El Reglamento europeo 910/2014 (denominado eIDAS) derogó la Directiva 1999/93. En su definición de dispositivo seguro de creación de firma sigue de cerca la definición utilizada en la Directiva que deroga.

El anexo III de la Directiva indica:

Requisitos de los dispositivos seguros de creación de firma electrónica

1. Los dispositivos seguros de creación de firma garantizarán como mínimo, por medios técnicos y de procedimiento adecuados, que:

a) los datos utilizados para la generación de firma sólo pueden producirse una vez en la práctica y se garantiza razonablemente su secreto;

b) existe la seguridad razonable de que los datos utilizados para la generación de firma no pueden ser hallados por deducción y la firma está protegida contra la falsificación mediante la tecnología existente en la actualidad;

c) los datos utilizados para la generación de firma pueden ser protegidos de forma fiable por el firmante legítimo contra su utilización por otros.

2. Los dispositivos seguros de creación de firma no alterarán los datos que deben firmarse ni impedirán que dichos datos se muestren al firmante antes del proceso de firma.

El anexo II del Reglamento indica:

REQUISITOS DE LOS DISPOSITIVOS CUALIFICADOS DE CREACIÓN DE FIRMA ELECTRÓNICA

1.

Los dispositivos cualificados de creación de firma electrónica garantizarán como mínimo, por medios técnicos y de procedimiento adecuados, que:

a)

esté garantizada razonablemente la confidencialidad de los datos de creación de firma electrónica utilizados para la creación de firmas electrónicas;

b)

los datos de creación de firma electrónica utilizados para la creación de firma electrónica solo puedan aparecer una vez en la práctica;

c)

exista la seguridad razonable de que los datos de creación de firma electrónica utilizados para la creación de firma electrónica no pueden ser hallados por deducción y de que la firma está protegida con seguridad contra la falsificación mediante la tecnología disponible en el momento;

d)

los datos de creación de la firma electrónica utilizados para la creación de firma electrónica puedan ser protegidos por el firmante legítimo de forma fiable frente a su utilización por otros.

2.

Los dispositivos cualificados de creación de firmas electrónicas no alterarán los datos que deben firmarse ni impedirán que dichos datos se muestren al firmante antes de firmar.

3.

La generación o la gestión de los datos de creación de la firma electrónica en nombre del firmante solo podrán correr a cargo de un prestador cualificado de servicios de confianza.

4.

Sin perjuicio de la letra d) del punto 1, los prestadores cualificados de servicios de confianza que gestionen los datos de creación de firma electrónica en nombre del firmante podrán duplicar los datos de creación de firma únicamente con objeto de efectuar una copia de seguridad de los citados datos siempre que se cumplan los siguientes requisitos:

a)

la seguridad de los conjuntos de datos duplicados es del mismo nivel que para los conjuntos de datos originales;

b)

el número de conjuntos de datos duplicados no supera el mínimo necesario para garantizar la continuidad del servicio.

Aunque puede deducirse que los “Dispostivos Seguros de Creación de Firma” que fueran válidos por cumplir el Anexo III de la Directiva, serán validos en el Reglamento como ” Dispostivos Cualificados de Creación de Firma” por cumplir el Anexo II, el propio Reglamento lo deja claro en su artículo 51, de medidas transitorias:

1.   Los dispositivos seguros de creación de firma cuya conformidad se haya determinado con arreglo a lo dispuesto en el artículo 3, apartado 4, de la Directiva 1999/93/CE se considerarán dispositivos cualificados de creación de firma electrónica con arreglo al presente Reglamento.

En base a esta consideración, cabe preguntarse, ¿Un dispositivo HSM certificado conforme a la norma FIPS-140-2 puede considerarse un dispositivo cualificado de creación de firma en el marco del EIDAS?

La respuesta es SI:

Cuando se publicó la Directiva en 1999 la única forma que tenían los Prestadores de Servicios de Certificación de cumplir los requisitos del Anexo III para sus certificados en el contexto de su PKI era accediendo a dispositivos certificados en base a la norma  norteamericana FIPS 140-1 publicada en 1994.

Hasta el año 2001 no existió una norma equivalente en el contexto europeo. En esa fecha se crearon en el CEN (Comité Europeo de Normalización) los borradores de las normas CWA 14167, CWA 14168 y CWA 14169 que finalmente se aprobaron en su versión final en el 2004. En el año 2003 se publicó la Decisión 2003/511/CE:de la Comisión, de 14 de julio de 2003, relativa a la publicación de los números de referencia de las normas que gozan de reconocimiento general para productos de firma electrónica, de conformidad con lo dispuesto en la Directiva 1999/93/CE del Parlamento Europeo y del Consejo para establecer el reconocimiento de de las normas:

A. Lista de normas que gozan de reconocimiento general para productos de firma electrónica considerados conformes por los Estados miembros con los requisitos del anexo II f de la Directiva 1999/93/CE

  • CWA 14167-1 (marzo de 2003): security requirements for trustworthy systems managing certificates for electronic signatures – Part 1: System Security Requirements
  • CWA 14167-2 (marzo de 2002): security requirements for trustworthy systems managing certificates for electronic signatures – Part 2: cryptographic module for CSP signing operations – Protection Profile (MCSO-PP)

B. Lista de normas que gozan de reconocimiento general para productos de firma electrónica considerados conformes por los Estados miembros con los requisitos del anexo III de la Directiva 1999/93/CE

  • CWA 14169 (marzo de 2002): secure signature-creation devices.

La norma FIPS 140-2 se publicó en Mayo de 2001 y se actualizó en diciembre de 2002.

De modo que, durante la vigencia de la Directiva 1999/93/CE los sistemas HSM (Hardware Security Module) utilizados como Dispositivo Seguro de Creación de Firma estaban certificados respecto a Common Criteria (el sistema de criterios comunes de certificación para reconocimento mutuo de evaluaciones basado en  la norma ISO/IEC 15408) cubierto inicialmente por los Perfiles de protección definidos en las normas/borradores  CWA (Common Workshop Ageements) citadas (que años después evolucionarían hacia las normas EN 14169, EN 14169-1, EN 14169-2, EN 14169-3EN 14169-4, EN 14169-5EN 14169-6). Y FIPS-140-1 (primero) y FIPS-140-2 (después).

La validez de todas estas normas para certificar dispositivos cualificados de creación de firma queda recogida en la normativa más actual de evaluación de Prestadores de Servicios de Certificación.

En efecto, en la norma EN 319 411-1 se indica:

6.5.2 Private key protection and cryptographic module engineering controls

OVR-6.5.2-01: TSP’s key pair generation, including keys used by revocation and registration services, shall be carried out within a secure cryptographic device which is a trustworthy system which:

a) is assured to EAL 4 or higher in accordance with ISO/IEC 15408 [1], or equivalent national or internationally recognized evaluation criteria for IT security provided this is a security target or protection profile which meets the requirements of the present document, based on a risk analysis and taking into account physical and other non-technical security measures; or NOTE 1: Standards specifying common criteria protection profiles for TSP’s cryptographic modules, in accordance with ISO/IEC 15408 [1], are currently under development within CEN as CEN TS 419 221-2 [i.16], CEN TS 419 221-3 [i.17], CEN TS 419 221-4 [i.18], or CEN EN 419 221-5 [i.19].

b) meets the requirements identified in ISO/IEC 19790 [3] or FIPS PUB 140-2 [12] level 3.

De modo que, mientras no se prohíba de forma expresa en alguna normativa (no publicada todavía), los sistemas certificados a través de la norma FIPS-140-2 seguirán siendo válidos.