Social Icons

twitter facebookgoogle pluslinkedinrss feedemail

jueves, 13 de marzo de 2014

¿Crees que el cubo de Rubik es difícil? Prueba con los estándares de firma electrónica

He llegado a oír en presentaciones públicas, de boca de representantes de la Comisión Europea dedicados a promocionar el  REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (#eIDAS, para los amigos) por doquier, que el cuerpo de estándares técnicos (especificaciones técnicas, guías, etc ...) no hay quien lo entienda.

Es complicado, y el esfuerzo por racionalizar la estructura del cuerpo documental de estándares de firma electrónica mediante el Informe Técnico ETSI TR 119 000 V0.0.3 (2014-01) Electronic Signatures and Infrastructures (ESI); Rationalised structure for Electronic Signature Standardisation no ha contribuido a mejorarlo según mi opinión; sin embargo, su conocimiento puede ser de gran ayuda.


¿Es necesario que los conozca todos?

Rotundamente no. Es recomendable que sepas lo que existen y conozcas en detalle los que te puedan aplicar, en función de qué papel juegues o quieras jugar en el mapa de la firma electrónica.

Básicamente depende de:
  1. Si eres un Prestador de Servicios de Certificación (Proveedor de Servicios de Confianza) o no, y en el primer caso, de si eres cualificado y de los servicios que quieras ofrecer
  2. Si eres un desarrollador de aplicaciones de firma electrónica
  3. Si eres fabricante de hardware para gestionar firmas electrónicas y claves
  4. Si eres un usuario de la firma electrónica (empresa que implanta la firma electrónica en sus procesos, el firmante, el que confía en los certificados, ...)

Este cuerpo normativo, desarrollado bajo el mandato M/460 (EN), se compone de la siguiente tipología de documentos (*):

  1. Guías: no incluyen requisitos normativos pero proporcionan una orientación empresarial para abordar la firma electrónica, desde un punto de vista funcional.
  2. Requisitos de Política y de Seguridad.
  3. Especificaciones técnicas.
  4. Evaluación de la Conformidad: aborda requisitos para evaluar la conformidad de un sistema que alega el cumplimiento de un determinado conjunto de especificaciones técnicas, o de requisitos de política o seguridad.
  5. Pruebas de conformidad e interoperabilidad.
(*) La tipología de documentos aparece en la sección 4.2.2 Document Types del ETSI TR 119 000 V0.0.3 (2014-01).

¿Qué tipos de documentos hay?

Los documentos se identifican de la siguiente forma, a partir del Informe Técnico ETSI TR 119 000 V0.0.3 (2014-01) Electronic Signatures and Infrastructures (ESI); Rationalised structure for Electronic Signature Standardisation:
  • DD L19 xxx-z
Donde:
  • DD: indica el tipo de entregable en el proceso de normalización (SR, TS, TR y EN)
  • L:
    • cuando es 4: indica un entregable del CEN
    • cuando es 0, 1, 2 o 3: identifica un entregable ETSI y el tipo de entregable en el proceso de estandarización: 
      • 019 para Special Reports (SR) publicados
      • 119 para Technical Specification (TS) y Technical Report (TR) publicados
      • 219 para Standard (ES) y Guide (EG) publicados
      • 319 para European Standard (EN) publicados
      • 419 para Technical Specification (TS) o European Standard (EN) del CEN
  • 19 indica la serie de documentos de estandarización relacionados con firma electrónica
  • xxx indica el número de serie, donde:
    • Xxx: identifica el área (0 - genérico para varias áreas, 1 - Creación y Validación de Firmas, 2 - Dispositivos de Creación de Firma, 3 - suites criptográficas, 4 - Proveedores de Servicios de Confianza que emiten certificados, 5 - Proveedores de Aplicaciones de Confianza, 6 - Proveedores de Listas de Estado de Servicios de Confianza)(**)
    • xXx: : identifica una sub-área dentro del área, o 0 para un documento genérico
    • xxX: identifica el tipo de documento (0 - Guía, 1 - Requisitos de Política y Seguridad, 2 - Especificaciones Técnicas, 3 - Evaluación de la Conformidad, 4 - Pruebas de conformidad e interoperabilidad
(**) Estas áreas se definen en la sección 4.2.1 Functional Areas del  ETSI TR 119 000 V0.0.3 (2014-01).

Una de mis críticas a este punto es que la nomenclatura de los documentos parece estar más pensada para dar cabida a las estructuras anteriores que para hacerla más sencilla y coherente, pervirtiendo de esta forma el objetivo inicial.

Por ejemplo, TS 119 312 Cryptographic Suites for Secure Electronic Signatures en el documento se sabe que se trata de una Especificación Técnica por el “TS” inicial y por el primer dígito (“1”19); sin embargo el último dígito (00”0”) nos indicaría que es una Guía, cuando hay un número (el 2) asignado a especificaciones técnicas.

Este formato, entonces, tiene redundancias e incoherencias. Si estoy equivocado en esta apreciación, por favor, házmelo saber.

¿Cuáles he de conocer?

Como las posibilidades son varias, me voy a centrar en un caso concreto. Supongamos que soy un Prestador de Servicios de Confianza que emite certificados y sellos de tiempo, algo muy habitual.

Según el borrador del Informe Técnico TR 119 400 V0.0.2 (2013-09) Business Guidance for Trust Service Providers Supporting Electronic Signatures Draft 0.0.2 tendríamos la siguiente matriz de documentos que serían de aplicación y que por lo tanto, debería conocer. Aprovecho la matriz para enlazar a la última versión del documento o borrador, en el caso de que sea pública. Por favor, si conoces alguna versión posterior o alguna versión pública que no haya enlazado, te agradecería que lo comentaras.

Estándar
Tema
Parámetros de alcance de negocio
Certificado para firma-e
de persona física
Certificado para firma-e
o sello de persona jurídica
Certificado
de sitio web
Sellado
de tiempo
Rec.OtroRec.OtroRec.OtroRec.Otro
EN 319 401 General policy requirements for TSPs XXXXXXXX
EN 319 411-1Policy requirements for TSP Issuing web site certificatesXX
EN 319 411-2 Policy requirements for TSP Issuing qualified certificates XX
EN 319 411-3Policy requirements for TSP issuing public key certificatesXX
EN 319 421 Policy requirements for TSPs providing Time-Stamping ServicesXX
EN 319 412-2Certificate profile for certificates issued to Natural personsXX
EN 319 412-3 Certificate profile for certificates issued to legal personsXX
EN 319 412-4 Profiles for certificates issued to web sitesXX
EN 319 412-5Qualified Certificate Statements XXX
EN 319 422Profiles for TSPs providing Time-Stamping servicesXX
EN 319 403TSP Conformity AssessmentXXXXXXXX

En próximas entradas, incluiré nuevas matrices en función de distintos roles en el mapa de la firma electrónica.

--
Si este artículo te ha parecido interesante, por favor, compártelo.