EL TERCER HOMBRE
El borrador de la futura Directiva
Europea sobre Autoridades de Certificación está ya en los
despachos de Bruselas
Mercè Molist
El reputado servicio News.Com daba
la noticia nada más estrenar el mes de enero: "1998. ¿El
año de los certificados digitales?". Y así está siendo.
Por lo menos, en lo que a Europa se refiere: el pasado 13 de mayo, la Comisión
de Telecomunicaciones de la Unión adoptaba oficialmente el borrador
de directiva que sentará las bases del futuro desarrollo de las
Autoridades de Certificación electrónicas (AC’s). Aunque
la aprobación definitiva no llegará hasta enero del 2001,
el borrador simboliza el fin de la infancia de este nuevo mundo.
Expertos en seguridad e Internet esperaban
desde hace tiempo la publicación del documento. Aquí se sientan
las normas de seguridad y responsabilidad que deberán seguir las
AC’s, además de asegurar su reconocimiento legal en la Unión
Europea. Aunque algunos países, como Alemania o Italia, ya cuentan
con legislación sobre el tema, la mayoría estaba también
a la espera de la directiva, para adaptar a ella sus futuras leyes.
Las AC’s, también llamadas
Terceras Partes de Confianza, son cruciales para cualquier gestión
que quiera hacerse por la red. Y es que, ¿quién quiere tener
tratos con alguien en quien sólo puede confiar "virtualmente"? Los
certificados y firmas digitales emitidos por las AC’s cubren este frente,
ya que garantizan la autenticidad de la información -quien la envía
es quien dice ser-, además de su integridad -la información
es verdadera, no ha sido manipulada- y confidencialidad -nadie más
la ha visto.
Un ejemplo práctico se daría
al escribir el número de tarjeta de crédito en una "web":
¿Quién nos asegura que los datos viajarán encriptados
y que sólo serán utilizados por esta empresa? Más
aún: ¿Quién certifica que estamos ante una empresa
seria y no un timador electrónico? Actualmente, todos los llamados
servidores de "web" seguros -cuando entras en ellos, aparece una llave
o candado cerrado en la parte inferior izquierda del navegador-, se basen
en SSL, SET, S/MIME u otros sistemas de transporte protegido de información,
tienen un certificado emitido por una AC.
Para obtenerlo, la empresa se ha puesto
en contacto con, por ejemplo, la norteamericana VeriSign, líder
indiscutible en el mercado de AC’s (sus certificados vienen incorporados
de fábrica en los navegadores más populares). Se utilizan
diferentes métodos para verificar la autenticidad del demandante,
como la consulta a bases de datos de la red (Internic) y registros mercantiles,
además de comprobaciones telefónicas y por correo electrónico.
Una vez todo está en regla, Verisign registra a la empresa en su
base de datos y le envía un certificado electrónico.
El caos de la fase originaria reina
aún en este mundo. Un caos no sólo organizativo -los certificados
de una no sirven para las otras-, sino también político,
el más peliagudo: ¿Quién me asegura que la AC responderá
ante la ley si surge algún problema? ¿Una AC del gobierno
en cuestión? ¿Y quién garantiza la autenticidad de
la AC gubernamental? ¿Una AC europea? ¿Y quién responde
por ésta? ¿Una AC planetaria? ¿En manos de qué
país?
"El problema es que, ahora, hay islas
de certificación, no se preocupan de establecer relaciones cruzadas
entre ellas, y esto es necesario porque alguien debe haberte delegado la
confianza, en una cadena de certificación jerárquica", explica
Manuel Medina asesor frecuente de la Unión Europea en temas de seguridad
y director del esCERT/UPC. Aunque ha habido intentos de confraternización
entre AC’s, por parte de fabricantes, universidades, la Internet Task Force
o la OMPI, nada está claro. De ahí la importancia del borrador
de directiva que maneja la Unión Europea.
Lo revolucionario de este documento
es su misma existencia. Hasta ahora, el ejemplo norteamericano era de libertad
de empresa total en el desarrollo de las AC’s. Europa, en cambio, se muestra
más sensible a la opinión de los expertos en seguridad quienes,
en boca de Manuel Medina, creen que "el gobierno debe velar porque haya
unos mínimos a los que todo el mundo pueda llegar y permitir que
todos nos entendamos".
Aparte de la importancia simbólica,
pocas sorpresas más guarda el borrador de la Unión Europea.
Su campo de acción se reduce al público en general, excluyendo
a las corporaciones o los sistemas bancarios, y su intención principal
es definir las normas de juego más esenciales, como los efectos
legales o la cooperación de AC’s europeas con terceros países.
Pero, una vez el terreno esté
ordenado, las AC’s pueden dar mucho más de sí que la simple
dinamización de la venta de libros por Internet o la emisión
de cupones virtuales intercambiables por regalos. La última idea
de Ron Rivest, reconocido "cypherpunk" donde los haya, del llamado "Chaffing
and Winnowing", para comunicaciones confidenciales sin utilizar encriptación
(ver "Ciberp@is" del 14/5/98), se basa precisamente en la participación
de una AC como único requisito.
ESPAÑA CERTIFICA BIEN
Banesto fue pionera en crear, ya en
1996, la primera Autoridad de Certificación española. Hoy
es, también, la más conocida y solvente, en un país
donde se reproduce el modelo europeo de coexistencia de AC’s acreditadas
por el gobierno, las empresas y diversos organismos. Banesto suministra,
desde su página "web", certificados personales -gratuitamente- y
para empresas, de diversas clases según los niveles de confianza
deseados.
Dentro de la administración
española se ha hecho también un gran esfuerzo para adaptarse
al papeleo virtual. Lo confirma Francisco López Crespo, representante
español en el Comité de Seguridad y Privacidad de la OCDE
y secretario del Comité Técnico de Seguridad de los Sistemas
Informáticos y de Protección de Datos: "Tenemos una legislación
que va por delante de otros países, en temas de autentificación
electrónica".
De hecho, la Fábrica Nacional
de Moneda y Timbre se está erigiendo ya como principal certificadora
de los documentos electrónicos emitidos por la administración,
cara a futuros trámites como la renovación del DNI o la presentación
de la declaración de la renta desde casa. Además, está
al caer la constitución de una Oficina Nacional de Certificación,
que coexistiría o bien asimilaría el papel de la FNMT en
el mundo digital.
Los grupos profesionales y empresas
tampoco se han quedado atrás en esta carrera y, recientemente, han
aparecido dos de los que se anuncian como principales actores: la Agencia
de Certificación Electrónica (ACE), cuyo accionista mayoritario
es Telefónica (40%) y donde está también representado
el Sistema 4B (20%); y la Fundación para el Estudio de la Seguridad
de las Telecomunicaciones (FESTE), hija legítima del Consejo General
de los Colegios de Corredores de Comercio de España y el Consejo
General del Notariado de España, y con el reputado abogado Miquel
Roca entre sus impulsores.
PROPUESTA DE DIRECTIVA DE LA UE
1. Los Estados Miembros deberán
asegurar que los datos de las firmas electrónicas y certificados
cumplen con los requisitos de forma legal igual como si estuvieran en un
documento firmado manualmente y que pueden ser utilizados como prueba en
un juicio.
2. Los Estados Miembros no limitarán
la libertad contractual de las partes para acordar entre ellas los términos
y condiciones bajo los que aceptarán datos firmados electrónicamente.
3. La prestación de servicios
de certificación no está sujeta a autorización previa.
Los Estados Miembros pueden introducir voluntariamente sistemas de autorización.
4. Los Estados Miembros asegurarán
que los proveedores de servicios de certificación reúnen
los siguientes requisitos:
a) Fiabilidad
b) Personal técnico adecuado
c) Sistemas confiables
d) Suficientes recursos financieros
e) Conservación de la
información relativa a los certificados emitidos.
f) Información relativa
al uso correcto
g) Procedimiento para reclamaciones
y resolución de disputas
h) Publicación de información relativa a procedimientos utilizados
y otros.
5. Los Estados Miembros deberán
asegurar que los certificados cualificados contengan:
a) Identificación del
proveedor de servicios de certificación
b) Nombre del titular o seudónimo
c) Clave pública del
titular
d) Periodo de vigencia
e) Algoritmos compatibles
f) Identificación del
certificado
g) Firma electrónica
del proveedor de servicios de certificación
h) Limitaciones de uso
6. Los Estados Miembros deberán
asegurar que los certificados emitidos por un proveedor de un tercer país
son reconocidos como legalmente equivalentes a los certificados emitidos
por proveedores que operan bajo la directiva europea.
7. Los Estados
Miembros deberán asegurar que un proveedor de servicios de certificación
sólo pueda recoger datos personales directamente del afectado y
sólo hasta donde sea necesario para la finalidad de emitir un certificado.
Los datos no pueden ser procesados con otros propósitos.
(más información en http://www.onnet.es/06041008.htm)
LAS LEYES DE EUROPA
Bélgica
-Borrador de ley sobre servicios de
certificación relacionados con firmas digitales.
-Borrador de ley sobre el uso de firmas
digitales en la seguridad social y la sanidad pública.
Dinamarca
-Borrador de ley sobre el uso seguro
y eficiente de las comunicaciones digitales.
Francia
-Ley de Telecomunicaciones donde se
contemplan las firmas electrónicas y su uso, importanción
y exportación.
-Legislación sobre el uso de
las firmas digitales en la seguridad social y la sanidad pública.
Finlandia
-Borrador de ley sobre el intercambio
electrónico de información en la administración.
-Borrador de ley sobre el Centro de
Registro de la Población como proveedor de servicios de certificación.
Alemania
-Ley de Firmas Digitales.
Italia
-Ley General sobre la reforma del
Servicio Público y principios del reconocimiento legal de los documentos
electrónicos.
Holanda
-Esquema de acreditación voluntaria
para proveedores de servicio, en preparación.
España
-Circulares del Departamento de Aduanas
sobre el uso de firmas electrónicas.
-Resolución en el campo de
la seguridad social para regular el uso de datos electrónicos.
-Leyes y circulares en el campo de
las tasas, servicios financieros y registro de empresas mediante el uso
de procedimientos electrónicos.
Suecia
-Trabajos preparatorios
Gran Bretaña
-Borradores de leyes sobre la licencia
voluntaria de proveedores de servicios de certificación y el reconocimiento
legal de las firmas electrónicas.
AUTORIDADES MÁS CONOCIDAS
* Orientadas al consumidor
Computer Securities Technologies (COST).
Suecia. Http://www.cost.se
EuroSign. Gran Bretaña. Http://www.eurosign.com
Nortel Entrust. Canadá. Http://www.nortel.com/entrust/main.html
Signet Systems. Australia. Http://www.signet.org.au/index.html
VeriSign. Estados Unidos. Http://www.verisign.com
* Orientadas a bancos, empresas
y otros
CertCo. Estados Unidos. Http://www.certco.com
CivicLink. Estados Unidos. Http://www.ameritech.com/civiclink
Internet Commerce Group. Estados Unidos.
Http://www.sun.com/security/product/ca.html
TradeWave Trade Authority. Estados
Unidos. Http://andromeda.tradewave.com/tradewave
(más información en http://www.ilpf.org/work/ca/app4.htm
y en http://www.qmw.ac.uk/~tl6345/ca.htm)
LINKS
Ejemplo práctico de emisión automática de certificados para usuarios individuales, desde EsCERT-UPC. http://ca.upc.es/democa
Propuesta para el Parlamento Europeo sobre una Estructuración Común de las Firmas Electrónicas. Http://www.ispo.cec.be/eif/policy/com98297.html
Proyecto ICE-TEL de una infraestructura
de certificación en Europa. Http://www.darmstadt.gmd.de/ice-tel/ice-home.html
AC’s españolas:
Proyecto del Esquema Nacional de Seguridad de los Sistemas de Información. Http://www.map.es/csi/pg3405.htm
Banesto. Http://www.banesto.es/banesto/certificacion/castella/a.htm
Agencia de Certificación Electrónica (ACE). Http://www.ace.es
IPS Seguridad. Http://www.ips.es
Fundación para el Estudio de
la Seguridad de las Telecomunicaciones (FESTE). Http://www.feste.com