Newsletter de Izenpe – nº14 Izenpeko Newslettera– nº14 * El segundo trimestre de 2014 fue intenso y de alta productividad en Izenpe, por eso hemos esperado a poder haceros un gran resumen de nuestras novedades, avances y proyectos de cara a este nuevo año que afrontamos con ilusiones renovadas y las pilas recargadas. Se han afianzado numerosos servicios, de algunos de los cuales ya os hemos hablado, celebramos Ziur, jornada que tuvo gran acogida por la que os damos las gracias, y cuyo contenido intentaremos resumiros. Pero además, ha nacido Giltz@, esa llave a la autenticación en los servicios que nos simplificará las gestiones y que en este número os presentamos. Y como siempre, os recordamos que si queréis recibir Izenberriak vuestro correo electrónico podéis suscribiros a través de nuestra web www.izenpe.com y que para cualquier duda o inquietud os atenderemos a través de [email protected] o el 902 542 542. Índice * eIDAS, la norma que ya está aquí para hacernos cambiar. » * Giltz@, la llave de la autenticación adaptativa. » * Ziur2014, retomando las grandes jornadas de trabajo. » * «Asumiendo novedades, anhelando realidades», resumen de la mesa redonda de Ziur2014. » * Nuevo servicio de custodia de claves » * Egoitz@, albergue centralizado de certificados con nuevas opciones de acceso» * Indicadores de actividad Izenpe, reflejo del trabajo bien hecho. » * Izenpe ha participado en: * CA-Day de Berlín * Paris * CabForum China » * Bikain saria » * 2014, o el año que se multiplicaron los ataques… digitales. » Izenpe * urtarrila 2015 enero * eIDAS, LA NORMA QUE YA ESTÁ AQUÍ PARA HACERNOS CAMBIAR. En Julio de este año se aprobó por parte de la comisión europea el nuevo reglamento relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior 910/2104 (comúnmente llamado eIDAS). Este reglamento fue ratificado por el parlamento y el consejo europeo y finalmente se ha publicado, traducido a todos los idiomas de los 28 estados miembros y entrando en vigor en septiembre de 2014, aunque todavía no es de aplicación hasta pasados dos años, julio de 2016 ya que mientras tanto se está desarrollando lo que se llama la segunda legislación que viene a cubrir los diferentes actos de ejecución y de delegación para cada artículo del reglamento. Este reglamento sustituye a la directiva europea actual de 1999 (1999/93/EC) pero y aunque sea de obligado cumplimiento para los estados miembros no va a sustituir a la actual ley de firma 59/2003, aunque esta tendrá que adaptarse a lo que diga el reglamento en su segunda legislación. Este reglamento es de aplicación directa para los miembros de la EU y también para los miembros del EEA (Noruega, Liechtenstein e Islandia). Contiene 77 considerandos, 52 artículos y 4 anexos. Además tiene 28 provisiones para los diferentes actos de ejecución y 1 para los actos delegados. Estos actos pueden ser de obligado cumplimiento u opcionales. El objetivo de este nuevo reglamento es mejorar y promover la confianza en las transacciones electrónicas en el mercado interno para lo que provee de una herramienta común (una de las mayores diferencias es que este nuevo texto es un reglamento y por tanto aplicable a todos los estados miembros mientras que la anterior directiva tenía que transponerse en una ley nacional y por lo tanto cada país definía los requisitos que consideraban más adecuados y por lo tanto se producían diferencias a la hora de interpretar esa directiva en cada país y por lo tanto no estaba armonizado) para una interacción electrónica segura entre ciudadanos, empresas y administraciones públicas mejorando la efectividad de los servicios de egovernment y de e-commerce dentro de la EU. Para lograr este objetivo se constata que la directiva de 1999 solo se centraba en la firma electrónica (además cada estado miembro hacia su propia interpretación y la supervisión por su parte era vaga), no existía cobertura legal para otro tipo de negocio que ofrecían servicios similares (por ejemplo la firma en servidor de forma remota, o el uso de móviles), resultaba muy difícil un reconocimiento mutuo de las diferentes soluciones entre países con lo que el resultado de esto era que los diferentes estados miembros aplicaban sus propias soluciones y no había un marco legal que permitiera la interoperabilidad. El nuevo reglamento trata de paliar estas carencias y por tanto incluye la identificación electrónica como indica en su título, da cobertura legal a soluciones u otros servicios de confianza y desde la comisión europea se pide también que se actualicen los estándares correspondientes para dar soporte técnico a esta nueva ley. volver al índice» Izenpe * urtarrila 2015 enero * EIDAS, LA NORMA QUE YA ESTÁ AQUI PARA HACERNOS CAMBIAR. Los puntos más importantes de este nuevo reglamento serian: • Se crea una nueva terminología para los actuales prestadores de servicios de certificación y se les denomina prestadores de servicios de confianza o TSP. Estos además pueden ser cualificados. Para ello, se establecen los requisitos que pueden utilizar los TSP para optar a ese nivel cualificado. Además se crea un sello europeo de reconocimiento para los servicios cualificados. • Se crea una nueva definición para los prestadores de servicios de aplicaciones de confianza o TASP que ofrecerán servicios de firma y validación, así como otros como e-delivery, e-commerce, etc. Al igual que los anteriores, estos también pueden ser cualificados y para ello deberían cumplir con los requisitos indicados en los diferentes artículos. • Se crean nuevos productos como los sellos electrónicos y los certificados cualificados para securizar sitios web. • Se permiten los servicios de firma remota en servidor, la firma en móvil, etc. Los sellos de tiempo tendrán una exigencia superior. • Se crean diferentes niveles de autenticación (bajo, sustancial y alto) a la hora de acceder a diferentes servicios de la administración pública. Cada estado miembro tendrá que indicar cuál es su nivel mínimo de autenticación para sus servicios públicos y deberá admitir ese nivel indicado por parte de soluciones del resto de estados miembros. • Se permitirá a terceros países a adaptar ese reglamento y a empresas de esos terceros países para que puedan operar dentro del mercado europeo a establecer acuerdos con la EU para ello. • Se establecerá una lista de dispositivos que cumplirán con los requisitos necesarios para ser considerados con un dispositivo de confianza para poder generar firma electrónica de forma segura. Para ello se indicaran los requisitos necesarios para que esos dispositivos sean considerados cualificados. • Se exigirá el reconocimiento mutuo entre los diferentes estados miembros para todos aquellos servicios cualificados. • Gestión de incidentes de seguridad con cada estado miembro, con posibilidad de cooperación entre los diferentes estados, y con ENISA. Desde Izenpe, consideramos el nuevo reglamento como un paso adelante ya que va a permitir que muchas de las soluciones que teníamos implementadas técnicamente como la firma remota en un HSM, o la tarjeta virtual, la comunicación certificada vía email o SMS, la gestión y validación de firmas, la factura electrónica, etc. tengan ahora una cobertura legal. En cuanto a la gestión de los servicios cualificados, Izenpe parte con ventaja ya que es el único TSP que está certificado en ETSI por lo que sus servicios van a ser considerados como cualificados desde el principio y podrá incluir en su web el nuevo sello europeo de calidad para cada uno de los servicios y productos que ofrece. volver al índice» Izenpe * urtarrila 2015 enero * GILTZ@, LA LLAVE DE LA AUTENTICACIÓN ADAPTATIVA La necesidad de identificación es un requisito permanente en todos los servicios de tramitación electrónica de las administraciones públicas. La autenticación es el proceso que asegura que la otra parte es quien dice ser, por lo que su robustez incide directamente en la fiabilidad del servicio prestado. No existe un mecanismo de autenticación “ideal” que proporcione la máxima seguridad y sea, a la vez, de uso sencillo en todos los contextos. No contemplar el mecanismo de autenticación adecuado puede repercutir en un incremento de costes y actuar de freno en la adopción del servicio por parte de la ciudadanía. Por ejemplo: • El password es un mecanismo comúnmente aceptado pero el nivel de seguridad que ofrece es insuficiente. Se puede copiar usando keylogers, descubrir por fuerza bruta o simplemente mirando por «encima del hombro». • Los tokens OTP hardware ofrecen la máxima seguridad pero interfieren en la experiencia de usuario, en especial para sistemas orientados al consumidor que requieren movilidad y son más costosos. Por otra parte, las aplicaciones SaaS en el Cloud, la nube! son, cada vez más, vistas como una extensión de las aplicaciones corporativas. Así, hay una tendencia a extender la gestión del control de acceso corporativo y el sistema de auditoría a esa «nube». Giltz@ se basa en la combinación de mecanismos de autenticación para proporcionar en cada caso la mejor relación entre seguridad, costes y facilidad de uso. Usa diferentes factores, en cada caso, en función de determinados parámetros del sistema, del contexto o el comportamiento del usuario. Y soporta los tres niveles de autenticación: alto, sustancial y bajo definidos en eIDAS. Con Giltz@ se presentan nuevos escenarios de integración para las firmas en la nube y que facilitan la realización de firmas en la nube desde aplicativos web o móviles sin precisar la utilización de elementos como applet de Java que son fuente de problemas. Únicamente se necesitará la adaptación de aquellas aplicaciones que vayan a permitir la firma desde Giltz@ Giltz@ orquesta de forma transparente al usuario y la aplicación el propio proceso de autenticación y la modalidad del Servicio de firma que provee o consume. volver al índice» Izenpe * urtarrila 2015 enero *Z IUR2014 RETOMANDO LAS GRANDES JORNADAS DE TRABAJO El mes de noviembre, como antesala de Ziur, una sesión de trabajo que congregó a los más importantes prestadores de servicios de certificación del ámbito estatal, con la colaboración de TÜV, líder independiente de inspección técnica y certificación, y con la participación de miembros del ministerio encargado de la aplicación de los mandatos resultantes del nuevo reglamento para analizar la nueva norma y su implicación en la actividad diaria de sus usuarios. El jueves 20 de noviembre ya en Ziur, se concentraron gran número de expertos informáticos y en aplicaciones de servicios telemáticos a la ciudadanía de nuestras administraciones con el fin de compartir y generar proyectos de colaboración y mejora de los servicios a usuarios de todo tipo de perfil. Se presentaron nuevas fórmulas de identificación segura y firma desde dispositivos móviles y herramientas de autenticación y firma en la nube, que amplían y simplifican el uso de certificados de firma electrónica que cada vez son más solicitados para las relaciones telemáticas de ciudadanos y empresas con nuestras administraciones. Puedes consultar todas las presentaciones de la jornada en nuestra web» Ziur 2014 Wifi: ziur2014 volver al índice» Izenpe * urtarrila 2015 enero *N UESTROS VALIENTES AMIGOS (RESUMEN DE LA MESA REDONDA DE ZIUR2014) Así es como se auto definieron los miembros de la mesa redonda Asimilando novedades, anhelando realidades. Como viejos conocidos que somos Javier Aguirre (DFA), Jose Luis Mendiola (DFG) y Mikel Ballesteros (Dirección de Medio Ambiente del Gobierno Vasco) hicimos balance y compartimos experiencias en la utilización de certificados y de herramientas de identificación electrónica, reflexionamos sobre aquellos aspectos susceptibles de mejora y como no, en una mesa como esta, expusimos nuestros anhelos en el ámbito que nos ofrece del nuevo marco normativo eIDAS. El haber recorrido juntos los 12 años de Izenpe nos permitió compartir su experiencia, tanto desde la perspectiva del ciudadano, de la propia Administración y de la pequeña y gran empresa coincidiendo en el total apoyo al uso de certificados, como herramienta garante de la seguridad jurídica, pero también valorando la pertinencia de otras herramientas de identificación facilitadoras de las tramitaciones on line. También reflexionamos sobre la evolución de la administración electrónica y sobre la práctica de trasladar (al mundo tecnológico) los servicios tal cual. Todos coincidimos en la conveniencia de ponernos en el lugar del ciudadano simplificando los trámites, buscando la sencillez en las herramientas de identificación pero garantizando la seguridad jurídica requerida en cada caso. A la pregunta ¿estamos a tiempo de que la ciudadanía se suba al tren de la Administración electrónica?, todos coincidimos sin ninguna duda en que sí, siempre que seamos capaces de simplificar servicios, formar a los ciudadanos y agilizar trámites. Y compartiendo mesa con tres administraciones diferentes, la pregunta sobre interoperabilidad fue casi obligatoria. Y como obligatorio se concluyó el deber de la Administración de compartir datos, de posibilitar el intercambio de información y conocimiento y de prestar servicios de manera conjunta a la ciudadanía. ¿Conclusiones?, compromiso de todos, crecimiento inteligente y responsable de todo y soluciones integradoras. Muchas gracias a nuestros valientes amigos por haber compartido con nosotros su experiencia, su trabajo y sus ilusiones. Talía Besga Basterra, moderadora de la mesa volver al índice» Izenpe * urtarrila 2015 enero * NUEVO SERVICIO DE CUSTODIA DE CLAVES DE IZENPE La proliferación de todo tipo de firmar digitales y sistemas de identificación en distintos ámbitos ha desvelado la necesidad de realizar en ocasiones una custodia de las claves de cifrado por parte de un tercero de confianza; en este escenario parece procedente que Izenpe como prestador de servicios de confianza ejerza este papel. Respondiendo a este requerimiento de distintas entidades de disponer de las claves públicas asociadas desde un aplicativo propio de la entidad para cifrar documentación de manera desatendida, Izenpe pone a disposición de entidades y administraciones el servicio desde mediados de 2014. Así el servicio partiendo de un certificado de aplicación, de la entidad solicitante, identifica a la entidad de modo que su instalación en una aplicación informática permite identificar a la entidad que la utiliza. En el caso del servicio de custodia de claves ofrecido por Izenpe, lo que se ofrece es crear las dos claves asociadas a un certificado (pública y privada) y entregar al solicitante única y exclusivamente la clave pública, mientras que la clave privada queda bajo la custodia del prestador de servicios de certificación, en este caso bajo la custodia de Izenpe. La seguridad del cifrado, más allá de los aspectos tecnológicos, reside en los controles asociados a la custodia de la clave privada realizada por Izenpe. Así, el paso más delicado del servicio se encuentra en el proceso de descifrado cuando un suscriptor necesite acceder a la clave privada, custodiada por Izenpe se deberá firmar el documento de solicitud del acto de descifrado, por al menos 3 de las 5 personas identificadas en la hoja de solicitud del servicio de claves. El proceso de descifrado se realizará de forma telemática, bajo la “supervisión” de Izenpe. Además y como medida de protección de este proceso se puede requerir del Servicio de Custodia que, en el momento de obtener el resultado descifrado, se protejan los datos obtenidos. Esta ampliación del servicio se concreta en que Izenpe firme (CADES o XADES) y coloque un sello de tiempo a los datos resultantes del descifrado antes de su envío/entrega al destinatario del requerimiento, ya sea un perito o un juez y ya sea por canal telemático o presencial. Con esta ampliación se garantiza que el resultado obtenido mantiene su integridad e Izenpe da fe del proceso de descifrado y del momento de su realización. volver al índice» Izenpe * urtarrila 2015 enero * EGOITZ@, ALBERGUE CENTRALIZADO DE CERTIFICADOS CON NUEVAS OPCIONES DE ACCESO Una vez superados los problemas de instalación de componentes hardware para la puesta en marcha del uso de un certificado en tarjetas, existen otros problemas a resolver como son: ¿dónde está la tarjeta? ¿Cuál era el pin?¿Y el PUK? En el caso del certificado de entidad, que puede cederse para su uso: ¿quién tiene la tarjeta?¿se hará un uso adecuado de la misma? Además de los problemas correspondientes a la movilidad y al uso de los certificados desde aparatos que no tienen posibilidad de conectar un lector. Izenpe, como Prestador de Servicios de Confianza Cualificado según el eIDAS, y para responder a éstas problemáticas pone a disposición de las entidades EGOITZA , de firma centralizada o albergue de certificados en la nube tanto de certificados de entidad como corporativos. EGOITZA custodiará las claves en un dispositivo criptográfico, cuyo acceso está auditado en todo momento permitiendo saber en todo momento: quién accede, en qué momento y desde qué máquina. Para su utilización, basta con instalar un plugin en el equipo desde el que se quiera acceder al certificado y, tras identificarte en el servicio, el uso de los certificados será transparente para el usuario pudiendo realizar las mismas operaciones que con el certificado en tarjeta(identificación, firma de documentos, firma de mails….) sin necesidad ningún elemento hardware adicional y con las máximas garantías legales. En cuanto a los mecanismos de autenticación se permiten: usuario/password, usuario/password/Clave de un solo uso(OTP) y certificado. Algunos de los clientes actuales de EGOITZA son: Gobierno Vasco, Ayuntamiento de Getxo, Consorcio de Aguas de Bilbao Bizkaia o el ayuntamiento de la Villa de Ermua, siendo el número de operaciones mensuales realizadas en la actualidad de más de 25.000. volver al índice» Izenpe * urtarrila 2015 enero * INDICADORES DE ACTIVIDAD DE LOS SERVICIOS DE IZENPE EVOLUCIÓN HASTA 2014 En esta ocasión en lugar de únicamente representar las cifras globales de este año de la actividad de los servicios de Izenpe os ofrecemos un resumen de los datos globales de todo 2014 y la evolución anual desde 2010. Los certificados vivos de los que disponemos para mejorar nuestras relaciones telemáticas sigue en aumento, aunque debemos tener en cuenta la caducidad de aquellas ONAS cuyo fin fue meramente sanitario. Aun así los certificados gozan de buena salud y su progresión es alentadora junto con el crecimiento del uso de otras herramientas de autenticación como puede ser el juego de barcos en el ámbito ciudadano. Estos 12 MESES se resumen EN 6 GRANDES NÚMEROS… …9 PRODUCTOS …12 TIPOS DE CERTIFICADO …29.673 CERTIFICADOS EMITIDOS …141.208 CERTIFICADOS VIVOS …56.822.381 VALIDACIONES …19.853.250 SELLOS DE TIEMPO volver al índice» Izenpe * urtarrila 2015 enero Sin embargo los datos que nos muestran el estado y evolución son los crecimientos exponenciales que año a año reflejan las gráficas de las validaciones solicitadas a Izenpe y los sellos de tiempo. Se han superado los 55 millones de validaciones y rondamos los 20 millones de sellos de tiempo, cifras que consideramos un reflejo evidente de la fortaleza de nuestra actividad. Otros datos que consideramos reveladores son así mismo las visitas de nuestra web, como punto fuerte de nuestra relación con los usuarios y la caída de las incidencias gestionadas por nuestro CAU lo que marca una tendencia clara. volver al índice» Izenpe * urtarrila 2015 enero * IZENPE HA PARTICIPADO EN: CA-Day en Berlin En esta ocasión la ponencia ofrecida por Izenpe fue «Certificate Transparency: Another new challenge for Cas», Esta cumbre de los prestadores de servicios de certificación europeos se reúnen anualmente con el fin de trazar criterios y estrategias conjuntas además de debatir en esta ocasión el cambio normativo del que no paramos de hablar; el nuevo eIDAS. Reunión del Cab-Forum en Beijing – China Organizada por una CA china llamada WoSign, se debatió durante tres jornadas en las nuevas guías para la emisión de certificados de firma de código, el certificate transparency, nuevas versiones y funcionalidades de los navegadores, el impacto del nuevo reglamento de la EU, mejoras en aspectos de seguridad, etc. Jornadas de trabajo en Paris de ETSI-ESI Se expusieron los diferentes estándares que deben cumplir los TSPs para la emisión de certificados, tanto cualificados como no así como cumplir con los requisitos del eIDAS como del CAB Forum. Además el debate giró en torno al nuevo estándar para la realización de las auditorías a los TSPs. Uno de los temas más importantes fue la forma de separar la ley, eIDAS, de los estándares técnicos, ETSI, que no tienen que estar basados en la ley. volver al índice» Izenpe * urtarrila 2015 enero * IZENPEK BIKAIN-EUSKARAREN KALITATE ZIURTAGIRIA ESKURATU DU. BIKAIN ZILARRA!! Bikain Ziurtagiri ofizial, publiko eta doakoa da, Eusko Jaurlaritzak luzatzen duena, eta enpresa nahiz erakunde batean euskararen presentzia, erabilera eta kudeaketa egiaztatzen duena. BIKAIN ZIURTAGIRI MAILAK. Oinarrizko maila edo Bikain beltza , Tarteko maila edo Bikain zilarra eta Goi maila edo Bikain urrea. Bikain Ziurtagiriak banatzeko ekitaldia 2014. 300 pertsona inguru elkartu dira Euskararen Kalitate Ziurtagirien 7. edizio honetan, Iñigo Urkullu Eusko Jaurlaritzako Lehendakariak, Bikain Euskararen Kalitate Ziurtagiriak banatu ditu azaroaren 18an, Donostiako Victoria Eugenia Antzokian egindako ekitaldian eta hantxe egon gara gure ziurtagiria jasotzeko. volver al índice» Izenpe * urtarrila 2015 enero * 2014, O EL AÑO QUE SE MULTIPLICARON LOS ATAQUES… DIGITALES Echando un vistazo a las noticias surgidas durante el año 2014 relacionadas con la seguridad, vemos que muchas cosas han cambiado en los últimos tiempos. Lo primero a destacar es que los incidentes de seguridad han saltado de las revistas y foros especializados, a las primeras páginas de los periódicos e informativos. En algunos casos afectan a las relaciones entre los gobiernos, como el ataque que sufrieron algunos altos cargos de gobiernos de Paraguay cuyo objetivo era grabar sus conversaciones telefónicas, o los ataques sufridos por Ministros y secretarios de Estado del Gobierno de Rajoy de hackers radicados en Rusia y China. Los principales destinatarios de estos ataques diseñados y dirigidos ad-hoc (también llamados APT, Advanced Persistency Threat) suelen ser entidades petroleras, financieras, embajadas y gobiernos. Especialmente relevante por su repercusión mediática fue el sufrido por Sony Pictures en noviembre, en cuyo caso accedieron a su red interna, y se obtuvo gran cantidad de datos, entre ellos incluso algún guión original. La lista de creadores de estos tipos de ataques APT es realmente larga, entre los que están incluidos Estados Unidos, Israel, Reino Unido, Rusia, Irán, Corea del Norte, etc. Sin embargo no todos los ataques son tan sofisticados, ni están dirigidos contra gobiernos o grandes corporaciones. En diciembre, se descubre una vulnerabilidad, bautizada como "misfortune cookie", en al menos 12 millones de routers domésticos de diferentes fabricantes que podría permitir a un atacante remoto tomar el control de los dispositivos afectados. Es decir, usuarios de casa. En 2014 se han producido también ataques masivos a usuarios “normales”. En septiembre se publica una lista con casi cinco millones de credenciales de usuarios de Gmail, con nombres de usuario y contraseñas en texto plano. En octubre se detecta un nuevo malware que facilita el robo de millones de dólares de cajeros automáticos de Europa del Este. EBay, el gigante de las subastan online, reconoce que entre finales de febrero y principios de marzo sufrió una intrusión en sus sistemas y la base de datos de usuarios fue comprometida. Spotify también anuncia un acceso no autorizado a sus sistemas y datos internos. También algunas celebrities sufrieron en 2014 ataques a su privacidad, en su caso el objetivo era robarles imágenes comprometidas de su dispositivo móvil. Y es que los smartphones se han convertido en el objetivo principal de algunos hackers. Recientemente se publicó un informe en el que revela que según estimaciones más de 11,6 millones de dispositivos pueden estar infectados por diversos tipos de malware. Sin embargo la incidencia más sorprendente del 2014 fue la de un niño de 5 años de San Diego que consiguió saltarse la gestión de contraseñas de Xbox Live. El niño introducía una contraseña errónea en la pantalla de autenticación, lo que daba lugar a una segunda pantalla de verificación de contraseña que evitaba simplemente llenando el campo con espacios. Microsoft ya la ha corregido, y ha compensado al niño y al padre con cuatro juegos gratis, una suscripción anual a Xbox Live y 50 dólares. Ver para creer…. Oscar García, Responsable de seguridad de Izenpe volver al índice» Izenpe * urtarrila 2015 enero
© Copyright 2024