Archivo de la categoría: PKI

Listas de confianza TSL


Ya he tratado el tema de las listas de confianza TSL en otras ocasiones en este blog.

Hoy voy a incluir la información actualizada a las listas nacionales XML país por país.

Lista de listas europea

AT

BE

BG

CY

CZ

DE

DK

EE

GR

ES

FI

FR

HR

HU

IE

IS

IT

IL

LT

LU

LV

MT

NL

NO

PL

PT

RO

SE

SI

SK

UK

 

 

 

 

 

 

 

 

Trust Services Forum 2017


ENISA and the European Commission are organising a consultation workshop with industry and experts from Member States on ICT security certification.

  • Time: April 27, 2017 from 09:30 to 17:00
  • Place: Hotel Thon EU, Rue de la Loi 75, B-1040 Brussels, Belgium

The workshop is organised as a follow-up on the European Commission’s commitment to develop a proposal for a European ICT security certification framework.

Trust Services Forum 2017 – Agenda

09:45 – 10:15

Registration & Welcome Coffee

10:15 – 11:30

Welcome Statement

State of play: eIDAS Regulation, CEF, ENISA activities

Gábor Bartha – European Commission

João Rodrigues Frade – European Commission

Sławomir Górniak – ENISA

11:30 – 11:45

Coffee Break

11:45 – 12:45

Panel Discussion 1

One year after eIDAS provisions entered into force

Where do we stand?

Moderator:

Prokopios Drogkaris, ENISA

Panelists:

John Jolliffe, Adobe

Olivier Delos, SEALED

Romain Santini, ANSSI

Michał Tabor, Obserwatorium.biz

12:45 – 13:45

Lunch Break

13:45 – 14:00

Article 19 – State of play

Ilias Bakatsis, ENISA

14:00 – 15:00

Panel Discussion 2

Working on the eIDAS through guidelines and recommendations

Moderator:

Sławomir Górniak, ENISA

Panelists:

Camille Gerbert – LSTI

Björn Hesthamar – PTS SE

Leslie Romeo – 1&1

Jérôme Bordier – ClubPSCo

15:00 – 15:30

Coffee Break

15:30 – 16:30

Panel Discussion 3

Strengthening the adoption of qualified certificates for website authentication

Moderator:

Eugenia Nikolouzou – ENISA

Panelists:

Reinhard Posch – TU Graz

Arno Fiedler – Nimbus

Kim Nguyen – D-Trust

Erik Van Zuuren – TrustCore

16:30 – 17:00

Next Steps – Open Discussion – Closing Remarks

 

CAB Forum summary of Insurance requirements for EV Trust Service Providers


Each CA SHALL maintain the following insurance related to their respective performance and obligations under these Guidelines:

(A) Commercial General Liability insurance (occurrence form) with policy limits of at least two million US dollars in coverage; and

(B) Professional Liability/Errors and Omissions insurance, with policy limits of at least five million US dollars in coverage, and including coverage for

(i) claims for damages arising out of an act, error, or omission, unintentional breach of contract, or neglect in issuing or maintaining EV Certificates, and

(ii) claims for damages arising out of infringement of the proprietary rights of any third party (excluding copyright, and trademark infringement), and invasion of privacy and advertising injury.

Such insurance MUST be with a company rated no less than A- as to Policy Holder’s Rating in the current edition of Best’s Insurance Guide (or with an association of companies each of the members of which are so rated).

A CA MAY self-insure for liabilities that arise from such party’s performance and obligations under these Guidelines provided that it has at least five hundred million US dollars in liquid assets based on audited financial statements in the past twelve months, and a quick ratio (ratio of liquid assets to current liabilities) of not less than 1.0.

WISeKey adquiere el negocio de circuitos integrados para Internet de las cosas (IoT) de INSIDE Secure


WISeKey International Holding Ltd (“WISeKey”, con código de cotización bursátil SIX: WIHN), empresa líder en ciberseguridad anunció el pasado de 19 de mayo de 2016 su intención de adquirir el negocio de soluciones de semiconductores y circuitos integrados seguros para la Internet de las Cosas (Internet of Things, IoT) de INSIDE Secure (con código de cotización bursátil en Euronext Paris: INSD), líder en soluciones de seguridad incorporadas para dispositivos móviles y conectados.

La adquisición pretendida y la integración tecnológica creará la primera plataforma de ciberseguridad integral de confianza de extremo a extremo para personas y objetos (IoT). La oferta de ciberseguridad de WISeKey incluirá certificación basada en hardware y software, acreditación de sistemas, e incluso provisión de servicios gestionados.

El alcance de la transacción incluirá la transferencia de productos, tecnología, acuerdos con clientes y ciertas patentes. Más específicamente, incluirá la transferencia de activos relacionados con el desarrollo y la venta de circuitos integrados de seguridad para un mercado en rápido crecimiento como es el de la IoT y un equipo completo de Investigación y Desarrollo, Comercialización y Soporte. Las actividades de INSIDE Secure que se adquirirán para la IoT, soluciones contra la falsificación y protección de marcas, tarjetas de pago EMV y acceso seguro generó ingresos pro-forma (no auditados) por un valor de USD 33,6 millones en 2015. Se brindarán soluciones y soporte constantes a los clientes existentes de INSIDE Secure para los proyectos actuales y nuevos productos en desarrollo para asegurar al cliente una transición sin problemas.

Al cierre, WISeKey pagará una contraprestación en efectivo de CHF 2.000.000 (suma neta del efectivo transferido) y emitirá un bono de préstamos convertible en Acciones Clase B WISeKey por la suma de CHF 11.000.000. El bono de préstamo convertible tendrá un vencimiento de 9 meses, un cupón de 2% y se podrá convertir a opción de INSIDE Secure, después de un periodo de fidelización de 2 meses, en acciones Clase B WISeKey libremente comerciables. WISeKey tiene el derecho de canjear el bono de préstamo convertible, e INSIDE Secure puede solicitar el canje en efectivo por hasta 30 % del monto principal del bono de préstamo convertible.

Se espera que la ejecución de la acción y el acuerdo de compra de acciones ocurra al finalizar el proceso de información y consulta habitual a los comités laborales de INSIDE Secure en Francia y, además, esto está sujeto a la firma y a las condiciones de cierre habituales. Se prevé que la firma y el cierre de la adquisición ocurran en el tercer trimestre de 2016.

Creación de la primera plataforma de ciberseguridad integral de confianza de principio a fin para personas y objetos

Gracias a las soluciones de WISeKey, los dispositivos de la IoT podrán organizarse en redes de confianza basadas en la autenticación, confidencialidad e integridad de las transacciones. Esta plataforma de ciberseguridad de confianza solo aceptará los dispositivos de IoT que puedan brindar una identidad reconocida y asegurar la integridad de las comunicarse con dispositivos que formen parte de la comunidad de confianza.

Los chips seguros de INSIDE Secure constituyen un almacén hardware seguro,que albergarán la Raíz de Confianza (Root of Trust, RoT) criptográfica de WISeKey y los certificados digitales, con el nivel de certificación más alto para cifrar la comunicación y autenticar los dispositivos. Además, aprovecha la implementación masiva de la RoT de WISeKey que ahora está incorporada en más de 2,5 mil millones de dispositivos en todo el mundo que ya se benefician de estas capacidades criptográficas, permitiendo que pueda ser implementado en todo tipo de productos de la IoT.

Abordando el mercado en rápido crecimiento de la IoT

La capacidad de autenticar y manejar de forma remota millones de dispositivos y equipos en red y automatizados es ahora una necesidad generalizada −desde la planta de producción, pasando por la sala de cirugía de un hospital, hasta un centro residencial− todo, desde refrigeradores, relojes, objetos “ponibles”, hasta botellas de vino, se conectan y comunican a través de Internet.

Se espera que el mercado de la seguridad de la Internet de las Cosas crezca de $6,89 mil millones en 2015 a aproximadamente $29 mil millones hasta 2020, de acuerdo con un informe publicado por Markets and Markets, creciendo, por lo tanto, a una tasa anual de 35 % durante los próximos cinco años. Estos objetos masivamente implementados y conectados enfrentan ataques regulares, por lo tanto, generan una enorme demanda de soluciones de ciberseguridad de confianza, de principio a fin.

El Presidente y Director Ejecutivo de WISeKey, Carlos Moreira, comentó sobre la adquisición: “Con esta adquisición, los clientes pueden comprar soluciones de ciberseguridad de confianza de principio a fin en forma directa a WISeKey, integrando la personalización dentro de los Circuitos Integrados y con el más elevado nivel de certificación de seguridad. Como ejemplo, la RoT criptográfica de WISeKey combinada con la tecnología adquirida de INSIDE Secure permitirá a los dispositivos “de vestir” conectarse y realizar transacciones seguras, incluidos pagos on-line. La tecnología WISeKey permitirá que los dispositivos de la IoT sean autenticados con identidades digitales a través de una plataforma de confianza y/o de cadenas de bloques (blockchain) antes de acordar la comunicación. Creo que una plataforma de ciberseguridad de confianza de principio a fin permitirá un nivel óptimo de seguridad para desarrollar interacciones de manera segura en un mundo de personas y objetos conectados”.

ACXIT Capital Partners actúa como asesor financiero exclusivo para WISeKey y McDermott and Homburger actúan como asesores legales de WISeKey en esta transacción.

Acerca de WISeKey

WISeKey (SIX Swiss Exchange: WIHN) es una empresa líder en ciberseguridad y fue seleccionada como Empresa de Crecimiento Mundial por el Foro Económico Mundial. En la actualidad, WISeKey implementa ecosistemas de identidad digital de la Internet de las Cosas (IoT) a gran escala y es pionera del movimiento de la “4ta Revolución Industrial” lanzado este año en el Foro Económico Mundial de Davos. La Raíz de la Confianza (Root of Trust, RoT) sirve como un punto de confianza común, reconocida por el sistema operativo y las aplicaciones, para asegurar la autenticidad, confidencialidad e integridad de las transacciones en línea. Con la RoT criptográfica incorporada en el dispositivo, los fabricantes de productos de la IoT pueden usar certificados digitales como un servicio para asegurar las interacciones entre los objetos y entre los objetos y las personas. WISeKey ha patentado este proceso en EE. UU. y, actualmente, es utilizado por muchos proveedores de la IoT.

Acerca de INSIDE Secure

INSIDE Secure (Euronext Paris: FR0010291245 / INSD) proporciona soluciones de seguridad incorporada integrales. Empresas líderes mundiales confían en la seguridad móvil de INSIDE Secure y en las ofertas de transacciones seguras para proteger activos críticos incluidos dispositivos conectados, contenido, servicios, identidad y transacciones. La pericia en seguridad inigualable combinada con una gama integral de IP, semiconductores, software y servicios asociados brinda a los clientes de INSIDE Secure una fuente única de soluciones avanzadas y protección superior para las inversiones. Para más información, visite www.insidesecure.com

Exención de responsabilidad:

Este artículo procede de la nota de prensa publicada por Wisekey, por lo que contiene de manera implícita o expresa ciertas declaraciones anticipadas sobre WISeKey International Holding Ltd y sus negocios. Tales declaraciones implican determinados riesgos conocidos y desconocidos, incertidumbres y otros factores, que podrían provocar que los resultados reales, la condición financiera, el desempeño o los logros de WISeKey International Holding Ltd sean materialmente diferentes de cualquier resultado futuro, desempeño o logro expresado o implicado en tales declaraciones anticipadas. WISeKey International Holding Ltd brindó esta comunicación el 19 de mayo de 2016 y no se compromete a actualizar ninguna declaración anticipada contenida en el presente debido a nueva información, eventos futuros o razones similares.

Dicho comunicado de prensa no constituye una oferta para vender, o una solicitud de oferta para comprar, cualesquiera valores, y no constituye un folleto informativo dentro del marco del significado del artículo 652a o el artículo 1156 del Código de Obligaciones de Suiza o un folleto de oferta pública dentro del marco del significado de las reglas de ofertas públicas de la Bolsa suiza SIX Swiss Exchange. Los inversores deben confiar en su propia evaluación de WISeKey y sus valores, incluidos los méritos y riesgos implicados. Nada de lo expresado en el presente es, o deberá ser considerado, una promesa o declaración sobre el desempeño futuro de WISeKey.

El texto original en el idioma fuente de la nota de prensa es la versión oficial autorizada y de la que podría derivar, en su caso, responsabilidades en tanto que anuncios de empresas cotizadas sometidas a la supervisión de una entidad reguladora.

Root ECC para la Internet de las cosas (IoT)


Desde el 5 de octubre de 2009 EADTrust ofrece una Jerarquía de Certificación (PKI Public Key Infraestructure) basada en certificados de curvas elípticas ESDSA. El certificado de la autoridad raíz ECC de EADTrust  solo ocupa 2K por lo que es especialmente adecuado para entornos de baja disponibilidad de memoria, sistemas embebidos y dispositivos orientados a la Internet de las cosas, y, entre ellos, dispositivos “de vestir”.

En este tipo de criptografía, los certificados son más compactos y las firmas electrónicas, también, por lo que añadir seguridad a los dispositivos no es especialmente costoso, en términos de potencia computacional o memoria.

En el uso de certificados para la IoT es posible generar certificados y claves por miles y personalizar los dispositivos a través de un número de serie o un valor de MAC address, de forma que con posterioridad se puede añadir información adicional al número de serie, como tipo de dispositivo, tipo y versión de software y funcionalidades activadas, mediante funciones de consulta a una extensión mochila que puede ir firmada por el propio dispositivo y respaldada en la nube en un servidor de consulta para permitir funciones de cifrado.

Las posibilidades son muy amplias y el coste de los certificados muy reducido en las cantidades que se manejan en este tipo de proyectos.

Algunos dispositivos como el Atmel ATECC508A o el Atmel ATECC108A ya incluyen funcionalidades de criptografía de curvas elípticas (ECC, Elliptic Curve Cryptography) que se pueden integrar en cualquier proyecto y que inclue además protección de clave por hardware.

La  root ECC de EADTrust implementa ECDH P-256Los protocolos de intercambio de claves Diffie-Hellman de curva elíptica (ECDH) forman parte de la “Suite B” licenciada por la National Security Agency (NSA)  y se documentan en el Instituto nacional de estándares y tecnología (NISTSpecial Publication 800-56A Revision 2 

Los certificados que se firman mediante el algoritmo de firma Digital (ECDSA) de curva elíptica pueden utilizarse como método de autenticación. Los equipos identificados mediante un certificado pueden incluir este certificado en las negociaciones IPsec con un equipo remoto. El equipo remoto confirma criptográficamente que el propietario del certificado es el que se lo envió. La firma de certificados en ECDSA está documentada en la publicación de las normas de procesamiento de información federal FIPS 186-2

Dispositivos como beacons, sensores, sistemas de monitorización, sistemas de apertura y cierres, grabadores de parámetros, evaluadores de salud de entornos integrados o sensores de stress de seres vivos son algunos usos de estos dspositivos,

Seminario sobre Ley 39/2015 y Reglamento UE 910/2014


El 1 de julio de 2016 entra en vigor la parte más relevante del Reglamento UE 910 2014. Poco después, el 2 de octubre de 2016 entra en vigor una parte muy significativa de la Ley 39/2015 (hay también aspectos relevantes, de implantación más costosa que cuentan con un plazo mayor: 2 de octubre de 2018).

Sin embargo, a pesar de que muchos aspectos del Reglamento Europeo se han tenido en cuenta en la Ley de Procedimiento Administrativo Común de las Administraciones Públicas (PACAP), otros no.

Por ejemplo lo referido a la firma electrónica de las personas jurídicas y de las entidades sin personalidad jurídica.

Dado que el citado Reglamento tiene un nivel de precedencia normativa superior a la Ley, puede ser útil identificar los aspectos más controvertidos para afrontar de forma correcta la adaptación.

Este seminario, que imparto a través de Atenea Interactiva en formato de formación “in-company” especialmente orientada a entidades del sector público lo voy enriqueciendo gracias a las dudas y a las aportaciones de los asistentes.

Estos son algunos de los aspectos tratados:

  • Identificación y autenticación. Nuevo contexto para trámites sin uso de la firma electrónica.
  • Interoperabilidad de la firma electrónica a nivel europeo.
  • Nuevas normas técnicas de identificación, firma electrónica, sello electrónico y otros servicios de confianza digital
  • Interacción con otras normas: Ley 18/2001, Ley 40/2015, Real Decreto Legislativo 3/2011.
  • Obligados. Nuevas obligaciones para personas jurídicas y ciertos colectivos profesionales.
  • Novedades en relación con el cómputo de plazos, y efecto en los plazos del Registro electrónico
  • Asistencia en el uso de medios electrónicos. Funcionarios habilitados
  • Uso de códigos seguros de veriicación. Sugerencia sobre CSV con informaicón de encaminamiento.
  • Sedes electrónicas y portales. Nuevo enfoque hacia la concentración de servicios en portales.
  • Copia auténtica de documentos y digitalización certificada. Gestión híbrida. Funcionarios habilitados
  • Archvo unificado
  • Poderes y representación. Nuevo poder “apud acta” electrónico. Retos para gestión de otorgamiento y revocación de poderes. Ideas para la implementación del registro elecrónico de poderes de representación. Otorgantes (representados) y apoderados (representantes).
  • Notificaciones. Retos de la notificación electrónica. Notificaciones por publicación en BOE.
  • Esquema Nacional de Interoperabilidad y Esquema Nacional de Seguridad.
  • Herramientas disponibles en el marco de la transferencia electrónica entre administraciones. Cl@ve, DIR3, DNIe 3.0 (NFC).
  • Nuevos retos: firma digtalizada, digitalización certificada, cotejo interoperable de documento en base a  CSV en sede electrónica diferente de la que lo expidió.

Pueden contactar con Atenea Interactiva en el 917160555 si desean que este seminario se imparta en su institución. Se imparte en una sola jornada, de 9:00 a 14:30. Preferiblemente los viernes.

 

 

Aplicabilidad del Reglamento Europeo UE 910/2014 (EIdAS)


A diferencia de la Directiva 93/1999 /CEE del Consejo, el Reglamento (UE)  nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (denominado reglamento eIDAS por las iniciales de Electronic Identificatiom Authentication and Signature) que entró en vigor el 17 de septiembre de 2014, tendrá un impacto directo y, en algunos casos,  supondrá la derogación de las leyes nacionales vigentes en los Estados miembros.

El Reglamento se aplicará gradualmente en los próximos meses con plazos de entrada en vigor escalonados que concluirán el 01 de julio 2016, con la derogación de la Directiva 93/1999 / CEE.

Desde su entrada en vigor el 17 de septiembre de 2014, ya son de aplicación las disposiciones contenidas en los artículos 9.5, 17.8, 19.4, 20.4, 21.4, 24.5, 27.4, 28.6, 29.2, 30.3, 30.4, 31.3, 32.3, 33.2, 34.2, 37.4, 38.6, 42.2, 44.2, 45.2, 47 y 48. El resto de las disposiciones, a excepción de los artículos 7, 8.1, 8.2, 9, 10, 11 y 12.1, que se aplicará a partir del 18 septiembre de 2015, deben ser implementadas a partir del 1 de julio de 2016. Sólo el  artículo 6 se aplicará a partir del 18 de septiembre 2018.

Desde 01 de julio de 2016 en adelante:

  • Los Dispositivos de Creación de Firma (denominados antes Dispositivos Seguros de Creación de Firma y ahora Dispositivos Cualificados de Creación de Firma) que tuvieran la consideración de tales según  el artículo 3.4  de la Directiva 93/1999 /CEE,  mantendrán su reconocimiento tras la nueva norma (Reglamento eIdAS).
  • Los certificados reconocidos expedidos a personas físicas de acuerdo con la Directiva 93/1999 /CEE se consideran hasta su vencimiento certificados cualificados de acuerdo con la nueva norma (Reglamento eIdAS).
  • Para ser considerados prestadores de servicios de confianza digital cualificados de acuerdo con el Reglamento eIDAS, los Prestadores de Servicios de Certificación que emitían  ​​certificados reconocidos de acuerdo con la Directiva 93/1999 / CEE deben presentar a partir del 01 de julio de 2017 un informe de evaluación sobre el cumplimiento de la normativa técnica y organizativa aplicable al órgano de supervisión (Minetur, en el caso de España).

La aplicación del Reglamento eIdAS, implica la puesta en marcha de 7 actos de ejecución que deben adoptarse en un  año:

  • 3 actos de ejecución relativos a la identificación y autenticación digital (eID)
  • 4 actos de ejecución en materia de servicios de confianza digital
    • Formatos de firma electrónica (artículo 27.4)
    • Formatos de sellos electrónicos (artículo 37.4)
    • Listas de confianza (artículo 22.5)
    • Marca de confianza de la UE (artículo 23.3)

En los más de 16 años de vigencia de la Directiva 93/1999 /CEE del Consejo, cada Estado miembro la ha desarrollado en su legislación nacional adoptando, en algunos casos normas técnicas de organismos como ETSI y CEN. En España, entre otras normas la Ley 59/2003, con disposiciones sobre firmas electrónicas en la Ley 11/2007 y en la Ley 18/2011.

El impacto revolucionario del Reglamento, sin embargo, cambia todos los paradigmas existentes anteriormente, que pueden considerarse los causantes de la falta de interoperabilidad transnacional en el mercado único europeo. El nuevo modelo, destinado a facilitarla, todavía tiene que demostrar su utilidad en un contexto internacional en el que los mayores avances se han producido a partir de la adopción de incoativas de la industria a través del CAB Forum, solo para el ámbito de los certificados para servidores web, en un modelo como en norteamericano de escasa regulación.