Social Icons

twitter facebookgoogle pluslinkedinrss feedemail

miércoles, 20 de marzo de 2013

I'm siiiiiiiigning in the cloud ...

(música de cantando bajo la lluvia de fondo)

La semana pasado tuvo lugar en Barcelona el ETSI ESI Workshop sobre firma en la nube, al que tuve la oportunidad de asistir (bueno, a la sesión abierta, claro.)

Se concentraba allí la flor y nata de la firma electrónica a nivel europeo para discutir sobre lo que el mercado lleva demandando años y al que sólo algunos países han escuchado: firma electrónica reconocida en la nube, es decir, que las claves de firma no las lleve el firmante encima, en su tarjeta criptográfica, USB criptográfico, DNIe u otro dispositivo, sino que estén en un servidor y que se pueda acceder a ellas de forma sencilla, con tecnologías que el ciudadano de a pie más o menos domine.


La verdad es que fue una sesión muy reveladora, en la que habían tantos puntos de acuerdo como opiniones enfrentadas.

El problema de la firma electrónica remota está claro: ¿cómo se puede garantizar el control exclusivo del firmante, si las claves no las tiene él, sino que están en un servidor remoto y para acceder al cual hay que pasar por redes de telecomunicaciones públicas?

Pero también afloraron otras cuestiones no menos relevantes: ¿por qué nos empeñamos en realizar firma electrónica reconocida remota si, posiblemente, con firma electrónica avanzada sería suficiente?, o ¿qué es lo realmente difícil de lograr en la firma remota, que el dispositivo sea considerado un dispositivo seguro de creación de firma (requisito necesario pero no suficiente para generar firma electrónica reconocida) o garantizar el control exclusivo del firmante sobre sus claves (condición necesaria para generar firma electrónica avanzada)?

Más o menos, siguiendo una secuencia temporal, la cosa fue así (sólo cito lo más relevante desde mi punto de vista):

Jonathan Allin, de Thales, fue rotundo: los estándares actuales no están enfocados para que un HSM (dispositivo hardware de seguridad con el que se podrían centralizar claves y habilitar la firma electrónica remota) pueda producir firmas electrónicas reconocidas. Lo que deja ver que, si no se cambian los estándares, no hay nada que hacer.

Riccardo Genghini, ante las insinuaciones de que el problema está en la ley, carga contra los fabricantes de soluciones indicando que la ley no tiene ningún problema y el problemas es tratar de vender firma electrónica reconocida remota, cuando para la mayoría de los propósitos la firma electrónica avanzada es más que suficiente y, en principio, debería ser más fácil de lograr la generación de firmas electrónicas avanzadas remotas (¿seguro?.) Los fabricantes de soluciones y proveedores de servicio no han sabido dar valor añadido a la firma electrónica avanzada. Pero claro, cuando a un cliente le dices: la firma electrónica reconocida tiene equivalencia con la manuscrita y la avanzada, ya veremos, ¿qué quiere el cliente?

Julien Stern, de Cryptolog también expuso varios puntos muy interesantes: ¿que una organización cumpla los requisitos para emitir certificados electrónicos reconocidos, implica que también pueden ofrecer un servicio de firma electrónica remota? Claramente no, los requisitos son distintos o , ¿por qué nos empeñamos en comparar el sistema de firma electrónica remota con un dispositivo seguro de creación de firma? En el segundo caso estamos hablando de puro hardware y algo de software (middleware de acceso a la tarjeta/token) y en el primero de hardware, software, protocolos de comunicación, procedimientos, servicios.
Es evidente que las reglas que sirven para evaluar un SSCD no sirven para evaluar un Servicio de Firma electrónica Remota. Propone que se acuñen las siglas SSCS como Secure Signature-Creation Service (o System, apunta Jonathan Allin.) Y para este SSCS es para el que se deben desarrollar los estándares que demanda Jonathan Allin.
También nos dejó claro que, a día de hoy, en Francia no están permitidos sistemas de firma electrónica reconocida en remoto. [Off-topic: Alemania tampoco permite firma electrónica reconocida en remoto]

En Noruega lo tienen claro, Rune Hagen nos explicó en qué consiste Norwegian BankID y abiertamente admitió que ni era un sistema que generase firmas electrónicas reconocidas ni pretendía serlo, simplemente era un sistema razonablemente seguro para realizar un gran número de transacciones y tanto los bancos como el estado, han permitido hacer mucha operativa a los ciudadanos noruegos con este sistema. Si bien ha sido una gran fuente de eficiencia para Noruega es difícilmente exportable y más difícil aún un reconocimiento transfronterizo, entre otras razones por su dependencia de los bancos y por lo alejado que está de las iniciativas europeas de firma e identidad electrónica entre países.

Austria, según nos cuenta Peter Lipp, piensa que un dispositivo seguro de creación de firma puede ser virtual, así como  un carné de identidad nacional también puede serlo. Y así han interpretado la directiva europea de firma electrónica, han legislado y sus ciudadanos pueden hacer firma electrónica reconocida (sólo en Austria) para multitud de trámites. Sinceramente, me parece una interpretación muy laxa de la directiva y sus requisitos. La alternativa Noruega es más limpia.

Pero Italia tiene un enfoque muy interesante. Andrea Caccia explica que en Italia se permite la firma electrónica reconocida remota, pero es necesario pasar una evaluación de conformidad. Existe un procedimiento (IT) que, dependiendo desde qué grado de cumplimiento se parte, indica qué requisitos extra debe cumplir el sistema para poder generar firmas electrónicas reconocidas.

Y finalmente, Franck Leroy, explica los trabajos sobre el solicitado estándar, el borrador del CEN Server signing - TS 419 241: Security Requirements for Trustworthy Systems Supporting Server Signing. Se trata de una especificación técnica multiparte y actualmente se está trabajando en la primera, que sería como la presentación u Overview. Las dos partes siguientes corresponderán a la definición de los requisitos de los niveles 1 y 2, tratando de asimilar el nivel uno con firma electrónica avanzada y el nivel dos con firma electrónica reconocida. En el segundo caso será necesaria autenticación de dos factores, algo que sé y algo que tengo. ¿Es ésta la solución?

Desde mi punto de vista, si la división entre firma electrónica avanzada y reconocida ha creado tantas dudas, paralizado tanto el mercados y generado tanta controversia, la definición de estos dos niveles en el mejor de los casos traslada el problema a otra parte, pero incluso puede llegar a empeorar la situación de duda y parálisis. ¿Es posible que un sistema remoto genere AdES sin usar autenticación fuerte?

Pero, después de todo lo anterior, la duda más trascendental con la que me voy es la siguiente: ¿es necesario (o incluso viable) definir dos niveles de firma electrónica y que ambos deban ser válidos en todo el espacio económico europeo? ¿qué pasaría si sólo se legislara a nivel europeo la firma electrónica reconocida y se deje a cada país otros niveles, para que puedan inventarse soluciones tan eficientes y efectivas como la noruega?


--
Si este artículo te ha parecido interesante, por favor, compártelo usando cualquiera de los botones de debajo.