Identificación en servicios públicos y Redes Sociales

La identificación en el uso de un servicio electrónico ha sido, quizás, uno de los aspectos a los que más vueltas se ha dado desde que Internet es Internet. El Santo Grial de un sistema de identificación única para todos los servicios usados por una persona en la Red, sean cuáles sean los servicios y sea quién sea la persona, ha parecido siempre un objetivo escurridizo y técnicamente complejo. Si además hablamos de identificación ante los servicios públicos electrónicos, con la ley como garantía hemos topado.

En el caso de nuestro país, la legalidad viene marcada por la Ley de Acceso de los Ciudadanos a los Servicios Públicos (LAECSP, Ley 11/2007). Los medios de los que un ciudadano puede hacer uso para identificarse ante las AAPP vienen resumidos en el artículo 13.2 de la norma aludida:

Los ciudadanos podrán utilizar los siguientes sistemas de firma electrónica para relacionarse con las Administraciones Públicas, de acuerdo con lo que cada Administración determine:

a) En todo caso, los sistemas de firma electrónica incorporados al Documento Nacional de Identidad, para personas físicas.

b) Sistemas de firma electrónica avanzada, incluyendo los basados en certificado electrónico reconocido, admitidos por las Administraciones Públicas.

c) Otros sistemas de firma electrónica, como la utilización de claves concertadas en un registro previo como usuario, la aportación de información conocida por ambas partes u otros sistemas no criptográficos, en los términos y condiciones que en cada caso se determinen.

Aunque el apartado c) es lo suficientemente ambiguo como para dar cabida a soluciones alternativas diversas, y a falta del desarrollo reglamentario, no parece pensada para dar cabida a sistemas de identificación gestionados por terceros. Y sin embargo, esa puede ser la necesidad en el futuro, ya que pueden proporcionar un método de firma electrónica no avanzada ni reconocida de extrema sencillez de uso.

Aunque ha habido diversos sistemas que han buscado la identificación universal, Liberty Alliance o Passport son quizás los últimos que han alcanzado popularidad, parece que la solución va a venir de la mano de los ecosistemas construidos entorno a las redes sociales generalistas. Facebook Connect es quizás la que mayor auge está alcanzando en los últimos tiempos.

¿Existirá relación entre los sistemas de identificación de las redes sociales y los utilizados en los servicios públicos electrónicos? Si el fenómeno de las redes sociales generalistas termina por consolidarse, parece algo inevitable. La demanda de este sistema de identificación, común con los otros usos de la red y a la vez de fácil uso, por parte de los ciudadanos puede llegar a ser clamor.

La intermediación electrónica en los servicios lleva camino no sólo de alcanzar a la interfaz, sino también a los sistemas de identificación tan próxima a la anterior en la cadena de provisión. La interoperabilidad entre datos e interfaz tiene un nuevo elemento de complejidad.

Obviamente, en algo tan delicado como la identidad, no sólo la interoperabilidad técnica es importante. También lo es establecer un marco legal adecuado. De acuerdo a la norma legal citada, cómo es concertado ese uso de claves ya dadas antes la proveedor de la red social y en que términos y condiciones un proveedor de identidad no basado en certificados puede establecerse. La garantía de protección de datos personales, es sólo la punta del iceberg.

Existen otras derivadas filosóficas que quizás sería necesario analizar, pero entraríamos en veredas sin final. Hoy, por ejemplo, una compañera me comentaba el síndrome de Gran Hermano que está empezando a sentir respecto a Facebook. Puede tener su razón en sentir estos miedos, pero a veces creo que, los no nativos digitales, tenemos demasiadas precauciones que no tenemos en otros campos al relacionarnos con los electrónico. Como dijo Enrique Dans recientemente al tratar otro mito alrededor de las redes sociales, creemos en demasiados cuentos de viejas.

Read Full Post »

La Europa de los e-ciudamistradores

Es quizás hora que las AAPP vayamos trasladando a nuestro entorno el término prosumidor,  utilizado aunque no originado en contra de lo que se cree en el libro Wikinomics. Es quizás hora que hagamos posible el e-ciudamistrador, el ciudadano que consume y participa en la creación de sus propios servicios públicos por medios electrónicos. Ni que decir tiene que es un concepto plenamente extensible tanto al mundo de los servicios  electrónicos como físicos, aunque siempre con algún componente electrónico. El mundo de los servicios virtuales es lo que permitirá una participación más eficiente y efectiva de los ciudadanos en el diseño de servicios. Se necesita por tanto la garantía de que el ciudadano se relacione electrónicamente con la Administración de modo pasivo y activo.

El término, aunque sin bautizar, lo he utilizado anteriormente al hablar de la necesidad de la colaboración en estos tiempos de crisis o de la apertura de interfaces informacionales de las AAPP para la construcción de servicios públicos, pero falta lo fundamental: Una carta de derechos de los ciudamistradores.  También algo hemos hablado de ello, al mencionar los incipientes marco legislativos de CCAA que han surgido o están empezando a surgir. Y estamos otra vez en las de siempre, en la desigualdad de derechos ciudadanos según la región o nación de origen.

La LAECSP (Ley 11/2007) garantiza la relación pasiva del ciudamistrador español. Incluso existe el proyecto de desarrollo de un Plan de Transparencia y Participación Electrónica en el Plan de Actuación de la LAECSP (Ley 11/2007), que es de esperar incluya entre sus acciones algún tipo de desarrollo legislativo de carácter nacional que granticen la vertiente activa del ciudamistrador en nuestro país. Pero no es suficiente. El marco de relaciones transnacionales en que nos movemos en Europa, reconocido  de hecho para el mundo de los servicios electrónicos por iniciativas como la Directiva de Servicios, ha de llevarse al campo de los derechos ciudadanos. Es necesaria la creación de una carta de derechos de los e-ciudamistradores de la UE.

Por empezar por algún sitio, podriamos comenzar por llevar al entorno comunitario los derechos reconocidos por la LAECSP (Ley 11/2007) para nuestro entorno nacional (Artículo 6). Su reconocimiento a nivel europeo habría de ser un objetivo al medio plazo, impulsado por acciones en el área  la de interoperabilidad o el reconocimiento del derecho del ciudadano europeo a una identidad digital.

Un marco europeo de eParticipación, con la especificación de unos instrumentos básicos para la misma y unas reglas de despliegue y uso de las ellos común, habría de ser incluida en esta carta de derechos. La eInclusión como garantía de la eParticipación de todos los sectores sociales, habría de ser fomentada dentro de la carta de derechos, mediante la incorporación de medidas activas que creen las condiciones de igualdad, incluyendo la discriminación positiva hacia los marginados digitales.

Y, finalmente, ventanillas únicas de servicios públicos electrónicos contruidos entorno a eventos vitales del ciudadano. El e-ciudamistrador no sólo ha de dejar de acarrear papeles de una ventanilla a otra, también ha de comenzar a tener una visión del Gobierno Electrónico ajustado a sus necesidades, y no tener que hacer uso de Google para buscar quién le da cada parte del servicio global que necesita. Pensemos por ejemplo en el número de sedes electrónicas, nacionales y de otros países miembros de la UE, que ha de recorrer aquel que quiere trabajar o estudiar en el extranjero.

La Europa de los ciudadanos sólo puede ser la Europa de e-ciudamistradores con igualdad plena de derechos. La carta de derechos de los e-ciudamistradores ha de estar presente en la estrategia de la UE posterior al año 2010. Seguro que a todos se nos ocurre algún derecho a incluir en esta carta.

Read Full Post »

Validación de certificados digitales

El incremento del uso de la firma electrónica en las relaciones de los ciudadanos y empresas entre sí y de ambos grupos con las Administraciones Públicas, sólo es posible que se realice si existen mecanismos de verificación de la validez de las credenciales que garantizan su validez: Los certificados digitales. Dichos mecanismos tienen dos vertientes: La existencia de un marco legal que obligue a los Prestadores de Servicios de Certificación (PSCs) a facilitar los medios que hagan posible esta validación y la disponibilidad de las herramientas tecnológicas para ello. En este texto haremos una revisión de ambos aspectos, para acabar con un reflejo de la práctica real en España.

Marco legal en España de la validación de certificados

Comenzando por la vertiente legal, nuestra legislación obliga a que los PSCs ofrezcan tal servicio. Podemos encontrar dos referencias claras de ello, una en la Ley de Firma Electrónica (Ley 59/2003, LFE) y otra en la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (Ley 11/2007, LAESCP). En la primera de las leyes que regula el régimen de los PSCs emisores de certificados de personas físicas y jurídicas, mantener un servicio de consulta sobre la vigencia de los certificados figura entre las obligaciones que han de cumplir.

Artículo 18. Obligaciones de los prestadores de servicios de certificación que expidan certificados electrónicos.

d) Garantizar la disponibilidad de un servicio de consulta sobre la vigencia de los certificados rápido y seguro.

Dado que no se fija condición adicional alguna a este servicio de consulta, y cómo se verá más adelante, cada PSC ha hecho una intepretación particular de esta obligación, adaptándolo a su modelo de negocio.

En la segunda de las leyes, se caracteriza algo más dicho servicio, si bien sólo en lo referente a las condiciones que ha de cumplir de cara a las AAPP, indicando de modo explícito que los PSCs han de ofrecer de modo gratuito toda la información que precisen. Se entiende, que la información sobre la vigencia de los certificados es parte de esta información.

Artículo 21. Interoperabilidad de la identificación y autenticación por medio de certificados electrónicos.

1. Los certificados electrónicos reconocidos emitidos por prestadores de servicios de certificación serán admitidos por las Administraciones Públicas como válidos para relacionarse con las mismas, siempre y cuando el prestador de servicios de certificación ponga a disposición de las Administraciones Públicas la información que sea precisa en condiciones que resulten tecnológicamente viables y sin que suponga coste alguno para aquellas.

Dentro de la misma ley, si bien no se indica de modo expreso para certificados de sedes electrónicas y de empleados públicos, si se obliga a que las AAPP ofrezcan medios para verificación de sus sellos electrónicos

Artículo 18. Sistemas de firma electrónica para la actuación administrativa automatizada.

3. La relación de sellos electrónicos utilizados por cada Administración Pública, incluyendo las características de los certificados electrónicos y los prestadores que los expiden, deberá ser pública y accesible por medios electrónicos. Además, cada Administración Pública adoptará las medidas adecuadas para facilitar la verificación de sus sellos electrónicos.

Dado que dichos sellos, al igual que el resto de lo certificados que usan las AAPP, los emiten PSCs en condiciones de libre mercado, ello implica una obligación sobre los PSCs de mantener un servicio de consulta para los certificados utilizados por las AAPP. Resaltar una vez más que, sin embargo, no se fija condición sobre la gratuidad del servicio.

En conclusión, los PSCs han de disponer de un servicio de consulta de vigecia de los certificados que emiten, aunque la gratuidad de estos servicios sólo está garantizada a las AAPP.

Algún aspecto tecnológico sobre la validación de certificados

El estándar en que se basa el formato de los certificados digitales, X509v3, prevé dos modos de comprobar la validez de los mismos. Históricamente, el primer método que fue utilizado fue la consulta de listas de certificados revocados (CRL, Certificate Revocation List). Básicamente, consistía en la emisión por parte del PSC de la lista de los números de serie de los certificados que había revocado de oficio o parte junto con la causa de la revocación. Este método planteaba dos inconvenientes

• Necesidad de actualización de la listas con periodicidad baja para que sea un método efectivo
• Ineficiencias derivadas de su crecimiento excesivo

Ello llevó a buscar un método más óptimo, la consulta de estado de certificados en línea (OCSP, Online Certificate Status Protocol). Basado en la RFC 2560, permite la consulta individual del estado de un certificado en tiempo real con un protocolo sobre HTTP.

La disponibilidad de uno u otro método de consulta por parte de un PSC,  puede deducirse de cada uno de los certificados que ha emitido. El formato de certificado X509v3 contempla la existencia de dos campos no críticos que prorcionan información al respecto

• Punto de distribución de las CRLs, que informa de dónde obtener la lista de certificados revocados
• Acceso a información de la Autoridad,  que informa de dónde se encuentra el sevidor OCSP para consultar el estado del certificado

El uso de dichos campos por las aplicaciones permiten comprobar de modo automático la validez de unas credenciales digitales. Aplicaciones como Firefox o Acrobat permiten la configuración del uso de estos campos.

Servicios de validación de certificados de los PSCs españoles

Debido a que la LFE no impone la universalidad de los servicios de consulta de estado de los certificados ni unos mínimos referidos a su tiempo de respuesta o su ajuste a la situación real del estado de los certificados, los servicios de validación que ofrecen los PSCs no son uniformes. Dos ejemplos en los que se puede apreciar esta diferencia son la FNMT y Camerfirma. El primero de ellos, ofrece servicios de consulta via OCSP de pago, para cuyo es necesario además disponer de un certificado especial denominado de servicios avanzados. Por su lado, Camerfirma, ofrece un servicio OCSP de carácter gratuito para la validación de los certificados que emite, y la alternativa también gratuita de descargar la CRL vigente, figurando los puntos de acceso a ambos servicios en los certificados que emite este PSC.

Los distintos modelos utilizados por ambos PSCs tienen su base en el modelo de negocio que eligieron inicialmente para su desarrollo. Mientras la FNMT facilita los certificados de persona física de modo gratuito y cobra por la validación, Camerfirma eligió la opción opuesta.

Read Full Post »

Confianza de la confianza en las infraestructuras de clave pública

Las Autoridades de Certificación son también denominadas como tercera parte de confianza. Sin embargo, en general, dicha confianza no es nacida de si mismas, sino basadas en un marco legal, como puede ser la Directiva Európea de Firma Electrónica (Directiva 1999/93 ) o la Ley de Firma Electrónica Española (LFE, Ley 59/2003). Ello implica que la validación de una firma electrónica debería conllevar tres pasos:

1. Validar que la firma esta realizada por quien posee la clave privada asociada al certificado presentado que lleva la clave pública
2. Validar que el certificado no está revocado acudiendo a la Autoridad de Certificación que lo emitió
3. Validar que la Autoridad de Certificación es realmente una tercera parte de confianza

A diferencia de los tres primeros, el último de los pasos no es un paso que haya sido automatizado de modo generalizado. Aunque existen países en los que de un modo u otro la autoridad reguladora da esta opción, no existe una implementación homogénea de los mecanismos para ello: Certificados raices de las Autoridades de Certificación firmados, listas blancas o negras de Autoridades de Certificación, … Son algunos de los mecanismos en uso.

Esta situación, paradójicamente, no sucede por que no exista una estándar para ello. Existen al menos dos documentos ETSI que recogen una propuesta en esta línea

• ETSI TR 102 030 (2002-03) Provision of harmonized Trust Service Provider status information (Technical Report)
  
• ETSI TS 102 231 (2003-10) Provision of harmonized Trust Service Provider status information (Technical Specification)

En ella las autoridades reguladoras de acuerdo a un formato concreto emiten las denominadas Trusted Services Status Lists (TSL). Estas listas recogen aquellos proveedores de servicios de confianza (no solo Autoridades de Certificación) que han pasado los requisitos para iniciar su actividad y siguen cumpliéndolos en el momento de emisión de la lista. Apoyándose en este estándar, se propone construir el modelo de confianza entre la AGE y las CCAA en el«Esquema de identificación y firma electrónica de las AAPP» confeccionado por la AGE, ligándolo a una infraestructura de confianza global dentro de la UE basada en el mismo modelo. Básicamente, las autoridades reguladoras de que ámbito de competencia serían interrogadas por las restantes para conocer si una Autoridad de Certificación sigue o no siendo válida.

Queda por ver si este modelo jerárquico de confianza, cuyos primeros trabajos datan del 2002, consigue o no por fin arrancar.

Read Full Post »