Las futuras normas de perfiles de protección para DNIe, garantía de

Anuncio
Las futuras normas de
perfiles de protección para
A
CTUALMENTE y una vez superado el periodo de Información
Pública en el Boletín Oficial del
Estado (BOE), proceso por el
que pasa todo proyecto de
norma que se elabora en el seno de los
comités técnicos de Normalización de la
Asociación Española de Normalización y
Certificación (AENOR), las futuras normas
que adoptan los perfiles de protección del
DNI electrónico (DNIe), están a la espera
de su aprobación definitiva para su publicación como normas UNE, un proceso
que se prevé culmine en breve. De esta
forma, se espera contribuir a la mejora de
la calidad de las aplicaciones de firma
electrónica e incrementar la confianza de
los usuarios en los servicios, tanto de
carácter público como privado, para los
que sea necesaria la firma con DNIe.
Paloma García
Jefe de
Telecomunicaciones y TI de
Normalización
AENOR
Según la Ley 59/2003, de 19 de
diciembre, de Firma electrónica, en su
artículo 3.2 se indica «La firma electrónica avanzada es la firma electrónica que
permite identificar al firmante y detectar
cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de
manera única y a los datos a que se refiere y que ha sido creada por medios que el
firmante puede mantener bajo su exclusivo control».
La Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de
marzo 2011 196
diciembre de 1999, por la que se establece un marco comunitario para la firma
electrónica y la citada Ley 59/2003 establecen que la firma electrónica para ser
considerada avanzada debe «haber sido
creada utilizando medios que el firmante
puede mantener bajo su exclusivo control», quedando sin definir ni en la Directiva ni en la Ley qué se incluye en «los
medios que el firmante puede mantener
bajo su exclusivo control», si bien se
sobreentiende que estos son al menos,
sus datos de creación de firma (la clave
privada del firmante), es decir, el DNIe y
su clave de acceso.
La firma electrónica es un mecanismo
clave en el desarrollo de la Sociedad de
la Información, por ello y con el objetivo
de contribuir a la mejora de la calidad de
las aplicaciones de firma electrónica e
incrementar la confianza de los usuarios
en los servicios, tanto de carácter público
como privado, para los que sea necesaria la firma electrónica con DNIe, en el
año 2009 se comenzó el proceso de elevación de los perfiles de protección del
DNIe a normas UNE.
Este proceso se ha llevado a cabo en
un grupo de trabajo coordinado por
INTECO y constituido por expertos que
forman parte del SC27, Subcomité dedicado a la seguridad de las tecnologías de
protección de datos
normas y d-tic
a DNIe, garantía de seguridad en la
firma electrónica
la información, y que está ubicado en la
estructura del comité nacional de
AENOR CTN 71 “Tecnologías de la información”, cuya secretaría desempeña
AMETIC. Cabe recordar que AENOR es
la entidad legalmente responsable del
desarrollo de las normas técnicas en
España. Las normas, de aplicación
voluntaria, indican cómo tiene que ser un
producto o cómo debe funcionar un servicio para que sea seguro y responda a lo
que el consumidor espera de él. En su
elaboración, participan todas las partes
implicadas en cada caso y son fruto del
consenso, en un proceso marcado por la
transparencia. Actualmente, el catálogo
de normas de AENOR supera las 28.800.
Estas futuras normas especifican los
requisitos de seguridad para las aplicaciones de creación y verificación de firma
electrónica que utilicen el DNIe como
dispositivo seguro de creación de firma,
tomando como referencia la Norma UNECWA 14169:2005 “Dispositivos seguros
de creación de firma “EAL 4+”.
Este documento normativo adopta el
acuerdo de trabajo europeo CWA 14169
que fue reconocido por la Decisión de la
Comisión Europea (2003/511/CE) como
norma de reconocimiento general para
productos de firma electrónica, de conformidad con lo dispuesto en la Directiva
1999/93/CE; de este modo, aquellos dispositivos seguros de creación de firma
que cumplan la Norma CWA 14169 se
consideran conformes con el anexo III de
la Directiva y con el artículo 24 de la Ley
de Firma electrónica.
Según la Norma UNE-CWA 14169 se
establecen tres tipos de dispositivos
seguros de creación de firma:
– Tipo 1: dispositivos de generación
de claves (pública y privada), y exporta
las claves al tipo 2
– Tipo 2: dispositivos de almacenamiento de la clave privada y creación de
la firma
– Tipo 3: dispositivos que combinan
las funcionalidades del tipo 1 y del tipo 2
y no exporta la clave privada.
Los perfiles de protección en proceso
de adopción como normas UNE son cuatro, dos correspondientes al Tipo 1, para
las aplicaciones para plataformas de TI
que permiten un control exclusivo de los
interfaces con el firmante, como TDT y
dispositivos portátiles tipo PDAs o teléfonos móviles:
PNE 71510. Aplicaciones con Documento Nacional de Identidad Electrónico
(DNIe). Creación y verificación de firma
electrónica. Tipo 1 para plataformas TI
que permiten un control exclusivo de los
interfaces con el firmante, y con un nivel
de garantía de evaluación «EAL1»
PNE 71511. Aplicaciones con Documento Nacional de Identidad Electrónico
(DNIe). Creación y verificación de firma
electrónica. Tipo 1 para plataformas TI
que permiten un control exclusivo de los
interfaces con el firmante, y con un nivel
de garantía de evaluación «EAL3» y dos
para el Tipo 2 para ordenadores personales:
PNE 71512. Aplicaciones con DNIe.
Creación y verificación de firma electrónica. Tipo 2 para ordenadores personales,
y con un nivel de garantía de evaluación
«EAL1»
PNE 71513. Aplicaciones con DNIe.
Creación y verificación de firma electrónica. Tipo 2 para ordenadores personales,
y con un nivel de garantía de evaluación
«EAL3».
197 marzo 2011
Para ambos tipos se desarrollan los
niveles de garantía de evaluación 1 y el 3,
conocidos como «EAL1» y «EAL3». Los
niveles de garantía se corresponden con
las exigencias de la evaluación de los
productos según lo establecido en las
normas internacionales ISO/IEC 15408
“Criterios de evaluación de la seguridad
de TI”, también conocidas como Common Criteria (CC).
EAL1 permite una certificación rápida
de los medios de firma, a la vez que
garantiza el cumplimiento de las especificaciones de requisitos de seguridad
incluidos en los perfiles de protección.
EAL3 implica un aumento significativo de la garantía de seguridad al requerir
pruebas más completas de la funcionalidad, mecanismos de seguridad y procedimientos que garantizan que no se comprometen los medios de firma durante su
desarrollo.
Por otro lado, es importante señalar
que actualmente, se está dando respuesta al Mandato M/460 emitido en diciembre del 2009 por la Comisión Europea a
los tres organismos de normalización
europeos (CEN, CENELEC y ETSI), y
según el cual se persigue el conseguir la
interoperabilidad de la firma electrónica a
nivel comunitario, a través del desarrollo
de un marco de normalización para la firma electrónica en Europa.
El Mandato establece la arquitectura
del conjunto de normas necesarias, contemplando tras un primer inventario de lo
existente, la revisión de algunas normas
ya publicadas junto con la elaboración de
normas en aspectos identificados como
prioritarios.
Descargar