Social Icons

twitter facebookgoogle pluslinkedinrss feedemail

miércoles, 5 de febrero de 2014

Las últimas horas del REGLAMENTO europeo eIDAS. Firma electrónica, para entendernos.

Ya desde mediados del 2012 empezó a circular un primer borrador de lo que debería ser un REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.

Este REGLAMENTO sustituiría y ampliaría la actual DIRECTIVA 1999/93/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 13 de diciembre de 1999 por la que se establece un marco comunitario para la firma electrónica.

El pasado mes de enero, tuve la oportunidad de asistir al 3th Trust Service Provider Summit en Berlín.

Entre los ponentes se encontraban Gérard Galler, policy officer de la Comisión Europea, que explicó el estado actual del citado REGLAMENTO y los próximos pasos y Stefan Altmeppen, representante del Ministerio Federal de Economía y tecnología alemán (Bundesministerium für Wirtschaft und Technologie), quien explicó la postura de Alemania respecto a la actual propuesta

No pretendo analizar aquí ni el contenido de las ponencias ni el redactado actual del REGLAMENTO, ni sus implicaciones, sino la fase en la que está y los próximos pasos.

Para ser breve y conciso, este reglamento define seis servicios electrónicos a regular, a saber:

  1. Firma electrónica
  2. Sello electrónico
  3. Marca de tiempo electrónica (sellado de tiempo o timestamp
  4. Documento electrónico
  5. Entrega electrónica
  6. Autenticación de sitio web

Pero no todos los estados miembro creen que se deban regular todos. El máximo común denominador son los tres primeros. Todos los EE. M. están de acuerdo en regularlos. No ocurre así con los tres últimos y esto es lo que se está discutiendo en la actualidad a nivel europeo.

¿Qué puede cambiar?
Se argumenta, por ejemplo, que "Documento electrónico" no es un servicio, es una definición y como mucho un formato o conjunto de formatos que deben ser aceptados por las administraciones públicas europeas (recordemos el propósito del REGLAMENTO, centrado en "las transacciones electrónicas en el mercado interior".) Estoy de acuerdo con este punto, no se trata de un servicio, pero el reglamento puede cerrar una definición estándar (para europa, ya iremos luego a conquistar las américas) y posteriormente, mediante actos de ejecución (implementing acts), acabar definiendo los formatos de obligada aceptación.

Para la entrega electrónica, no se justifica tanto la problemática que presenta, pero me huelo que atenta contra monopolios o seudomonopolios nacionales tipo "Correos y Telégrafos" o "Deutche Post". Alemania es especialmente crítica con el redactado actual. Evidentemente no puedo estar más en desacuerdo. Este servicios debe ser estandarizado a lo largo de Europa y, además, abrirlo a la libre competencia del sector privado. Sólo de esta manera se logrará eficiencia.

Finalmente, el servicio de autenticación de sitios web, que no son más que certificados SSL o un sucedáneo de SSL EV llamado "certificado cualificado de autenticación de sitio web". Como ciudadano de a pie, me da un poco igual si esto se regula o no, si confiamos que el mercado se autorregule, pero como europeo y como trabajador del sector de la firma electrónica, me preocupa bastante que no se regule.

Como europeo porque es Europa quien más apuesta por la firma electrónica basada en criptografía asimétrica, somos potentes en eso y tenemos que defenderlo y potenciarlo, si realmente pensamos que aporta valor a la sociedad.

Como trabajador del sector porque la autorregulación del sector es en realidad un oligopolio  Microsoft, Mozilla y sobre todo Google (entre los tres tienen el 85% del mercado y sólo Chrome ya tiene el 44%), que con la posición dominante de sus navegadores, dictan las normas que los Prestadores de Servicios de Certificación se deben apresurar a cumplir. Por poner un ejemplo, el CA/Browser Forum, publicó en menos de un año publicó cinco versiones de sus "Baseline Requirements", que, resumiendo, son los requisitos que debe cumplir un prestador de servicios de certificación que emite certificados SSL para que éstos sean admitidos en los navegadores por defecto. ¿Os imagináis el trabajo de estos PSC's durante ese año, adaptando sus certificados, servicios y procesos a cada nuevo cambio?

Si finalmente el REGLAMENTO no regula los requisitos de los certificados SSL, perderemos una gran oportunidad de equilibrar poder de negociación en la mejora de la seguridad en Internet.

¿Qué echo de menos?
Lo más importante que echo de menos es que no se REGULE explícitamente la Firma Electrónica Avanzada basada en Certificado Reconocido.

Desde mi de vista, es un tipo de firma que ofrece varias ventajas respecto a los conceptos de firma electrónica avanzada a secas (AdES) y de firma electrónica reconocida (QES), a saber:
  • Respecto a la primera, al estar basada en un certificado reconocido ofrece muchas más garantías de vinculación e identificación del firmante (no hace falta recordar los requisitos de contenido y procedimiento para que un certificado sea considerado como reconocido.) lo que da tranquilidad a las terceras partes.
  • Respecto a la QES, no tiene los inconvenientes de los dispositivos seguros de creación de firma (DSCF). Recordemos que la falta de usabilidad siempre se ha asociado al lento despegue de la firma electrónica, y podríamos decir que el 90% de esa falta de usabilidad se debe al hecho de necesitar DSCF (tarjeta, lector, software, compatibilidad de sistemas operativos y navegadores, PIN, PUK y bloqueos de tarjeta, etc…)
  • Por otro lado, parece que la tendencia, tanto por las políticas de firma electrónica publicadas como por el éxito de certificados como idCAT de CATCert o el Clase 2 CA emitido por la FNMT-RCM es que la relación entre Administración Pública y ciudadano se basa en certificados reconocidos en soporte software, que no es un DSCF, situación que se podría asimilar a Firma Electrónica Avanzada basada en Certificado Reconocido (AdESQC)
Por ello, pienso que darle un peso específico a la AdESQC va en beneficio del país, de sus Prestadores de Servicios de Certificación (PSC) y del aumento de la eficiencia de la Administración Pública.
¿Y cuándo puede cambiar?
En este caso, tan importante como el qué es el cuándo. Pensemos que entre el 22 y el 25 de Mayo se realizan la elecciones al Parlamento Europeo. Esto significa que un mes antes se debe disolver.

Se prevé que se vote el REGLAMENTO entre el 15 y el 26 de abril, lo que implica que una versión definitiva del mismo tiene que estar lista a finales de febrero o a más tardar, la primera semana de marzo.

Esto tiene dos implicaciones:
  1. Que la versión actual del REGLAMENTO puede parecerse como un huevo a una castaña a la definitiva, así que es mejor esperar a la primera quincena de marzo para ver qué pinta tendrá
  2. Que puede ser que después de todos los esfuerzos no lleguemos a tiempo, la votación se pase a la siguiente legislatura y perdemos la oportunidad de aprobarlo a corto plazo.
Dicho esto, estemos atentos a las noticias que sobre el REGLAMENTO pueda haber en las próximas semanas.


--
Si este artículo te ha parecido interesante, por favor, compártelo usando cualquiera de los botones de debajo.