Validación de certificados digitales

El incremento del uso de la firma electrónica en las relaciones de los ciudadanos y empresas entre sí y de ambos grupos con las Administraciones Públicas, sólo es posible que se realice si existen mecanismos de verificación de la validez de las credenciales que garantizan su validez: Los certificados digitales. Dichos mecanismos tienen dos vertientes: La existencia de un marco legal que obligue a los Prestadores de Servicios de Certificación (PSCs) a facilitar los medios que hagan posible esta validación y la disponibilidad de las herramientas tecnológicas para ello. En este texto haremos una revisión de ambos aspectos, para acabar con un reflejo de la práctica real en España.

Marco legal en España de la validación de certificados

Comenzando por la vertiente legal, nuestra legislación obliga a que los PSCs ofrezcan tal servicio. Podemos encontrar dos referencias claras de ello, una en la Ley de Firma Electrónica (Ley 59/2003, LFE) y otra en la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (Ley 11/2007, LAESCP). En la primera de las leyes que regula el régimen de los PSCs emisores de certificados de personas físicas y jurídicas, mantener un servicio de consulta sobre la vigencia de los certificados figura entre las obligaciones que han de cumplir.

Artículo 18. Obligaciones de los prestadores de servicios de certificación que expidan certificados electrónicos.

d) Garantizar la disponibilidad de un servicio de consulta sobre la vigencia de los certificados rápido y seguro.

Dado que no se fija condición adicional alguna a este servicio de consulta, y cómo se verá más adelante, cada PSC ha hecho una intepretación particular de esta obligación, adaptándolo a su modelo de negocio.

En la segunda de las leyes, se caracteriza algo más dicho servicio, si bien sólo en lo referente a las condiciones que ha de cumplir de cara a las AAPP, indicando de modo explícito que los PSCs han de ofrecer de modo gratuito toda la información que precisen. Se entiende, que la información sobre la vigencia de los certificados es parte de esta información.

Artículo 21. Interoperabilidad de la identificación y autenticación por medio de certificados electrónicos.

1. Los certificados electrónicos reconocidos emitidos por prestadores de servicios de certificación serán admitidos por las Administraciones Públicas como válidos para relacionarse con las mismas, siempre y cuando el prestador de servicios de certificación ponga a disposición de las Administraciones Públicas la información que sea precisa en condiciones que resulten tecnológicamente viables y sin que suponga coste alguno para aquellas.

Dentro de la misma ley, si bien no se indica de modo expreso para certificados de sedes electrónicas y de empleados públicos, si se obliga a que las AAPP ofrezcan medios para verificación de sus sellos electrónicos

Artículo 18. Sistemas de firma electrónica para la actuación administrativa automatizada.

3. La relación de sellos electrónicos utilizados por cada Administración Pública, incluyendo las características de los certificados electrónicos y los prestadores que los expiden, deberá ser pública y accesible por medios electrónicos. Además, cada Administración Pública adoptará las medidas adecuadas para facilitar la verificación de sus sellos electrónicos.

Dado que dichos sellos, al igual que el resto de lo certificados que usan las AAPP, los emiten PSCs en condiciones de libre mercado, ello implica una obligación sobre los PSCs de mantener un servicio de consulta para los certificados utilizados por las AAPP. Resaltar una vez más que, sin embargo, no se fija condición sobre la gratuidad del servicio.

En conclusión, los PSCs han de disponer de un servicio de consulta de vigecia de los certificados que emiten, aunque la gratuidad de estos servicios sólo está garantizada a las AAPP.

Algún aspecto tecnológico sobre la validación de certificados

El estándar en que se basa el formato de los certificados digitales, X509v3, prevé dos modos de comprobar la validez de los mismos. Históricamente, el primer método que fue utilizado fue la consulta de listas de certificados revocados (CRL, Certificate Revocation List). Básicamente, consistía en la emisión por parte del PSC de la lista de los números de serie de los certificados que había revocado de oficio o parte junto con la causa de la revocación. Este método planteaba dos inconvenientes

• Necesidad de actualización de la listas con periodicidad baja para que sea un método efectivo
• Ineficiencias derivadas de su crecimiento excesivo

Ello llevó a buscar un método más óptimo, la consulta de estado de certificados en línea (OCSP, Online Certificate Status Protocol). Basado en la RFC 2560, permite la consulta individual del estado de un certificado en tiempo real con un protocolo sobre HTTP.

La disponibilidad de uno u otro método de consulta por parte de un PSC,  puede deducirse de cada uno de los certificados que ha emitido. El formato de certificado X509v3 contempla la existencia de dos campos no críticos que prorcionan información al respecto

• Punto de distribución de las CRLs, que informa de dónde obtener la lista de certificados revocados
• Acceso a información de la Autoridad,  que informa de dónde se encuentra el sevidor OCSP para consultar el estado del certificado

El uso de dichos campos por las aplicaciones permiten comprobar de modo automático la validez de unas credenciales digitales. Aplicaciones como Firefox o Acrobat permiten la configuración del uso de estos campos.

Servicios de validación de certificados de los PSCs españoles

Debido a que la LFE no impone la universalidad de los servicios de consulta de estado de los certificados ni unos mínimos referidos a su tiempo de respuesta o su ajuste a la situación real del estado de los certificados, los servicios de validación que ofrecen los PSCs no son uniformes. Dos ejemplos en los que se puede apreciar esta diferencia son la FNMT y Camerfirma. El primero de ellos, ofrece servicios de consulta via OCSP de pago, para cuyo es necesario además disponer de un certificado especial denominado de servicios avanzados. Por su lado, Camerfirma, ofrece un servicio OCSP de carácter gratuito para la validación de los certificados que emite, y la alternativa también gratuita de descargar la CRL vigente, figurando los puntos de acceso a ambos servicios en los certificados que emite este PSC.

Los distintos modelos utilizados por ambos PSCs tienen su base en el modelo de negocio que eligieron inicialmente para su desarrollo. Mientras la FNMT facilita los certificados de persona física de modo gratuito y cobra por la validación, Camerfirma eligió la opción opuesta.

Read Full Post »

Confianza de la confianza en las infraestructuras de clave pública

Las Autoridades de Certificación son también denominadas como tercera parte de confianza. Sin embargo, en general, dicha confianza no es nacida de si mismas, sino basadas en un marco legal, como puede ser la Directiva Európea de Firma Electrónica (Directiva 1999/93 ) o la Ley de Firma Electrónica Española (LFE, Ley 59/2003). Ello implica que la validación de una firma electrónica debería conllevar tres pasos:

1. Validar que la firma esta realizada por quien posee la clave privada asociada al certificado presentado que lleva la clave pública
2. Validar que el certificado no está revocado acudiendo a la Autoridad de Certificación que lo emitió
3. Validar que la Autoridad de Certificación es realmente una tercera parte de confianza

A diferencia de los tres primeros, el último de los pasos no es un paso que haya sido automatizado de modo generalizado. Aunque existen países en los que de un modo u otro la autoridad reguladora da esta opción, no existe una implementación homogénea de los mecanismos para ello: Certificados raices de las Autoridades de Certificación firmados, listas blancas o negras de Autoridades de Certificación, … Son algunos de los mecanismos en uso.

Esta situación, paradójicamente, no sucede por que no exista una estándar para ello. Existen al menos dos documentos ETSI que recogen una propuesta en esta línea

• ETSI TR 102 030 (2002-03) Provision of harmonized Trust Service Provider status information (Technical Report)
  
• ETSI TS 102 231 (2003-10) Provision of harmonized Trust Service Provider status information (Technical Specification)

En ella las autoridades reguladoras de acuerdo a un formato concreto emiten las denominadas Trusted Services Status Lists (TSL). Estas listas recogen aquellos proveedores de servicios de confianza (no solo Autoridades de Certificación) que han pasado los requisitos para iniciar su actividad y siguen cumpliéndolos en el momento de emisión de la lista. Apoyándose en este estándar, se propone construir el modelo de confianza entre la AGE y las CCAA en el«Esquema de identificación y firma electrónica de las AAPP» confeccionado por la AGE, ligándolo a una infraestructura de confianza global dentro de la UE basada en el mismo modelo. Básicamente, las autoridades reguladoras de que ámbito de competencia serían interrogadas por las restantes para conocer si una Autoridad de Certificación sigue o no siendo válida.

Queda por ver si este modelo jerárquico de confianza, cuyos primeros trabajos datan del 2002, consigue o no por fin arrancar.

Read Full Post »