Microlopez » DNIe

Noticias magníficas para el nivel de uso del DNI electrónico: Tuenti lo integra en su red social con tecnología de Tractis

Alberto — Thu, 19 Jan 2012 12:26:07 +0000

Hace unos días ha habido una muy buena noticia sobre el DNI electrónico, y por tanto también para la Administración electrónica, que es nada menos que Tuenti haya decidido implantarlo como una de sus opciones de autenticación.

Hay que recordar que Tuenti (según sus propios datos) es la segunda red social más importante de España en número de usuarios con nada menos que más de 12 millones de usuarios, muy concentradas en las edades jóvenes.

Este primer proyecto, que integra la tecnología desarrollada por la plataforma Tractis, sobre la cual ya publiqué en su momento un artículo en este mismo blog, el uso del DNIe se limita, de momento, al proceso de verificación de identidad de los clientes de prepago en sus servicios de operadora móvil virtual. Sin embargo, el propio anuncio de Tuenti da a entender bastante claramente que el soporte del DNI electrónico será extendido también a su red social.

Tractis ofrece a los usuarios sin lector además a la posibilidad de adquirirlo desde Tractis en 24 horas a un precio muy reducido.

Sin pretender un análisis profundo de las consecuencias de esta estupenda decisión por parte de Tuenti, a bote pronto, veo cuatro consecuencias importantísimas y extremadamente positivas:

El Applet de Tractis soluciona en gran medida los principales barreras de acceso al DNIe : Esto es así porque este Applet que Tractis usa para la verificación de la identidad del usuario con su DNIe no necesita la instalación de drivers y mejora sensiblemente los tiempos de respuesta ya que soporta la integración de los comandos ADPU, en mi opinión, un tema crítico para hacer el DNIe viable a una escala razonablemente grande, del cual también hablamos en su momento. Espero que veamos también pronto algo similar en el cliente de @firma. Se está en ello, así que esperemos también buenas noticias en este frente dentro de no mucho tiempo.
La integración de los comandos APDU marca una pauta a seguir: Puesto que la diferencia entre las soluciones como el Applet de Tractis que aprovechan esta solución técnica y las que no es más que evidente, se marca un patrón a seguir, cosa que a pesar de la publicación de los comandos APDU hace ya casi un año y medio no ha ocurrido hasta ahora, una pena con lo importante que es para que el DNI sea usable y no se siga usando tanto el certificado de la FNMT en su lugar. Una alternativa muy razonable (que puede generar un impulso importante a la utilización del DNIe) también lo es la ya anunciada integración de los drivers en los sistemas operativos, pero la vía de los comandos APDU sigue siendo aún así una solución técnica superior y resulta menos complicada de cara a funcionar en múltiples plataformas.
El potencial tractor para el resto del sector privado es muy grande: El éxito del DNIe pasa por convertirse en un estándar para el sector privado. El sector público por sí solo, por tamaño, frecuencia de uso y cultura de los usuarios, etc. parece evidente que no tiene la fuerza necesaria para convertirlo en un medio de uso habitual. Tuenti me parece en ese sentido absolutamente ideal por su enorme número de usuarios que crea masa crítica para impulsar de verdad el uso del DNIe y su perfil de personas jóvenes, concentradas en edades entre 15-25 años, nativos digitales que se manejan con soltura en las nuevas tecnologías y posiblemente con una mayor disposición a utilizarlo que la media de usuarios.
Impulso al círculo virtuoso creado por el uso de un producto: Esto es sencillamente consecuencia de lo anterior. Como se puede ver en los anteriores enlaces, hay mucho detalle que depurar en el “producto DNI electrónico”, no hay nada mejor que el producto se use para que haya un impulso político y presupuestario que esté a la altura de las circunstancias.

Con más de 25 millones de DNIe emitidos en todo el país, España es el país del mundo con la mayor implantación de documento de identidad electrónico, un dato que a los responsables políticos les gusta sacar a relucir en sus notas de prensa, pero omitiendo el pequeño detalle de que aún casi nadie lo usa, como también comentamos en su momento.

¿Puede ser esta noticia un punto de inflexión? ¿Tú cómo lo ves?

Si te animas, coméntame lo que opinas en la sección de comentarios.

No te pierdas tampoco este hilo de discusión del grupo DNIe de LinkedIn que @santicasas ha iniciado sobre el tema (grupo privado, requiere solicitar el alta)

Actualización (21/01/2012):

El artículo ha llegado a Menéame, adjunto el enlace porque se ha creado un debate muy interesante que permite, como de costumbre en la Web 2.0, tomarle el pulso “a la calle”. Recomiendo su lectura encarecidamente a todos los que trabajamos de una u otra manera en temas relacionados con el DNI electrónico, es un estupendo baño de realidad con muchas opiniones de las cuales se puede extraer más de un reflexión interesante.

6 Herramientas gratuitas para firmar electrónicamente Documentos PDF – Parte II: ESecure y XolidoSign

Alberto — Mon, 14 Nov 2011 07:00:49 +0000

En el artículo de hoy de esta pequeña mini-serie sobre herramientas gratuitas para la firma electrónica basada en certificado de documentos PDF (y también otros formatos) presentaremos las herramientas ESecure de KSI y XolidoSign de Xolido.

Al igual que en el artículo anterior, quiero insistir en que no se trata de una comparativa (no se han hecho pruebas exhaustivas con cada una), sino de un vistazo un poco más a fondo a cada herramienta para obtener unas primeras impresiones de lo que ofrecen al usuario.

Animo desde aquí a los fabricantes y/o usuarios que lean el artículo a que añadan en los comentarios las observaciones que consideran oportunas para completar o, en su caso, corregir aspectos comentados en el artículo.

Bueno, pues vamos allá con la primera herramienta.

ESecure

En el caso de ESecure, la versión probada ha sido ESecure 1.8.51.39, esta versión soporta tanto firma electrónica como el cifrado con contraseña o certificado para cualquier formato de fichero y decenas de algoritmos que van desde las opciones muy básicas como RC2 hasta opciones muy avanzadas como AES256.

Estándares soportados, versiones y principales funcionalidades

ESecure dispone de varios modelos de licenciamiento: una versión gratuita para ciudadanos (licencia USER), una licencia EDU condicionada a la realización de un curso online gratuito y las versiones de pago PRO y PYME que se salen del alcance de esta serie por este motivo.

La versión USER soporta los formatos de firma PKCS#7/CMS/CAdES (X-L), la versión EDU soporta además PDF/PAdES (basic y enhanced) y las versiones de pago permiten firmar en formato XMLDsig/XAdES (X-L) junto con funcionalidades adicionales como una funcionalidad de portafirmas electrónico o correo electrónico seguro S/MIME.

Limitaciones de las versiones

Las versiones gratuitas USER y EDU cuentan con limitaciones, algunas importantes. En el caso de la licencia USER:

Soporta la firma de PDF sólo para tamaños <1Mbyte, aunque permite emplear el formato PAdES.
No soporta el trabajo con servidores OCSP para la consulta del estado revocación de los certificados, ni con servidores TSP para el sellado de tiempo.
No soporta el trabajo con múltiples documentos (portafirmas)

En el caso de la licencia EDU elimina las limitaciones de los ficheros PDF, pero mantiene las demás limitaciones.

La interfaz de usuario de ESecure se ha inspirado en el explorador de ficheros de Windows

El conjunto completo de funcionalidades sólo está disponible en las versiones de pago.

Plataformas

ESecure es compatible solamente con plataformas Windows. El manual menciona que la versión USER puede utilizarse en Linux con WINE, aunque esto supone limitaciones importantes como poder trabajar solamente con ficheros PKCS#12 y las propias de la versión USER.

Posibilidades de Configuración

La aplicación se integra con el almacén de certificados de Windows y permite además importar certificados, soporta tanto ficheros PKCS#12, como librerías PKCS#11 para el uso de tarjetas criptográficas como el DNIe, soporta y dispone de una larga serie de posibilidades de configuración (con los límites según la licencia en cuestión) que permiten una configuración muy detallada de las funcionalidades antes comentadas y que son tantas que sobrepasan por completo el alcance de este artículo, remito al lector interesado al extenso manual que proporciona KSI para ESecure (>300 páginas) para más detalles.

Interfaz, Usabilidad y Documentación

La interfaz se asemeja al explorador de ficheros Windows de XP (mantiene esta apariencia también en Windows 7). Me gusta la idea por la familiaridad que le supone al usuario, aunque no se trata de una integración dentro del auténtico explorador, quizás algo a tener en cuenta para el futuro. De todas formas, favorece que, de alguna manera, la lógica de las operaciones de firma y cifrado se perciba de forma más natural y práctica en el trabajo con el ordenador.

Fortalezas y Debilidades

Entre las principales fortalezas de ESecure se pueden destacar la gran riqueza de su funcionalidad y número de estándares de firma y cifrado soportados que cubre incluso formatos aún no ampliamente soportados como lo es PAdES, una filosofía de interfaz de usuario que le resultará intuitiva a muchos usuarios, aunque necesite quizás una pequeña puesta al día (para asemejarse más a Windows 7) y una enorme capacidad de configuración.

Incluso en funcionalidades como la firma visible (un gráfico que se imprime en el documento como indicativo de que contiene una firma digital) de los documentos PDF permite una configuración muy detallada que en este caso incluye, por ejemplo, un diseñador de los widgets empleados para la firma.

La únicas debilidades claras que he podido encontrar es una política comercial bastante restrictiva que llega a limitar a las versiones de pago incluso en cosas básicas como la validación de los certificados vía OCSP y que la falta de soporte a las plataformas Mac OS y Linux.

XolidoSign

XolidoSign es una herramienta completamente gratuita, sin limitaciones en su funcionalidadcolectivos, ni colectivos de usuarios. Es decir, es 100% legal utilizarla tanto en el sector público como privado. El modelo de negocio de Xolido parece apostar en ese sentido por generar sus ingresos mediante su cartera de servicios en la nube y sus servicios de consultoría y auditoría.

Estándares soportados

La versión probada ha sido la versión 2.1.0.2 que soporta la realización de firmas electrónicas basadas en certificado en los formatos PKCS#7/CMS, CAdES-C y CAdES-XL, PDF signature/PAdES y el sellado de tiempo. En el lado de la validación soporta los siguientes formatos: PKCS#7/CMS, CAdES, XMLDsig, XAdES, PDF signature/PAdES, sellos de tiempo RFC3161 y OASIS XML TST.

En cuanto a los certificados que se pueden utilizar se reconocen tanto certificados en formato PKCS#12 como dispositivos PKCS#11.

Plataformas

XolidoSign soporta solamente la familia Windows, incluyendo las plataformas de 64bits.

Funcionalidades y Posibilidades de Configuración

Dentro de las funcionalidades soportadas habría que destacar que soporta funcionalidades de portafirmas electrónico al poder firmar lotes de documentos a la vez, elegir entre firmas PDF incrustadas o externas, permite la inclusión de una firma visible bastante configurable, y la inclusión de un registro de firmas (como fichero CSV).

La interfaz de usuario de XolidoSign es muy claro y fácil de utilizar

Además se pueden configurar una larga serie de parámetros relacionados con las carpetas de entrada y salida de los documentos, preselección de certificados, parámetros de uso de los certificados y firma (por ejemplo: aceptar o no el uso de certificados caducados para firmas), etc.

Interfaz, Usabilidad y Documentación

El interfaz de usuario de esta herramienta también me ha gustado, es muy diferente a ESecure, pero resulta un planteamiento alternativo muy limpio y sencillo de utilizar.

Hay que destacar además que la Web de XolidoSign me ha resultado extraordinariamente clara, bien organizada y con información muy completa. Permite conocer el producto bastante bien en poco tiempo, sin apenas esfuerzo, hay muchos empresas (y Administraciones) que podrían tomar nota.

A la aplicación la acompaña un manual de usuario de unas 53 páginas que me ha parecido bien redactado y completo. La diferencia en páginas con ESecure refleja en parte que se trata de una herramienta algo más sencilla, aunque lo que hace, lo hace muy bien.

Xolido complementa además este manual con los servicios online como su canal Youtube en el cual se pueden encontrar demos del uso de la herramienta. Otra buena práctica de la que muchas empresas (y Administraciones) deberían tomar nota.

Fortalezas y Debilidades

Al igual que en el caso de ESecure, se trata de una magnífica herramienta y más aún si se tiene en cuenta que es completamente gratuita. Quizás su único “punto débil” sea que, en comparación con ESecure, tiene una funcionalidad algo más limitada (por ejemplo, no firma en XAdES ni tiene funcionalidades de cifrado). Sin embargo, la funcionalidad debería ser suficientemente completa para la enorme mayoría de usuarios y a cambio no sufre las limitaciones en puntos básicos que adolecen las versiones gratuitas de ESecure.

Por lo demás comparte con ESecure la misma carencia, incluso un poco más acusada, en cuanto a falta de soporte de Mac OS y Linux.

Por si fuera poco que una herramienta tan completa sea completamente gratis, en la versión probada (publicada hace apenas unas semanas) incluye como novedad un servicio gratuito de sellado de tiempo basado entidades reconocidas. He podido comprobar que ya vienen preconfiguradas concretamente las autoridades ACCV e IZENPE.

Se trata sin duda de una prestación con un gran valor añadido que hace la herramienta, si cabe, aún más completa.

Por otra parte, me parece muy positivo que Xolido haya cuidado tanto su excelente Web como su presencia en las redes sociales Facebook y Twitter y disponga de un canal Youtube con vídeos de presentaciones y demos del producto. Creo que en esta parte está muy por delante de su competencia.

Aquí dejo un vídeo de demo:

Conclusiones

Ambas herramientas me parecen buenos productos, aunque con filosofías bastante diferentes, suficientemente completos y potentes para cubrir en la práctica las necesidades de usuario en el trabajo ad hoc en la firma electrónica basada en certificado de documentos PDF y otros formatos. La decisión de elegir una u otra será más cuestión de los requerimientos concretos del cliente que de la superioridad de una frente a otra. En cualquier caso, ambas son muy superiores a las vistas en el primer artículo de esta serie.

Me ha llamado la atención la política comercial que KSI sigue con ESecure: habiendo herramientas completamente gratuitas del calibre de XolidoSign, introducir de restricciones tan importantes como limitar el protocolo OCSP a las versiones comerciales me parece una política arriesgada, ya que es muy fácil que un potencial cliente, especialmente si no es muy experto en la materia, se incline ante los primeros inconvenientes directamente por una alternativa como XolidoSign sin llegar a probar ni siquiera Esecure.

Tampoco ayuda que los diferentes niveles de limitaciones que tiene cada una de las versiones de ESecure dificultan entender bien las posibilidades del producto. De hecho, ha sido un factor importante que me ha dificultado y retrasado este artículo que, a priori, era bastante sencillo de hacer.

Me parece una pena que KSI corra ese riesgo comercial cuando ofrecen un buen producto que cuenta frente a sus alternativas con factores diferenciales como reunir en una sola herramienta todos los formatos de firma importantes, incluyendo XAdES y PAdES.

Siendo XolidoSign un producto más limitado funcionalmente, creo que han tenido un gran acierto en ofrecer un producto gratuito que satisface muy bien lo que a día de hoy un usuario puede necesitar hacer con documentos PDF. Xolido acompaña a su producto además de una Web atractiva y fácil de entender y aprovecha también los nuevos canales como las redes sociales y Youtube. Xolido ofrece todo lo importante y ha sabido añadir un envoltorio atractivo, lo cual puede ser una clave importante para que triunfe en la Administración y sector privado.

Finalmente, dada la creciente importancia de sistemas operativos que no sean Windows, como los propios de Apple y las variantes de Linux (incluyo Android en el saco) creo que ambos fabricantes deberían atacar este objetivo a corto/medio plazo para que sus productos queden realmente “redondos”.

6 Herramientas gratuitas para firmar electrónicamente Documentos PDF – Parte I: PDFCreator y ClickSign

Alberto — Wed, 19 Oct 2011 18:50:44 +0000

Si hay un formato de documento electrónico que se ha consolidado como la opción interoperable y profesional por excelencia para el intercambio de estos documentos, tanto en el sector público como en el privado, lo es sin duda el formato PDF. No importa que un usuario utilice la plataforma Windows, Mac OS o incluso Linux o cualquiera de las plataformas móviles, está perfectamente soportado en prácticamente todas.

Inventado por la empresa Adobe, su gran interoperabilidad, su carácter de estándar abierto, su calidad y la disponibilidad de lectores gratuitos en las diversas plataformas, han hecho que Internet haya actuado como un catalizador para su éxito que lo convirtió en un estándar de facto que ha acabado evolucionando hacia un estándar de iure cuya versión más actual es la norma ISO 32000-1:2008.

Para la Administración ha resultado ser un formato de documento electrónico particularmente adecuado por su soporte nativo para firmas electrónicas basadas en certificado electrónico, incrustadas dentro del propio documento.

La simplicidad de que la firma pueda estar embebida dentro del propio fichero PDF y de nuevo, el hecho de que Adobe proporcione también un lector gratuito, Adobe Reader, que sea capaz de detectarlas y validarlas ha sido un hecho muy favorable a la extensión del uso de documentos PDF firmados electrónicamente. Así cualquier usuario puede descargarse, por ejemplo, los boletines del BOE en formato PDF y validar su firma electrónica (sello electrónico en este caso).

Las Licencias de Pago como una Barrera más al uso de la Firma electrónica de Documentos PDF

No obstante, este bonito cuadro siempre ha visto afeado por una gran mancha: Adobe Reader no permite realizar firmas electrónicas (salvo en formularios PDF preparados para ello), sólo permite validarlas. La opción de la casa, la familia Acrobat, es de pago, lo cual, aunque su licencia no es muy cara, en la práctica ha supuesto una barrera de entrada más y por tanto un freno más a la utilización masiva de la firma electrónica en el intercambio de documentos en la Administración y entre Administración y ciudadanos.

Cuando aparecen licencias software también se dificulta considerablemente la iniciativa desde las bases, la iniciativa de los propios usuarios. Esto es importante porque en la práctica los (pocos) usuarios/funcionarios con conocimiento, inquietudes e interés en innovar y probar nuevas herramientas son una fuente de innovación e impulso muy valiosa en cualquier organización, ya sea pública o privada.

El popular generador de PDFs PDFCreator también incluye funcionalidades de firma electrónica

Hace años que existen alternativas como, por ejemplo, PDFCreator, que son gratuitas o “casi” gratuitas. Pero hasta hace poco la oferta era muy pobre: productos poco usables, disponibles solamente en el idioma inglés, etc.

Por suerte, la situación ha cambiado y mucho en los últimos tiempos. Ha habido bastante movimiento en cuanto a nuevos y atractivos productos, disponibles en castellano y además gratis. En este artículo voy a hacer una pequeña presentación de algunas de las opciones más interesantes, no pretende ser una comparativa en profundidad, simplemente un artículo práctico y muy sintetizado para dar un pequeño repaso orientativo a la oferta actual de este tipo de herramientas con un pequeño cuadro resumen de sus principales características que se incluirá en la segunda parte del artículo.

Si alguien echa en falta alguna herramienta en este listado, le animo a que haga un comentario proponiendo la inclusión de dicha herramienta. Eso sí, la condición es que exista, al menos, una versión gratuita, aunque sea limitada, de la herramienta.

Alternativas gratuitas actuales

PDFCreator

La herramienta PDFCreator es todo un “clásico”, una herramienta que se distribuye bajo licencia GNU GPL de software libre ha sido (y sigue siendo) una de las alternativas más populares a Adobe Acrobat para crear documentos PDF. Se instala como driver de impresora de modo que “engaña” al ordenador cuando se imprime a través de esta impresora, por ejemplo, desde Word, Excel o un navegador: el driver en vez de imprimir, canalizará el proceso de impresión para crear el documento PDF.

Aunque en la actualidad en MS Office (a partir de la versión 2007) y en OpenOffice/LibreOffice se pueden guardar los documentos directamente en formato PDF, PDFCreator sigue siendo una herramienta de creación de documentos PDF interesante gracias a su madurez y posibilidades de ajustes de los documentos generados.

Sin embargo, el soporte a la firma basada en certificado es muy básico, no se pueden validar los documentos firmados, no se integra con el almacén de certificados del sistema operativo, no soporta tarjetas criptográficas como el DNIe y utiliza malas prácticas como leer los certificados del usuario directamente de ficheros de intercambio de información personal PKCS#12 (extensiones .pfx/.p12) en vez del almacén de certificados.

Por todas estas razones se puede decir que no es una opción muy adecuada para la firma electrónica basada en certificado electrónico y como veremos actualmente existe hay una buena oferta de alternativas mucho mejores. Su inclusión en este artículo obedece en realidad a su gran difusión y en resaltar precisamente que para la creación de las firmas se deberían utilizar las alternativas que iremos viendo.

ClickSign

Uno de los puntos fuertes de ClickSign es su integración en el explorador de ficheros del sistema operativo

ClickSign es una herramienta de la empresa Isigma. Se trata de una herramienta que ya resulta bastante completa y que no adolece ninguno de los puntos criticados anteriormente en PDFCreator.

La herramienta cuenta con posibilidades de configuración avanzadas que permiten ajustar cosas como los modo attached/detached de la firma, la inclusión de una firma visible (un gráfico con información de la firma, visible en el documento), integración de diferentes dispositivos PKCS#11 y el CryptoAPI de Windows, sello de tiempo, Multifirma, etc.

En cuanto al uso de la misma se ha seguido además una filosofía de usabilidad que me gusta particularmente: para firmar un documento no hace falta arrancar la aplicación, sino que se integra en el explorador de Windows como un menú más (véase la captura).

Sin embargo, la herramienta tiene también una gran pega: la versión gratuita se encuentra muy limitada y añade además una marca de agua comercial a los documentos firmados lo cual, en la práctica, la hace inservible para su utilización en el sector público y también en el privado, salvo que se adquiera la licencia de pago.

Más en la segunda Parte

Esto es todo por hoy, en la segunda parte hablaremos de las herramientas ESecure, XolidoSign, el cliente Standalone de @firma y la herramienta eCoFirma del Ministerio de Industria, Turismo y Comercio.

Certificación electrónica en la Nube

Alberto — Mon, 11 Jul 2011 06:00:11 +0000

Es obvio que la nube es uno de los temas estrella del momento en las TIC, y con mucho potencial aún por explotar. Un signo de lo viva que está la nube es que no dejan de salir servicios y aplicaciones que aportan cosas que no son simplemente mejoras de lo existente, sino cosas realmente nuevas, con un valor añadido claro.

En ocasiones las aportaciones son disruptivas, permiten hacer cosas que antes no se podían hacer o cambian radicalmente la manera de hacerlas, algo que en ocasiones llega a dar lugar a un cambio de paradigma en toda regla.

Servicios disruptivos en la Nube

En mi caso, por ejemplo, han sido muy “disruptivas” las aplicaciones basadas en la sincronización de datos, aplicaciones como DropBox y SugarSync, listas de TODOs en la nube o aplicaciones aparentemente triviales como Xmarks para la sincronización de bookmarks las cuales han dado lugar a un cambio radical en mi organización personal y rendimiento que saco a las TIC.

Por fin he conseguido una estructura única de la información que así puede ir evolucionando de manera organizada y coherente y por fin ya da igual el ordenador que quiera utilizar en cada momento, lo que me la libertad de hacer de todo esté donde esté. Incluso disponer de la información en la nube ya me ha sacado alguna vez de un apuro.

Certificación electrónica al alcance de todo el mundo

Pues bien, cuando hace unos días he leído este post de David Blanco presentando Tractis Webservices me ha dado la sensación de que éste puede ser otro caso de un nuevo servicio e idea que no mejora simplemente lo existente, sino que inventa de verdad algo nuevo y supone un cambio disruptivo haciendo posibles cosas que hasta la fecha sencillamente no lo eran y que aportan un gran valor a los interesados.

Tractis Webservices supone una combinación de un elenco de servicios de certificación electrónica y archivado electrónico, junto con la exposición vía APIs de servicios Web de las primitivas de seguridad de certificación electrónica de la infraestructura de clave pública (PKI) de Tractis. Todo ello basado en un modelo de pago por operación.

Estos servicios son cuatro:

Tractis Attribute Authority (Tractis AA): Permite extraer los atributos identitarios más importantes sobre la identidad de tus clientes (nombre, sexo, edad, cargo, empresa, etc). Atributos certificados, no alegados.
Tractis Semantic Validation Authority (Tractis SVA): Permite comprobar la validez de las firmas electrónicas y sellos de tiempo generados por certificados electrónicos.
Tractis Time Stamping Authority (Tractis TSA): Permite generar sellos de tiempo y demostrar, con las máximas garantías, que un contenido existe desde un instante temporal determinado.
Tractis Long Term Archive (Tractis LTA): Permite preservar evidencias electrónicas indefinidamente y demostrar matemáticamente la autenticidad e integridad de cualquier tipo de contenido preservado.

A primera vista puede parecer que son los servicios típicos de una CA, pero el valor diferencial está en que varios puntos:

No actúa simplemente como CA, sino como autoridad de validación (según Tractis la mayor del mundo con más de 71 perfiles de 30 CAs en 13 países). O sea, dicho de un modo simplista, se trata de una especie de servicio de @firma en el sector privado más algunos servicios que @firma hoy por hoy no ofrece.
La plataforma permite el acceder directamente vía servicios Web a las primitivas que hacen posibles estos servicios lo que a sus usuarios les permite la construcción de nuevos servicios personalizados para sus clientes.
Tiene precios suficientemente asequibles (por ejemplo: un sellado de tiempo = 0,03€) bajo un esquema de pago por uso que los hacen viables incluso para empresas relativamente pequeñas generando con ello un potencial de clientes y aplicaciones muy grande.
Los servicios se pueden contratar en modalidad “self-service”, eliminando así las fases previas en la contratación tradicional de este tipo de servicios (solicitud información, reuniones, negociación precios, condiciones de pago, revisión y firma contratos, …) eliminando el gran coste en tiempo y esfuerzo que esto supone a tanto al cliente como al proveedor.
Ofrece servicios que van más allá de una CA o VA como lo son los servicios de archivado y preservación de evidencias electrónicas.

Por poner un ejemplo concreto: en la validación de los certificados se puede personalizar qué atributos a extraer del certificado según perfiles de certificados, incluso se pueden cambiar estos perfiles sobre la marcha mediante lo que Tractis llama Hot swapping, sin tener que parar o reiniciar sistema. Es decir, el cliente, vía el API de servicios Web de Tractis, puede tener control a bajo nivel de cómo quiere utilizar exactamente la PKI.

La diferencia queda quizás también más clara comparándolo con otro servicio de Tractis que es Tractis Identity. Pues bien Tractis Identity sería el equivalente a los servicios habituales de verificación de identidad de una CA y resulta que Tractis Identity “por dentro” está construido sobre las primitivas de verificación de identidad de Tractis Webservices.

Esto permite a un cliente de Tractis diseñar sus propios servicios a medida de sus necesidades específicas o diseñar nuevos servicios para ofrecérselos a terceros.

Posibles aplicaciones

Un ejemplo simplón podría ser la vinculación de una identidad digital verificada en servicios como OpenId o servicios más específicos como la comprobación (mediante atributos del certificado) de la profesión de un sujeto y su pertenencia a una empresa a efectos de la autenticación de los miembros de una red social profesional. También se puede pensar en un uso más generalista como la certificación de un perfil en redes sociales como Twitter o en la blogosfera, o bien aplicaciones como la incorporación de un filtro de edad para restringir el acceso a una aplicación o servicio en la Web a personas mayores de edad.

Como ejemplo de nuevos servicios ofrecidos por las empresas se puede pensar, por ejemplo, en servicios al estilo de TwinDocs o Metaposta que podrían sacar mucho partido al servicio de preservación de evidencias de la plataforma a su vez que podría proveer servicios de certificación electrónica de esa información a efectos de su presentación ante terceros (en su caso, incluso de manera automatizada), por ejemplo, para la concesión de un crédito o de un seguro.

Y por último, como tema de actualidad, podemos pensar en las múltiples posibilidades aplicaciones para la mejora de nuestro sistema democrático y participación ciudadana en el mismo. Como ejemplo del calado que estas tecnologías pueden tener a estos efectos recomiendo esta lectura.

Un concepto muy interesante

En definitiva, y dejando de lado alguna licencia del marketing, me parece que David no va del todo desencaminado cuando dice que con esta idea “cualquier gran empresa, pyme o desarrollador freelance, dispone de la infraestructura necesaria para crear sus propios servicios de envío y almacenamiento de facturas, voto electrónico, correos electrónicos certificados, notificaciones telemáticas con acuse de recibo, contratación de portabilidades con DNIe, pagos electrónicos, centros de asistencia sanitaria online, plataformas de gestión de derechos de autor, Iniciativas Legislativas Populares, o cualquier otra idea loca e innovadora que se os ocurra.”

Para tener la foto completa también hay que tener en cuenta lo que David nos contaba a través de este blog hace ya unos cuantos meses sobre las enormes posibilidades de mejora e impulso que supone el soporte al uso de los comandos APDU del DNIe en los medios de firma electrónica como debería ser el caso en un futuro del Applet de firma electrónica de @firma.

Bueno, pues resulta que el Applet de firma que Tractis ya ha integrado estos comandos hace unos cuantos meses, con buenos resultados. Este “detalle” me parece vital porque si además de ofrecer una plataforma con el potencial descrito se dispone de una solución de autenticación y firma electrónica en Web que garantice una buena experiencia de usuario es posible remover las barreras que impiden que el DNIe no haya generado mucho interés hasta al momento en el sector privado y de paso al sector público podría tomar nota de estas iniciativas para impulsar el uso DNIe en la Administración electrónica.

Pero por desgracia también hay que poner los pies en la tierra: este tipo de negocio innovador se enfrenta al problema del huevo y la gallina en cuanto a usuarios de certificados electrónicos adecuados frente a la de creación de los nuevos servicios que usen estas posibilidades y el clima económico actual tampoco acompaña para que a corto plazo se produzca un impulso notable de servicios basados en esta tecnología.

Sin embargo, eso no quita que esta idea señala en la dirección correcta y que se trata de un concepto con muchas posibilidades muy interesantes y en una amplitud grande de sectores. Me parece en ese sentido que en Tractis han sabido proyectar por dónde tienen que ir los servicios electrónicos en el futuro y que han hecho una gran apuesta con su posicionamiento.

Los Certificados Electrónicos ¿Solución o Pesadilla? V. Conclusiones y Perspectivas

Alberto — Mon, 16 May 2011 06:30:06 +0000

Después de analizar diferentes aspectos de las experiencias con la utilización de certificados electrónicos caben varias conclusiones. En primer lugar, resulta irónico observar que en cierto modo el uso de los certificados electrónicos en vez de simplificarse con el tiempo se ha vuelvo más difícil en la actualidad.

Se puede decir que los problemas descritos redundan en una deficiencia de la usabilidad y la calidad de los productos y aplicaciones (DNIe, firma electrónica en aplicaciones Web, etc.). Esto ha creado barreras que la mayoría de los usuarios no están dispuestos a superar y que además probablemente en la mayoría de los casos no sepan cómo superar.

Esta situación resulta especialmente acusada en el caso del DNI electrónico. Si se quiere corregir esta situación, el único nivel de usabilidad realista es el propio del principio “plug&play”: la experiencia del usuario tiene que ser enchufar y listo, ocultándole cualquier detalle técnico, no se le pueden imponer condiciones adicionales como la adquisición de un lector para el caso del DNIe.

O se entrega con el propio DNIe en la comisaria o bien se impulsan políticas que fomenten su inclusión con los equipos. Cualquier tarea o gasto adicional para el usuario supone una barrera que la mayoría de ellos no van a estar dispuestos a cruzar. Muy recomendable, por cierto, también este artículo para profundizar un poco más en el tema.

El principio de neutralidad tecnológica de la Ley 11/2007 (que el usuario pueda elegir los productos como navegadores que quiera utilizar con la Administración) resulta encomiable y va la dirección correcta, pero hoy por hoy, debido a la falta de los estándares adecuados, resulta realmente problemático de implementar en la práctica.

Esto implica una situación insatisfactoria para todas los partes:

Para Administración porque aumenta la complejidad y costes de desarrollo, y disminuye la calidad de las aplicaciones finales. Mi experiencia personal, desde luego, es que el desarrollo de soluciones fiables e interoperables con firma electrónica es un dolor.

Para los fabricantes porque frena la demanda activa de los usuarios, su motivación de utilizar aplicaciones de Administración electrónica. El impulso no deja de ser “artificial”, impuesto por una Ley, no por convencer al usuario. Esto es mejor que la ausencia total de impulso, pero no es la fórmula idónea de impulsar la Administración electrónica.
Para el ciudadano porque no puede aprovechar todo el potencial que la Administración electrónica le puede ofrecer y resulta muy frustrante fracasar en el intento de utilizar estos nuevos servicios.

¿Quiere decir esto que utilizar los certificados X.509 en la Administración electrónica ha sido una equivocación?

En mi opinión personal, ésta sería una conclusión muy equivocada.

Se trata de una tecnología demasiado buena y segura como para descartarla, en realidad es una tecnología ideal para implementar la identidad digital y la realización de firmas electrónicas que merezcan ese nombre. El problema es que esta tecnología ha sido perjudicada por problemas ajenos a ella, problemas del entorno tecnológico en el que debe operar Merece la pena esforzarse para solucionar los problemas y aprovechar las magníficas prestaciones que ofrecen los certificados electrónicos y la firma electrónica basada en certificados.

Por tanto, el problema no es la tecnología en sí, como se ha podido ver, es la falta de una estandarización suficiente en determinadas cuestiones técnicas e impulso insuficiente por parte de los fabricantes y las instituciones interesadas ya que la demanda del sector privado de esta funcionalidad es baja. Cualquier tecnología similar sufriría problemas parecidos ante la situación similar en el entorno tecnológico.

Para solucionar los problemas es necesaria una doble perspectiva: una visión nacional (en el caso de España, por ejemplo, solucionar los problemas técnicos del DNIe e impulsar políticas que eliminen las demás barreras de uso) y otra internacional en el cual la instituciones responsables del impulso de la Administración electrónica, como aquellas propias de la UE logren los acuerdos necesarios con los fabricantes y organizaciones de normalización pertinentes para evolucionar hacia un entorno tecnológico adecuado.

Existen, no obstante, alternativas interesantes como incorporar sistemas de identidad digital no basados en certificados que aseguren un registro fiable de sus usuarios para poder comprobar a la postre de modo fehaciente su identidad.

¿Pero tiene realmente sentido a estas alturas emprender un camino nuevo con los esfuerzos que implicaría para consolidarlo y no sería además la excusa perfecta para emitir el certificado de defunción definitivo de los certificados electrónicos dejando así de lado todo lo recorrido?

Parece un contrasentido cuando ya hay tanto conseguido, una infraestructura considerable de servicios como se puede comprobar fácilmente a través de la Red 060 y un marco legal también muy desarrollado. Sobre todo cuando lo que falta no es tanto. En realidad son unas pocas barreras perfectamente identificadas, las que están siendo un freno para acceder a un conjunto enorme de servicios, remover esas barreras sería el paso a la eclosión del acceso a los servicios electrónicos.

Solucionar los problemas expuestos es posible y técnicamente en realidad ni siquiera muy difícil. Lograrlo es principalmente una cuestión de coordinación y voluntad de todos los actores implicados: fabricantes, instituciones de normalización, Gobiernos y Administración.

Los Certificados Electrónicos ¿Solución o Pesadilla? IV. Alternativas a los Certificados Electrónicos

Alberto — Tue, 03 May 2011 21:37:59 +0000

Los certificados electrónicos son un excelente medio de identidad digital, pero desafortunadamente, como se ha detallado en el anterior artículo, el trabajo con los mismos en la práctica no ha resultado tan fácil como hubiese sido necesario para hacer de ellos un medio de identidad digital de utilización masiva, incluso cuando ya cuentan con una muy elevada difusión, gracias al DNI electrónico.

Esta dificultad ha sido reconocida por la propia Administración, como se puede ver, por ejemplo, y de manera muy explícita en la Orden EHA/2219/2010, de 29 de julio, por la que se aprueba el sistema de firma electrónica de clave concertada para actuaciones en la sede electrónica de la Dirección General del Catastro y que reconoce que al afectar sus servicios a un número muy elevado de ciudadanos, “dada la amplitud y heterogeneidad del colectivo de interesados, la prestación de servicios electrónicos sería muy limitada si quedase condicionada en todos los procedimientos a que dichos interesados contaran con un certificado electrónico reconocido.”

La propia Ley 11/2007 ya asumió esta situación y ha previsto en ese sentido tres tipos de medios de identificación de los ciudadanos sobre los cuales se profundiza un poco más este artículo de Montaña Merchán:

El DNI electrónico.
La firma electrónica basada en certificado electrónico reconocido.
Sistemas de claves concertadas en un registro previo u otros sistemas no criptográficos.

Aquí juega un papel fundamental el principio de proporcionalidad de la Ley 11/2007 en el sentido de que se debe valorar la criticidad del servicio para valorar el nivel de seguridad que se debe exigir al medio de identidad digital utilizado en cada caso.

Así, por ejemplo, no es lo mismo consultar simplemente los puntos del carnet de conducir que interponer un recurso en un determinado procedimiento administrativo. En el ejemplo de la consulta de saldo de puntos concretamente se puede apreciar muy bien cómo en la práctica en este servicio se diferencia una versión “light” y otra completa en la cual se exige el uso de certificado.

La primera versión permite acceder a los puntos. Para ello exige como credenciales el DNI del usuario y la fecha de expedición de su carnet de conducir, con estas credenciales envía un correo electrónico a la cuenta del usuario en el cual le indica una contraseña al usuario con la cual entrar al servicio. La segunda exige como credencial un certificado y a cambio le permite consultar, aparte de los puntos, también las infracciones cometidas por el ciudadano.

Este ejemplo demuestra como la propia DGT ha considerado que los puntos sin más son una información con un grado sensibilidad para la cual parece razonable utilizar un sistema de autenticación de un nivel medio de seguridad y cómo este sistema, sin embargo, ya no lo considera adecuado para otorgar acceso al información más sensible como los son las infracciones.

La solución de la Dirección General del Catastro va un poco más allá porque funciona realmente como alternativa completa al uso de certificados electrónicos (no limitada como en el caso anterior), incluyendo la posibilidad de realizar firmas electrónicas.

En este caso además, como se indica en la Orden que aprueba el sistema, para utilizar este sistema no es necesario presentar solicitud alguna por parte del interesado (solamente registrarse como usuario), ya que será la Dirección General del Catastro la que comunicará de oficio al usuario tanto el código para operar como las instrucciones básicas para su uso cuando éste utilice alguno de los procedimientos en los que esté habilitado el empleo de la firma mediante clave concertada. Igual que sucede con los sistemas basadas en certificados electrónicos que ya se admiten en los trámites catastrales, la clave concertada permitirá a los usuarios identificarse ante la Administración y firmar electrónicamente las actuaciones que realicen ante ella.

Una alternativa completamente diferente es la idea de combinar el DNI electrónico con el uso del móvil. La idea es básicamente aprovechar el tirón de la telefonía móvil, su gran tasa de utilización, para inducir al usuario utilizarlo también como solución de identidad digital, al igual que se está trabajando intensamente en habilitarlo como un medio de pago alternativo mediante el uso de la tecnología NFC. Las ventajas básicas son que desaparece la necesidad de un lector y PC, y que se facilitaría una solución de movilidad sencilla y por tanto operativa para la utilización de servicios de Administración electrónica.

Los medios se han hecho un gran eco de la notica, pero, como de costumbre, con una calidad de información más que mejorable insinuando cosas como que se “copian” certificados y claves privadas del DNI electrónico al móvil, cosa que por las propiedades del propio DNIe es imposible. Una vez más encontramos una explicación técnica de mucha mayor calidad en la blogosfera.

Mirando fuera de España se pueden encontrar otros enfoques, también muy interesantes. Uno de los más relevantes es el uso del sistema de identidad digital OpenId en la Administración Pública. Así el Gobierno de EEUU ha lanzado hace un año un piloto en el marco de su programa ICAM (Identity, Credential, and Access Management) que pretende hacer convivir el modelo federal de PKI con los sistemas de identidad digital del mercado. Por el momento ha integrado OpenId y también el sistema InfoCard/CardSpace de Microsoft. Pero EEUU no es el único País que ha trabajado en esta línea, se pueden encontrar ejemplos en esta línea también en otros países como, por ejemplo, en Japón.

Para que este modelo pueda ser válido para la Administración electrónica española es necesario que existan proveedores OpenId seguros, es decir, que aseguren un registro fiable de los usuarios garantizando así la autenticidad de la identidad digital en cuestión. Afortunadamente ya existen ejemplos como OpenDNI o EADTrustID.

En definitiva, las alternativas existen y pueden ser interesantes, pero no dejan de ser una huida hacia adelante que esquiva el problema de no haber sido capaces de poner en marcha un sistema basado en certificados electrónicos bien articulado.

¿Tan difícil es solucionar los problemas actuales relacionados con los certificados electrónicos? ¿Merece la complicar aún más el escenario con nuevos sistemas alternativos cuando ya existe una solución del calibre y madurez de los certificados electrónicos?

De todo esto se hablará en el último artículo de la serie.

Actualización del 09/05/2011: Gracias a @tractis me he topado con un ejemplo recién salido del horno de uso de claves concertadas como alternativa a la firma electrónica basada en certificado electrónico que merece la pena incluir aquí: la Orden CUL/1132/2011.

Los Certificados Electrónicos ¿Solución o Pesadilla? III. Los Certificados Electrónicos y sus Problemas prácticos

Alberto — Mon, 18 Apr 2011 06:30:42 +0000

En el artículo anterior hemos podido ver las grandes virtudes de los certificados electrónicos para la implementación de una solución de identidad digital y de firma electrónica, sin embargo, su adopción en la Administración Pública y por parte del ciudadano no ha sido nada fácil.

¿Cómo se explica esto?

Al principio (finales 90, principios año 2000) el entorno tecnológico del usuario se mantiene razonablemente sencillo. Entonces, prácticamente en el 100% de los casos el entorno de usuario es la combinación de Windows + Internet Explorer + certificado en formato PKCS#12 (certificado electrónico en forma de fichero que se instala en almacén de certificados del ordenador). Habría que añadir que este certificado electrónico procede prácticamente en el 100% de los casos de la FNMT (Fábrica Nacional de Moneda y Timbre) gracias a que lo ofrece gratuitamente a los ciudadanos.

Además, en los primeros años es natural que el perfil de usuario tipo de la Administración electrónica tienda a ser un usuario interesado en las nuevas tecnologías y motivado para conocer nuevas experiencias tecnológicas.

Por tanto, se puede decir que los servicios electrónicos dan sus primeros pasos con un entorno relativamente homogéneo, relativamente simple y con usuarios con un nivel técnico por encima de la media. Esto facilita las cosas, tanto a la propia Administración como al ciudadano.

Sin embargo, a lo largo de la primera década del año 2000 esta situación cambia: la heterogeneidad del entorno crece sustancialmente, lo que multiplica los problemas de una tecnología no trivial como lo son los certificados digitales.

Se diversifican los sistemas operativos de los usuarios (Windows, Mac OS, Linux, …), y los navegadores (IE, Firefox, Chrome, Safari, Opera, …). Además se lanza en el año 2006 el DNI electrónico que trae consigo sus propios problemas: la necesidad de adquirir un lector, la necesidad de instalar el software del DNI y en algunos casos también para el lector, problemas específicos del DNIe como una gran lentitud o peticiones excesivas del PIN, confusión creada por la temprana caducidad de sus certificados, mucho más corta que la validez del DNI en sí (30 meses frente a 5/10 años), etc.

El resultado es que a día de hoy España hay más de 21 millones de DNIe expedidos, pero ni un 5% de sus titulares han utilizado sus certificados alguna vez[1]. Se puede leer con frecuencia la afirmación del liderazgo mundial de España en la introducción de un documento de identidad nacional electrónico, pero estas cifras sugieren que hay que relativizar mucho este logro.

Con la creciente heterogeneidad del entorno se hace patente el hecho fatal de que los fabricantes no siguen pautas comunes del uso de certificados X.509 en sus productos, junto con deficiencias y fallos particulares según el caso. Esta situación se puede comparar en cierta medida en los problemas con la visualización de páginas Web en los primeros años de Internet debido al uso de elementos no estándar e incumplimiento de los estándares en algunos de los navegadores, lo que se traducía en problemas para visualizar correctamente algunas páginas.

Todo esto provoca en definitiva que los detalles complejos de la tecnología no le queden los suficientemente ocultos al usuario, se ve expuesto a ellos sin estar preparado para manejarlos. Para solucionar sus problemas en muchos casos el ciudadano ha de enfrentarse a conceptos no triviales que le suenan simplemente a chino: almacén de certificados, certificado raíz, clave privada, etc.

Otro gran foco de problemas es el uso de la firma electrónica en la Web debido a que los navegadores no disponen de manera “nativa” de la funcionalidad necesaria para realizar firmas electrónicas y con los formatos necesarios, esto no llega a formar parte de los estándares Web. La firma electrónica basada en certificado electrónico en sí está perfectamente normalizada, pero no hay ningún estándar Web que diga que esta funcionalidad deba formar parte de un navegador y como habría de ser utilizada en tal caso por la aplicación Web.

Por tanto, la organización, pública o privada, que quiera utilizar firmas electrónicas vía Web se ve obligada a desarrollar componentes específicos para ello, pequeños programas (del tipo “Applet” o “ActiveX”), que se incrustan dentro de la página donde el usuario ha de firmar y que se encargan de realizar la firma.

Estos componentes se enfrentan a un problema doble problema: son considerados como potencialmente peligrosos por el navegador y están por tanto sujetos a importantes restricciones de seguridad que pueden llegar incluso al extremo de la prohibición de su ejecución. La consecuencia es que aparece el problema de la correcta configuración del navegador del usuario para que se puedan ejecutar.

Por si esto fuera poco, contamos además con el problema antes comentado de la heterogeneidad de los navegadores, con un soporte desigual al uso de certificados y un amplio abanico de versiones que han ido saliendo a lo largo del tiempo y que hoy conviven felizmente en el parque de los equipos de los ciudadanos. He aquí otra gran fuente de incidencias.

De nuevo se producen los problemas propios de la falta de estandarización: pautas de uso distintas y explosión de la combinaciones de productos tecnológicos y versiones de los mismos diferentes (sistema operativo + navegador + componente de firma).

Todo esto ha supuesto un problema enorme para poder desarrollar aplicaciones Web de servicios electrónicos que usen certificados electrónicos y firma electrónica. La realidad es que se genera una excesiva cantidad de incidencias y la usabilidad de cosas como la correcta instalación y ejecución de los componentes de firma electrónica.

La faena se ha rematado con los graves problemas de usabilidad con los que ha nacido el DNI electrónico, lo que ha provocado que mucha gente prefiera el certificado “de toda la vida” de la FNMT, a pesar de ser, en teoría, una solución peor al DNIe.

No obstante, recientes novedades crean una cierta esperanza de que los problemas de usabilidad del DNIe puedan mejorar sensiblemente a medio plazo, aunque aun así queda por solucionar el problema del entorno tecnológico que no se encuentra en un estado adecuado para que la Administración electrónica pueda eclosionar verdaderamente dando paso a un uso masivo de los servicios electrónicos.

Conclusiones

Queda claro por tanto, que en la actualidad la situación del uso de certificados electrónicos en los servicios públicos dista mucho del ideal. La pregunta que surge es naturalmente cuales son las alternativas. Sobre esta cuestión intentará arrojar algo de luz el siguiente artículo de esta serie.

Actualización importante [20-04-2011]

David Blanco y Julián Inza han publicado justo al día siguiente de salir esta entrada dos post que he enlazado desde sus nombres y que analizan los problemas y perspectivas del DNIe. Me parecen lecturas imprescindibles sobre la materia. Se refieren ambas a este artículo que pertenece a una serie en la que hemos colaborado con el Diario de Navarra.

Lo dicho: imprescindible.

[1] http://www.microlopez.org/2010/01/05/carta-a-los-reyes-magos-que-se-use-el-dni-electronico/

Los Certificados Electrónicos ¿Solución o Pesadilla? II. Los Certificados Electrónicos como Solución de Identidad Digital

Alberto — Thu, 14 Apr 2011 06:30:19 +0000

En la época de las primeras soluciones de Administración electrónica basadas en el uso de certificados electrónicos a finales de los años 90 (p.ej. presentación telemática de la declaración de la Renta en 1999), salvando áreas y soluciones muy concretas, por ejemplo, en el ámbito del comercio electrónico, el sector de las TIC optaba por lo general en las relaciones electrónicas con sus clientes por soluciones de identidad digital con prestaciones insuficientes para la Administración Pública, incluso en ámbitos sensibles como la banca online.

Este tipo de soluciones, como usuario y contraseña o tarjetas de claves, habituales en el sector privado, no satisfacían, sin embargo, los requisitos que planteábamos anteriormente. Algunas de sus carencias más importantes eran la falta de una identidad digital única e interoperable (las parejas usuario/contraseña se emitían por cada proveedor y sólo se reconocían por éste), la gestión y distribución de las credenciales (múltiples usuarios y contraseñas, explosión de claves secretas para el cifrado entre n interlocutores, etc.), la ausencia de un marco normalizado para la creación y verificación de firmas electrónicas (cada maestrillo con su librillo…) y su relativa laxitud en términos de seguridad (ausencia de comprobaciones rigurosas de la identidad real de la persona en cuestión, etc.).

Una solución adecuada de identidad digital para la Administración Pública tenía que identificar y autenticar al ciudadano y a los órganos administrativos con las debidas garantías ya anteriormente discutidas, y de manera interoperable entre estos y entre las diferentes Administraciones Públicas. A esto hay que sumarle las necesidades relativas a los documentos administrativos y aquellos aportados por los ciudadanos: una firma electrónica con características avanzadas. Se trata nuevamente de mantener las garantías jurídicas necesarias para poder reconocer la validez de estos documentos que se concreta, fundamentalmente, en garantizar la autoría del firmante e integridad de los documentos firmados.

Por suerte, ya existían tecnologías alternativas maduras y potentes como el estándar de infraestructuras de clave pública X.509 de la Unión Internacional de Telecomunicaciones. X.509 fue publicado oficialmente en 1988 y asume un sistema jerárquico estricto de autoridades de certificación (ACs o CAs de sus siglas en inglés) para la emisión de certificados.

Las características clave de este estándar que lo han convertido en la solución por excelencia para asegurar el cumplimiento de las garantías jurídicas anteriormente descritas por en la vía electrónica se resumen básicamente lo siguiente:

Los principios matemáticos (criptografía asimétrica) en los que se basan los certificados empleados en este estándar le confieren un extraordinario grado de seguridad, prácticamente imposible de quebrantar.
Permiten la identificación, autenticación y la firma electrónica de documentos, junto con la garantía de la integridad de dichos documentos (es decir, que una vez firmados, no han sido modificados). Además, permiten el no repudio, el firmante no puede negar haber firmado el documento.
Gracias a la intervención de un tercero de confianza permite implementar una identidad digital interoperable, de fácil difusión y de relativamente fácil verificación.
Cuenta con mecanismos para revocar los certificados ante determinadas situaciones, por ejemplo, si se piensa que un certificado haya podido ser comprometido y una persona es relavada de su puesto. En este caso el certificado electrónico se puede revocar de modo similar a la baja de una tarjeta de crédito. Por otra parte, los certificados cuentan con un periodo limitado de vigencia que se puede comprobar fácilmente en el propio certificado.
Existe un tercero de confianza conocido (la autoridad de certificación y/o autoridad de registro) que realiza los procesos de comprobación de la identidad del sujeto del certificado a través de cadenas de confianza. Esto ofrece las garantías de que la identidad en cuestión haya sido debidamente comprobada, la CA ofrece además servicios electrónicos de validación del certificado y su vigencia (que no haya sido revocado).
Los certificados permiten funcionalidades avanzadas como atributos que especifican algún tipo de característica adicional concreta. Un ejemplo típico sería un certificado para un cargo público o privado al cual se le asocian límites de su competencia, un ejemplo típico: una cantidad límite para transacciones económicas.

Todas estas características hacen de la tecnología de certificados una tecnología que a priori resulta ideal como solución de identidad digital y de firma electrónica interoperable para la Administración Pública.

Por tanto, la adopción de esta tecnología por la Administración Pública ha sido una consecuencia natural, junto con su integración en el marco legal para proporcionar la necesaria cobertura jurídica a su utilización, tanto en el sector público como privado.

Sin embargo, en la práctica, la utilización de certificación x.509 en los servicios electrónicos no ha sido un camino de rosas. Hablaremos de ello más detenidamente en el siguiente artículo.

Los Certificados Electrónicos ¿Solución o Pesadilla? I. Los Certificados en la Trámitación electrónica

Alberto — Mon, 11 Apr 2011 06:30:18 +0000

Aprovecho la ocasión para publicar aquí un artículo redactado originalmente hace unos meses para una charla en la Sociedad Española de Informática de la Salud sobre las experiencias que hemos tenido en el Instituto de Salud Carlos III con los certificados electrónicos y la firma electrónica en nuestros trámites hasta la fecha.

El artículo mantiene, no obstante, una visión generalista de reflexión, pequeño análisis e interpretación personal de lo que ha sido el trabajo con certificados electrónicos en general a lo largo de ya más de una década en la Administración Pública.

Es un artículo que puede servir como introducción al uso de certificados electrónicos y la firma electrónica en la Administración a aquellos lectores interesados en conocer este terreno. En ese sentido, intenta resumir de una manera sencilla las razones básicas del uso de certificados electrónicos y la firma electrónica en la Administración Pública, sus problemas y las perspectivas actuales.

Aquellos lectores que cuenten con conocimientos avanzados de esta tecnología no van a descubrir nada nuevo bajo el sol, pero puede ser interesante contrastar nuestra visión de las cosas.

El artículo se publicará en varias entregas:

Vamos allá con la primera parte.

El Papel de los Certificados Electrónicos en la Tramitación electrónica

La plena implantación de la Administración electrónica a través de la Ley 11/2007 ha supuesto múltiples retos técnicos y organizativos para los órganos responsables de la gestión de los procedimientos administrativos y servicios públicos y para la Administración Pública en su conjunto.

Si hubiera que destacar alguno, seguramente sería acertado mencionar la necesidad de trasladar las garantías jurídicas de nuestro derecho administrativo a la vía electrónica.

Dar respuesta a esta exigencia se traduce en la necesidad de unos requisitos técnicos que ya se reflejaban en las primeras normas del marco legal de la Administración electrónica como el Real Decreto 263/1996, de 16 de febrero, por el que se regula la utilización de técnicas electrónicas, informáticas y telemáticas por la Administración General del Estado, derogado ahora por la Ley 11/2007.

Estos requisitos se pueden resumir básicamente de la siguiente manera:

La correcta identificación y autenticación de los participantes en los actos administrativos, tanto ciudadanos como Administración.
La integridad, autenticidad y no repudio[1] de los documentos que forman parte de los expedientes administrativos y la confidencialidad de sus contenidos cuando son transmitidos a través de redes públicas como lo es Internet.
La disponibilidad de estos documentos para poder acceder a ellos y recuperarlos en cualquier momento.
La adecuada conservación a de estos documentos que se traduce básicamente en que los sistemas dispongan de los mecanismos técnicos que eviten los documentos no se dañen o extravíen. Se podría añadir además la conservación a largo plazo (el archivado) que implica, entre otras cuestiones, la correcta gestión de las evidencias electrónicas necesarias para probar la autenticidad de los actos administrativos y documentos aportados por los ciudadanos a lo largo del tiempo.

Como veremos en el siguiente artículo, se identificó como solución técnica adecuada a estos requisitos la utilización de certificados electrónicos X.509 para la implementación de una identidad digital y la validación de firmas electrónicas.

[1] El concepto de no repudio se refiere a la imposibilidad de negación de un acto determinado por parte del autor que lo haya realizado. Por ejemplo: una firma electrónica que cumpla la característica de no repudio contiene las evidencias suficientes para que al autor de la firma le sea imposible negar que sea suya.

¿Cuánto sabes de Administración Electrónic@?

Alberto — Sun, 16 Jan 2011 08:00:28 +0000

Aprovechando que estoy poniendo al día material didáctico para cursos relacionados con la administración electrónica del 2011 publicaré de vez en cuando algunos de estos documentos para aquellos lectores que les puedan interesar.

En esta ocasión se trata de un ejercicio tipo test de los que utilizo para comprobar que los alumnos se hayan quedado con las ideas clave y detectar cosas en las que sea necesario profundizar. Estos tests son temáticos y el de hoy se centra en la identidad digital y los certificados electrónicos.

Se trata de 25 preguntas de respuesta múltiple, algunas muy sencillas, otras más puñeteras. Se adjunta además un documento con las respuestas, con comentarios en aquellos casos en los que me parece que la respuesta no es evidente o admite cierto grado de discusión.

Mi propuesta para el lector que se anime a realizar este pequeño test es hacerlo con el método utilizado habitualmente en los procesos selectivos que consiste en asignar un punto a cada respuesta acertada y penalizar las respuestas erróneas, propongo hacerlo restando medio punto por cada error.

Si alguien encuentra con esta la excusa para ponerse un poco al día en la materia, encontrará por supuesto en el Manual Práctico de Supervivencia en la Administración Electrónic@ casi todo lo que necesita para repasar los conceptos que se tocan en el test.

Recomiendo también esta serie de presentaciones publicadas en el blog de Félix Serrano porque en poco espacio dan una visión global muy completa de la administración electrónica y su evolución.

¿Cuál seria un buen resultado? A mi juicio a partir de la mitad la puntación máxima posible (12,5 puntos) sería un resultado bastante bueno para alguien que se haya estudiado un poco la materia.

El documento de preguntas se encuentra en la sección de Documentos de este blog, junto con el documento de las respuestas.