Nou impuls a la eAdministració catalana amb “sistemes alternatius al certificat digital”

El Govern de la Generalitat, a la reunió d’ahir, va decidir donar un nou impuls a l’Administració Electrònica, i preveu un estalvi d’uns 1.000 milions d’euros amb una inversió de tres.

Sens dubte cal felicitar-se de la iniciativa, però hi ha un tema que segur que portarà debat. Quan parla dels “sistemes alternatius al certificat digital”. Transcric:

Alternatives als certificats digitals: Obrir el món de la signatura digital als ciutadans i les empreses, oferint-los sistemes alternatius al certificat digital, amb menys requeriments. Aquests sistemes, si bé no són vàlids per a tots els casos, sí que ho són per a la majoria de tràmits que actualment es duen a terme amb l’Administració. Amb aquesta actuació es preveu incrementar significativament l’ús de l’administració electrònica per part de col·lectius poc familiaritzats amb les tecnologies de la informació.

He de reconèixer que tinc un sentiment contradictori amb aquest acord en funció de com finalment es desenvolupi.

Soc dels que he defensat (i defenso) que els certificats digitals no són un bon sistema d’autenticació. Tenen diversos problemes d’usabilitat que ha portat a que els usuaris no en facin ús. És per això que fa anys que participo en iniciatives com OpenID i segueixo força d’aprop les iniciatives nordamericanes de la ICAM i del NSTIC. Es a dir, crec que la identidad digital no passa (o no passa només) pels certificats digitals, tot i que aquests ens poden ajudar a donar seguretat a d’altres identitats que avui utilitzem diàriament (google, microsoft live, facebook, twitter …)

Ara bé, que els certificats digitals no siguin un bon sistema d’autenticació no significa que no siguin adequats per a la signatura. No és el mateix autenticació que signatura. Els models basats en criptografia asimètrica s’han demostrat els més eficaços per a garantir la seguretat jurídica dels documents signats. Cal facilitar-los i fer camins més usables (en això hi ha força gent que estem treballant i avui tenim solucions adequades) però el “joc dels barquets” (les targetes de coordenades de la banca electrònica) no pot ser una alternativa.

Conclusió: Espero que es separi clarament l’autenticació de la signatura i, que a l’autenticació ens apropem a les tendències internacionals d’identitat digital sense renunciar a sistemes que facin us de models PKI per a la signatura electrònica.

Temps de Canvis (i III). El canvi professional.

Porto més de 10 anys treballant en temes de PKI, de seguretat jurídica de les TIC, de signatura electrònica i de les seves aplicacions (com la factura electrònica). Pràcticament el 40% de la meva carrera professional.

Vaig començar a tocar aquests temes a IBERNET Telemàtica, vaig aprofundir a Doc On Time i a ANCERT, i als darrers quatre anys he estat desenvolupant aquest negoci al Grup Interactiva (ALBALIA, Atenea i EADTrust).

Crec que en general, en aquest sector hem estat massa “fundis”, el que ha provocat que els usuaris no estiguin fent ús de les solucions que em posat al seu abast i que ofereixen “tanta” seguretat jurídica. El desenvolupament de les xarxes socials i, l’impacte que te sobre els conceptes d’identitat digital fa que calgui repensar moltes coses i definir nous models.

En això estic. Deixo de formar part “orgànicament” del Grup Interactiva (tot i que seguiré col·laborant com a consultor extern) i arrenco un nou camí com a “freelance” que em permetrà col·laboracions més flexibles amb diverses entitats (pel moment amb ALBALIA, PIMEC, Red.es, NJOI.it …) , i anar construint models i solucions de seguretat jurídica a les TIC pels anys que venen.

Agrair a totes les persones amb que col·laborat a aquesta etapa a ALBALIA Interactiva, especialment al Julián, el Fernando, la Maria Luisa i l’Iván, pel molt que he aprés d’ells. També als clients, col·laboradors i amics. Se segur que amb tots seguirem fent coses plegats en el futur.

Proper curs a Barcelona sobre signatura electrónica centralitzada en servidor

El proper 31 de maig, i organitzat per Atenea Interactiva, impartiré conjuntament amb el Fernando Pino (@fpinosola) el curs sobre serveis centralitzats de signatura. És la evolució del curs que vàrem fer a Madrid i que tant bona acollida va tenir.

El programa del curs, que és bonificable per la Fundació Tripartita:

  1. SOA – Service-oriented architecture
    • Introducció i conceptes SOA
    • El model de referència SOA
    • Implementacions SOA (SOAP i REST)
    • … “as a Service”. El(s) Núvol(s), privats i públics
  2. Compliment d’obligacions amb SOA
    • Sector Privat: la Interlocució Telemàtica de la Llei 56/2007 amb SOA
    • Sector públic: l’Administració Electrònica de la Llei 11/2007 amb SOA
  3. Conceptes de Signatura Electrònica i PKI
    • Conceptes criptogràfics
    • La signatura digital
    • Els Certificats Digitals
    • La legalitat de la Signatura Electrònica
  4. PKI – Serveis Avançats
    • Timestamping – Segells de Temps
    • Validesa de Certificats
    • Signatures “bàsiques” i signatures “complertes”
    • Signatures “remotes”
  5. La signatura digital com a element d’arquitectura
    • Introducció. El canvi de paradigma
    • Gestió segura de claus. Dispositius maquinari criptogràfics
    • PKIs Internes
    • Els serveis de signatura digital
    • L’estàndard DSS
    • La Firma asíncrona (portasignatures)
  6. Formats i estàndards de signatura
    • Tipus de signatura “legals”.
    • Formats bàsics
    • Signatures vàlides al llarg del temps.
    • Formats AdES: XAdES, CAdES i PADES.
    • Polítiques de signatura.
  7. Signatura electrònica a les administracions públiques
    • La signatura electrònica a la Llei 11/2007, l’ENI i el ENS. Norma CCN-STIC-807.
    • Processos de signatura automatitzats. Segell d’òrgan i CSV.
    • Serveis de signatura i validació disponibles per a Administracions Públiques.
    • Polítiques de signatura a les AAPP. Descripció i disseny.
    • Interoperabilitat. TSLs. Projecte Stork.
  8. Identidad Digital
    • La Identitat Digital a Internet. Identitat 2.0.
    • Els sistemes de federació d’identitats.
    • Els sistemes “forts” d’autenticació.

Sereu benvinguts!

Entrevistas en Confianza en la Red (Radio Líder)

(Actualizada la última entrevista sobre InvoiceX)

Todas las mañanas en Radio Líder (grupo Punto Radio), Ana Valiño, entrevista a un especialista sobre algún tema relacionado con la Confianza en la Red.

Hasta la fecha me ha entrevistado en cinco ocasiones:
21/12/2010 – Identidad Digital

30/03/2011 – OpenID

El Grupo Interactiva (EADTrust, Albalia y Atenea) colaboramos con el programa Confianza en la Red, y mantenemos un blog con las distintas entrevistas.

Próximas charlas y seminarios


Hace días que no informo de las charlas y seminarios en que participo, y aprovecho hoy que estaba revisando la agenda para poner el blog al día al respecto:

Os espero en cualquiera de ellos 😉

Seminario de Identidad Digital 2.0 – Abril 2010 (Madrid)

Después de diversos seminarios (eAdministración, eFactura, …) en que hemos incluido temas de Identidad Digital, desde Atenea Interactiva se ha decidido hacer una seminario específico, el próximo 14 de abril en Madrid.

Me apetece especialmente este seminario, que compartiré con Julián Inza, al ser uno de los grandes temas a resolver para el desarrollo de la Sociedad de la Información y el Conocimiento; y en el que estoy trabajando e investigando en los últimos tiempos (como puede verse en las entradas de este blog).
En concreto, intentaremos explicar como vemos la inevitable convergencia entre los sistemas de certificación digital (como el DNI electrónico) y las iniciativas internacionales de identidad digital (como OpenID). Para ello hemos puesto en marcha en EADTrust un IdP Testing Service de OpenID que utiliza el DNIe para reforzar el registro.
Ya hay inscritos diversos profesionales expertos en Certificación Digital, DNIe y Gestión de Identidades, por lo que preveo un debate muy interesante y enriquecedor.

Translate to EnglishTraduir al català

Próximas charlas de eAministración y eFactura

En los próximos días me toca dar algunas charlas. Pongo aquí los enlaces para quien le interese asistir:

Se están programando más charlas y conferencias que iré puntualmente avisando.
Nos vemos.

Translate to EnglishTraduir al català

¿Será Twitter LA Red Social? ¿Sólo eso?


Debo reconocer que mi llegada a twitter ha sido tardía. Mi alta y mi primer tweet se produjeron en diciembre de 2008, pero no fue hasta el mes de Julio que empecé a usarlo con cierta asiduidad. No conseguía verle el valor frente a redes como Facebook o Linkedin tal como comenté en el blog de Enrique Dans. Sé que mi sensación era compartida por otros (como Héctor Sánchez describe en su blog).

En estos momentos mi opinión ha cambiado (soy durillo, pero termino entendiendo las cosas .. :), e incluso el tema me empieza a preocupar.
Twitter es KISS y tiene elementos que le aportan un gran valor:
  • Las APIs que permiten desarrollar aplicaciones de todo tipo y que hace que los “tweets” procedan de todo tipo de herramientas distintas (yo suelo usar TweetDeck, PockeTwit, TwitterFeed, TwitPic) que permite enlazarlo con prácticamente todo (por otra parte, gracias a un buen nivel se seguridad que ofrece OAuth).
  • El modelo SMS, con un uso muy extendido entre determinados grupos de población, y donde seguramente más se han mezclado Internet y los teléfonos móviles. La gran mayoría de Tweets que leo provienen de móviles (sobre todo de los málditos iPhones con su Echofon) y ofrecen el seguimiento en tiempo real de cualquier actividad (con fotos incluidas).
  • Haber generado un lenguaje propio (tweets, retweets, hashtags, trending topics, followers …), que tanto nos gusta a los frikies que nos ofrece sensación de formar parte de un grupo “especial” ..
  • Utilizar el modelo de seguidores (followers) en lugar del modelo de amigos. De esta forma el modelo de red crece sin necesidad de aceptación mutua. Además esto acaba dando un gran valor a los retweets (el “pásalo” del los SMSs), que ofrece un efecto multiplicador para muchas iniciativas (se vio en Irán, en Haití o en la famosa ley de descargas …).
  • Los hashtags, que permiten facilitar el seguimiento de los temas de interés y que por otra parte han aumentado el modelo de lenguaje propio (#ff, #recomendar ..)
Sinceramente creo que Twitter no va a competir en las redes sociales (en los modelos de Facebook, Linkedin o Tuenti). En mi modesta opinión Twitter va a competir en un modelo de comunicación global, especialmente con aquellos que quieren sustituir a nuestro antiguo modelo de correo electrónico (p.e. Google Wave).
El correo electrónico, pieza fundamental en el desarrollo de Internet, siempre fue a la vez la pieza más débil. No es ni fiable ni seguro (la mayoría de ataques se aprovechan de la debilidad del modelo de correo electrónico que usamos), y somos muchos los que creemos que tarde o temprano deberá superarse.
Sinceramente creo que Twitter está muy bien situado para ello. Damos nuestra dirección de twitter (por si alguien todavía no sabe la mia es @santicasas 🙂 de la misma forma que antes dábamos nuestra cuenta de correo. Mentalmente vamos haciendo esta asociación pero, como diría Alejandro Sanz: “No es lo mismo” (no se si por citarlo deberé pagar a la SGAE…).
No es lo mismo, por un motivo fundamental. El sistema de correo electrónico es un sistema distribuido, donde nadie tiene el control sobre todo el sistema (aunque es cierto que Google y Microsoft acaparan un buen número de cuentas de correo electrónico). Twitter es un sistema centralizado en el que todos dependemos del Señor Twitter ….
Sinceramente, me preocupa …

Translate to EnglishTraduir al català