All Posts By

jinza

Un nuevo estándar de ETSI para la firma JADES

By #eIdAS, Electronic Signatures, JSON SignaturesNo Comments

El ETSI acaba de presentar la norma ETSI TS 119 182-1,  una especificación para dar cobertura a las firmas o sellos electrónico orientados a interficies web JSON respaldados por PKI y certificados de clave pública que autentica el origen de las transacciones, vinculándolas a su emisor  y facilitando el control de accesos a recursos sensibles.

Esta norma es un logro importante para la interoperabilidad de las firmas digitales en toda una serie de aplicaciones de la economía digital actual, incluido el mundo bancario y financiero, en el que hasta ahora unos 4.000 bancos utilizaban diversos procedimientos de firma privada para sus API con el fin de asegurar sus transacciones en línea.

Denominada JAdES, la norma  ETSI TS 119 182-1  viene a respaldar las comunicaciones seguras cumpliendo los requisitos del Reglamento eIDAS de la Unión Europea (Reglamento UE nº 910/2014) para las firmas y sellos electrónicos avanzados y otros requisitos reglamentarios para servicios como la banca abierta (open banking).

Esta especificación de firma digital JAdES se basa en JSON Web Signature y contiene las características ya definidas en las normas ETSI relacionadas para AdES (firma/sello electrónico avanzado) aplicadas a otros formatos de datos, incluyendo XML, PDF y binario. La norma se ha desarrollado con las aportaciones de varias partes interesadas, entre ellas algunos representantes del sector bancario que, a través de Open Banking Europe, han aportado sus requisitos operativos para alinear las API europeas en un único modelo de seguridad.

Nick Pope, vicepresidente del comité técnico del ETSI sobre firmas e infraestructuras electrónicas (ESI), comenta «La norma ETSI JAdES se basa en la dilatada experiencia del ETSI en la definición de normas para la aplicación de firmas digitales a una variedad de formatos de documentos para proporcionar pruebas de su autenticidad en linea con la normativa europea de firma electrónica y servicios electrónicos de confianza. En colaboración con Open Banking Europe, el ETSI ha desarrollado una solución que se ajusta a los requisitos de las API de Open Banking al tiempo que garantiza la autenticidad de las transacciones financieras».

ETSI TS 119 182-1  puede utilizarse para cualquier transacción entre un individuo y una empresa, entre dos empresas, entre un individuo y un organismo gubernamental, etc. aplicable a cualquier comunicación electrónica. Por lo tanto, las características técnicas de la especificación pueden aplicarse al uso de la tecnología de firma digital basada en PKI y en entornos comerciales tanto regulados como generales.

«A medida que la Directiva PSD2 y los servicios «Open Banking» avanzan hacia el estándar Open Finance, las APIs son esenciales no sólo en Europa sino a nivel mundial. Open Banking Europe se enorgullece de formar parte del trabajo de normalización en curso del ETSI y de aportar sus requisitos operativos para resolver problemas prácticos», añade John Broxis, director general de Open Banking Europe.

El comercio electrónico ha surgido como una forma de hacer negocios entre empresas a través de redes locales, de redes de área amplia y de redes globales. La confianza en esta forma de hacer negocios es esencial para el éxito y el desarrollo continuo del comercio electrónico. Por lo tanto, es importante que las empresas que utilizan este medio electrónico de hacer negocios dispongan de controles y mecanismos de seguridad adecuados para proteger sus transacciones y garantizar la confianza de sus socios comerciales. En este sentido, las firmas digitales son un importante componente de seguridad que puede utilizarse para proteger la información, proporcionar confianza en los negocios electrónicos y evitar la manipulación.

Con esta nueva norma, el ETSI cumple los requisitos generales de la comunidad internacional para proporcionar confianza en las transacciones electrónicas.

Formación de especialistas en EIDAS y certificación de auditores

By Certificación de auditores EIDAS, EIDAS Auditor certification, Formación, TrainingNo Comments

TCAB (Trust Conformity Assessment Body) está preparando un evento de capacitación que se celebrará en abril de 2021, destinado a formar especialistas en el mundo de las firmas electrónicas y los servicios de confianza.

La formación se realizará en línea y por las tardes (de 16:00 a 20:00 hora española, de 15:00 a 19:00 UTC), para fomentar la participación de los estudiantes latinoamericanos.

Está estructurado en tres niveles:

  1. Usuarios avanzados de servicios de confianza digital (2 días, 12 y 14 de abril)
  2. Proveedor de servicios digitales de confianza (2 días, 19 y 21 de abril)
  3. Auditor de Servicios Digitales de Confianza (2 días, 26 y 28 de abril)

Tras la formación completa, es posible optar por un examen que dará acceso a la certificación profesional de Auditor EIDAS y posteriormente realizar auditorías como auditor junior, en el marco de las evaluaciones de conformidad desarrolladas por TCAB.

Existen requisitos previos adicionales para convertirse en auditor, como contar con una certificación de seguridad, como por ejemplo,  la CISA, la CISM o la ISO 27001.

Precios

  • Nivel 1 (2 días): 399 € +IVA
  • Nivel 1 + Nivel 2 (4 días): 997 € + IVA
  • Nivel 1 + Nivel 2 + Nivel 3 (6 días): 1.495 € + IVA

Los derechos de examen para certificación profesional tienen el siguiente coste:

  • Certificación profesional de nivel 1 “Especialista en servicios de confianza digital“/»Digital Trust Services Specialist»: 150 € +IVA
  • Certificación profesional de nivel 2 “Profesional de Empresas de servicios de confianza digital”/»Digital Trust Services Business Professional»: 250 € +IVA. Se tiene que haber superado o estar pendiente de evaluación el examen de nivel 1
  • Certificación profesional de nivel 3 “Evaluador de Empresas de servicios de confianza digital»/»Digital Trust Services Assessor»: 250 € +IVA. Se tiene que haber superado o estar pendiente de evaluación el examen de nivel 2

El temario tentativo es el siguiente:

Nivel 1. Formación para desarrolladores, empresas de servicios y para empleados del sector Público.

Proporciona una introducción a los sistemas de identificación y firma electrónica.

Se tratan los siguientes temas:

  • Conceptos de identificación electrónica
  • Breve historia de la criptografía
  • Algoritmos de Hash
  • Criptografía de clave simétrica y criptografía de clave asimétrica
  • Elementos de las Infraestructuras de clave pública. RA, OCSP, CA, Root, Entidad final, CRL, Timestamping, custodia digital. Listas de confianza
  • Estructura de los certificados. Normas X.509, X.520
  • SSL TSL. OCSP Stapling
  • Autenticación mediante certificados
  • Firma electrónica. Tipos de firma electrónica
  • Certificados cualificados
  • Dispositivos cualificados de Creación de Firma
  • Drivers de dispositivos. Estándares MS-CAPI y PKCS#11
  • Normativa de firma electrónica. Reglamento EIDAS
  • Firma electrónica en las administraciones públicas y en el ámbito de la Justicia. Consideraciones sobre la Ley 39/2015 y la Ley 18/2011.
  • Firmas avanzadas especiales. Firma biométrica
  • Configuración de servidores para SSL. Como solicitar certificados

Nivel 2. Formación para profesionales de Prestadores de Servicios de Confianza

Se describen los sistemas utilizados por los PSCD, los documentos a elaborar y las medidas de seguridad en el ámbito de los Prestadores de Servicios de Confianza Digital y la forma de prepararse para una auditoría EIDAS

Se tratan los siguientes temas:

  • Normativa relacionada con la gestión de identidades. Reglamento 1501/2015 y Reglamento 1502/2015
  • Normativa general para Prestadores: EN 319 401:
    • Evaluación de riesgos,
    • Políticas y prácticas: Declaración de práctica de servicio de confianza, Términos y condiciones, Política de seguridad de la información,
    • Gestión y operación de Prestadores de Servicios Electrónicos de confianza: Organización interna (Confiabilidad de la organización, Segregación de funciones), Recursos humanos, Gestión de activos (Requisitos generales, Manejo de medios), Control de accesos, Controles criptográficos , Seguridad física y ambiental, Seguridad de las operaciones, Seguridad de la red, Gestión de incidentes, Recogida de información probatoria, Gestión de la continuidad del negocio, Terminación de las actividades de Prestadores de Servicios Electrónicos de confianza y planes terminación de actividades, Cumplimiento legal.
  • OID. Como solicitar OID. Como diseñar una estructura organizada de OID para facilitar la gestión de políticas de firma
  • Perfiles de certificados. Identificación de políticas. OID necesarios según CAB Forum, OID necesarios según las normas ETSIT. Normas EN 319 412. Certificados PSD2
  • Documentación necesaria que se comprobará para expedir certificados de persona física, certificados de persona física representante de persona jurídica, certificados de persona física empleado público, certificados de persona jurídica.
  • Herramientas de parseo y de comprobación de la calidad de certificados.
  • Certificate transparency. Repositorios e integración
  • Normativa relativa a la expedición de certificados: EN 319 411-1. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza
  • Normativa relativa a la expedición de certificados cualificados en el marco de EIDAS: EN 319 411-2. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza. Certificados EIDAS: QCP-n, QCP-l, QCP-n-qscd, QCP-l-qscd, QCP-w.
  • Normativa relativa a la expedición de sellos de tiempo cualificados en el marco de EIDAS: EN 319 421 y EN 319 422
  • Normativa relativa a la prestación de servicios cualificados de notificaciones electrónicas y correo electrónico certificado cualificado (Servicio cualificado de entrega electrónica certificada) en el marco de EIDAS: EN 319 521 y EN 319 531
  • Servicio cualificado de validación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 119 101 y EN 319 102-1
  • Servicio cualificado de conservación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 102 573 y EN 319 102-1
  • Seguro de Responsabilidad civil. Responsabilidad contractual y extracontractual.
  • Dispositivos cualificados de creación de firma. Normas de aplicación para la evaluación de dispositivos: FIPS-140-2, CWA 14167-1, CWA 14167-2, CWA 14169, CWA 14170, EN 419 241-1, EN 419 241-2, EN 419 221-5.
  • Listas de dispositivos de creación de firma: NIST, Common Criteria Portal, Lista del artículo 31 (Compilation of Member States notification on SSCDs and QSCDs). Procedimientos especiales del art. 30-2-b. Vigencia de dispositivos anteriores al EIDAS por art. 51.1
  • Aspectos a tener en cuenta para la expedición de certificados de sitio web y firma de código ejecutable en contextos de CAB Forum: Baseline Requirements, Extended Validation (EV) Guidelines.
  • Criterios de verificación de identidad en las actividades de RA según el artículo 24-1-b y 24-1-d. Criterios de videoidentificación publicados por SEPBLAC en el marco de la Ley 10/2010.
  • Listas TSL (Trusted Lists). Norma TS 119 612. Información que se refleja en las listas. Comprobación de validez de certificados cualificados emitidos en fase válida de prestadores a los que se les ha retirado la cualificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS

Nivel 3. Formación para Auditores y evaluadores de conformidad de Servicios de Confianza

Se describe el marco de evaluación de la conformidad, los organismos de acreditación, los requisitos para los organismos de evaluación de conformidad y los requisitos para los auditores.

Los estudiantes que hayan asistido a la formación de los 3 niveles podrán presentarse a un examen de certificación profesional que los habilitará como auditores EIDAS en el Esquema de Trust Conformity Assessment Body. Los alumnos que superen el examen obtendrán un nivel de cualificación profesional para participar como auditores junior en auditorías de evaluación de conformidad y podrán optar a acompañar a auditores senior en auditorías de TCAB. Tras participar en 3 auditorías recibirán la cualificación de auditores senior.

En la formación el tercer nivel se utilizarán el inglés y el español como lenguas vehiculares a lo largo de las exposiciones.

Se tratan los siguientes temas:

  • Evolución del marco de evaluación de conformidad para servicios de confianza. Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.
  • Modelo de supervisión EIDAS. Lista de supervisores de los Estados miembros.
  • Modelo de acreditación EIDAS. Lista de organismos de acreditación de los Estados miembros.
  • Modelo de evaluación EIDAS. Lista de organismos de evaluación de los Estados miembros.
  • Requisitos aplicables a los CAB para lograr la acreditación. EN 319 403, ISO 17065, Criterios y proceso de acreditación específico para la certificación de servicios electrónicos de confianza regulados en el Reglamento (UE) nº 910/2014 (eIDAS) (Norma ENAC RDE-16)
  • Recomendaciones para planificar una auditoría: Fase de revisión documental, fase presencial, identificación de evidencias, pautas de información a reflejar en el informe de Evaluación (CAR, Conformity Assessment Report).
  • Procedimiento de evaluación. Revisión del informe, aprobación de la certificación.
  • Seguimiento de las entidades evaluadas. Ampliación de alcances de evaluación.
  • Requisitos generales para los auditores y condiciones previas para la acreditación. Principios éticos para los auditores. Criterios de independencia e imparcialidad.
  • Partes involucradas y pautas de interacción.
  • Curso típico de un proyecto de auditoría.
  • Recomendación para la acción y el enfoque durante las auditorías.
  • Requisitos y esquema de informes de evaluación.
  • Modelo de CAR para auditores
  • Condiciones para la Emisión de Certificado. Fases del proceso de certificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS, y de otras marcas asociadas a la evaluación, ENAC, CAB,…
  • Estructura general de aprobación de certificaciones. Organización de TCAB para la aprobación de certificaciones. Comité de partes interesadas.

Para más información llamar a TCAB al +34 91 3880789 o complete el formulario

Certificados cualificados por videoidentificación en el BOE

By #eIdAS, Conformity Assessment Body, Conformity Assessment Body (CAB), Video onboardingNo Comments

El BOE del 1 de abril de 2020 incluye el Real Decreto-ley 11/2020, de 31 de marzo, por el que se adoptan medidas urgentes complementarias en el ámbito social y económico para hacer frente al COVID-19.

En su disposición adicional undécima se incluyen «Medidas provisionales para la expedición de certificados electrónicos cualificados».

El texto de esta disposición es el siguiente:

Durante la vigencia del estado de alarma, decretado por el Real Decreto 463/2020, de 14 de marzo, se permitirá la expedición de certificados electrónicos cualificados de acuerdo con lo previsto en el artículo 24.1.d) del Reglamento (UE) 910/2014, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior. A tal efecto, el organismo supervisor aceptará aquellos métodos de identificación por videoconferencia basados en los procedimientos autorizados por el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias o reconocidos para la expedición de certificados cualificados por otro Estado miembro de la Unión Europea. La equivalencia en el nivel de seguridad será certificada por un organismo de evaluación de la conformidad. Los certificados así emitidos serán revocados por el prestador de servicios al finalizar el estado de alarma, y su uso se limitará exclusivamente a las relaciones entre el titular y las Administraciones públicas.

TCAB, Trust Conformity Assessment Body ya ha realizado auditorías de este tipo para entidades que cuentan con servicios de videoidentificación. La primera de ellas fue a Electronic Identification, S.L.

Contactenos llamando al +34 913 88 07 89 o con un mail a info arroba tcab.eu

Auditoría de voto electrónico

By Elecciones, Elections, Electronic Vote, Voto electrónicoNo Comments


La Orden ICT/140/2019, de 14 de febrero, por la que se regulan las condiciones para el ejercicio del voto electrónico en el proceso electoral para la renovación de los plenos de las Cámaras Oficiales de Comercio, Industria, Servicios y Navegación prevé el despliegue de sistemas de voto electrónico que deberán ser auditables y auditados.

En su artículo 9 (Auditoría del sistema de voto electrónico.) indica:

1. El sistema de voto electrónico deberá contar con un régimen de auditoría y verificación totalmente independientes que permita examinar los procesos utilizados para reunir y contar los votos y recontar los mismos, a fin de confirmar la exactitud de los resultados.

2. El sistema de auditoría externo debe, como mínimo, permitir:

  1. Que los observadores independientes puedan supervisar las elecciones sin revelar el posible resultado o conteo final.
  2. Detectar el fraude electoral.
  3. Dar garantía de que todos los votos contados sean auténticos y mantener el anonimato del elector en todo momento.

3. Dicha auditoría deberá asistir tanto a la fase de pruebas del conjunto del sistema como a la fase de votación, recuento y difusión.

TCAB es una entidad de evaluación de conformidad pionera en prestar servicios de auditoría de plataformas de voto electrónico.

Imagen de una mano que sostiene una papeleta de voto y la acerca a un rdenador en el que pone el tecxto "voto electrónico"
Voto electrónico societario

Contacte con TCAB para solicitar la realización de auditorías previas de plataformas de voto electrónico y para asistir en los procesos electorales que hagan uso de este tipo de plataformas.

TCAB es una entidad experta en certificados y firma electrónica y puede valorar el cumplimiento de todos los aspectos que exige la normativa.

Contacte llamando al número 91 388 0789

TCAB participa en el evento sobre el Reglamento de Ciberseguridad organizado por AMETIC

By Acreditación, AMETIC, Auditoría, Centro Criptológico Nacional, Cyber-security, Cybersecurity, ENISA, EU CybersecurityNo Comments

AMETIC, la patronal de la industria digital en España, ha organizado una jornada informativa sobre el nuevo reglamento europeo “Cybersecurity Act”, que a partir de junio regulará la puesta en marcha de un marco común europeo para la certificación de productos y servicios TIC “ciberseguros”, que fomenten la ciberseguridad de los servicios en línea y los dispositivos de consumo.

Este reglamento europeo no solo busca aumentar la confianza de los usuarios en relación al uso de dispositivos conectados, sino también fortalecer la industria europea de ciberseguridad y el Mercado Único Europeo, posicionándola como referente a nivel mundial, en línea con otros mercados como Estados Unidos o China. La European Union Agency for Network and Information Security (ENISA), que a través de este reglamento será nombrada como nueva Agencia Europea para la Ciberseguridad, coordinará y armonizará las políticas a nivel europeo, y dará soporte a los Estados Miembros en la implementación de planes y estrategias nacionales en la lucha contra las amenazas y los ataques de seguridad cibernética.

Antonio Cimorra, director de Tecnologías de la Información y Agenda Digital de AMETIC, ha destacado durante la apertura de la jornada los avances que la transformación digital ha introducido en la sociedad, así como la importancia de garantizar la ciberseguridad. Asimismo, ha comentado las medidas que, desde AMETIC, y muy particularmente desde la Comisión de Ciberseguridad donde se dan cita importantes proveedores de esta tecnología, se están desarrollando en este ámbito. Cimorra ha resaltado también el apoyo de la asociación a la nueva iniciativa europea.

Posteriormente, Ignacio Pina, director Técnico de la Entidad Nacional de Acreditación (ENAC), ha explicado que, “si bien el reglamento no será de obligado cumplimiento en sus inicios, en lo que a certificación se refiere, será previsiblemente el propio mercado quien regule la necesidad o no del mismo”. Pina ha añadido que “la certificación en sí misma no genera seguridad, sino que lo que busca es generar confianza entre los consumidores”. En este sentido, ha comentado que “la transición entre los esquemas de certificación nacionales actuales en vigor y el nuevo marco común europeo será paulatina”. Por otro lado, ha subrayado que “el papel de la industria en la definición de los esquemas de certificación que deriven de este reglamento, es esencial para que éstos estén alineados con las necesidades de mercado”.

Implicaciones de “Cybersecurity Act”

A continuación, ha tenido lugar la mesa ronda ¿Cómo impacta Cybersecurity Act en las empresas del sector digital?, moderada por David González, presidente de la Comisión de Ciberseguridad de  AMETIC y Jefe de Ventas Europa y África del Norte de G&D. Los participantes, Mariano José Benito, CISO de GMV; Jesús María Alonso, Head of Consulting Spain de ATOS; Ainhoa Inza, CEO de TCAB (Trust Conformity Assessment Body), y Miguel Bañón, director general de EPOCHE & ESPRI, donde han debatido sobre las implicaciones del reglamento para la actividad de las empresas del sector digital, y los siguientes pasos para abordar este nuevo escenario.

En líneas generales, los participantes han comentado que se trata de una iniciativa muy positiva ya que a pesar de ser de momento un reglamento de carácter voluntario, se espera que su impacto en el mercado incremente el número de productos TIC seguros certificados de forma importante. Asimismo, han destacado que, para España, es una oportunidad de consolidación a nivel europeo en materia de ciberseguridad aprovechando que el ecosistema de certificación español se encuentra entre los mejor valorados de Europa.  

Por otro lado, se ha destacado que, al no existir por el momento un marco sancionador dentro del reglamento, es importante que las empresas detecten el beneficio que les aporta la certificación, como por ejemplo el impacto sobre el consumidor en términos de confianza. También han comentado que el objetivo de esta iniciativa es que el consumidor se “acostumbre” a comprobar que aquellos productos o servicios TIC que compre o consuma, lleven el sello de certificación de seguridad.

Por último, se ha contado con la presencia del representante experto del Centro Criptológico Nacional (CCN), entidad que actualmente coordina la labor de certificación en ciberseguridad a nivel nacional. CCN ha coincidido en la gran oportunidad que “Cybersecurity Act” supone para la industria de la ciberseguridad europea y española a la hora de posicionar a Europa en línea con otros mercados.

Elecciones AMETIC

By AMETIC, Elecciones, ElectionsNo Comments

AMETIC celebra su Asamblea General Electoral, el 7 de noviembre de 2018 en la  sala José María Cuevas de la CEOE C/ Diego de León, 50 CP. 28006 Madrid.

Trust Conformity Assessment Body presenta su candidatura para representar en la Junta Directiva de AMETIC al segmento de PYMES y MicroPYMES.

Trust Conformity Assessment Body es una pyme innovadora especialista en seguridad que audita sistemas de firma electrónica, blockchain y esquemas de seguridad e interoperabilidad y que está acreditada por ENAC para evaluar Prestadores de Servicios Electrónicos de Confianza cualificados en el marco del EIDAS (Reglamento UE 910/2014).

El amplio conocimiento de normas técnicas y jurídicas que poseemos suele ser de utilidad para nuestros clientes y pensamos que también puede serlo para la Junta Directiva de nuestra Asociación.

Al ser una PYME, conocemos los retos y dificultades de las empresas de este tamaño, y pensamos que podemos contribuir a sensibilizar a los órganos directivos de la asociación y sus interlocutores sobre la importancia de las PYMES en el tejido productivo del país y sobre las políticas necesarias para que estas empresas puedan desarrollarse y crecer de forma rentable.

Nos hemos permitido la libertad de plasmar nuestra candidatura en un pequeño video:

Candidatura de TCAB en las elecciones de AMETIC

Auditorías de seguridad para proyectos con Blockchain y SmartContracts

By Auditoría, Blockchain, Conformity AssessmentNo Comments

Según algunas estimaciones, las empresas de tecnología de blockchain pueden esperar volúmenes de negocio de 6 mil millones de euros en 2020. Sin embargo, antes deben lidiar con las vulnerabilidades de seguridad de blockchain, que, a pesar de su relevancia se siguen minusvalorando cuando se trata de la  llamada tecnología de “contabilidad distribuida”.

Un inciso terminológico, para acotar el término “libro mayor distribuido” (distributed ledger technology, DLT) que cuenta con una traducción más afortunada como “contabilidad distribuida”.  En mi opinión se ajusta más a la realidad el término “RJT Replicated Journal Technology”  ya que el tipo de libro contable que registra los movimiientos en las blockchains es el llamado “libro diario”. Por ello, mi preferencia frente al término DLT es el de  RJP Replicated Journal Paradigm o RJT Replicated Journal Technology

Vulnerabilidades de seguridad en cadenas de bloques

Algunos aspectos de la seguridad tienen que ver con el uso de la criptografía, y dado que en los contextos de cadenas de bloques se usa intensivamente la criptografía, existe la creencia generalizada de que los sistemas de blockchain, son seguros de por sí.

Sin embargo en sistemas complejos aparecen continuamente diferentes vectores de ataque que hay que identificar y remediar, por lo que el exceso de confianza en la tecnología puede ser peligroso.

De hecho, la tecnología denominada DLT está sujeta a una serie de problemas que las bases de datos centralizadas no tienen.

Los riesgos de seguridad de Blockchain  existen, y deben ser reconocidos y mitigados para que  blockchain cumpla su promesa de transformar la manera en que se almacenan los datos y cómo afectan a los proyectos que las usan.

A medida que más sectores gubernamentales, industriales y comerciales adoptan la tecnología, la necesidad de abordar estos problemas más pronto que tarde se convierte en primordial.

Vulnerabilidades de Blockchain

Vulnerabilidades del sistema de interfaz

Una de las vulnerabilidades más probables con DLT se origina fuera de la propia blockchain.

El sistema de interfaz es el equipo que un usuario emplea para acceder a servicios basado en blockchain.

En ese sistema se introducen las credenciales, motivo suficiente para atraer atacantes que aprovechen vulnerabilidades. Otras veces, manipular el “clipboard” la zona de memoria usada para las funciones de copiar y pegar puede permitir a un atacante cambiar la cuenta de destino de una transacción.

La detección de malware es una funcionalidad deseable en las herramientas que prevean minimizar los ataques a sistema de interfaz.

Seguridad de la criptografía de clave pública

Quienes proponen transacciones para que formen pare de la cadena (por ejemplo, transferencias de valor en el caso de los criptoactivos y criptomonedas) las firman con una clave privada y dan información sobre su clave pública. La clave privada se archiva con la cartera o mecanismo equivalente. La protección del equipo es de nuevo, esencial. Pero existen ciertos riesgos (por ejemplo, en base a la computación cuántica) que en el futuro podría permitir obtener la clave privada a partir de la pública. Para minimizar el riesgo, hay técnicas asociadas a carteras de un solo uso que se pueden adoptar.

Los backups de claves no se deberían conservar en el sistema que se usa a diario. Y aún menos sin cifrar.

Plataformas de terceros

Conforme se popularizan las cibermonedas y las aplicaciones que emplean tecnologías afines (como DLT) el mercado de soluciones de terceros experimentará crecimiento. Algunos posibles servicios a ofertar por terceros son:

  • Plataformas de integración de Blockchain
  • Procesadores de pago
  • Carteras
  • Entidades Fintech
  • Plataformas de pago de criptomonedas
  • Contratos inteligentes

Estas plataformas usan diferentes tecnologías vulnerables, además de las específicas de blockchain. Son verdaderos Prestadores de Servicios de Confianza Digital y deberían cumplir la norma EN 319 401 que el Reglamento EIDAS impone a los Prestadores Cualificados.

Control del paso a producción

Cuando se inicia un proyecto o se evoluciona dentro de el, deben realizarse pruebas exhaustivas para detectar vulnerabilidades en el código antes de su paso a entorno final de ejecución. Eso es de especial relevancia en los smartcontracts. En los smarcontracts se usan con frecuencia lenguajes como Solidity, con “defectos” similares a los de Javascript. Un caso de especial relevancia puede ser incluir entre comillas las direcciones de las carteras. De no hacerlo, las direcciones se truncan y los montos remitidos pueden acabar en un limbo irrecuperable.

Tamaño de la cadena de bloques

Dependiendo del tipo de criptoactivo y de como se ha diseñado su sistema de gestión de transacciones para su anotación en la cadena de bloques, puede ser que sea necesario conservar toda la cadena de bloques desde sus orígenes. Algunas variantes permiten convertir el histórico de transacciones en una “foto de estado” a partir de la cual puede desecharse el histórico anterior. Sea como sea, cuantas más transacciones se hacen más crece la cadena, lo que puede crear problemas de dimensionamiento en los equipos en los que se gestionan.

Ataques del 51%

Algunos sistemas de criptoactivos con diferentes filosofías de confirmación de bloques (PoW, Proof of Work, PoS, Proof of Stake, …) podrían atacarse por colectivos que que superen el 51% de participación en el mecanismo de consenso. Por tanto convendría prever si es necesario contar con mecanismos de reversión, y la responsabilidad de ejecución de tales mecanismos.

Se han dado casos reales de este tipo de ataque sobre mecanismo Pow (teórico hasta hace poco tiempo) que se entiende sabiendo que un gran número de centros de acumulación de equipamiento de minería se construyen en países donde la energía eléctrica es barata y la supervisión escasa

Falta de madurez de la tecnología

En todas las tecnologías se aprenden lecciones esenciales conforme se adoptan y se generalizan. Se descubren problemas y se reselven. La tecnología blockchain todavía está en los estadios iniciales de desarrollo y no se comprenden todos los riesgos y sus efectos.

Riesgos por normalización insuficiente

Muchos de los sistemas de blockchain se despliegan con un “Whitepaper” y código fuente del proyecto disponible en Github. Aunque es un ejercicio de transparencia, a menudo se revela que los promotores de tales proyectos tienen escaso interés en conocer los estándares o en adoptarlos.

Es particularmente llamativo en el ámbito de la firma electrónica, cuyo mercado principal ha madurado a lo largo de los años dando lugar a diversas leyes y normas técnicas que crean presunciones legales a quienes adoptan la tecnología y que define los estándares que facilitan su interoperabilidad.

En cambio, el uso de la tecnología de firma electrónica en los proyectos de blockchain parece provenir de alumnos de grado que han leído lo básico de la teoría de firma electrónica y que ignoran el avance de los estándares. Parecen ejercicios académicos, en vez de responder  exigencias de un mercado que impone que los sistemas puedan interoperar y que sus desarrolladores conozcan las leyes y los estándares.

Afortunadamente UNE e ISO (entre otros organismos de estandarización) están comenzando a proponer estándares para el mundo de blockchain, que no deberían soslayar los avances producidos en las tecnologías comunes con cierto nivel de madurez.

Cabe recordar que la estandarización, contra lo que afirman sus críticos, no cercena  la innovación sino que abre nuevas posibilidades para ella. Y deja resueltos problemas que se acometieron en el pasado minimizando el riego a reinventar a rueda cada vez.

Vulnerabilidades sutiles

Existen vulnerabilidades difíciles de detectar que se hacen visibles tras incidentes de cierta magnitud. Conviene prever mecanismos de reversión antes del despliegue para poder gestionar los problemas que no se han podido identificar con anterioridad.

Un ejemplo nos lo enseña el caso de “The DAO”

Una”DAO” (Distributed autonomous organization) es una Organización Autónoma Descentralizada construida en algunos tipos de blockchain, con funcionalidad de ejecución de código para contratos inteligentes asociados a inversiones en el capital de empresas marcadamente digitales. Se podría decir que un DAO es un fondo de capital  riesgo de crowdsourcing que se gestiona en base a smartcontracts embebidos en una cadena de bloques. Hay muchos DAO, cada uno creado para alojar y ejecutar contratos inteligentes para organizaciones específicas.

Uno de esos DAO, conocido como “The DAO”, fue fundado en 2016 por miembros del equipo de Ethereum. Durante su período de creación, The DAO hizo historia en el ámbito del crowdfunding recaudando 150 millones de dólares. Poco después, The DAO hizo historia, una vez más, al ser el primer DAO en ser pirateado.

Durante el crowdsale, muchos miembros de la comunidad de Ethereum expresaron su preocupación de que el código DAO fuera susceptible de ser atacado. Posteriormente, un miembro del equipo de la DAO encontró un “error recursivo” pero erróneamente creyó que no había fondos de la DAO en riesgo. Un hacker demostró que estaba equivocado.

El ataque se produjo cuando el atacante explotó dos vulnerabilidades en el código DAO. El hacker sabía que el código estaba diseñado para permitir tanto una división como una transferencia de tokens entre cuentas. El hacker también se dio cuenta de que el código no actualizaría los saldos de las cuentas lo suficientemente rápido como para evitar la transferencia de los mismos tokens más de una vez.

El hacker ejecutó una función de escisión, creando una cuenta “child DAO” y realizó repetidas solicitudes de transferencia desde su primera cuenta en rápida sucesión. Como el código no disminuía los saldos de cuenta originales después de cada transferencia, no había nada que impidiera que los mismos tokens se repitieran unas 40 veces cada uno, sin que se destruyeran los tokens originales.

Después de transferir $ 55 millones en Ether, el hacker dio por terminado el ataque y algunos hechos adicionales se sucedieron, por lo que invito a investigar sobre este asunto del que se extraen grandes eseñanzas.

A quien acudir.

Cuando se plantean proyectos serios de blockchain, sus impulsores invierten en los desarrolladres de tecnología que ayudan a definir los tipos de transacción, los modelos de gestión de identidad, los mecanismos de confirmación de bloques, los ritmos de producción de bloques y el límite de transacciones por bloque. Hay muchos aspectos que hacen diferencial cada proyecto.

Uno de que deberá empezar a tenerse en cuenta es el de la auditoría de proyecto. Quizá no detecte todos los problemas, pero descubrirá los principales. hay que empezar a poner en valor lo que ya se conoce y evitar cometer errores que ya se cometieron.

Contacte con Trust Conformity Assessment Body (TCAB) si necesita auditar un proyecto de blockchain.

Nuevos OIDs de ETSI para políticas de servicios de validación de firma

By #eIdAS, eIDAS, Electronic Signatures, OID, Qualified electronic signatures Validation, Servicios de Confianza Digital, Trust Electronic Services, Trust Service ProvidersNo Comments

El borrador de la nueva norma  ETSI TS 119 441 propone nuevos OIDs de ETSI para políticas de validación de firma:

  • itu-t(0) identified-organization(4) etsi(0) VAL SERVICE-policies(9441) policy-identifiers(1) main (1)
  • itu – t(0) identified – organization(4) etsi(0) VAL SERVICE – policies( 9 441) policy – identifiers(1) qualified (2)
Es decir:
  • OID 0.4.0.9441.1.1 como el OID principal para servicios de validación de firmas electrónicas y sellos electrónicos, y
  • OID 0.4.0.9441.1.2 como el OID para servicios cualificados de validación de firmas electrónicas y sellos electrónicos talcomo se define en loas artículos 32 y 33 del Reglamento UE 910/2014 (EIDAS)

Artículo 32

Requisitos de la validación de las firmas electrónicas cualificadas

1.   El proceso de validación de una firma electrónica cualificada confirmará la validez de una firma electrónica cualificada siempre que:

a)

el certificado que respalda la firma fuera, en el momento de la firma, un certificado cualificado de firma electrónica que se ajusta al anexo I;

b)

el certificado cualificado fuera emitido por un prestador de servicios de confianza y fuera válido en el momento de la firma;

c)

los datos de validación de la firma corresponden a los datos proporcionados a la parte usuaria;

d)

el conjunto único de datos que representa al firmante en el certificado se facilite correctamente a la parte usuaria;

e)

en caso de que se utilice un seudónimo, la utilización del mismo se indique claramente a la parte usuaria en el momento de la firma;

f)

la firma electrónica se haya creado mediante un dispositivo cualificado de creación de firmas electrónicas;

g)

la integridad de los datos firmados no se haya visto comprometida;

h)

se hayan cumplido los requisitos previstos en el artículo 26, en el momento de la firma.

2.   El sistema utilizado para validar la firma electrónica cualificada ofrecerá a la parte usuaria el resultado correcto del proceso de validación y le permitirá detectar cualquier problema que afecte a la seguridad.

3.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a la validación de las firmas electrónicas cualificadas. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando la validación de una firma electrónica cualificada se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Artículo 33

Servicio de validación cualificado de firmas electrónicas cualificadas

1.   Solo podrá prestar un servicio de validación cualificado de firmas electrónicas cualificadas el prestador cualificado de servicios de confianza que:

a)

realice la validación de conformidad con el artículo 32, apartado 1, y

b)

permita que las partes usuarias reciban el resultado del proceso de validación de una manera automatizada que sea fiable, eficiente e incluya la firma electrónica avanzada o el sello electrónico avanzado del prestador cualificado de servicio de validación.

2.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas al servicio de validación cualificado a que se refiere el apartado 1. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando la validación de una firma electrónica cualificada se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.