viernes, 1 de mayo de 2009

ISO 15408 y el DNI-e, PP para el desarrollo de aplicaciones (Parte II)

El ultimo post quedó a medias y ahora que ya hemos tratado sobre ISO 15408 voy a explicar por qué es tan relevante la publicación de los perfiles de protección para el desarrollo de aplicaciones que utilicen del DNI-e.

¿En qué es diferente firmar un documento en papel a firmarlo en soporte electrónico?
Esta sencilla pregunta tiene respuestas que deben atender a dos vertientes, una jurídica y otra técnica.

Desde el punto de vista jurídico, la firma electrónica reconocida tiene equivalencia a la firma electrónica manuscrita. Por tanto, el acto de firmar ya sea con boligrafo o con DNI-e serían equivalentes. Quiero recordar que la definición en la Ley 59/2004 de firma electrónica reconocida establece que
"Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma."

En la misma legislación, se define dispositivo seguro de creación de firma al dispositivo que reune las siguientes garantías:
  • Que los datos utilizados para la generación de firma pueden producirse sólo una vez y asegura razonablemente su secreto.

  • Que existe una seguridad razonable de que los datos utilizados para la generación de firma no pueden ser derivados de los de verificación de firma o de la propia firma y de que la firma está protegida contra la falsificación con la tecnología existente en cada momento.

  • Que los datos de creación de firma pueden ser protegidos de forma fiable por el firmante contra su utilización por terceros.

  • Que el dispositivo utilizado no altera los datos o el documento que deba firmarse ni impide que éste se muestre al firmante antes del proceso de firma.

Además, es necesario que este tipo de dispositivos estén certificados. La certificación de dispositivos seguros de creación de firma electrónica es el procedimiento por el que se comprueba que un dispositivo cumple los requisitos establecidos en esta Ley para su consideración como dispositivo seguro de creación de firma. La certificación podrá ser solicitada por los fabricantes o importadores de dispositivos de creación de firma y se llevará a cabo por las entidades de certificación reconocidas por una entidad de acreditación designada de acuerdo con lo dispuesto en la Ley 21/1992, de 16 de julio, de Industria y en sus disposiciones de desarrollo.

Ya comenté en su momento que había sido aprobado el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información. Para garantizar todos estos requisitos, nuestro famoso DNI-e ya ha pasado por este trámite y pueden ser consultados los documentos públicos que este proceso genera, el Security Target (ST) que es lo que se tiene que probar al evaluar el producto y el resultado de la certificación que se puede leer en este enlace. Toda la información respecto a productos certificados bajo la norma ISO 15408 es pública y consultable de forma sencilla a través del portal CommonCriteria.org

Desde el punto de vista técnico, la cosa tiene más miga y para hablar de seguridad en el proceso de firma electrónica es necesario que todas las piezas que participan en la operación de firma lo sean. A priori, se identifican las siguintes partes:
  • El boligrafo = El DNI-e

  • El documento = El fichero electrónico

  • El firmante = La persona que conoce el pin de acceso a la clave privada almacenada en el DNI-e.

Pero en este proceso hay un punto conflictivo que hasta la fecha no está resuelto. ¿Qué ocurre si la aplicación informatica que tiene que presentarle al firmante el documento modifica el contenido visualizado antes de proceder a la firma digital con el DNI-e? Al firmante se le solicitará que introduca el PIN y el sistema operativo accederá a la clave privada del firmante pero el contenido firmado podría ser diferente del visualizado por el firmante. En el mundo físico sería similar a darnos el cambiazo entre el documento que leemos y el documento que firmamos. Hace un año y medio en una charla técnica, el otro ponente hizo una sencilla demostración. Utilizó un formulario Web donde se presentaba un documento electrónico con una factura de compra de diferentes artículos. El total de la compra eran 10€. Pulsó el botón de firmar electrónicamente, se le solicitó el pin y firmó la factura. Para sorpresa de los asistentes, la cuantía de la factura había aumentado a 1000€ y ese documento con la correspondiente validez legal que permite reclamarle al firmante dicha cantidad. Es por ello que cada vez se evoluciona hacia formatos de ficheros a firmar que garanticen que el contenido que el usuario lee en pantalla es el mismo al que se le estampa la firma digital. En cualquier caso, dada la importancia que tiene y va a tener el uso del DNI-e, es necesario que esta vez seamos exigentes y rigurosos con la tecnología para que las cosas funcionen como aparentan pero además, sea un hecho demostrado de forma independiente.


En cualquier caso, "la seguridad es tan fuerte como el más débil de sus eslabones" y en esta problemática la aplicación informática que gestiona el documento electrónico es el eslabón que falta por asegurar para garantizar la fiabilidad técnica del proceso.

Este aspecto es el que se quiere solucionar con la certificación de las aplicaciones que hagan uso del DNI-e. Por ello, el INTECO se ha esforzado en establecer el Perfil de protección (PP), que sería como un catálogo de requisitos que cualquier producto software debe garantizar para que luego el fabricante pueda crear el documento Security Target (ST) particular que permita pasar a la aplicación por el proceso de certificación de producto que establece ISO 15408. Es tal la importancia de dichos perfiles han sido publicados en el Boletín Oficial del Estado (BOE) del 14 de abril.

Por otra parte, para garantizar la protección del usuario en la utilización del DNIe, en el grupo de expertos para la elaboración de estos perfiles de protección han estado representados la Dirección General de la Policía, la Agencia Española de Protección de Datos, el Centro Criptológico Nacional y la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, así como las principales asociaciones de la industria española, como ASIMELEC, tal como comenta Julián Inza en su blog.

De esta manera, todas las piezas técnicas que participan en el proceso de firma digital sean técnicamente fiables y tendrán el respaldo jurídico que la Ley 59/2003, de 19 de diciembre, de firma electrónica establece.

3 comentarios:

Anónimo dijo...

Esto Javi, me recuerda a una larga conversación que tuvimos hace tiempo ... no sólo sobre el hecho del uso del dispositivo cuando la tarjeta está metida sino de la representación de la información que se va a firmar digitalmente.

Un saludo.

Javier García.

HectorMontenegro dijo...

Fantástico post. Has conseguido explicar de forma sencilla temas que generan cierta confusión en la gente no metida en este mundillo.

A mi me queda la duda de saber que acciones concretas emprenderá la Administración para promover el uso REAL del DNI. Ese será el número importante, y no tanto el de DNI expedidos (condición necesaria, pero no suficiente).
Creo que el eterno balance entre seguridad y funcionalidad, es más crítico que nunca. Un proyecto como este requiere balancearlo adecuadamente y no encontrarnos con que tengamos el eID mas seguro del mundo, pero que nadie usa.

Javier Cao Avellaneda dijo...

Creo que la Administración se debe mojar mucho más en este asunto. Parece que los políticos sólo miran aquellas estadísticas que les favorecen e ignoran aquellas que su mejora requiere sudor y esfuerzo.
El DNI-e genera por un lado una increíble mejora en cuanto a la robustez del mecanismo de autenticación pero una gran vulnerabilidad si el eslabón más debil del proceso de firma (el ciudadano) no es correctamente informado y entrenado. El DNI-e y las aplicaciones harán bien su trabajo pero "los malos" intentarán engañar al usuario para que firmen cosas de las que no son conscientes. Ya ocurre en el mundo físico y esta tendencia se trasladará al mundo virtual.
Internet no suele generar nuevos riesgos, sólo magnifica los efectos de los ya existentes. Y lo que más me duele es que nuestra clase política se esfuerce en las formas sin entender ni atender al contenido.Mirar el corto plazo en vez el medio y largo que son realmente los que generan resultados estructurales.
Sólo hay que ver cómo les preocupa el uso de la tecnología: estadísticas como el número de altas de ADSL o PC por casa son datos significativos pero no los mejores indicadores para valorar si España avanza de verdad hacia la sociedad del conocimiento. Para muestra, la perla del Ministro de Exteriores que publica hoy El País. Tener los medios adecuados no significa disfrutar de las supuestas mejoras que éstos deben producir. Nuestro trabajo como tecnólogos es exigir la rentabilidad tangible e intangible que producen las nuevas tecnologías o de lo contrario nuestro país pagará en el futuro una factura muy cara.
Un saludo y gracias por tan honorable visita, Hector.

 
;