El MINETAD ha llevado a cabo un proceso de recogida de opiniones sobre el anteproyecto de ley reguladora de determinados aspectos de los servicios electrónicos de confianza que derogará la Ley 59/2003 cuando se publique.

El proceso se ha realizado de acuerdo con el artículo 26.6 de la Ley 50/1997, de 27 de noviembre, del gobierno.

Dicha ley complementará en el Ordenamiento jurídico español al Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

En la consulta se han publicado los siguientes documentos:

Los certificados digitales son documentos electrónicos expedidos por una entidad de certificación que asocian información sobre la identidad de su titular a una clave pública, vinculada, a su vez, con una clave privada cifrada en una tarjeta chip o administrada en el ordenador de la persona identificada en el certificado y que permiten confirmar la identidad del titular en accesos cifrados (en virtud del protocolo TLS) o firmar electrónicamente.

En España es posible completar un amplio abanico de trámites relacionados con la Administración Pública y firmar documentos que tengan validez jurídica. Así, sin salir de casa, se puede obtener una copia de la partida de nacimiento, conocer los puntos del carné de conducir, comunicar un cambio de domicilio o realizar otras gestiones.

También se pueden firmar documentos electrónicos que contengan instrucciones de voto y delegación para la celebración de juntas de accionistas, en los sistemas de voto y delegación a distancia definidas por las sociedades de capital.

Para usar el certificado, bastará con disponer de un lector de tarjetas inteligentes y un DNI eletrónico (al que irá asociado un PIN) o contar con un certificado expedido por un Prestador de Servicios Electrónicos de Confianza supervisado por el MINETAD (Ministerio de Energía, Turismo y Agenda Digital.

Y para firmar electrónicamente documentos PDF se pueden usar algunas de las herramientas que se describen a continuación.

Selección de aplicaciones

Parte del software que aquí compendiamos servirá a los lectores para firmar documentos empleando certificados, pero también hemos incluido programas para encriptar datos o para proteger aquella información que estimen confidencial, usando desde codificaciones AES 256 hasta métodos de ocultación de unos archivos en el interior de otros.

En determinados casos, para usar los programas, será imprescindible que dispongas de un certificado en el equipo. Si no posees ninguno, es posible generar uno mediante la utilidad Certificado digital para proyectos de VBA, que se incluye con buena parte de las versiones de Microsoft Office. Como es lógico, éste no contará con el aval de una entidad emisora formal y no tendrá mayor validez que la de uso personal.

1. DNIe 6

El software asociado a tu DNI electrónico

Tras insertar tu DNI electrónico en la ranura del lector de tarjetas, éste será detectado como nuevo hardware. Tu PC se conectará a la Red para descargar los controladores asociados. Finalizada la operación, el controlador DNIe minidriver for smart card habrá quedado instalado en tu equipo.

Una nueva ventana te solicitará el PIN que te facilitaron en las oficinas de expedición. Además de introducirlo, deberás instalar en tu equipo el paquete de software DNIe v6y reiniciar el ordenador. En adelante, no solo podrás realizar trámites con la Administración Pública, sino también identificarte en páginas web de entidades bancarias y otros sitios.

DNIe 6

  • Lo mejor: fácil de instalar y de utilizar. Si bien las operaciones que permite no son tantas como sería deseable, nos puede ahorrar más de una cola
  • Lo peor: la necesidad de tener que personarse en las oficinas para obtener el PINde nuestro DNIe si no lo conocemos
  • Contacto: www.dnielectronico.es/descargas/windows.html
  • Valoración: 8,9
  • Precio: Gratuito

2. JSignPdf 1.3

Firma de documentos PDF en régimen abierto

Sencilla herramienta que te permitirá firmar digitalmente tus documentos PDF. A diferencia de otros programas que hemos probado que no son más que versiones con recortes de programas comerciales, esta utilidad se distribuye en régimen de software libre. En caso de que optes por no utilizar el instalador, previamente deberás agregar a tu sistema la versión más reciente de Java Runtime Environment (www.java.com/es/download/index.jsp). Su gran inconveniente es que únicamente permite validar documentos en formato PDF.

JSignPdf

  • Lo mejor: el programa se actualiza con frecuencia. Se integra con la suite de ofimática OpenOffice
  • Lo peor: únicamente permite procesar archivos en formato PDF
  • Contacto: http://jsignpdf.sourceforge.net
  • Valoración: 7
  • Precio: Gratuito

3. XolidoSign 2

Rúbrica digital de documentos de diversos tipos

Gracias a esta aplicación, te será posible seleccionar diversos ficheros y firmarlosmediante un certificado que avale su procedencia para prevenir una posible suplantación de identidad. Tras escoger el certificado, bastará con que hagas clic en el botón Seleccionar archivos, que se muestra en el área superior izquierda de XolidoSign. Una nueva ventana te permitirá cargarlos en la aplicación. Luego deberás escoger el directorio en el que se depositarán las copias firmadas haciendo clic en Selección carpeta salida. El botón Iniciar operación hará que los archivos se procesen.

XolidoSign 2

  • Lo mejor: permite trabajar con diversos tipos de archivo, entre ellos documentos de Microsoft Word y hojas de cálculo de Excel
  • Lo peor: puede resultar algo complejo para usuarios con escasa experiencia en este ámbito
  • Contacto: www.xolido.com
  • Valoración: 8,8
  • Precio: Gratuito

 

4. iSafePDF 1.3

Protege archivos PDF sin instalar ningún software

El más sencillo de los programas para firmar archivos PDF mediante certificados que hemos tenido ocasión de probar, lo cual no tiene necesariamente que ser negativo, pues cuenta con determinadas ventajas sobre otras opciones. Entre las más interesantes, cabe destacar que no precisa instalación, por lo que podrás añadirlo a tu pendrive para ejecutarlo y procesar documentos desde cualquier ubicación. Además, su pestaña Encryption te permite proteger los PDF habilitando una contraseña contra copias, anotaciones, impresiones, etcétera. De nuevo, se trata de software libre.

iSafePDF

  • Lo mejor: no precisa ser instalado. Integra opciones para proteger las características que elijamos de los ficheros PDF
  • Lo peor: al igual que JSignPDF, solo permite procesar documentos en formato PDF
  • Contacto: http://isafepdf.eurekaa.org/download-isafepdf
  • Valoración: 7,1
  • Precio: Gratuito

5. Gpg4win 2.1

Encriptación en la línea de PGP y mucho más

Desde principios de los 90, el software PGP se ha erigido como uno de los medios más efectivos para encriptar y desencriptar información, de tal modo que resulte virtualmente inexpugnable. Si bien desde que Symantec lo adquiriera su versión gratuita ya no está disponible, Gpg4win, su equivalente en el ámbito del software libre, sigue constituyendo una excelente alternativa.

La instalación de este paquete agrega al menú contextual de tu Explorador de Windows una entrada a través de la cual podrás firmar y cifrar documentos y carpetas, para más tarde desencriptar la información que contienen. El asistente te brinda además la posibilidad de instalar el cliente Claws Mail.

Gpg4win

  • Lo mejor: ofrece un sinfín de opciones en régimen gratuito. Se integra con Windows y con el cliente de correo Claws Mail
  • Lo peor: dependiendo de las opciones que escojamos, para decodificar la información dependeremos de este software
  • Contacto: www.gpg4win.org/download.html
  • Valoración: 8,9
  • Precio: Gratuito

6. ClickSign 10.5

Firma electrónica con muchas limitaciones

Otro programa orientado a la firma electrónica de documentos que, en sus diversas versiones comerciales Plus y Pro, resulta de lo más completo. Desafortunadamente, su encarnación gratuita únicamente permite procesar archivos en formato PDF y cuenta con el inconveniente de añadirles una marca promocional.

A diferencia de iSafePDF, precisa que lo instalemos en el sistema, pero a cambio se integra con el Explorador de Windows, agregando una entrada a su menú contextual. Otro aspecto positivo es que está disponible tanto para Windows como para Linux.

ClickSign 10.5

  • Lo mejor: se integra con el sistema operativo. Podemos instalarlo en Windows, pero también en Linux
  • Lo peor: la limitación de opciones de su versión gratuita y el incordio de la marca promocional
  • Contacto: www.clicksignworld.com/es
  • Valoración: 6,5
  • Precio: gratuito

7. Cobian Backup 11 (Gravity)

Copias de seguridad cifradas AES 256

Incluso ahora que respaldar los datos en la Nube se ha vuelto habitual, Cobian Backup, el programa para realizar copias de seguridad que nos ocupa, sigue constituyendo un modelo de referencia. Por un lado, te ofrece un elenco de opciones considerablemente más amplio que el que te brindarán muchas aplicaciones de pago. Por otro, no graba los datos en ningún formato propietario, lo cual te permitirá restaurarlos con gran facilidad, incluso en un futuro lejano en el que ya no cuentes con el programa. Por si fuera poco, su apartado Archivo permite cifrar los datos empleando diversos algoritmos, entre los que se encuentra el AES de 256 bits.

Cobian Backup 11 (Gravity)

Producto Recomendado

  • Lo mejor: los algoritmos de encriptación que integra. Modélico a la hora de realizar backups. Puede instalarse como servicio de sistema
  • Lo peor: las herramientas de sincronización y respaldo en la Nube con las que contamos hoy en día han hecho que su propuesta pierda relevancia
  • Contacto: www.cobiansoft.com/cobianbackup.htm
  • Valoración: 9
  • Precio: Gratuito

 

8. FileInyector 1

Ocultación de documentos confidenciales en fotos

Codificar los documentos importantes usando algoritmos como AES 256 los protegerá, de tal modo que otros usuarios no podrán acceder a ellos. No obstante, cabe la posibilidad de que la simple presencia de archivos o directorios cifrados en los discos despierte las suspicacias de aquellos que tienen acceso a nuestro ordenador.

Lo que nos propone FileInyector 1 es muy original: ocultar un documento de cualquier tipo en el interior de una fotografía en formato BMP, GIF o JPG y habilitar una contraseña para protegerlo. La instantánea seguirá visualizándose sin despertar sospechas sobre lo que esconde.

FileInyector 1

  • Lo mejor: planteamiento alternativo e interesante. No precisa instalación, por lo que resulta portable
  • Lo peor: para recuperar los archivos ocultos, precisaremos usar esta misma aplicación. Si alguien edita la imagen, el archivo oculto quedará dañado
  • Contacto: http://personales.ya.com/mecanet/utilidades/fileinyector.html
  • Valoración: 7,7
  • Precio: Gratuito

9. Plain Sight 1

Esconde documentos en otros documentos

Plain Sight va un paso más allá que FileInyector en el sentido de que nos permite ocultar y cifrar el documento que elijamos en el interior de cualquier otro fichero, sin restricciones en lo referente al tipo. En este caso, el programa sí precisa de instalación, aunque comparte con FileInyector el inconveniente de que posteriormente precisaremos recurrir al propio software para recuperar los contenidos ocultos. Durante nuestras pruebas, hemos utilizado un archivo MP3 como contenedor y seguía reproduciéndose con perfecta normalidad pese a contener una hoja de cálculo de dimensiones considerables.

Plain Sight

  • Lo mejor: al igual que FileInyector, su original filosofía hará que los datos confidenciales que deseamos ocultar muy difícilmente despierten suspicacias
  • Lo peor: la dependencia del programa para recuperar la información tras ocultarla
  • Contacto: www.voidrealms.com/viewdownload.aspx?id=17
  • Valoración: 8
  • Precio: gratuito

10. Easy Encrypt 1

Encripta archivos y carpetas para que sean inexpugnables

En líneas generales y para uso personal, los algoritmos de encriptación que incluyen la mayoría de compresores gratuitos, como 7Zip o PeaZip, deberían ser suficientes para garantizar que nadie tendrá acceso a la información que codifiques con ellos. Si a pesar de todo deseas ir un paso más allá y potenciar la seguridad todavía más, tras obtener el paquete protegido, procésalo de nuevo con EasyEncrypt. Su interfaz, sencilla pero efectiva, te permitirá recodificar la información empleando un algoritmo AES de 256 bits.

Easy Encrypt

  • Lo mejor: fácil de usar, sencillo y gratuito. Permite teclear contraseñas en casillas o bien usar un fichero de claves
  • Lo peor: no permite agregar a una cola y procesar archivos por lotes
  • Contacto: www.voidrealms.com/downloadproduct.aspx?id=16
  • Valoración: 7,3
  • Precio: gratuito

 

Tras la entrada en vigor del #eIdAS (Reglamento UE 910/2014) el pasado 1 de julio de 2016, los Prestadores de Servicios de Certificación (PSC) pasan a denominarse Prestadores de Servicios Electrónicos de Confianza (PSEC) y disponen de un año para presentar un informe de evaluación de su actividad realizado por una entidad evaluadora acreditada ante ENAC.

ENAC ya está en disposición de realizar la certificación de entidades evaluadoras, según se indica en su  Nota de prensa y en su página web en el artículo Certificación de prestadores de servicios de confianza electrónica.

La Evaluación de Conformidad de Prestadores de Servicios Electrónicos de Confianza puede realizarse en un contexto no alineado con el Reglamento Europeo, por ejemplo, siguiendo las directrices de CAB forum relativas a WebTrust, incluso pueden referirse a servicios electrónicos de confianza no contemplados en el Reglamento (como la Digitalización Certificada). No obstante, para los servicios cualificados, la evaluación debe realizarse con arreglo a las normas publicadas en el marco del desarrollo del #eIdAS y por entidades acreditadas antes los organismos de acreditación de cada país, ENAC en el caso de España.

 

El próximo 1 de julio es un hito importante en la adopción del Reglamento UE 910/2014 en España. porque entran en vigor la mayor parte de los aspectos relevantes del citado Reglamento  y se deroga la Directiva 1999/93 cuya transposición dio lugar a la Ley 59/2003 que quedará igualmente derogada en su mayor parte.

Se prevé que se publique una nueva norma, posiblemente una Ley que cubra los aspectos regulatorios que el Reglamento reserva a los paises miembros de la Unión Europea, pero no podrá solaparse con lo que ya está cubierto por el Reglamento.

Para intentar armonizar en lo posible las voces del sector de los Prestadores de Servicios de Confianza Digital, se va a mantener una reunión de PSCD en las instalaciones de AMETIC. Al finalizar, aquellos PSDC que lo dessen podrán formalizar la fundación del Grupo de Trabajo de Prestadores de Servicios de Confianza Digital del que hemos venido hablando los últimos meses unos cuantos PSCD. Es recomendable que los Fundadores hayan formalizado previamente su incorporación a AMETIC (los que falten por hacerlo).

Este Grupo de Trabajo canalizará hacia el Minetur las inquietudes del sector de la Confianza Digital, bajo el auspicio de AMETIC, la patronal más relevante del sector de las Tecnologías de la Información y de las Comunicaciones.

La fecha será el 29 de marzo de 2016 a las 11:00 horas en la sede de AMETIC de Madrid. Se habilitará la posibilidad de participación a distancia por medios digitales.

Para manifestar este interés podéis enviarme un mensaje a julian (punto) inza (arroba) eadtrust (dot) eu, precediendo en el texto del asunto la etiqueta [PSCD] o podéis llamar al número 91 7160555. para que tomen nota de vuestros datos.

En la decimoquinta edición de Foro Europeo de Firma Electrónica (EFPE, European Forum on Electronic Signature) que tuvo lugar los días 10 al 12 de junio de 2015 en Polonia se trató sobre el nuevo marco legal y tecnológico en la economía digital tras la publicación del Reglamento UE 910/2014 #eIDAS. Al finalizar el evento se aprobó la publicación de una declaración conjunta recogiendo las principales preocupaciones del sector de la certificación digital, la autenticación digital y de los servicios de confianza digital.

Se incluyee seguidamente una versión adaptada al español de la citada declaración.

Declaración final sobre la nueva implementación de servicios de confianza digital en la Unión Europea, adoptada en el Foro Europeo de Firma Electrónica (European Forum on Electronic Signature) del año 2015

El Foro Europeo de Firma Electrónica (EFPE) es una de las mayores conferencias internacionales que tienen lugar en Europa dedicadas a la firma electrónica e infraestructura de clave pública (PKI, Public Key Infraestructure). En la decimoquinta edición que tuvo lugar los días 10 al 12 de junio de 2015, en Międzyzdroje (Polonia), se trató el “nuevo orden legal y tecnológico en la economía electrónica internacional: Reglamento eIDAS – de la firma electrónica a los servicios de confianza digital”.

Asistieron al EFPE 2015 más de 130 participantes de 27 países. Entre ellos se encontraban representantes de la Comisión Europea, del ETSI, grandes instituciones que utilizan los servicios de confianza (incluyendo oficinas y agencias de gobiernos), proveedores de soluciones de software o hardware o prestadores de servicios de confianza digital relacionados con la firma electrónica y la identificación electrónica.

El Reglamento eIDAS, Reglamento UE 910/2014 sobre la identificación electrónica y servicios de confianza, requiere que los prestadores de servicios y los organismos supervisores realicen esfuerzos significativos para adoptar el nuevo marco legal que impondrá nuevos requisitos para las soluciones y sistemas de TI existentes en el mercado. De acuerdo con el art. 52 del Reglamento eIDAS se aplicará el Reglamento (salvo algunos casos contados en el Art. 52 (2)) desde el 1 de julio de 2016. Por otra parte, un prestador de servicios de certificación que expida certificados cualificados (también denominados “certificados reconocidos”) en virtud de la Directiva 1999/93 / CE antes del 1 de julio de 2016 debería presentar un informe de evaluación de conformidad a la autoridad nacional de control, a más tardar el 1 de julio de 2017. Después de esta fecha un prestador de servicios de certificación, no se considerará como prestador de servicios de confianza digital cualificado con arreglo al Reglamento eIDAS. Por lo tanto, los prestadores de servicios de confianza digital y los desarrolladores están esencialmente interesados en la publicación de los actos de implementación y los documentos relativos a estándares que les permiten adoptar servicios de confianza digital existentes y nuevos de acuerdo con los requisitos establecidos en dichos documentos.

Los participantes en la Conferencia señalaron la necesidad de un enfoque integral para la implementación de los cambios legislativos en el marco jurídico nacional. El Reglamento eIDAS requiere una cuidadosa armonización respectos a la legislación nacional, preservando al mismo tiempo la letra y el espíritu del Reglamento. Por otra parte, los efectos legales de los servicios de confianza digital definidos en el Reglamento eIDAS deben ser explícitos para los usuarios, independientemente del país miembro de la UE de procedencia.

La actuación como prestador de servicios de confianza digital requiere una actividad empresarial a la que no afecte la intervención del Estado, de forma que pueda garantizar a los clientes los medios para el uso inalterado de los servicios y productos en los que basa su confianza durante un largo período de tiempo. Es un tipo de actividad que exige un alto grado de responsabilidad, lo que implica la necesidad de garantizar la disponibilidad de los servicios: entidades de confianza digital, que deben ser resistentes a los períodos de recesión económica y capaces de responder a los retos derivados de los avances tecnológicos. Por razones de seguridad, los servicios de confianza digital requieren de experiencia y de sólidas infraestructuras.

Los participantes en la Conferencia señalaron que es importante identificar no sólo los muchos desafíos que supone la implementación de eIDAS en determinados Estados miembros de la UE, sino también el impacto que tendrá el despliegue de eIDAS fuera de la UE. Esto es un importante problema práctico porque no hay una base legal común entre la UE y otros países, aunque los sistemas legales pueden ser similares y los servicios de confianza digital se pueden prestar en las mismas condiciones. Los participantes hicieron hincapié en que en el ámbito de la UE sería una buena práctica el desarrollo del art. 14 en relación con los aspectos internacionales de reconocimiento de la identificación electrónica y de los servicios de confianza digital que se proporcionan a o por terceros países que no formen arte de la UE.

Un gran número de servicios de confianza digital dedicados podría llegar a ser difícil de utilizar por las partes que confían, lo que sería incompatible con el postulado citado, por ejemplo, en el Preámbulo (57), que establece que la validación de la firma electrónica cualificada debe ser fácil y conveniente para todas las partes en el ámbito de la Unión. Por esta razón, los servicios de confianza además de ser referenciados en las listas de confianza (TSL) deben disponerse en ellas de forma ordenada y consistente con la normativa preparada por los organismos de normalización tales como ETSI.

Aquella administración pública que pretenda proporcionar servicios de confianza digital al público debería hacerlo en pie de igualdad con los prestadores privados de confianza digital sin adoptar disposiciones que conculquen los principios de la libre competencia. Los participantes en la conferencia reiteran la creencia expresada en los últimos años de que la administración pública debe confiar cada vez más en las soluciones comerciales que ofrecen los prestadores de servicios de confianza que operan en el mercado digital.

En los instrumentos regulatorios internos que desarrolle cada país, vale la pena recomendar que se incluyan áreas no cubiertas directamente por el Reglamento eIDAS, por ejemplo, servicios adicionales de confianza digital e identificación electrónica. Los depósitos de claves y los gestores de identidad delegada son ejemplos de desafíos no cubiertos por el Reglamento eIDAS.

Este documento final ha sido preparado por expertos y participantes internacionales durante el EFPE 2015. Este documento ha sido traducido al Inglés, polaco y ruso y presentado para su aceptación por los participantes de la conferencia. Rogamos a los responsables políticos y los legisladores tomen en consideración esta modesta contribución a la discusión europea en sus futuros esfuerzos.

Doctor Ingeniero Jerzy Pejas. Presidente del Comité de Programa de EFPE 2015
Universidad de Tecnología de Pomerania Occidental en Szczecin, Polonia

Versión en español de Julián Inza, Presidente del Foro de la Firma Electrónica (agosto de 2015)
Presidente de European Agency of Digital Trust.

Merece la pena hacer mención a las nuevas exigencias que deberán afrontar los Prestadores de Servicios de Confianza Digital en el nuevo marco regulatorio.

La Agencia Europea ENISA las incluye en su web: Guidelines for Trust Service Providers.

In order to remove barriers for cross-border trust services and having regard to results from successful European projects like STORK, which have shown that technical issues of interoperability can be overcome, the European Parliament and the Council of the European Union adopted the Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC on a community framework for electronic signatures, which provided for the legal recognition of electronic signatures. The Regulation strengthens the provisions for interoperability and mutual recognition of electronic identification schemes across borders, enhances current rules for electronic signatures and provides a legal framework for other types of trust services (electronic seals, electronic delivery services, electronic documents, time stamping services and web site authentication).

Trust Services – as the name suggests – require a trustful provision of the corresponding service. The word trustful has to be defined in this context as highly reliable for the user, that the service promised is being delivered strictly according to:

  • Terms and conditions of the Trust Service Provider,
  • Standards (like ETSI/CEN/ISO),
  • Legal requirements as well as according to
  • State of technology (like cryptographic algorithms and parameter sets).
The Article 19 of the above mentioned regulation stipulates that trust services providers have to demonstrate due diligence, in relation to the identification of risks and adoption of appropriate security practices, and notify competent bodies of any breach of security or loss of integrity that has a significant impact on the trust service provided and on the personal data maintained therein.

ENISA Guidelines for Trust Service Providers:

In this context, the European Union Agency for Network and Information Security (ENISA) has developed in 2013 the Guidelines for trust services providers, discussing the minimal security levels to be maintained by the trust services providers. The study is split into three parts:

  • Security framework: describing the framework surrounding trust service providers (TPSs), focusing on EU standards, but taking into account others where relevant.
  • Risk assessment: discussing the principles and concepts of managing the risks applicaple to TSPs by defining and controlling threats and vulnerabilities.
  • Mitigating the impact of security incidents: recommending measures to mitigate the impact of security incidents on trust service providers (TSP) by proposing suitable technical and organisational means to handle the security risks posed to the TSP.

All three parts can also be used separately, as they address different issues and target different audience, so the introductory sections overlap.

These studies were complemented in 2014 by the fourth part (to be published):

ENISA has also published three other reports on the subject of TSPs:

 

 

The Internet Security Research Group (ISRG), en español, Grupo de Investigación de Seguridad de Internet (GISI), es una entidad sin ánimo de lucro creada en 2014 y centrada en la seguridad de Internet, especialmente a través de su principal inciativa  “Let’s Encrypt” que pretende distribuir gratuita y automáticamente certificados de servidor web a todos los servidores del mundo.

Los certificados de servidor web se basan en el protocolo “Secure Sockets Layer/Transport Layer Security” (SSL/TLS).

Josh Aas, representante de la Fundación Mozilla será su primer director ejecutivo. En el Consejo de la entidad, además de Mozilla estarán también representadas Akamai, Cisco, la Universidad de Michigan, la  Stanford Law School, CoreOS, IndenTrust, y la Fundación EFF (Electronic Frontier Foundation).

Estos son los miembros:

  • Josh Aas (Mozilla) — ISRG Executive Director
  • Stephen Ludin (Akamai)
  • Dave Ward (Cisco)
  • J. Alex Halderman (University of Michigan)
  • Andreas Gal (Mozilla)
  • Jennifer Granick (Stanford Law School)
  • Alex Polvi (CoreOS)
  • Peter Eckersley (EFF) — Observer

La iniciativa Let’s Encrypt, en español  “Cifremos” tiene entre sus destinatarios a los webmasters de las empresas, que instalan y mantienen servidores web. Si en la actualidad  conseguir los certificados de servidor es un engorro, por ser relativamente costosos y difíciles de instalar, con Let’s Encrypt se pretende resolver estos problemas creando una nueva Autoridad de Certificación que prepare e instale los certificados automáticamente cuando se instalan los servidores o se reconfigura el software de un proyecto.

Todas las actuaciones, como renovar los certificados, serán automáticas y gratuitas.

Aparte de facilitar el trabajo a los webmasters, el hecho de que los internautas naveguen por una Internet en la que la mayoría de los servidores mantienen las comunicaciones cifradas aporta como ventaja el que se disminuye la probabilidad de ataques “man in the middle” en los que la información es accesible (y modificable) por servidores situados en el tránsito de las comunicaciones (algunos potencialmente infectables por software malicioso). Y también por servidores que puedan estar bajo el control de algunos gobiernos, que así no podrán saber en qué consisten las comunicaciones de los ciudadanos.

Let’s Encrypt está definido, documentado y su desarrollo ya ha comenzado. Se espera que la infraestructura esté desplegada en 2015.

La Autoridad de Certificación de Let’s Encrypt dialoga con un software de gestión específico instalado en los servidores mediante el protocolo ACME (“Automated Certificate Management Environment”) del que ya existe un borrador de especificación. La idea es promover esta especificación para que sea parte del cuerpo normativo de la Internet Engineering Task Force (IETF) en el plazo más breve posible, y de est forma garantizar su evolución como estándar abierto.

Tanto el software utilizado por la CA (Certification Authority, Autoridad de Certificación) como el de las aplicaciones que acceden a ella y que facilitan a los administradores de sistemas la configuración de certificados SSL/TLS en servidores web como Apache, Nginx y Microsoft IIS, serán de fuentes abiertas. La CA pretende operar de forma transparente de modo que el repositorio de certificados emitidos y revocados estará a disposición de quien quiera inspeccionarlos.

Let’s Encrypt se someterá a los procesos de auditoría habituales de todas las CA y cumplirá los requerimientos básicos (baseline requirements) establecidos por la organización de cooperación entre desarrolladores de navegadores y autoridades de certificación  CA/Browser Forum en cuanto a la emisión y gestión de certificados digitales.

El Internet Security Research Group (ISRG) solicitará que sus certificados raíz se incluyan en los programas definidos por los desarrolladores de navegadores como Mozilla y Microsoft, para que estos navegadores confíen en los certificados emitidos por la CA de ISRG por defecto (sin requerir una aprobación expresa por los usuarios). Dado que este proceso puede ser largo y laborioso y que puede llegar a necesitar hasta 3 años por cada navegador, inicialmente ISRG solicitará a IdenTrust  (cuyas CA raíz ya están integradas en los navegadores) que firme sus certificados.   IdenTrust es uno de los impulsores del proyecto.

Para colaborar en España con esta iniciativa, contactar con Julian (@) inza.net

 

De conformidad con el artículo 2, apartado 4, de la Decisión 2009/767/CE de la Comisión, de 16 de octubre de 2009, por la que se adoptan medidas que facilitan el uso de procedimientos por vía electrónica a través de las ventanillas únicas con arreglo a la Directiva 2006/123/CE del Parlamento Europeo y del Consejo relativa a los servicios en el mercado interior, modificada por la Decisión 2010/425/UE de la Comisión y la Decisión de ejecución de la Comisión 2013/662/EU de 14 de octubre de 2013, la presente lista contiene la información notificada por los Estados miembros en virtud del artículo 2, apartado 3, de la Decisión 2009/767/CE de la Comisión.

Con el presente sitio Internet la Comisión Europea quiere ofrecer una herramienta de interoperabilidad que facilite el uso práctico de las listas de confianza nacionales. Nuestro objetivo es mantener esta información actualizada y precisa.

Trataremos de corregir los errores que se nos señalen. No obstante, la Comisión no asume responsabilidad alguna en relación con el contenido de las listas de confianza nacionales, que son de la exclusiva incumbencia de los Estados miembros.

Queremos reducir al mínimo los problemas ocasionados por errores de carácter técnico. No obstante, algunos datos o informaciones de nuestro sitio pueden haber sido creados u organizados en archivos o formatos no exentos de errores, y no podemos garantizar que nuestro servicio no se vea interrumpido o afectado de alguna otra manera.

La Comisión no asume responsabilidad alguna por los problemas que puedan surgir al utilizar este sitio o sitios externos con enlaces al mismo. La presente cláusula de exención de responsabilidad no tiene por objeto limitar la responsabilidad de la Comisión de forma contraria a lo dispuesto por las normativas nacionales aplicables ni excluir su responsabilidad en los casos en los que, en virtud de dichas normativas, no pueda excluirse.

Austria

https://www.signatur.rtr.at/currenttl.xml

Bélgica

http://tsl.belgium.be/tsl-be.xml

Bulgaria

http://crc.bg/files/_bg/TSL-CRC-BG-signed.xml

Chipre

http://www.mcw.gov.cy/mcw/DEC/DEC.nsf/all/9BE02B75459C1ED4C22577E40025AFD4/$file/TSL-CY-003-sign.xml?openelement

República Checa

http://tsl.gov.cz/publ/TSL_CZ.xtsl

Alemania

ttp://www.nrca-ds.de/st/TSL-XML.xml

Dinamarca

http://www.digst.dk/~/media/Files/Digitale%20l%C3%B8sninger/Digital%20signatur/TLDK.xml

Estonia

http://sr.riik.ee/tsl/estonian-tsl.xml

Grecia

https://www.eett.gr/tsl/EL-TSL.xml

España

https://sede.minetur.gob.es/Prestadores/TSL/TSL.xml

Finlandia

https://www.viestintavirasto.fi/attachments/TSL-Ficora.xml

Francia

http://references.modernisation.gouv.fr/sites/default/files/TSL-FR.xml

Croacia

http://www.mingo.hr/userdocsimages/trgovina/TSL_HR.xml

Hungría

http://www.nmhh.hu/tl/pub/HU_TL.xml

Irlanda

http://www.dcenr.gov.ie/NR/rdonlyres/52E803DA-EBB0-4C33-882C-26FCF550EDB7/0/IrelandTSLSIGNED.xml

Islandia

http://www.neytendastofa.is/library/Files/TSl/tsl.xml

Italia

https://applicazioni.cnipa.gov.it/TSL/IT_TSL_signed.xml

Liechtenstein

http://www.llv.li/xml-llv-ak-tsl.xml

Lituania

http://www.rrt.lt/failai/LT-TSL.xml

Luxemburgo

http://www.portail-qualite.public.lu/fr/publications/confiance-numerique/liste-confiance-nationale/tsl-xml/TSL-XML.xml

Letonia

http://www.dvi.gov.lv/en/wp-content/uploads/TSL/tsl-lv.xml

Malta

http://www.mca.org.mt/tsl/MT_TSL.xml

Pises Bajos

https://www.acm.nl/download/bestand/current-tsl.xml

Noruega

http://www.npt.no/TSL/NO_TSL.xml

Polonia

https://www.nccert.pl/tsl/PL_TSL.xml

Portugal

http://www.gns.gov.pt/media/1894/TSLPT.xml

Rumanía

http://www.mcsi.ro/Minister/Domenii-de-activitate-ale-MCSI/Tehnologia-Informatiei/Servicii-electronice/Semnatura-electronica/TrustedList-v8-xml

Suecia

http://www.pts.se/upload/Ovrigt/Internet/Branschinformation/Trusted-List-SE-MR.xml

Eslovenia

http://www.mizks.gov.si/fileadmin/mizks.gov.si/pageuploads/Storitve/Info_druzba/Overitelji/SI_TL.xml

Eslovaquia

http://ep.nbusr.sk/kca/tsl/tsl.xml

Reino Unido

http://www.tscheme.org/UK_TSL/TSL-UKsigned.xml

Normativa técnica de aplicación:  ETSI TS 119 612 V1.2.1 (2014-04) Electronic Signatures and Infrastructures (ESI); Trusted Lists; standard

 

 

 

 

 

Tras la publicación del Reglamento Europeo 910/2004 han quedado parcialmente derogadas las siguientes leyes:

Solo en lo referido a la identificación y firma electrónica.

Consecuentemente, ello ha afectado a las siguientes normas:

Aunque se esperan cambios como consecuencia de los nuevos entregables corresponidentes al mandato M-460, en principio siguen siendo de aplicación:

Hay que tener en cuenta también el cambio de denominación de algunas normas técnicas:

  • ETSI TS 101 862: Qualified Certificate Profile (futuro: EN 319 412-1EN 319 412-5 )
  • ETSI TS 102 280: Certificate Profile for Certificates Issued to Natural Persons (futuro: EN 319 412-2)
  • Certificate profile for certificates issued to legal persons (EN 319 412-3)
  • Certificate profile for web site certificates issued to organisations (EN 319 412-4)
  • CWA 14169 -> EN 14169 -> EN 19211 Dispositivos seguros de creación de firma “EAL 4+” … Perfiles de protección para los dispositivos seguros de creación de firma. (deliverable intermedio EN 66211)

 

Ayer se publicó oficialmente, por fin, la esperada normativa actualizada sobre firma electrónica y confianza digital:

Reglamento (Ue) No 910/2014 del Parlamento Europeo y del CONSEJO de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE

 

 

 

Next Page »