viernes, 2 de julio de 2010

Reflexiones sobre certificado y firma electrónica reconocida

Comienzan en muchas Administraciones Públicas los procesos de transición hacia la Administración electrónica y creo importante aclarar la sustancial diferencia entre "certificado electrónico" y "firma electrónica reconocida". Son conceptos relacionados y similares que se suelen confundir.

    Las definiciones de certificado y firma electrónica


Como en toda la legislación de ámbito tecnológico, lo importante son siempre las definiciones establecidas por la propia regulación. La Ley 59/2003 de Firma electrónica establece las siguientes definiciones para estos conceptos:

Artículo 6. Concepto de certificado electrónico y de firmante.
1. Un certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad.
2. El firmante es la persona que posee un dispositivo de creación de firma y que actúa en nombre propio o en nombre de una persona física o jurídica a la que representa.

Artículo 11. Concepto y contenido de los certificados reconocidos.
1. Son certificados reconocidos los certificados electrónicos expedidos por un prestador de servicios de certificación que cumpla los requisitos establecidos en esta Ley en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten.
2. Los certificados reconocidos incluirán, al menos, los siguientes datos:
  • La indicación de que se expiden como tales.

  • El código identificativo único del certificado.

  • La identificación del prestador de servicios de certificación que expide el certificado y su domicilio.

  • La firma electrónica avanzada del prestador de servicios de certificación que expide el certificado.

  • La identificación del firmante, en el supuesto de personas físicas, por su nombre y apellidos y su número de documento nacional de identidad o a través de un seudónimo que conste como tal de manera inequívoca y, en el supuesto de personas jurídicas, por su denominación o razón social y su código de identificación fiscal.

  • Los datos de verificación de firma que correspondan a los datos de creación de firma que se encuentren bajo el control del firmante.

  • El comienzo y el fin del período de validez del certificado.

  • Los límites de uso del certificado, si se establecen.

  • Los límites del valor de las transacciones para las que puede utilizarse el certificado, si se establecen.

Artículo 3. Firma electrónica, y documentos firmados electrónicamente.
1. La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.
2. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.
3. Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.


Por tanto, la firma electrónica reconocida requiere de un certificado electrónico reconocido almacenado en un dispositivo seguro. Lo podríamos representar como firma electrónica reconocida=certificado reconocido+dispositivo seguro.

Respecto a su trascendencia jurídica, la firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel.

Esta sería la categoría que tiene el DNI-E. Está basado en un certificado reconocido cuya entidad raíz es la Dirección General de la Policía y almacenado en un dispositivo seguro de creación de firma.

Para saber si un certificado es reconocido o no, debe aparecer en la lista de prestadores de certificados reconocidos que publica el MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO. La Ley 59/2003 establece los requisitos que debe satisfacer todo prestador de servicios de certificación y debe ser registrado por dicho Ministerio. La lista de los actualmente homologados puede ser consultada en https://www11.mityc.es/prestadores/busquedaPrestadores.jsp

    ¿Qué es un dispositivo seguro de creación de firma?

La categoría de dispositivo seguro viene definida en el Artículo 24. Dispositivos de creación de firma electrónica de la Ley 59/2003.

Artículo 24. Dispositivos de creación de firma electrónica.

3. Un dispositivo seguro de creación de firma es un dispositivo de creación de firma que ofrece, al menos, las siguientes garantías:
  • a. Que los datos utilizados para la generación de firma pueden producirse sólo una vez y asegura razonablemente su secreto.

  • b. Que existe una seguridad razonable de que los datos utilizados para la generación de firma no pueden ser derivados de los de verificación de firma o de la propia firma y de que la firma está protegida contra la falsificación con la tecnología existente en cada momento.

  • c. Que los datos de creación de firma pueden ser protegidos de forma fiable por el firmante contra su utilización por terceros.

  • d. Que el dispositivo utilizado no altera los datos o el documento que deba firmarse ni impide que éste se muestre al firmante antes del proceso de firma.


Para otorgar esta categoría, es necesario que alguien verifique con carácter previo que ese dispositivo cumple unos requisitos y el artículo 27 nos especifica cómo.

Artículo 27. Certificación de dispositivos seguros de creación de firma electrónica.
1. La certificación de dispositivos seguros de creación de firma electrónica es el procedimiento por el que se comprueba que un dispositivo cumple los requisitos establecidos en esta Ley para su consideración como dispositivo seguro de creación de firma.

2. La certificación podrá ser solicitada por los fabricantes o importadores de dispositivos de creación de firma y se llevará a cabo por las entidades de certificación reconocidas por una entidad de acreditación designada de acuerdo con lo dispuesto en la Ley 21/1992, de 16 de julio, de Industria y en sus disposiciones de desarrollo.

3. En los procedimientos de certificación se utilizarán las normas técnicas cuyos números de referencia hayan sido publicados en el Diario Oficial de la Unión Europea y, excepcionalmente, las aprobadas por el Ministerio de Ciencia y Tecnología que se publicarán en la dirección de Internet de este Ministerio.

4. Los certificados de conformidad de los dispositivos seguros de creación de firma serán modificados o, en su caso, revocados cuando se dejen de cumplir las condiciones establecidas para su obtención.


Los organismos de certificación asegurarán la difusión de las decisiones de revocación de certificados de dispositivos de creación de firma.


Yo entiendo que si la certificación "COMPRUEBA", nadie puede presuponer que tiene un dispositivo seguro sin esa verificación "tecnica cualificada" realizada por un independiente o no será considerado, según esta ley, un dispositivo seguro. Por tanto, creo que no hay escapatoria para no tener dispositivo certificado por una Entidad de solvencia técnica.

Además, tomando el DNI-e como ejemplo, en sus prácticas de certificación se establece, cuando se habla de la seguridad del dispositivo de almacenamiento de las claves la referencia a la certificación ISO 15408 conocida como Common Criteria.

"Las claves privadas de las Autoridades de Certificación que componen DNIe se encuentran alojadas en dispositivos criptográfico que cumplen los requisitos establecidos en un perfil de protección de dispositivo seguro de firma electrónica de autoridad de certificación normalizado, de acuerdo con ITSEC, Common Criteria o FIPS 140-1 Nivel 3 o superior nivel de seguridad. "


El 25 de septiembre se publicó en el Boletín Oficial del Estado la ORDEN PRE/2740/2007, por la que se aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.

Dicho Reglamento regula el marco de actuación, y crea los organismos necesarios para poner estos procesos de evaluación y certificación al alcance de la industria y de la Administración; todo ello basado en el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.

El MAP firmó un acuerdo de reconocimiento mutuo de certificados basado en Common Criteria (http://www.csi.map.es/csi/pg3433.htm ) Arreglo sobre el Reconocimiento de los Certificados de Criterios Comunes en el campo de la seguridad de la Tecnología de la Información. En España el Organismo de Certificación es el Centro Criptológico Nacional-Centro Nacional de Inteligencia (CCN-CNI) que otorga certificados a productos según esta norma tal como se indica en la página.
http://www.dnielectronico.es/seccion_integradores/certificaciones.html

También la certificación es consultable en la base de datos de productos certificados con este estándar de seguridad informática en el portal (http://www.commoncriteriaportal.org/ )

Toda la información sobre el proceso de certificación es pública y los informes de certificación también por lo que el proceso goza de la transparencia suficiente como para proporcionar confianza a cualquiera que quiera comprobar esas verificaciones.

Aquí se pueden consultar uno de ellos para el caso del DNi-e en http://www.commoncriteriaportal.org/files/ppfiles/2008-14-INF-329.pdf y en la Web del DNI-e están el resto referenciados.

La cuestión que está sin resolver creo, en los procesos de tramitación telemática es cómo saber si el ciudadano usa firma electrónica avanzada o firma electrónica reconocida. A priori es algo que no se puede saber a distancia si no es porque el certificado electrónico reconocido sólo puede ser almacenado en un dispositivo seguro de creación de firma porque así lo digan las Prácticas de Certificación (PCS).

El detalle que parece pequeño tiene una transcendencia jurídica sustancial desde la perspectiva probatoria dado que una firma electrónica reconocida atribuye al firmante la carga probatoria al equivaler a una firma manuscrita y una firma electrónica avanzada tiene carácter probatorio que deberá acreditar la Administración Pública. ¿Qué opináis vosotros?

15 comentarios:

David Sánchez Jiménez dijo...

Hola. A ver si me he enterado bien

Un certificado electrónico, puede ser por ejemplo una viada laboral descarga de Internet y el firmante en este caso sería laSeguridad Social que confirma la identidad de la persona que accede con su Certificado Digital, ¿voy bien o no?

O bien un certificado electrónico, es un certificado digital de persona física, expedido por un firmante como es la Fábrica Nacional de Moneda y Timbre? ¿O más bien, la FNMT es un prestador de servicios?

Javier Cao Avellaneda dijo...

Buenas, creo que tienes una macedonia de conceptos que voy a tratar de aclarar.

Un certificado electrónico es una información que es firmada digitalmente por una Autoridad de Certificación. Cuando hablamos de certificados digitales de persona física, como por ejemplo los de la FNMT o el DNI-e, la información que va en el certificado es nombre, dni, dirección, nacionalidad, etc... que es firmada digitalmente por la Dirección General de Policía tras hacer las comprobaciones de veracidad pertinentes.

La definición formal de la Ley 59/2003 es que "Un certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad."

Los certificados electrónicos están basados en lo que se denomina criptografía asimétrica. Básicamente consiste en métodos que protegen la información utilizando 2 claves (lo que una clave protege, sólo la otra la desprotege). Este sistema de cifrado asimétrico suele establecer una de las claves como pública, se puede dar a conocer y la otra como privada. Lo que es protegido con la clave pública, solo puede ser desprotegido con la privada. También sirve para autenticar porque algo protegido con la clave privada sólo puede ser desprotegido con la pública (por lo que tenemos la certeza de que el autor sólo puede ser el poseedor de la clave privada).

Creo que confundes el conceptos de certificado digital con los usos que estos proporciona. El certificado electrónico es lo que usamos como método de autenticación. Sería algo similar a enseñar el DNI cuando quieren verificar nuestra identidad en el mundo físico, es un elemento que nos identifica y puede autenticarnos (Según si utilizamos la clave pública o la privada).

El certificado se utiliza tanto para autenticar personas (nos lo piden en ciertos trámites de la Administración electrónica) como para autenticar sitios.

En octubre del año 2008 reverencié unos cursos del Instituto Empresa accesibles y gratuitos sobre temas de seguridad. Se recomiendo que accedas al de firma electrónica porque aclarará tus ideas.
Está disponible en http://seguridad-de-la-informacion.blogspot.com/2008/10/cursos-de-seguridad-del-ie-bajo.html
Un saludo.

Luis dijo...

Hola Javier,

Me parece que das en el clavo con tu entrada. Para mí, como abogado, es sin duda uno de los mayores problemas de la firma electrónica y no solo porque determinada normativa pueda exigir una firma reconocida para la validez de ciertos documentos o trámites (administración electrónica, factura electrónica) sino por el mayor o menor valor probatorio que tendrán los documentos firmados con una u otra firma en sede judicial.

Mientras que la utilización de un certificado electrónico reconocido, puede ser verificado por el destinatario (al menos formalmente puesto que los certificados reconocidos deben emitirse como tales conforme al artículo 11.2.a. de la LFE), la utilización de un DSCF no es algo verificable al no ser algo sobre lo que un PSC esté obligado a informar. Cuando he planteado estas dudas, expertos en cuestiones técnicas de la firma electrónica me han respondido que no es un verdadero problema y que casi todos los certificados incluyen un campo "QC Statament" en el que hacen referencia a si se ha usado un DSCF o no. Según ellos, el receptor de un documento firmado podría saber a través de este campo si la firma electrónica generada es avanzada o reconocida. Desconozco los términos exactos con que se expresa esta información en el certificado, pero opino en todo caso que dicha información es declarativa y que no tiene eficacia alguna en el plano probatorio (tampoco la que aparezca en las DPCs si es que estos son claros respecto al soporte en que se ha emitido un certificado concreto). Mal haría un juez en entender que hay DSCF si se limitase a comprobar que el emisor del certificado así lo hacía constar.

Podría objetarse lo mismo respecto de la información acerca de si se ha emitido como "certificados reconocidos" o no y en parte sería cierto pues si en sede judicial no se probase el cumplimiento de los requisitos con los que se han de emitir los "certificados reconocidos", habría que considerar a estos como no reconocidos con la correspondiente perdida del valor de firma electrónica reconocida que podría tener. Sin embargo, no son supuestos idénticos, porque al menos, en lo relativo a los "certificados reconocidos" existe al menos una obligación legal para el PSC en el comentado artículo 11.2.a así como sanciones para el caso de incumplimiento de las obligaciones correspondientes. Existe además la responsabilidad genérica del PSC señalada en el artículo 21 que compensaría al perjudicado en el caso de que la declaración sobre el certificado no fura correcta.

El problema es que a diferencia de lo que ocurre con los "certificados reconocidos" el PSC no tiene obligación alguna de informar si el dispositivo en el que se contiene la clave privada es un DSCF o no y, por lo tanto, el receptor no tiene garantía alguna de que siempre y en todo caso se haya de indicar esta cuestión. Algunos lo indicarán y otros no, pero no puede comprobarse de manera fácil para todos los certificados al no ser obligatorio informar acerca de si ha sido emitido en un DSCF y si éste está o no certificado por una entidad de acreditación (certificación que es voluntaria en cualquier caso).

Como consecuencia de todo lo anterior la parte receptora de un documento firmado electrónicamente, no puede conocer el valor probatorio que tendrá el mismo en sede judicial y, lo que es peor, no podrá reclamar absolutamente nada al emisor del "certificado" salvo que este así lo haya declarado en sus DPCs o en sus certificados de forma voluntaria.


Saludos

Luis dijo...
Este comentario ha sido eliminado por el autor.
Julian dijo...

Es interesante la duda y las explicaciones que das mostrando tanto las inseguridades razonables que existen en España y que dejan claro hasta qué punto se equivocan en la Administración quienes interesadamente o no tratan de eliminar importancia a la firma avanzada.

Muchos colegios profesionales, incluyendo por ejemplo Abogados y Notarios, son PSC o Autoridades de Certificación, que emiten certificados en DISPOSITIVOS SEGUROS DE FIRMA a sus colegiados.

Tanto la FNMT como Autoridades de certificación de prestigio (ejemplo CAMERFIRMA) emiten certificados en software (por tanto no en dispositivos seguros de firma) siendo plenamente legales y reconocidos.

La Ley de Firma electrónica consagra la validez de los documentos electrónicos firmados tanto con firma avanzada como con firma reconocida, pero quizás por una interesada (y corta de miras) promoción política del DNIe, se está consiguiendo que muchísima gente (incluso abogados) no sepan si pueden utilizar un certificado u otro.

En un pais de los más avanzados en el mundo en cuanto a PKI se refiere, eso tiene un efecto desmovilizador y crea la oportuna confusión paralizante.

En el ámbito privado el DNIe no tiene futuro, desde mi punto de vista, pero sí certificados reconocidos varios, estén o no encapsulados en dispositivos seguros.

Por supuesto que un certificado encapsulado en un dispositivo seguro de firma "es mas seguro" desde la perspectiva UNICA de que no pueden extraerse de él los certificados, pero pueden perfectamente ser robados con su PIN, cuando no prestados por el propietario como ocurre en algunos ayuntamientos por parte de los secretarios (!alucina!).

Se está perdiendo en este pais un tiempo y recursos preciosos cuando en vez de promocionar publicitariamente con fuerza la utilización eficaz de certificados electrónicos de un modo natural, se dedican a instrumentalizar políticamente el uso del DNIe en detrimento de otros certificados, o cuando no se clarifica abiertamente con fuerza que es plenamente legal la firma de un documento con firma avanzada (vease Art 3.9 de la LFE)

Si bien en el ámbito de las administraciones publicas tiene sentido el uso del DNIe, incluso con idea de utilización para el voto electrónico, no lo tiene menos el uso de cualquier otro certificado.
En el ámbito privado, que es el que mas me interesa, la Ley de Firma electrónica creo que hace mal en dejar planteada la ambigúedad sobre firma avanzada y firma reconocida, pero tambien apunta a que no se le puede quitar validez legal a la primera.

Desde mi punto de vista, un avance increíble en España como el producido por esta ley, el proyecto del DNIe, la normativa de factura electrónica, la Ley 11/2007 de Administración electrónica (que demuestra de la posición de privilegio de España en el mundo en este ámbito) queda oscurecida por cuestiones como las que muy acertadamente dejas abiertas en tu artículo.

Por mi parte es evidente que el mundo va por el camino de usar certificados reconocidos, estén encapsulados en un dispositivo seguro de firma o no, y es por ello que debe impulsarse ambos usos so pena de paralizar su extension con nimiedades o intenciones de politización zafias.

Luis dijo...

Hablar de "validez" de firma electrónica no es correcto, pues su validez está fuera de toda duda (conceptualmente aunque los diferentes trámites puedan exigir una determinada firma). Lo propio de la firma es el "valor" probatorio, no la validez. La firma no es válida o inválida (todas son válidas en la medida en que sean auténticas) sino de mayor o menor valor probatorio.

Nos guste o no, la firma electrónica tiene los efectos probatorios reconocidos en la Ley de Firma Electrónica. En ella, se dice en efecto que no se negará "efecto jurídico" a una firma electrónica que no reúna los requisitos de firma electrónica reconocida (...), pero eso no significa que su valor probatorio sea el mismo en uno y otro caso. La mención del art. 3.9 se explica porque en derecho la autenticidad de un documento puede ser probada de múltiples maneras y la firma (manuscrita o electrónica) es solo un medio de prueba de la autoría y/o autenticidad (el más común y sencillo pero hay otros medios). Exigir la firma manuscrita o electrónica reconocida para que el documento sea eficaz, es poner límites a la prueba que puede llegar a las mismas conclusiones por distintos medios. En este sentido, la firma electrónica avanzada puede ser suficiente en sede judicial para que un documento se considere auténtico, pero en caso de impugnación, el documento firmado con firma electrónica avanzada, tiene mayores cargas probatorias que la reconocida para que el documento se considere auténtico(respecto de la cual solo hay que probar la existencia del DSCF y del certificado reconocido).

Luis dijo...

(continua) Por contra, si en sede judicial se impugna un documento firmado con firma electrónica avanzada, "se estará a lo establecido en el apartado 2 del artículo 326 de la Ley de Enjuiciamiento Civil". Este artículo prevé la posibilidad de practicar una pericial "caligráfica" u otro tipo de prueba instrumental. Además, establece los efectos probatorios que tendrá. Así, cuando se firma con electrónica avanzada habrá que practicar una pericial (que no podrá ser caligráfica evidentemente) y que tratará de acreditar la autenticidad de todo el sistema. Una contraparte habilidosa podría echar por tierra la firma electrónica avanzada basándose para ello en la poca seguridad que ofrece un certificado basado en software, donde cualquier usuario del equipo informático podrá firmar haciéndose pasar por el usuario. Habrá que ir por tanto a comprobar la fiabilidad del sistema de autenticación del equipo en cuestión para que el juzgador pueda formarse un juicio sobre el tema. Una impugnación bien fundada, aprovecharía las debilidades de la firma electrónica avanzada y lograría que el documento no pudiera considerarse como auténtico. Al no ser auténtico, queda supeditado a las reglas de la sana critica y a la valoración conjunta de la prueba. Sus diferencias son abismales (en el plano probatorio) con la eficacia que tendrá un documento firmado con firma electrónica reconocida. La diferencia es que en el caso de la avanzada si la pericial no convence de la autenticidad del documento, ese documento ya no hará "plena prueba" por si mismo de lo contenido en el documento. Deberá valorarse de forma conjunta con otras pruebas (testificales etc.). Por contra, un documento auténtico (y el documento firmado por el autor con firma electrónica reconocida tendrá muchas facilidaes de ser reputado como tal pues solo tiene que acreditar que el certificado era reconocido y que se emitió en un DSCF), "hace plena prueba" por si mismo de los hechos o declaraciones contenidos en él, sin necesitar de otra prueba complementaria.

Considerar estas diferencias como poco importantes, supone desconocer las normas de valoración de la prueba y las disposiciones legales que lo regulan.

Mi análisis, como abogado, es puramente técnico, no político. Desde mi punto de vista el DNI (electrónico o físico) es un instrumento del poder para tenerlos controlados y, como consecuencia, soy poco amigo del mismo y receloso. Como usuario además considero mucho más "usable" los certificados electrónicos reconocidos basados en software que los basados en DSCF. El DNI resulta todavía menos usable por la recurrencia y longitud del PIN y no lo uso nunca si puedo usar otros.

Javier Cao Avellaneda dijo...

Estoy completamente de acuerdo contigo Luis. Las firmas electrónicas "avanzadas" o "reconocidas" si tienen validez.

Sin embargo, la firma electrónica tal cual, sin reunir los requisitos de avanzada pueden que no tengan esa "validez" de firma y hablo por las ya comunes digitalizadoras de firmas que se están poniendo en centros comerciales.
Esa firma digital "a secas" creo que ni tiene validez ni valor probatorio porque no se puede demostrar su autenticidad. Una vez digitalizada puede ser usada por el comercio tantas veces como quiera. Es como darles un tampon de corcho con tu firma. ¿Tiene eso validez o valor probatorio?

Pero respecto a tu matiz entre las diferencias entre firmas avanzadas o reconocidas, ambas tienen valor probatorio.

Julian dijo...

En mi entrada no consideraba si la diferencia entre la firma avanzada y reconodida (ambas con certificados reconocidos, que quede claro) es mayor o menor.

Lo que trataba de mostrar es que entrar en consideraciones de que la firma avanzada "no es adecuada", "es peor", "no es legal" o "no tiene validez" es incorrecta completamente y se ve en muchos sitios ese mensaje.

En cuanto a que tiene mayor valor probatorio es obvio ya que la ley de firma electrónica solo equipara la reconocida a la firma manuscrita, hasta ahí de acuerdo(aunque a mi incluso eso me parece un error esa diferenciacion).

No obstante la afirmacion que haces es precisamente de lo que me quejo por no ser ajustada e incide en el tipico error que se ve por ahí:

"Una contraparte habilidosa podría echar por tierra la firma electrónica avanzada basándose para ello en la poca seguridad que ofrece un certificado basado en software, ... aprovecharía las debilidades de la firma electrónica avanzada y lograría que el documento no pudiera considerarse como auténtico.."

Un certificado software ofrece la seguridad que su usuario le de, al igual que ocurre con un certificado encapsulado en una tarjeta criptografica, que puede ser robada con sencillez y de modo aun mas sencillo capturado el pin que la protege.

La creencia de que un certificado en tarjeta es poco menos que seguro o superseguro es incorrecta del todo, te lo aseguro, porque estamos en el mismo supuesto amterior, es decir, habría que demostrar que el usuario usa adecuadamente el certificado, que no le ha sido sustraido temporalmente, que lo usa en base a las practicas de certificacion , que no lo presta etc.

(sigue..)

Julian dijo...

(continua ..)

Pretender derribar el mundo de los certificados de software, con todo lo que conlleva, con la afirmacion facil "un certificado de software es inseguro" prefiero no calificarlo, pero te aseguro que no es ni razonable ni correcto.

Un documento firmado por un administrativo de un ayuntamiento, usando la tarjeta criptografica del secretario.. es mas seguro que un documento mio firmado con un certificado de software de FNMT ?

En cuanto a lo que comentas de que lo importante de la firma es el valor probatorio, solo estas pensando en tu mundo juridico, y por supuesto estas equivocado dolorosamente. Eso de que "todas las firmas son validas en la medida que sean autenticas" es un chiste de verdad que puedes intentar expicarte a ti mismo ja ja

A mi lo que me parece importante de un documento mio que dejo en una red,CD o envio por email es que puedo comprobar en cualquier momento si ha sido modificado. Es el control de integridad y la identidad del firmante lo que me interesa, y de hecho a una gran parte de la sociedad ajena a las vanalidades e inconsistencias del mundo de la judicatura, que así les va y nos va..

Si tu intentas en una pericial demostrar que un documento firmado por mi con un certificado e software no es valido, o no tiene valor probatorio en base a la "inseguridad de los certificados en software" vas a tener que ser muy habilidoso porque realmente lo que estas diciendo es que el mundo es muy inseguro todo él y que con tanta inseguridad uno no puede estar seguro de nada: una obviedad.

Demuestra que mi uso del certificado es poco seguro, que incumplo las practicas de certificacion, que no aplico seguridad al certificado, que mi PC ha sido hackeado.. pero no elimines el uso de los certificados de software en base a "lo inseguros que son" porque es precisamente ese tipo de cosas las que no ayudan al mundo de la firma electrónica y corremos el riesgo de que alguien se haga famoso.

Por ultimo, se habla mucho del valor probatorio pero igual que alguien puede desear demostrar que ese documento fue firmado por fulado y zutano (ejem un contrato) lo que puede ser mas importante es demostrar que ese documento firmado fue modificado tras la firma, por lo que puedes repudiar el documento en base a ese ataque de integridad. En ese sentido la verificación técnica deja claro que "las firmas son incorrectas".

Por ultimo, y disculpa que me extienda, el mundo jurídico normalmente me importa poco, no es mi mundo ni soy jurista, los legisladores en la ley de firma dejaron claro que no se puede quitar validez legal a la firma avanzada, que es lo unico que de verdad he tratado de mostrar en mi anterior entrada, aunque realmente mi criterio es que si un ciudadano usa con buenas practicas su certificado reconocido (de software en este caso) hay poco que argumentar acerca de lo poco seguro que es dicho certificado, a menos que se reconozca que los certificados reconocidos en tarjeta tambien son muy facilmente atacables en esta sociedad actual, lo que por reduccion al absurdo dejaria "tirados" los certificados reconocidos en base a "la inseguridad actual".

Javier Cao Avellaneda dijo...

Respecto a la diferencia entre la "seguridad" de la firma basada en certificado reconocido en archivo o almacenada en dispositivo seguro, el gran pequeño matiz que los separa es la "seguridad física".

Mientras que un certificado en dispositivo seguro se tiene la garantía de saber que está en una única ubicación física y por tanto, teniendo controlada la tarjeta se tiene controlado el certificado, en los certificados software se corre el riesgo de tener instalaciones del certificado por varios sitios siendo más compleja su gestión. No digo que no pueda ser segura pero implica muchos más riesgos. Pensar que el ciclo de vida de un certificado así pasa por la instalación, uso y renovación o revocación. Si el usuario va depositando el certificado en diferentes puestos de trabajo, ya tiene varios equipos desde donde se puede comprometer la seguridad del certificado.
Si se toma la precaución de siempre instalar el certificado haciendo la clave privada no exportable, se sabe que estará instalado pero no podrá ser copiado a otra ubicación. La seguridad dependerá de las claves de protección que estén vinculadas a dicha instalación.

Respecto a los problemas de seguridad tanto en certificados reconocidos como en dispositivos seguros+certificados reconocidos, la esencia del problema es que se obvia que en un proceso de firma participan 3 partes: usuario, certificado y aplicación que solicita uso del certificado. Si la aplicación es maliciosa, ya sea con certificado software o con dispositivo seguro, el usuario firmará digitalmente una cosa que no es la que vió en el momento de la firma. Y encima, la legislación da a dicha situación la equivalencia a la firma manuscrita y recae en el firmante el peso de la prueba respecto a lo fraudulento del sistema.

Es lo que traté de explicar en el post Retos de la e-Administración en esta dirección http://seguridad-de-la-informacion.blogspot.com/2009/09/los-retos-de-seguridad-de-la-e.html

Julian dijo...

Efectivamente Javier, no discuto la mayor facilidad de un certificado encapsulado en un dispositivo seguro de firma para su aseguramiento y custodia. De hecho mi orientación en las respuestas que he dado han ido en la linea de aclarar que la utilización de un certificado RECONOCIDO en software no implica inseguridad en sí misma por su condicion "de software".

Debe ser la mala práctica de un usuario, la inseguridad flagrante en sus sistemas, el incumplimiento de practicas de seguridad, la utilizacion de malas practicas como instalar el certificado sin nivel alto, o instalarlo en cualquier lugar con opciones de exportacion plenas las que hablen sobre la validez o no de la firma avanzada con ese certificado y no el hecho de que el certificado sea de software.

Cualquie Autoridad de certificación cumple rigurosos estandares y protocolos cuando emite un certificado RECONOCIDO en software para un individuo, entidad o servidor en España. Nada que ver con los certificados tipo Verisign que se obtienen sin autenticación real y efectiva (incluso para firma de código).

Un certificado RECONOCIDO en modalidad software lo tiene todo para ser usado perfectamente. Su par de claves han sido generadas por el usuario, la CA ha verificado la identidad del solicitante y la propiedad de su clave publica, exhibe un cumplimiento de protocolos durísimo, el certificado es revocable por varias vías y existen CRL diarias y/o servicios OCSP de validación etc etc

Por tanto no es "la inseguridad del certiticado" lo que debe llevarnos a despreciar su uso frente al de certificdos RECONOCIDOS encapsulados en un dispositivo "seguro" (ojo, que el estado del arte cambia a cada instante)
sino el mal uso y las practicas de seguridad que alguien le de.

En ese sentido, una persona poco o nada sensibilizada tenderá a dar un mal uso tambien a su certificado en tarjeta, incluso prestandolo a otros usuarios para que firmen por el (esto es real).

Pongamos un caso que trata a un colectivo que suele sentirse amenazado por la mera existencia de lo certificados: los Notarios

Si yo voy a firmar una escritura de venta de mi casa a un Notario, debería poder firmar digitalmente la misma utilizando mi certificado electrónico RECONOCIDO de la FNMT, sea este en modalidad software o encapsulado en la Criptonita.

De hecho preferiría firmar con mi certificado en software ya que el Notario en ese contexto sigue siendo muy importante, y la firma en lugar de ser manuscrita sería electrónica. Pues bien, no tiene sentido que pudiera hacerlo con la criptonita de la FNMT (dispositivo seguro de firma) y no con el certificado RECONOCIDO de la FNMT en modalidad de software.

Es a este tipo de situciones, que viviremos en un futuro cercano, a las que me refiero cuando con cierta dureza hablo de errores de visión por parte de la admnistracion, legislador etc

No hay nada en esa situacion que dé mas seguridad a ese notario en la eleccion de uno u otro tipo de certificado.

En ambos casos ademas podría haber en mi casa un asaltante amenazando a mi familia para que firme la escritura "por cuatro duros" y da igual si es manuscrita, si es electrónica avanzada o si es electrónica reconocida.

Es un caso donde se demuestra que hay una buena parte de desconocimiento del legislador o de sus asesores, ya que la seguridad física es despreciable en muchas ocasiones, y como ocurre en suele ocurrir lo que es seguro en un instante cae al mes siguiente cuando el hacker X demuestra que pueden extraerse el par de claves del dispositivo "seguro" tal o cual..

Nuevamente disculpas por la extensión.

Olivia Iris dijo...

La firma digital lo que asegura es que el documento no ha sido alterado. Pero, ¿Cómo se ratifica que quien lo mandó es quien dice ser? No es través del certificado digital. El certificado digital no asegura que tú eres quien mandó el documento. Lo que asegura es que usaste el certificado digital de quien dices ser.

Olivia Iris dijo...

Comparto lo que indica Julian.
La firma electrónica lo único que garantiza es que el texto del mensaje no ha sido modificado. Pero, el certificado, si no va conectado con elementos físicos de control, tales como huella digital o lectura del iris en ese instante, no garantiza que el firmante sea quien dice ser.
Creo que los fraudes pueden ser muy grandes.

Javier Cao Avellaneda dijo...

Olivia, Debemos presumir que el certificado digital está bajo el control del titular del mismo. En este caso, que además custodia bien el pin que es necesario para usar la clave privada. No son estrictamente necesarios componentes de seguridad física adicionales aunque un certificado software a veces se instala en dispositivos seguros de creación de firma (Como pendrives criptográficos, tarjetas inteligentes criptográficas) para que ese pin sea además vinculado a algo físico.

 
;