Skip to content

Nou impuls a la eAdministració catalana amb “sistemes alternatius al certificat digital”

25 Enero, 2012
by Santi Casas

El Govern de la Generalitat, a la reunió d’ahir, va decidir donar un nou impuls a l’Administració Electrònica, i preveu un estalvi d’uns 1.000 milions d’euros amb una inversió de tres.

Sens dubte cal felicitar-se de la iniciativa, però hi ha un tema que segur que portarà debat. Quan parla dels “sistemes alternatius al certificat digital”. Transcric:

Alternatives als certificats digitals: Obrir el món de la signatura digital als ciutadans i les empreses, oferint-los sistemes alternatius al certificat digital, amb menys requeriments. Aquests sistemes, si bé no són vàlids per a tots els casos, sí que ho són per a la majoria de tràmits que actualment es duen a terme amb l’Administració. Amb aquesta actuació es preveu incrementar significativament l’ús de l’administració electrònica per part de col·lectius poc familiaritzats amb les tecnologies de la informació.

He de reconèixer que tinc un sentiment contradictori amb aquest acord en funció de com finalment es desenvolupi.

Soc dels que he defensat (i defenso) que els certificats digitals no són un bon sistema d’autenticació. Tenen diversos problemes d’usabilitat que ha portat a que els usuaris no en facin ús. És per això que fa anys que participo en iniciatives com OpenID i segueixo força d’aprop les iniciatives nordamericanes de la ICAM i del NSTIC. Es a dir, crec que la identidad digital no passa (o no passa només) pels certificats digitals, tot i que aquests ens poden ajudar a donar seguretat a d’altres identitats que avui utilitzem diàriament (google, microsoft live, facebook, twitter …)

Ara bé, que els certificats digitals no siguin un bon sistema d’autenticació no significa que no siguin adequats per a la signatura. No és el mateix autenticació que signatura. Els models basats en criptografia asimètrica s’han demostrat els més eficaços per a garantir la seguretat jurídica dels documents signats. Cal facilitar-los i fer camins més usables (en això hi ha força gent que estem treballant i avui tenim solucions adequades) però el “joc dels barquets” (les targetes de coordenades de la banca electrònica) no pot ser una alternativa.

Conclusió: Espero que es separi clarament l’autenticació de la signatura i, que a l’autenticació ens apropem a les tendències internacionals d’identitat digital sense renunciar a sistemes que facin us de models PKI per a la signatura electrònica.

13 Comments leave one →
  1. 25 Enero, 2012 8:53 am

    Buenas.
    Aunque creo que los certificados digitales sí que pueden ser un elemento interesante para la identificación, reconozco que no se ha tenido en cuenta la usabilidad para hacerlo posible.

    Estoy muy de acuerdo con la separación que haces entre la identificación y la firma, sin olvidarnos del cifrado, otra de las capacidades que nos puede dar un certificado y la calidad que alcanza es altísima.

    Un saludo.

    • 25 Enero, 2012 10:04 am

      Pedro, gracias por el comentario.

      Creo que poco a poco los que llevamos un tiempo en esto estamos en líneas semejantes.

      El temor es que si los modelos de PKI se convierten en un problema los usuarios se los cargarán (evolucionismo puro y duro xD) y iremos a un mundo más inseguro jurídicamente.

  2. 25 Enero, 2012 2:34 pm

    Aiiii Santi,

    Que això només portarà baixada dels nostres negocis (dels que ens dediquem a la signatura electrònica i a la seguretat de la informació) i confusió. No crec que vagin a deiferenciar signatura d’autenticació i, com a tots els polítics, només busquen peles i peles i peles… Això és una estocada forta a la tecnologia PKI, no hi tinc cap dubte.

    Ah! I no et pensis, coincideixo amb tu em que no és una bona eina per autenticació, però això és una conclusió que només poden tenir 4 freaks com nosaltres, la resta, al bulto.

    En fi, com diem alguns: AJO Y AGUA

    Salut i peles!

    • 25 Enero, 2012 2:45 pm

      Jordi, per a això he escrit el post.

      I per això no hem de parar d’explicar “que no es lo mismo el tocino que la velocidad” xD

  3. 30 Enero, 2012 2:04 pm

    Estic d’acord amb l’administració catalana. Crec que no convé confondre administració electrónique amb els certificats electronics. La llei 11/2007 parla del principi de proporcinalitat, però no hi fa ús. Recentment la AEAT ha publicat una norma on exté les formes d’autenticació per facilitar l’accés dels ciutadans als serveis electronics. El que cal fer és categoritzar els procediments per a determinar el seu nivell de seguretat. No es el mateix demanar un dret simple que renunciar a un dret important. O es que algú es sent indefens quan demana un domini d’internet? També al mon analogic nos es compra una casa com s’obre un compte corrent.

    • 30 Enero, 2012 2:08 pm

      Completament d’acord cal definir diferents nivells de seguretat en funció del procediment. Ara bé, hem d’anar en compte de no aprofitar l’excusa del poc ús i ara anar-nos a l’altra extrem i oblidar-nos absolutament dels mecanismes segurs (quan calen, òbviament).

      • 30 Enero, 2012 8:10 pm

        A l’Oficina Española de Patentes y Marcas hem arribat al sostre de la activiat electrònica per què els usuaris recurrents són tots ben preparats per al nostre sistema (normalment agents o intermediaris), però per als usuaris extemporanis és molt difícil treballar amb les nostres eines electròniques. Quan puguem oferir serveis telemàtics segurs amb alternatives al certificat digital, podrem trencar el sostre del 65% de sol·licituds electròniques per a marques o del 55% de sol·licituds electròniques per a patents. També treballem en la preparació del pagament amb targeta per afavorir l’activitat telemática dels nostres usuaris. Ara mateix utilitzem la pasarel·la de la AEAT que requereix certificat.

  4. Núria Mombiela permalink
    31 Enero, 2012 12:05 pm

    Os hago un pequeño comentario que ya reporté en otro debate de este mimo grupo. La normativa actual dibuja un panorama donde la identificación y la firma electrónica pueden ser realizadas por diferentes tipos de credenciales, con diferentes niveles de seguridad. El Servicio de Clasificación (Consorci AOC-CATCert), clasifica estos niveles de seguridad, tanto en los mecanismos o sistemas que ofrece la propia CATCert como cuando los ofrecen otras entidades (como los prestadores de servicios de certificación). Os invito a visitar la web http://www.catcert.cat, servicio de clasificación de identidades y atributos.
    Se está estudiando un nuevo “Marco Conceptual de Clasificación”, que englobaría los mecanismos de Identificación y de autenticación digital y el de firma electrónica, justificando el proceso de identificación de estos niveles. También se pretende definir los criterios per permitan establecer qué nivel se le otorga a un determinado mecanismo o servicio de identificación y de autenticación digital o de firma. Es lo que se llama “esquema multinivel”.

    • 31 Enero, 2012 12:13 pm

      Núria, gracias por tus comentarios.
      Conozco el sistema y se del esfuerzo que significa la clasificación (más aún si se incluyen atributos).
      Me gusta el modelo de los cuatro niveles (que a su vez utilizan la mayoria de organismos de estandarización), aunque sigo pensando que no es buena idea mezclar los sistemas de autenticación y los de firma.

  5. 7 Febrero, 2012 9:10 pm

    Sembla que el temps va posant cada element al seu lloc.

    Sobre l’ús dels certificats per l’autenticació:
    Penso que són la millor alternativa com a mitjà d’autenticació a l’hora d’establir canals de comunicacions segures entre dispositius (protocols https, vpn’s, etc.).

    Quant a l’ús per part de les persones i tenint en compte que:

    *fa més de 4 o 5 anys que costa el mateix esforç, molt, instal•lar-se un lector de certificats i fer-lo operatiu amb les possibles combinacions de maquinari + sistema operatiu + navegador web.

    *Des de la mateixa Administració Central reconeixen que la incidència més freqüent en l’ús dels milions de eDNI’s expedits, és que el certificat està caducat.

    *El sector bancari no ha adoptat de forma massiva l’autenticació amb certificat (molts ho admeten però com alternativa residual)

    *Hi ha hagut incidències greus de vulnerabilitat de claus privades dels certificats arrel d’autoritats emissores reconegudes.

    …penso que el temps també, va apartant aquesta tecnologia de l’ús popular.

    En el context de la tramitació telemàtica només cal una autenticació amb la seguretat que proporciona un certificat, en els casos on la tramitació és totalment telemàtica (i encara). Normalment tard o d’hora t’has de presentar a l’Administració (moment ideal per autenticar el què calgui) per a completar un tràmit. La tramitacio telemàtica et pot estalviar algun viatge, que no és poc.

    Quant a l’ús per a signar:
    Torno a l’ús que poden fer els dispositius a l’hora d’aplicar polítiques de preservació dels documents, signant-los recurrentment per a garantir continguts, formats, etc.. En general en els casos on s’aplica signatura automàtica d’òrgan. Els trobo adequats.

    Pel que fa a la signatura personal de documents o formularis, aquí si que no veig alternativa millor que l’ús de la signatura reconeguda amb certificats digitals.

    Tornant a la reflexió d’aquest fil, cal trobar el punt ideal de proporcionalitat i relegar l’ús dels certificats allà on puguin ser realment eficients.

    • 25 Marzo, 2012 10:25 am

      Joan Carles, bàsicament d’acord. No hem de ser fonamentalistes amb les tecnologies. Hem d’usar el sentit comú.

      Perdoneu que hagi trigat tant en contestar, però he anat bastant de bòlid i he tingut el blog un pel abandonat …

  6. 14 Febrero, 2012 11:36 pm

    No siempre hace falta la firma, que nadie -excepto los bancos- discute que debe basarse en un certificado. Pero en estos momentos, dentro de una etapa de difusión y con clarísimas necesidades de adopción, tanto por parte de la “demanda” como de la “oferta”, me parece una buena idea, aquí y ahora, para un montón de trámites. Incluso la AEAT acepta este modelo en muchos de ellos.
    Creo que la medida impulsa la demanda, que es lo único que -para personas humanas- puede generar los ahorros. Éstos no se generan porque haya más servicios ofertados, sino porque se usen.
    Os habéis parado a pensar en trámites presenciales que,en realidad, no tienen ni la mitad de seguridad que tienen los telemáticos, aunque sean sin certificado?

    • 25 Marzo, 2012 10:27 am

      Sergi, totalment d’acord, i com be dius, la pròpia banca utilitza mecanismes de “part”. Es a dir, una de les parts interessades en la operació (la banca, que és la forta) és qui “garanteix” la operació …. Sempre m’ha semblat una mica lleig 😉

      Igual que amb el Joan Carles, perdona que hagi trigat tant en contestar…

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

* Copy This Password *

* Type Or Paste Password Here *