Comentarios en: Una firma digitalizada no es una firma electrónica http://www.securityartwork.es/2008/10/08/una-firma-digitalizada-no-es-una-firma-electronica/ Blog de Seguridad de la Información de S2 Grupo Sat, 11 Feb 2012 09:31:50 +0100 http://wordpress.org/?v=2.8.4 hourly 1 Por: Carlos Rodríguez http://www.securityartwork.es/2008/10/08/una-firma-digitalizada-no-es-una-firma-electronica/comment-page-1/#comment-9141 Carlos Rodríguez Mon, 02 Jan 2012 10:58:03 +0000 http://www.securityartwork.es/2008/10/08/una-firma-digitalizada-no-es-una-firma-electronica/#comment-9141 Hola Damià, Creo que en lo esencial estamos de acuerdo, para que la firma tenga mayor validez legal se deben cumplir esos requisitos. Actualmente ya hay dispositivos que permiten cumplir con esto y pueden ser considerados firma electrónica avanzada según la Ley y la Directiva europea sobre firma electrónica. Para garantizar la integridad del documento: la suma de verificación creada a partir del documento y los componentes de la firma (datos biométricos e imagen) se encripta mediante una clave privada del dispositivo y se inserta en el doc. y nunca podrá ser desvinculada. Si se intenta modificar el documento firmado se romperá el sellado, por lo que no puede ser alterado sin eliminar la firma. Además, si se firma con un pad de StepOver la empresa puede garantizar que no tiene accceso a datos biométricos del firmante(presión, velocidad.. de la firma). Estos datos se transmiten cifrados al documento, ya que se encriptan en el interior de la tableta mediante un cifrado asimétrico, cuya clave privada está depositada ante notario. Tampoco veo perjuicio para el usuario en la utilización de tabletas de firma para la obtención de una simple imagen. Entiendo que si firmas un documento en papel y la empresa digitaliza el documento puede tener acceso a tu firma del mismo modo que si utilizas la imagen que devuelve una tableta de firmas. No veo perjuicio para el usuario, ya que, en caso de litigio, es la empresa quién debe poder demostrar que se ha firmado ese documento y no otro. Saludos Hola Damià,
Creo que en lo esencial estamos de acuerdo, para que la firma tenga mayor validez legal se deben cumplir esos requisitos. Actualmente ya hay dispositivos que permiten cumplir con esto y pueden ser considerados firma electrónica avanzada según la Ley y la Directiva europea sobre firma electrónica.
Para garantizar la integridad del documento: la suma de verificación creada a partir del documento y los componentes de la firma (datos biométricos e imagen) se encripta mediante una clave privada del dispositivo y se inserta en el doc. y nunca podrá ser desvinculada. Si se intenta modificar el documento firmado se romperá el sellado, por lo que no puede ser alterado sin eliminar la firma.
Además, si se firma con un pad de StepOver la empresa puede garantizar que no tiene accceso a datos biométricos del firmante(presión, velocidad.. de la firma). Estos datos se transmiten cifrados al documento, ya que se encriptan en el interior de la tableta mediante un cifrado asimétrico, cuya clave privada está depositada ante notario.
Tampoco veo perjuicio para el usuario en la utilización de tabletas de firma para la obtención de una simple imagen. Entiendo que si firmas un documento en papel y la empresa digitaliza el documento puede tener acceso a tu firma del mismo modo que si utilizas la imagen que devuelve una tableta de firmas. No veo perjuicio para el usuario, ya que, en caso de litigio, es la empresa quién debe poder demostrar que se ha firmado ese documento y no otro.
Saludos

]]> Por: Damia Soler http://www.securityartwork.es/2008/10/08/una-firma-digitalizada-no-es-una-firma-electronica/comment-page-1/#comment-9132 Damia Soler Thu, 29 Dec 2011 18:08:22 +0000 http://www.securityartwork.es/2008/10/08/una-firma-digitalizada-no-es-una-firma-electronica/#comment-9132 He estado echando un vistazo la pagina donde explican funcionalidades de las tabletas y ciertamente tienen algunas funcionalidades interesantes pero sigo echando algunas de menos, se habla mucho de cifrado pero no veo que se hable de "firmado digital" (se puede medio entender pero no queda claro). Una cosa que no queda clara es que el documento este unido e indivisible de la firma, tanto en el propio documento digital, como en como muestra lo que esta firmando el cliente, la id única de la tableta y el reloj no falseable no deja claro que vengan firmados con una clave privada del dispositivo, ademas un certificación FIPS estaría bien. Como anécdota voy a comentar una técnica manual que utilizo en ocasiones cuando me presentan estas tabletas, meto mi firma y encima de la firma escribo a modo de marca de agua, el nombre del establecimiento (para que no puedan usar mi firma en otro negocio/documento) y ademas escribo la fecha y el importe (para que el negocio no pueda cambiar la fecha de la compra o el importe). Respecto a que se grabe como hago el trazado y la fuerza que hago no me tranquiliza, me parece parte de mi "clave privada", y que puede guiar a otro a que aprenda a copiarla. En todo caso el camino creo que esta siendo el EMV, y tampoco creo que es muy transparente para el cliente. He estado echando un vistazo la pagina donde explican funcionalidades de las tabletas y ciertamente tienen algunas funcionalidades interesantes pero sigo echando algunas de menos, se habla mucho de cifrado pero no veo que se hable de “firmado digital” (se puede medio entender pero no queda claro). Una cosa que no queda clara es que el documento este unido e indivisible de la firma, tanto en el propio documento digital, como en como muestra lo que esta firmando el cliente, la id única de la tableta y el reloj no falseable no deja claro que vengan firmados con una clave privada del dispositivo, ademas un certificación FIPS estaría bien.
Como anécdota voy a comentar una técnica manual que utilizo en ocasiones cuando me presentan estas tabletas, meto mi firma y encima de la firma escribo a modo de marca de agua, el nombre del establecimiento (para que no puedan usar mi firma en otro negocio/documento) y ademas escribo la fecha y el importe (para que el negocio no pueda cambiar la fecha de la compra o el importe).
Respecto a que se grabe como hago el trazado y la fuerza que hago no me tranquiliza, me parece parte de mi “clave privada”, y que puede guiar a otro a que aprenda a copiarla.
En todo caso el camino creo que esta siendo el EMV, y tampoco creo que es muy transparente para el cliente.

]]> Por: Carlos http://www.securityartwork.es/2008/10/08/una-firma-digitalizada-no-es-una-firma-electronica/comment-page-1/#comment-9131 Carlos Thu, 29 Dec 2011 16:19:27 +0000 http://www.securityartwork.es/2008/10/08/una-firma-digitalizada-no-es-una-firma-electronica/#comment-9131 Aunque hace ya tiempo de este post, como responsable comercial de StepOver, proveedor de pads o tabletas de firmas y de software para la firma electrónica, me gustaría compartir mi opinión al respecto. A la hora de analizar la seguridad de las tabletas de firma, es necesario diferenciar entre las que sólo captan una imagen de la firma (se emplean en algunas tiendas) y las que además tienen la capacidad de obtener los datos biométricos (presión, velocidad, coordenadas de la firma). Estas últimas, con la calidad suficiente, permiten la posterior identificación del firmante con las mismas garantías que una firma sobre papel. Estas soluciones de firma pueden utilizarse para captar una imagen de firma o, acompañadas del software adecuado, firmar y almacenar un documento PDF protegiendo su integridad y garantizando que se detecte cualquier manipulación posterior del mismo. La seguridad a aplicar dependerá del tipo de documento que se deba firmar y la seguridad que cada empresa decida aplicar al proceso. Por ejemplo, si se requiere la máxima seguridad, los datos biométricos deben transmitirse encriptados al PC. Las tabletas más avanzadas ya incorporan esta característica, fundamental para impedir que en ningún momento los datos biométricos puedan ser capturados en un entorno inseguro: el ordenador. Se trata de una solución que, correctamente aplicada, presenta ventajas frente a la firma mediante smartcard/DNI electrónico en ciertos aspectos, por ejemplo por su universalidad de uso. No requiere que el firmante disponga de un certificado, lo tenga actualizado y además, lo lleve consigo en el momento de efectuar la firma. En resumen, la firma electrónica escrita o manuscrita es un sistema perfectamente seguro y que puede ser complementario a la firma reconocida mediante smartcard o DNI electrónico, por lo que no necesariamente sustituye o dificulta el uso de ésta. En cambio su sencillez para el usuario puede contribuir y complementar este sistema ayudando a lograr una auténtica oficina sin papel. Aunque hace ya tiempo de este post, como responsable comercial de StepOver, proveedor de pads o tabletas de firmas y de software para la firma electrónica, me gustaría compartir mi opinión al respecto.

A la hora de analizar la seguridad de las tabletas de firma, es necesario diferenciar entre las que sólo captan una imagen de la firma (se emplean en algunas tiendas) y las que además tienen la capacidad de obtener los datos biométricos (presión, velocidad, coordenadas de la firma). Estas últimas, con la calidad suficiente, permiten la posterior identificación del firmante con las mismas garantías que una firma sobre papel.

Estas soluciones de firma pueden utilizarse para captar una imagen de firma o, acompañadas del software adecuado, firmar y almacenar un documento PDF protegiendo su integridad y garantizando que se detecte cualquier manipulación posterior del mismo. La seguridad a aplicar dependerá del tipo de documento que se deba firmar y la seguridad que cada empresa decida aplicar al proceso.

Por ejemplo, si se requiere la máxima seguridad, los datos biométricos deben transmitirse encriptados al PC. Las tabletas más avanzadas ya incorporan esta característica, fundamental para impedir que en ningún momento los datos biométricos puedan ser capturados en un entorno inseguro: el ordenador.

Se trata de una solución que, correctamente aplicada, presenta ventajas frente a la firma mediante smartcard/DNI electrónico en ciertos aspectos, por ejemplo por su universalidad de uso. No requiere que el firmante disponga de un certificado, lo tenga actualizado y además, lo lleve consigo en el momento de efectuar la firma.

En resumen, la firma electrónica escrita o manuscrita es un sistema perfectamente seguro y que puede ser complementario a la firma reconocida mediante smartcard o DNI electrónico, por lo que no necesariamente sustituye o dificulta el uso de ésta. En cambio su sencillez para el usuario puede contribuir y complementar este sistema ayudando a lograr una auténtica oficina sin papel.

]]> Por: Firma avanzada digitalizada | Main http://www.securityartwork.es/2008/10/08/una-firma-digitalizada-no-es-una-firma-electronica/comment-page-1/#comment-8238 Firma avanzada digitalizada | Main Thu, 05 May 2011 12:06:11 +0000 http://www.securityartwork.es/2008/10/08/una-firma-digitalizada-no-es-una-firma-electronica/#comment-8238 [...] Una firma digitalizada no es una firma electrónica [...] [...] Una firma digitalizada no es una firma electrónica [...]

]]> Por: Firma digitalizada avanzada « Todo es electrónico http://www.securityartwork.es/2008/10/08/una-firma-digitalizada-no-es-una-firma-electronica/comment-page-1/#comment-8237 Firma digitalizada avanzada « Todo es electrónico Thu, 05 May 2011 12:03:31 +0000 http://www.securityartwork.es/2008/10/08/una-firma-digitalizada-no-es-una-firma-electronica/#comment-8237 [...] Una firma digitalizada no es una firma electrónica [...] [...] Una firma digitalizada no es una firma electrónica [...]

]]> Por: chemalogo http://www.securityartwork.es/2008/10/08/una-firma-digitalizada-no-es-una-firma-electronica/comment-page-1/#comment-4159 chemalogo Mon, 14 Jun 2010 07:41:11 +0000 http://www.securityartwork.es/2008/10/08/una-firma-digitalizada-no-es-una-firma-electronica/#comment-4159 De nuevo está en boga este tema. Años atrás, en los inicios de la firma electrónica, teníamos que insistir en que na firma digitalizada (es decir, una firma manuscrita escaneada) pegada a un un documento (p.e. un Word) NO ERA firma electrónica. Sigo insistiento en los talleres técnicos del DNIe del INTECO. Ahora, además, hay que insistir en este otro interesante tema que Damià ha sacado a relucir: la captura de la firma manuscrita... De nuevo está en boga este tema. Años atrás, en los inicios de la firma electrónica, teníamos que insistir en que na firma digitalizada (es decir, una firma manuscrita escaneada) pegada a un un documento (p.e. un Word) NO ERA firma electrónica.
Sigo insistiento en los talleres técnicos del DNIe del INTECO.

Ahora, además, hay que insistir en este otro interesante tema que Damià ha sacado a relucir: la captura de la firma manuscrita…

]]> Por: Una firma digitalizada no es una firma electrónica « Todo es electrónico http://www.securityartwork.es/2008/10/08/una-firma-digitalizada-no-es-una-firma-electronica/comment-page-1/#comment-4153 Una firma digitalizada no es una firma electrónica « Todo es electrónico Sun, 13 Jun 2010 21:27:56 +0000 http://www.securityartwork.es/2008/10/08/una-firma-digitalizada-no-es-una-firma-electronica/#comment-4153 [...] PDRTJS_settings_2131766_post_3521 = { "id" : "2131766", "unique_id" : "wp-post-3521", "title" : "Una+firma+digitalizada+no+es+una+firma+electr%C3%B3nica", "item_id" : "_post_3521", "permalink" : "http%3A%2F%2Finza.wordpress.com%2F2010%2F06%2F10%2Funa-firma-digitalizada-no-es-una-firma-electronica%2F" } Como bien dice Damiá Soler en su blog, Una firma digitalizada no es una firma electrónica. [...] [...] PDRTJS_settings_2131766_post_3521 = { "id" : "2131766", "unique_id" : "wp-post-3521", "title" : "Una+firma+digitalizada+no+es+una+firma+electr%C3%B3nica", "item_id" : "_post_3521", "permalink" : "http%3A%2F%2Finza.wordpress.com%2F2010%2F06%2F10%2Funa-firma-digitalizada-no-es-una-firma-electronica%2F" } Como bien dice Damiá Soler en su blog, Una firma digitalizada no es una firma electrónica. [...]

]]> Por: Manuel Benet http://www.securityartwork.es/2008/10/08/una-firma-digitalizada-no-es-una-firma-electronica/comment-page-1/#comment-828 Manuel Benet Thu, 26 Mar 2009 11:22:06 +0000 http://www.securityartwork.es/2008/10/08/una-firma-digitalizada-no-es-una-firma-electronica/#comment-828 Hola Alex, imagino que te refieres al comentario de Fernando Acero, ya que la entrada va en la misma línea que esta. En cualquier caso, no conozco personalmente los detalles de la firma electrónica, a pesar de que al parecer tiene más controles de los que aparenta a primera vista. De cualquier modo, y saliendo un poco del ámbito de la entrada, mi opinión respecto a la utilidad y validez de la firma manuscrita es algo diferente: que en la práctica mayoría de situaciones no sirve para absolutamente nada; yo mismo firmo a la semana un buen puñado de recibos de supermercados y tiendas, de pie, inclinado, sobre mostradores, sobre libretas, con bolsas en una mano, mirando el móvil, etc. Tengo serias dudas de que alguien esté controlando en algún sitio de la cadena de pago y a partir de la firma que yo efectivamente soy el firmante, o de que alguno de esos garabatos ilegibles puedan utilizarse como refutación o prueba de algo. Al respecto, hace un tiempo escribí lo siguiente: http://www.securityartwork.es/2007/05/21/firmas/ Un saludo, y gracias por el comentario. Hola Alex, imagino que te refieres al comentario de Fernando Acero, ya que la entrada va en la misma línea que esta.

En cualquier caso, no conozco personalmente los detalles de la firma electrónica, a pesar de que al parecer tiene más controles de los que aparenta a primera vista. De cualquier modo, y saliendo un poco del ámbito de la entrada, mi opinión respecto a la utilidad y validez de la firma manuscrita es algo diferente: que en la práctica mayoría de situaciones no sirve para absolutamente nada; yo mismo firmo a la semana un buen puñado de recibos de supermercados y tiendas, de pie, inclinado, sobre mostradores, sobre libretas, con bolsas en una mano, mirando el móvil, etc. Tengo serias dudas de que alguien esté controlando en algún sitio de la cadena de pago y a partir de la firma que yo efectivamente soy el firmante, o de que alguno de esos garabatos ilegibles puedan utilizarse como refutación o prueba de algo. Al respecto, hace un tiempo escribí lo siguiente: http://www.securityartwork.es/2007/05/21/firmas/

Un saludo, y gracias por el comentario.

]]> Por: Alex hermida http://www.securityartwork.es/2008/10/08/una-firma-digitalizada-no-es-una-firma-electronica/comment-page-1/#comment-827 Alex hermida Thu, 26 Mar 2009 11:04:27 +0000 http://www.securityartwork.es/2008/10/08/una-firma-digitalizada-no-es-una-firma-electronica/#comment-827 En Kriptópolis hay un comentario sobre este tema que ofrece otro punto de vista...y desde el mio personal es mucho más acertado http://www.kriptopolis.org/firma-digitalizada-en-mercadona Creo que no nos debemos quedar anclados en el mismo punto que se queda la mayor parte de la gente por "miedo", se deben implementar soluciones seguras y garantizadas como pueda ser la firma digitalizada, lo importante es conocer las entidades que "garantizan" la seguridad esas soluciones. En Kriptópolis hay un comentario sobre este tema que ofrece otro punto de vista…y desde el mio personal es mucho más acertado

http://www.kriptopolis.org/firma-digitalizada-en-mercadona

Creo que no nos debemos quedar anclados en el mismo punto que se queda la mayor parte de la gente por “miedo”, se deben implementar soluciones seguras y garantizadas como pueda ser la firma digitalizada, lo importante es conocer las entidades que “garantizan” la seguridad esas soluciones.

]]> Por: Julian Inza http://www.securityartwork.es/2008/10/08/una-firma-digitalizada-no-es-una-firma-electronica/comment-page-1/#comment-727 Julian Inza Sat, 21 Feb 2009 21:00:53 +0000 http://www.securityartwork.es/2008/10/08/una-firma-digitalizada-no-es-una-firma-electronica/#comment-727 Efectivamente, es una firma simple según como la define la Ley 53/203, pero con el agravante de que quien capta la firma te puede suplantar, Efectivamente, es una firma simple según como la define la Ley 53/203, pero con el agravante de que quien capta la firma te puede suplantar,

]]>