Archivo de la categoría: PKI

Los certificados DSC de España con los que se firman los pasaportes COVID


Algunos paises europeos han publicado la información de los certificados electrónicos ECC (y unos pocos RSA) con los que se firman los pasaportes COVID (oficialmente “Certificados Digitales COVID” y anteriormente “Certificados verdes digitales”). Estos certificados se denominan DSC (Document Signing Certificate). Ya lo mencioné en el artículo “Public Key of Spain CSCA for European digital COVID certificate“.

Uno de los países que publican la información de dichos certificados electrónicos es Suecia, que hace referencia a los certificados incluidos en la pasarela de validación de confianza de pasaportes COVID (Técnicamente “Digital Green Certificate Gateway” DGCG).

En España, todos los certificados menos uno los ha expedido EADTrust (European Agency of Digital Trust), por lo que la Sub-CA de certificados de curva elíptica P-256 para sello de órgano de EADTrust se ha convertido en la principal CSCA (Certificate Signing Certificate Authority de España. Otra singularidad del sistema adoptado en España es que los DSC emitidos por EADTrust son, además, certificados cualificados de sello de órgano según el Reglamento EIDAS.

Estos son los datos principales de certificados de CSCA y DSC de España:

Country: ES
TypeNameContactPurpose
CSCA CertificateOU=Legal Person, OID.2.5.4.97=VATES-B85626240, C=ES, O=”European Agency of Digital Trust, S.L.”, CN=EADTrust ECC 256 SubCA For Qualified Certificates 2019ca@eadtrust.eu
CSCA CertificateCN=iCA Izenpe, OU=Peer, O=IZENPE S.A., C=ES
Document SignerC=ES, O=SERVICIO DE SALUD DE LAS ISLAS BALEARES, OID.2.5.4.97=VATES-Q0719003F, OU=SELLO ELECTRONICO, SERIALNUMBER=Q0719003F, CN=IBSALUT-CVD-SELLO1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=Servicio Extremeño de Salud, OID.2.5.4.97=VATES-Q0600413I, OU=SSII, OU=SELLO ELECTRONICO, SERIALNUMBER=Q0600413I, CN=Servicio Extremeño de Salud1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=GERENCIA REGIONAL DE SALUD DE CASTILLA Y LEON, OID.2.5.4.97=VATES- Q4700608E, OU=GERENCIA REGIONAL DE SALUD DE CASTILLA Y LEON, OU=SELLO ELECTRONICO, SERIALNUMBER=Q4700608E, CN=GERENCIA REGIONAL DE SALUD CASTILLA Y LEÓN (SACYL)1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=”DIRECCION GENERAL DE SALUD PUBLICA, CONSUMO Y CUIDADOS”, OID.2.5.4.97=VATES-S2633001I, OU=”DIRECCIÓN GENERAL DE SALUD PUBLICA, CONSUMO Y CUIDADOS”, OU=SELLO ELECTRONICO, SERIALNUMBER=S2633001I, CN=Gobierno de La Rioja1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=Servicio Canario de la Salud, OID.2.5.4.97=VATES-Q8555011I, OU=Secretaría General del Servicio Canario de la Salud, OU=SELLO ELECTRONICO, SERIALNUMBER=Q8555011I, CN=Secretaría General del Servicio Canario de la Salud1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=CIUDAD AUTÓNOMA DE MELILLA, OID.2.5.4.97=VATES-S7900010E, OU=DIRECCIÓN GENERAL DE LA SOCIEDAD DE LA INFORMACIÓN, OU=SELLO ELECTRONICO, SERIALNUMBER=S7900010E, CN=SELLO ELECTRONICO DE LA CIUDAD AUTÓNOMA DE MELILLA1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=SERVICIO ANDALUZ DE SALUD, OID.2.5.4.97=VATES-Q9150013B, OU=SERVICIO ANDALUZ DE SALUD, OU=SELLO ELECTRONICO, SERIALNUMBER=Q9150013B, CN=SELLO SAS PARA CERTIFICADO COVID DE LA UE1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerCN=DIRECCIÓN DE SALUD PÚBLICA Y ADICCIONES, OID.2.5.4.97=VATES-S4833001C, OU=SELLO ELECTRONICO, O=EUSKO JAURLARITZA – GOBIERNO VASCO, C=ES1.3.6.1.5.5.7.3.2
Document SignerC=ES, O=Servicio Cántabro de Salud, OID.2.5.4.97=VATES-Q3900738J, OU=SELLO ELECTRONICO, SERIALNUMBER=Q3900738J, CN=Servicio Cántabro de Salud1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=Servicio de Salud de Castilla-La Mancha, OID.2.5.4.97=VATES- Q4500146H, OU=SELLO ELECTRONICO, SERIALNUMBER=Q4500146H, CN=SESCAM Certificado Digital COVID UE1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=Ministerio de Defensa, OID.2.5.4.97=VATES-S2830001J, OU=Inspección General de Sanidad de la Defensa, OU=SELLO ELECTRONICO, SERIALNUMBER=S2830001J, CN=Inspección General de Sanidad de la Defensa1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=Principado de Asturias, OID.2.5.4.97=VATES- S3333001J, OU=SELLO ELECTRONICO, SERIALNUMBER=S3333001J, CN=Consejería de Salud del Principado de Asturias1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=Servicio Navarro de Salud-Osasunbidea, OID.2.5.4.97=VATES-Q3150004D, OU=Servicio Navarro de Salud-Osasunbidea, OU=SELLO ELECTRONICO, SERIALNUMBER=Q3150004D, CN=Sello Electrónico del Servicio Navarro de Salud-Osasunbidea1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=CIUDAD AUTONOMA DE CEUTA, OID.2.5.4.97=VATES-S6100007A, OU=CIUDAD AUTONOMA DE CEUTA, OU=SELLO ELECTRONICO, SERIALNUMBER=S6100007A, CN=CEUTA1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=GENERALITAT VALENCIANA, OID.2.5.4.97=VATES-S4611001A, OU=CONSELLERIA DE SANITAT UNIVERSAL I SALUT PÚBLICA, OU=SELLO ELECTRONICO, SERIALNUMBER=S4611001A, CN=GENERALITAT VALENCIANA1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=Departament de Salut de la Generalitat de Catalunya, OID.2.5.4.97=VATES-S0811001G, OU=Departament de Salut, OU=SELLO ELECTRONICO, SERIALNUMBER=S0811001G, CN=CERT-GENCAT-1S-211.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=COMUNIDAD AUTONOMA DE LA REGION DE MURCIA, OID.2.5.4.97=VATES- S3011001l, OU=DIRECCION GENERAL INFORMATICA CORPORATIVA, OU=SELLO ELECTRONICO, SERIALNUMBER=S3011001l, CN=DIRECCIÓN GENERAL DE SALUD PÚBLICA Y ADICCIONES1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=MINISTERIO DE SANIDAD, OID.2.5.4.97=VATES-S2827001E, OU=SELLO MINISTERIO DE SANIDAD CERTIFICACION COVID19, OU=SELLO ELECTRONICO, SERIALNUMBER=S2827001E, CN=SELLO MINISTERIO DE SANIDAD CERTIFICACION COVID191.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=GOBIERNO DE ARAGON, OID.2.5.4.97=VATES-S5011001D, OU=DEPARTAMENTO DE SANIDAD, OU=SELLO ELECTRONICO, SERIALNUMBER=S5011001D, CN=DEPARTAMENTO DE SANIDAD DEL GOBIERNO DE ARAGON1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=SERVICIO MADRILEÑO DE SALUD, OID.2.5.4.97=VATES-Q2801221I, OU=DG SISTEMAS DE INFORMACION Y EQUIPAMIENTOS SANITARIOS, OU=SELLO ELECTRONICO, SERIALNUMBER=Q2801221I, CN=FIRMA CERTIFICADO COVID DIGITAL UE 11.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=Consellería de Sanidad, OID.2.5.4.97=VATES-S1511001H, OU=SELLO ELECTRONICO, SERIALNUMBER=S1511001H, CN=ConselleriadeSanidade.XuntadeGalicia1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4

Compatibilidad con EIDAS de proyectos de blockchain. Criptografía.


EADTrust está emitiendo certificados cualificados de persona física y persona física para su integración en proyectos de blockchain, lo que permitirá comprobar la viabilidad de los sistemas de identidad digital basados en carteras virtuales (User-centric Identity, denominación que sustitute a Self-sovereign Identity).

Un reto del proyecto es la selección del marco de algoritmos criptográficos que se usarán.

Aunque hay razones técnicas para adoptar el esquema de firma digital “Edwards-curve Digital Signature Algorithm (EdDSA)” (denominacion Ed25519) o la variante de “Elliptic Curve Digital Signature Algorithm (ECDSA) denominada secp256k1 y en algunos proyectos de Blockchain se ha elegido alguno de dichos algoritmos (o variantes con diferentes tamaños de clave), en las discusiones técnicas del equipo del Prestador de Servicios de Confianza indicado, finalmente se ha decidido optar por “Elliptic Curve Digital Signature Algorithm (ECDSA) en linea con las recomendaciones de la norma ETSI TS 119 312 V1.3.1. En concreto, la variante P256 (además de esta denominacion, P-256, tiene además otros nombres prime256v1 o sec256r1).

Dibujo de Carl Mehner sobre la curva P-256 usado en su blog https://www.cem.me/20170410-ecc-1.html

EADtrust ha sido la primera autoridad de certificación en emitir certificados basados en criptografía de curva elíptica y una de las pocas que lo hacen en el mundo. En el contexto de EIDAS (Reglamento UE 910/2014), emite certificados cualificados de persona física y de persona jurídica basados en el algoritmo ECDSA , con las variantes P-256 y P-384.

La compatibilidad con despliegues de infraestructura ya existentes en EIDAS es la que hace recomendable el uso de estos mismos algoritmos en proyectos con Blockchain, especialmente en las fases iniciales del proyecto en las que todavía no se han creado dependencias con decisiones de diseño para las que exista ya un histórico de bloques minados.

Electronic signatures in EU Digital COVID Certificates, based on qualified certificates issued by #EIDAS Certification Authorities


To configure DGCG (Digital Green Certificate Gateway) in Digital COVID Certificate project, participating countries provide information regarding Public Key of the certificate of CSCA (Certificate Signing Certificate Authority). Spain uses a ECC #eIDAS Sub-CA as CSCA.

CSCA, as defined in the DGC project, requires the CSCA cert to include the country field for which the CSCA is valid. However, #EIDAS certificates are intended for cross-border interoperability, so the country field in the CA cert is irrelevant to countries in which it is valid.

DGC technical documents should be changed so CSCA of one country could be serviced from a CA in other country. So #EIDAS certification authorities could provide DSC certificates to health bodies in any country. The same principle should be extended to WHO technical documents.

Extended key Usage Identifiers could be present with some information in #EIDAS certificates, so the explanation that the DSC may contain an extended key usage extension with zero or more key usage policy identifiers that constrain the types of HCERTs such DSC certificate may sign, should consider other OIDs as “not present” if the eHealth application doesn´t understand them.

If one or more of the special DGC OIDs are present, the verifiers SHALL verify the extended key usage against the stored HCERT.

In absence of any key usage extension of the special DGC OIDs (i.e. no such special DGC OIDs extensions), the related DSC certificate can be used to sign any type of HCERT.

So, in #EIDAS DSC certificates to be used to electronically sign HCERT, the following OIDs can be used in Extended Key Usage extension fields:

  • OID 1.3.6.1.4.1.1847.2021.1.1 — valid for test
  • OID 1.3.6.1.4.1.1847.2021.1.2 — valid for vaccinations
  • OID 1.3.6.1.4.1.1847.2021.1.3 — valid for recovery

This OIDs can be present if the related EU Digital COVID Certificate is restricted to one of two kind of certificates. If all 3 are included (or none of them) the related EU Digital COVID Certificate is NOT restricted and can reflect any of the three options.

Thales anuncia la certificación EIDAS para firma remota de sus HSM


El Módulo de Seguridad de Hardware (Hardware Security Module, HSM) de Thales denominado Luna v.7.7.0 ya está certificado de acuerdo con los Criterios Comunes (Common Criteria, CC) en el nivel EAL4+ contra el Perfil de Protección (PP) EN 419 221-5 de los Servicios de Identificación, Autenticación y Confianza electrónicos (eIDAS). Además de la certificación CC, Luna HSM 7 también ha recibido la certificación eIDAS como dispositivo cualificado de creación de firmas y sellos (Qualified Signature/Seal Creation Device QSCD).

Los HSM Luna (de las generaciones 6 y 7, anteriormente englobados bajo la marca Safenet) ya habían conseguido certificaciones como QSCD independiente, o como parte de un QSCD de firma remota formado por módulos creados por entidades terceras que los incluían en su configuración. Han certificado su validez entidades de evaluación de conformidad de Austria, Italia y España, según lo previsto en el artículo 30.3.b (Procesos alternativos) del Reglamento EIDAS.

Los prestadores de servicios de confianza cualificados (Qualified Trust Service Providers, QTSP), así como las empresas públicas o privadas que emiten certificados digitales y proporcionan firmas y sellos digitales sobre servidores propios o remotos (avanzados y cualificados), sello de tiempo, entrega electrónica y servicios de autenticación de sitios web, pueden utilizar ahora los HSM Luna 7 como parte de su solución alineada con eIDAS.

Esta certificación CC EAL4+ de la familia de HSMs Luna es la quinta en cuatro generaciones de productos (Luna CA3, Luna 4, Luna 5/6 y ahora Luna 7).

Esta última versión de HSM Luna incluye funciones útiles para operaciones eIDAS de gran volumen, que requieran alto rendimiento, y funcionalidades como la autorización por clave (per-key authorization, PKA) y el almacenamiento escalable de claves (scalable key storage, SKS), funciones utilizadas por los sistemas que gestionan firmas remotas en nombre del titular del certificado.

Los Prestadores de Servicios de Confianza (Trust Service Providers – TSP) que adopten estos HSM de Thales pueden certificar sus soluciones de firma remota conPerfil de Protección Common Criteria EN 419 241-2 (perfil de protección para QSCD diseñado para la modalidad de firma electrónica en servidor), o en el caso de una certificación eIDAS existente (en base al artículo 30.3.b, procesos alternativos), ampliar su lista de certificaciones con esta nueva certificación Common Criteria.

La certificación en base al Perfil de Protección Common Criteria EN 419 221-5 “Cryptographic Modules for Trust Services” (Módulos criptográficos para servicios de confianza) puede utilizarse como certificación independiente o como base para una certificación CC de mayor alcance según el Perfil de Protección EN 419 241-2 para servicios de firma y sellado electrónico remotos. La norma EN 419 241-2 exige el empleo de un módulo criptográfico, como un HSM, destinado a ser utilizado por los TSP en apoyo de las operaciones de firma electrónica y sellado electrónico, que esté certificado conforme a la norma EN 419 221-5.

Además, los artículos 30 y 31 del reglamento eIDAS dictan que “La conformidad de los dispositivos cualificados de creación de firmas electrónicas con los requisitos [de la UE] […] será certificada por los organismos públicos o privados adecuados designados por los Estados miembros”. Luna HSM 7 está publicado en la lista del artículo 31 de eIDAS, promoviendo su uso como QSCD certificado.

El uso de un equipamiento de HSM basado en la nube o en las instalaciones de la entidad que lo adopta es una forma excelente de cumplir con el eIDAS y tiene muchas ventajas, pero se exige que el HSM esté certificado como dispositivo QSCD.

En los entornos de trabajo remotos existe la necesidad de acceder a las claves de firma digital en cualquier momento y lugar. Los HSM se utilizan para gestionar y proteger las claves de firma privadas de sus titulares, sin que el firmante deba preocuparse por su custodia (como ocurre cuando se utilizan tarjetas inteligentes). Sus claves se mantienen en el perímetro del Prestador de Servicios de Confianza (protegidas por el HSM) y con sujeción a la evaluación periódica del prestador.

HSMs Luna

Además de los requisitos a los HSM impuestos por el Reglamento eIDAS mencionados anteriormente, que requieren su evaluación de conformidad, los HSM de red y de tarjeta PCIe de Luna proporcionan altos rendimientos, protección de claves de alto nivel de aseguramiento y la administración y supervisión centralizada de las operaciones de criptografía necesarias para gestionar firmas electrónicas, sellos electrónicos y otros servicios de confianza y resultan necesarios para proporcionar servicios eIDAS.

Noticia comunicada por Thales (artículo de Hermann Bauer) .

¿Qué sucede cuando un Prestador de Servicios Electrónicos de Confianza cesa su actividad?


En la actualidad ya existen varios tipos de servicios electrónicos de confianza, no solo la emisión de certificados, pero está claro que al menos uno de los problemas a gestionar cuando se deja de ofrecer un servicio de confianza es la revocación de certificados expedidos, y la disponibilidad de esta información para los afectados (titulares de los certificados y terceros que confían en ellos).

La Ley 59/2003de 19 de diciembre, de firma electrónica ,de próxima derogación establece en su artículo 21.3 que, en caso de cese de la actividad de un prestador de servicios de certificación, éste remitirá al Organismo Supervisor (a fecha de este artículo el Ministerio de Asuntos Económicos y Transformación Digital) con carácter previo al cese definitivo de su actividad la información relativa a los certificados electrónicos cuya vigencia haya sido extinguida para que éste se haga cargo de su custodia a efectos de lo previsto en el artículo 20.1.f.

Dicho artículo 20.1.f establece que la información relativa a un certificado “reconocido” (que en la actualidad tras la publicación del Reglamento EIDAS (Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE) se denomina “cualificado“) será custodiada, al menos durante 15 años contados desde el momento de su expedición, de manera que se puedan verificar las firmas realizadas con dicho certificado (serían válidas las firmas codificadas antes de su revocación).

Asimismo, el artículo 21.3 establece que el Organismo Supervisor mantendrá accesible al público un servicio de consulta específico donde figure una indicación sobre los citados certificados durante un período que se considere suficiente en función de las consultas efectuadas al mismo.

Por otro lado y en relación con la prestación de servicios cualificados de confianza, el Reglamento EIDAS obliga a los prestadores cualificados de servicios de confianza a informar al Organismo Supervisor de su intención de cesar la prestación de sus servicios (art. 24.2.a), así como a contar con un plan de cese actualizado para garantizar la continuidad del servicio (art. 24.2.i).

Además, conforme a lo indicado (art. 17.4.i) en el citado Reglamento EIDAS este Organismo Supervisor verifica la existencia y la correcta aplicación de las disposiciones relativas a los planes de cese en caso de que los prestadores de servicios de confianza cesen sus actividades.

A lo largo del tiempo, en España han ido cesando sus actividades varios Prestadores de Servicios de Confianza, que lo han comunicado al Organismo Supervisor que ha publicado la información que se transcribe a continuación:

Safe Creative S.L.

  • Nombre o Razón Social: Safe Creative S.L.
  • Nombre Comercial: Safe Creative S.L.
  • Fecha de resolución por la que se acepta la comunicación de cese: 26 de diciembre de 2019

Signen

  • Nombre o Razón Social: Signen Blockchain S.L.
  • Nombre Comercial: Signen
  • Fecha de resolución por la que se acepta la comunicación de cese: 9 de diciembre de 2019

Netfocus

  • Nombre o Razón Social: Hewlett-Packard Española Sociedad Limitada
  • Nombre Comercial: NETFOCUS
  • Fecha de resolución por la que se acepta la comunicación de cese: 03 de abril de 2009
  • El período de validez de todos los certificados electrónicos de Netfocus se encuentra expirado

Telefónica Empresas

  • Nombre o Razón Social: Telefónica Data España, S.A.U
  • Nombre Comercial: Telefónica Empresas
  • Fecha de resolución por la que se acepta la comunicación de cese: 29 de junio de 2012
  • Gestión de los certificados transferida al Prestador de Servicios de Certificación: Telefónica Soluciones de Informática y Comunicaciones de España, S.A. Sociedad Unipersonal

CertiVer

  • Nombre o Razón Social: Certificate, Verification & Revocation S.L.
  • Nombre Comercial: CertiVer
  • Fecha de resolución por la que se acepta la comunicación de cese: 07 de junio de 2012  

Banesto CA

  • Nombre o Razón Social: Banco Español de Crédito, S.A
  • Nombre Comercial: Banesto CA
  • Fecha de resolución por la que se acepta la comunicación de cese: 05 de junio de 2013
  • El período de validez de todos los certificados electrónicos de Banesto CA se encuentra expirado

Telefónica GGCC (Grandes cuentas)

  • Nombre o Razón Social:   Telefónica Soluciones de Informática y Comunicaciones de España, S.A. Sociedad Unipersonal
  • Nombre Comercial: Telefónica GGCC (Grandes cuentas)
  • Fecha de resolución por la que se acepta la comunicación de cese: 18 de marzo de 2014

Lista de certificados revocados (CRL) Telefónica

IpsCA

  • Nombre o Razón Social: IPS Certification Authority S.L.
  • Nombre Comercial: IPSCA
  • Fecha de cese: 10 de octubre de 2014

Autoridad de Sellado de Tiempo iCertia

  • Nombre o Razón Social: Evintia, S.L.
  • Nombre comercial: Autoridad de Sellado de Tiempo iCertia
  • Fecha de resolución por la que se acepta la comunicación de cese: 28 de marzo de 2015 

CICCP

  • Nombre o Razón Social: Colegio de Ingenieros de Caminos, Canales y Puertos
  • Nombre Comercial: CICCP
  • Fecha de resolución por la que se acepta la comunicación de cese: 03 de junio de 2015
  • El período de validez de todos los certificados electrónicos de CICCP se encuentra expirado

Healthsign, S.L.

  • Nombre o Razón Social: HEALTHSIGN, S.L.
  • Nombre Comercial: HEALTHSIGN, S.L.
  • Fecha de resolución por la que se acepta la comunicación de cese: 1 de diciembre de 2015

Lista de certificados revocados (CRL) CODIGI CA

Lista de certificados revocados (CRL) CODILL CA

Lista de certificados revocados (CRL) CODITA CA

Lista de certificados revocados (CRL) COMG CA

Lista de certificados revocados (CRL) COMLL CA

Lista de certificados revocados (CRL) COMT CA

STARTCOM

  • Nombre o Razón Social: STARTCOM CA SPAIN S.L.U.
  • Nombre Comercial: STARTCOM
  • Fecha de recepción del escrito de comunicación de cese: 18 de enero de 2018

Lista de certificados revocados STARTCOM CLIENT CERTIFICATES 1

Lista de certificados revocados STARTCOM CLIENT CERTIFICATES 2

Lista de certificados revocados STARTCOM CLIENT CERTIFICATES 3

Lista de certificados revocados OV

Lista de certificados revocados IV

Lista de certificados revocados EV

Lista de certificados revocados DV

Tractis

  • Nombre o Razón Social: Negonation Platform, S.L.
  • Nombre Comercial: Tractis
  • Fecha de recepción del escrito de comunicación de cese: 21 de marzo de 2018

Banco Santander

  • Nombre o Razón Social: Banco Santander, S.A.
  • Nombre Comercial: Santander
  • Fecha de resolución por la que se acepta la comunicación de cese: 17 de octubre de 2018

Lista de certificados revocados (CRL)

Servicio de Salud de Castilla-La Mancha (SESCAM)

  • Nombre o Razón Social: Servicio de Salud de Castilla-La Mancha (SESCAM)
  • Nombre Comercial: Servicio de Salud de Castilla-La Mancha (SESCAM)
  • Fecha de cese: 10 de diciembre de 2018

El Ministerio ha publicado información sobre el Procedimiento administrativo para notificar el cese de un prestador.

Habilitación para identificación remota en servicios de confianza


El Boletín Oficial del Estado del viernes 11 de septiembre de 2020 ha publicado la Resolución de 10 de septiembre de 2020, del Congreso de los Diputados, por la que se ordena la publicación del Acuerdo de derogación del Real Decreto-ley 27/2020, de 4 de agosto, de medidas financieras, de carácter extraordinario y urgente, aplicables a las entidades locales.

Al derogarlo, deja sin efecto:

  • la modificación de los arts. 44.1, 46.4, 47.d) y la disposición adicional 1 del Real Decreto-ley 25/2020, de 3 de julio (Ref. BOE-A-2020-7311).
  • la prórroga, en la forma indicada, de la aplicación del art. 9 del Real Decreto-ley 19/2020, de 26 de mayo (Ref. BOE-A-2020-5315).
  • la prórroga, de lo indicado del art. 8 hasta el 31 de octubre de 2020, y la actualización del anexo del Real Decreto-ley 15/2020, de 21 de abril (Ref. BOE-A-2020-4554).
  • la modificación del art. 20.2 del Real Decreto-ley 11/2020, de 31 de marzo (Ref. 2020/4208) (Ref. BOE-A-2020-4208).
  • la modificación del art. 5 del Real Decreto-ley 6/2020, de 10 de marzo (Ref. BOE-A-2020-3434).
  • la transposición parcial de la Directiva (UE) 2019/692, de 17 de abril (Ref. DOUE-L-2019-80763).
  • la modificación de la disposición final 7 de la Ley 39/2015, de 1 de octubre (Ref. 2015/10565) (Ref. BOE-A-2015-10565).
  • la ampliación de lo indicado del art. 10 para el año 2020, del Real Decreto 1103/2014, de 26 de diciembre (Ref. BOE-A-2014-13672).
  • la modificación de las disposiciones adicionales 2.3 y 10 de la Ley 3/2013, de 4 de junio (Ref. 2013/5940) (Ref. BOE-A-2013-5940).
  • la prórroga de la disposición adicional 6 de la Ley Orgánica 2/2012, de 27 de abril (Ref. 2012/5730) (Ref. BOE-A-2012-5730).
  • la modificación de la disposición transitoria 1 de la Ley 13/2011, de 27 de mayo (Ref. 2011/9280) (Ref. BOE-A-2011-9280).
  • la suspensión, en la forma indicada para 2020, la aplicación del art. 49.4 de la Ley reguladora de las Haciendas Locales, texto refundido aprobado por Real Decreto Legislativo 2/2004, de 5 de marzo (Ref. BOE-A-2004-4214).
  • la modificación del art. 13 de la Ley 59/2003, de 19 de diciembre (Ref. (Ref. BOE-A-2003-23399).
  • la modificación del art. 54.2 de la Ley 47/2003, de 26 de noviembre (Ref. BOE-A-2003-21614).
  • la modificación de los arts. 58, 63 quater, 71 y la adición del art. 71 bis y la disposición adicional 37 a la Ley 34/1998, de 7 de octubre (Ref. BOE-A-1998-23284).
  • la modificación del art. 45.I.B) de la Ley del Impuesto sobre Transmisiones Patrimoniales y Actos Jurídicos Documentados, texto refundido aprobado por el Real Decreto Legislativo 1/1993, de 24 de septiembre (Ref. BOE-A-1993-25359).

De los aspectos que se tratan preferentemente en este blog cabe indicar que se han cancelado los siguientes cambios:

(…)

Disposición final cuarta. Modificación de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

Se añade un nuevo apartado 6 al artículo 13 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, con el siguiente tenor:

«6. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.»

(…)

Disposición final sexta. Modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

Se modifica la disposición final séptima de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, que queda redactada como sigue:

«Disposición final séptima. Entrada en vigor.

La presente Ley entrará en vigor al año de su publicación en el “Boletín Oficial del Estado”.

No obstante, las previsiones relativas al registro electrónico de apoderamientos, registro electrónico, registro de empleados públicos habilitados, punto de acceso general electrónico de la Administración y archivo único electrónico producirán efectos a partir del día 2 de abril de 2021.»

Actividades de estandarización de los servicios de confianza en ETSI en 2019


El Instituto Europeo de Normas de Telecomunciaciones (ETSI) es un organismo sin ánimo de lucro creado para elaborar normas técnicas de telecomunicación y de otros ámbitos que faciliten la interoperabilidad. En su seno se han desarrollado las normas relativas a los servicios de confianza y, en particular, los que facilitan la puesta en marcha de los servicios contemplados en el Reglamento UE 910/2014 (EIDAS).

Riccardo Genghini, representante de la entidad Studio Notarile Genghini, eWitness SA dirige el Comité Técnico de Firmas Electrónicas e Infraestructuras (TC ESI, Electronic Signatures and Infrastructures committee), con la misión  de elaborar normas, guías e informes genéricos relativos a las firmas electrónicas y a las infraestructuras de servicios de confianza conexos para proteger las transacciones electrónicas y garantizar la confianza entre sus intervinientes. Ha elaborado un resumen de actividades del TC ESI en 2019 que se ha publicado en la página web de ETSI.

Entre las actvidades, destaca la publicación de diversos documentos normativos y especificaciones técnicas.

El Comité ha actualizado la Especificación Técnica [TS 119 495] que define los Perfiles de Certificados Cualificados (Qualified Certificate Profiles ) y los Requisitos de Política de TSP para Servicios de Pago (TSP Policy Requirements for Payment Services ) bajo la Directiva de servicios de pago 2015/2366/EU (denominada PSD2).

Se han realizado revisiones a la Especificación Técnica [TS 119 102-2] sobre Procedimientos de Creación y Validación de Firmas Digitales AdES (Parte 2: Informe de Validación de Firmas), en inglés “Procedures for Creation and Validation of AdES Digital Signatures (Part 2: Signature Validation Report”.

El Comité ha publicado protocolos para la creación y validación de firmas digitales remotas en los documentos TS 119 432TS 119 442 respectivamente.

Se publicó otra especificación técnica [TS 119 511],en la que se definen los requisitos de política y seguridad para los proveedores de servicios de confianza que proporcionan servicios de preservación a largo plazo de firmas digitales o de preservación de datos generales mediante técnicas de firma digital.

Se publicaron los documentos  TS 119 403-2TS 119 403-3, en los que se definen los requisitos adicionales que deben cumplir los organismos de evaluación de la conformidad que evaluan a los prestadores de servicios de confianza cualificados de la UE y auditan a los prestadores de servicios de confianza que emiten certificados aceptables por los navegadores (con denominación acuñada “Publicly-Trusted Certificates”, certificados confiables públicamente ).

Los restantes entregables bajo el alcance del grupo de trabajo STF 523 se publicaron en febrero. Entre ellos figuraban dos documentos normativos para los prestadores de servicios de entrega electrónica registrada y los de correo electrónico registrado (Electronic Registered Delivery Providers and Registered Electronic Mail Providers – REM), especificaciones de prueba y un estudio de viabilidad sobre un perfil de interoperabilidad entre los sistemas REM definidos en ETSI y los sistemas basados en PReM (Postal Registered Electronic Mail) de la UPU (Unión Postal Universal) [EN 319 521EN 319 531TS 119 524 Part 2TS 119 534 Part 2TR 119 530]. Anteriormente este tipo de interoperabilidad se trató en la publicación TS 102 640-6-1 de 2011.

El grupo de trabajo STF 560 financiado por la CE/AELC  (EC/EFTA) trabajó en dos temas. Uno considera dos formatos procesables por máquina para las políticas de firma [TS 119 172 Part 2TS 119 172 Part 3] que se publicaron en diciembre de 2019. En el segundo, el STF hizo un estudio sobre la aceptación global de los Servicios de Confianza de la UE. Para dar cobertura a este estudio, el TC ESI organizó cuatro sesiones conjuntas (workshops , talleres) en Dubai (mayo), Tokio (mayo), México D.F. (junio) y Nueva York (septiembre). Los trabajos pretendían estudiar  los esquemas de Servicios de Confianza basados en Infraestructuras de Clave Pública (ICP, PKI)  que operan en diferentes regiones del mundo, y su posible reconocimiento mutuo e, incluso, un modelo de aceptación mundial. El estudio tiene por objeto determinar otras medidas que podrían adoptarse para facilitar el reconocimiento mutuo entre los servicios de confianza de la Unión Europea, sobre la base de las normas de la ETSI que respaldan la reglamentación del eIDAS y los servicios de confianza de otros esquemas o modelos de confianza.

En 2019 se mantuvo la interacción con varios órganos externos. En lo que respecta a los resultados de la entrega electrónica (e-delivery), el Comité trabajó con la Comisión Europea / CEF (Connecting Europe Facility), CEN TC 331 WG2 (que trabaja en los servicios postales) y la UPU (Unión Postal Universal).

El Comité TC ESI se coordinó con el Comité TC DSS-X de OASIS para garantizar la alineación y la complementariedad de las especificaciones para la creación y validación de firmas remotas, a partir de la nueva especificación OASIS DSS-X V2 que se publicó en julio de 2019.

Se realizaron progresos  en los protocolos para la creación de firmas remotas, en consonancia con los trabajos del Consorcio de Firma en Nube (Cloud Signature Consortium – CSC) para dar cobertura a las firmas electrónicas basadas en modelos de consulta/respuesta en servidores según la especificación  JSON.

En cooperación con la Autoridad Bancaria Europea (European Banking Authority) y Open Banking Europe, se ha ajustado la Especificación Técnica [TS 119 495] para que la infraestructura de confianza pueda satisfacer mejor las necesidades de los nuevos servicios de pago.

El Comité TC ESI  ha compartido información relevante para los proveedores de servicios de confianza con el Foro de Autoridades Europeas de Supervisión (Forum of European Supervisory Authorities).

El Comité TC ESI  ha Interactuado con el Comité TC 154 WG6 de ISO, que está definiendo perfiles de formatos de firmas a partir de los formatos ESI.

El Comité TC ESI mantiene activa la relación con la Cooperación Europea para la Acreditación (European cooperation for Accreditation), en particular para el mantenimiento de la norma de conformidad para la certificación de evaluadores EN 319 403.

Se suscribió un acuerdo de colaboración (MoU Memorandum of Understanding,  memorando de entendimiento) con la asociación ACAB’c, Accredited Conformity Assessment Bodies’ Council, es decir,  el Consejo de Organismos de Evaluación de la Conformidad Acreditados.

Se estableció un nuevo acuerdo de cooperación con el Cloud Signature Consortium.

En enero de 2019 el Vicepresidente del TC ESI habló – junto con el Presidente y el Vicepresidente del TC CYBER – en un segundo taller en Bruselas sobre la Ley de Ciberseguridad y su vínculo con la normalización, organizado conjuntamente por ENISA, CEN, CENELEC y ETSI.

Durante octubre y noviembre, el TC ESI llevó a cabo un evento remoto de PlugtestsTM  de validación de firmas digitales (Digital Signature Validation PlugtestsTM ).

 

 

 

Nuevas opciones de identificación a distancia para prestadores de servicios de certificación.


El artículo 24 del Reglamento eIDAS (Reglamento UE nº 910/2014) define varias formas en las que los prestadores de servicios de certificación pueden identificar a sus clientes solicitantes de certificado.  En su apartado 1 se indica:

1. Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.

La información a que se refiere el párrafo primero será verificada por el prestador de servicios de confianza bien directamente o bien por medio de un tercero de conformidad con el Derecho nacional.

a) en presencia de la persona física o de un representante autorizado de la persona jurídica, o

b) a distancia, utilizando medios de identificación electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto», o

c) por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a) o b), o

d) utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.

Hoy se ha conocido que la Agencia Tributaria equipara un video selfie a otras modalidades de identificación (entre las que se incluyen la identificación por certificado) para permitir el cambio del número de teléfono móvil asociado a la identificación con sistema Cl@ve gestionada por la propia Agencia Tributaria y que es posible usar en todas las administraciones públicas:

Registro Cl@ve

En el epígrafe “Modificación del teléfono aportando vídeo y documentación relacionada” se indica:

Avisos

  • Mediante este trámite puede modificar el teléfono móvil asociado a su registro en Cl@ve aportando la información relacionada, que incluye un vídeo utilizado para contrastar su identidad.
  • Puede obtener más información sobre este trámite pinchando aquí
  • En la documentación deberá presentar:
  • Copia del DNI/NIE por las dos caras.
  • En el caso de los NIE, copia de la primera hoja del pasaporte.
  • Copia de la última factura del nuevo teléfono móvil que quiere dar de alta en Cl@ve, en la que se visualice dicho número. No es necesario que se vean otros datos personales (números de IBAN) ni de consumo.
  • Video autorretrato grabado por el solicitante (tipo video selfie) de máximo un minuto de duración en el que se muestre el DNI/NIE por las dos caras y donde el solicitante debe dar esta información:
    • Nombre y apellidos.
    • DNI/NIE.
    • Trámite que quiere realizar.
    • Número de teléfono que quiere registrar.
    • Puede usar esta frase a modo de guion:
      “Me llamo XXXX YYYY ZZZ, mi DNI es el 00000000 y quiero modificar el número de teléfono de mi registro en Cl@ve. El nuevo número es el 66666666” al tiempo que muestra el DNI/NIE por las dos caras.
      El video debe realizarse en una sola toma y sin cortes, en condiciones de luz que permitan identificar claramente al solicitante.

Esto es una gran noticia para los prestadores de servicios de certificación que, además de los procedimientos autorizados por el SEPBLAC podrán adoptar la posibilidad de admitir “Video autorretratos grabados por los solicitantes” tal como lo describe la Agencia Tributaria.

Tenemos, pues, un nuevo método de identificación reconocido a escala nacional de los que recoge el Reglamento Europeo EIDAS.

Comunicación de Mozilla a las Autoridades de Certificación


La Fundación Mozilla ha enviado una comunicación a  las Autoridades de Certificación para informar a las CAs que tienen certificados raíz incluidos en el programa de Mozilla en relación con acciones planificadas y las fechas prevista.

La comunicación a las CAs se ha enviado por correo electrónico al Punto de contacto principal  y a un alias de correo electrónico para cada CA del programa de Mozilla, y se les ha pedido que respondan a las siguientes 7 acciones planificadas:

  1. Leer y cumplir plenamente con la versión 2.7 de la Política de la Repositorio  Raíz de Confianza de Mozilla.
  2. Asegurarse de que sus CP y CPS cumplen con la sección 3.3 de la política actualizada que requiere indicar de forma adecuada cuando no aplica un apartado y el mapeo de los documentos de la política a los certificados de las CA.
  3. Confirmar su intención de cumplir con la sección 5.2 de la política de repositorio raíz de Confianza de Mozilla que requiere que los nuevos certificados de entidad final incluyan una extensión EKU que exprese su uso previsto.
  4. Verificar que sus declaraciones de auditoría cumplen los requisitos de formato de Mozilla que facilitan el procesamiento automatizado.
  5. Resolver los problemas con las auditorías de los certificados de CA intermedios que han sido identificados por el sistema automatizado de validación de informes de auditoría.
  6. Confirmar el conocimiento de los requisitos de informes de incidentes de Mozilla y la intención de proporcionar buenos informes de incidentes.
  7. Confirmar el cumplimiento de la versión actual de los requisitos básicos del foro de navegadores y CAs.

Los elementos de acción completos pueden leerse aquí. Las respuestas a la encuesta serán publicadas automática e inmediatamente por la CCADB.

Aunque la participación en el Programa de certificados de CA de Mozilla se somete al criterio de la Fundación Mozilla que puede excluir una CA discrecionalmente, parece que el mejor enfoque para salvaguardar la seguridad de los usuarios es trabajar con las CA como colaboradores, en vez de como adversarios, fomentando una comunicación abierta y franca, y que busque el encuentro al identificar formas de mejorar.

 

Certificados cualificados en el Reino Unido tras el Brexit, cambios al #eIdAS


Una vez que el Reino Unido abandone la Unión Europea, pasa a ser un tercer país, de modo que los prestadores de servicios electrónicos de confianza cualificados radicados en UK, dejarían de ser válidos como tales en Europa.

De todas formas, eso en realidad no va a suceder, porque, según indica la lista de confianza expedida en agosto de 2019 y válida hasta febrero de 2020, no existen prestadores cualificados en UK compatibles con eIdAS.

Los prestadores que figuran en la lista TSL únicamente proporcionan servicios de confianza ajustados la legislación nacional del Reino Unido que ni siquiera tienen vocación de interoperabilidad con los europeos.

En el momento actual operan los siguientes prestadores:

La normativa británica Electronic Identification and Trust Services for Electronic Transactions Regulations 2016 se aprobó el 1 de julio de 2016, justo cuando entraba en vigor el Reglamento EIDAS y se aplicó a partir del 22 de julio. Su publicación se realizó con posterioridad al referendum del Brexit.

El texto está claramente inspirado en el EIDAS y revoca la normativa “The Electronic Signatures Regulations 2002”, al tiempo que modifica diversas normas:

  • “Electronic Communications Act 2000”,
  • “Medicines for Human Use (Clinical Trials) Regulations 2004”,
  • “National Health Service (General Medical Services Contracts) (Scotland) Regulations 2004”,
  • “National Health Service (Primary Medical Services Section 17C Agreements) (Scotland) Regulations 2004”,
  • “Hazardous Waste (Wales) Regulations 2005”,
  • “Defence and Security Public Contracts Regulations 2011”,
  • “Human Medicines Regulations 2012”,
  • “National Health Service (Pharmaceutical and Local Pharmaceutical Services) Regulations 2013”,
  • “National Health Service (Pharmaceutical Services) (Wales) Regulations 2013”, l
  • “Reservoirs Act 1975 (Capacity, Registration, Prescribed Forms, etc.) (England) Regulations 2013”,
  • “Electronic Documents (Scotland) Regulations 2014”,
  • “European Union (Recognition of Professional Qualifications) Regulations 2015”,
  • “National Health Service (Charges for Drugs and Appliances) Regulations 2015”,
  • “National Health Service (General Medical Services Contracts) Regulations 2015”,
  • “National Health Service (Personal Medical Services Agreements) Regulations 2015”,
  • “Public Contracts Regulations 2015”,
  • “Public Contracts (Scotland) Regulations 2015”,
  • “Concession Contracts (Scotland) Regulations 2016”,
  • “Utilities Contracts Regulations 2016”,
  • “Utilities Contracts (Scotland) Regulations 2016”,

Posteriormente en 2018 se aprobó la normativa “The Electronic Identification and Trust Services for Electronic Transactions (Amendment etc.) (EU Exit) Regulations 2018”. Esta norma retiene el Reglamento UE 910/2014 (EIDAS) como propio, pero cambiando ciertos textos para que sea una normativa nacional.

En la modificación del artículo 24 establece que los servicios y prestadores cualificados en el marco de la normativa de la Unión Europea se reconocen como cualifcados en la normativa británica tras el Brexit.

Además se indica la derogación de diversa normativa europea que ya no será aplicable en el Reino Unido:

  • Commission Decision 2009/767/EC
  • Commission Decision 2010/425/EU
  • Commission Decision 2011/130/EU
  • Commission Implementing Decision 2013/662/EU
  • Commission Implementing Decision 2014/148/EU
  • Commission Implementing Decision (EU) 2015/296
  • Commission Implementing Regulation (EU) 2015/806
  • Commission Implementing Regulation (EU) 2015/1501
  • Commission Implementing Regulation (EU) 2015/1502
  • Commission Implementing Decision (EU) 2015/1505
  • Commission Implementing Decision (EU) 2015/1984

Se aplican, de forma modificada:

  • Commission Implementing Decision (EU) 2015/1506
  • Commission Implementing Decision (EU) 2016/650

Por resumir, el reconocimiento mutuo a nivel de medios de identificación y autenticación no proseguirá tras el Brexit, pero los servicios electrónicos de confianza cualificados de la Unión Europea seguirán siendo válidos en el Reino Unido. Lo contrario no es cierto mientras el Reino Unido no inicie un procedimiento específico según lo previsto en el artículo 14 del Reglamento eIdAS.

En 2019 se ha publicado la normativa “The Electronic Communications (Amendment etc.) (EU Exit) Regulations 2019” que tiene que ver con los procedimiento de notificación de incidentes de seguridad, especialmente en relación con la normativa de protección de datos, pero que no incide directamente en los servicios de confianza.