XAdES - en relacion con la ponencia del BOE de hoy
-
- PreparaTIC XVIII
- Mensajes: 180
- Registrado: 22 Abr 2007, 21:54
- Agradecido: 0
- Agradecimiento recibido: 0
XAdES - en relacion con la ponencia del BOE de hoy
Hola,
en la ponencia de hoy del BOE, ha salido el tema de XAdES, y ha explicado las razones por las que descartaron su uso (las podéis ver en las transparencias).
Alguno me ha preguntado por las notas que leí sobre los perfiles de XAdES. Por si os vienen bien las copio aquí:
¿En qué consiste XadES (XML-Advanced Electronic Signatures, ETSI TS 101 903)? En un formato en XML para firma de XML. Se hace el hash con SHA-1 y se encripta con RSA (típicamente). Es una extensión avanzada de XMLDSig.
Tiene varios perfiles, cada uno incluye todas las características de los anteriores, más algo más, que resumidamente sería:
BES: Básico
EPES (Explicit Policy): con información sobre la política de firma
T: Marca de Tiempo
C (Complete): con referencias a los datos de verificación (certificados y listas de revocación) (“recopilación de evidencias”)
X (eXtended):
•X-L (eXtended Long-term): con los certificados y listas de revocación (no solo una referencia) (En PDF tendrían un sistema parecido en el PDF-LTV: Long Term Validation)
• Tipo 1: con marca de tiempo sobre la referencias a datos de revocación
• Tipo 2: con marca de tiempo sobre las listas de revocación
A (Archival): añade timestamping periódico (p.ej. cada año) para evitar la pérdida de validez de las firmas.
Esto sólo son unas notas resumidas, los estándares completos contienen todas las características de cada perfil de XAdES.
Un saludo
en la ponencia de hoy del BOE, ha salido el tema de XAdES, y ha explicado las razones por las que descartaron su uso (las podéis ver en las transparencias).
Alguno me ha preguntado por las notas que leí sobre los perfiles de XAdES. Por si os vienen bien las copio aquí:
¿En qué consiste XadES (XML-Advanced Electronic Signatures, ETSI TS 101 903)? En un formato en XML para firma de XML. Se hace el hash con SHA-1 y se encripta con RSA (típicamente). Es una extensión avanzada de XMLDSig.
Tiene varios perfiles, cada uno incluye todas las características de los anteriores, más algo más, que resumidamente sería:
BES: Básico
EPES (Explicit Policy): con información sobre la política de firma
T: Marca de Tiempo
C (Complete): con referencias a los datos de verificación (certificados y listas de revocación) (“recopilación de evidencias”)
X (eXtended):
•X-L (eXtended Long-term): con los certificados y listas de revocación (no solo una referencia) (En PDF tendrían un sistema parecido en el PDF-LTV: Long Term Validation)
• Tipo 1: con marca de tiempo sobre la referencias a datos de revocación
• Tipo 2: con marca de tiempo sobre las listas de revocación
A (Archival): añade timestamping periódico (p.ej. cada año) para evitar la pérdida de validez de las firmas.
Esto sólo son unas notas resumidas, los estándares completos contienen todas las características de cada perfil de XAdES.
Un saludo
Santiago
- Kowalski
- PreparaTIC XIX
- Mensajes: 199
- Registrado: 26 May 2009, 15:34
- Agradecido: 0
- Agradecimiento recibido: 0
Re: XAdES - en relacion con la ponencia del BOE de hoy
De cara al supuesto, es recomendable usar Xades o PKCS7, a grandes rasgos, ¿cuales serían las diferencias? Lo digo porque tengo entendido que no existen apenas implementaciones de Xades, mientras que PKCS lo incorporan varios fabricantes.
-
- PreparaTIC XVIII
- Mensajes: 180
- Registrado: 22 Abr 2007, 21:54
- Agradecido: 0
- Agradecimiento recibido: 0
Re: XAdES - en relacion con la ponencia del BOE de hoy
Eso mismo nos ha dicho hoy David Guerrero, del BOE, y lo puedes ver en su presentación.W.Munny escribió:tengo entendido que no existen apenas implementaciones de Xades, mientras que PKCS lo incorporan varios fabricantes.
XAdES se supone que es la solución recomendada desde el Ministerio de Presidencia, desde la gente de @Firma; es la que usan para la Factura-e; dicen que será la recomendada por el Esquema Nacional de Seguridad.
Pero como explicó David Guerrero, nadie tiene en su PC personal un programa (un navegador, un lector de PDF) que le sirva ni para firmar ni para validar XAdES. Tienes que descargarte uno solo para eso. Y los programitas que hay, o lo que da @Firma a las aplicaciones, sólo permiten ciertos perfiles de XAdES, no todos. @Firma solo permite firmar en XAdES BES y T.
Así que lo que decidieron los del BOE fue usar el formato que les permitía olvidarse de desarrollar un programita ad-hoc para cada usuario que quisiera comprobar si el BOE está bien firmado. Cualquier lector de PDF permite comprobar la firma de PDF (PKCS)
En resumen: XAdES tiene todas las bendiciones oficiales; pero PKCS sigue siendo más práctica y fácil de implementar.
Un saludo
Santiago
-
- Usuario registrado
- Mensajes: 61
- Registrado: 18 Mar 2009, 18:12
- Agradecido: 0
- Agradecimiento recibido: 0
Re: XAdES - en relacion con la ponencia del BOE de hoy
Pero tengo entendido, y también lo menciona la presentación (no he ido, así que no sé si se habrá comentado algo), que el PKCS#7 no es una buena opción para la firma longeva, y eso, tratándose del BOE, o sea la biblia de la ley, ¿no es un problema grave?
-
- PreparaTIC XVIII
- Mensajes: 265
- Registrado: 26 Abr 2008, 00:12
- Agradecido: 0
- Agradecimiento recibido: 0
Re: XAdES - en relacion con la ponencia del BOE de hoy
Para solventar el problema de la firma longeva hay siempre un "apaño" que es el refirmado. Si yo utilizara PKCS#7 y me preguntaran sobre ese tema recurriría a este argumento.
Una vez más la elección de un formato depende, a mi modo de ver, del caso particular. Quizá haya que hacerse las siguientes preguntas:
- ¿Quienes son los clientes que deben comprobar la firma? ¿cualquier ciudadano o un entorno controlado por nosotros? Si controlamos el entorno verificar firmas Xades no es un problema (no es el caso del BOE)
- ¿Cuál es la cantidad de documentos que manejaremos y deberemos refirmar en caso de usar PKCS#7? Si es pequeña refirmar no es un problema, pero si es enorme ... En el caso del BOE es uno al día, lo cual es poco.
Una vez más la elección de un formato depende, a mi modo de ver, del caso particular. Quizá haya que hacerse las siguientes preguntas:
- ¿Quienes son los clientes que deben comprobar la firma? ¿cualquier ciudadano o un entorno controlado por nosotros? Si controlamos el entorno verificar firmas Xades no es un problema (no es el caso del BOE)
- ¿Cuál es la cantidad de documentos que manejaremos y deberemos refirmar en caso de usar PKCS#7? Si es pequeña refirmar no es un problema, pero si es enorme ... En el caso del BOE es uno al día, lo cual es poco.
Vendo Windows casi nuevo, sólo lo he reinstalado 17 veces.
-
- PreparaTIC XVIII
- Mensajes: 180
- Registrado: 22 Abr 2007, 21:54
- Agradecido: 0
- Agradecimiento recibido: 0
Re: XAdES - en relacion con la ponencia del BOE de hoy
Se firma cada PDF de los que actualmente componen el BOE, lo que son entre 10 o 20 fimas al díaviki escribió:ah, ¿pero se firma todo entero? creía que era cada disposición
Santiago
-
- PreparaTIC XVIII
- Mensajes: 265
- Registrado: 26 Abr 2008, 00:12
- Agradecido: 0
- Agradecimiento recibido: 0
Re: XAdES - en relacion con la ponencia del BOE de hoy
Cierto, me equivoqué. Gracias por la corrección.
En cualquier caso, creo que 20 al día siguen siendo una cantidad pequeña.
En cualquier caso, creo que 20 al día siguen siendo una cantidad pequeña.
Vendo Windows casi nuevo, sólo lo he reinstalado 17 veces.
-
- PreparaTIC XVIII
- Mensajes: 265
- Registrado: 26 Abr 2008, 00:12
- Agradecido: 0
- Agradecimiento recibido: 0
Re: XAdES - en relacion con la ponencia del BOE de hoy
Cualquier documento puede encapsularse dentro de XML para su firmado. O puedes firmar simplemente un XML que contenga el hash del PDF.
Vendo Windows casi nuevo, sólo lo he reinstalado 17 veces.
-
- PreparaTIC XVIII
- Mensajes: 265
- Registrado: 26 Abr 2008, 00:12
- Agradecido: 0
- Agradecimiento recibido: 0
Re: XAdES - en relacion con la ponencia del BOE de hoy
Si no estoy equivocado lo tiene. De hecho, fue el primero que expidió la FNMT de este tipo y lo hizo "in extremis" para que pudiera ser usado el 1 de enero de 2009.
Vendo Windows casi nuevo, sólo lo he reinstalado 17 veces.