Primeros pasos con eIDAS

eIDAS (electronic IDentification, Authentication and trust Services) es la normativa europea que tiene como objetivo derrumbar las barreras referentes a las transacciones electrónicas entre los países miembros de la Unión Europea.

Si estas interesado en este tema no te pierdas nuestro webinar Transacciones electrónicas europeas: cumpliendo con eIDAS.

¿Qué quiere decir “derribar las barreras”? Podríamos decir que unificar y hacer accesibles los llamados servicios de confianza para que los ciudadanos y entidades de toda Europa experimenten unas características de calidad, privacidad y seguridad similares en dichos servicios.

Entre otros servicios  podemos citar la autenticación electrónica, la firma electrónica (a nivel de persona) y el sello electrónico (a nivel de entidad/empresa). Para tener garantías de una correcta oferta de estos servicios de confianza, eIDAS define la figura de Trust Service Provider (TSP) que son las empresas/entidades encargadas de prestar dichos servicios.

Centrémonos un momento en el concepto de firma electrónica. El primer paso es distinguir entre los distintos niveles de firma, encontrando los procesos de firma avanzada y de firma cualificada. De entrada la firma avanzada ya nos garantiza ciertas características como la unicidad de la misma, la relación inequívoca con el firmante y el control exclusivo del firmante sobre el material que origina la firma. Sin embargo es la firma cualificada la que cuenta con un mayor nivel que permite que se equipare su validez legal a la de una firma manuscrita en un juicio.

Para “dar el salto” al nivel de firma cualificada en un entorno remoto, es decir “Firma Remota Cualificada” el TSP debe contar además con su certificado eIDAS que le autorice a prestar estos servicios y con la infraestructura que le permite realizar el proceso en un entorno seguro y con los más altos estándares de seguridad (compliant con el Perfil de Protección EN 419-241.1). Aquí nace la necesidad de contar con un QSCD.

QSCD son las siglas en ingles de “Dispositivo Seguro de Creación de Firma”. Los requisitos de QSCD han cambiado a lo largo del tiempo dentro del marco regulatorio llegando a su estricta definición actual. Básicamente se trata de un dispositivo seguro donde realizar el proceso de firma y está formado por dos elementos: SAM y SCDev.

Por un lado, SAM son las siglas de “Signature Activation Module” y es el software a cargo de llevar a cabo el Protocolo de Activación de Firma en el QSCD tal y como se especifica en el PP EN 419-221.2, "Trustworthy Systems Supporting Server Signing Part 2: Protection Profile for QSCD for Server Signing". Esto quiere decir,  la recepción de un canal seguro de comunicación con el usuario, gestión de las claves de firma, gestión del proceso de firma y otras tareas tales como la gestión de los usuarios.

Un requisito muy importante para el SAM es que se ejecute en un entorno tamperizado que garantice la seguridad de los procesos mencionados anteriormente.

Por otra parte el SCDev que debe seguir las especificaciones del PP EN 419-241.5, "Protection profiles for TSP Cryptographic modules - Part 5 - Cryptographic Module for Trust Services". Éste es el dispositivo que sostiene las tareas del módulo SAM. En otras palabras, es el soporte hardware que nos garantiza protección frente a manipulaciones a la hora de llevar a cabo operaciones criptográficas tales como la generación de números aleatorios, algoritmos de hash y firma electrónica entre otros.

Dado el rendimiento (transacciones/segundo) que se espera de la infraestructura de un TSP, la definición de este SCDev coincide a nivel práctico con la de un Hardware Security Module (HSM).

El usuario/firmante del servicio de firma remota cualificado utilizará su dispositivo (Smartphone, navegador, token,…) para contactar con el frontal de la aplicación de firma del TSP y llevará a cabo un proceso de autenticación que se podrá sustentar en diversas tecnologías (OTP,…). Una vez que se haya comprobado la identidad de este usuario el SAM cargará la clave privada de firma dentro del entorno seguro del QSCD y realizará la firma en nombre del usuario garantizando la confidencialidad y el acceso exclusivo con todos los requisitos legales que el proceso de Firma Remota cualificada requiere.

José Pérez, Sales Engineer, nCipher