Archivo de la categoría: Certificados

Aceleradores criptográficos en mainframe IBM


A lo largo de los años, IBM ha ido añadiendo nuevos equipos criptográficos (HSM) a la oferta disponible para sus entornos mainframe.

Ya he presentado algunos en este blog en artículos anteriores:

En este artículo simplemente resume las variantes disponibles en este momento.

Existe información sobre cómo agregar y eliminar coprocesadores criptográficos en el documento  z / OS Cryptographic Services ICSF Administrator’s Guide.

Dispositivo  Crypto Express5 (CEX5C, CEX5P o CEX5A)
Se trata de un coprocesador o acelerador criptográfico asíncrono, cuyo motor criptográfico  puede configurarse como un coprocesador (CEX5C para CCA y CEX5P para PKCS #11) o como acelerador (CEX5A). Está disponible en los sistemas IBM z13.

Dispositivo Crypto Express4 (CEX4C, CEX4P o CEX4A)
El Crypto Express4 es un coprocesador o acelerador criptográfico asíncrono que se puede configurar como un coprocesador CCA (CEX4C), un coprocesador Enterprise PKCS #11 (CEX4P) o como un acelerador (CEX4A). Está disponible en los sistemas IBM zEnterprise EC12 e IBM zEnterprise BC12.

Dispositivo Crypto Express3 (CEX3C o CEX3A)
La placa criptográfica Crypto Express3 es un coprocesador o acelerador criptográfico asíncrono que contiene dos motores criptográficos que se pueden configurar independientemente como  coprocesador (CEX3C) o como acelerador (CEX3A). Está disponible en los sistemas  IBM System z10 Enterprise Class, IBM System z10 Business Class, IBM zEnterprise 196, IBM zEnterprise 114, IBM zEnterprise EC12 y IBM zEnterprise BC12.

Dispositivo Crypto Express2 (CEX2C o CEX2A)
La placa Crypto Express2 es un coprocesador o acelerador criptográfico asíncrono con dos motores criptográficos que se pueden configurar de forma independiente como coprocesador (CEX2C) o como acelerador (CEX2A). Está disponible en IBM System z9 Enterprise Class, IBM System z9 Business Class, IBM System z10 Enterprise Class e IBM System z10 Business Class.

Coprocesador criptográfico PCI X (PCIXCC)
El coprocesador criptográfico PCI X es un coprocesador criptográfico asíncrono que puede sustituir al coprocesador criptográfico PCI. Solo está disponible en IBM eServer zSeries 990 o IBM eServer zSeries 890.

CP Assist para funciones criptográficas (CPACF)
CPACF es un conjunto de instrucciones criptográficas disponibles en todos los CP. El uso de las instrucciones de CPACF mejora el rendimiento de las funciones criptográficas. Incorpora siempre el algoritmo SHA-1 en algunos sistemas añade los algoritmos SHA-224 y SHA-256 (en los sistemas z9 EC / z9 BC y posteriores). Además, los algoritmos SHA-384 y SHA-512 están disponibles en z10 EC / z10 BC y sistemas posteriores.

CP Assist for Cryptographic Functions (CPACF), con código de producto 3863 para habilitar la funcionalidad  DES / TDES, proporciona instrucciones de cifrado DES y Triple DES de clave en claros. En los sistemas z9 EC / z9 BC y posteriores, esta característica incluye el cifrado AES con clave en claro para claves de 128 bits. En los sistemas z10 EC / z10 BC y posteriores, esta característica también incluye el cifrado AES con clave en claro para claves de 192 y 256 bits.

Acelerador criptográfico PCI (PCICA)
El Acelerador criptográfico PCI brinda soporte para claves en claro en la invocación de los servicios  CSNDDSV, CSNDPKD y CSNDPKE para un mejor rendimiento que cuando se ejecuta en un coprocesador criptográfico. Solo está disponible en IBM eServer zSeries 990 o IBM eServer zSeries 890.

Las PCICA permiten el máximo rendimiento en el cifrado de SSL usado en entornos web.

GUIdumpASN para visualizar certificados


La aplicación GUIdumpASN de Gemini Security Solutions permite ver e imprimir una versión legible por humanos de un archivo de notación de sintaxis abstracta uno (Abstract Syntax Notation 1 – ASN.1). ASN.1 es una notación estándar y flexible que describe estructuras de datos para representar, codificar, transmitir y decodificar datos.

La salida de la aplicación se puede guardar como un archivo de texto, y las opciones se pueden configurar para ajustar la salida. La aplicación admite arrastrar y soltar, por lo que puede ejecutar la aplicación y soltar un archivo para mostrar ASN.1. También puede asociar extensiones de archivo con la aplicación para permitir el inicio inmediato cuando se hace doble clic en un determinado tipo de archivo.

Este tipo de programas se denominan “parsers” ya que analizan y presentan la estructura de la información codificada. Son de utilidad, por ejemplo, para ver el contenido de los certificados electrónicos.

En 2012 la aplicación evolucionó (ahora es GUIdumpASN-ng) añadiendo el requisito de preinstalación de Microsoft .NET framework, versión 3.5. Incluye soporte nativo de impresión de la aplicación.

El instalador instala un acceso directo a la aplicación en su menú contextual SendTo de forma predeterminada, para simplificar la decodificación de cualquier archivo que encuentre. Además de los archivos binarios DER codificados, la aplicación también admite archivos codificados en base 64 de estilo PEM (con las etiquetas de estilo –BEGIN CERTIFICATE–).

Instrucciones de descarga

Descargar GDA-ng-setup.exe (408KB). Para evitar confusiones, es preciso desinstalar todas las versiones anteriores a la 2.0 antes de instalar esta.

El software subyacente (dumpasn1.c) fue escrito por Peter Gutmann y se puede encontrar en el sitio web de Peter Gutmann.

Gemini Security Solutions simplemente ha desarrollado el visor como aplicación gráfica de Windows, aprovechando el código fuente citado.

Políticas marco de firma electrónica


El 2 de diciembre de 2015, el Comité Técnico Estatal de la Administración Judicial Electrónica (CTEAJE) aprobó la Guía de Interoperabilidad y Seguridad (GIS) de Autenticación, Certificados y Firma Electrónica en la Administración de Justicia en España, que constituye de facto la “Política Marco de Firma Electrónica para la Administración de Justicia”.

El objeto de esta norma es servir como guía en lo relativo a la gestión de firmas electrónicas en el ámbito de la justicia, así como tomar en consideración los conceptos conexos de autenticidad de documentos electrónicos y uso de certificados en el marco de la identificación y autenticación de intervinientes cuando no se precise el uso de firma electrónica.

Es de aplicación a la Administración de Justicia, a los ciudadanos en sus relaciones con ella y a los profesionales que actúen en su ámbito, así como a las relaciones entre aquélla y el resto de Administraciones y organismos públicos.

La administración de Justicia es la estructura de la administración específica para el Poder Judicial, que es un poder diferente al Ejecutivo y lo es también la infraestructura administrativa que le da soporte.

En el ámbito de la Administración Pública, la Administración General del Estado ha desarrollado diversa normativa destinada  favorecer la digitalización de su funcionamiento. En su momento, uno de los hitos principales de ese proceso de digitalización lo constituyó la publicación de la Ley 11/2007 que suplementaba lo dispuesto en la Ley 30/1992. En el año 2015 se publicaron las leyes siamesas Ley 39/2015 y Ley 40/2015 (subsumiendo las dos leyes citadas), un año después de la publicación del Reglamento europeo UE 910/2014 (EIDAS) y teniendo ya en cuenta bastantes de los aspectos de la norma europea.

Por su lado, en la Administración de Justicia se ha desarrollado la Ley 18/2011 a semejanza de la Ley 11/2007 y se han modificado las leyes procesales, con cambios significativos en 2015.

AGE-AJU

En el ámbito de la AGE, dentro del Esquema nacional de Interoperabilidad  se ha desarrollado una política marco de firma electrónica que ha consolidado la experiencia de  las versiones 1.8 y 1.9. La actual, Política 2.0 se publicó en el BOE de 2 de noviembre de 2016.

En su contexto es muy importante una norma complementaria que ayuda a uniformizar la interoperabilidad de los certificados en España.

En el ámbito de la AJU, dentro de las Bases del Esquema Judicial de Interoperabilidad y Seguridad  se ha desarrollado la política marco de firma electrónica del CTEAJE citada al inicio:

Con sus similitudes y sus diferencias, ambas Políticas son referentes de sus respectivas administraciones.

Listas de confianza TSL


Ya he tratado el tema de las listas de confianza TSL en otras ocasiones en este blog.

Hoy voy a incluir la información actualizada a las listas nacionales XML país por país.

Lista de listas europea

AT

BE

BG

CY

CZ

DE

DK

EE

GR

ES

FI

FR

HR

HU

IE

IS

IT

IL

LT

LU

LV

MT

NL

NO

PL

PT

RO

SE

SI

SK

UK

 

 

 

 

 

 

 

 

¿Cuanto puede valer un Prestador de Servicios Electrónicos de confianza?


Me refiero a su valor como empresa.

Seguro que su valor tiene que ver con sus ventas, pero también con la complejidad del conocimiento necesario para su gestión. Y ahora que los criptosistemas descentralizados de cadenas de bloques se han hecho populares, es más fácil entender la importancia del conocimiento.

La cifra publicada hace unos días nos orienta que su valor puede estar en torno a los 950 millones de dólares, por el monto de la valoración de la adquisición de Symantec por Digicert.   En diciembre de 1999, VeriSign compró Thawte, por 575 millones de dólares.

Por cierto, me gusta mencionar esta operación de Thawte porque tras ella su promotor
Mark Shuttleworth, más famoso en la actualidad por su actividad en Canonical y el sistema operativo Ubuntu se convirtió en el segundo turista espacial de la historia y el primer africano en el espacio.

En efecto, el 25 de abril de 2002, la nave Soyuz TM-34 despegó del cosmódromo de Baikonur hacia la Estación Espacial Internacional con una tripulación formada por tres personas: el piloto-cosmonauta ruso Yuri Gidzenko como comandante de la misión, el cosmonauta-investigador italiano Roberto Vittori y el cosmonauta-ingeniero sudafricano Mark Shuttleworth.

El segundo cosmonauta “turista” en la historia, después del vuelo del millonario estadounidense Dennis Tito en la Soyuz TM-32, prefiere no ser considerado un simple turista, y por ello puso gran énfasis en los aspectos educativos y científicos de su misión. Llevó a cabo experimentos científicos en las áreas de fisiología y de fenómenos de cristalización, así como otros relativos a la investigación de las células madre.

Después de 8 días a bordo de la Estación Espacial Internacional (y 10 días de estancia en el espacio), la tripulación conformada por Gidzenko, Vittori y Shuttleworth regresó a la Tierra a bordo de la Soyuz TM-33, a la sazón acoplada a la Estación. La misión de la Soyuz TM-34 fue la cuarta que viajaba a la Estación Espacial Internacional y la última de dicha variante TM de la venerable nave, siendo sustituida luego por la Soyuz TMA.

Verisign se creó en 1995 a partir de la escisión de los servicios de certificación de la empresa RSA Security. La nueva compañía recibió licencias para adaptar patentes de criptografía de RSA y un acuerdo de no competencia por un tiempo limitado.

Antes de vender los negocios de certificación a Symantec en 2010 por un valor aproximado de 1.280 millones de dólares (incluyendo Thawte), Verisign contaba con más de 3.000.000 de certificados electrónicos.

En la actualidad Verisign conserva la actividad de mayorista de gestión de dominios que adquirió a Network Solutions en el año 2000.

Una explicación de la pérdida de valor del negocio adquirido por Digicert puede ser debido a que el 24 de marzo de 2017, Google declaró que había perdido la confianza en Symantec, tras un incidente de emisión indebida de certificados. Según Google los certificados de Symantec perderían el estatus de confiables en Google Chrome en los siguientes 12 meses.  Google justifica este cambio acusando a a Symantec (o más bien a socios colaboradores CrossCert -Korea Electronic Certificate Authority-, Certisign Certificadora Digital, Certsuperior S. de R. L. de C.V., and Certisur S.A. ) de haber emitido al menos 30,000 certificados de dudosa validez durante varios años, lo que Symantec rechaza señalando un impacto menor.  Google opina que Symantec no cumple con los estándares de la industria y en particular, que no ha sido capaz de proporcionar auditorías que muestren la documentación necesaria.

DigiCert adquiere a Symantec su negocio de seguridad de sitios web y PKI


La operación está valorada en 950 millones de dólares y supone además la toma de una participación de Symantec en Digicert que poseerá el 30% de esta última .

La linea de negocio Website Security de Symantec ha pasado a manos de DigiCert junto soluciones PKI relacionadas.

El CEO de Symantec, Greg Clark y el de DigiCert, John Merrill, manifestaron las ventajas y oportunidades que supone la operación para las empresas en sí y para sus clientes.

Digicert se convierte con esta operación en el principal proveedor mundial de certificados SSL para sitios web y uno de los mayores especialista en gestión de identidad y servicios electrónicos de confianza.

Trust Services Forum 2017


ENISA and the European Commission are organising a consultation workshop with industry and experts from Member States on ICT security certification.

  • Time: April 27, 2017 from 09:30 to 17:00
  • Place: Hotel Thon EU, Rue de la Loi 75, B-1040 Brussels, Belgium

The workshop is organised as a follow-up on the European Commission’s commitment to develop a proposal for a European ICT security certification framework.

Trust Services Forum 2017 – Agenda

09:45 – 10:15

Registration & Welcome Coffee

10:15 – 11:30

Welcome Statement

State of play: eIDAS Regulation, CEF, ENISA activities

Gábor Bartha – European Commission

João Rodrigues Frade – European Commission

Sławomir Górniak – ENISA

11:30 – 11:45

Coffee Break

11:45 – 12:45

Panel Discussion 1

One year after eIDAS provisions entered into force

Where do we stand?

Moderator:

Prokopios Drogkaris, ENISA

Panelists:

John Jolliffe, Adobe

Olivier Delos, SEALED

Romain Santini, ANSSI

Michał Tabor, Obserwatorium.biz

12:45 – 13:45

Lunch Break

13:45 – 14:00

Article 19 – State of play

Ilias Bakatsis, ENISA

14:00 – 15:00

Panel Discussion 2

Working on the eIDAS through guidelines and recommendations

Moderator:

Sławomir Górniak, ENISA

Panelists:

Camille Gerbert – LSTI

Björn Hesthamar – PTS SE

Leslie Romeo – 1&1

Jérôme Bordier – ClubPSCo

15:00 – 15:30

Coffee Break

15:30 – 16:30

Panel Discussion 3

Strengthening the adoption of qualified certificates for website authentication

Moderator:

Eugenia Nikolouzou – ENISA

Panelists:

Reinhard Posch – TU Graz

Arno Fiedler – Nimbus

Kim Nguyen – D-Trust

Erik Van Zuuren – TrustCore

16:30 – 17:00

Next Steps – Open Discussion – Closing Remarks