¿Qué factores intervienen en la generación de una evidencia electrónica basada en firma electrónica?
¿Cómo se gestiona su ciclo de vida?
¿Qué importancia tiene la gestión del ciclo de vida en la validez de una evidencia electrónica?
Analisis del art. 37 de la Ley del Impuesto a la Renta
Gestión del Ciclo de Vida de Evidencias Electrónicas
1. Herramientas de gestión del ciclo de vida de las evidencias
electrónicas
Un enfoque detallado
Chema López
Socio Director
chemalogo@isigma.es
C/Casanova 27, 5º2ª
08011 Barcelona
T. 93 238 71 08
URL: https://app.portasigma.com/csv/view.html?csv=WOGLS5s8x5RaWfklYlOQ 1
2. Agenda
Identificación y definiciones
Ciclo de vida y servicios asociados
Sobre los soportes
Soluciones
2
3. Identificación y definiciones
Ciclo de vida ...
... del certificado
... de la CA
... de la EE
... del par de claves ¿Cuál tiene
mayor
... de la CA duración?
... de la EE
... del soporte de las claves
... de la CA
... de la EE
... de la firma
3
4. Identificación y definiciones
CV de certificados según AEAT:
Obtención del certificado
¿Quién puede
Instalación del certificado solicitar la
revocación?
Importación/exportación del certificado
Renovación, revocación y elminiación
Punto de vista práctico para el usuario
Muy particular de los certificados en “software” => ¿FE
reconocida?
4
5. Identificación y definiciones
CV de certificados según ETSI 101 456
Subject registration
Certificate renewal, rekey and update
Certificate generation
Dissemination of Terms and Conditions
¿Diferencias
entre renwal, ¿Qué se hace
rekey y habitualmente?
update?
5
6. Identificación y definiciones
CV de certificados según ETSI 101 456
Certificate dissemination
Certificate revocation and suspension
Punto de vista del PSC
¿Cómo
puedo
consultar el ¿Mejor CRL
estado de o OCSP?
un
certificado?
6
7. Identificación y definiciones
CV de claves según CEN 14167.Part 1.
Key Generation
Key Distribution
Key Usage
Key Change
Key Destruction
Key Storage, Backup & Recovery
Key Archival
Los requisitos varían si clave de CA o de EE
7
8. Identificación y definiciones
¿De qué depende el ciclo de vida de ...
... los certificados y claves de EE?
Legislación
Usos ... los certificados y claves de CA?
Usos
Grandes players del mercado
... los soportes? Avances en computación
Tecnología
Avances en criptografía
Legislación
Grandes players del mercado
8
9. Ciclo de vida y servicios
Registro
Generación de certificado
Diseminación de certificados
Gestión de revocación
Estado de revocación
Provisión del dispositivo
9
10. Ciclo de vida y servicios
Registro Generación Diseminación Gestión Estado
revocación revocación
CV Subject reg. Certificate Certificate Certificate Certificate
certificados Certificate renewal, generation dissemination revocation & revocation &
rekey & update suspension suspension
CV claves Key change Key Key Key
Key destruction generation distribution change
Key storage, Key usage
backup & recovery
Key Archival
10
12. Soportes
Tipos de soportes
Con capacidad criptográfica
Tarjeta
Token
HSM
Sin capacidad criptográfica
HDD
pen
12
13. Comparativa soportes
Soporte Pros Cons
Tarjeta Genera claves Logística asociada
Operaciones en tarjeta Necesario lector
Herramienta Mktg Usabilidad
token Genera claves Logística asociada
Operaciones en tarjeta Usabilidad
Portabilidad
HSM Gestión centralizada Procedimientos nuevos
Universalidad ¿FE reconocida?
HDD Rapidez y faciidad de uso No FE reconocida (¿AEAT?)
Portabilidad Baja seguridad
Precio
pen Portabilidad No FE reconocida
Precio
13
14. Comparación soportes firma móvil
Firma móvil
Soporte: SIM, SD memoria, SD cripto, terminal, centralizado
Soporte Pros Cons
SIM Tecnología probada Dependencia del operador
Precio
SD memoria “Portabilidad” No FE reconocida
No iPhone
SD cripto “Portabilidad” No iPhone
Terminal Precio ¿FE reconocida?
Centralizado Universalidad ¿FE reconocida?
14
15. Condicionantes del soporte
¿Qué determina el uso de un soporte?
¡Firma aquí!
El propósito de la firma (p.e. autenticación vs declaración de voluntad)
La legislación (p.e., facturación electrónica)
La tipología de colectivo: movilidad, homogeneidad, conocimientos, entorno de
uso (fuerza de ventas, público en general, ...)
"La gente puede tener su
La oferta del mercado modelo T en cualquier color.
Siempre que ese color sea
negro."
Henry Ford
15
16. En el país de las maravillas
Mi solución ideal
Centralizada (cloud?)
Implantación no estandarizada
No economías de escala
Incertidumbre legal
Solución seudo-óptima FE reconocida
MicroSD cripto. Sobrevive al terminal
Sobrevive al operador
No iPhone
“Siempre conmigo”
Necesario desarrollo para firmar desde PC
16
17. Enfoques de implantación de firma centralizada
Garantista Pragmático
HSM Basado en PKCS#12
Datos de activación de un solo uso Prácticamente todos los PSC
o mediante uso de otro certificado emiten alguna política en software
Usuario y contraseña para activar
los datos de creación de firma
¿Proceso de registro y generación
de claves?
¿Algún PSC lo soporta? No es firma electrónica reconocida
“Asegurarse de que el firmante Útil sólo para determinados casos
está en posesión de los datos de
creación de firma
correspondientes a los de
verificación que constan en el
certificado.”
17
18. Software de gestión de vida de los certificados
KeyOne, de Safelayer
EJBCA
OpenXPKI
Entrust Authority
...
18