Archivo de la categoría: Certificados

Expedición de certificados cualificados sin comparecencia presencial (a distancia)


El Reglamento UE 910/2014 establece en su artículo 24:

1.   Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.

La información a que se refiere el párrafo primero será verificada por el prestador de servicios de confianza bien directamente o bien por medio de un tercero de conformidad con el Derecho nacional:

  1. en presencia de la persona física o de un representante autorizado de la persona jurídica, o
  2. a distancia, utilizando medios de identificación electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto», o
  3. por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a) o b), o
  4. utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.

El apartado 24-1.b permite la identificación a través de una plataforma de gestión de identidad siempre que se hayan adoptado medidas de seguridad apropiadas. El Reglamento de Ejecución (UE) 2015/1502 de la Comisión de 8 de septiembre de 2015 orienta sobre los aspectos a cumplir.

Para el caso de la opción  24-1.d ya existe en España adecuada cobertura según la Ley 6/2020 (Artículo 7):

(…) 
Podrá prescindirse de la personación de la persona física que solicite un certificado cualificado si su firma en la solicitud de expedición de un certificado cualificado ha sido legitimada en presencia notarial. 
(…) 
2. Reglamentariamente, mediante Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital, se determinarán otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación como videoconferencia o vídeo-identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según su evaluación por un organismo de evaluación de la conformidad. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario. 
Serán considerados métodos de identificación reconocidos a escala nacional, a los efectos de lo previsto en el presente apartado, aquellos que aporten una seguridad equivalente en términos de fiabilidad a la presencia física y cuya equivalencia en el nivel de seguridad sea certificada por un organismo de evaluación de la conformidad, de acuerdo con lo previsto en la normativa en materia de servicios electrónicos de confianza.

Este artículo da cobertura legal a la adopción de estas dos normas:

  • Orden ETD/465/2021, de 6 de mayo, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados. Normativa a cumplir para la identificación a distancia (videoconferencia y videoidentificación) y criterios de auditoría para permitir la evaluación de los sistemas que la implementan. Específica de España
  • ETSI TS 119 461 V1.1.1 (2021-07) – Policy and security requirements for trust service components providing identity proofing of trust service subjects. Para uso en toda la Unión Europea. Toca más casos de uso, no solo la videoidentificación remota .

Los CABs (Conformity Assessment Bodies) ya contemplan estas normas en sus auditorías.

Y es algo muy necesario como se pudo comprobar en la fase de confinamiento de la ciudadanía del primer semestre de 2020 provocado por la enfermedad COVID-19.

Firma electrónica indirecta


En ocasiones hay que realizar firmas electrónicas sobre un documento electrónico principal que lleva adjuntos otros documentos electrónicos. Y puede que sea conveniente que alguno o todos los documentos adjuntos estén firmados electrónicamente. El primer documento suele estar en formato PDF y se puede firmar con herramientas como Adobe Acrobat DC (atención, las denominaciones de la firma en Acrobat son confusas: la que hay que usar es la firma basada en certificado).

Una posible solución a la firma de múltiples documentos (en caso de que el procedimiento al que se van a incorporar los documentos lo admita) es incluir en el escrito principal un anexo de firmas indirectas que incluye la relación de documentos electrónicos adjuntos, utilizando para ellos nombres descriptivos que deberán coincidir con los de los propios documentos y, si es posible, de forma que el nombre incluya entre sus primeros caracteres las cifras que componen su número ordinal dentro de la relación de documentos según la preferencia de ordenación del firmante o de quien elabora el escrito.

Para cada fichero es conveniente indicar el tamaño y es preceptivo indicar el valor hash correspondiente al fichero.

En la sección inicial del anexo, antes de incluir la propia tabla que contiene los nombres de los ficheros y sus valores, se debe especificar el formato de hash utilizado, que normalmente será de los tipos SHA-2 o SHA-3, considerando la variante concreta. Por ejemplo «SHA-2 (variante SHA-256)». Conviene indicar la notación empleada. Por ejemplo, «El resultado del valor HASH se expresa en notación hexadecimal», o «El resultado del valor HASH se expresa en notación Base64».

También es conveniente que los valores hash se incluyan en una tipografía de las denominadas  «de espaciado fijo entre caracteres» (en inglés «monospaced») como el tipo de letra Courier que permite apreciar que todas las tiras de caracteres tienen el mismo tamaño (y detectar errores relacionados con la existencia de un número de caracteres mayor o menor del que corresponde).

Para calcular los valores HASH de los ficheros existen diversas herramientas. En sistemas Windows, una de las recomendables por su sencillez es Hashtab disponible originalmente en la web Implbits.

Tras instalar el software, se crea una opción de menú contextual en el Explorador de Windows, de modo que, si pulsamos sobre un fichero con el botón derecho del ratón y a continuación sobre la opción «Propiedades» (la opción que queda abajo del todo) se abre una ventana que contiene una pestaña para los valores hash del documento («Hash de Archivos»).

A continuación se pulsa en la pestaña de la zona superior «Hash de Archivos» y se pueden ver los valores hash del fichero por tipo de algoritmo.

Si se pulsa sobre el enlace «Parámetros» (hacia la mitad de la ventana) se pueden elegir los tipos de hash que se desea que muestre la herramienta.

Este tipo de firmas indirectas puede considerarse similar a las denominadas «separadas» o «acompañantes» («detached» en inglés) ya que los propios documentos no se modifican para incluir las firmas (como en las firmas «attached enveloped») ni se crean estructuras contenedoras de la firma y del documento (como en las firmas «attached enveloping»)

Adobe actualiza su lista de confianza y sigue incluyendo la EUTL


Adobe desempeña un papel esencial en la popularización de la firma electrónica que hay que reconocer.

Por un lado, su herramienta gratuita de visualización de archivos PDF Acrobat Reader incluye sin coste una herramienta de creación de firmas electrónicas basada en certificados (entre los que destacan los certificados cualificados tal como los define el Reglamento UE 910/2014, eIdAS ).

Por otro lado, ha apostado desde la entrada en vigor del citado reglamento por incluir en la lista de confianza de sus productos (antiguamente denominada AATL) las entidades prestadoras de servicios de confianza que figuran en la lista de confianza de la unión europea (EUTL) que se puede recorrer con detalle gracias al Visualizador de Listas,

Esta combinación es importante para impulsar el uso de la firma electrónica en una herramienta que se caracteriza por la efectividad al cumplir su misión de mostrar los documentos electrónicos de forma muy parecida a los documentos en papel y establecer una potente metáfora del uso electrónico de los documentos manteniendo muchas de las ventajas de los documentos en papel, y algunas complementarias , como las informaciones adicionales que se guardan en los metadatos.

La lista actualizada de los entidades de confianza para Adobe obtenida de la EUTL puede verse en este artículo: ¿Qué es EUTL?

Y la lista concreta de los prestadores de servicios de certificación cualificados españoles (un subconjunto de la lista anterior), es esta:

Los certificados DSC de España con los que se firman los pasaportes COVID


Algunos paises europeos han publicado la información de los certificados electrónicos ECC (y unos pocos RSA) con los que se firman los pasaportes COVID (oficialmente «Certificados Digitales COVID» y anteriormente «Certificados verdes digitales»). Estos certificados se denominan DSC (Document Signing Certificate). Ya lo mencioné en el artículo «Public Key of Spain CSCA for European digital COVID certificate«.

Uno de los países que publican la información de dichos certificados electrónicos es Suecia, que hace referencia a los certificados incluidos en la pasarela de validación de confianza de pasaportes COVID (Técnicamente «Digital Green Certificate Gateway» DGCG).

En España, todos los certificados menos uno los ha expedido EADTrust (European Agency of Digital Trust), por lo que la Sub-CA de certificados de curva elíptica P-256 para sello de órgano de EADTrust se ha convertido en la principal CSCA (Certificate Signing Certificate Authority de España. Otra singularidad del sistema adoptado en España es que los DSC emitidos por EADTrust son, además, certificados cualificados de sello de órgano según el Reglamento EIDAS.

Estos son los datos principales de certificados de CSCA y DSC de España:

Country: ES
TypeNameContactPurpose
CSCA CertificateOU=Legal Person, OID.2.5.4.97=VATES-B85626240, C=ES, O=»European Agency of Digital Trust, S.L.», CN=EADTrust ECC 256 SubCA For Qualified Certificates 2019ca@eadtrust.eu
CSCA CertificateCN=iCA Izenpe, OU=Peer, O=IZENPE S.A., C=ES
Document SignerC=ES, O=SERVICIO DE SALUD DE LAS ISLAS BALEARES, OID.2.5.4.97=VATES-Q0719003F, OU=SELLO ELECTRONICO, SERIALNUMBER=Q0719003F, CN=IBSALUT-CVD-SELLO1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=Servicio Extremeño de Salud, OID.2.5.4.97=VATES-Q0600413I, OU=SSII, OU=SELLO ELECTRONICO, SERIALNUMBER=Q0600413I, CN=Servicio Extremeño de Salud1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=GERENCIA REGIONAL DE SALUD DE CASTILLA Y LEON, OID.2.5.4.97=VATES- Q4700608E, OU=GERENCIA REGIONAL DE SALUD DE CASTILLA Y LEON, OU=SELLO ELECTRONICO, SERIALNUMBER=Q4700608E, CN=GERENCIA REGIONAL DE SALUD CASTILLA Y LEÓN (SACYL)1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=»DIRECCION GENERAL DE SALUD PUBLICA, CONSUMO Y CUIDADOS», OID.2.5.4.97=VATES-S2633001I, OU=»DIRECCIÓN GENERAL DE SALUD PUBLICA, CONSUMO Y CUIDADOS», OU=SELLO ELECTRONICO, SERIALNUMBER=S2633001I, CN=Gobierno de La Rioja1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=Servicio Canario de la Salud, OID.2.5.4.97=VATES-Q8555011I, OU=Secretaría General del Servicio Canario de la Salud, OU=SELLO ELECTRONICO, SERIALNUMBER=Q8555011I, CN=Secretaría General del Servicio Canario de la Salud1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=CIUDAD AUTÓNOMA DE MELILLA, OID.2.5.4.97=VATES-S7900010E, OU=DIRECCIÓN GENERAL DE LA SOCIEDAD DE LA INFORMACIÓN, OU=SELLO ELECTRONICO, SERIALNUMBER=S7900010E, CN=SELLO ELECTRONICO DE LA CIUDAD AUTÓNOMA DE MELILLA1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=SERVICIO ANDALUZ DE SALUD, OID.2.5.4.97=VATES-Q9150013B, OU=SERVICIO ANDALUZ DE SALUD, OU=SELLO ELECTRONICO, SERIALNUMBER=Q9150013B, CN=SELLO SAS PARA CERTIFICADO COVID DE LA UE1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerCN=DIRECCIÓN DE SALUD PÚBLICA Y ADICCIONES, OID.2.5.4.97=VATES-S4833001C, OU=SELLO ELECTRONICO, O=EUSKO JAURLARITZA – GOBIERNO VASCO, C=ES1.3.6.1.5.5.7.3.2
Document SignerC=ES, O=Servicio Cántabro de Salud, OID.2.5.4.97=VATES-Q3900738J, OU=SELLO ELECTRONICO, SERIALNUMBER=Q3900738J, CN=Servicio Cántabro de Salud1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=Servicio de Salud de Castilla-La Mancha, OID.2.5.4.97=VATES- Q4500146H, OU=SELLO ELECTRONICO, SERIALNUMBER=Q4500146H, CN=SESCAM Certificado Digital COVID UE1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=Ministerio de Defensa, OID.2.5.4.97=VATES-S2830001J, OU=Inspección General de Sanidad de la Defensa, OU=SELLO ELECTRONICO, SERIALNUMBER=S2830001J, CN=Inspección General de Sanidad de la Defensa1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=Principado de Asturias, OID.2.5.4.97=VATES- S3333001J, OU=SELLO ELECTRONICO, SERIALNUMBER=S3333001J, CN=Consejería de Salud del Principado de Asturias1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=Servicio Navarro de Salud-Osasunbidea, OID.2.5.4.97=VATES-Q3150004D, OU=Servicio Navarro de Salud-Osasunbidea, OU=SELLO ELECTRONICO, SERIALNUMBER=Q3150004D, CN=Sello Electrónico del Servicio Navarro de Salud-Osasunbidea1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=CIUDAD AUTONOMA DE CEUTA, OID.2.5.4.97=VATES-S6100007A, OU=CIUDAD AUTONOMA DE CEUTA, OU=SELLO ELECTRONICO, SERIALNUMBER=S6100007A, CN=CEUTA1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=GENERALITAT VALENCIANA, OID.2.5.4.97=VATES-S4611001A, OU=CONSELLERIA DE SANITAT UNIVERSAL I SALUT PÚBLICA, OU=SELLO ELECTRONICO, SERIALNUMBER=S4611001A, CN=GENERALITAT VALENCIANA1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=Departament de Salut de la Generalitat de Catalunya, OID.2.5.4.97=VATES-S0811001G, OU=Departament de Salut, OU=SELLO ELECTRONICO, SERIALNUMBER=S0811001G, CN=CERT-GENCAT-1S-211.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=COMUNIDAD AUTONOMA DE LA REGION DE MURCIA, OID.2.5.4.97=VATES- S3011001l, OU=DIRECCION GENERAL INFORMATICA CORPORATIVA, OU=SELLO ELECTRONICO, SERIALNUMBER=S3011001l, CN=DIRECCIÓN GENERAL DE SALUD PÚBLICA Y ADICCIONES1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=MINISTERIO DE SANIDAD, OID.2.5.4.97=VATES-S2827001E, OU=SELLO MINISTERIO DE SANIDAD CERTIFICACION COVID19, OU=SELLO ELECTRONICO, SERIALNUMBER=S2827001E, CN=SELLO MINISTERIO DE SANIDAD CERTIFICACION COVID191.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=GOBIERNO DE ARAGON, OID.2.5.4.97=VATES-S5011001D, OU=DEPARTAMENTO DE SANIDAD, OU=SELLO ELECTRONICO, SERIALNUMBER=S5011001D, CN=DEPARTAMENTO DE SANIDAD DEL GOBIERNO DE ARAGON1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=SERVICIO MADRILEÑO DE SALUD, OID.2.5.4.97=VATES-Q2801221I, OU=DG SISTEMAS DE INFORMACION Y EQUIPAMIENTOS SANITARIOS, OU=SELLO ELECTRONICO, SERIALNUMBER=Q2801221I, CN=FIRMA CERTIFICADO COVID DIGITAL UE 11.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=Consellería de Sanidad, OID.2.5.4.97=VATES-S1511001H, OU=SELLO ELECTRONICO, SERIALNUMBER=S1511001H, CN=ConselleriadeSanidade.XuntadeGalicia1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4

Compatibilidad con EIDAS de proyectos de blockchain. Criptografía.


EADTrust está emitiendo certificados cualificados de persona física y persona física para su integración en proyectos de blockchain, lo que permitirá comprobar la viabilidad de los sistemas de identidad digital basados en carteras virtuales (User-centric Identity, denominación que sustitute a Self-sovereign Identity).

Un reto del proyecto es la selección del marco de algoritmos criptográficos que se usarán.

Aunque hay razones técnicas para adoptar el esquema de firma digital «Edwards-curve Digital Signature Algorithm (EdDSA)» (denominacion Ed25519) o la variante de «Elliptic Curve Digital Signature Algorithm (ECDSA) denominada secp256k1 y en algunos proyectos de Blockchain se ha elegido alguno de dichos algoritmos (o variantes con diferentes tamaños de clave), en las discusiones técnicas del equipo del Prestador de Servicios de Confianza indicado, finalmente se ha decidido optar por «Elliptic Curve Digital Signature Algorithm (ECDSA) en linea con las recomendaciones de la norma ETSI TS 119 312 V1.3.1. En concreto, la variante P256 (además de esta denominacion, P-256, tiene además otros nombres prime256v1 o sec256r1).

Dibujo de Carl Mehner sobre la curva P-256 usado en su blog https://www.cem.me/20170410-ecc-1.html

EADtrust ha sido la primera autoridad de certificación en emitir certificados basados en criptografía de curva elíptica y una de las pocas que lo hacen en el mundo. En el contexto de EIDAS (Reglamento UE 910/2014), emite certificados cualificados de persona física y de persona jurídica basados en el algoritmo ECDSA , con las variantes P-256 y P-384.

La compatibilidad con despliegues de infraestructura ya existentes en EIDAS es la que hace recomendable el uso de estos mismos algoritmos en proyectos con Blockchain, especialmente en las fases iniciales del proyecto en las que todavía no se han creado dependencias con decisiones de diseño para las que exista ya un histórico de bloques minados.

Digitalización Certificada, ¿qué es y para qué sirve?


Software homologado

Digitalización Certificada, Factura Electrónica, Firma Electrónica, Certificado Electrónico. Todos estos conceptos están relacionados.

En el desarrollo de la normativa de facturación electrónica, la ORDEN EHA/962/2007, de 10 de abril, por la que se desarrollan determinadas disposiciones sobre facturación telemática y conservación electrónica de facturas ha definido el concepto de Digitalización Certificada. Este blog ha sido pionero al tratar sobre la Digitalización Certificada desde 2006.

El procedimiento de homologación se ha recogido en la resolución de 24 de octubre de 2007, de la Agencia Estatal de Administración Tributaria, sobre procedimiento para la homologación de software de digitalización contemplado en la Orden EHA/962/2007, de 10 de abril de 2007.

En sentido estricto la digitalización certificada se definió para los procedimientos del ámbito tributario por lo quedaría fuera de la cobertura de la Ley 39/2015, según determina la Disposición adicional primera relativa a la Especialidades por razón de materia. Sin embargo la implantación del concepto y el gran número de aplicaciones disponibles, lo convierten en estándar de facto, tambien para el sector público.

La digitalización certificada es el proceso de conversión de documentos en papel a documentos electrónicos que contienen su reproducción facsimilar y que están firmados electrónicamente. Los sistemas que gestionan la digitalización deben cumplir ciertos criterios de integridad e inalterabilidad en la base de datos con la que se realiza la llevanza de la digitalización y se requiere que sean auditados. Los documentos digitalizados con este tipo de sistemas tienen el carácter de original, por lo que se puede prescindir de los documentos en papel de los que proceden, por lo que es muy relevante el valor legal de estos procesos y de los documentos a los que dan lugar

La digitalización certificada de facturas ha propiciado el nacimiento del concepto que ahora se usa también en relación con las administraciones públicas y la digitalización de la Justicia.

Para la digitalización certificada de facturas se puede recurrir a las diferentes variantes de software homologado por la Agencia Tributaria que la AEAT publica también en su sitio web. Las diputaciones forales también han publicado normativa equivalente y cuentan con procedimintos de homologación semejantes a los de la Agencia Tributaria y con sus propias listas de software homologado.

Firma Electrónica

La firma electrónica se regula en el Reglamento UE 910 / 2014 que se denomina abreviadamente «EIDAS».

La firma electrónica avanzada está vinculada al firmante de manera única; permite la identificación del firmante; se crea utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y está vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.

De forma resumida, la firma avanzada vincula al firmante con lo firmado.

Lo firmado muchas veces de condensa en el valor «Hash» del documento, lo que también es una forma de garantizar la integridad del documento firmado tras la realización de la firma avanzada. Y el firmante se puede asociar de varias formas, con biometría en caso de firmas no basadas en certificados, o con la operación matemática del hash con la clave privada del firmante si se aplica una firma basada en certificado.

La firma basada en certificados usa criptografía de clave pública, también llamada criptografía asimétrica.

En la criptografía asimétrica intervienen 2 claves vinculadas matemáticamente entre sí:

1.    Clave Privada
2.    Clave Pública

Lo que se cifre con la clave privada, sólo puede descifrarse con la clave pública, y viceversa.

Las funciones hash son unidireccionales y generan una ristra corta de caracteres a partir de un documento o de una ristra larga de caracteres.

Un posible simil sería un valor suma: si cada caracter de una ristra lo transformamos en un número (por ejemplo, su valor ASCII) y sumamos los valores de todos los caracteres de la ristra, el valor resultante depende del contenido de la ristra. SI cambia un carácter, la suma cambia. Los algoritmos utilizados en criptográfia son más elaborados para que no se puedan realizar modificaciones a las ristras que den como resultado el mismo valor de hash, lo que permitirá cambiar los contenidos. Por eso, el valor suma, aunque sirve para explicar el hash, no es en sí un buen método de hash.

Dado un documento y su «hash», es posible comprobar si el hash corresponde verdaderamente a ese documento. No obstante, a partir del hash no es posible deducir el documento del que procede. Podría haber infinitos. Cuando dos documentos diferentes producen el mismo valor de hash al realizar su cálculo con un determinado algoritmo, se dice que se ha producido una «colisión».

¿Cómo funciona la firma electrónica?

Al documento que se va a firmar se le aplica la función hash con un algoritmo concreto (por ejemplo, SHA-256) y el resultado obtenido se opera matemáticamente con una función de firma asimétrica (por ejemplo, RSA o ECC) con la clave privada del firmante (normalmente la clave privada reside en una tarjeta chipo o un token criptográfico, y no sale de el, por lo que el hash se envía al chip y es el chip el que realiza la operación criptográfica). La firma se compone del resultado de esa operación en el chip (lo que en ocasiones se llama valor PKCS#1), y el certificado del firmante que contiene sus datos y la clave pública relacionada criptograficamente con la privada.

Si se hace llegar el documento y la firma al destinatario (a veces, el formato de documento utilizado permite embeber la firma en su interior, como es el caso de los ficheros PDF)¡. Este puede realizar el proceso equivalente en sentido contrario para comprobar la firma.

Extrae la clave pública del certificado, con lo que puede aplicar la función criptográfica al valor PKCS#1 del que se extrae el valor Hash. Calcula el valor Hash del documento y lo compara con el valor obtenido de descifrar la firma PKCS#1. Ambos deben ser iguales. Si no son iguales hay un problema en algún lado. Por ejemplo, el documento ha cambiado en la transmisión o se ha manipulado.

Por eso un importante efecto de la firma electrónica es que garantiza la integridad e inalterabilidad de los documentos firmados electrónicamente.

El certificado utilizado para firmar lo expide una «autoridad de certificación» o una «entidad prestadora de servicios de confianza». La expedición de certificados electrónicos es uno de los posibles servicios de confianza» y, por ello, una «autoridad de certificación» es una «entidad prestadora de servicios de confianza.

Estas entidades comprueban la identidad de los solicitantes de certificados y tras ello les expiden un certificado electrónico asociando la clave pública del certificado con una clave privada que debe custodiar de forma secreta el titular del certificado con la máxima seguridad.

El Certificado Electrónico

Los certificados electrónicos de persona física o jurídica son unos documentos electrónicos que contienen información del emisor, el periodo de validez del certificado, la identidad del firmante,…

Lo importante es que este certificado vincula la clave pública con la identidad de una persona concreta y que está firmado por la entidad de certificación, que ha comprobado los documentos de identidad del solicitante y su correspondencia con los rasgos del solicitante. Al expedir el certificado se establece también su vinculación con la clave privada bajo control exclusivo del firmante.

Aunque pueden emitir certificados autoridades de certificación no cualifiadas, en Europa se prefieren las entidades de certificación cualificadas, que emiten certificados cualificados.

En España existe un importante número de entidades emisoras de certificados cualificados, de entre los que cabe citar a Camerfirma, EADTrust, FNMT (CERES), Ivnosys o Vintegris.

En determinadas modalidades de firma (como la AdES – T o las firmas longevas) es conveniente incluir información sobre el momento en que se creó la firma, lo que realiza añadiendo un sello de tiempo. Los sellos de tiempo los expiden las Autoridades de Sellado de Tiempo (TSA – Time Stamp Authority).

El sello de tiempo demuestra que cierta combinación de datos existió antes de un momento dado y que ninguno de estos datos ha sido modificado desde entonces.

Resumiendo, para la digitalización certificada de documentos, se necesita un certificado electrónico con el que realizar la firma electrónica sobre cada uno de los documentos escaneados.

Este requisito y la garantía de integridad de la base de datos en la que se gestiona la llevanza del proceso de digitalización de facturas son los más relevantes para superar la auditoría que permite solicitar la homologación del software a la AEAT.

Digitalización Certificada en el ámbito de la Justicia.

En el marco de la normativa Lexnet se ha definido por el CTEAJE (Comité Tecnico Estatal de la Administración Judicial Electrónica) la GIS de Digitalización Certificada.

Esta norma permite digitalizar cualquier documento para su presentación en procesos judiciales por lo que tiene un valor especial:

  • Sirve en el sector privado para digitalizar cualquier documento, no solo facturas
  • Permite tener documentos digitalizados por si en un momento dado hacen falta para un jucio. Esta solía ser la principal razón para custodiar documentos en papel: por si hacían falta en un juicio.

Los requisitos de digitalización certificada en el ámbito de la justicia son muy parecidos a los exigidos en el ámbito tributario:

  • Firma electrónica de los documentos escaneados
  • Protección de la integridad e inalterabilidad de la base de datos de llevanza de la digitalización

¿Cómo pongo en marcha un proceso de digitalización certificada?

Para llevar a cabo la digitalización certificada de facturases en una empresa es necesario contar con un software homologado por la AEAT o por cualquera de las haciendas forales de Alava, Guipuzcoa, Navarra o Vizcaya.

Para que el software pueda realizar una firma electrónica en cada factura escaneada, hace falta equiparlo con un certificado cualificado. La tendencia actual es equipar el software con certificado cualificado de persona jurídica, en cuyo caso las firmas electrónicas resultantes se denominan «sellos electrónicos cualificados» si se gestionan en un equipo denominado «Dispositivo Cualificado de Creación de Sello» (equipos que también se denomina HSM «Hardware Security Module»).

Cabe la posibilidad de realizar procesos de «digitalización certificada» o «digitalización garantizada» en el contexto de la administración pública, para lo que seaplican varias de las Normas Técnicas de Interoperabilidad. En particular la de copia auténica, la de digitalización, la de política de firma y la de documento electrónico.

El portal ValidaE facilita algunas herramientas para validar firmas y certificados electrónicos. También la herramienta DSS de EADTrust proporciona mucha información sobre los certificados y las firmas de los documentos electrónicos, sean o no resultado de la una digitalización certificada.

Tal vez alguien se hizo esta pregunta: ¿es necesario partir del documento de la factura impreso para poder escanearlo en un proceso de digitalización certificada o se puede firmar electrónicamente una factura recibida en formato pdf?

La respuesta la da la ORDEN EHA/962/2007, de 10 de abril, por la que se desarrollan determinadas disposiciones sobre facturación telemática y conservación electrónica de facturas en los diferentes artículos de los que consta.

La digitalización certificada solo se puede hacer desde documentos en soporte papel.

No obstante, considerando que el emisor y el receptor pueden llegar al acuerdo de que el emisor de la factura actua enviando «prefacturas» en formato PDF al receptor y que este las convierte en autofacturas electrónicas añadiendo la firma electrónica, se cumple el requisito fundamental de la factura electrónica, que es su firma electrónica. La normativa permite que las facturas las gestione el destinatario (autofactura) o un tercero en nombre del emisor de la factura, que suele ser el que añade las firmas electrónicas o los sellos electrónicos.

Qué hacer si se pierde o alguien sustrae el dispositivo donde reside el certificado electrónico

En caso de pérdida o robo del dispositivo en el que se aloja la clave privada asociada al certificado electrónico, hay que solicitar la revocación del certificado personándose ante una Autoridad de Registo de la Autoridad de Certificación que expidió el certificado. Algunas autoridades de certificación ofrecen la posibilidad de realizar la revocación a distancia, empleando códigos que se entregaron en el momento de la expedición del certificado.

Por ejemplo, EADTrust dispone de una página específica y un formulario para solicitar la revocación del certificado.

Externalización de procesos de digitalización certificada

Cuando un proceso no está centrado en el núcleo de negocio de una empresa pero puede suponer una carga administrativa importante por su volumen, muchas entidades recurren a la externalización de procesos de negocio (BPO).

Un servicio de Digitalización Certificada realizado por terceros o un servicio de Sello electrónico remoto gestionado por un prestador de servicios de confianza digital cualificado pueden ayudar en estos casos.

El artículo 7 de la Orden EHA/962/2007 indica:

“Este proceso de digitalización deberá cumplir los siguientes requisitos:

a) Que el proceso de digitalización sea realizado por el propio obligado tributario o bien por un tercero prestador de servicios de digitalización, en nombre y por cuenta de aquel, utilizando en ambos casos un software de digitalización certificado (…)
b) Que el proceso de digitalización utilizado garantice la obtención de una imagen fiel e íntegra de cada documento digitalizado y que esta imagen digital sea firmada con firma electrónica en los términos de los artículos anteriores de esta Orden en base a un certificado electrónico instalado en el sistema de digitalización e invocado por el software de digitalización certificada. Este certificado debe corresponder al obligado tributario cuando la digitalización certificada se realice por el mismo o al prestador de servicios de digitalización en otro caso.

Ventajas de la Digitalización Certificada

Estas son algunas de las ventajas de la Digitalización Certificada:

  • Ahorro de tiempos en la búsqueda de documentos, puesto que, al tratarse de documentos en formato electrónico, se pueden generar búsquedas por palabras clave.
  • Aumenta la eficiencia y productividad de los empleados al ganar tiempo en el achivo y en las búsquedas, reduciendo los errores.
  • Frecuentennete la digitalización permite incorpoporar la información de las facturas en el sistema de contabilidad o ERP.
  • Al tener los documentos digitales gestionados por un software informático y custodiados en un repositorio seguro, se agilizan las tomas de decisiones al tener la certeza que se cuenta con toda la información.
  • Se ahorra espacio de almacenamiento al no tener que custodiar los dcumentos en papel y se ahorran otros costes relacionados con el material de archivo
  • Facilita la adopción de procedimientos repetuosos con el medio ambiente e, indirectamente, ayuda a superar una posible auditoría de tipo ISO 14.001

Llámenos

Puede contactar con EADTrust a través de los teléfonos 917160555 y 902 365 612 si necesita ayuda pata homologar una solucuón de digitalización certificada o necesita certificados electrónicos.

Nuevo DNIe 4.0


El Reglamento UE 2019/1157 del Parlamento Europeo y del Consejo de 20 de junio de 2019, armoniza el aspecto y las medidas de seguridad de los documentos de identidad y de residencia de los ciudadanos de todos los países miembros de la Unión Europea.

Los requisitos técnicos se basan en el documento 9303 de ICAO.

El tamaño de los documentos será el del formato ID-1 de la norma ISO/IEC 7810:2003, correspondiente al tamaño estándar de «tarjeta de crédito» que es de 85,60 × 53,98 mm (3 3⁄8 × 2 1⁄8 pulgadas) y esquinas redondeadas con un radio de entre 2.88 y 3.48 mm.

España ya lleva unos meses desarrollando con las nuevas especificaciones el nuevo documento DNIe 4.0 y el ministro del Interior, Fernando Grande-Marlaska, lo ha presentado oficialmente el 2 de junio de 2021.

El acto de presentación ha sido celebrado en la comisaría de la Policía Nacional de Móstoles y con el ministro han participado el director general de la Policía, Francisco Pardo, y por la delegada del Gobierno en Madrid, Mercedes González, entre otras autoridades.

La actriz Luisa Martín, la inspectora Miralles en la serie televisiva “Servir y proteger”, ha sido la primera persona en recibir el nuevo DNI. 

La Policía Nacional, en un trabajo conjunto con La Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda, ha diseñado un soporte que incluye características materiales, técnicas, de seguridad, funcionales y de usabilidad alineados con los avances más recientes de seguridad documental.

Entre los cambios introducidos, el nuevo DNI incluye la denominación en inglés «National Identity Card»y en el anverso, el código de dos letras que identifica el Estado miembro.

El nuevo modelo de DNI Europeo se enmarca dentro del Programa de Identidad Digital DNIE de la Policía Nacional. El programa trabaja en el desarrollo de una aplicación de teléfono móvil gratuita que permitirá la acreditación de la identidad y la firma electrónica.

Electronic signatures in EU Digital COVID Certificates, based on qualified certificates issued by #EIDAS Certification Authorities


To configure DGCG (Digital Green Certificate Gateway) in Digital COVID Certificate project, participating countries provide information regarding Public Key of the certificate of CSCA (Certificate Signing Certificate Authority). Spain uses a ECC #eIDAS Sub-CA as CSCA.

CSCA, as defined in the DGC project, requires the CSCA cert to include the country field for which the CSCA is valid. However, #EIDAS certificates are intended for cross-border interoperability, so the country field in the CA cert is irrelevant to countries in which it is valid.

DGC technical documents should be changed so CSCA of one country could be serviced from a CA in other country. So #EIDAS certification authorities could provide DSC certificates to health bodies in any country. The same principle should be extended to WHO technical documents.

Extended key Usage Identifiers could be present with some information in #EIDAS certificates, so the explanation that the DSC may contain an extended key usage extension with zero or more key usage policy identifiers that constrain the types of HCERTs such DSC certificate may sign, should consider other OIDs as «not present» if the eHealth application doesn´t understand them.

If one or more of the special DGC OIDs are present, the verifiers SHALL verify the extended key usage against the stored HCERT.

In absence of any key usage extension of the special DGC OIDs (i.e. no such special DGC OIDs extensions), the related DSC certificate can be used to sign any type of HCERT.

So, in #EIDAS DSC certificates to be used to electronically sign HCERT, the following OIDs can be used in Extended Key Usage extension fields:

  • OID 1.3.6.1.4.1.1847.2021.1.1 — valid for test
  • OID 1.3.6.1.4.1.1847.2021.1.2 — valid for vaccinations
  • OID 1.3.6.1.4.1.1847.2021.1.3 — valid for recovery

This OIDs can be present if the related EU Digital COVID Certificate is restricted to one of two kind of certificates. If all 3 are included (or none of them) the related EU Digital COVID Certificate is NOT restricted and can reflect any of the three options.

Public Key of Spain CSCA for European digital COVID certificate


In order to configure DGCG (Digital Green Certificate Gateway) participating countries need to deliver information regarding CSCA (Certificate Signing Certificate Authority), and specifically Public Key of the certificate of the CA used to sign the DSC (Document Signing Certificate) of every Body in charge of issuing DGC (Digital Green Certificates) . Remember that Health CSCA is different from CSCA used in Passports although both environments use similar terminology.

Trust List managed by Gateway

The ECC p-256 Public Key of Spain CSCA to be used for European Digital Green Certificates is

—–BEGIN PUBLIC KEY—–MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE1rjpdfCTyXE8RdrbW8rbLagURmGQerDBqh0WEaRCaJpqDuqKy0Zs1fXBhSPJQ4334X0TdMAWBIoLnLBC2up9Lg==
—–END PUBLIC KEY—–

Principles regarding validity

  • Rule 0: A certificate needs to be valid when it is used to sign/seal.
  • Rule 1: The DSC needs to be valid longer than anything it signs. So, the DSC expiry date must be >= than expiration date of the document it signs.
  • Rule 2: The CSCA needs to be valid longer than any DSC it signs.
  • Rule 3: If any certificate has a shorter ‘key usage period’ – then the signature has to be created in that period.

More info:

Para más información: +34 91716055

Uso de certificados electrónicos para la firma electrónica de certificados verdes digitales


Se recogen seguidamente varias recomendaciones, basadas en documentos publicados por la Comisión Europea en relación con la arquitectura de seguridad de los «pasaportes COVID», o «Certificados Verdes Digitales» (CVD) que es su actual denominación.

La información de este artículo puede entenderse mejor en relación con el que publiqué hace unos días: El “Certificado Verde Digital” para circular en tiempos de pandemia COVID-19 dentro de la UE.

La información recogida en este artículo está especialmente enfocada a las entidades españolas que participan en el proyecto y pretende aclarar algunas dudas sobre el uso de certificados.

Tipos de certificados a utilizar.

Las entidades deben disponer de un certificado basado en criptografía de curva elíptica con tamaño de clave de 256 bits, y es deseable que tengan también otro certificado basado en criptografía RSA, con tamaño de clave de 2048 bits para situaciones de contingencia. Esta recomendación se indica en las páginas 5 y 6 del documento «Guidelines on Technical Specifications for Digital Green Certificates – Volume 1«

En España, es recomendable que, en el caso de las administraciones públicas, se utilicen certificados cualificados de sello de órgano del tipo indicado (ECC o RSA). Las entidades privadas deberían optar por un certificado de sello electrónico para persona jurídica. Estos certificados se denominan «Document Signing Certificates (DSCs)» en los documentos técnicos del proyecto. La codificación de caracteres debe basarse en el formato UTF-8. Con esta codificación no debería haber problema con los acentos de los nombres de los organismos en el campo «Common Name», «Organization», «Organization Unit» aunque teniendo en cuenta que es un proyecto internacional puede ser más sencillo para usuarios de otros países si no se usan acentos.

España ya tiene definida la CSCA (Certificate Signing Certificate Authority) para la emisión de certificados. Las entidades que emitan certificados digitales de vacunación, de pruebas diagnósticas de estar o haber estado infectado por COVID-19, o de haber superado la dolencia, deberían contactar con el Ministerio de Sanidad para coordinar su participación. La CSCA española está basada en certificados cualificados EIDAS, con una arquitectura diferente a la orientada a los sistemas eMRTD (electronic Machine Readable Travel Documents) de ICAO que inspiraron inicialmente el modelo de PKI adoptado para el «Digital Green certificate».

Cada país tiene flexibilidad para definir el modelo de confianza que adoptará, pudiendo incluso tener más de una CSCA.

Se recomienda que las entidades firmantes de certificados HCERT (Electronic Health Certificate Container, denominación que aplica a los certificados verdes digitales, junto con DGC, Digital Green Certificate) utilicen dispositivos HSM para la custodia de claves privadas.

En las firmas realizadas con el DSC sobre el HCERT se debe incluir el dato «Expiration time» que indica la fecha límite en la que se acepta el certificado verde digital por quienes comprueban sus datos (en trámites fronterizos o de otro tipo). Esta fecha debe ser menor que la fecha de expiración del DSC. Ver página 6 del documento indicado anteriormente.

También se incluye el campo «Issued At«. Esta fecha es la de emisión de certificado y no puede ser anterior a la fecha de emisión del DSC. Ver página 6 del documento indicado anteriormente.

Existe una recomendación que sugiere adquirir certificados DSC de 2 años y utilizarlos por 6 meses para firmar los HCERT. No obstante, si se limita la validez de los HCERT a 6 meses, los DSC de 2 años se podrían utilizar durante 18 meses.

Contacte con el +34 91 716 0555 si necesita información adicional.