funcionalidade de zBacktrust cabe citar:

• Firma Electrónica de alto rendimiento.
• Compatible con HSM IBM 4764 (Crypto Express2), IBM 4765 (Crypto Express3) y Crypto Express 4S
• Compatible con gestión de claves y certificados X.509 a través de interfaces PCCS#12 y PKCS#11.
• Generación de firmas XAdES (XML) y PAdES (PDF).
• Conversión de firmas simples en completas.
• Validación de firmas electrónicas
• Gestión de evidencias electrónicas
• Cumplimiento de estándares: ETSI (TS 101 903,  TS 102 778), ISO-32001, ISO 14533-2:2012 y OASIS DSS 
• Compatiblidad con Middleware: WebSphere , Weblogic y Tomcat.
• Accesible desde equipos con Linux, Windows, MacOS, Blackberry, Android, iOS, Windows Phone.
• Integración con prestadores de servicios de timestamping y OCSP externos

Contactar con el +34 917160555 para obtener más información de zBacktrust

Firma electrónica en zEnterprise EC12

Recientemente IBM ha lanzado el nuevo sistema “mainframe” zEnterprise EC12, con clara orientacion hacia entornos de private cloud, con disponibilidad de muchísima potencia de cómputo en entornos de múltiples tipos de procesadores, sistemas operativos y cargas de trabajo.

El zEnterprise EC12 ofrece nuevos niveles de rendimiento y capacidad para consolidación de múltiples sistemas  y crecimiento a gran escala, compatibilidad con la nueva generación de equipamiento de  seguridad para firma digital, el nuevo HSM (Hardware Security Module) Crypto Express 4S, análisis avanzado de reconocimiento de patrones para el control inteligente de la funcionalidad de los componentes del sistema, nueva opción para instalaciones en  suelo no técnico y despliegue de tecnologías híbridas de procesamiento para diferentes sistemas operativos y todo tipo de cargas de trabajo distribuidas, incluyendo las específicas de mainframe (z/OS , z/VM , z/VSE , z/TPF, y Linux on System z).

En el Mainframe se equipa la cabina de entrada salida compatible con interfaz PCIe Gen2 (Peripheral Component Interconnect Express Generation 2) al que se conecta cada adaptador Crypto Express4S que da soporte a todas las funciones del modelo de adaptador criptográfico anterior Crypto Express3.

Este adaptador se puede configurar a través de la consola HMC (Hardware Management Console) de tres formas distintas:

1. Como coprocesador CCA: IBM Common Cryptographic Architecture (CCA) coprocessor
2. Como coprocesador PKCS#11: IBM Enterprise PKCS #11 (EP11) coprocessor
3. Como Acelerador (Accelerator)

El adaptador se ha certificado de acuerdo con los estándares  FIPS 140-2 Security Level 4 y Common Criteria EAL 4+.

A través de CPACF (Central Processor Assist for Cryptographic Function) función que no implica coste al habilitarla en el sistema, puede gestionar los siguientes algoritmos criptográficos:

• Algoritmos de hash (Secure hash algorithms) SHA-1, SHA-224, SHA-256, SHA-384, y SHA-512 habilitado en todos los servidores con unidades de proceso  (PUs – processor units) definidas como  CPs, IFLs, zIIPs, or zAAPs.

• Cifrado Simétrico
  • Data Encryption Standard (DES)
  • Triple Data Encryption Standard (TDES)
  • Advanced Encryption Standard (AES) con claves de 128-bits, 192-bits, y 256-bits
• Control de Integridad (Secure Hash Algorithms)
  • SHA-1: 160 bit
  • SHA-2: 224, 256, 384, and 512 bit
• Control de Integridad (MAC)
  • Single-length key MAC
  • Double-length key MAC

El soporte  IBM Enterprise PKCS #11 (EP11) IBM Enterprise Public-Key Cryptography Standards (PKCS) #11 está basado en la especificatión v2.20 de PKCS #11 y se incluye enlos sistemas operativos  z/OS y z/VM medianteICSF (Integrated Cryptographic Service Facility).

El soporte criptográfico es de especial interés en banca, ya que permite, por ejemplo gestionar las funciones de seguridad de las tarjetas EMV, o cifrar la información relevante sobre tarjetas y titulares que exige el cumplimiento de la normativa PCI DSS.

Gracias al soporte PKCS#11 permite utilizar el sistema de firmas electrónicas zBackTrust de Albalia (con soporte para CAdES, XAdES y PAdES) en z/OS además de en Linux on System z.

La solución zBackTrust es la única disponible a nivel mundial con soporte nativo para mainframe en equipos z9, z10 z196, z114 y  zEC12 y capacidad de gestionar las citadas formas de firma, aunque IBM ofrece un tipo de unidad integrable en los bastidores zEnterprise que también permite realizar la funconalidad de firma electrónica con sus propias funciones criptográficas externalizadas del sistema principal (Datapower).

El sistema zBackTrust de Albalia se puede instalar sobre entornos de gestión de transacción para Java como WebSphere , Weblogic y Tomcat y soporta de forma nativa las diferentes funcionalidades de la norma DSS   (Digital Signature Services) de OASIS, de modo que la gestión de la firma electrónica se puede llevar a cabo de forma centralizada para toda la organización mediante webservices que se pueden invocar desde entornos Linux, Apple y Windows.

El sistema zBackTrust está disponible bajo diferentes tipos de licencias:

• System
• Site
• Enterprise
• Cloud

lo que permite que se pueda disponer de múltiples instancias de ejecución sin coste adicional.

El sistema zBackTrust puede contratarse a través de IBM, a través de INSA o directamente a través de Albalia, contactando con el 91 716 0555 de España (+34 917160555).

Otros artículos relacionados:

• Caixa Galicia, caso de éxito
• Diseño y planificación de una infraestructura de clave pública (PKI)
• Crypto Express3 en zEnterprise
• zBackTrust en Caixa Galicia
• Caixa Galicia impulsa la tecnología financiera
• 10 años de Linux en System z
• IBM 4765 Cryptographic Coprocesor
• Albalia es Advanced Partner de IBM
• Productos y servicios basados en DSS
• Características de zBackTrust
• zBackTrust, firma electrónica para System Z
• IBM 4764
• IBM 4765 Cryptographic Coprocesor
• DSS + XAdES-XL + z/OS + Websphere
• Firma electrónica con OASIS DSS
• B4E BackTrust for ERPs
• Portafirmas BackTrust disponible para descarga
• Proyecto FactOffice Add-in en Codeplex
• BackTrust en las pruebas de compatibilidad de firma electrónica XAdES en ETSI
• XAdES Plugtest en ETSI
• XAdES/CAdES ETSI Plugtest
• Compatibilidad de soluciones de firma electrónica

Firma electrónica con el DNI electrónico en BlackBerry

El Mobile World Congress (MWC) acaba de cerrar sus puertas, tras cuatro días en los que Barcelona se convirtió en la capital del mundo de la movilidad. Según cifras de la organización, 67.000 visitantes de 205 países visitaron el evento.

Albalia ha estado presente, anunciando su solución de firma electrónica en dispositivos BlackBerry, mediante el DNI electrónico gracias al dispositivo SCR (Smart Card Reader) de RIM.

La aplicación de firma electrónica genera firmas XAdES-XL (y otras variantes de la norma TS 101 903) y en el caso del ejemplo que se muestra en el siguiente video, permite firmas de facturas electrónicas codificadas en formato facturae.

.

.

Pido disculpas por la calidad del vídeo, ya que ha sido una grabación improvisada. Próximamente prepararemos uno mejor

El desarrollo se ha realizado con total fidelidad a los criterios definidos en los perfiles del protección  (los requisitos que especifican una solución de seguridad, en este caso de creación y verificación de firma electrónica) del DNI electrónico en el marco de la certificación Common Criteria.

El desarrollo acometido es uno más entre la serie de dispositivos para los que ha desarrollado drivers de DNIe Albalia Interactiva. De esta forma Albalia Interactiva se consolida como la entidad que ha logrado implementar drivers de DNIe y sistemas de firmas en más plataformas: Móviles con Windows CE, Kioskos de Autoservicio, Cajeros Automáticos, Set Top Boxes de TDT interactiva, Smartphones con BlackBerry OS, entornos Linux con Tomcat y Websphere, entornos .net, entornos VSTO (extensiones de Office),  entornos Mainframe (zLinux y z/OS).

Otros artículos relacionados:

• Despliegue de DNI electrónico en Banca
• El DNI electrónico en todo tipo de dispositivos
• Firma electrónica en el teléfono móvil celular con Movistar
• Chaquetas Grabba para dispositivos móviles
• Kioskos ciudadanos
• Kioskos De Autoservicio Para eAdministración
• Lector de tarjeta chip (smart card reader) con interfaz SDIO (S300)
• Ayudas para la Certificación de Aplicaciones asociadas al DNI electrónico bajo Common Criteria
• El uso del DNI electrónico en la Televisión Digital Interactiva
• Albalia, uno de lo colaboradores privados para el fomento del uso del DNI electrónico
• INTECO difunde lo perfiles de protección Common Criteria del DNI electrónico
• Decodificadores TDT con MHP y lector de tarjeta chip

New remote Plugtests™ event for XAdES

ETSI’s Centre for Testing and Interoperability (CTI) is organizing a new remote Plugtests™ event for XAdES (XML Advanced Electronic Signature).

This event will run remotely from 14th March to 28th March 2012.

ETSI plays a key role in the development of electronic signature related standards, including Advanced Electronic Signatures like XAdES, CAdES, PAdES and ASiC.

The importance of XAdES has been clearly demonstrated by the increasing support legislation as well as by the increasing market support as more and more products report capability for supporting XAdES.

The XAdES 2012 Plugtests event aims to conduct interoperability test cases on XAdES signatures (TS 101 903), including the XAdES Baseline Profile (TS 103 171). This will include a set of specific test cases related to the standard XAdES providing full test coverage of the specifications.

This Plugtests event will enable participants to conduct 4 types of tests (Interoperability and Conformance):

• Generation and cross-verification tests.
• Only-verification (Negative) tests.
• Signature Upgrade tests
• Conformance testing on XAdES Baseline Profile signatures

The event will be run from 14th March to 28th March 2012 and are open to both ETSI members and non-members.

As this is a REMOTE event, there will be no need for the participants to travel to the ETSI premises and all signature exchanges and verifications will be performed via the dedicated portal.

All information related to this event along with registration details may be found at the following page: 

The event is open to XAdES software vendors as well as vendors of platforms offering XAdES signature production and/or verification capabilities. The event is also open to service providers offering XAdES signature production and/or verification capabilities as well as to Government agencies and private companies that are developers of generation and verification of XAdES signatures tools.

Hardware as a Service

Desde hace unos años EADTrust proporciona servicios DSS en modalidad SaaS (Software as a Service), o computación en la nube (Cloud Trust Services), actividad en la que ha sido pionera. Uno de los servicios prestados era el de sello de tiempo mediante el DSS Time-stamp profile, junto al más habitual servicio basado en el RFC 3161 .

El servicio funciona muy bien en usos esporádico de gestión de sellos de tiempo (por ejemplo, en el marco de la generación de firmas CAdES-XL y XAdES-XL en programas de escritorio), pero las entidades que hacen un uso intensivo del sellado de tiempo demandaron ya hace algo más de 2 años el suministro de hardware específico, instalado en sus centros de proceso de datos (equipos denominados TSU, time Stamping Unit), para disminuir la latencia de la red y manejar picos de transacciones con mejores garantías de disponibilidad. Aquellas TSU fueron las primeras unidades que concretaron el concepto de Hardware as a Service dentro de los servicios de EADTrust: Equipos desplegados en las instalaciones de los clientes pero gestionados bajo la responsabilidad del PSC (Prestador de Servicios de Certificación), en este caso la sección de TSA (Time Stamping Authority). 

Ahora, el resto de los servicios de OASIS Digital Signature Services (DSS) de EADTrust están también disponibles en modalidad DSSU (Digital Signature Services Unit), como equipamiento en las instalaciones de grandes consumidores de servicios de confianza, con funciones como VSU (Validation Service Unit), DSU (Digital Signature Unit) o EEMU (Electronic Evidence Management Unit). Ya es posible instalar una o más unidades de este tipo por centro de proceso de datos, con las ventajas de ser servicios gestionados de muy bajo impacto en la gestión de infraestructura de la entidad. Y con la ventaja de no tener que invertir en la adquisición de equipamiento y licencias, ya que se paga mediante reducidas cuotas mensuales, como corresponde a la filosofía de servicio.

Y sin riesgo de obsolescencia, ya que el prestador va renovando los equipos según evoluciona la tecnología, sin que la entidad usuaria deba preocuparse de nada.

Normas técnicas relativas a la firma electrónica

En el marco de ETSI (European Telecommunications Standards Institute) se han desarrollado diferentes normas técnicas relacionadas con la firma electrónica que conviene conocer.

Las incluyo en la siguiente tabla:

Standard	Título del Standard
TS 101 733	CMS Advanced Electronic Signatures (CAdES)
TS 102 734	Profiles of CMS Advanced Electronic Signatures based on TS 101 733 (CAdES)
TS 101 903	XML Advanced Electronic Signatures (XAdES)
TS 102 904	Profiles of XML Advanced Electronic Signatures based on TS 101 903 (XAdES)
TS 102 778-1	PDF Advanced Electronic Signature Profiles; Part 1: PAdES Overview – a framework document for PAdES
TS 102 778-2	PDF Advanced Electronic Signature Profiles; Part 2: PAdES Basic – Profile based on ISO 32000-1
TS 102 778-3	PDF Advanced Electronic Signature Profiles; Part 3: PAdES Enhanced – PAdES-BES and PAdES-EPES Profiles
TS 102 778-4	PDF Advanced Electronic Signature Profiles; Part 4: PAdES Long Term – PAdES LTV Profile
TS 102 778-5	PDF Advanced Electronic Signature Profiles; Part 5: PAdES for XML Content – Profiles for XAdES signatures
TR 102 047	International Harmonization of Electronic Signature Formats
TR 102 438	Application of Electronic Signature Standards in Europe
TR 102 605	Registered E-Mail
TS 102 640-1	Registered Electronic Mail (REM); Architecture, Formats and Policies; Part 1: Architecture
TS 102 640-2	Registered Electronic Mail (REM); Architecture, Formats and Policies; Part 2: Data Requirements and Formats for Signed Evidences for REM
TS 102 640-3	Registered Electronic Mail (REM); Architecture, Formats and Policies; Part 3: Information Security Policy Requirements for REM Management Domains
TS 102 231	Provision of harmonized Trust-service status information
TS 101 861	Time stamping profile
TS 101 862	Qualified Certificate profile
TR 102 272	ASN.1 format for signature policies
TS 102 280	X.509 V.3 Certificate Profile for Certificates Issued to Natural Persons
TS 101 456	Policy requirements for certification authorities issuing qualified certificates
TR 102 437	Guidance on TS 101 456 (Policy Requirements for certification authorities issuing qualified certificates)
TR 102 458	Mapping Comparison Matrix between the US Federal Bridge CA Certificate Policy and the European Qualified Certificate Policy (TS 101 456)
TS 102 023	Policy requirements for time-stamping authorities
TR 102 040	International Harmonization of Policy Requirements for CAs issuing Certificates
TS 102 042	Policy requirements for certification authorities issuing public key certificates
TS 102 158	Policy requirements for Certification Service Providers issuing attribute certificates usable with Qualified certificates
TR 102 572	Best Practices for handling electronic signatures and signed data for digital accounting
TS 102 573	Policy requirements for trust service providers signing and/or storing data for digital accounting
TS 102 176-1	Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms
TS 102 176-2	Algorithms and Parameters for Secure Electronic Signatures; Part 2: Secure channel protocols and algorithms for signature creation devices

 

 

Firma electrónica en EDITRAN, Pelican, SwiftNet

Aunque las versiones de PC de EDITRAN permiten desde hace varios años generar y comprobar firmas PKCS#7 (la forma primitiva de las firmas CMS avanzadas que hoy en dia se extienden desde la CAdES-BES hasta la CAdES-A), en la actualidad los estándares de firma electrónica han evolucionado y se han consolidado especialmente en torno a las especificaciones CAdES y XAdES, y no existe soporte del fabricante de EDITRAN para estos tipos de firma.

Esto lo vemos en Albalia como una oportunidad para nuestras soluciones de firma electrónica multiplataforma (BackTrust)  que funcionan en entornos Mainframe (zLinux y z/OS, con soporte de la última versión de la arquitectura de IBM: zEnterprise), en entornos Solaris, HP-UX, AIX y diferentes variantes de Linux y BSD en diferentes plataformas, en entornos Windows Server (con una implementación .net nativa, o con un porting java, a aelegir por el cliente).

Efectivamente, sea cual sea la versión del sistema de intercambio de ficheros (ftp, sftp, ftps, EDITRAN, Pelican /Inter.Pel / XFB / CFT, SwiftNet-FileAct) o de los sistemas de mensajería (MQ-Series, SwiftNet-InterAct), la gestión multiplataforma de la firma electrónica avanzada (AdES) se resuelve mejor con la versión de BackTrust apropiada.

Además, la posibilidad de utilizar protocolos como OASIS DSS, APIs (Aplication program Interface) y Wrappers, permite gestionar las firmas electrónicas desde diferentes lenguajes de programación.

Otros artículos relacionados:

• CAdES y XAdES en los ficheros de la TGSS
• Infraestructura técnica de IBERCLEAR
• EDITRAN y la Firma Electrónica
• Transacciones electrónicas Business to Business (B2B) 

CAdES y XAdES en los ficheros de la TGSS

Las entidades que utilizan EDITRAN y que reciben ficheros de la TGSS (Tesorería General de la Seguridad Social) ya tienen la posibilidad de comprobarlos cuando están firmados en base a los formatos CAdES (TS 101 733) y XAdES (TS 101 903).

La solución zBackTrust es la adecuada para implementaciones en Mainframe IBM, la solución BackTrust se instala en sistemas medios y el appliance xBackTrust permite un depliegue rápido.

Además los servicios de Albalia permiten resolver rápidamente los retos de despliegue. Todo ello con la garantía de INSA e IBM.

Conviene valorar si en la entidad financiera existen dispositivos HSM (Hardware Security Module) porque en ese caso, pueden reprovecharse, para uniformizar la gestión de claves, certificados y firmas electrónicas.

SOA – Service Oriented Architecture y la firma electrónica

Las instituciones, organismos públicos y grandes empresas, usan cada vez más la firma electrónica, por los grandes ahorros que promueve, la eficiencia que añade a los procesos, y por prescripcion legal.

Con 25 millones de DNI electrónicos y casi 5 millones de otros certificados cualificados, se utiliza para identificar y establecer la prestación del consentimiento en miles de documentos electrónicos. Las firmas automatizadas requieren infraestructuras comunes y la mera gestión de políticas de firma hace recomendable en ocasiones utilizar sistemas de firma centralizados aunque los usuarios trabajen en puestos distribuidos en le organzación.

Servicios de gestión centralizada de firmas electrónicas y servicios conexos que forman parte de la arquitectura tecnológica de las organizaciones  se emplean cada vez más, también para garantizar una funcionalidad fluida que no dependa de las múltiples configuraciones de los equipos de los usuarios. La diversidad de equipamientos es con frecuencia causa de fallos de funcionamiento.

Entre los servicios que despliegan las organizaciones, cabe citar los siguientes:

• Servicios de Firma (DSS).  El servicio de firma automatizada permite firmar documentos XML y PDF, respectivamente con firmas XAdES y PAdES. Los documentos de otro tipo pueden encapsularse en firmas CAdES o firmas XAdES, si bien requerirán de servicios de comprobación compatibles con la técnica de encapsulado.  Este servicio permite también  verificar las firmas de documentos ya firmados. El servicio permite utilizar diferentes claves y certificados, asociados a diferentes políticas, que se gestionan de forma centralizada en un HSM (Hardware Security Module). Se usa, por ejemplo, para automizar el uso de los sellos de órgano.
• Servicio de Sellado de Tiempo. Este servicio emite y verifica sellos de tiempo sobre protocolo RFC 3161 y (o)  webservice (DSS). Si se usa con un certificado de TSU de una CA apropiada, en el marco de un acuerdo de gestión, estos sellos de tiempo pueden tener valor legal.  El sistema permite sincronización mediante NTP (accediendo a ROA), GPS y DCF77.
• Servicio de Validación de Certificados. Este servicio permite comprobar la validez de un certificado y extraer la información contenida en él, relativa al titular del mismo (nombre y apellidos, NIF/CIF, ….). Para ello hace uso de consultas OCSP o consultas de certificados revocados según el protocolo definido por la AEAT (ycaestec).
• Servicio de Copia. Este servicio añade información gráfica (Código QR o PDF 417) relativa a una firma electrónica sobre una copia constatable de un documento electrónico (albalá), facilitando así posteriores procesos de comprobación de documentos electrónicos impresos.
• Servicio de Potestades. Este servicio permite gestionar y comprobar atribuciones en un marco de gestión de políticas de firma, o en relación con flujos de proceso (worlflows) de diferentes roles del organismo (cargos administrativos, firmantes finales por nombramiento oficial, responsables, apoderados, …).
• Servicio de Custodia. Este servicio permite almacenar y recuperar documentos almacenados en el Sistema de Constancias (Cartulario). Existen varios tipos de custodia con diferentes restricciones de acceso (o sin restricciones). Se utiliza el concepto de Código Seguro de Verificación.
• Servicio de Interconexión con otras Redes. Este servicio permite obtener información de validación de certificados y otras informaciones de redes asociadas. En particular existen integraciones con la Red SARA.
• Servicios de validación de esquemas. Relacionados con documentos intercambiados, frecuentemente en formato XML se trata de validar la correcta formación de los documentos y la cumplimentación de su contenido. Por ejemplo el formato factuare en el caso de las facturas electrónicas.
• Servicio de Publicación Fehaciente. Este servicio permite obtener certificados que acrediten fehacientemente el momento en el que los documentos son publicados en una Sede Electrónica. Utiliza el sistema de sello de tiempo y permite cumplir el artículo 42 de la Ley de Contratos del Sector Público (en el caso de las administraciones públicas) o la normativa de publicación de convocatorias de juntas de la Ley de Sociedades de Capital (en el caso del sector privado).

Además hay servicios adicionales que proporcionan funcionalidades localizadas en sistemas cliente o servidor, accesibles por otros programas:

• Ejecutable de firma en cliente: permite la firma de documentos por parte de un usuario, haciendo uso de su clave y sucertificado digital. Existen variantes como por ejemplo el de  firmador java (websigner) y el de firmador de escritorio.
• Módulos que desarrollan las funcionalidades en forma de API (SDK) para ser invocadas por otras aplicaciones en entorno cliente o en entorno servidor.

Estos conceptos pueden extenderse y se tratan enel Seminario Firma Electrónica en Arquitectura SOA. Os invito a inscribiros.

Firma Electrónica en Arquitectura SOA

El 17 de Noviembre de 2011  se celebrará en Madrid el curso de “Firma Electrónica en Arquitecturas SOA. Servicios PKI”, que impartiré junto con Fernando Pino. Lo organiza Atenea Interactiva.

Una excelente oportunidad para conocer como se gestiona la firma electrónica en servidor para poder aplicar de forma segura las políticas de firma de la empresa o de las administraciones públicas. Ahorros significativos de costes y optimización de la seguridad respecto al uso de tarjetas de firma electrónica que se comparten o se pierden. Y con las mejores prácticas para la gestión de firmas electrónicas  automatizadas.

Programa del Seminario Firma Electrónica en Arquitectura SOA

1. Service-oriented Architecture

• Iniciación a SOA
• Descripción de entornos típicos de SOA

2. Cumplimiento de obligaciones con SOA

• Sector Privado: cumplimiento de las obligaciones de Interlocución Telemática de la Ley 56/2007 con SOA
• Sector Público: cumplimiento de las obligaciones de Administración Electrónica de la Ley 11/2007 con SOA
• Factura electrónica firmada.

3. Conceptos de Firma Electrónica y PKI

• Propiedad de la Firma Electrónica
• Conceptos Criptográficos
• Los Certificados Electrónicos. Tipos
• El proceso de Firma Electrónica
• Legislación

4. La Firma Electrónica como elemento de Arquitectura

• La Firma Electrónica como servicio
• Servidores de Firma y Validación
• Repositorios de claves centralizadas
• Despliegue de PKIs internas
• Dispositivos criptográficos. HSM

5. Servicios avanzados de PKI

• Firmas remotas y “upgrade” de firmas
• Servicios de Validación de firmas y certificados centralizados. CRL, OCSP, SCVP
• Servicios de Sellado de Tiempo
• Firma en entornos móviles: posibles enfoques
• Firma manuscrita digitalizada y servicios PKI avanzados. Unión necesaria

6. Formatos y estándares de firma

• Tipos de Firma “legales”
• Formatos básicos
• Formatos AdES. XAdES, CAdES y PAdES
• Estándar DSS (Digital Signature Services). Descripción y perfiles
• Firmas longevas, la importancia de la firma en la conservación de documentos
• La importancia de las políticas de firma

7. Firma e Identidad Electrónica en las Administraciones Públicas

• La Firma Electrónica en la Ley 11/2007, el ENI y el ENS. Norma CCN-STIC-807
• Procesos de firma automatizados. Sello de órgano y CSV
• Servicios de Firma y Validación disponibles para Administraciones Públicas
• Identidad Digital y Administración Pública
• Políticas de firma en las AAPP. Descripción y Diseño
• Interoperabilidad. TSLs. Proyecto Stork