GUIdumpASN para visualizar certificados


La aplicación GUIdumpASN de Gemini Security Solutions permite ver e imprimir una versión legible por humanos de un archivo de notación de sintaxis abstracta uno (Abstract Syntax Notation 1 – ASN.1). ASN.1 es una notación estándar y flexible que describe estructuras de datos para representar, codificar, transmitir y decodificar datos.

La salida de la aplicación se puede guardar como un archivo de texto, y las opciones se pueden configurar para ajustar la salida. La aplicación admite arrastrar y soltar, por lo que puede ejecutar la aplicación y soltar un archivo para mostrar ASN.1. También puede asociar extensiones de archivo con la aplicación para permitir el inicio inmediato cuando se hace doble clic en un determinado tipo de archivo.

Este tipo de programas se denominan “parsers” ya que analizan y presentan la estructura de la información codificada. Son de utilidad, por ejemplo, para ver el contenido de los certificados electrónicos.

En 2012 la aplicación evolucionó (ahora es GUIdumpASN-ng) añadiendo el requisito de preinstalación de Microsoft .NET framework, versión 3.5. Incluye soporte nativo de impresión de la aplicación.

El instalador instala un acceso directo a la aplicación en su menú contextual SendTo de forma predeterminada, para simplificar la decodificación de cualquier archivo que encuentre. Además de los archivos binarios DER codificados, la aplicación también admite archivos codificados en base 64 de estilo PEM (con las etiquetas de estilo –BEGIN CERTIFICATE–).

Instrucciones de descarga

Descargar GDA-ng-setup.exe (408KB). Para evitar confusiones, es preciso desinstalar todas las versiones anteriores a la 2.0 antes de instalar esta.

El software subyacente (dumpasn1.c) fue escrito por Peter Gutmann y se puede encontrar en el sitio web de Peter Gutmann.

Gemini Security Solutions simplemente ha desarrollado el visor como aplicación gráfica de Windows, aprovechando el código fuente citado.

Políticas marco de firma electrónica


El 2 de diciembre de 2015, el Comité Técnico Estatal de la Administración Judicial Electrónica (CTEAJE) aprobó la Guía de Interoperabilidad y Seguridad (GIS) de Autenticación, Certificados y Firma Electrónica en la Administración de Justicia en España, que constituye de facto la “Política Marco de Firma Electrónica para la Administración de Justicia”.

El objeto de esta norma es servir como guía en lo relativo a la gestión de firmas electrónicas en el ámbito de la justicia, así como tomar en consideración los conceptos conexos de autenticidad de documentos electrónicos y uso de certificados en el marco de la identificación y autenticación de intervinientes cuando no se precise el uso de firma electrónica.

Es de aplicación a la Administración de Justicia, a los ciudadanos en sus relaciones con ella y a los profesionales que actúen en su ámbito, así como a las relaciones entre aquélla y el resto de Administraciones y organismos públicos.

La administración de Justicia es la estructura de la administración específica para el Poder Judicial, que es un poder diferente al Ejecutivo y lo es también la infraestructura administrativa que le da soporte.

En el ámbito de la Administración Pública, la Administración General del Estado ha desarrollado diversa normativa destinada  favorecer la digitalización de su funcionamiento. En su momento, uno de los hitos principales de ese proceso de digitalización lo constituyó la publicación de la Ley 11/2007 que suplementaba lo dispuesto en la Ley 30/1992. En el año 2015 se publicaron las leyes siamesas Ley 39/2015 y Ley 40/2015 (subsumiendo las dos leyes citadas), un año después de la publicación del Reglamento europeo UE 910/2014 (EIDAS) y teniendo ya en cuenta bastantes de los aspectos de la norma europea.

Por su lado, en la Administración de Justicia se ha desarrollado la Ley 18/2011 a semejanza de la Ley 11/2007 y se han modificado las leyes procesales, con cambios significativos en 2015.

AGE-AJU

En el ámbito de la AGE, dentro del Esquema nacional de Interoperabilidad  se ha desarrollado una política marco de firma electrónica que ha consolidado la experiencia de  las versiones 1.8 y 1.9. La actual, Política 2.0 se publicó en el BOE de 2 de noviembre de 2016.

En su contexto es muy importante una norma complementaria que ayuda a uniformizar la interoperabilidad de los certificados en España.

En el ámbito de la AJU, dentro de las Bases del Esquema Judicial de Interoperabilidad y Seguridad  se ha desarrollado la política marco de firma electrónica del CTEAJE citada al inicio:

Con sus similitudes y sus diferencias, ambas Políticas son referentes de sus respectivas administraciones.

Akoma Ntoso: una norma XML para documentos jurídicos


El estándar XML Akoma Ntoso es un formato específico de codificación de datos para expresar documentos parlamentarios, legislativos y jurídicos.

Akoma Ntoso, que significa “corazones unidos” en el lenguaje del pueblo Akan del oeste de Africa, es un conjunto de normas de codificación de documentos XML que permite  intercambiar documentos parlamentarios, legislativos y jurídicos de manera más eficiente, de forma que la información puede interpretarse por los sistemas informáticos.

Akoma Ntoso se orienta a documentos oficiales, tales como los legislativos, los documentos de debate, las actas, etc. que permiten añadir estructuras descriptivas a los documentos parlamentarios y legislativos.

En España, el Documento Judicial Electrónico incluido en la GIS correspondiente del CTEAJE asume la evolución producida a partir del Test de Compatibilidad definido desde 2008 por el Consejo General del Poder Judicial.

Ya los primeros avances en la digitalización de la Justicia fueron impulsados con el Plan de Modernización de la Justicia, aprobado por el CGPJ el 12 de noviembre de 2008.

En 2014 se publicó la Hoja de ruta del Comité Técnico Estatal de la Administración Judicial Electrónica,  definió las diferentes necesidades de normalización en el ámbito de la Justicia.

¿Convergerán algún dia Akoma Ntoso y las normas XML nacionales?

 

Listas de confianza TSL


Ya he tratado el tema de las listas de confianza TSL en otras ocasiones en este blog.

Hoy voy a incluir la información actualizada a las listas nacionales XML país por país.

Lista de listas europea

AT

BE

BG

CY

CZ

DE

DK

EE

GR

ES

FI

FR

HR

HU

IE

IS

IT

IL

LT

LU

LV

MT

NL

NO

PL

PT

RO

SE

SI

SK

UK

 

 

 

 

 

 

 

 

¿Cuanto puede valer un Prestador de Servicios Electrónicos de confianza?


Me refiero a su valor como empresa.

Seguro que su valor tiene que ver con sus ventas, pero también con la complejidad del conocimiento necesario para su gestión. Y ahora que los criptosistemas descentralizados de cadenas de bloques se han hecho populares, es más fácil entender la importancia del conocimiento.

La cifra publicada hace unos días nos orienta que su valor puede estar en torno a los 950 millones de dólares, por el monto de la valoración de la adquisición de Symantec por Digicert.   En diciembre de 1999, VeriSign compró Thawte, por 575 millones de dólares.

Por cierto, me gusta mencionar esta operación de Thawte porque tras ella su promotor
Mark Shuttleworth, más famoso en la actualidad por su actividad en Canonical y el sistema operativo Ubuntu se convirtió en el segundo turista espacial de la historia y el primer africano en el espacio.

En efecto, el 25 de abril de 2002, la nave Soyuz TM-34 despegó del cosmódromo de Baikonur hacia la Estación Espacial Internacional con una tripulación formada por tres personas: el piloto-cosmonauta ruso Yuri Gidzenko como comandante de la misión, el cosmonauta-investigador italiano Roberto Vittori y el cosmonauta-ingeniero sudafricano Mark Shuttleworth.

El segundo cosmonauta “turista” en la historia, después del vuelo del millonario estadounidense Dennis Tito en la Soyuz TM-32, prefiere no ser considerado un simple turista, y por ello puso gran énfasis en los aspectos educativos y científicos de su misión. Llevó a cabo experimentos científicos en las áreas de fisiología y de fenómenos de cristalización, así como otros relativos a la investigación de las células madre.

Después de 8 días a bordo de la Estación Espacial Internacional (y 10 días de estancia en el espacio), la tripulación conformada por Gidzenko, Vittori y Shuttleworth regresó a la Tierra a bordo de la Soyuz TM-33, a la sazón acoplada a la Estación. La misión de la Soyuz TM-34 fue la cuarta que viajaba a la Estación Espacial Internacional y la última de dicha variante TM de la venerable nave, siendo sustituida luego por la Soyuz TMA.

Verisign se creó en 1995 a partir de la escisión de los servicios de certificación de la empresa RSA Security. La nueva compañía recibió licencias para adaptar patentes de criptografía de RSA y un acuerdo de no competencia por un tiempo limitado.

Antes de vender los negocios de certificación a Symantec en 2010 por un valor aproximado de 1.280 millones de dólares (incluyendo Thawte), Verisign contaba con más de 3.000.000 de certificados electrónicos.

En la actualidad Verisign conserva la actividad de mayorista de gestión de dominios que adquirió a Network Solutions en el año 2000.

Una explicación de la pérdida de valor del negocio adquirido por Digicert puede ser debido a que el 24 de marzo de 2017, Google declaró que había perdido la confianza en Symantec, tras un incidente de emisión indebida de certificados. Según Google los certificados de Symantec perderían el estatus de confiables en Google Chrome en los siguientes 12 meses.  Google justifica este cambio acusando a a Symantec (o más bien a socios colaboradores CrossCert -Korea Electronic Certificate Authority-, Certisign Certificadora Digital, Certsuperior S. de R. L. de C.V., and Certisur S.A. ) de haber emitido al menos 30,000 certificados de dudosa validez durante varios años, lo que Symantec rechaza señalando un impacto menor.  Google opina que Symantec no cumple con los estándares de la industria y en particular, que no ha sido capaz de proporcionar auditorías que muestren la documentación necesaria.

DigiCert adquiere a Symantec su negocio de seguridad de sitios web y PKI


La operación está valorada en 950 millones de dólares y supone además la toma de una participación de Symantec en Digicert que poseerá el 30% de esta última .

La linea de negocio Website Security de Symantec ha pasado a manos de DigiCert junto soluciones PKI relacionadas.

El CEO de Symantec, Greg Clark y el de DigiCert, John Merrill, manifestaron las ventajas y oportunidades que supone la operación para las empresas en sí y para sus clientes.

Digicert se convierte con esta operación en el principal proveedor mundial de certificados SSL para sitios web y uno de los mayores especialista en gestión de identidad y servicios electrónicos de confianza.

Hoy se ha presentado oficialmente el consorcio Alastria


Hoy, 17 de octubre de 2017 se ha presentado Alastria en varios actos simultáneos celebrados en la Bolsa de Madrid y en Barcelona, Bilbao, Málaga y Valencia.

Se trata de un consorcio formado por empresas e instituciones españolas de diferentes sectores que emplea la tecnología de cadena de bloques (blockchain) en la variante definida por Ethereum, y, en particular, la implementación de JP Morgan-Chase denominada Quorum.Miembros-Alastria

Miembros de las empresas participantes en el consorcio han insistido en la importancia de la seguridad en esta red de “blockchain”, con especial énfasis en la identidad digital, que permitirá a los usuarios tener el control sobre su información personal de forma transparente en las transacciones y siempre dentro del marco legal español. Iniciativas como uPort, sovrin y el Reglamento UE 910/2014 se intentan armonizar en el sistema que finalmente se adopte.

La red Alastria albergará un blockchain semipúblico de acceso restringido formado por nodos -computadoras alojadas por diversos participantes- con un registro imborrable de eventos y sus endosos  replicado por todos los nodos. De esta forma, los socios de esta red podrán desarrollar servicios y productos dentro de Alastria con total confianza y seguridad. El hecho de que la identidad digital de cada miembro esté certificada y garantizada permite utilizar la tecnología de contratos inteligentes (smart contracts) sobre la que se pueden ofrecer servicios y explotar aplicaciones en un entorno transversal y con plenas garantías legales en España.