Archivo de la categoría: HSM

Formación y certificación de auditores #EIDAS


TCAB (Trust Conformity Assessment Body) está preparando un evento formativo que tendrá lugar probablemente en Febrero de 2019 y que está destinado a especialistas del mundo de la firma electrónica y de los servicios de confianza.

Se estructura en tres niveles:

  1. Usuarios avanzados de servicios de confianza digital (1 día)
  2. Prestador de servicios de confianza digital (2 días)
  3. Auditor de servicios de confianza digital  (2 días)

Tras la formación completa se puede optar a realizar un examen que dará acceso a la certificación profesional de Auditor EIDAS y posteriormente a la realización de auditorias como auditor junior, en el marco de las evaluaciones de conformidad desarrolladas por TCAB.

El temario tentativo es el siguiente:

Nivel 1. Formación para desarrolladores, empresas de servicios y para empleados del sector Público.

Proporciona una introducción a los sistemas de identificación y firma electrónica.

Se tratan los siguientes temas:

  • Conceptos de identificación electrónica
  • Breve historia de la criptografía
  • Algoritmos de Hash
  • Criptografía de clave simétrica y criptografía de clave asimétrica
  • Elementos de las Infraestructuras de clave pública. RA, OCSP, CA, Root, Entidad final, CRL, Timestamping, custodia digital. Listas de confianza
  • Estructura de los certificados. Normas X.509, X.520
  • SSL TSL. OCSP Stapling
  • Autenticación mediante certificados
  • Firma electrónica. Tipos de firma electrónica
  • Certificados cualificados
  • Dispositivos cualificados de Creación de Firma
  • Drivers de dispositivos. Estándares MS-CAPI y PKCS#11
  • Normativa de firma electrónica. Reglamento EIDAS
  • Firma electrónica en las administraciones públicas y en el ámbito de la Justicia. Consideraciones sobre la Ley 39/2015 y la Ley 18/2011.
  • Firmas avanzadas especiales. Firma biométrica
  • Configuración de servidores para SSL. Como solicitar certificados

Nivel 2. Formación para profesionales de Prestadores de Servicios de Confianza

Se describen los sistemas utilizados por los PSCD, los documentos a elaborar y las medidas de seguridad en el ámbito de los Prestadores de Servicios de Confianza Digital y la forma de prepararse para una auditoría EIDAS

Se tratan los siguientes temas:

  • Normativa relacionada con la gestión de identidades. Reglamento 1501/2015 y Reglamento 1502/2015
  • Normativa general para Prestadores: EN 319 401:
    • Evaluación de riesgos,
    • Políticas y prácticas: Declaración de práctica de servicio de confianza, Términos y condiciones, Política de seguridad de la información,
    • Gestión y operación de Prestadores de Servicios Electrónicos de confianza: Organización interna (Confiabilidad de la organización, Segregación de funciones), Recursos humanos, Gestión de activos (Requisitos generales, Manejo de medios), Control de accesos, Controles criptográficos , Seguridad física y ambiental, Seguridad de las operaciones, Seguridad de la red, Gestión de incidentes, Recogida de información probatoria, Gestión de la continuidad del negocio, Terminación de las actividades de Prestadores de Servicios Electrónicos de confianza y planes terminación de actividades, Cumplimiento legal.
  • OID. Como solicitar OID. Como diseñar una estructura organizada de OID para facilitar la gestión de políticas de firma
  • Perfiles de certificados. Identificación de políticas. OID necesarios según CAB Forum, OID necesarios según las normas ETSIT. Normas EN 319 412. Certificados PSD2
  • Documentación necesaria que se comprobará para expedir certificados de persona física, certificados de persona física representante de persona jurídica, certificados de persona física empleado público, certificados de persona jurídica.
  • Herramientas de parseo y de comprobación de la calidad de certificados.
  • Certificate transparency. Repositorios e integración
  • Normativa relativa a la expedición de certificados: EN 319 411-1. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza
  • Normativa relativa a la expedición de certificados cualificados en el marco de EIDAS: EN 319 411-2. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza. Certificados EIDAS: QCP-n, QCP-l, QCP-n-qscd, QCP-l-qscd, QCP-w.
  • Normativa relativa a la expedición de sellos de tiempo cualificados en el marco de EIDAS: EN 319 421 y EN 319 422
  • Normativa relativa a la prestación de servicios cualificados de notificaciones electrónicas y correo electrónico certificado cualificado (Servicio cualificado de entrega electrónica certificada) en el marco de EIDAS: EN 319 521 y EN 319 531
  • Servicio cualificado de validación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 119 101 y EN 319 102-1
  • Servicio cualificado de conservación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 102 573 y EN 319 102-1
  • Seguro de Responsabilidad civil. Responsabilidad contractual y extracontractual.
  • Dispositivos cualificados de creación de firma. Normas de aplicación para la evaluación de dispositivos: FIPS-140-2, CWA 14167-1, CWA 14167-2, CWA 14169, CWA 14170, EN 419 241-1, EN 419 241-2, EN 419 221-5.
  • Listas de dispositivos de creación de firma: NIST, Common Criteria Portal, Lista del artículo 31 (Compilation of Member States notification on SSCDs and QSCDs). Procedimientos especiales del art. 30-2-b. Vigencia de dispositivos anteriores al EIDAS por art. 51.1
  • Aspectos a tener en cuenta para la expedición de certificados de sitio web y firma de código ejecutable en contextos de CAB Forum: Baseline Requirements, Extended Validation (EV) Guidelines.
  • Criterios de verificación de identidad en las actividades de RA según el artículo 24-1-b y 24-1-d. Criterios de videoidentificación publicados por SEPBLAC en el marco de la Ley 10/2010.
  • Listas TSL (Trusted Lists). Norma TS 119 612. Información que se refleja en las listas. Comprobación de validez de certificados cualificados emitidos en fase válida de prestadores a los que se les ha retirado la cualificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS

Nivel 3. Formación para Auditores y evaluadores de conformidad de Servicios de Confianza

Se describe el marco de evaluación de la conformidad, los organismos de acreditación, los requisitos para los organismos de evaluación de conformidad y los requisitos para los auditores.

Los estudiantes que hayan asistido a la formación de los 3 niveles podrán presentarse a un examen de certificación profesional que los habilitará como auditores EIDAS en el Esquema de Trust Conformity Assessment Body. Los alumnos que superen el examen obtendrán un nivel de cualificación profesional para participar como auditores junior en auditorías de evaluación de conformidad y podrán optar a acompañar a auditores senior en auditorías de TCAB. Tras participar en 3 auditorías recibirán la cualificación de auditores senior.

En la formación el tercer nivel se utilizarán el inglés y el español como lenguas vehiculares a lo largo de las exposiciones.

Se tratan los siguientes temas:

  • Evolución del marco de evaluación de conformidad para servicios de confianza. Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.
  • Modelo de supervisión EIDAS. Lista de supervisores de los Estados miembros.
  • Modelo de acreditación EIDAS. Lista de organismos de acreditación de los Estados miembros.
  • Modelo de evaluación EIDAS. Lista de organismos de evaluación de los Estados miembros.
  • Requisitos aplicables a los CAB para lograr la acreditación. EN 319 403, ISO 17065, Criterios y proceso de acreditación específico para la certificación de servicios electrónicos de confianza regulados en el Reglamento (UE) nº 910/2014 (eIDAS) (Norma ENAC RDE-16)
  • Recomendaciones para planificar una auditoría: Fase de revisión documental, fase presencial, identificación de evidencias, pautas de información a reflejar en el informe de Evaluación (CAR, Conformity Assessment Report).
  • Procedimiento de evaluación. Revisión del informe, aprobación de la certificación.
  • Seguimiento de las entidades evaluadas. Ampliación de alcances de evaluación.
  • Requisitos generales para los auditores y condiciones previas para la acreditación. Principios éticos para los auditores. Criterios de independencia e imparcialidad.
  • Partes involucradas y pautas de interacción.
  • Curso típico de un proyecto de auditoría.
  • Recomendación para la acción y el enfoque durante las auditorías.
  • Requisitos y esquema de informes de evaluación.
  • Modelo de CAR para auditores
  • Condiciones para la Emisión de Certificado. Fases del proceso de certificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS, y de otras marcas asociadas a la evaluación, ENAC, CAB,…
  • Estructura general de aprobación de certificaciones. Organización de TCAB para la aprobación de certificaciones. Comité de partes interesadas.

Para más información llamar a TCAB al +34 91 3880789

Aceleradores criptográficos en mainframe IBM


A lo largo de los años, IBM ha ido añadiendo nuevos equipos criptográficos (HSM) a la oferta disponible para sus entornos mainframe.

Ya he presentado algunos en este blog en artículos anteriores:

En este artículo simplemente resume las variantes disponibles en este momento.

Existe información sobre cómo agregar y eliminar coprocesadores criptográficos en el documento  z / OS Cryptographic Services ICSF Administrator’s Guide.

Dispositivo  Crypto Express5 (CEX5C, CEX5P o CEX5A)
Se trata de un coprocesador o acelerador criptográfico asíncrono, cuyo motor criptográfico  puede configurarse como un coprocesador (CEX5C para CCA y CEX5P para PKCS #11) o como acelerador (CEX5A). Está disponible en los sistemas IBM z13.

Dispositivo Crypto Express4 (CEX4C, CEX4P o CEX4A)
El Crypto Express4 es un coprocesador o acelerador criptográfico asíncrono que se puede configurar como un coprocesador CCA (CEX4C), un coprocesador Enterprise PKCS #11 (CEX4P) o como un acelerador (CEX4A). Está disponible en los sistemas IBM zEnterprise EC12 e IBM zEnterprise BC12.

Dispositivo Crypto Express3 (CEX3C o CEX3A)
La placa criptográfica Crypto Express3 es un coprocesador o acelerador criptográfico asíncrono que contiene dos motores criptográficos que se pueden configurar independientemente como  coprocesador (CEX3C) o como acelerador (CEX3A). Está disponible en los sistemas  IBM System z10 Enterprise Class, IBM System z10 Business Class, IBM zEnterprise 196, IBM zEnterprise 114, IBM zEnterprise EC12 y IBM zEnterprise BC12.

Dispositivo Crypto Express2 (CEX2C o CEX2A)
La placa Crypto Express2 es un coprocesador o acelerador criptográfico asíncrono con dos motores criptográficos que se pueden configurar de forma independiente como coprocesador (CEX2C) o como acelerador (CEX2A). Está disponible en IBM System z9 Enterprise Class, IBM System z9 Business Class, IBM System z10 Enterprise Class e IBM System z10 Business Class.

Coprocesador criptográfico PCI X (PCIXCC)
El coprocesador criptográfico PCI X es un coprocesador criptográfico asíncrono que puede sustituir al coprocesador criptográfico PCI. Solo está disponible en IBM eServer zSeries 990 o IBM eServer zSeries 890.

CP Assist para funciones criptográficas (CPACF)
CPACF es un conjunto de instrucciones criptográficas disponibles en todos los CP. El uso de las instrucciones de CPACF mejora el rendimiento de las funciones criptográficas. Incorpora siempre el algoritmo SHA-1 en algunos sistemas añade los algoritmos SHA-224 y SHA-256 (en los sistemas z9 EC / z9 BC y posteriores). Además, los algoritmos SHA-384 y SHA-512 están disponibles en z10 EC / z10 BC y sistemas posteriores.

CP Assist for Cryptographic Functions (CPACF), con código de producto 3863 para habilitar la funcionalidad  DES / TDES, proporciona instrucciones de cifrado DES y Triple DES de clave en claros. En los sistemas z9 EC / z9 BC y posteriores, esta característica incluye el cifrado AES con clave en claro para claves de 128 bits. En los sistemas z10 EC / z10 BC y posteriores, esta característica también incluye el cifrado AES con clave en claro para claves de 192 y 256 bits.

Acelerador criptográfico PCI (PCICA)
El Acelerador criptográfico PCI brinda soporte para claves en claro en la invocación de los servicios  CSNDDSV, CSNDPKD y CSNDPKE para un mejor rendimiento que cuando se ejecuta en un coprocesador criptográfico. Solo está disponible en IBM eServer zSeries 990 o IBM eServer zSeries 890.

Las PCICA permiten el máximo rendimiento en el cifrado de SSL usado en entornos web.

Bolt Beranek and Newman BBN CP-700 y BBN SafeKeyper, los primeros HSM


BBN Technologies (originalmente Bolt, Beranek and Newman) es una empresa de alta tecnología que está especializada en investigación y desarrollo. Es conocida por su trabajo en el desarrollo de la red de conmutación de paquetes ARPANET precursora de Internet.

Fundada en 1948 por Leo Beranek y Richard Bolt, profesores en el MIT, pronto incorporaron al equipo a Robert Newman, alumno de Bolt. BBN empezó su actividad especializándose en consultoría acústica. Su primer contrato fue la consultoría para el diseño de la acústica de la Asamblea de las Naciones Unidas en Nueva York.

El trabajo en acústica requería una cantidad significativa de cálculos, lo que estimuló la adquisición de los primeros miniordenadores a finales de los 50 y principios de los 60. Entre ellos la primera producción de PDP-1 de Digital Equipment Corporation. El hecho de contar con ordenadores propios significó una posibilidad de negocio en el ámbito de la computación, que creció en paralelo a la actividad en acústica y fue determinante para ser contratista del ejército de Estados Unidos.

Algunos de los desarrollos significativos en el campo de las redes de ordenadores realizados por BBN son la implementación y mantenimiento de ARPANET; el primer correo electrónico enviado de persona a persona y la elección del signo @ (“arroba”) en la dirección de los correos electrónicos; el primer router con IP; el Voice Funnel, un intento previo a la voz sobre IP; y trabajos en el desarrollo del TCP. Otras innovaciones bien conocidas de BBN relacionadas con la computación incluye el primer sistema de tiempo compartido, el lenguaje de programación Logo; el sistema operativo TENEX, el juego Colossal Cave Adventure (ADVENT), el primer link-state routing protocol, y una serie de redes móviles empezando en los años 70. BBN también es conocido por sus sistema de computación paralela, incluyendo Pluribus, y los ordenadores BBN Butterfly, que han sido usados para tareas como las simulaciones de guerra de los Estados Unidos.

BBN fue adquirida en 1998 por GTE. Cuando GTE y Bell Atlantic se unieron se convirtieron en Verizon en el año 2000, se creó el ISP Genuity con parte de los activos de BBN. En marzo del año 2004, Verizon vendió BBN a un grupo privado de inversores, por lo que en el 2005 se convirtió una compañía independiente de propiedad privada. En octubre de 2009, Raytheon adquirió BBN como empresa filial. En diciembre de 2014, bbn.com el segundo dominio comercial creado en Internet se redirigió al web de la matriz.

BBN fue la empresa que construyó en 1989 el primer HSM (Hardware Security Module) orientado a Internet, el “CP-700” si bien el término utilizado en la época era “peripheral crypto device“. Era un equipo certificado por la NSA (National Security Agency) con tecnología de “Tipo 1” (Type 1) lo que permitía que fuera utilizado para cifrar información clasificada del Gobierno de Estados Unidos, lo que se deseaba realizar con una versión securizada del sistema de correo electrónico.

La NSA certificaba y usaba otros equipos anteriormente, como el KL-7 electromecánico de primera generación, equipos de segunda generación de válvulas termoiónicas como el KW-26 y equipos con circuitos integrados de tercera generación como el KOI-18 y el KYK-13.

El año siguiente a la producción del BBN CP-700, la empresa fabricó el BBN SafeKeyper específicamente para la generación, almacenamiento y uso de claves criptográficas en entornos PKI. Es decir, SafeKeyper fue el primer dispositivo pensado para ser usado como infraestructura por una Autoridad de Certificación.

Este tipo de equipos se usaron tempranamente por empresas de medios de pago, como VISA y fue el que se utilizó en la primera autoridad de certificación comercial, Verisign. Verisign se creó en 1995 a partir de la escisión de los servicios de certificación de la empresa RSA Security, hasta ese momento un departamento de dicha empresa. La nueva compañía recibió licencias para adaptar patentes de criptografía de RSA y un acuerdo de no competencia por un tiempo limitado. Verisign actuaba entonces como una Autoridad de Certificación (AC) y su misión inicial consistía en «proporcionar confianza en Internet y el comercio electrónico por medio de nuestros servicios y productos de autenticación digital». Entre sus accionistas, inicialmente estaban Visa International, Ameritech Corp., Bessemer Venture Partners, Fischer International Systems, Mitsubishi Corporation, y Security Dynamics Technologies Inc.

Posteriormente BBN fabricó el SignAssure Certification Authority crypto module, el primer módulo criptográfico (cryptographic module) evaluado con el nivel FIPS-140 Level 3 y disponible para Autoridades de certificación hasta, al menos, el año 2004.

FIPS140-2-validation

Se publican más borradores de las normas de ETSI sobre firma electrónica


Los pasados 16, 17 y 19 de febrero se han añadido en el servidor de ETSI un nuevo lote de documentos “drafts” (borradores) relativos al esfuerzo de normalización de la firma electrónica bajo el Mandato M460, necesario también para aplicar el Reglamento UE 910/2014.

El mapa descriptivo del nuevo modelo de normalización se describe en tr_119000v003-rationalised_framework_document_COMPLETE-draft.pdf

Están  abiertos a comentarios por parte de los especialistas, con la vista puesta en su mejora antes de que se publiquen como definitivos. Para enviar comentarios se puede usar la siguiente plantilla: Template-for-comments.doc

16 de febrero de 2015

17 de febrero de 2015

19 de febrero de 2015

Criptografía en Mainframe IBM EC12 y firma electrónica


El nuevo mainframe de IBM zEnterprise EC12 aumenta los niveles de rendimiento y capacidad de los sistemas anteriores y da soporet a la consolidación de servidores permitiendo gran escalabilidad.

Aporta una nueva generación de hardware de seguridad para la firma digital, con soporte para criptografía de curvas elípticas y cuenta con capacidad de análisis avanzado de reconocimiento de patrones para el control inteligente de la salud del propio sistema, lo que permite predicir y evitar fallos. Ahora hay una nueva opción para instalarlo en suelo no técnico y permite configuraciones híbridas para cargas de trabajo distribuidas orientadas a AIX, Linux y Windows, demás de las tradiciones de mainframe, basadas en sistemas operativos OS/2 y zLinux.

El nuevo servidor zEC12 con el chip más rápido del mercado procesando a 5,5 GHz ofrece hasta un 25% más de rendimiento por core y un 50% más de capacidad que su predecesor.

Es el sistema con mayor seguridad y resiliencia para entornos corporativos de misión crítica: Con la criptografía de firma digital Crypto Express 4S y la certificación Common Criteria  EAL 5+

El zEC12 admite requisitos de plataforma heterogéneos con el nuevo IBM zEnterprise BladeCenter Extension (zBX) modelo 003 e IBM zEnterprise Unified Resource Manager para ampliar las capacidades de gestión a otros sistemas y cargas de trabajo que se ejecutan en servidores AIX en POWER7, Linux® en IBM System x y Microsoft® Windows® en IBM System x.

Ahora la nueva versión de zBackTrust 1.3 permite decidir sobre qué tipo de procesador y de sistema operativo se desea ejecutar la funcionalidad de firma electrónica, ya que cuenta con versiones para:

  • z/OS: java sobre  z/OS V1.12, V1.13 o superior; z/OS V1.11, V1.10 extensión de ciclo de vida
  • Linux en Systemz: java sobre RedHat Enterprise Linux (RHEL) 6y RHEL 5, SUSE Enterprise Server (SLES) 11 y SLES 10
  • Windows Server 2008 (c# y .net) (en servidores blade IBM BladeCenter HX5 instalados en ZBX Mod 003)
  • Linux en System x: java sobre Red Hat RHEL 5.5, 5.6, 5.7, 6.0, 6.1 y SUSE Linux Enterprise Server (SLES) 10 (SP4), SLES 11 SP1 (sólo de 64 bits)  (en el servidor blade IBM BladeCenter HX5 instalado en zBX Mod 003)

El modo de licenciamiento de zBackTrust permite un número ilimitado de instancias por site, y solo incrementa el coste por número de sistemas operativos soportados o por número de sites. El incremento de costes para sites de backup no activos es de solo un 10% del coste de licencia general. De este modo la escalabilidad está garantizada, sin coste adicional.

A través de CPACF (Central Processor Assist for Cryptographic Function) función que no implica coste al habilitarla en el sistema, puede gestionar los siguientes algoritmos criptográficos:

  • Algoritmos de hash (Secure hash algorithms) SHA-1, SHA-224, SHA-256, SHA-384, y SHA-512 habilitado en todos los servidores con unidades de proceso  (PUs – processor units) definidas como  CPs, IFLs, zIIPs, or zAAPs.
  • Cifrado Simétrico
    • Data Encryption Standard (DES)
    • Triple Data Encryption Standard (TDES)
    • Advanced Encryption Standard (AES) con claves de 128-bits, 192-bits, y 256-bits
  • Control de Integridad (Secure Hash Algorithms)
    • SHA-1: 160 bit
    • SHA-2: 224, 256, 384, and 512 bit
  • Control de Integridad (MAC)
    • Single-length key MAC
    • Double-length key MAC

El soporte  IBM Enterprise PKCS #11 (EP11) IBM Enterprise Public-Key Cryptography Standards (PKCS) #11 está basado en la especificatión v2.20 de PKCS #11 y se incluye enlos sistemas operativos  z/OS y z/VM medianteICSF (Integrated Cryptographic Service Facility).

El soporte criptográfico es de especial interés en banca, ya que permite, por ejemplo gestionar las funciones de seguridad de las tarjetas EMV, o cifrar la información relevante sobre tarjetas y titulares que exige el cumplimiento de la normativa PCI DSS. En entornos de banca y seguros, permite la firma de transacciones y la securización de documentos electrónicos, permitiendo la eliminación de documentos en papel.

Entre las funcionalidade de zBacktrust cabe citar:

  • Firma Electrónica de alto rendimiento.
  • Compatible con HSM IBM 4764 (Crypto Express2), IBM 4765 (Crypto Express3) y Crypto Express 4S
  • Compatible con gestión de claves y certificados X.509 a través de interfaces PCCS#12 y PKCS#11.
  • Generación de firmas XAdES (XML) y PAdES (PDF).
  • Conversión de firmas simples en completas.
  • Validación de firmas electrónicas
  • Gestión de evidencias electrónicas
  • Cumplimiento de estándares: ETSI (TS 101 903,  TS 102 778), ISO-32001, ISO 14533-2:2012 y OASIS DSS 
  • Compatiblidad con Middleware: WebSphere , Weblogic y Tomcat.
  • Accesible desde equipos con Linux, Windows, MacOS, Blackberry, Android, iOS, Windows Phone.
  • Integración con prestadores de servicios de timestamping y OCSP externos

Contactar con el +34 917160555 para obtener más información de zBacktrust

Firma electrónica en zEnterprise EC12


Recientemente IBM ha lanzado el nuevo sistema “mainframe” zEnterprise EC12, con clara orientacion hacia entornos de private cloud, con disponibilidad de muchísima potencia de cómputo en entornos de múltiples tipos de procesadores, sistemas operativos y cargas de trabajo.

El zEnterprise EC12 ofrece nuevos niveles de rendimiento y capacidad para consolidación de múltiples sistemas  y crecimiento a gran escala, compatibilidad con la nueva generación de equipamiento de  seguridad para firma digital, el nuevo HSM (Hardware Security Module) Crypto Express 4S, análisis avanzado de reconocimiento de patrones para el control inteligente de la funcionalidad de los componentes del sistema, nueva opción para instalaciones en  suelo no técnico y despliegue de tecnologías híbridas de procesamiento para diferentes sistemas operativos y todo tipo de cargas de trabajo distribuidas, incluyendo las específicas de mainframe (z/OS , z/VM , z/VSE , z/TPF, y Linux on System z).

En el Mainframe se equipa la cabina de entrada salida compatible con interfaz PCIe Gen2 (Peripheral Component Interconnect Express Generation 2) al que se conecta cada adaptador Crypto Express4S que da soporte a todas las funciones del modelo de adaptador criptográfico anterior Crypto Express3.

Este adaptador se puede configurar a través de la consola HMC (Hardware Management Console) de tres formas distintas:

  1. Como coprocesador CCA: IBM Common Cryptographic Architecture (CCA) coprocessor
  2. Como coprocesador PKCS#11: IBM Enterprise PKCS #11 (EP11) coprocessor
  3. Como Acelerador (Accelerator)

El adaptador se ha certificado de acuerdo con los estándares  FIPS 140-2 Security Level 4 y Common Criteria EAL 4+.

A través de CPACF (Central Processor Assist for Cryptographic Function) función que no implica coste al habilitarla en el sistema, puede gestionar los siguientes algoritmos criptográficos:

  • Algoritmos de hash (Secure hash algorithms) SHA-1, SHA-224, SHA-256, SHA-384, y SHA-512 habilitado en todos los servidores con unidades de proceso  (PUs – processor units) definidas como  CPs, IFLs, zIIPs, or zAAPs.
  • Cifrado Simétrico
    • Data Encryption Standard (DES)
    • Triple Data Encryption Standard (TDES)
    • Advanced Encryption Standard (AES) con claves de 128-bits, 192-bits, y 256-bits
  • Control de Integridad (Secure Hash Algorithms)
    • SHA-1: 160 bit
    • SHA-2: 224, 256, 384, and 512 bit
  • Control de Integridad (MAC)
    • Single-length key MAC
    • Double-length key MAC

El soporte  IBM Enterprise PKCS #11 (EP11) IBM Enterprise Public-Key Cryptography Standards (PKCS) #11 está basado en la especificatión v2.20 de PKCS #11 y se incluye enlos sistemas operativos  z/OS y z/VM medianteICSF (Integrated Cryptographic Service Facility).

El soporte criptográfico es de especial interés en banca, ya que permite, por ejemplo gestionar las funciones de seguridad de las tarjetas EMV, o cifrar la información relevante sobre tarjetas y titulares que exige el cumplimiento de la normativa PCI DSS.

Gracias al soporte PKCS#11 permite utilizar el sistema de firmas electrónicas zBackTrust de Albalia (con soporte para CAdES, XAdES y PAdES) en z/OS además de en Linux on System z.

La solución zBackTrust es la única disponible a nivel mundial con soporte nativo para mainframe en equipos z9, z10 z196, z114 y  zEC12 y capacidad de gestionar las citadas formas de firma, aunque IBM ofrece un tipo de unidad integrable en los bastidores zEnterprise que también permite realizar la funconalidad de firma electrónica con sus propias funciones criptográficas externalizadas del sistema principal (Datapower).

El sistema zBackTrust de Albalia se puede instalar sobre entornos de gestión de transacción para Java como WebSphere , Weblogic y Tomcat y soporta de forma nativa las diferentes funcionalidades de la norma DSS   (Digital Signature Services) de OASIS, de modo que la gestión de la firma electrónica se puede llevar a cabo de forma centralizada para toda la organización mediante webservices que se pueden invocar desde entornos Linux, Apple y Windows.

El sistema zBackTrust está disponible bajo diferentes tipos de licencias:

  • System
  • Site
  • Enterprise
  • Cloud

lo que permite que se pueda disponer de múltiples instancias de ejecución sin coste adicional.

El sistema zBackTrust puede contratarse a través de IBM, a través de INSA o directamente a través de Albalia, contactando con el 91 716 0555 de España (+34 917160555).

Otros artículos relacionados:

SOA – Service Oriented Architecture y la firma electrónica


Las instituciones, organismos públicos y grandes empresas, usan cada vez más la firma electrónica, por los grandes ahorros que promueve, la eficiencia que añade a los procesos, y por prescripcion legal.

Con 25 millones de DNI electrónicos y casi 5 millones de otros certificados cualificados, se utiliza para identificar y establecer la prestación del consentimiento en miles de documentos electrónicos. Las firmas automatizadas requieren infraestructuras comunes y la mera gestión de políticas de firma hace recomendable en ocasiones utilizar sistemas de firma centralizados aunque los usuarios trabajen en puestos distribuidos en le organzación.

Servicios de gestión centralizada de firmas electrónicas y servicios conexos que forman parte de la arquitectura tecnológica de las organizaciones  se emplean cada vez más, también para garantizar una funcionalidad fluida que no dependa de las múltiples configuraciones de los equipos de los usuarios. La diversidad de equipamientos es con frecuencia causa de fallos de funcionamiento.

Entre los servicios que despliegan las organizaciones, cabe citar los siguientes:

  • Servicios de Firma (DSS).  El servicio de firma automatizada permite firmar documentos XML y PDF, respectivamente con firmas XAdES y PAdES. Los documentos de otro tipo pueden encapsularse en firmas CAdES o firmas XAdES, si bien requerirán de servicios de comprobación compatibles con la técnica de encapsulado.  Este servicio permite también  verificar las firmas de documentos ya firmados. El servicio permite utilizar diferentes claves y certificados, asociados a diferentes políticas, que se gestionan de forma centralizada en un HSM (Hardware Security Module). Se usa, por ejemplo, para automizar el uso de los sellos de órgano.
  • Servicio de Sellado de Tiempo. Este servicio emite y verifica sellos de tiempo sobre protocolo RFC 3161 y (o)  webservice (DSS). Si se usa con un certificado de TSU de una CA apropiada, en el marco de un acuerdo de gestión, estos sellos de tiempo pueden tener valor legal.  El sistema permite sincronización mediante NTP (accediendo a ROA), GPS y DCF77.
  • Servicio de Validación de Certificados. Este servicio permite comprobar la validez de un certificado y extraer la información contenida en él, relativa al titular del mismo (nombre y apellidos, NIF/CIF, ….). Para ello hace uso de consultas OCSP o consultas de certificados revocados según el protocolo definido por la AEAT (ycaestec).
  • Servicio de Copia. Este servicio añade información gráfica (Código QR o PDF 417) relativa a una firma electrónica sobre una copia constatable de un documento electrónico (albalá), facilitando así posteriores procesos de comprobación de documentos electrónicos impresos.
  • Servicio de Potestades. Este servicio permite gestionar y comprobar atribuciones en un marco de gestión de políticas de firma, o en relación con flujos de proceso (worlflows) de diferentes roles del organismo (cargos administrativos, firmantes finales por nombramiento oficial, responsables, apoderados, …).
  • Servicio de Custodia. Este servicio permite almacenar y recuperar documentos almacenados en el Sistema de Constancias (Cartulario). Existen varios tipos de custodia con diferentes restricciones de acceso (o sin restricciones). Se utiliza el concepto de Código Seguro de Verificación.
  • Servicio de Interconexión con otras Redes. Este servicio permite obtener información de validación de certificados y otras informaciones de redes asociadas. En particular existen integraciones con la Red SARA.
  • Servicios de validación de esquemas. Relacionados con documentos intercambiados, frecuentemente en formato XML se trata de validar la correcta formación de los documentos y la cumplimentación de su contenido. Por ejemplo el formato factuare en el caso de las facturas electrónicas.
  • Servicio de Publicación Fehaciente. Este servicio permite obtener certificados que acrediten fehacientemente el momento en el que los documentos son publicados en una Sede Electrónica. Utiliza el sistema de sello de tiempo y permite cumplir el artículo 42 de la Ley de Contratos del Sector Público (en el caso de las administraciones públicas) o la normativa de publicación de convocatorias de juntas de la Ley de Sociedades de Capital (en el caso del sector privado).

Además hay servicios adicionales que proporcionan funcionalidades localizadas en sistemas cliente o servidor, accesibles por otros programas:

  • Ejecutable de firma en cliente: permite la firma de documentos por parte de un usuario, haciendo uso de su clave y sucertificado digital. Existen variantes como por ejemplo el de  firmador java (websigner) y el de firmador de escritorio.
  • Módulos que desarrollan las funcionalidades en forma de API (SDK) para ser invocadas por otras aplicaciones en entorno cliente o en entorno servidor.

Estos conceptos pueden extenderse y se tratan enel Seminario Firma Electrónica en Arquitectura SOA. Os invito a inscribiros.