Archivo de la categoría: Software

Comité técnico PKCS #11 de OASIS


El Comité técnico PKCS #11 de OASIS  desarrolla mejoras del consolidado estándar PKCS #11 diseñado originalmente por los Laboratorios RSA, y con información aportada por Cryptsoft , para su uso en bibliotecas de programación, aplicaciones de código abierto, mecanismos de invocación entre programas y productos informáticos. Trabaja en aspectos tales como  directrices de implementación, material formativo (tutoriales) de uso, escenarios de prueba y conjuntos de aplicaciones de prueba, pruebas de interoperabilidad, coordinación de pruebas funcionales, desarrollo de perfiles de conformidad e, incluso,  desarrollo de implementaciones de referencia.

La interfaz PKCS #11 (Interfaz de dispositivo criptográfico -“Cryptographic Token Interface” o cryptoki) define un API genérico de acceso a dispositivos criptográficos. Se utiliza en todo tipo de sistemas para que las aplicaciones informáticas accedan a las claves de custodiadas en los dispositivos conectados, tales como HSM (Hardware Security Module) y tarjetas criptográficas, como la del DNI electrónico.

La API define los tipos de objetos criptográficos más comúnmente utilizados (claves RSA, certificados X.509, claves DES / Triple DES, etc.) y todas las funciones necesarias para usar, generar, modificar y eliminar esos objetos.

Gran parte de los sistemas informáticos utilizados para implementar “autoridades  de certificación”  usa PKCS # 11 para acceder a la clave secreta de firma de la CA o para generar certificados de usuario. El software de diferentes entornos que necesita usar tarjetas inteligentes usa PKCS # 11 (o, alternativamente funciones CSP-Cryptographic Service provider. a través de la denominada “Crypto API”),  para gestionar sus funciones criptográficas.

Entre otros tipos de software, los conocidos  Mozilla Firefox y OpenSSL (con una extensión). Tanto Oracle Solaris como Red Hat Linux  contienen implementaciones de la interfaz PKCS # 11 para el uso de las aplicaciones que se ejecutan en esos entornos.

Como se ha indicado, una forma alternativa de acceder a las funciones criptográficas de los dispositivos en entornos  Microsoft Windows es el uso de la API MS-CAPI específica de la plataforma.

El estándar PKCS # 11 lo creó originlamnete RSA Security junto con sus otros estándares PKCS en 1994.

En 2013, RSA contribuyó con el último borrador 2.30  de revisión del estándar al organismo de estandarización OASIS para que este  continuara el trabajo de mantenimiento del estándar a través del recién creado Comité técnico de PKCS11.

La siguiente lista recoge las principales versiones:

  • 01/1994: Primera versión borrador
  • 04/1995: v1.0
  • 12/1997: v2.01
  • 12/1999: v2.10
  • 01/2001: v2.11
  • 06/2004: v2.20
  • 12/2005: enmiendas 1 y 2 (tokens de contraseña de un solo uso, CT-KIP)
  • 01/2007: enmienda 3 (mecanismos adicionales)
  • 09/2009: borrador de la versión v2.30 de la que no llegó a publicarse la versión final con tratamiento de alegaciones)
  • 12/2012: RSA anuncia que la administración de PKCS # 11 transfiere a OASIS
  • 03/2013: Reuniones inaugurales de Comité Técnico de OASIS PKCS # 11 , partiendo de la versión aportada por RSA v2.30
  • 04/2015: las especificaciones OASIS PKCS # 11 v2.40, (básicamente las v2.30, complementadas con ficheros “header” aportados por RSA/EMC) se convierten en las primeras normas PKCS # 11 aprobadas por OASIS
  • 05/2016: OASIS aprueba la corrección de erratas  “Errata 01” de PKCS # 11 v2.40
  • Actualidad. En curso una profunda revisión del standard que recibirá el número 3 (v3.0)

El estándar actualizado proporciona soporte adicional para casos de uso de computación móvil y en la nube: para aplicaciones distribuidas y federadas que involucran funciones de administración de claves (generación de claves, distribución, traducción, depósito en custodia, cambio de claves); modelos basados ​​en sesiones; dispositivos virtuales y almacenes de claves virtuales; aplicaciones inalámbricas / de sensores en evolución usando comunicación de campo cercano (NFC), RFID, Bluetooth y Wi-Fi.

Los miembros del Comité Técnico PKCS#11 también están diseñando nuevos mecanismos para la instrumentación de la API, adecuados para su uso en prototipos, perfiles y pruebas en entornos de aplicaciones con recursos limitados. Estas actualizaciones permiten la compatibilidad para facilitar la integración de PKCS # 11 con otros estándares de administración de claves criptográficas (cryptographic key management system – CKMS), que incluyen una gama más amplia de algoritmos criptográficos y modelos de servicio.

Según declara el propio comité, en su página web de OASIS, el objetivo del Comité Técnico PKCS11 es la mejora y el mantenimiento continuos del estándar PKCS # 11, ampliamente utilizado en toda la industria como una especificación básica para servicios criptográficos. El estándar PKCS # 11, desarrollado originalmente bajo el liderazgo de RSA Laboratories, especifica una API, llamada Cryptoki, para dispositivos que contienen información criptográfica y funciones criptográficas. La API sigue un enfoque simple basado en objetos, aborda los objetivos de independencia tecnológica (cualquier tipo de dispositivo) y el uso compartido de recursos (múltiples aplicaciones que acceden a múltiples dispositivos), presentando a las aplicaciones una vista común y lógica del dispositivo llamado token criptográfico.

Otras áreas de actividad incluyen la especificación de la nueva funcionalidad PKCS # 11 en apoyo de la integración con otros estándares, en concreto el Protocolo de interoperabilidad de gestión de claves de OASIS (Key Management Interoperability Protocol – KMIP). El comité también participará en actividades que apoyen la implementación efectiva e interoperable de PKCS # 11, incluyendo actividades tales como el desarrollo de orientación sobre el uso de PKCS # 11, el soporte de pruebas de interoperabilidad y la coordinación de implementaciones de referencia.

 

Money Appdate, de Aurigae, nueva solución de alertas financieras inteligentes en el smartphone


  • Money-AppdateAurigae lanza al mercado un servicio completo para la gestión de avisos bancarios que acabará con las alertas por SMS.
  • La nueva tecnología incrementa la seguridad y reduce dramáticamente los costes al sacar provecho de las notificaciones push de los smartphones

Ya es posible organizar todas las alertas financieras (reintegros en cajeros, pagos en comercios, ingresos de nómina, compra y venta de valores, códigos de verificación para transferencias online, transacciones de comercio electrónico, vencimientos de préstamos, …), con Money Appdate, una sencilla y potente aplicación para smartphones.

Con esta aplicación se controlan mejor las alertas financieras por parte de los usuarios y es posible para las entidades financieras participantes añadir servicios personalizados.

El coste del servicio para los bancos es una fracción del que supone la gestión de SMS, y cuenta con múltiples posibilidades, ya que no se aplican sus limitaciones, como por ejemplo la del número de caracteres del mensaje .

La herramienta aporta funcionalidades como el envío de datos seguros, la posibilidad de incluir información adicional para cada alerta (datos del producto, geolocalización de la operación, teléfonos de contacto, …) e incluso publicidad o informaciones personalizadas.

Además, cada entidad tendrá la oportunidad de definir y personalizar operaciones disponibles para los usuarios, por tipo de producto y tipo de alerta. Por ejemplo el bloqueo de una tarjeta, la restricción de operar en determinadas áreas geográficas, establecer límites de dispensación en cajeros, etc.

Todo ello desde un Panel de Control Remoto específico de la entidad financiera de uso sencillo para los administradores informáticos designados.

Desde el punto de vista del usuario, las principales ventajas son: organización de las alertas recibidas, seguridad en los datos, economía, reacción ante alertas de cambios de cotización de valores, o datos de interés.

Y destacadamente, detección de fraudes y reacción ante ellos mediante las operaciones que los bancos le permitan realizar nada más recibir una alerta (como por ejemplo, el bloqueo de la tarjeta).

En definitiva, Money Appdate es una potente herramienta que ahorra costes a las entidades financieras y permite dar un valor añadido a los clientes de bancos, contribuyendo a mitigar el fraude en los medios de pago.

Wolters Kluwer España compra la empresa SIE


Visto en Diario Informático

Wolters Kluwer España compra la empresa catalana SIE (por una cantidad que no se ha hecho pública) y se hace con una base instalada de 8.500 clientes y una facturación aproximada de dos millones de euros. Así lo adelantó en rueda de prensa el director general de la firma compradora, Josep Aragonés, quién, además, aseguró que prácticamente el cien por cien de la plantilla de SIE se quedará en el nuevo proyecto, y que en este momento su grupo es “el único fabricante en España que puede dar todos los servicios que giran alrededor del asesor y de la pequeña y mediana empresa”.

Tal y como se puso de relieve, la operación supone un avance estratégico para Wolters Kluwer España, líder en el segmento de Asesorías, con más de 25.000 clientes en este mercado a través de las marcas A3 Software y CISS, permitiendo atender la demanda de los Asesores clientes de Wolters Kluwer para integrar y conectar completamente la solución de gestión de la Asesoría con el producto ERP de sus clientes Pymes, facilitando y optimizando así la relación y operativa entre ambos.

SIE ha diseñado y desarrollado sus aplicaciones pensando en las pequeñas y medianas empresas desde sus inicios, hace 20 años. La compañía catalana cuenta con esos 8.500 clientes gracias a su red de 150 distribuidores certificados repartidos por el territorio nacional, hecho que le permite actualizarse con rapidez ante cualquier cambio normativo o fiscal.

Actualmente la solución ERP de SIE ya enlaza con el software de gestión de Asesoría de A3 Software y con la incorporación a Wolters Kluwer España el producto evolucionará exponencialmente permitiendo una integración total entre las soluciones de la Asesoría y las de sus clientes.

En palabras de Josep Aragonés la adquisición de SIE supone para Wolters Kluwer “un paso clave dentro de nuestra estrategia corporativa dirigida a mejorar la productividad y eficiencia de los procesos y maximizar el valor de los productos ofrecidos a nuestros clientes”.

Con esta incorporación, Wolters Kluwer España insiste en que se convierte en el único fabricante del país que puede ofrecer, bajo una misma marca, un portafolio completo de soluciones para el Asesor y la Pyme:

  • Software de Gestión para Asesorías
  • Bases de Datos de contenidos Jurídicos, Fiscales, Contables o Laborales
  • Anuarios y Revistas Especializadas
  • Seminarios Especializados y Formación para el Asesor
  • Portales de Comunicación entre Asesor y Pyme
  • Newsletters y Canales informativos del Asesor para sus clientes
  • Software de Gestión para Pymes

La compañía ha aprobado un plan a cinco años en el que espera unos notables crecimientos, empezando por 2011 en el que tiene previsto hacerlo en un diez por ciento.

Crypto Summer Camp


En Albalia estamos buscando programadores que quieran vivir un interesante reto en torno a sistemas de criptografía y firma electrónica.

Lo vemos como una experiencia de verano (retribuida), pero que puede tener continuidad si los participantes piensan que este tipo de proyectos destinados a “despapelizar” la sociedad manteniendo el valor probatorio de las alternativas digitales, les enganchan.

Puede ser una interesante oportunidad profesional que continuará tras el verano en torno a un nuevo “paradigma” de gestión electrónica que producirá ahorros millonarios a las empresas y administraciones que adopten estas tecnologías.

Impulsando el software libre


Llevo mucho años impulsando el software libre. En 1999 era una verdadera novedad que el software libre se usara en banca, y más aún que una entidad financiera (en este caso Banesto) explicara el significado de las siglas GPL impulsando un proyecto como el de Cibertienda. Aun quedan vestigios en la red de aquella iniciativa, como esta entrevista de El Mundo.

En aquel proyecto fue esencial la colaboración de Onírica, la empresa formada por los creadores de la distribución de Linux en español Eurielec, nombre del club de la Escuela de Teleco de Madrid del que yo había formado parte unos años antes. Fernando Herrera, Guillermo Pérez, Alfonso Sánchez-Macián y Alejandro Martínez aportaron su experiencia en el mundo del software libre y junto con Lourdes Herrero, Pedro Cobo y Fernando Puig formaron el equipo de desarrollo de Cibertienda GNU, para preparar un entorno de tienda virtual que había sido comprado por Banesto a Teknoland y que dependía de la base de datos Informix y del servidor web de Netscape. En el porting, destinado a eliminar dependencias de software no-libre,  el servidor elegido fue Apache, y la base de datos Postgres.

También logré que Banesto patrocinara la primera Expo sobre Linux en España, Expo-Linux 2000, y colaboré con Juantomás García (a la sazón presidente de Hispalinux) para que el evento fuera un éxito. También queda algún vestigio de aquello, esta vez en iWorld.

Llevo instalando versiones de Linux en mis ordenadores desde 1994 (aun recuerdo las dificultades que suponía instalar el soporte de X-window en la distribución Slackware, una de las primeras), y uso Minix incluso desde antes (aun conservo mi diskette de 5 pulgadas y cuarto y el Libro de Andrew Tanembaum, que utilicé en 1987-88). Llegué a usar e instalar Coherent, un clon de Unix, francamente bueno, y en ocasiones consulto su excelente documentación en papel.

Posteriormente, he utilizado software libre y promovido su uso en las empresas en las que trabajaba en diferentes momentos de mi actividad profesional. Por ejemplo, en Mobipay, donde fui CTO y colaboré con un excelente profesional, Luis Colorado, que fue fundador y primer presidente de Hispalinux. También lo usamos en Camerfirma en la época en la que yo era Director General.

En la época en la que invertí en una empresa de venta de libros por  internet (Book on Hand) colaboré con otras impulsoras de la innovación y creamos la Asociación Impulsa Internet. Entre las empresas con las que colaboramos se creo el embrión de ASOLIF (Asociaciones de Software Libre Federadas) presidida por Daniel Amendáriz, Presidente a su vez de ESLE, Asociación de Empresas de Software Libre de Euskadi, y de Solimadrid, con Arena Futura de Paco Sadurní, o Airostel Consulting, de José María Pérez Soria.

En los años 2007 y 2008, junto con IFO, DyR y Gepelia creamos la primera solución empresarial de factura electrónica basada en software libre (en este caso OpenBravo), que generaba facturas en formato facturae (publicado en octubre de 2007 en la Orede PRE/2971/2007) y firmas electrónicas en formato XAdES-XL.

En la actualidad usamos software libre en mis empresas (Albalia, Atenea y EADTrust) para algunos servicios, y también en ciertos entornos de programación. Nuestros programadores programan en java y en C# y nuestras aplicaciones se ejecutan sin problemas en entornos .net, y también en entornos Linux, como Suse (de Novell) y Red Hat. Uno de los entornos en los que somos especialistas es el de Linux for zSeries (además de z/OS para zSeries, que es el S.O. corporativo por excelencia).

Dos de los desarrollos más importantes que hemos llevado a cabo recientemente, con el apoyo de Microsoft son libres, con licencia MSPL: FactOffice y Offinvoice (esta última con licencia dual, añadiendo como opción la EUPL).

Nuestras primeras versiones de Faccil (un portal de facturación electrónica en la nube) las desarrollamos en Ruby. Al rehacer todo el portal en Java, hemos  liberado el código fuente en Ruby  para que puedan crearse otros portales de factura electrónica o de ERP en modo ASP o SaaS.

En entornos zLinux y zOS somos partners de IBM y en la actualidad estamos en el proceso de convertirnos en partners de RedHat.

Nuestro producto, la suite BackTrust (y especialmente la versión para Mainframes zBackTrust) se entregan con código fuente (pagando un suplemento).

En mi casa, mis hijos usan Mac, con su Mac OS X – Snow Leopard  y yo lo he intentado. Finalmente, aprovecho la posibilidad de Bootcamp de Apple para utilizar en mi Macbook un entorno Windows 7  que me gusta más.

Esta larga explicación se resume en una conclusión: apoyo el software libre sin prejuicios ni dogmas y lo  uso o lo desarrollo en cada caso de la forma que considero mejor para mi empresa y para mis clientes. En unas  ocasiones el Software Libre es mejor y en otras no, o no está disponible.

Por eso me sorprende la radicalidad de algunos defensores del software libre que se consideran depositarios únicos de la verdad, y critican cualquier posición que no coincida milimétricamente con la suya. Afortunadamente, en el mundo de la informática y en la sociedad, las opiniones son diversas y los talibanes que han convertido su visión del software libre en una religión son una minoría (aunque hay que reconocer que generan mucho ruido). Mi mejor recomendación es que debe preservarse la libertad, para que los criterios profesionales de quienes tienen que tomar decisiones tecnológicas primen sobre las consignas.

Quienes quieren imponer el software libre por decreto, no confían en que se imponga por mérito. Y si el mérito está del lado del software no-libre, entonces habrá que reconocerlo cuando así sea.

Y desde el punto de vista de la industria, está claro que el software libre ha dado lugar a estrategias lucrativas. Pero cualquier otra estrategia que pase por cobrar licencias o por no suministrar el código fuente, es absolutamente respetable si supera las reglas y exigencias del mercado y de la competencia.

No creo que tener estas ideas sea ir contra el software libre.

(Sé que es otra guerra, pero tengo una opinión parececida sobre la competencia de las mujeres: quienes imponen las cuotas de mujeres en puestos de responsabilidad crean la duda respecto a si las mujeres que alcanzan esos puestos lo logran por sus méritos. Mientras no existía el concepto de las cuotas, siendo real la discriminación de la mujer, las que alcanzaban altos puestos demostraban que lo lograban por méritos sobresalientes, y contribuian a la erradicación paulatina de esa discriminación)

Curso on-line sobre DNI electrónico


Brujuleando por internet he tropezado con un curso on-line sobre DNI electrónico de forma inesperada.

El curso no es muy bueno, y tiene varios conceptos erróneos, pero tiene un alto componente visual, por lo que puede servir de primer paso de iniciación para el público en general, que no necesite profundizar.

Para los que quieren profundizar, y tienen perfil de programador, quizá sea más recomendable el curso on-line sobre Desarrollo de aplicaciones sobre DNIe y pautas para su certificación de 80 horas de duración, disponible en la Zona TIC del portal usatudni.

Es un curso técnico de desarrollo de aplicaciones sobre DNIe, pautas para la evaluación y certificación de las mismas en base a Common Criteria, siguiendo los criterios de seguridad marcados por los Perfiles de Protección del DNIe. Pensado para desarrolladores y empresas de desarrollo, comienza dando a conocer los conceptos básicos necesarios y concluye con un caso práctico recapitulativo que muestra cómo se desarrolla una aplicación básica de firma electrónica que haga uso del DNIe de forma que siga las recomendaciones de los Perfiles de Protección del DNIe.

Este curso lo hemos elaborado en Albalia Interactiva para Inteco y hemos puesto un gran esfuerzo para que sea lo más completo y progresivo posible, aunque exige un cierto perfil técnico para seguirlo. Aún está abierta la inscripción a este curso de formación en línea, y es gratuita.

Algunos de los temas: criptografía, tarjetas inteligentes, DNIe, marco regulatorio, desarrollo seguro,… Además se incluye un caso práctico de firmado de facturas electrónicas con el DNIe.

La UFV crea el GINTA, Grupo de investigación dedicado a las AA.PP.


La Universidad Francisco de Vitoria (UFV) crea “GINTA” Grupo de Investigación sobre Nuevas Tecnologías Aplicadas.

El Grupo GINTA está formado por Profesores de la Universidad y Profesionales del mundo Empresarial relacionados con las Nuevas Tecnologías

Ante la necesidad de aplicar intensivamente la tecnología en las administraciones públicas y otros sectores, se ha creado un grupo especializado en el conocimiento de las necesidades de estos, tanto a nivel tecnológico como jurídico y económico para ofrecer soluciones integrales.

El objetivo del grupo se centra en dos líneas: Administraciones Públicas Locales para su Gestión Interna y Entidades Financieras en su desarrollo de Business Inteligence (B.I.).

Para ello, el grupo preparará y entregará Proyectos de Innovación Tecnológica y Business Intelligence (Inteligencia de Negocio) relevantes, que sean del interés de las Administraciones Públicas: Ayuntamientos y Empresas Multisectoriales: Sector Financiero, Banca, Seguros, Sector de las Telecomunicaciones, Tecnologías de la Información y de la Comunicación, Energía, Bienes de Consumo etc… y también se presentará a Concursos y Licitaciones de proyectos de Innovación Tecnológica Aplicada en el mundo de las Administraciones Publicas, así como a convocatorias externas de ayudas específicas sujetas a los planes nacionales y regionales de fomento de ciencia y tecnología, contando para ello con el apoyo de la OTRI (Oficina de Transferencia de Resultados de Investigación) de la UFV.

En el ámbito de las Administraciones locales colaborará en el diseño, elaboracion e imparticion de cursos y seminarios organizados por la Administración a los colectivos sectoriales que estos determinen.

Equipo

El grupo bajo la dirección de Ignacio Temiño Aguirre está compuesto por Inmaculada Puebla Sánchez, Mara Sánchez Benito, Rodrigo Navalón García, Delia Nogales Uzabal, Natalia Cobos Lanáquera, Manuel Robredo Botella, así como por Julián Inza Aldaz y Miguel Ángel de Bas Sotelo.

El Grupo de Investigación GINTA ha identificado mediante reuniones con autoridades locales y empresas sectoriales necesidades en los campos en los que centrará su investigación:

  • Administraciones Públicas Locales para su Gestión Interna:
    • Incrementar su apertura Digital (Documentación, Expedientes Contratación Electrónica);
    • Registro Telemático;
    • Gestión Documental;
    • Plataforma de Licitación Telemática;
    • Virtualización,
    • Ordenación CPD;
    • Documentos electrónicos;
    • Sede electrónica;
    • Notificaciones fehacientes;
    • Publicación fehaciente en el perfil del contratante;
    • Custodia Digital;
    • Códigos Seguros de Verificación;
    • Certificación de Seguridad del organismo;
    • Certificados de sede electrónica, de sello electrónico y de empleado público;
    • Compulsa electrónica;
    • Pago telemático;
    • Interoperabilidad;
    • Dirección Electrónica Única;
    • Verificación de Datos de Identidad y Residencia;
    • Supresión de certificados en soporte papel;
    • Comunicación de Cambio de Domicilio;
    • Digitalización Certificada
  • Entidades Financieras en su desarrollo de Business Intelligence (B.I.):
    • Redes Avanzadas en B.I. y Tecnologías de la Información IT ;
    • Banca Virtual; Certificado Digital;
    • Factura Electrónica;
    • Firma Electrónica;
    • Marketing Social: ERP, CRM, Datamining, Datawarehouse ….;
    • Redes Sociales y Audiovisuales;
    • Diseño Gráfico de Interfaces y Usabilidad;
    • Herramientas Colaborativas, canal Web;
    • Plataformas orientadas a servicios (SOA);
    • Plan de seguridad y de sistemas;
    • Redes avanzadas en Movilidad; ……

Y todo ello con una especial aplicación de las normativas vigentes en los proyectos objetivo.

Referencia: Club de la Innovación

Información sobre los grupos de investigación de la Universidad Francisco de Vitoria