Archivo de la categoría: Aplicaciones móviles

Electronic signatures in EU Digital COVID Certificates, based on qualified certificates issued by #EIDAS Certification Authorities


To configure DGCG (Digital Green Certificate Gateway) in Digital COVID Certificate project, participating countries provide information regarding Public Key of the certificate of CSCA (Certificate Signing Certificate Authority). Spain uses a ECC #eIDAS Sub-CA as CSCA.

CSCA, as defined in the DGC project, requires the CSCA cert to include the country field for which the CSCA is valid. However, #EIDAS certificates are intended for cross-border interoperability, so the country field in the CA cert is irrelevant to countries in which it is valid.

DGC technical documents should be changed so CSCA of one country could be serviced from a CA in other country. So #EIDAS certification authorities could provide DSC certificates to health bodies in any country. The same principle should be extended to WHO technical documents.

Extended key Usage Identifiers could be present with some information in #EIDAS certificates, so the explanation that the DSC may contain an extended key usage extension with zero or more key usage policy identifiers that constrain the types of HCERTs such DSC certificate may sign, should consider other OIDs as “not present” if the eHealth application doesn´t understand them.

If one or more of the special DGC OIDs are present, the verifiers SHALL verify the extended key usage against the stored HCERT.

In absence of any key usage extension of the special DGC OIDs (i.e. no such special DGC OIDs extensions), the related DSC certificate can be used to sign any type of HCERT.

So, in #EIDAS DSC certificates to be used to electronically sign HCERT, the following OIDs can be used in Extended Key Usage extension fields:

  • OID 1.3.6.1.4.1.1847.2021.1.1 — valid for test
  • OID 1.3.6.1.4.1.1847.2021.1.2 — valid for vaccinations
  • OID 1.3.6.1.4.1.1847.2021.1.3 — valid for recovery

This OIDs can be present if the related EU Digital COVID Certificate is restricted to one of two kind of certificates. If all 3 are included (or none of them) the related EU Digital COVID Certificate is NOT restricted and can reflect any of the three options.

Uso de certificados electrónicos para la firma electrónica de certificados verdes digitales


Se recogen seguidamente varias recomendaciones, basadas en documentos publicados por la Comisión Europea en relación con la arquitectura de seguridad de los “pasaportes COVID”, o “Certificados Verdes Digitales” (CVD) que es su actual denominación.

La información de este artículo puede entenderse mejor en relación con el que publiqué hace unos días: El “Certificado Verde Digital” para circular en tiempos de pandemia COVID-19 dentro de la UE.

La información recogida en este artículo está especialmente enfocada a las entidades españolas que participan en el proyecto y pretende aclarar algunas dudas sobre el uso de certificados.

Tipos de certificados a utilizar.

Las entidades deben disponer de un certificado basado en criptografía de curva elíptica con tamaño de clave de 256 bits, y es deseable que tengan también otro certificado basado en criptografía RSA, con tamaño de clave de 2048 bits para situaciones de contingencia. Esta recomendación se indica en las páginas 5 y 6 del documento “Guidelines on Technical Specifications for Digital Green Certificates – Volume 1

En España, es recomendable que, en el caso de las administraciones públicas, se utilicen certificados cualificados de sello de órgano del tipo indicado (ECC o RSA). Las entidades privadas deberían optar por un certificado de sello electrónico para persona jurídica. Estos certificados se denominan “Document Signing Certificates (DSCs)” en los documentos técnicos del proyecto. La codificación de caracteres debe basarse en el formato UTF-8. Con esta codificación no debería haber problema con los acentos de los nombres de los organismos en el campo “Common Name”, “Organization”, “Organization Unit” aunque teniendo en cuenta que es un proyecto internacional puede ser más sencillo para usuarios de otros países si no se usan acentos.

España ya tiene definida la CSCA (Certificate Signing Certificate Authority) para la emisión de certificados. Las entidades que emitan certificados digitales de vacunación, de pruebas diagnósticas de estar o haber estado infectado por COVID-19, o de haber superado la dolencia, deberían contactar con el Ministerio de Sanidad para coordinar su participación. La CSCA española está basada en certificados cualificados EIDAS, con una arquitectura diferente a la orientada a los sistemas eMRTD (electronic Machine Readable Travel Documents) de ICAO que inspiraron inicialmente el modelo de PKI adoptado para el “Digital Green certificate”.

Cada país tiene flexibilidad para definir el modelo de confianza que adoptará, pudiendo incluso tener más de una CSCA.

Se recomienda que las entidades firmantes de certificados HCERT (Electronic Health Certificate Container, denominación que aplica a los certificados verdes digitales, junto con DGC, Digital Green Certificate) utilicen dispositivos HSM para la custodia de claves privadas.

En las firmas realizadas con el DSC sobre el HCERT se debe incluir el dato “Expiration time” que indica la fecha límite en la que se acepta el certificado verde digital por quienes comprueban sus datos (en trámites fronterizos o de otro tipo). Esta fecha debe ser menor que la fecha de expiración del DSC. Ver página 6 del documento indicado anteriormente.

También se incluye el campo “Issued At“. Esta fecha es la de emisión de certificado y no puede ser anterior a la fecha de emisión del DSC. Ver página 6 del documento indicado anteriormente.

Existe una recomendación que sugiere adquirir certificados DSC de 2 años y utilizarlos por 6 meses para firmar los HCERT. No obstante, si se limita la validez de los HCERT a 6 meses, los DSC de 2 años se podrían utilizar durante 18 meses.

Contacte con el +34 91 716 0555 si necesita información adicional.

Sandbox regulatorio: Una oportunidad de negocio


Sabadell-Hub-EmpresaEl próximo 6 de julio a las 17:30h tedrá lugar un evento online impulsado por el Colegio Oficial de Ingenieros de Telecomunicación Región de Murcia y el Hub Empresa de Banco Sabadell, con el título Sandbox regulatorio: Una oportunidad de negocio.

Hay que inscribirse en este enlace.

Colegio de Ingenieros de Teleco - MurciaEn esta sesión hablaremos del Sandbox regulatorio como punta de lanza de la creación de un nuevo modelo de negocio que aflora infinidad de oportunidades empresariales.

En esta sesión, moderada por Fernando Canos, Director Comercial Territorial Este en Banco Sabadell, contaremos con las siguientes intervenciones:

  • Denis Nakagaki, Head of Digital Strategy and Partnerships de Innocells by Banco Sabadell: “Sandbox regulatorio como palanca para acelerar la innovación y acompañar mejor a nuestros clientes
  • Juan Luis Pedreño, Decano del Colegio de Ingenieros de Telecomunicación Región de Murcia, Catedrático de la Universidad Politécnica de Cartagena y Diputado Nacional en el Congreso de los Diputados: “Sandbox regulatorio en España, atracción de proyectos para el desarrollo de la Transformación Digital” –
  • Julian Inza, Chief Audit Officer de TCAB (Trust Conformity Assessment Body): “Sandbox regulatorio para mejorar la competitividad de la innovación Fintech, Insurtech, Regtech, Suptech desde España”.

Amadeus cytric Travel & Expense – Digitalización Certificada


cytric_LogoAmadeus cytric Travel & Expense es una plataforma global para gestión de viajes y gastos orientado a dar servicio a grandes empresas que facilita a los empleados de estas entidades, que viajan por necesidades de negocio, la gestión de forma rápida y sencilla de sus gastos de viaje.

La plataforma permite la reserva online flexible para vuelos, trenes, habitaciones de hotel, alquiler de coches, taxis y traslados, incluida una gama completa de familias de tarifas aéreas y servicios complementarios.

Integra las transacciones realizadas con tarjeta de crédito en el proceso de capturar y revisar los tickets, facturas simplificadas y facturas completas, con una experiencia de usuario sencilla y rápida, que permite presentar hojas de gastos sin demora y agilizar su cobro teniendo en cuenta los recibos y las dietas, según el marco fiscal aplicable al viajero, así como las reglas de negocio propias de su empresa.

Con la aplicación de móvil de cytric, los empleados de una empresa que tienen que viajar, pueden buscar y reservar viajes y alojamientos, revisar sus itinerarios, presentar sus gastos online, acceder a contactos y servicios locales, obtener recibos de gastos, y aprobar o rechazar solicitudes de viajes y de reembolso de gastos.

Optimiza el flujo de trabajo de la agencia de viajes de negocios seleccionada con reglas de validación, registros de auditoría, notificaciones, recordatorios e hilos de discusión automatizados que ayudan a todos los roles involucrados en el proceso de viaje, incluidos viajeros, autorizadores, auditores y contables.

Amadeus ha confiado en EADTrust para realizar la auditoría de Digitalización Certificada de su solución cytric Travel & Expense – Certified Digitization Engine y la ha presentado a la Agencia Tributaria que resolverá sobre la concesión de la Homologación a la plataforma. Un equipo multidisciplinar coordinado con profesionales situados en varios países ha dado forma a un motor de digitalización integrado en la plataforma que permite cumplir con todos los requisitos de la Norma EHA/962/2007 de 10 de abril y la Resolución de 24 de octubre de 2007 de la Agencia Estatal de Administración Tributaria española.

 

Aplicaciones y servicios móviles, resumen de tecnologías disponibles.


En este artículo se describen diferentes tecnologías que permiten prestar servicios móviles. Algunas son aplicables a “feature phones”, es decir, teléfonos clásicos de pocas prestaciones, y otras a “smart phones”, es decir, teléfonos con soporte de internet y posibilidad de instalar miniaplicaciones informáticas.

Los teléfonos móviles soportan varias tecnologías de comunicaciones:

  • Voz (automatizable por VRU-Voice Response Unit). En ellos es posible la Identifcación mdiente “Caller ID”
  • SMS (Short Message Service). Hasta 160 caracteres pero encadenables. Incluye opción de gestión de acuse de recibo de entrega del SMS al dispositivo (cuando se enciende, por ejemplo). Además existe soporte de SMS en tecnología SIM Toolkit.
  • USSD (Unstructured Supplementary Service Data). Mensajería especial. Los comandos se parecen a esta secuencia: *148*1*23#
  • Comunicaciones de tipo Internet, por lo que se soportan aplicaciones diversas, entre ellas correo electrónico y navegación Web. O APP específicas

La tecnología móvil se usa como reforzador de la gestión de identidad digital (identificación y autenticación), basándose en los elementos “algo que tienes” (el propio dispositivo) y “algo que sabes” (el PIN que solicita el móvil al arrancar, vinculado a la SIM).

Además se usan modalidades complementarias de refuerzo de gestión de identidad basadas en histórico de acciones y aplicaciones vinculadas. Por ejemplo, identidad Apple, Identidad Google, Identidad Microsoft, identidad redes sociales (facebook, twitter, Foursquare, Viber, linkedin,…). La tecnología más extendida para el refuerzo de identidad y confianza transitiva es OAuth 2.0 (futuras mejoras previstas con la tecnología PKSE – Proof Key for Code Exchange by OAuth Public Clients).

Cabe plantearse una iniciativa de aplicaciones móviles destinadas a tablets, phablets y smartphones en base a desarrollos comunes y compilaciones orientadas al sistema operativos target diferentes:

  • Android
  • Windows Phone
  • Apple iOS
  • Blackberry (Nativa o Android)
  • Ubuntu
  • Firefox

Es posible realizar el enfoque de la aplicación hacia

  • Nativa (basada en el entorno de desarrollo del fabricante)
  • Web App (responsive, HTML5)
  • Web App nativa (híbrida). Combinando funciones en servidor y otras (preferentemente las que acceden al hardware del dispositivo) en el equipo.

El enfoque preferible es el de aplicación híbrida, para la que existen plataformas como PhoneGap

En las plataformas nativas se usan sus propios lenguajes:

  • Apple: Objetive-C,
  • Android: Java,
  • Blackberry: C++,
  • Microsoft: C#, Visual Basic .NET

Se distribuyen mediante “markets”:

  • Google Play – Playstore
  • Apple iTunes App Store for iOS
  • Windows Phone App Marketplace
  • BlackBerry App World

USSD (Unstructured Supplementary Services Data)


ussd-in-gsm-network.gifRecibo frecuentes consultas sobre USSD, ya que aparece en los folletos publicitarios de Albalia Interactiva como una de las tecnologías a las que damos soporte.

La gente ha oido algo del tema, sabe que está relacionado de alguna forma con los teléfonos móviles celulares, sabe que tiene alguna relación con los SMS pero ¿qué es y para qué sirve?

USSD (Unstructured Supplementary Services Data) es un medio de transmitir información o instrucciones por una red GSM.

USSD tiene algunas similitudes con el SMS (ambos utilizan el “signaling path” de la red GSM). Como diferencia, el USSD no es un servicio de almacenamiento y envío, es un servicio orientado a sesión tal que cuando un usuario accede a algún servicio USSD, se establece una sesión y la conexión de radio permanece abierta hasta que el usuario, la aplicación o el paso del tiempo la libera. Los mensajes de texto USSD pueden superar los 182 caracteres de longitud.

USSD se define dentro del estándar GSM en los documentos GSM 02.90 y 03.90.

USSD tiene algunas ventajas y desventajas como herramienta de despliegue de servicios en redes móviles:

  • Los tiempos de respuesta para aplicaciones interactivas son más cortos para USSD que para SMS debido a las características de una sesión de USSD, y porque no es un servicio de almacenamiento y envio. Según Nokia, USSD puede ser hasta 7 veces más rápido que un SMS para llevar a cabo la misma transacción en ambos sentidos.
  • Los usuarios no necesitan ir a ningún menú particular del teléfono para acceder a servicios USSD, ya que pueden desde la pantalla inicial del móvil acceder a los mismos.
  • Debido a que los comandos USSD son dirigidos de vuelta hacia el HLR (Home Location Register), los servicios basados en USSD trabajan igual de bien y de la misma forma cuando los usuarios están en “roaming”.
  • USSD funciona en todos los teléfonos móviles GSM.
  • Tanto la aplicación SIM Toolkit como WAP soportan USSD.
  • Por otro lado, los códigos USSD son normalmente complicados de recordar, incluyendo el uso de los caracteres “*” y “#” para indicar el principio y el final del código USSD. Sin embargo la posibilidad de almacenar los códigos USSD de servicios que se usan regularmente, en la agenda del teléfono, reduce la necesidad de recordarlos, así como de tener que introducirlos de nuevo.
  • Ningún otro mecanismo ha sido tan especificado en el proyecto de tercera generación “estandar UMTS” para llevar a cabo funciones tales como la iteración HLR (Home Location Register) que el USSD facilita. Por lo tanto, es probable que el USSD todavía encuentre aplicaciones en la tercera generación de telefonía móvil.

Resumiendo, USSD es una excelente herramienta de gestión de transacciones y de gestión comercial, comparable a los SMS, pero con posibilidades no accesibles con SMS.

Hay dos tipos de sesiones USSD: Originadas por la aplicación, es decir, “terminado en el móvil” (hacia teléfonos móviles GSM en los que se tiene la certeza de que el usuario está mirando la pantalla), y originadas por el móvil (terminal de usuario), con secuencias de inicio semejantes a *1xx*yyy*zzz#.

En las sesiones USSD se envía un texto a la pantalla del móvil y se recogen las secuencias que el usuario teclea, letras y números, que deben terminar pulsando la tecla verde (enviar, o aceptar). Es posible encadenar varios mensajes pregunta-respuesta consumiendo una sola sesión USSD. Una sesión USSD tiene un coste aproximado de 15 céntimos de dólar, en aquellos operadores que generan CDR asociados.

Nokia utiliza USSD para habilitar el chat móvil. En Octubre del 2000, Nokia lanzó la plataforma de chat móvil (Nokia Friends Talk Platform). En el nuevo Nokia 3310 (terminal que soporta dicho servicio), la forma de manejar los mensajes de texto está hecha para que permita enviar el mismo mensaje a mucha gente, y para que la gente se conozca y disfruten “chateando”. Para que todo esto sea posible, y permitir que nuevos “chat rooms” se formen, el operador de red ha de tener instalada la plataforma Nokia Friends Talk. Esta plataforma utiliza USSD para proporcionar la estructura dinámica de menú que permite manejar los mensajes de texto fácilmente.

También Mobipay utiliza sistemas de mensajería de tipo USSD tanto en la modalidad de “iniciado por el usuario” en el que se emplean códigos del tipo *148*1*123# como en la modalidad de “iniciado por la red”, gracias a la que pueden presentarse menús en pantalla y captar las pulsaciones que el usuario hace en el teclado.

Esta tecnología comienza a estudiarse por las entidades financieras que ven en ella una forma de luchar contra algunos tipos de fraudes que sufren sus usuarios en Internet, tales como el phishing y el pharming, gracias a que proporciona “diversidad de canal” para solicitar las claves a los usuarios sin tener que usar internet.