EL TERCER HOMBRE
 

El borrador de la futura Directiva Europea sobre Autoridades de Certificación está ya en los despachos de Bruselas
 

Mercè Molist
El reputado servicio News.Com daba la noticia nada más estrenar el mes de enero: "1998. ¿El año de los certificados digitales?". Y así está siendo. Por lo menos, en lo que a Europa se refiere: el pasado 13 de mayo, la Comisión de Telecomunicaciones de la Unión adoptaba oficialmente el borrador de directiva que sentará las bases del futuro desarrollo de las Autoridades de Certificación electrónicas (ACís). Aunque la aprobación definitiva no llegará hasta enero del 2001, el borrador simboliza el fin de la infancia de este nuevo mundo.
Expertos en seguridad e Internet esperaban desde hace tiempo la publicación del documento. Aquí se sientan las normas de seguridad y responsabilidad que deberán seguir las ACís, además de asegurar su reconocimiento legal en la Unión Europea. Aunque algunos países, como Alemania o Italia, ya cuentan con legislación sobre el tema, la mayoría estaba también a la espera de la directiva, para adaptar a ella sus futuras leyes.
Las ACís, también llamadas Terceras Partes de Confianza, son cruciales para cualquier gestión que quiera hacerse por la red. Y es que, ¿quién quiere tener tratos con alguien en quien sólo puede confiar "virtualmente"? Los certificados y firmas digitales emitidos por las ACís cubren este frente, ya que garantizan la autenticidad de la información -quien la envía es quien dice ser-, además de su integridad -la información es verdadera, no ha sido manipulada- y confidencialidad -nadie más la ha visto.
Un ejemplo práctico se daría al escribir el número de tarjeta de crédito en una "web": ¿Quién nos asegura que los datos viajarán encriptados y que sólo serán utilizados por esta empresa? Más aún: ¿Quién certifica que estamos ante una empresa seria y no un timador electrónico? Actualmente, todos los llamados servidores de "web" seguros -cuando entras en ellos, aparece una llave o candado cerrado en la parte inferior izquierda del navegador-, se basen en SSL, SET, S/MIME u otros sistemas de transporte protegido de información, tienen un certificado emitido por una AC.
Para obtenerlo, la empresa se ha puesto en contacto con, por ejemplo, la norteamericana VeriSign, líder indiscutible en el mercado de ACís (sus certificados vienen incorporados de fábrica en los navegadores más populares). Se utilizan diferentes métodos para verificar la autenticidad del demandante, como la consulta a bases de datos de la red (Internic) y registros mercantiles, además de comprobaciones telefónicas y por correo electrónico. Una vez todo está en regla, Verisign registra a la empresa en su base de datos y le envía un certificado electrónico.
El caos de la fase originaria reina aún en este mundo. Un caos no sólo organizativo -los certificados de una no sirven para las otras-, sino también político, el más peliagudo: ¿Quién me asegura que la AC responderá ante la ley si surge algún problema? ¿Una AC del gobierno en cuestión? ¿Y quién garantiza la autenticidad de la AC gubernamental? ¿Una AC europea? ¿Y quién responde por ésta? ¿Una AC planetaria? ¿En manos de qué país?
"El problema es que, ahora, hay islas de certificación, no se preocupan de establecer relaciones cruzadas entre ellas, y esto es necesario porque alguien debe haberte delegado la confianza, en una cadena de certificación jerárquica", explica Manuel Medina asesor frecuente de la Unión Europea en temas de seguridad y director del esCERT/UPC. Aunque ha habido intentos de confraternización entre ACís, por parte de fabricantes, universidades, la Internet Task Force o la OMPI, nada está claro. De ahí la importancia del borrador de directiva que maneja la Unión Europea.
Lo revolucionario de este documento es su misma existencia. Hasta ahora, el ejemplo norteamericano era de libertad de empresa total en el desarrollo de las ACís. Europa, en cambio, se muestra más sensible a la opinión de los expertos en seguridad quienes, en boca de Manuel Medina, creen que "el gobierno debe velar porque haya unos mínimos a los que todo el mundo pueda llegar y permitir que todos nos entendamos".
Aparte de la importancia simbólica, pocas sorpresas más guarda el borrador de la Unión Europea. Su campo de acción se reduce al público en general, excluyendo a las corporaciones o los sistemas bancarios, y su intención principal es definir las normas de juego más esenciales, como los efectos legales o la cooperación de ACís europeas con terceros países.
Pero, una vez el terreno esté ordenado, las ACís pueden dar mucho más de sí que la simple dinamización de la venta de libros por Internet o la emisión de cupones virtuales intercambiables por regalos. La última idea de Ron Rivest, reconocido "cypherpunk" donde los haya, del llamado "Chaffing and Winnowing", para comunicaciones confidenciales sin utilizar encriptación (ver "Ciberp@is" del 14/5/98), se basa precisamente en la participación de una AC como único requisito.
 
 
 

ESPAÑA CERTIFICA BIEN

Banesto fue pionera en crear, ya en 1996, la primera Autoridad de Certificación española. Hoy es, también, la más conocida y solvente, en un país donde se reproduce el modelo europeo de coexistencia de ACís acreditadas por el gobierno, las empresas y diversos organismos. Banesto suministra, desde su página "web", certificados personales -gratuitamente- y para empresas, de diversas clases según los niveles de confianza deseados.
Dentro de la administración española se ha hecho también un gran esfuerzo para adaptarse al papeleo virtual. Lo confirma Francisco López Crespo, representante español en el Comité de Seguridad y Privacidad de la OCDE y secretario del Comité Técnico de Seguridad de los Sistemas Informáticos y de Protección de Datos: "Tenemos una legislación que va por delante de otros países, en temas de autentificación electrónica".
De hecho, la Fábrica Nacional de Moneda y Timbre se está erigiendo ya como principal certificadora de los documentos electrónicos emitidos por la administración, cara a futuros trámites como la renovación del DNI o la presentación de la declaración de la renta desde casa. Además, está al caer la constitución de una Oficina Nacional de Certificación, que coexistiría o bien asimilaría el papel de la FNMT en el mundo digital.
Los grupos profesionales y empresas tampoco se han quedado atrás en esta carrera y, recientemente, han aparecido dos de los que se anuncian como principales actores: la Agencia de Certificación Electrónica (ACE), cuyo accionista mayoritario es Telefónica (40%) y donde está también representado el Sistema 4B (20%); y la Fundación para el Estudio de la Seguridad de las Telecomunicaciones (FESTE), hija legítima del Consejo General de los Colegios de Corredores de Comercio de España y el Consejo General del Notariado de España, y con el reputado abogado Miquel Roca entre sus impulsores.
 
 
 
 
 

PROPUESTA DE DIRECTIVA DE LA UE

1.  Los Estados Miembros deberán asegurar que los datos de las firmas electrónicas y certificados cumplen con los requisitos de forma legal igual como si estuvieran en un documento firmado manualmente y que pueden ser utilizados como prueba en un juicio.
2.  Los Estados Miembros no limitarán la libertad contractual de las partes para acordar entre ellas los términos y condiciones bajo los que aceptarán datos firmados electrónicamente.
3.  La prestación de servicios de certificación no está sujeta a autorización previa. Los Estados Miembros pueden introducir voluntariamente sistemas de autorización.
4.  Los Estados Miembros asegurarán que los proveedores de servicios de certificación reúnen los siguientes requisitos:
a)  Fiabilidad
b)  Personal técnico adecuado
c)  Sistemas confiables
d)  Suficientes recursos financieros
e)  Conservación de la información relativa a los certificados emitidos.
f)  Información relativa al uso correcto
g)  Procedimiento para reclamaciones y resolución de disputas
          h) Publicación de información relativa a procedimientos utilizados y otros.
5.  Los Estados Miembros deberán asegurar que los certificados cualificados contengan:
a)  Identificación del proveedor de servicios de certificación
b)  Nombre del titular o seudónimo
c)  Clave pública del titular
d)  Periodo de vigencia
e)  Algoritmos compatibles
f)  Identificación del certificado
g)  Firma electrónica del proveedor de servicios de certificación
h)  Limitaciones de uso
 6. Los Estados Miembros deberán asegurar que los certificados emitidos por un proveedor de un tercer país son reconocidos como legalmente equivalentes a los certificados emitidos por proveedores que operan bajo la directiva europea.
    7. Los Estados Miembros deberán asegurar que un proveedor de servicios de certificación sólo pueda recoger datos personales directamente del afectado y sólo hasta donde sea necesario para la finalidad de emitir un certificado. Los datos no pueden ser procesados con otros propósitos.

(más información en http://www.onnet.es/06041008.htm)
 
 
 

LAS LEYES DE EUROPA

Bélgica
-Borrador de ley sobre servicios de certificación relacionados con firmas digitales.
-Borrador de ley sobre el uso de firmas digitales en la seguridad social y la sanidad pública.

Dinamarca
-Borrador de ley sobre el uso seguro y eficiente de las comunicaciones digitales.

Francia
-Ley de Telecomunicaciones donde se contemplan las firmas electrónicas y su uso, importanción y exportación.
-Legislación sobre el uso de las firmas digitales en la seguridad social y la sanidad pública.

Finlandia
-Borrador de ley sobre el intercambio electrónico de información en la administración.
-Borrador de ley sobre el Centro de Registro de la Población como proveedor de servicios de certificación.

Alemania
-Ley de Firmas Digitales.

Italia
-Ley General sobre la reforma del Servicio Público y principios del reconocimiento legal de los documentos electrónicos.

Holanda
-Esquema de acreditación voluntaria para proveedores de servicio, en preparación.

España
-Circulares del Departamento de Aduanas sobre el uso de firmas electrónicas.
-Resolución en el campo de la seguridad social para regular el uso de datos electrónicos.
-Leyes y circulares en el campo de las tasas, servicios financieros y registro de empresas mediante el uso de procedimientos electrónicos.

Suecia
-Trabajos preparatorios

Gran Bretaña
-Borradores de leyes sobre la licencia voluntaria de proveedores de servicios de certificación y el reconocimiento legal de las firmas electrónicas.
 
 
 

AUTORIDADES MÁS CONOCIDAS

* Orientadas al consumidor
Computer Securities Technologies (COST). Suecia. Http://www.cost.se
EuroSign. Gran Bretaña. Http://www.eurosign.com
Nortel Entrust. Canadá. Http://www.nortel.com/entrust/main.html
Signet Systems. Australia. Http://www.signet.org.au/index.html
VeriSign. Estados Unidos. Http://www.verisign.com

* Orientadas a bancos, empresas y otros
CertCo. Estados Unidos.  Http://www.certco.com
CivicLink. Estados Unidos. Http://www.ameritech.com/civiclink
Internet Commerce Group. Estados Unidos. Http://www.sun.com/security/product/ca.html
TradeWave Trade Authority. Estados Unidos. Http://andromeda.tradewave.com/tradewave
 

(más información en http://www.ilpf.org/work/ca/app4.htm y en http://www.qmw.ac.uk/~tl6345/ca.htm)
 
 

LINKS
 

Ejemplo práctico de emisión automática de certificados para usuarios individuales, desde EsCERT-UPC. http://ca.upc.es/democa

Propuesta para el Parlamento Europeo sobre una Estructuración Común de las Firmas Electrónicas. Http://www.ispo.cec.be/eif/policy/com98297.html

Proyecto ICE-TEL de una infraestructura de certificación en Europa. Http://www.darmstadt.gmd.de/ice-tel/ice-home.html
 

ACís españolas:

Proyecto del Esquema Nacional de Seguridad de los Sistemas de Información. Http://www.map.es/csi/pg3405.htm

Banesto. Http://www.banesto.es/banesto/certificacion/castella/a.htm

Agencia de Certificación Electrónica (ACE). Http://www.ace.es

IPS Seguridad. Http://www.ips.es

Fundación para el Estudio de la Seguridad de las Telecomunicaciones (FESTE). Http://www.feste.com