Social Icons

twitter facebookgoogle pluslinkedinrss feedemail

jueves, 27 de junio de 2013

Un puente de firma electrónica entre continentes

Si uno se basa en las noticias que le llegan  por Google Alerts sobre "electronic signature" o "digital signature" puede llegar a pensar que en Estados Unidos sólo se firma sobre tableta (captura de firma manuscrita) y en el negocio inmobiliario.

Si esto fuera así, ¿qué futuro tiene toda la inversión que hace Europa en promover (no explícitamente, claro, aquí las leyes las hacemos "neutrales tecnológicamente") los sistemas de firma basados en certificados electrónicos y PKIs (Public Key Infrastructure) y, en segunda instancia, en tarjetas criptográficas (donde las empresas europeas como Giesecke & Devrient o Gemalto son los principales players a nivel mundial)? Desde luego no estaríamos yendo hacia soluciones adoptadas ampliamente ...


puente de firma electrónica entre dos continentes
Pero resulta que no sólo de captura de firma viven en EE.UU. Buscando cualquier otra cosa doy con la ETSI TR 102 458 V1.1.1 (2006-04); Technical Report; Electronic Signatures and Infrastructures (ESI); Mapping Comparison Matrix between the US Federal Bridge CA Certificate Policy and the European Qualified Certificate Policy (TS 101 456.)

Lo primero que llama la atención es que nos hemos quedado en una versión bastante inicial (1.1.1.) De hecho, mirando el histórico de versiones, es la primera versión publicada ...

Lo segundo que llama la atención es la antigüedad del documento (año 2.006!!) y que no se hayan publicado revisiones del mismo.

Y lo tercero es, ¿pero si en EE.UU. firman en tableta, de qué me están hablando de US Federal Bridge CA (FBCA)? Pues eso, que en EE.UU., las cosas importantes, las firman utilizando certificados, criptografía asimétrica y PKIs.

Una breve introducción a la US Federal Bridge CA


La FBCA es un sistema de información que facilita la aceptación de certificados entre las distintas agencias federales de los EE.UU. y, desde hace unos años con otras Autoridades de Certificación (CA por sus siglas en inglés) del extranjero.

Ha sido diseñada para crear rutas de confianza entre las PKI individuales de la agencias federales, se basa en un modelo de PKI distribuida (NO jerárquica) y los productos comerciales forman parte de la red de CAs.

La FBCA emite certificados cruzados dentro de la red para unificar (equiparar) niveles de diferentes productos.

Bien implantada podría llevar a la reducción del número de políticas de certificación, que tanto trabajo innecesario están provocando en España

La idoneidad del "mapeo"


Como he comentado anteriormente, esta red de certificados cruzados pretende equiparar certificados de diferentes Prestadores de Servicios de Certificación que cumplen unos requisitos (de procedimientos y seguridad básicamente) similares, de forma que unos certificados puedan utilizarse en los entornos para los que han sido desarrollado los otros. Por ejemplo, que los certificados reconocidos según la legislación europea puedan ser utilizados en el Departamento de Defensa (DoD) de los EE.UU., que tiene su propia PKI.

De los diferentes niveles que define la FBCA, la ETSI 102 458 recoge la equivalencia de requisitos entre el nivel medio (medium) de la FBCA y los certificados reconocidos (QCP - Qualified Certificate Policy) definidos en otra ETSI, la TS 101 456. Dentro del nivel "medium", se incluyen las opciones "medium hardware" equivalente a certificado reconocido+dispositivo seguro de creación de firma (QCP+SSCD) y "medium - Commercial Best Practices".

En el documento se confrontan las diferentes secciones de la QCP (ETSI TS 101 456), con las correspondientes de la FBCA CP y se indica su grado de equivalencia, que puede ser:
  • Sobrepasa: la FBCA CP proporciona un nivel más alto de seguridad que el requisito QCP.
  • Equivalente: la FBCA CP proporciona exactamente la misma garantía de seguridad que el requisito QCP.
  • Comparable: la FBCA CP proporciona un nivel de garantía de seguridad comparable con el requisito QCP.
  • Parcial: la FBCA CP contiene puntos que son comparables, pero no abarca todo el requisito de QCP. Mediante notas, se indica qué puntos son lo que no quedan cubiertos.
  • No comparable: la FBCA CP y la QCP  tienen contenido diferentes, proporcinando el del primero un  nivel de seguridad inferior al del segundo.
  • Ausente: la FBCA CP no contiene contenidos que se pueden comparar con el requisito QCP de ninguna manera.
  • No aplica: la implementación de la FBCA CP es tal que el mapeo al requisito QCP en esta área no es apropiado.
Tanto un resumen de la matriz, que por extensión (a pesar de ser un resumen) no incluyo, como el detalle del estudio comparativo se encuentran en el informe técnico objeto de esta entrada (ETSI 102 458)

Como conclusión ...z


... cabe destacar que el mapeo es positivo, es decir, que se pueden equiparar los niveles, teniendo las mayores divergencias en lo referente a gestión de claves y los servicios a ofrecer a suscriptores y terceras partes que confían en los certificados.

Como era de esperar, los requisitos de QCP son más garantistas respecto a los individuos.

Lamentablemente ...


... y como ya se ha apuntado, este informe técnico no ha sido revisado desde 2006, y se basa en la FBCA CP versión 1, que definía un conjunto de siete (7) políticas de certificado correspondientes a cinco (5) niveles de seguridad (Rudimentary, Basic, Medium, Medium Hardware, y High), mientras que la versión actual es 2.26 de abril de 2.012 y define doce (12) políticas de certificado correspondientes a seis (6) niveles de seguridad (Rudimentary, Basic, Medium, PIV-I Card Authentication, Medium Hardware, y High)

Una revisión del informe se hace necesaria si realmente desde Europa deseamos que nuestros prestadores de servicios de certificación puedan salir a vender fuera de Europa.


--

Si este artículo te ha parecido interesante, por favor, compártelo usando cualquiera de los botones de debajo.