Tecnología

Ayuda sobre detalles técnicos

Preguntas principales

Esta funcionalidad está desactivada. Acepte las cookies funcionales para utilizar nuestro servicio.

Generación de certificados con OpenSSL

Esta funcionalidad está desactivada. Acepte las cookies funcionales para utilizar nuestro servicio.

¿Qué es una identidad reclamada?

Esta funcionalidad está desactivada. Acepte las cookies funcionales para utilizar nuestro servicio.

Cómo realizar una llamada de verificación

H | Integración y configuración de la interfaz

Principalmente sí. En caso de uso del apellido y el nombre de pila, debe ser exactamente el mismo que se encuentra en el DNI o pasaporte. Pero si esto es difícil de implementar, la función de plantilla puede admitir ( https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Distinguished-Name:-Use-of-Evidence-Attributes ). Esta característica permite tomar el control del nombre y apellido exactos que se utilizaron durante la identificación en combinación con el Servicio RA (SRS).

Swisscom también puede configurar el servicio de manera que solo se utilice un seudónimo en lugar del apellido y el nombre de pila. Además, el “Nombre común” (CN) podría usarse con los nombres que se usan habitualmente para esta persona (independientemente del documento de identidad). La llamada de verificación de RA-Service verifica en este caso el número de móvil que se utilizó durante la identificación y el país. El uso del seudónimo en verifyCall es independiente del uso del seudónimo en la llamada de solicitud de firma.

Sí, hay varias bibliotecas disponibles en el mercado que permiten una implementación rápida de una aplicación de firma. Todos ellos cuentan además con soporte especial para Swisscom Service:

Intarsys es un socio premium de Swisscom y conoce muy bien el servicio AIS desde un punto de vista técnico y puede brindar soporte de consultoría.

Swisscom rechaza cualquier responsabilidad por el funcionamiento sin errores de estas bibliotecas. Estos pueden contener errores y requieren conocimientos y experiencia especiales. El uso corre por cuenta y riesgo del suscriptor.

Ver https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Swisscom-CA-4

Hay un modo de prueba y demostración que le permite probar la aplicación, pero no se transmiten datos. Para ello, se debe ingresar el número de teléfono móvil +41001234567 en el formulario de registro y el nombre de la empresa “demo”.

No. Swisscom incluso requiere que, cuando la pantalla PWD / OTP esté integrada como un “iFrame”, una persona externa pueda verificar que se origina en Swisscom. Por ejemplo, se pueden utilizar las funciones estándar del navegador que Swisscom publica en el enlace de su sitio web de acuerdo con el Capítulo 4 de las Condiciones de uso. Para la integración de iFrame, consulte https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

No hay soporte para el desguace de pantalla como interfaz. Developers podría enfrentarse al hecho de que se cambiarán las pantallas. También es contradictorio con la implementación del “control exclusivo” entre el firmante y el certificado firmante.

Sí, pero solo como iFrame, las instrucciones se pueden encontrar aquí: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

No, consulte https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide.

Sí, como se describe en la Guía de referencia ( www.swisscom.com/signing-service ) en "Método Step-Up" en el campo "Mensaje", el bloque de texto con el encabezado del mensaje para la expresión de intención y el idioma El ajuste con "Idioma" se puede configurar dentro del marco del protocolo. Para la ventana de entrada de SMS, el idioma también se puede configurar con el parámetro "Idioma".

El requisito previo para la instalación es una “declaración de configuración y aceptación” firmada por el cliente y verificada por la autoridad de registro global. Esta declaración contiene las obligaciones del operador de una aplicación de firma (por ejemplo, la posibilidad de mostrar el documento completo a firmar, asegurando el acceso al servicio), pero también las características del servicio.

Otro requisito previo es un certificado de acceso, que asegura la comunicación de la aplicación de firma al servicio de firma.

Tras comprobar el documento, nuestro Servicio de Configuración recibe la orden de activación del servicio con el certificado de acceso enviado y la especificación seleccionada en la configuración y declaración de aceptación. En el caso de firmas calificadas, el servicio inicialmente solo se activa para firmas “avanzadas”. Posteriormente, al contacto nombrado en la declaración de configuración y aceptación se le solicita una firma de ejemplo con la firma avanzada. Si esto es impecable, el servicio se cambia al nivel "calificado" si es necesario. El cliente también será notificado de esto. Ahora tiene 10 días para informar de cualquier irregularidad directamente al equipo de preparación. Si no recibe ninguna reclamación durante este tiempo, se acepta la conexión al servicio. Luego, se pueden informar más incidentes a Swisscom a través del Soporte de primer nivel en caso de un contacto directo con Swisscom o con el socio revendedor.

El certificado de acceso puede ser un certificado autofirmado. Por ejemplo, con el software openssl.

Requisitos para el nombre distinguido:

  • CN = <URL del sistema de abonado que realiza la comunicación con AIS u otra identificación única del sistema de abonado>
  • O = <Nombre de la organización>
  • Correo electrónico = <Correo electrónico con fines de notificación, por ejemplo, en caso de fin de validez>
  • C = <País de organización>

Se deben tener en cuenta los siguientes requisitos adicionales al preparar el certificado:

  • Plazo máximo 3 años
  • Algoritmo hash mínimo SHA-256
  • Longitud de clave mínima de 2048 bits

Aún se aplican condiciones especiales para los certificados de acceso en el marco de la creación de sellos regulados (ZertES) o calificados (eIDAS): la clave privada del certificado de acceso debe crearse en un módulo criptográfico en una ceremonia conjunta de un representante de la autoridad de registro de Swisscom. Este módulo debe cumplir con los requisitos de FIPS 140-2 nivel 2 o similar, por ejemplo, Yubikey, Feitan key o Microsoft Key Vault. Alternativamente, se puede presentar un concepto sobre cómo se puede lograr la asignación del certificado de acceso a la persona responsable de la organización de otras maneras.

En el caso de un sello, además de la declaración de configuración y aceptación por parte del operador de la plataforma de firma, también se requiere una solicitud de certificado para el sello certificado, un certificado de organización. A diferencia del certificado de firma personal, el certificado de sello se emite por tres años. La solicitud de certificado debe estar firmada por personas autorizadas de la organización. La autorización puede resultar del registro (por ejemplo, procuración) o también puede ser un poder especial, que se ha emitido, por ejemplo, para los operadores del centro informático. Swisscom necesita la prueba de este poder. Estas personas también son identificadas personalmente por adelantado por un representante de la oficina de registro de Swisscom utilizando RA-App. También podría ser, por ejemplo, un agente RA de un revendedor que haya realizado la identificación personal. Esto le permite a la persona firmar la solicitud usando una firma electrónica. La solicitud se envía a Swisscom sin firmar y Swisscom invita a las personas a firmar electrónicamente. Los siguientes pasos ahora difieren según el tipo de sello:

Firma avanzada: el solicitante envía a Swisscom un certificado SSL, que desea utilizar como certificado de acceso para la interfaz del sello.

Firma calificada / regulada: el solicitante acuerda una fecha con Swisscom para la creación conjunta de una clave privada. Esto debe crearse en un dispositivo criptográfico basado en la calificación FIPS 140-2 nivel 2 o similar (por ejemplo, Yubikey, Feitan Key, Key Vault HSM Microsoft, etc.). Luego se crea un certificado de acceso basado en esta clave. Es decir, para el proceso de firma se debe liberar el acceso mediante este certificado. Alternativamente, se puede presentar un concepto sobre cómo se puede lograr la asignación del certificado de acceso a la persona responsable de la organización de otras maneras.

La incrustación de hashes firmados debe ser tarea de los especialistas en PDF o de las bibliotecas correspondientes. El espacio para la firma debe calcularse previamente. Eche un vistazo a https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Swisscom-CA-4 .

La siguiente solución puede proporcionar una solución. Presentamos esto aquí sin garantía, ya que Swisscom se enfoca solo en el servicio y no en la aplicación de firma:

  • Cree un PDF con un campo de firma en blanco y precargado
  • El rango de bytes debe llenarse con ceros hasta el tamaño esperado
  • Calcular el hash del documento
  • Firme el hash con el todo incluido Signing Service
  • Complete el hash firmado en el campo de firma vacío
  • Iterar al campo de firma vacío
  • Determine el rango de bytes del campo de firma vacío
  • Calcular el desplazamiento del rango de bytes
  • Abra el documento con el campo de firma vacío en modo lectura-escritura y busque el desplazamiento donde se insertó el hash

También es muy importante seguir las pautas para el estándar PADES y la validación a largo plazo: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

En los parámetros devueltos de Verify Call, se devuelve el llamado "serial". Si esto comienza con "SAS" (es decir, SASxxxxxxx), el cliente utilizará la autenticación PWD / OTP. Si comienza con "MID" (es decir, MIDxxxxxx), el cliente utiliza el procedimiento Mobile ID. Sin embargo, no es posible distinguir entre la aplicación Mobile ID y la tarjeta SIM Mobile ID.

Sin embargo, los resultados se pueden utilizar, por ejemplo, para proporcionar textos de ayuda especiales (por ejemplo, si se olvida la contraseña, etc.) al cliente, o para hacer referencia a la declaración de voluntad en el teléfono móvil.

VerificarCall le permite verificar si un firmante ya está registrado o no. Si elige el seudónimo, solo necesitará el número de teléfono móvil y el país del firmante. https://documents.swisscom.com/product/filestore/lib/4cce2074-46e3-4e43-a1b4-ccf5d5cb7ca5/VerifyID4Signing-de.pdf

PKCS # 1 solo es compatible con el formato CADES y los sellos, pero no con las firmas personales.

No, solo PADES / CADES para sellos y PADES para firmas personales.

Es compatible con Swisscom para encontrar un nombre para ClaimedID (acceso a signing service).

Sí, simplemente marque la casilla de verificación correspondiente.

I | Rendimiento

Actualmente estamos en proceso de ampliar nuestras capacidades con otros algoritmos (pregeneración de claves) y expansión de HW. Dado que varios clientes utilizan el servicio, asumimos una carga máxima de una solicitud por segundo en promedio por cliente. Opcionalmente, es posible un rendimiento superior, es decir, capacidades especialmente reservadas.

Está limitado a 250 debido a razones de seguridad más que a la capacidad del servicio.

Tenga en cuenta que instalamos un WAF para proteger nuestro servicio contra ataques de denegación de servicio. Si desea realizar algunas pruebas masivas, póngase en contacto con nosotros de antemano.

La firma debe estar firmada con una declaración de voluntad (autorización) por Mobile ID (SIM / App) o PWD / OTP. Después de enviar la solicitud, el usuario generalmente tiene 80 segundos para ingresar la autorización. El valor no es ajustable.

N | Docusign connector

No encontraste tu respuesta, ponte en contacto con nuestro soporte.

Formulario de soporte
¿Pudimos ayudarte?

Nos alegramos de poder ayudarte.

Es una pena que todavía no hayamos podido darte la respuesta que necesitas. Nuestro equipo de soporte estará encantado de ayudarle.


Nos gustaría ofrecerle el contenido de ayuda más reciente en su propio idioma lo antes posible. Esta página se ha traducido automáticamente y puede contener errores gramaticales o inexactitudes. Puede visitar la página donde tomamos el contenido original de aquí para evitar posibles malentendidos.

Zoom