EADTrust es la denominación del conjunto de servicios on-line que impulsa Albalia, relacionados con la firma electrónica, la factura electrónica y la administración electrónica. Entre los servicios disponibles están los relacionados con el sellado de tiempo (timestamping) tan necesarios en los servicios de autenticidad de la sociedad de la información.
Desde hace unos dias hemos liberado la funcionalidad DSS (Digital Signature Service) que permite firmar electrónicamente y verificar firmas electrónicas de forma remota. Esta funcionalidad va a quedar a disposición de los integradores que van a poder desarrollar servicios cliente DSS sin coste alguno.
El entorno que ahora se publica cuenta con algunas restricciones que no se aplicarán a los servicios comerciales: solo gestionará firmas XAdES X-L , no se permitirán frecuencias de consulta o peticiones de servicio superiores a 10 por minuto, la TSA utilizada es la propia de EADTrust, los servicios de validación no son configurables.
La especificación DSS (Digital Signature Services) alcanzó el nivel de Standard de OASIS en junio de 2007, en su versión 1.0. Esta especificación simplifica la gestión de las firmas electrónicas en las organizaciones, permitiendo la definición de modelos de gestión centrados en servidores que se alinean con las arquitecturas de sistemas más avanzadas. Las claves privadas se pueden gestionar de forma segura en entornos centralizados y puede evitarse la dispersión de material criptográfico en los ordenadores individuales de los usuarios, robusteciendo la política de seguridad mientras se saca partido a las múltiples funcionalidades de la firma electrónica.
DSS describe dos protocolos de tipo petición/respuesta basados en XML, uno para generar firmas electrónicas y otro para verificarlas. Al usar estos protocolos, un cliente puede enviar documentos al servidor y obtener el documento firmado electrónicamente, o enviar un documento firmado al servidor y obtener los datos de la comprobación de la firma electrónica.
DSS da cobertura a diferentes tipos de firmas electrónicas, como las basadas en XML and CMS. Se desarrolla sobre un núcleo de elementos y procedimientos que pueden perfilarse para proporcionar determinadas funciones como time-stamping (incluyendo los basados en XML), validaciones de vigencia de certificados de múltiples prestadores de servicios de certificación, sellos corporativos, sellos de sede electrónica, marcas de notificación o publicación fehaciente, o firma de código ejecutable.
El estándar DSS de OASIS se desarrolló gracias al esfuerzo de reprerentantes de la American Bar Association, Cancillería Federal de Austria, BEA Systems, CATCert-Agencia Catalana de Certificacio, IBM, Nokia, Universal Postal Union, y otros.
Estos servicios representan la posibilidad de que el sector privado pueda disfrutar de servicios equivalentes a los que proporciona la herramienta @firma del MAP y de la Junta de Andalucía, o PSIS (Plataforma de Servicios de Identificación y firma) de CatCert en el sector público, pero actualizados a las versiones más recientes de los estándares técnicos. También en muchos organismos del ámbito público pueden preferir el uso de EADTrust al de @firma, dependiendo de cuales sean sus necesidades en relación con la firma electrónica.
Algo muy necesario en el marco de las obligaciones marcadas por la Ley 11/2007 y la Ley 30/2007 para el sector público y la Let 22/2007 y la Ley 56/2007.
Todo es electrónico 
Pingback: Certificados duales RSA – ECC (enmarcados en el ENS) « Todo es electrónico
Pingback: Cambio de hora « Todo es electrónico
Pingback: Firma electrónica con OASIS DSS « Todo es electrónico
Hola
Estoy programando una solucion de verificacion de firma XADES-XL para mi empresa, estoy utilizando las librerias de jxades y las que facilita el ministerio en su portal de firma electrónica.
El caso es que estaba funcionando genial con archivos pequeños pero en cuando he pasado uno grande el tiempo de validacion se me dispara a 20 minutos por firma….
He visto la opcion del DSS online que vais a liberar, estoy muy interesado en realizar algunas pruebas y para ver si es problema mío o es que efectivamente tiene que tardar tando en validar las firmas.
¿podriais hacerme el gran favor de poneros en contacto con mi mail para realizar una validacion (con una me vale) y asi intentar ver donde estoy fallando?
Muchisimas gracias de antemano.
Echa un vistazo a este post:
https://inza.wordpress.com/2009/01/18/como-comprobar-firmas-xades-xl/
Estos protocolos y dispositivos son realmente útiles, en primer lugar para simplificar la generación y validación de firmas avanzadas en general (lo que incluye sellos de tiempo, firmas de órgano como dices, etc.). No cabe duda de que es una muy buena opción y deberían tenerse en cuenta y utilizarse.
Sin embargo, respecto al DSCF, como bien sabes, la Ley 59/2003, en su art. 24, dice textualmente en su apartado c)
«Que los datos de creación de firma pueden ser protegidos de forma fiable por el firmante contra su utilización por terceros». De aquí proviene mi duda inicial.
Inclúyase en «terceros» al propio interesado, el programador de la solución, el responsable del departamento de Sistemas, el fabricante del DSCF y cualquiera que tenga acceso autorizado y legítimo al sistema de control del HSM, etc.
En mi opinión, personalmente creo que estos dispositivos y protocolos son suficientemente seguros y más aún que un CSP basado en software. No obstante, el control absoluto de la clave privada sólo puede estar vinculada a un dispositivo desconectable del sistema, cuya conexión y desconexión dependa de la voluntad del titular del certificado (como una tarjeta inteligente o un token usb). Por ello personalmente tengo mis reservas en cuanto a si estos dispositivos pueden generar firmas reconocidas según nuestra legislación actual (y no la alemana).
¿Puedes aclararme si una solución como la vuestra puede garantizar que la clave privada no podrá ser usada sin conocimiento del titular? (Ojo, no basta con que quede rastro, es que no debe permitirlo pues puede ser demasiado tarde cuando se detecte la infracción).
Nota: para cuándo la constitución de un Órgano Consultivo que de respuestas vinculantes a este tipo de cuestiones de interpretación de la Ley.
La clave está bajo control exclusivo del titular, que es lo que determina la ley.
Hay matices entre «absoluto» y «exclusivo».
El hecho de que se cuente con una infraestructura SOA influye de forma determinante en la arquitectura de soluciones, permitiendo la firma por órgano administrativo y las firma automatizadas, sin renunciar a las firmas individuales.
Además de hace uso de un HSM (Hardware Security Module) lo que permite satisfacer la exigencia de algunos tipos de firma de basarse en un DSCF (Dispositivo Seguro de Creación de Firma).
Una duda: ¿la clave privada del firmante está bajo control absoluto según este esquema?