¿Formatos de firma "no recomendados" y a la vez obligatorios?

Responder
doncarlos
Usuario registrado
Mensajes: 47
Registrado: 28 Mar 2019, 19:10
Agradecido: 0
Agradecimiento recibido: 0

¿Formatos de firma "no recomendados" y a la vez obligatorios?

Mensaje por doncarlos »

Esta pregunta me plantea serias dudas:
72) El formato para la firma electrónica de contenido, atendiendo a la Norma Técnica de Interoperabilidad de Catálogo de estándares, es:
Tema: 44. Id Pregunta: 2176.
a) XAdES (XML Advanced Electronic Signatures), según la especificación técnica ETSI TS 101 903, versión 1.2.2 y 1.3.2.
b) CAdES (CMS Advanced Electronic Signatures), según la especificación técnica ETSI TS 101 733, versión 1.6.3 y 1.7.4.
c) PAdES (PDF Advanced Electronic Signatures), según la especificación técnica ETSI TS 102 778-3.
d) Todas las anteriores. <-- correcta
Por un lado es incorrecto que figuren varias versiones ya que la NTI de "Catálogo de estándares" no obliga a versiones concretas; tan solo habla de "Versión mínima aceptada".

Por otro lado, y esto es más serio, parece incoherente que la NTI "Catálogo de estándares" obligue a formatos de firma que están DESACONSEJADOS según la NTI de "Política de Firma y Sello Electrónicos y Certificados":
III.4 Formatos de firma/sello electrónica de contenido.
1. Los formatos para la firma/sello electrónica de contenido se ajustarán a la
«Decisión de Ejecución UE 2015/1506» o en la que la sustituya, de conformidad con los
artículos 27, apartado 5, y 37, apartado 5, del «Reglamento (UE) 910/2014»
2. Por compatibilidad con las políticas de firma anteriores, se permitirán aunque no
se recomiendan
los siguientes formatos::
a) XAdES (XML Advanced Electronic Signatures), según la especificación técnica
ETSI TS 101 903, versión 1.2.2 y versión 1.3.2.
b) CAdES (CMS Advanced Electronic Signatures), según la especificación técnica
ETSI TS 101 733, versión 1.6.3 y versión 1.7.4.
c) PAdES (PDF Advanced Electronic Signatures), según la especificación técnica
ETSI TS 102 778-3.
Mi gran duda es: si esos son los formatos de firma "no recomendados" ¿¿ Cuales son los recomendados ?? (yo he supuesto que los mismos formatos pero con versiones distintas y a la vez superiores a las mencionadas)
¿No hay una cierta incoherencia entre las dos NTI mencionadas (una obliga a un formato desaconsejado por la otra)?

Avatar de Usuario
palindromo
Usuario registrado
Mensajes: 555
Registrado: 21 Abr 2018, 15:05
Ubicación: Madrid
Agradecido: 7 veces
Agradecimiento recibido: 9 veces

Re: ¿Formatos de firma "no recomendados" y a la vez obligatorios?

Mensaje por palindromo »

Hola:

Das en el clavo cuando dices que
doncarlos escribió:
01 May 2019, 20:00
[...]
yo he supuesto que los mismos formatos pero con versiones distintas y a la vez superiores a las mencionadas
[...]
pero, ciertamente, es algo que, me temo, hay que dar por supuesto porque ni siquiera es evidente en los textos. La clave está en uno de los textos que citas:
doncarlos escribió:
01 May 2019, 20:00
III.4 Formatos de firma/sello electrónica de contenido.
1. Los formatos para la firma/sello electrónica de contenido se ajustarán a la
«Decisión de Ejecución UE 2015/1506» o en la que la sustituya
[...]
es decir, que la referencia para los formatos recomendados, obligatorios, etc. no es, en realidad, la NTI, sino la Decisión de Ejecución UE 2015/1506 (por el momento).

Por hacer un poco de historia, y poner las cosas en perspectiva, la NTI Catálogo de Estándares se publica en octubre de 2012, y ahí queda. Su Guía de aplicación tiene fecha de diciembre de 2012.
En cuanto a la NTI de Política de Firma y Sello Electrónicos y de Certificados de la Administración, se acuerda en octubre de 2016, y menciona a la Decisión UE y a la Ley 40/2015.

Pero, si bien la NTI Catálogo de Estándares es clara cuando dice
V. Revisión y actualización del Catálogo de estándares

1. La actualización y revisión del Catálogo de estándares se realizará con periodicidad anual, atenderá a los principios establecidos en el artículo 11 del Real Decreto 4/2010 e incluirá, al menos, las siguientes acciones:

a) Encuesta a las Administraciones públicas sobre el uso de los diferentes estándares del Catálogo.

b) Valoración y, si procede, eliminación de los estándares cuyo estado fuese «En abandono». Esta situación conllevará la selección de un estándar que sustituya la funcionalidad cubierta por el estándar eliminado.

c) Revisión del resto de estándares, así como de sus versiones, recogidos en el Catálogo a la fecha de la revisión de la misma, actualización, para aquellos que así lo requiriesen e identificación de los estándares en estado «En abandono», en cuyo caso se definirá un período máximo de uso.

d) Identificación de nuevos estándares a incluir en el Catálogo.

e) Valoración de nuevas necesidades o funcionalidades que no puedan catalogarse según la clasificación establecida y, si corresponde, modificación de las categorías y actualización del Catálogo de estándares en base a ésta.
no me consta que esta revisión se haya hecho nunca.

¿Alguien puede dar una referencia de versiones actualizadas y estados de las diferentes versiones de los estándares (lo que se menciona en el punto c) anterior)? ¿Está la Administración dejando de realizar una tarea que tiene encomendada? ¿La referencia a la Decisión de Ejecución UE 2015/1506 es, por ahora, definitiva?

Dejo más preguntas que respuestas, creo.
Desde la barrera.

dgomroy
PreparaTIC26
Mensajes: 116
Registrado: 08 Jun 2010, 10:54
Agradecido: 0
Agradecimiento recibido: 0

Re: ¿Formatos de firma "no recomendados" y a la vez obligatorios?

Mensaje por dgomroy »

Vamos a cambiar la pregunta, de modo que haga referencia a la Decisión. La NTI, probablemente, ya no sea de aplicación al haber sido desplazada por el derecho comunitario. En todo caso tiene más sentido actualmente preguntar por la Decisión que por la NTI.

Avatar de Usuario
palindromo
Usuario registrado
Mensajes: 555
Registrado: 21 Abr 2018, 15:05
Ubicación: Madrid
Agradecido: 7 veces
Agradecimiento recibido: 9 veces

Re: ¿Formatos de firma "no recomendados" y a la vez obligatorios?

Mensaje por palindromo »

Me queda alguna duda conceptual. Me explico.
dgomroy escribió:
31 May 2019, 09:42
Vamos a cambiar la pregunta, de modo que haga referencia a la Decisión.
Hasta aquí, me parece perfecto. Pero no tengo tan claro lo que sigue:
dgomroy escribió:
31 May 2019, 09:42
La NTI, probablemente, ya no sea de aplicación al haber sido desplazada por el derecho comunitario.
Es decir, se trata de una Decisión comunitaria, no tiene tanto efecto como una Directiva (y ésta debe ser traspuesta a las leyes nacionales). En cambio, el ENI es un Real Decreto, y las NTI lo desarrollan. ¿No sería suficiente (como si de nosotros dependiera) que se cumpliera con el requisito escrito de la actualización anual?
De hecho, según el preámbulo de la misma NTI Catálogo de Estándares (resaltados míos):
[...] la Norma Técnica de Interoperabilidad de Catálogo de estándares establece un catálogo formado por un conjunto mínimo de estándares que satisfacen lo previsto en el artículo 11 del Real Decreto 4/2010, de 8 de enero, (es decir, el ENI) y que dan soporte al resto de Normas Técnicas de Interoperabilidad [...]
Y no queremos que el resto de NTI se queden sin soporte, ¿no?
dgomroy escribió:
31 May 2019, 09:42
En todo caso tiene más sentido actualmente preguntar por la Decisión que por la NTI.
Pues sí.
Desde la barrera.

capitantonic
Usuario registrado
Mensajes: 5
Registrado: 21 May 2019, 16:42
Agradecido: 0
Agradecimiento recibido: 0

Re: ¿Formatos de firma "no recomendados" y a la vez obligatorios?

Mensaje por capitantonic »

Buenos días,
Por un lado yo entiendo que la respuesta a la pregunta es correcta, incluso si alguna de las opciones a),b) o c) fuese sustituida por XML-DSig ya que según la resolución 27 de octubre de 2016, por la que se aprueba la Norma Técnica de Interoperabilidad de Política de Firma y Sello Electrónicos y de Certificados de Administración dice en su apartado:

III Reglas comunes
III.2 Formatos admitidos de firma electrónica.
1. Los formatos admitidos por las organizaciones para las firmas/sellos electrónicos basadas en certificados electrónicos, se ajustarán a:
a) la «Decisión de Ejecución UE 2015/1506» o en la que la sustituya, de conformidad con los artículos 27, apartado 5, y 37, apartado 5, del «Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior».
b) lo establecido en la NTI de Catálogo de estándares.
c) los formatos CAdES, XAdES y PAdES en las versiones establecidas en la Norma Técnica de Interoperabilidad de Política de firma del 2011.


Entiendo que aquí se recoge lo nuevo de la DE2015/1506 y se compatibiliza con lo que teníamos hasta 2011.


Un saludo

dgomroy
PreparaTIC26
Mensajes: 116
Registrado: 08 Jun 2010, 10:54
Agradecido: 0
Agradecimiento recibido: 0

Re: ¿Formatos de firma "no recomendados" y a la vez obligatorios?

Mensaje por dgomroy »

Es decir, se trata de una Decisión comunitaria, no tiene tanto efecto como una Directiva (y ésta debe ser traspuesta a las leyes nacionales). En cambio, el ENI es un Real Decreto, y las NTI lo desarrollan. ¿No sería suficiente (como si de nosotros dependiera) que se cumpliera con el requisito escrito de la actualización anual?
De hecho, según el preámbulo de la misma NTI Catálogo de Estándares (resaltados míos):
Casi mejor obviemos mi comentario en el que decía...
La NTI, probablemente, ya no sea de aplicación al haber sido desplazada por el derecho comunitario.
Porque tampoco lo sé a ciencia cierta. Quedémonos con:
En todo caso tiene más sentido actualmente preguntar por la Decisión que por la NTI
Que es lo que interesa ahora.

Un saludo

Responder

Volver a “PREGUNTAS TEST - ERRORES Y DUDAS”