Archivo de la categoría: Criptografía

John Cock-pigeon Identity – Blockchain


Las denominaciones de los sistemas y de las tecnologías deberían ser significativas para los usuarios.

Traigo el tema a colación de la denominación “Self Sovereign Identity” que suele traducirse como “identidad autosoberana” trasladando a un contexto jurídico continental principios de gestión de identidad que nos son ajenos y responden a necesidades de países que adoptan el derecho de la “Common Law”, tan diferente del nuestro. Es un tipo de propuesta, normalmente basada en infraestructuras de tipo Blockchain, que encuentra eco en nuestra sociedad.

En España, acreditar la identidad a distancia es sumamente sencillo, con el DNI electrónico, si bien, hay que reconocer que algo falla cuando el uso actual de esta posibilidad es tan escaso.

En países en los que no existe el DNI se opta por emitir un “carné de conducir de no conductores” que no deja de ser un documento de identidad expedido por el estado.

Pero en muchos contextos, uno acredita su identidad con lo que puede: contratos en los que se indica el nombre y apellidos y la otra parte los admite, facturas en las que figuran datos de identificación y de dirección de suministro (agua, gas, electricidad, teléfono fijo)…

En el fondo, no hay un buen sistema de gestión de identidad y se recurre a empresas como Experian y Equifax (o Dun & Bradstreet  en el caso de empresas) que recopilan datos de identidad y de comportamiento de pagos para refrendar la identidad alegada.

Que en esos contexto se propongan sistemas de tipo SSI (“Self Sovereign Identity”) o similares (caso de Sovrin o uPort) es una consecuencia lógica de la carencia que tratan de resolver.

Sin embargo, en nuestro contexto, la gestión de la identidad no tiene nada que ver con la soberanía (mucho menos a nivel individual) por lo que sistemas de base tan primitiva la podríamos llamar “Identidad Juan Palomo” (“yo me lo guiso, yo me lo como) y todo el mundo entendería la base de la propuesta: acreditamos un dato que nos pidan con algún “papel” que nos haya expedido un tercero tras cumplir ciertos requisitos (el carné del videoclub, una factura, un título universitario,…).

No es que en España no se use la “Identidad Juan Palomo”, lo que sucede es que la demostración más sencilla y eficaz de la identidad a secas la proporciona el DNI:

El DNI tiene suficiente valor, por sí solo, para acreditar la identidad y los datos personales de su titular que en él se consignen, así como la nacionalidad española del mismo. (RD 1553/2005)

Los servicios de Equifax y Experian siguen siendo útiles en la prevención del fraude (como ya expliqué en los artículos de “Documentos Perdidos/Sustraídos” y “Documentos Robados/Extraviados“) pero no se consideran una primera referencia para la gestión de identidad.

De modo que si nos llega a parecer que la denominación “John Cock-pigeon Identity” no es la mejor traducción del concepto para un angloparlante, quizá debamos cuestionar si la denominación “Identidad autosoberana” significa lo mismo en español.

Norma del CCN para firma en la nube


CCN-CertificacionLos dispositivos cualificados de creación de firma son necesarios para producir firmas electrónicas y sellos electrónicos cualificados en el contexto del Reglamento 910/2014 (EIDAS).

Dada la lentitud del proceso de publicación en el seno del CEN (Comité Europeo de Normalización) de las normas de evaluación de conformidad de dispositivos cualificados de creación de firma que promovía el Reglamento EIDAS, en su artículo 30, en 2016 el Centro Criptológico Nacional (CCN) impulsó la publicación de una norma propia a lo que le autorizaba el propio artículo 30 en su apartado 3-b.

En efecto, el artículo 30 en su apartado 1 indica:

La conformidad de los dispositivos cualificados de creación de firmas electrónicas con los requisitos que figuran en el anexo II será certificada por los organismos públicos o privados adecuados designados por los Estados miembros.

Y en su apartado 3

La certificación contemplada en el apartado 1 se basará en los elementos siguientes:

a) un proceso de evaluación de la seguridad llevado a cabo de conformidad con las normas para la evaluación de la seguridad de los productos de tecnología de la información incluidos en la lista que se establecerá de conformidad con el párrafo segundo

(…)

La Comisión establecerá, por medio de actos de ejecución, la lista de las normas para la evaluación de la seguridad de los productos de tecnología de la información a que se refiere la letra a). Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

En abril de 2016 se publicó la DECISIÓN DE EJECUCIÓN (UE) 2016/650 DE LA COMISIÓN de 25 de abril de 2016 por la que se fijan las normas para la evaluación de la seguridad de los dispositivos cualificados de creación de firmas y sellos con arreglo al artículo 30, apartado 3, y al artículo 39, apartado 2, del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.

Sin embargo, esta norma solo hacía mención al marco de evaluación Common Criteria (ISO/IEC 15408 — Information technology — Security techniques — Evaluation criteria for IT security (Tecnología de la información — Técnicas de seguridad — Criterios de evaluación para la seguridad de la TI), Partes 1 a 3 y a la norma de perfiles de protección de dispositivos seguros de creación de firma EN 419 211 — Protection profiles for secure signature creation device (Perfiles de protección para los dispositivos seguros de creación de firma, Partes 1 a 6), que pasaba de puntillas sobre los requisitos de firma en la nube (limitado a la parte  EN 419 211-5).

En base a la Directiva 1999/93/CE se había publicado en julio del año 2003 la Decisión 2003/511/CE:de la Comisión, de 14 de julio de 2003, relativa a la publicación de los números de referencia de las normas que gozan de reconocimiento general para productos de firma electrónica, de conformidad con lo dispuesto en la Directiva 1999/93/CE del Parlamento Europeo y del Consejo que permitía contar con dispositivos seguros de creación de firma mientras evolucionaba el marco de normas técnicas de evaluacón de conformidad.

Dado el interés de algunas entidades españolas en certificar dispositivos cualificados de creación de firma (necesarios, por ejemplo, para finalizar el proyecto de DNI en la nube) el Centro Criptológico Nacional publicó en enero de 2017 la norma IT-009 -Remote Qualified Electronic Signature Creation Device Evaluation Methodology.

Esta norma se publicó al amparo del apartado 3-b del artículo 30 de EIDAS:

3.   La certificación contemplada en el apartado 1 se basará en los elementos siguientes:

(…)

b) un proceso distinto del proceso contemplado en la letra a), con tal de que ese proceso haga uso de niveles de seguridad equivalentes y que los organismos públicos o privados a los que se refiere el apartado 1 notifiquen ese proceso a la Comisión. Podrá recurrirse a ese proceso únicamente a falta de las normas a que se refiere la letra a) o cuando esté en curso el proceso de evaluación de la seguridad a que se refiere la letra a).

El documento recoge lo esencial de las normas técnicas en estado borrador en ese momento y posicionó a España en la punta de lanza de la evaluación de conformidad. Debe agradecerse al CCN esta labor proactiva que redunda en la competitividad de las empresas españolas del sector de la seguridad.

Por parte de TCAB (Trust Conformity Assessment Body) fué un privilegio el que pudiéramos colaborar en los trabajos preparatorios previos a la publicación de la norma.

Digital por diseño


Va llegando el momento de abandonar el término “transformación digital” que transmite la idea de que hay que cambiar los procesos de las organizaciones, conforme avanza la digitalización de la sociedad y la adopción masiva de las tecnologías de la información.

Con el estado actual de la tecnología y de la legislación, no tiene sentido diseñar procesos de información, contratación o mero trámite que no estén diseñados desde el principio pensando en el valor probatorio de los registros digitales administrados con ayuda de la criptografía.

En todo caso, cualquier concesión a procedimientos o actuaciones arcaicos debe ser en atención a la experiencia de usuario.

Uno de los aspectos claves del nuevo paradigma es la gestión de la identidad digital de las personas con las que se relacionan las entidades que debería tener en cuenta la posibilidad de acceso de personas de diversa procedencia y medios de identificación.

Las “piezas de lego” que facilitan la gestión digital por diseño de los procedimientos preservando la seguridad jurídica son componentes como las firmas electrónicas de persona, los sellos electrónicos de empresa, los sistemas de conservación digital de documentos electrónicos (incluso con códigos seguros de verificación) y evidencias electrónicas, los sellos de tiempo electrónicos, los sistemas de gestión de información de representación (de otras personas o de empresas) los sistemas que permiten comprobar la validez de las firmas y de los sellos, los que permiten gestionar mecanismos de identificación y de firmas y sellos “en la nube”, los que permiten realizar la digitalización certificada de documentos, los que permiten la identificación remota co y los que permiten acreditar las notificaciones electrónicas.

En la actualidad. el Reglamento (UE) Nº 910/2014, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (eIDAS), ofrece una buena base para construir sistemas digitales con valor legal admisibles en todos los países miembros, sea cual sea el país de origen, de entre los europeos.

Un aspecto clave en la digitalización por diseño es que la experiencia de usuario debe ser una de las principales prioridades en el diseño de los procesos, para evitar repetir errores de usabilidad  que en el pasado no contribuyeron a poner en valor tecnologías como el DNI electrónico, que se expide desde 2006.

El despliegue de sistemas digitales de gestión debería preservar principios esenciales como el “soporte duradero” o la “simetría probatoria” (igualdad de armas) para que los usuarios de las plataformas cuenten con la misma posición respecto a la prueba digital que los promotores de las plataformas.

El conocimiento técnico y legal de estos principios de despliegue digital ayudará a las entidades a diseñar sistemas digitales eficientes, sencillos y con valor probatorio por lo que es útil contar con especialistas a los que consultar.

Los sistemas de gestión de identidad disponibles ya contemplan la interoperabilidad entre países con “nodos eIDAS” como el español que se instancia a través del sistema “Cl@ve“.

 

Formación y certificación de auditores #EIDAS


TCAB (Trust Conformity Assessment Body) está preparando un evento formativo que tendrá lugar probablemente en Febrero de 2019 y que está destinado a especialistas del mundo de la firma electrónica y de los servicios de confianza.

Se estructura en tres niveles:

  1. Usuarios avanzados de servicios de confianza digital (1 día)
  2. Prestador de servicios de confianza digital (2 días)
  3. Auditor de servicios de confianza digital  (2 días)

Tras la formación completa se puede optar a realizar un examen que dará acceso a la certificación profesional de Auditor EIDAS y posteriormente a la realización de auditorias como auditor junior, en el marco de las evaluaciones de conformidad desarrolladas por TCAB.

El temario tentativo es el siguiente:

Nivel 1. Formación para desarrolladores, empresas de servicios y para empleados del sector Público.

Proporciona una introducción a los sistemas de identificación y firma electrónica.

Se tratan los siguientes temas:

  • Conceptos de identificación electrónica
  • Breve historia de la criptografía
  • Algoritmos de Hash
  • Criptografía de clave simétrica y criptografía de clave asimétrica
  • Elementos de las Infraestructuras de clave pública. RA, OCSP, CA, Root, Entidad final, CRL, Timestamping, custodia digital. Listas de confianza
  • Estructura de los certificados. Normas X.509, X.520
  • SSL TSL. OCSP Stapling
  • Autenticación mediante certificados
  • Firma electrónica. Tipos de firma electrónica
  • Certificados cualificados
  • Dispositivos cualificados de Creación de Firma
  • Drivers de dispositivos. Estándares MS-CAPI y PKCS#11
  • Normativa de firma electrónica. Reglamento EIDAS
  • Firma electrónica en las administraciones públicas y en el ámbito de la Justicia. Consideraciones sobre la Ley 39/2015 y la Ley 18/2011.
  • Firmas avanzadas especiales. Firma biométrica
  • Configuración de servidores para SSL. Como solicitar certificados

Nivel 2. Formación para profesionales de Prestadores de Servicios de Confianza

Se describen los sistemas utilizados por los PSCD, los documentos a elaborar y las medidas de seguridad en el ámbito de los Prestadores de Servicios de Confianza Digital y la forma de prepararse para una auditoría EIDAS

Se tratan los siguientes temas:

  • Normativa relacionada con la gestión de identidades. Reglamento 1501/2015 y Reglamento 1502/2015
  • Normativa general para Prestadores: EN 319 401:
    • Evaluación de riesgos,
    • Políticas y prácticas: Declaración de práctica de servicio de confianza, Términos y condiciones, Política de seguridad de la información,
    • Gestión y operación de Prestadores de Servicios Electrónicos de confianza: Organización interna (Confiabilidad de la organización, Segregación de funciones), Recursos humanos, Gestión de activos (Requisitos generales, Manejo de medios), Control de accesos, Controles criptográficos , Seguridad física y ambiental, Seguridad de las operaciones, Seguridad de la red, Gestión de incidentes, Recogida de información probatoria, Gestión de la continuidad del negocio, Terminación de las actividades de Prestadores de Servicios Electrónicos de confianza y planes terminación de actividades, Cumplimiento legal.
  • OID. Como solicitar OID. Como diseñar una estructura organizada de OID para facilitar la gestión de políticas de firma
  • Perfiles de certificados. Identificación de políticas. OID necesarios según CAB Forum, OID necesarios según las normas ETSIT. Normas EN 319 412. Certificados PSD2
  • Documentación necesaria que se comprobará para expedir certificados de persona física, certificados de persona física representante de persona jurídica, certificados de persona física empleado público, certificados de persona jurídica.
  • Herramientas de parseo y de comprobación de la calidad de certificados.
  • Certificate transparency. Repositorios e integración
  • Normativa relativa a la expedición de certificados: EN 319 411-1. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza
  • Normativa relativa a la expedición de certificados cualificados en el marco de EIDAS: EN 319 411-2. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza. Certificados EIDAS: QCP-n, QCP-l, QCP-n-qscd, QCP-l-qscd, QCP-w.
  • Normativa relativa a la expedición de sellos de tiempo cualificados en el marco de EIDAS: EN 319 421 y EN 319 422
  • Normativa relativa a la prestación de servicios cualificados de notificaciones electrónicas y correo electrónico certificado cualificado (Servicio cualificado de entrega electrónica certificada) en el marco de EIDAS: EN 319 521 y EN 319 531
  • Servicio cualificado de validación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 119 101 y EN 319 102-1
  • Servicio cualificado de conservación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 102 573 y EN 319 102-1
  • Seguro de Responsabilidad civil. Responsabilidad contractual y extracontractual.
  • Dispositivos cualificados de creación de firma. Normas de aplicación para la evaluación de dispositivos: FIPS-140-2, CWA 14167-1, CWA 14167-2, CWA 14169, CWA 14170, EN 419 241-1, EN 419 241-2, EN 419 221-5.
  • Listas de dispositivos de creación de firma: NIST, Common Criteria Portal, Lista del artículo 31 (Compilation of Member States notification on SSCDs and QSCDs). Procedimientos especiales del art. 30-2-b. Vigencia de dispositivos anteriores al EIDAS por art. 51.1
  • Aspectos a tener en cuenta para la expedición de certificados de sitio web y firma de código ejecutable en contextos de CAB Forum: Baseline Requirements, Extended Validation (EV) Guidelines.
  • Criterios de verificación de identidad en las actividades de RA según el artículo 24-1-b y 24-1-d. Criterios de videoidentificación publicados por SEPBLAC en el marco de la Ley 10/2010.
  • Listas TSL (Trusted Lists). Norma TS 119 612. Información que se refleja en las listas. Comprobación de validez de certificados cualificados emitidos en fase válida de prestadores a los que se les ha retirado la cualificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS

Nivel 3. Formación para Auditores y evaluadores de conformidad de Servicios de Confianza

Se describe el marco de evaluación de la conformidad, los organismos de acreditación, los requisitos para los organismos de evaluación de conformidad y los requisitos para los auditores.

Los estudiantes que hayan asistido a la formación de los 3 niveles podrán presentarse a un examen de certificación profesional que los habilitará como auditores EIDAS en el Esquema de Trust Conformity Assessment Body. Los alumnos que superen el examen obtendrán un nivel de cualificación profesional para participar como auditores junior en auditorías de evaluación de conformidad y podrán optar a acompañar a auditores senior en auditorías de TCAB. Tras participar en 3 auditorías recibirán la cualificación de auditores senior.

En la formación el tercer nivel se utilizarán el inglés y el español como lenguas vehiculares a lo largo de las exposiciones.

Se tratan los siguientes temas:

  • Evolución del marco de evaluación de conformidad para servicios de confianza. Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.
  • Modelo de supervisión EIDAS. Lista de supervisores de los Estados miembros.
  • Modelo de acreditación EIDAS. Lista de organismos de acreditación de los Estados miembros.
  • Modelo de evaluación EIDAS. Lista de organismos de evaluación de los Estados miembros.
  • Requisitos aplicables a los CAB para lograr la acreditación. EN 319 403, ISO 17065, Criterios y proceso de acreditación específico para la certificación de servicios electrónicos de confianza regulados en el Reglamento (UE) nº 910/2014 (eIDAS) (Norma ENAC RDE-16)
  • Recomendaciones para planificar una auditoría: Fase de revisión documental, fase presencial, identificación de evidencias, pautas de información a reflejar en el informe de Evaluación (CAR, Conformity Assessment Report).
  • Procedimiento de evaluación. Revisión del informe, aprobación de la certificación.
  • Seguimiento de las entidades evaluadas. Ampliación de alcances de evaluación.
  • Requisitos generales para los auditores y condiciones previas para la acreditación. Principios éticos para los auditores. Criterios de independencia e imparcialidad.
  • Partes involucradas y pautas de interacción.
  • Curso típico de un proyecto de auditoría.
  • Recomendación para la acción y el enfoque durante las auditorías.
  • Requisitos y esquema de informes de evaluación.
  • Modelo de CAR para auditores
  • Condiciones para la Emisión de Certificado. Fases del proceso de certificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS, y de otras marcas asociadas a la evaluación, ENAC, CAB,…
  • Estructura general de aprobación de certificaciones. Organización de TCAB para la aprobación de certificaciones. Comité de partes interesadas.

Para más información llamar a TCAB al +34 91 3880789

Composición de los Grupos de Trabajo del Observatorio y Foro Blockchain de la Unión Europea


El Observatorio y Foro Blockchain de la Unión Europea nombra a los miembros de los Grupos de Trabajo centrales y anuncia su primer taller europeo de blockchain

logo-blockchain-observatory

El European Blockchain Observatory and Forum, lanzado en febrero de 2018, es una iniciativa europea para acelerar la innovación en tecnologías y servicios asociados a blockchain y para impulsar el ecosistema blockchain dentro de la UE y así ayudar a consolidar la posición de Europa como líder mundial en esta tecnología de moda.

El pasado 18 de mayo de 2018, el Observatorio y el Foro han comunicado los avances producidos en varias de sus iniciativas. Uno de ellos es la formación de dos grupos de trabajo que explorarán temas críticos en blockchain en Europa, así como el anuncio de su primer taller europeo de blockchain.

Grupos de trabajo

Los grupos de trabajo del Observatorio y del Foro identificarán e investigarán las iniciativas blockchain existentes dentro de la UE y en otros países, supervisarán y debatirán sobre desarrollos y desafíos técnicos, observarán las condiciones legales y normativas para ofrecer más seguridad jurídica, buscarán extraer lecciones y definirán áreas de acción potenciales a nivel europeo.

  • El Grupo de trabajo sobre políticas y condiciones marco de Blockchain (Blockchain Policy and Framework Conditions Working Group) examinará cuestiones tecnológicas horizontales e intersectoriales para definir las políticas, las condiciones legales y normativas necesarias para promover la previsibilidad legal y reglamentaria necesaria para la implementación a gran escala de las aplicaciones blockchain. Este análisis considerará temas que van desde contratos inteligentes y protección de datos personales hasta el reconocimiento legal de blockchains y economía de fichas de valor( (tokens). El Grupo de Trabajo también examinará cuestiones relacionadas con la tecnología y el desarrollo de los ecosistemas, incluida la interoperabilidad, la escalabilidad, la sostenibilidad, la ciberseguridad y la eficiencia energética.
  • El Grupo de Trabajo de Casos de Uso y Escenarios de Transición (Use Cases and Transition Scenarios Working Group) se enfocará en los casos de uso de las tecnologías de cadena de bloques más prometedores con énfasis en aplicaciones del sector público tales como servicios de gestión de identidad y de administración electrónica, salud, energía y trazabilidad ambiental. El Grupo de Trabajo también explorará casos de uso en otros sectores, tales como el de Fintech y servicios financieros, el de cadena de suministro, el de industrias creativas o el que abarca las actividades sin fines de lucro, y considerará escenarios de transición, por ejemplo, la integración y la convivencia con sistemas de tecnologías preexistentes.

Cada grupo de trabajo consta de 30 miembros elegidos entre más de 350 solicitudes recibidas por el Observatorio y el Foro durante la convocatoria abierta que tuvo lugar entre el 15 de marzo y el 9 de abril de 2018. El proceso de selección se centró en la experiencia y la experiencia.

La lista final, disponible más abajo, está formada por líderes del mundo empresarial, empresarios de blockchain, investigadores y autoridades públicas, que representan a 28 países. Las industrias representadas incluyen las tecnológicas, las de servicios financieros, el mundo académico, así como los ámbitos legal, de la energía, los medios de comunicación y las telecomunicaciones.

Tema inaugural: innovación de Blockchain en Europa

El Observatorio y Foro de Blockchain de la UE también tiene la tarea de llevar a cabo análisis e informes sobre una amplia gama de temas relativos a blockchain basados ​​en las aportaciones de sus Grupos de Trabajo y de otros posibles interesados.

En su tema inaugural, “La innovación de Blockchain en Europa” (“Blockchain innovation in Europe”), el Observatorio y el Foro examinan el estado actual del desarrollo blockchain en la UE a través de investigaciones originales y entrevistas con profesionales, académicos y otros expertos, catalogando las fortalezas de Europa yasí como los desafíos en el reto de desarrollar un ecosistema de blockchain efervescente y acelerar la adopción de la tecnología.

Este será el tema del primer taller del Observatorio y del Foro, que se celebrará en Viena el 22 de mayo de 2018. Uniendo a los miembros del Grupo de Trabajo con potenciales interesados, el taller inclirá un debate en profundidad sobre el tema. También dará a conocer el primer documento temático del Observatorio y Foro, que se publicará unas semanas después del evento.

Los resúmenes de video y los informes estarán disponibles después del evento.

Foro en línea

El Observatorio y Foro Blockchain de la UE también tiene como objetivo el de crear un foro atractivo en el que todos los interesados ​​en blockchain de Europa, desde líderes y emprendedores hasta los usuarios tempranos y el público en general, puedan compartir experiencias, y debatir y reflexionar sobre el futuro de esta tecnología.

El foro de discusión pública en línea ya está funcionando en la URL  eublockchain.mobilize.io y accesible para todos los interesados.

Junto con el Taller del 22 de mayo de 2018, el Observatorio y Foro también lanzarán una versión actualizada de su sitio web eublockchainforum.eu.

Este sitio web incluirá el lanzamiento de la versión inicial, “génesis” del Mapa Blockchain de la Unión Europea con las aportaciones y la participación de la comunidad.  El mapa mostrará de forma visualmente atractiva la actividad desarrollada en Europa en torno al las tecnologías de cadena de bloques.

Lista de miembros de los grupos de trabajo

“Blockchain Policy and Framework Conditions” 

  • Anastasios Antoniou (Antoniou McCollum & Co, Partner)
  • Dr. Roman Beck (European Blockchain Center, Professor)
  • Dr. Stefan Beyer (S2 Grupo, Head of R&D)
  • Jamie Burke (Outlier Ventures, Founder & CEO)
  • Cristina Cobos (Legal Counsel & Professor at IE Business school )
  • Savino Damico (Intesa Sanpaolo, Head of Fintech Ecosystem Monitoring)
  • Dr. Primavera De Filippi (Permanent research at CERSA/CNRS; Faculty Associate at the Berkman-Klein Center at Harvard)
  • Julio Faura (Banco Santander, Head of Blockchain)
  • Nadia Filali (Caisse des Dépôts, Head of blockchain)
  • Dr. Michèle Finck (Senior Research Fellow – Max Planck Institute for Innovation and Competition and Lecturer in EU Law, Keble College, University of Oxford)
  • Janis Graubins (Notakey, Co-Founder)
  • Dr. Dominique Guegan (University Pantheon-Sorbonne, Professor)
  • Marta Ienco (GSMA, Head of Government & Regulatory Affairs, Identity)
  • Luukas Ilves (Lisbon Council, Deputy Director and Senior Fellow)
  • Christoph Jentzsch (Slock.it, Founder)
  • Dr.hab Iwona Karasek (Jagiellonian University, Associate Professor of Law)
  • Ad Kroft (Dutch Blockchain Coalition, Program manager)
  • Arnaud Le Hors (IBM, Senior Technical Staff Member)
  • Leila Nassiri Jamet (Government Blockchain Association, VP Europe)
  • Marina Niforos (Visiting Faculty HEC, Blockchain Advisor to IFC/WBG)
  • Nejc Novak (Novak Law, Founder)
  • Isabella Porchia (Latham & Watkins, Counsel)
  • Dr. Andrea Renda (CEPS, Senior Research Fellow)
  • Dr. Philipp Sandner (Frankfurt School of Finance and Management, Head of Blockchain Center)
  • Javier Sebastián (BBVA research, Principal Economist Digital Regulation and Trends)
  • Dr. Nina-Luisa Siedler (DWF, Partner)
  • Ivona Skultetyova (Tilburg University, Lecturer/Researcher)
  • Thibault Verbiest (DS Avocats, Partner)
  • Gilbert Verdian (Quant Network AG, CEO)
  • Jean-Luc Verhelst (Author of Bitcoin, the Blockchain and Beyond)

“Use Cases and Transition Scenarios” 

  • Andrius Adamonis (Bank of Lithuania, Blockchain Project Manager )
  • Irina Albita (FilmChain, Co-founder)
  • Nicolas Bacca (Ledger, CTO)
  • Anja Bedford (Deutsche Bank, GTB Head of Blockchain)
  • Diana Biggs (HSBC, Head of Digital innovation)
  • Oliver Bussmann (Crypto Valley Association, President)
  • Tamás Chlepkó (Tax & Customs Administration of Hungary, Senior Project Manager)
  • Daniel Du Seuil (Flemish Government, Program manager)
  • Goncalo Fernandes (Emirates Integrated Telecommunications, Head of IoT and Blockchain)
  • Dr. Alexander Grech (Commonwealth Centre for Connected Learning, Director)
  • Bo Hembæk Svensson (Blockchain Advisor)
  • Dr. Julian Hosp (TenX, Co-founder & President)
  • Dr. Stefan Junestrand (Grupo Tecma Red, CEO)
  • Clément Lesaege (Kleros, CTO)
  • Manuel Machado (Worldline, Global Blockchain Solutions Manager)
  • Johan Mastenbroek (Ledger Leopard BV, Advisor)
  • Dr. Julie Maupin (IOTA Foundation, Director of Social Impact & Public Regulatory Affairs)
  • Martin Pospěch (Smart Contract Labs, Founder)
  • Simone Ravaioli (Digitary, Business Development Executive)
  • Sandra Ro (UWINCorp, Co-founder)
  • Dr. Plamen Russev (Webit.Foundation, Founder & Executive Chairman)
  • Ville Sointu (Nordea Bank, Head of DLT and Blockchain)
  • David Suomalainen (Land Registry Sweden, Legal advisor)
  • Jolanda Ter Maten (TerMaten Business Consultancy, Blockchain Trainer & Consultant)
  • Dr. Hitesh Tewari (Trinity College Dublin, Assistant Professor)
  • Nikica Tomasic (CRIB Consulting, CEO & Co-Founder)
  • Marcello Topa (Citi, Director, EMEA Market Policy & Strategy)
  • Dr. Konstantinos Votis (Centre for Research and Technology Hellas/Information Technologies Institute, Senior Researcher)
  • John Whelan (Santander, Blockchain Lab Director)
  • Vlad Zamfir (Ethereum, Researcher and Blockchain Architect)

Se espera que los colaboradores del Grupo de trabajo:

  • Contribuyan a la investigación del Observatorio y el Foro con análisis expertos y puntos de vista
  • Contribuyan al Mapa de iniciativas Blockchain europeo con casos de estudio
  • Participen en talleres temáticos seleccionados, que tendrán lugar en toda Europa
  • Revisen, comenten y enriquezcan los informes temáticos que entregará el Observatorio y Foro durante 2018 y 2019.
  • Interactúen con el Observatorio y Foro de forma continua, haciendo uso de su plataforma en línea

Los Grupos de Trabajo recibirán soporte por ConsenSys y otros contratistas del Observatorio y Foro. Los participantes no perciben remuneración.

Además de las actividades de los Grupos de Trabajo, el Observatorio y Foro de Blockchain de la UE colaborará con una amplia gama de partes interesadas, entre las que cabe mencionar agencias gubernamentales, socios académicos, asociaciones nacionales y expertos de Blockchain en todos los temas relevantes.

Este artículo se ha inspirado en “EU Blockchain Observatory and Forum names members to core Working Groups

La urgente adopción de la criptografía postcuántica


Criostato de 50 Qubits presentado por IBM en noviembre de 2017

Está generalmente admitido que  los algoritmos criptográficos tienen una vida útil finita, en la que su validez está limitada por los avances en las técnicas de criptoanálisis, por los avances en la informática y por los avances en el conocimiento matemático subyacente que apuntala la criptología.

En el dominio de la computación cuántica se ha producido  un cambio radical en la forma en que se producirán los ataques informáticos a los algoritmos criptográficos.

En particular, con el hallazgo del algoritmo de Shor, que hará más rápido encontrar la clave privada a partir de la pública que se utiliza en los algoritmos de clave asimétrica como RSA y ECC, y del Algoritmo de Grover, para simplificar un poco el reto de encontrar la clave secreta en algoritmos de clave simétrica, es preciso replantear la forma en la que se gestiona el cifrado en los contextos en los que es necesario,.

Tal como cabe prever por lo que se conoce de la computación cuántica y partiendo de que la existencia de recursos informáticos cuánticos viables se usará contra las implementaciones de algoritmos criptográficos, se puede asumir que:

  • La robustez de la  criptografía simétrica se reducirá a la mitad. Por ejemplo el algoritmo AES de 128 bits tendrá una robustez equivalente a la que hoy en día tiene una implementación de 64 bits.
  • La criptografía de clave pública basada en matemáticas de curva elíptica no ofrecerá seguridad.
  • La criptografía de clave pública basada en el algoritmo RSA no ofrecerá seguridad.
  • El protocolo Diffie-Helman-Merkle  de negociación de claves no ofrecerá seguridad,

Con la llegada de Ordenadores Cuánticos viables, todo lo que se haya  protegido por alguno de los algoritmos que ya se sabe que son vulnerables, estará potencialmente desprotegido.

Existe cierta especulación relativa al momento en el que la computación cuántica será viable y si bien no hay consistencia en las predicciones, es razonable suponer que los Ordenadores Cuánticos serán viables dentro de la vida útil pronosticada a las claves y los algoritmos utilizados por la criptografía actual.

Algunas reflexiones de especialistas nos ponen en guardia respecto a los retos que se deben afrontar.

Los profesores Johannes Buchmann de la Technische Universität Darmstadt y Jintai Ding de la University of Cincinnati, en su publicación de 2008 “Post-Quantum Cryptography”,  señalan “Algunos físicos predijeron que dentro de los próximos 10 a 20 años las computadoras cuánticas serán lo suficientemente potentes como para implementar las ideas de Shor y exponer todos los esquemas de clave públicas existentes. Por lo tanto, necesitamos mirar hacia adelante en un futuro de computadoras cuánticas, y debemos preparar el mundo criptográfico para ese futuro”.

El mismo año 2008, el profesor Seth Lloyd del Massachusetts Institute of Technology advirtió “Mis colegas en el MIT y yo hemos estado construyendo Ordenadores Cuánticos sencillos y ejecutando algoritmos cuánticos desde 1996, al igual que otros científicos de todo el mundo. Los  Ordenadores Cuánticos funcionan tal como se esperaba. Si se pueden escalar, a miles o decenas de miles de qubits desde su actual tamaño de en torno a una docena de qubits, ¡cuidado! ”

Ya el año 2004 el profesor  Johannes Buchmann, y otros colegas, en la publicación “Post-Quantum Signatures”, señaló “Hay altas probabilidades   de que se puedan construir grandes Ordenadores Cuánticos dentro de los próximos 20 años. Esto podría convertirse en una pesadilla para la seguridad de Tecnologías de la Información si en ese tiempo no se desarrollan, implementan y normalizan  esquemas de firma post-cuántica.

No cabe duda de que la computación cuántica viable se agregará al arsenal de herramientas de los criptoanalistas  en torno al año 2030, o, probablemente antes, por el ritmo con el que se acelera la investigación en la computación cuántica, que están convirtiendo los nuevos retos más en problemas de ingeniería que de ciencia.

La cantidad de qubits necesarios para realizar un ataque práctico a los criptosistemas sigue siendo significativa. La mayoría de los expertos sugieren que dada una longitud de  clave L, serán necesarios equipos cuántcos con un número de qubits de entre L y L al cuadrado.

En la actualidad ya existen equipos en los laboratorios con 50 qubits.

Un Libro Blanco del ETSI (Quantum Safe Cryptography and Security;
An introduction, benefits, enablers and challenges )
 sugiere que las técnicas de comunicación segura cuántica no son compatibles con las técnicas en uso generalizado en la actualidad en productos potencialmente vulnerables a los ataques cuánticos. En una transición tecnológica razonable, existe un período de tiempo en el que los nuevos productos se adoptan gradualmente y los productos preexistentes se van dejando de utilizar. En la actualidad pueden coexistir productos seguros en términos de criptografía cuántica  y productos vulnerables, mientras se prepara la transición.

Sin embargo, cada vez hay menos tiempo para gestionar adecuadamente una transición ordenada por lo que debe ser urgente diseñar y adoptar productos, servicios y algoritmos de seguridad preparados para un contexto en el que las herramientas cuánticas estarán disponibles. Y en ese contexto, retomarán un nuevo protagonismo los sistemas de cifrado simétrico, junto con los nuevos Multivariate public key cryptosystems (MPKC).

Curso Experto Legal en Blockchain, Smart Contracts, ICOs y DAOs


Agradezco a Blockchain España su invitación para participar en los cursos de Experto Legal en Blockchain, Smart Contracts, ICOs y DAOs que se han celebrado hasta la fecha.

Es un lujo compartir estrado con los ponentes participantes y un placer el intercambio de pareceres con los alumnos, que demuestran un nivel de preparación muy alto.

Hasta la fecha he participado en 3 ediciones:

Posiblemente se anuncien nuevas ediciones. Estad atentos.