domingo, 5 de marzo de 2000

Inseguridad en la Firma Electrónica

Sobre este tema se ha escrito y se escribirá mucho, así que....
¿más de lo mismo?, creo que no. En vez de tocar lo exclusivamente
técnico, (que no soy yo el más indicado), veamos alguna posible
práctica real (al final).
Introducción
La firma electrónica, como ya se sabe, se reguló en España con el
Real Decreto Ley 14/99 de 17 de septiembre, se intentaba con ello
aumentar la seguridad y confianza en las comunicaciones telemáticas,
además de garantizar la autenticación y la identidad del comunicante.
Intentando cumplir las siguientes funciones, así identificación y
atribución del mensaje (indica el origen y voluntad del firmante),
función de privacidad (cifrado de mensaje y firmante), función de
seguridad e integridad (evidencia si ha habido apertura o alteración
del mensaje).

Cuando salió la ley, hay que reconocerle que fue una de las
primeras sobre dicho tema. Se conocían sólo la Ley Alemana, la de
Singapur, y la del estado de California (USA), pero esa celeridad
ha sido criticada por algunos ya que, según éstos, ha dejado
algunas lagunas sin resolver, como luego veremos, que pueden
hacer de la seguridad una simple ilusión.

Conceptos
La ley maneja diferentes conceptos, así la "firma electrónica"
(conjunto de datos, mensaje e identifica al autor o autores), y
"firma electrónica avanzada" o digital (permite la identificación
de signatario, le vincula, y detecta modificaciones del mensaje,
en su caso).

La firma electrónica avanzada tiene en relación con el documento
electrónico, el mismo valor jurídico que la firma manuscrita en
relación con el documento en formato papel. La firma electrónica
avanzada será admitida como prueba en juicio respecto a los datos
signados, y será valorada conforme a los criterios de apreciación
judicial establecidos en las normas procesales. El documento
firmado electrónicamente no tiene valor de documento público: la
firma electrónica no sustituye la función del fedatario público
en relación con la formalización, validez y eficacia de las
obligaciones y los contratos. Y esto es importante distinguirlo,
la firma electrónica no hace de Notario nunca, tendrá valor de
documento privado, (es decir, menor fuerza probatoria en un
juicio que el documento público).

Y además para que esto sea así, es decir, si deseamos que la
firma electrónica sea equivalente a la firma manuscrita en un
juicio ("firma avanzada"), los certificados que se empleen en la
comprobación de una firma electrónica deben haber sido expedidos
por un proveedor de servicios de certificación (PSC) acreditado
en España que cumpla con la normativa del RD-L 14/99 y con todos
los requisitos legales necesarios para ser un PSC, obviamente.

Clasificaciones doctrinales
Un sector de la doctrina jurídica comienza a distinguir las
siguientes categorías de firma electrónica:
1. Firma electrónica "alegal".- La firma electrónica, en su forma
más básica, seguridad mínima.
2. Firma electrónica simple o avanzada.- Supone mayor seguridad,
a la vez que mayor coste (hardware, software, certificaciones,
etc..)
3. Firma electrónica legal.- Supone formas más complejas de
firma, que se combina con requisitos de operación de dispositivos
seguros, evaluaciones de auditoría de seguridad, etc.,
constituyen mecanismos de elevada seguridad jurídica y técnica,
al igual que mayores costes por transacción.
4. Firma electrónica legitimada.- Que pone en combinación medios
técnicos altamente seguros con la actuación de fedatarios
públicos (Notarios, registradores) u otros profesionales, con un
procedimiento organizativo muy riguroso. Supone el nivel más alto
de seguridad y el más caro.

Realidad
Bien, supongamos que este articulo lo está leyendo el responsable
de alguna empresa, la "empresa X" (lo cierto es que todo el tema
de firmas electrónicas va destinado, mayoritariamente, para
transacciones económicas). Esta persona ya ha acudido a un PSC
que procedió él mismo o a través de una Entidad de Registro
Colaboradora del PSC a darle su identificación personal. Una vez
identificados, el PSC generó sus claves (pública y privada) así
como el programa o hardware necesario para su uso que se instaló
en el ordenador de este responsable de la "empresa X", (la clave
privada la tendrá en el CPU de dicho ordenador o estará
incorporada a una tarjeta inteligente).

Ahora supongamos, que el sistema técnico es perfecto, que no hay
manera de romper el cifrado de dicha firma, ni en el contenido,
ni en la forma, ni en nada de nada. ¿está la empresa o particular
que contrata con la repetida "empresa X" segura de sus
transacciones?, lamentablemente NO, la cadena se rompe por su
eslabón más débil.

Lo Humano
Ya sabemos que no toda firma electrónica es una firma digital,
(desde el punto de vista de la ley), también hemos visto como se
realiza, qué es una autoridad de certificación, cómo se comprueba
su validez.

Pero lo que no sabemos, y es lo que puede dar lugar a que todo el
sistema se venga abajo, es si el que firma tiene poder para ello,
para obligarse. Esto, tal vez, requiera una pequeña explicación.
Una organización o empresa es una persona jurídica, que cuando
actúa en la vida "real" lo hace a través de personas físicas, "de
carne y hueso", para ello el órgano correspondiente de dicha
empresa expide un poder (o autorización), apoderando o
autorizando a la persona "x" para realizar una o determinadas
operaciones que obligan a la empresa o sociedad en sus
operaciones con terceros. Pero esos poderes o autorizaciones se
pueden revocar, es decir, la persona "x", puede no estar ya
legitimada desde el punto de vista legal a comprometer con su
firma a la propia empresa, pero puede ocurrir, y de hecho ocurre
qué quien contrate con "x" no sepa si los poderes están o no
revocados, considerando que está realizando un contrato válido,
cuando "x" está realizando una pura estafa.

Se trata, pues, de un problema profundo de seguridad ya que las
entidades de certificación en el momento de expedir el
certificado tienen constancia de la vigencia del poder de
representación de ese usuario, pero a partir de ese instante no
pueden acreditar la continuidad de esa facultad de
representación.

La solución
El Colegio de Registradores Mercantiles y de la Propiedad
comenzará a expedir certificados de firma digital, (hay más de
100.000 sociedades inscritas ya).La idea es que, acredite la
autenticidad de la firma y garantice que el usuario que actúa en
representación de una empresa tiene su cargo vigente en ese
momento. Ello pretende realizarse con la interconexión de
registros. Y parece que está previsto hacerse en el plazo de 6
meses, (es decir, para después del verano).

¿Y mientras tanto?.- Se aconseja la comprobación personal,
operación a operación. Por no decir, que si alguna persona ve
comprometida su clave privada, debe presentar denuncia ante su
autoridad certificante, quien revocará el certificado que vincula
la clave pública a la privada, o al menos eso debería...




Eusebio del Valle
evalle@hispasec.com



No hay comentarios:

Publicar un comentario en la entrada