Feeds:
Entradas
Comentarios

Archive for the ‘Firma Electrónica’ Category

La identificación en el uso de un servicio electrónico ha sido, quizás, uno de los aspectos a los que más vueltas se ha dado desde que Internet es Internet. El Santo Grial de un sistema de identificación única para todos los servicios usados por una persona en la Red, sean cuáles sean los servicios y sea quién sea la persona, ha parecido siempre un objetivo escurridizo y técnicamente complejo. Si además hablamos de identificación ante los servicios públicos electrónicos, con la ley como garantía hemos topado.

En el caso de nuestro país, la legalidad viene marcada por la Ley de Acceso de los Ciudadanos a los Servicios Públicos (LAECSP, Ley 11/2007). Los medios de los que un ciudadano puede hacer uso para identificarse ante las AAPP vienen resumidos en el artículo 13.2 de la norma aludida:

Los ciudadanos podrán utilizar los siguientes sistemas de firma electrónica para relacionarse con las Administraciones Públicas, de acuerdo con lo que cada Administración determine:

a) En todo caso, los sistemas de firma electrónica incorporados al Documento Nacional de Identidad, para personas físicas.

b) Sistemas de firma electrónica avanzada, incluyendo los basados en certificado electrónico reconocido, admitidos por las Administraciones Públicas.

c) Otros sistemas de firma electrónica, como la utilización de claves concertadas en un registro previo como usuario, la aportación de información conocida por ambas partes u otros sistemas no criptográficos, en los términos y condiciones que en cada caso se determinen.

Aunque el apartado c) es lo suficientemente ambiguo como para dar cabida a soluciones alternativas diversas, y a falta del desarrollo reglamentario, no parece pensada para dar cabida a sistemas de identificación gestionados por terceros. Y sin embargo, esa puede ser la necesidad en el futuro, ya que pueden proporcionar un método de firma electrónica no avanzada ni reconocida de extrema sencillez de uso.

Aunque ha habido diversos sistemas que han buscado la identificación universal, Liberty Alliance o Passport son quizás los últimos que han alcanzado popularidad, parece que la solución va a venir de la mano de los ecosistemas construidos entorno a las redes sociales generalistas. Facebook Connect es quizás la que mayor auge está alcanzando en los últimos tiempos.

¿Existirá relación entre los sistemas de identificación de las redes sociales y los utilizados en los servicios públicos electrónicos? Si el fenómeno de las redes sociales generalistas termina por consolidarse, parece algo inevitable. La demanda de este sistema de identificación, común con los otros usos de la red y a la vez de fácil uso, por parte de los ciudadanos puede llegar a ser clamor.

La intermediación electrónica en los servicios lleva camino no sólo de alcanzar a la interfaz, sino también a los sistemas de identificación tan próxima a la anterior en la cadena de provisión. La interoperabilidad entre datos e interfaz tiene un nuevo elemento de complejidad.

Obviamente, en algo tan delicado como la identidad, no sólo la interoperabilidad técnica es importante. También lo es establecer un marco legal adecuado. De acuerdo a la norma legal citada, cómo es concertado ese uso de claves ya dadas antes la proveedor de la red social y en que términos y condiciones un proveedor de identidad no basado en certificados puede establecerse. La garantía de protección de datos personales, es sólo la punta del iceberg.

Existen otras derivadas filosóficas que quizás sería necesario analizar, pero entraríamos en veredas sin final. Hoy, por ejemplo, una compañera me comentaba el síndrome de Gran Hermano que está empezando a sentir respecto a Facebook. Puede tener su razón en sentir estos miedos, pero a veces creo que, los no nativos digitales, tenemos demasiadas precauciones que no tenemos en otros campos al relacionarnos con los electrónico. Como dijo Enrique Dans recientemente al tratar otro mito alrededor de las redes sociales, creemos en demasiados cuentos de viejas.

Anuncios

Read Full Post »

El incremento del uso de la firma electrónica en las relaciones de los ciudadanos y empresas entre sí y de ambos grupos con las Administraciones Públicas, sólo es posible que se realice si existen mecanismos de verificación de la validez de las credenciales que garantizan su validez: Los certificados digitales. Dichos mecanismos tienen dos vertientes: La existencia de un marco legal que obligue a los Prestadores de Servicios de Certificación (PSCs) a facilitar los medios que hagan posible esta validación y la disponibilidad de las herramientas tecnológicas para ello. En este texto haremos una revisión de ambos aspectos, para acabar con un reflejo de la práctica real en España.

Marco legal en España de la validación de certificados

Comenzando por la vertiente legal, nuestra legislación obliga a que los PSCs ofrezcan tal servicio. Podemos encontrar dos referencias claras de ello, una en la Ley de Firma Electrónica (Ley 59/2003, LFE) y otra en la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (Ley 11/2007, LAESCP). En la primera de las leyes que regula el régimen de los PSCs emisores de certificados de personas físicas y jurídicas, mantener un servicio de consulta sobre la vigencia de los certificados figura entre las obligaciones que han de cumplir.

Artículo 18. Obligaciones de los prestadores de servicios de certificación que expidan certificados electrónicos.

d) Garantizar la disponibilidad de un servicio de consulta sobre la vigencia de los certificados rápido y seguro.

Dado que no se fija condición adicional alguna a este servicio de consulta, y cómo se verá más adelante, cada PSC ha hecho una intepretación particular de esta obligación, adaptándolo a su modelo de negocio.

En la segunda de las leyes, se caracteriza algo más dicho servicio, si bien sólo en lo referente a las condiciones que ha de cumplir de cara a las AAPP, indicando de modo explícito que los PSCs han de ofrecer de modo gratuito toda la información que precisen. Se entiende, que la información sobre la vigencia de los certificados es parte de esta información.

Artículo 21. Interoperabilidad de la identificación y autenticación por medio de certificados electrónicos.

1. Los certificados electrónicos reconocidos emitidos por prestadores de servicios de certificación serán admitidos por las Administraciones Públicas como válidos para relacionarse con las mismas, siempre y cuando el prestador de servicios de certificación ponga a disposición de las Administraciones Públicas la información que sea precisa en condiciones que resulten tecnológicamente viables y sin que suponga coste alguno para aquellas.

Dentro de la misma ley, si bien no se indica de modo expreso para certificados de sedes electrónicas y de empleados públicos, si se obliga a que las AAPP ofrezcan medios para verificación de sus sellos electrónicos

Artículo 18. Sistemas de firma electrónica para la actuación administrativa automatizada.

3. La relación de sellos electrónicos utilizados por cada Administración Pública, incluyendo las características de los certificados electrónicos y los prestadores que los expiden, deberá ser pública y accesible por medios electrónicos. Además, cada Administración Pública adoptará las medidas adecuadas para facilitar la verificación de sus sellos electrónicos.

Dado que dichos sellos, al igual que el resto de lo certificados que usan las AAPP, los emiten PSCs en condiciones de libre mercado, ello implica una obligación sobre los PSCs de mantener un servicio de consulta para los certificados utilizados por las AAPP. Resaltar una vez más que, sin embargo, no se fija condición sobre la gratuidad del servicio.

En conclusión, los PSCs han de disponer de un servicio de consulta de vigecia de los certificados que emiten, aunque la gratuidad de estos servicios sólo está garantizada a las AAPP.

Algún aspecto tecnológico sobre la validación de certificados

El estándar en que se basa el formato de los certificados digitales, X509v3, prevé dos modos de comprobar la validez de los mismos. Históricamente, el primer método que fue utilizado fue la consulta de listas de certificados revocados (CRL, Certificate Revocation List). Básicamente, consistía en la emisión por parte del PSC de la lista de los números de serie de los certificados que había revocado de oficio o parte junto con la causa de la revocación. Este método planteaba dos inconvenientes

  • Necesidad de actualización de la listas con periodicidad baja para que sea un método efectivo
  • Ineficiencias derivadas de su crecimiento excesivo

Ello llevó a buscar un método más óptimo, la consulta de estado de certificados en línea (OCSP, Online Certificate Status Protocol). Basado en la RFC 2560, permite la consulta individual del estado de un certificado en tiempo real con un protocolo sobre HTTP.

La disponibilidad de uno u otro método de consulta por parte de un PSC,  puede deducirse de cada uno de los certificados que ha emitido. El formato de certificado X509v3 contempla la existencia de dos campos no críticos que prorcionan información al respecto

  • Punto de distribución de las CRLs, que informa de dónde obtener la lista de certificados revocados
  • Acceso a información de la Autoridad,  que informa de dónde se encuentra el sevidor OCSP para consultar el estado del certificado

El uso de dichos campos por las aplicaciones permiten comprobar de modo automático la validez de unas credenciales digitales. Aplicaciones como Firefox o Acrobat permiten la configuración del uso de estos campos.

Servicios de validación de certificados de los PSCs españoles

Debido a que la LFE no impone la universalidad de los servicios de consulta de estado de los certificados ni unos mínimos referidos a su tiempo de respuesta o su ajuste a la situación real del estado de los certificados, los servicios de validación que ofrecen los PSCs no son uniformes. Dos ejemplos en los que se puede apreciar esta diferencia son la FNMT y Camerfirma. El primero de ellos, ofrece servicios de consulta via OCSP de pago, para cuyo es necesario además disponer de un certificado especial denominado de servicios avanzados. Por su lado, Camerfirma, ofrece un servicio OCSP de carácter gratuito para la validación de los certificados que emite, y la alternativa también gratuita de descargar la CRL vigente, figurando los puntos de acceso a ambos servicios en los certificados que emite este PSC.

Los distintos modelos utilizados por ambos PSCs tienen su base en el modelo de negocio que eligieron inicialmente para su desarrollo. Mientras la FNMT facilita los certificados de persona física de modo gratuito y cobra por la validación, Camerfirma eligió la opción opuesta.

Read Full Post »

Las Autoridades de Certificación son también denominadas como tercera parte de confianza. Sin embargo, en general, dicha confianza no es nacida de si mismas, sino basadas en un marco legal, como puede ser la Directiva Európea de Firma Electrónica (Directiva 1999/93 ) o la Ley de Firma Electrónica Española (LFE, Ley 59/2003). Ello implica que la validación de una firma electrónica debería conllevar tres pasos:

  1. Validar que la firma esta realizada por quien posee la clave privada asociada al certificado presentado que lleva la clave pública
  2. Validar que el certificado no está revocado acudiendo a la Autoridad de Certificación que lo emitió
  3. Validar que la Autoridad de Certificación es realmente una tercera parte de confianza

A diferencia de los tres primeros, el último de los pasos no es un paso que haya sido automatizado de modo generalizado. Aunque existen países en los que de un modo u otro la autoridad reguladora da esta opción, no existe una implementación homogénea de los mecanismos para ello: Certificados raices de las Autoridades de Certificación firmados, listas blancas o negras de Autoridades de Certificación, … Son algunos de los mecanismos en uso.

Esta situación, paradójicamente, no sucede por que no exista una estándar para ello. Existen al menos dos documentos ETSI que recogen una propuesta en esta línea

En ella las autoridades reguladoras de acuerdo a un formato concreto emiten las denominadas Trusted Services Status Lists (TSL). Estas listas recogen aquellos proveedores de servicios de confianza (no solo Autoridades de Certificación) que han pasado los requisitos para iniciar su actividad y siguen cumpliéndolos en el momento de emisión de la lista. Apoyándose en este estándar, se propone construir el modelo de confianza entre la AGE y las CCAA en el“Esquema de identificación y firma electrónica de las AAPP” confeccionado por la AGE, ligándolo a una infraestructura de confianza global dentro de la UE basada en el mismo modelo. Básicamente, las autoridades reguladoras de que ámbito de competencia serían interrogadas por las restantes para conocer si una Autoridad de Certificación sigue o no siendo válida.

Queda por ver si este modelo jerárquico de confianza, cuyos primeros trabajos datan del 2002, consigue o no por fin arrancar.

Read Full Post »

Tras la creación del “Esquema de Identificación y Firma de las AAPP” por la AGE, puede deducirse que el proceso de implantación de la firma electrónica en las AAPP queda totalmente clarificado.  A partir del mismo, los siguientes pasos parecen reducidos a la mera expedición de certificados a los empleados públicos, la implantación en las sedes electrónicas y el uso del sello de órgano por las aplicaciones que permiten el ejercicio automatizado de las potestades. Si bien, y con matices, esto puede ser cierto dentro de los órganos y organismos del ámbito de la AGE, no lo es desde luego dentro del ámbito de las Administraciones Autonómicas, que pueden realizar a partir del marco básico su propio desarrollo legislativo.

Los pasos que habría de seguir cualquier CCAA son fácilmente identificables a partir del Esquema de la AGE. En primer lugar, habría de definir su propia “Política de Certificación”, identificando la tipología y perfiles de certificados de cada uno de los tres tipos definidos en la LAECSP (empleado, sede y sello) y el ciclo de vida de los mismos. Ni lo uno ni lo otro es un tema baladí o directamente extrapolable de la política definida para la AGE. De un lado,  tiene peso la visión de la firma electrónica como herramienta que cada Administración tenga, la población de sus empleados a los que quiera que esta llegue y con que uso. De otro lado, la distribución de los certificados va intimamente ligado a las estructuras de RRHH y los procesos asociados a su gestión, que tienen, aún dentro de un mismo marco, aspectos diferenciales.

A partir de la “Política de Certificación”, es posible ya definir la operativa de gestión de los certificados,  denominada “Declaración de Prácticas de Certificación” (DPC) y que ha de cumplir los requisitos descritos en la política. No esta labor necesariamente de la AAPP, al no ser que se dote a si misma y de forma interna de las herramientas de firma electrónica, sino del Prestador de Servicios de Certificación (PSC), que habrá, adicionalmente, que cumplir con el resto de la legislación de firma electrónica. Bajo dicha DPC, ya podrían ser emitidos los certificados requeridos por la AAPP. Aunque por razones de economía de escala lo lógico es que un mismo PSC emita todos los tipos de certificados requeridos por una misma AAPP, nada impediría que no fuera así, si bien entonces, además, habría de solventar los problemas de interoperabilidad interna derivados de esa opción.

Existen sin embargo, al menos, otros dos aspectos que una AAPP habría de considerar. El primero de ellos sería el rol del DNIe como medio de identificación del empleado público, definido como posible herramienta de firma de este en el artículo 19.3 de la LAECSP. Dado que el DNIe, como es obvio, no contiene “identificación de forma conjunta del titular del puesto de trabajo o cargo y a la Administración u órgano en la que presta sus servicios” que recomienda el artículo 19.2 que han de incluir los sistemas de firma electrónica facilitados a los empleados públicos, su uso implica la necesidad de obtener esta información de los Registros Centrales de Personal de la AAPP, y contemplar en las aplicaciones como combinar con la firma electrónica generada.

El segundo de los aspectos que resta por contemplar es la interoperabilidad con las restantes Administraciones. Pero sobre él, ya hable bastante en un anterior post.

Read Full Post »

La interoperabilidad de los sistemas de firma electrónica utilizados y reconocidos por las distintas AAPP con las que se relacionan los ciudadanos, es una piedra angular de la Administración Electrónica. Esta importancia queda resaltada dentro de la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP, Ley 11/2007) incluyéndola como uno de los principios a los que ha de ajustarse el uso de las tecnologías de la información dentro de las AAPP

Artículo 4. Principios generales

La utilización de las tecnologías de la información tendrá las limitaciones establecidas por la Constitución y el resto del ordenamiento jurídico, respetando el pleno ejercicio por los ciudadanos de los derechos que tienen reconocidos, y ajustándose a los siguientes principios:


e) Principio de cooperación en la utilización de medios electrónicos por las Administraciones Públicas al objeto de garantizar tanto la interoperabilidad de los sistemas y soluciones adoptados por cada una de ellas como, en su caso, la prestación conjunta de servicios a los ciudadanos. En particular, se garantizará el reconocimiento mutuo de los documentos electrónicos y de los medios de identificación y autenticación que se ajusten a lo dispuesto en la presente Ley.

La necesidad de esta interoperabilidad se deriva de la potestad de autoorganización de las AAPP. Esta potestad, llevada al campo de la identidad electrónica, implica la definición autónoma por cada Administración de las credenciales digitales usadas por los empleados públicos que tiene adscritos y los sistemas de la información en que se apoyan los servicios públicos que prestan, así como de las que reconocen como medio de identificación de los ciudadanos en las relaciones por medios electrónicos. Dado el entorno de competencias fragmentadas, dónde Administraciones de ámbito supranacional, estatal, regional y local han de colaborar en la prestación de servicios electrónicos, la interoperabilidad se convierte en una obligación.

Haciendo referencia a los distintos medios de identificación manejados por la LAECSP, la interoperabilidad de los sistemas de firma electrónica ha de centrarse fundamentalmente en tres campos:

  1. Reconocimiento de un conjunto común de credenciales digitales que pueden utilizar los ciudadanos
  2. Certificados electrónicos de empleados públicos con un mínimo de información común
  3. Sellos electrónicos para la actuación automatizada de cada Administración que puedan ser verificados por las restantes y permitan el intercambio de documentos administrativos en formato electrónico

El primero de los campos de interoperabilidad de la identidad digital, está garantizado por la Ley de Firma Electrónica (LFE, Ley 59/2003) en el ámbito nacional, regional y local y por la Directiva 1999/93/CE en el ámbito supranacional. Si bien el estándar X509v3 da flexibilidad en cuanto los campos de los certificados digitales y el orden de los mismos, el marco legal referido establece cuál ha de ser la información mínima a contener y los requisitos legales que los prestadores, si bien bajo régimen de libre establecimiento, han de cumplir.

En el caso de los certificados electrónicos de los empleados públicos, hemos de acudir a la LAECSP para encontrar el conjunto mínimo de atributos de los mismos

Artículo 19. Firma electrónica del personal al servicio de las Administraciones Públicas.

1. Sin perjuicio de lo previsto en los artículos 17 y 18, la identificación y autenticación del ejercicio de la competencia de la Administración Pública, órgano o entidad actuante, cuando utilice medios electrónicos, se realizará mediante firma electrónica del personal a su servicio, de acuerdo con lo dispuesto en los siguientes apartados.

2. Cada Administración Pública podrá proveer a su personal de sistemas de firma electrónica, los cuales podrán identificar de forma conjunta al titular del puesto de trabajo o cargo y a la Administración u órgano en la que presta sus servicios.

3. La firma electrónica basada en el Documento Nacional de Identidad podrá utilizarse a los efectos de este artículo.

Deja por tanto un amplio margen de autonomía para que cada Administración ejerza su potestad de autoorganización, por lo que parece conveniente que acuerden entre ellas un perfil común. Dicho perfil común es, en principio, el recogido en el “Esquema de Identificación y Firma Electrónica de las AAPP”, si bien a día de hoy aún no es marco legal oficial. El carácter básico de la LAECSP no impediría sin embargo que, manteniendo la existencia de la información recogida en el Artículo 19.2, cada AAPP tuviera su propio perfil de certificados. Dicha situación no sería tampoco mayor problema, tan sólo sería necesario tratar cada uno de ellos como el de los certificados emitidos por los restantes Prestadores de Servicios de Certificación en las Plataformas de Validación existentes en cada Administración  (@firma en el caso de la AGE). El caso del uso de los certificados del DNIe como herramienta de firma electrónica por los empleados públicos, merece, sin embargo, capítulo aparte y no profundizaremos en el, ya que claramente no cumple lo indicado en el artículo 19.2 y tiene otras implicaciones de carácter organizativo.

La interoperabilidad de los sellos electrónicos, por último, no presentan mayor complejidad más allá del nivel organizativo de la interoperabilidad, ya que han de establecerse los mecanismos de comunicación adecuados entre las Administraciones para comunicarse los sellos que cada una usa. Una vez resuelto el primer nivel de interoperabilidad, el nivel semántico quedaría resuelto con el “Esquema de Identificación y Firma electrónica” que define los perfiles de los mismos y el nivel técnico es resuelto por @firma o una plataforma similar.

Read Full Post »

La Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP, Ley 11/2007) regula en su artículo 19 establece el siguiente marco general para las firma electrónica del personal al servicio de las AAPP

Artículo 19. Firma electrónica del personal al servicio de las Administraciones Públicas.

1. Sin perjuicio de lo previsto en los artículos 17 y 18, la identificación y autenticación del ejercicio de la competencia de la Administración Pública, órgano o entidad actuante, cuando utilice medios electrónicos, se realizará mediante firma electrónica del personal a su servicio, de acuerdo con lo dispuesto en los siguientes apartados.

2. Cada Administración Pública podrá proveer a su personal de sistemas de firma electrónica, los cuales podrán identificar de forma conjunta al titular del puesto de trabajo o cargo y a la Administración u órgano en la que presta sus servicios.

3. La firma electrónica basada en el Documento Nacional de Identidad podrá utilizarse a los efectos de este artículo.

Es un marco genérico, que implica la necesidad de realizar un desarrollo reglamentario. Un primer borrador del mismo figura en los trabajos que se han divulgado del “Esquema de identificación y firma electrónica de las AAPP” en en Centro de Transferencia de Tecnologías. Sea este el marco que finalmente se defina o no, refleja la complejidad del mismo, que queda patente en un peculiar ciclo de vida de los certificados digitales y los actores que intervienen en el mismo. De una primera lectura de este borrador pueden quedar aspectos no lo suficientemente claros, que es de esperar queden diseñados totalmente en su versión final. A continuación reflejo mi interpretación del mismo.

Al igual que para el resto de los sistemas de identificación electrónica para las AAPP definidos en la LAECSP, se definen dos tipos diferenciados de certificados digitales de empleado público para uso en firma electrónica. De un lado, aquellos que requieren un nivel de aseguramiento alto y ha de protegerse su material criptográfico en un dispositivo seguro de creación de firma (DSCF). De otro, los que requieren un nivel de aseguramiento medio y pueden estar basados en medios software. Las firmas electrónicas generadas con los primeros, de acuerdo a lo definido en la Ley de Firma Electrónica (LFE, Ley 59/2003), tendrían características de firma electrónica reconocida, equivalente a firma manuscrita. Las generadas con los segundos, sólo tendrían características de firma electrónica avanzada.  Es de sospechar que por la cabeza de quien diseñó esta dualidad de certificados pasará el uso de los basados en DSCF por aquellos con consideración de directivos, mientras los basados en software estarían destinados al resto de empleados públicos. No obstante, es fácil prever una convergencia hacia el uso sólo de firma electrónica basada en DSCF, ligando dicho dispositivo a las omnipresentes tarjetas de fichaje.

El “Esquema de identificación y firma electrónica de las AAPP” establece para ambos tipos de certificados un ciclo de vida que gira entorno a tres actores. De un lado la Autoridad de Certificación que emite los certificados, y de otro el suscriptor de certificado u organismo al que están adscritos empleados públicos y el responsable de certificado o empleado público que hace uso del mismo. Es decir, desdobla el titular del certificado en dos actores distintos, dando al primero la propiedad del mismo y al otro su uso. Ello queda reflejado en el hecho que tan sólo el suscriptor puede revocar un certificado de empleado público, y que aunque la solicitud puede partir tanto de suscriptor como del responsable, el responsable está obligado a recibirlo si el suscriptor se lo ha solicitado. Con este marco normativo, la firma electrónica pasa a ser una herramienta de trabajo de obligada aceptación, eliminado las ambiguedades existentes previas a la existencia de la LAECSP.

La relación existente entre los tres actores del ciclo de vida de los certificados digitales de los empleados públicos, hace pensar en una implementación de la generación del material criptográfico realizada integramente por la Autoridad de Certificación, en que el suscriptor realizará una petición masiva de los certificados para los empleados públicos del organismo que representa. En caso de certificados digitales basados en DSCF, una vez estos estuvieran disponibles se harían llegar a cada uno de los empleados públicos. En el caso de certificados basados en software, habría que idear un mecanismo seguro de hacer entrega del fichero PKCS12 al responsable del mismo.

Otro aspecto que llevará a una generación del material criptográfico por parte de la Autoridad de Certificación es la imposición que se hace a éste de conservar las claves privadas durante 15 años dentro del borrador del “Esquema de Identificación y Firma Electrónica”. Esta conservación resulta más sencilla de implementar si la generación de claves se realiza en la Autoridad de Certificación que si la realiza suscriptor o responsable para luego hacérselas llegar de modo seguro. El almacenamiento de claves por el periodo indicado permitirá disponer de servicios de key scrow, si bien no existe previsión de cómo será regulado el procedimiento de recuperación de claves.

En resumen, es un ciclo de vida que tiene como principales peculiaridades que el empleado público juega un papel secundario en el mismo y que, a diferencia de servicios para ciudadanos existentes como el proporcionado por la FNMT, se hace la generación de claves  en la Autoridad de Certificación.

Read Full Post »

Hasta la promulgación de la Ley de Acceso Electrónico a los Servicios Públicos (LAESCP, Ley 11/2007), podemos considerar que no existía una normativa de carácter general sobre cómo proteger las claves criptográficas asociadas a los certificados digitales utilizados como identificación de las sedes electrónicas de los órganos y organismos públicos. Hablando con propiedad, ni tan siquiera podemos decir que existiera sede electrónica, ya que tal concepto no había sido establecido, sino sitios Internet establecidos por los órganos u organismos. En la mayoría de los casos, y salvo que utilizarán algún tipo de servicio digital que requiriese el uso de firma electrónica por parte del ciudadano, ni tan siquiera hacían uso de certificados digitales como medio de identificación.

La LAECSP, establece, en primer lugar, el concepto de sede electrónica

Artículo 10. La sede electrónica.

1. La sede electrónica es aquella dirección electrónica disponible para los ciudadanos a través de redes de telecomunicaciones cuya titularidad, gestión y administración corresponde a una Administración Pública, órgano o entidad administrativa en el ejercicio de sus competencias.

2. El establecimiento de una sede electrónica conlleva la responsabilidad del titular respecto de la integridad, veracidad y actualización de la información y los servicios a los que pueda accederse a través de la misma.

3. Cada Administración Pública determinará las condiciones e instrumentos de creación de las sedes electrónicas, con sujeción a los principios de publicidad oficial, responsabilidad, calidad, seguridad, disponibilidad, accesibilidad, neutralidad e interoperabilidad. En todo caso deberá garantizarse la identificación del titular de la sede, así como los medios disponibles para la formulación de sugerencias y quejas.

4. Las sedes electrónicas dispondrán de sistemas que permitan el establecimiento de comunicaciones seguras siempre que sean necesarias.

5. La publicación en las sedes electrónicas de informaciones, servicios y transacciones respetará los principios de accesibilidad y usabilidad de acuerdo con las normas establecidas al respecto, estándares abiertos y, en su caso, aquellos otros que sean de uso generalizado por los ciudadanos.

Para después pasar a establecer como estas han de identificarse

Artículo 17. Identificación de las sedes electrónicas.

Las sedes electrónicas utilizarán, para identificarse y garantizar una comunicación segura con las mismas, sistemas de firma electrónica basados en certificados de dispositivo seguro o medio equivalente.

De estos dos artículos, podemos deducir que no existe sede electrónica no identificada por un certificado. Además, parecería implicar que las claves criptográficas asociadas a los certificados de las sedes electrónicas han de estar protegidas dentro de un dispositivo seguro de creación de firma (DSCF). Para encontrar una definición de este elemento, acudimos a la Directiva 1999/93 que establece un marco comunitario para la firma electrónica. Esta Directiva establece para estos elementos que pueden ser elementos hardware o software que cumplan los siguientes requisitos

ANEXO III
Requisitos de los dispositivos seguros de creación de firma electrónica
1. Los dispositivos seguros de creación de firma garantizarán como mínimo, por medios técnicos y de procedimiento adecuados, que:
a) los datos utilizados para la generación de firma sólo pueden producirse una vez en la  práctica y se garantiza razonablemente su secreto;
b) existe la seguridad razonable de que los datos utilizados para la generación de firma no pueden ser hallados por deducción y la firma está protegida contra la falsificación mediante la tecnología existente en la actualidad;
c) los datos utilizados para la generación de firma pueden ser protegidos de forma fiable por el firmante legítimo contra su utilización por otros.
2. Los dispositivos seguros de creación de firma no alterarán los datos que deben  firmarse ni impedirán que dichos datos se muestren al firmante antes del proceso de firma.

Generalmente, se ha considerado que en un elemento puramente software es difícil dar cumplimiento a estas condiciones, por que los DSCF han sido considerados única y exclusivamente, de carácter hardware. En el caso de servidores de información, los DSCF de los que hacen uso se denominan Hardware Security Module (HSM). Consecuentemente, se derivaría de la LAECSP que tan sólo un HSM parecería estar llamado a ser los elementos dónde se alberguen las claves criptográficas asociadas a los certificados de las sedes electrónicas.

Sin embargo, es otra la interpretación hacía dónde parece encaminarse el borrador del reglamento que desarrolla el “Esquema de Identificación y Firma Electrónica”, cuyos trabajos pueden seguirse a través del Centro de Transferencia de Tecnologías de la Administración General del Estado. De un lado, y al igual que para los restantes certificados que las AAPP pueden usar para identificarse, establece que los certificados de sedes electrónicas pueden ser de dos tipos, con y sin equivalencia con firma reconocida. Ello, de acuerdo a la legislación de firma electrónica, abre la vía a que existan certificados de sede electrónica sobre DSCF y sobre un dispositivo no segruro de creación de firma, en aparente contradicción con la LAECSP. Es decir, puede haber certificados de sede electrónica soportados y no soportados sobre HSM.

El valor y uso de dichos certificados, no es sin embargo el mismo. Los certificados basados en HSM podrán ser usados para cualquier servicio digital implantado en una sede electrónica. Los restantes certificados, sólo podrán ser usados en aquellos casos que una infracción de seguridad sólo tenga como consecuencia pérdidas economicas o de imagen no significativas.

Read Full Post »