Compatibilidad de soluciones de firma electrónica


Estos dias se celebra un nuevo evento de interoperabilidad en ETSI y aparte de Safelayer la única otra empresa española participante es Albalia Interactiva. Ciertamente, el club es muy exclusivo.

Es un esfuerzo muy grande el que requiere la participación en estos eventos, pero a cambio las empresas participantes tienen una visión muy clara de la compatibilidad de sus productos de firma electrónica con los de las entidades líderes del resto del mundo.

Este gráfico da una idea de la participación en este evento.

Procedencia de los participantes en XAdES/CAsES Plugtest de febrero de 2009

Procedencia de los participantes en XAdES/CAsES Plugtest de febrero de 2009

Y este otro muestra la evolución en los últimos eventos de comprobación de compatibilidad de las firmas electrónicas:

Evolución de la participación en los últimos eventos XAdES Plugtest de ETSI

14 comentarios en “Compatibilidad de soluciones de firma electrónica

  1. Pingback: Firma electrónica en zEnterprise EC12 « Todo es electrónico

  2. Pingback: Caixa Galicia, caso de éxito « Todo es electrónico

  3. Pingback: Crypto Express3 en zEnterprise « Todo es electrónico

  4. Pingback: zBackTrust en Caixa Galicia « Todo es electrónico

  5. Pingback: 10 años de Linux en System z. Madrid, 26 de Mayo « Todo es electrónico

  6. Pingback: Caixa Galicia impulsa la tecnología financiera « Todo es electrónico

  7. Pingback: Albalia es Advanced Partner de IBM « Todo es electrónico

  8. Pingback: Características de zBackTrust « Todo es electrónico

  9. inza Autor

    No es posible revelar los nombres de los participantes a no ser que esa información la proporcionen ellos mismos, ya que todos tenemos que firmar un NDA (como este: http://www.etsi.org/plugtests/xades/NDA.pdf).

    No obstante, en el Plugtest anterior apareción la conveniencia de proporcionar esta información y varios participantes dieron permiso para publicar sus nombres asociado a este evento.

    Estos son los nombres de algunas de las organizaciones que participaron en el plugtest de septiembre de 2008:

    Intervencion General de la Administracion del Estado (IGAE) – Spain
    Albalia Interactiva (our company) – Spain
    A-SIT (IAIK) – Austria
    Dictao S.A.- France
    Entrust Japan Co., Ltd.- Japan
    Polysys – Hungary
    SAFELAYER Secure Communications S.A. – Spain
    Universitat Politècnica de Catalunya – Spain

    Estos participantes, junto con el resto (sin que se revelen sus nombres) se reflejan en el informe:

    Haz clic para acceder a FinalReport-2ndRemoteXAdESPlugtest-200809.pdf

    Responder
  10. inza Autor

    Gracias Ramiro,

    Ya sabes que yo valoro mucho lo que hacéis en AYTOS, y ahora que estais en la órbita SAGE estoy convencido de que aumenta vuestro potencial.

    Por nuestra parte, peldaño a peldaño vamos escalando pequeños logros y creo sinceramente que hemos pasado a ser una referencia en firma y factura electrónica en España, aunque sigamos siendo una PYME.

    Así que si hay posibilidad de colaborar, nosotros encantados. Intentamos ser buenos partners de nuestros partners.

    Responder
  11. Ramiro

    Dejando a parte la adopción de los formatos avanzados de firma y las problemáticas de unos y otros, no cabe duda de que el reconocimiento y las experiencias que saquéis de este laboratorio son muy interesantes y a tener en cuenta a la hora de elegir un partner tecnológico Julián !!

    Responder
  12. Ramiro

    Estimado Julián,

    La cuestión de fondo es que 3 empresas no son representativas del entorno TIC en España, salvo que me hables de SAGE (mi empresa, que cubre el 99% de software de gestión de la PYME), Microsoft, SUN, Oracle, SAP, etc.

    No pretendía poner en duda el valor de estos marcos de laboratorio. Sólo poner sobre la mesa que la adopción de XADES o CADES se puede medir a cuenta gotas en comparación con CMS/PKCS7 (ojo, nosotros soportamos todos los formatos de firma existentes, con y sin HSM, y sin embargo cuando se trata de obtener tokens de validación de firma nos encontramos con que XADES es un problema).

    Saludos.

    Responder
  13. inza Autor

    Ramiro,

    Las empresas son más que las que calculas, porque en el caso de España hay que contar también con que uno de los miembros del equipo de pruebas anfitrión es también español. Por tanto hay 3 españoles, en total. No doy muchos datos porque en el marco del NDA que hemos firmado hay ciertas limitaciones a la información que se puede hacer pública.

    Y en mi opinión no es un fracaso del XAdES sino un éxito. En el caso del CAdES, esta es la primera vez que se incluye en los PlugTest remotos y el nivel de madurez de los productos no es tan alto como en el XAdES. No confundamos CAdES con simple CMS o PKCS#7. Aquí estamos hablando de considerar todas las varianes de AdES-C, AdES-T. AdES-X, AdES-XL y AdES-A.

    Por otro lado las implementaciones se chequean contra el resto y con un repaso minucioso de la especificación, proponiendo, en ocasiones revisiones a la especificación que se tendrán que analizar entre los miembros del grupo de trabajo encargado de su mantenimiento.

    Es cierto que es un encuentro de especialistas con escasa representación norteamericana, pero se justifica porque el desarrollo de la normativa de firma electrónica se ha producido en Europa y Japón, lo que incluye la adopción de los estándares adecuados.

    Hay pocos representantes americanos en ETSI (European Telecommunications Standards Institute) y su influencia en la especificación GSM (por ejemplo) ha sido pequeña. Sin embargo, creo que no se puede negar el éxito mundial del estándar GSM aunque en un principio quienes lo adoptaron fueron operadores europeos.

    Con la firma electrónica pasa algo parecido y los estándares ETSI van pasando, poco a poco a representaciones IETF como se comprueba en la RFC 5126.

    En definitiva, en mi opinión, los participantes en estos plugtest están en mejor disposición de afirmar que sus productos de firma electrónica son más compatibles, o que sus productos de verificación de firma electrónica son más compatibles, que los del resto de desarrolladores.

    Responder
  14. Ramiro

    No me cuadran muy bien los datos, aunque si es cierto que por parte de España únicamente participan 2 empresas creo que los datos hablan por sí sólos. Con un 17.7% en España, Japón y Francia, estaríamos contando con 6 empresas y en el resto 1 por país.

    Sería un claro ejemplo del fracaso de la especificación XML XADES (fracado en cuanto a su adopción) puesto que los grandes players de plataformas (Microsoft, SUN, Oracle, Mozilla, Google, …) no han abordado su inclusión de facto en sus correspondientes frameworks. Son ellos los que deberían ponerse de acuerdo en un pilar tan fundamental como éste.

    Por contra, empresas de distinta envergadura y diversos ámbitos nos hemos tenido que lanzar a la aventura de desarrollar estos componentes, lo que ha producido un mercado extremadamente fragmentado en cuanto a soluciones que soportan XADES y sus variantes, lo que no ha ocurrido con CMS/PKC7 por ejemplo.

    Y por otro lado, muchas entidades de certificación aún no se han puesto al día en este sentido al 100% lo que produce una cierta inquietud en cuanto al reconocimiento y validez de la sintaxis de estas firmas. Quien sabe si dentro de un tiempo descubres que te falta o sobra un campo XML, que curiosamente en ese entorno de pruebas nadie se había percatado, o bien esta firma pertenece a una versión del estándar que ya no se soporta.

    Parafraseando el título de tu blog Julián, yo diría que «Cada vez más, en la vida conviven Especificación e Implementación». Ésto es una tendencia observable en las recientes leyes de administración electrónica, cada vez más instrumentalistas.

    Por último, la variante XADES-A en mi opinión es extremadamente compleja de implementar y mantener. Sería oportuno que fuese tenida en cuenta por parte de archivos en modo SaaS respaldados al menos por las entidades de certificación, no por iniciativas locales. Yo hecho en falta la constitución legal y técnica de Entidades de Archivo, que implementen incluso mecanismos que faciliten la aportación y recuperación de pruebas periciales o bien que sean autoridades en el campo de la custodia electrónica, al igual que lo son las Entidades de Certificación en cuanto a identidad.

    Responder

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.