¿Qué factores intervienen en la generación de una evidencia electrónica basada en firma electrónica? ¿Cómo se gestiona su ciclo de vida? ¿Qué importancia tiene la gestión del ciclo de vida en la validez de una evidencia electrónica?

1. Herramientas de gestión del ciclo de vida de las evidencias
electrónicas
Un enfoque detallado
Chema López
Socio Director
chemalogo@isigma.es
C/Casanova 27, 5º2ª
08011 Barcelona
T. 93 238 71 08
URL: https://app.portasigma.com/csv/view.html?csv=WOGLS5s8x5RaWfklYlOQ 1

2. Agenda
 Identificación y definiciones
 Ciclo de vida y servicios asociados
 Sobre los soportes
 Soluciones
2

3. Identificación y definiciones
 Ciclo de vida ...
 ... del certificado
 ... de la CA
 ... de la EE
 ... del par de claves ¿Cuál tiene
mayor
 ... de la CA duración?
 ... de la EE
 ... del soporte de las claves
 ... de la CA
 ... de la EE
 ... de la firma
3

4. Identificación y definiciones
 CV de certificados según AEAT:
 Obtención del certificado
¿Quién puede
 Instalación del certificado solicitar la
revocación?
 Importación/exportación del certificado
 Renovación, revocación y elminiación
 Punto de vista práctico para el usuario
 Muy particular de los certificados en “software” => ¿FE
reconocida?
4

5. Identificación y definiciones
 CV de certificados según ETSI 101 456
 Subject registration
 Certificate renewal, rekey and update
 Certificate generation
 Dissemination of Terms and Conditions
¿Diferencias
entre renwal, ¿Qué se hace
rekey y habitualmente?
update?
5

6. Identificación y definiciones
 CV de certificados según ETSI 101 456
 Certificate dissemination
 Certificate revocation and suspension
 Punto de vista del PSC
¿Cómo
puedo
consultar el ¿Mejor CRL
estado de o OCSP?
un
certificado?
6

7. Identificación y definiciones
 CV de claves según CEN 14167.Part 1.
 Key Generation
 Key Distribution
 Key Usage
 Key Change
 Key Destruction
 Key Storage, Backup & Recovery
 Key Archival
 Los requisitos varían si clave de CA o de EE
7

8. Identificación y definiciones
 ¿De qué depende el ciclo de vida de ...
 ... los certificados y claves de EE?
 Legislación
 Usos  ... los certificados y claves de CA?
 Usos
 Grandes players del mercado
 ... los soportes?  Avances en computación
 Tecnología
 Avances en criptografía
 Legislación
 Grandes players del mercado
8

9. Ciclo de vida y servicios
 Registro
 Generación de certificado
 Diseminación de certificados
 Gestión de revocación
 Estado de revocación
 Provisión del dispositivo
9

10. Ciclo de vida y servicios
Registro Generación Diseminación Gestión Estado
revocación revocación
CV Subject reg. Certificate Certificate Certificate Certificate
certificados Certificate renewal, generation dissemination revocation & revocation &
rekey & update suspension suspension
CV claves Key change Key Key Key
Key destruction generation distribution change
Key storage, Key usage
backup & recovery
Key Archival
10

11. Ciclo de vida y servicios
11

12. Soportes
 Tipos de soportes
 Con capacidad criptográfica
 Tarjeta
 Token
 HSM
 Sin capacidad criptográfica
 HDD
 pen
12

13. Comparativa soportes
Soporte Pros Cons
Tarjeta Genera claves Logística asociada
Operaciones en tarjeta Necesario lector
Herramienta Mktg Usabilidad
token Genera claves Logística asociada
Operaciones en tarjeta Usabilidad
Portabilidad
HSM Gestión centralizada Procedimientos nuevos
Universalidad ¿FE reconocida?
HDD Rapidez y faciidad de uso No FE reconocida (¿AEAT?)
Portabilidad Baja seguridad
Precio
pen Portabilidad No FE reconocida
Precio
13

14. Comparación soportes firma móvil
 Firma móvil
 Soporte: SIM, SD memoria, SD cripto, terminal, centralizado
Soporte Pros Cons
SIM Tecnología probada Dependencia del operador
Precio
SD memoria “Portabilidad” No FE reconocida
No iPhone
SD cripto “Portabilidad” No iPhone
Terminal Precio ¿FE reconocida?
Centralizado Universalidad ¿FE reconocida?
14

15. Condicionantes del soporte
 ¿Qué determina el uso de un soporte?
¡Firma aquí!
 El propósito de la firma (p.e. autenticación vs declaración de voluntad)
 La legislación (p.e., facturación electrónica)
 La tipología de colectivo: movilidad, homogeneidad, conocimientos, entorno de
uso (fuerza de ventas, público en general, ...)
"La gente puede tener su
 La oferta del mercado modelo T en cualquier color.
Siempre que ese color sea
negro."
Henry Ford
15

16. En el país de las maravillas
 Mi solución ideal
 Centralizada (cloud?)
 Implantación no estandarizada
 No economías de escala
 Incertidumbre legal
 Solución seudo-óptima  FE reconocida
 MicroSD cripto.  Sobrevive al terminal
 Sobrevive al operador
 No iPhone
 “Siempre conmigo”
 Necesario desarrollo para firmar desde PC
16

17. Enfoques de implantación de firma centralizada
 Garantista  Pragmático
 HSM  Basado en PKCS#12
 Datos de activación de un solo uso  Prácticamente todos los PSC
o mediante uso de otro certificado emiten alguna política en software
 Usuario y contraseña para activar
los datos de creación de firma
 ¿Proceso de registro y generación
de claves?
 ¿Algún PSC lo soporta?  No es firma electrónica reconocida
 “Asegurarse de que el firmante  Útil sólo para determinados casos
está en posesión de los datos de
creación de firma
correspondientes a los de
verificación que constan en el
certificado.”
17

18. Software de gestión de vida de los certificados
 KeyOne, de Safelayer
 EJBCA
 OpenXPKI
 Entrust Authority
 ...
18

19. Digitally signed by: José Manuel López
González
Date: 2012-08-01T16:28:37