Confianza digital basada en certificados

Transcripción

1 AR: Revista de Derecho Informático ISSN Edita: Alfa-Redi No Agosto del 1999 Confianza digital basada en certificados Abstract: Los certificados, en conjunción con otros elementos, permiten generar la confianza suficiente para operar en Internet. A esta confianza se denomina digital, y se traduce en documentos electrónicos originales y en determinadas garantías que reciben sus usuarios, sean suscriptores de certificados o personas que los verifican. Por Ignacio Alamillo, 1. La Confianza Digital basada en Certificados Hace ya tiempo que se vienen "denunciando" las inseguridades asociadas al comercio en Internet. Los certificados, en conjunción con otros elementos, permiten generar la confianza suficiente para operar en Internet. A esta confianza se denomina digital, y se traduce en documentos electrónicos originales y en determinadas garantías que reciben sus usuarios, sean suscriptores de certificados o personas que los verifican. El objetivo de este artículo es mostrar la capacidad de los certificados para generar confianza digital. 1.1 Relaciones telemáticas Las relaciones telemáticas son las que se producen a distancia (telos), empleando las nuevas tecnologías de la información y la comunicación. Al igual que las relaciones en el mundo físico, las relaciones telemáticas adoptan un sinfín de formas posibles, matices diversos hasta un grado tal que resulta una falacia tratar de describirlas por completo. Sin embargo, sí podemos conocer algunas posibilidades, a modo de paradigma, con el objeto de estudiar su estructura y peculiaridades con respecto a sus homólogas del mundo físico. Las relaciones entre particulares en Internet se producen actualmente principalmente a través del correo electrónico, de los grupos de noticias y de los foros de discusión. Se trata de relaciones informales: en la mayoría de los casos, los particulares no tienen forma de conocerse entre ellos, excepto por la "personalidad virtual" o rol que juega cada uno de ellos. Se trata de relaciones que deberían ser razonablemente seguras al objeto de permitir a sus participantes llegar a acuerdos válidos y duraderos, y que puedan ser objeto de prueba en caso de controversia.

2 Los certificados genéricos de ACE permiten hacer seguras las relaciones entre particulares. El comercio electrónico es el caso paradigmático de relaciones entre particulares y empresas, o entre empresas y empresas. En el pasado, el comercio electrónico estaba constituido por los sistemas de EDI (Intercambio Electrónico de Documentos), en extremos formales y rígidos, en redes cerradas y con una gran intervención de terceras empresas, que prestaban, entre otros, los servicios de seguridad necesarios. Para comerciar con EDI, resultaba necesario firmar previamente un complejo contrato rector de la participación en el sistema. Nada que ver con el nuevo comercio electrónico a través de las vías telemáticas, como Internet o Infovía Plus, ágil y flexible, que requiere nuevas soluciones, con una seguridad adecuada al valor de la transacción que se desea proteger. En Internet nos encontraremos con el nuevo EDI y con otras formas de hacer negocios. Los certificados de ACE permiten ofrecer los servicios de seguridad necesarios para el nuevo EDI, pero también para otras formas de negocios electrónicos, que ya se han definido. La Administración electrónica nos ofrece otro caso de relaciones telemáticas. En este caso, lo que se pretende es que los ciudadanos realicen trámites con valor legal a través de las redes, cumpliendo en mayor medida los objetivos de la Administración: celeridad, eficacia, etc. Es presumible que se requieran elementos adicionales al comercio electrónico, pero veremos que de nuevo los certificados de ACE son una solución perfectamente válida para este escenario. 1.2 Aplicaciones de firma electrónica Los paradigmas que hemos analizado se sustentan en la denominada firma electrónica y sus aplicaciones. La firma electrónica "ordinaria" es una tecnología de seguridad que podemos emplear en nuestros documentos para dejar constancia de nuestra voluntad de identificarnos y obligarnos a lo que en ellos estipulemos. Esta definición, funcionalmente equivalente a la firma de un documento físico, se cumple en Internet acudiendo a diversos elementos: una clave secreta que sólo posee el firmante, una clave pública que conoce todo el mundo, unos programas que son capaces de firmas y comprobar firmas, y, muy importante, un certificado que garantiza que el poseedor de una determinada clave secreta correspondiente a una clave pública es una persona concreta. Nos interesa ahora referirnos a los programas de comunicaciones relacionados con la firma electrónica: son las denominadas aplicaciones de firma electrónica:

3 * S/MIME es una aplicación para el correo electrónico que firma y comprueba firmas, permitiendo a los particulares comunicarse entre sí de forma segura. También se emplea en pedidos comerciales por correo. * SSL es una aplicación para el protocolo HTTP para hacer seguras las conexiones web. Por lo tanto, se emplea como elemento de seguridad para el comercio electrónico. * SSH es una aplicación para emplear un terminal de ordenador a distancia, también de forma segura. * SET es una aplicación desarrollada por VISA y MASTERCARD para el pago por medios electrónicos. Lo que hay que tener en mente es que puede definirse cualquier aplicación de firma electrónica, porque de este modo se establece en el certificado: la aplicación de firma electrónica se contempla como parte de la propia definición del certificado, de modo que el certificado sólo pueda emplearse con esta aplicación. La firma electrónica, y sus aplicaciones, nos ofrece dos elementos de valor añadido: 1. La integridad del mensaje es la primera de ellas. Integridad significa poder determinar que el mensaje ha sido o no alterado. 2. La segunda es la autenticación de la persona firmante. Autenticación significa que conocemos el origen del mensaje (esto es válido incluso cuando no tenemos a la persona identificada, pues la garantía de identidad la ofrece el propio certificado, no la firma). Podemos imaginar, a la vista de estos elementos, algunos escenarios de funcionamiento, aunque resultan ciertamente limitados: * La firma electrónica "ordinaria" puede emplearse como mecanismo de control de acceso, en sustitución de los tradicionales identificador de usuario y palabra de paso. * Por otra parte, la firma electrónica "ordinaria" puede resultar suficiente para un sistema de documentación interna de la compañía que lo implanta. Sin embargo, por cuanto la ley no hace equivalente la firma electrónica "ordinaria" a la firma manuscrita, a pesar de que tampoco proscribe su utilización, no es un bueno mecanismo para documentar relaciones externas. 1.3 Firma electrónica avanzada Por definición, una firma electrónica avanzada es aquélla que se puede comprobar empleando un certificado de ACE. Esto es cierto porque los documentos firmados por suscriptores de certificados de ACE cumplen los requisitos que establece la futura legislación de firma electrónica, y que se han considerado imprescindibles para hacer equivalente de forma absoluta la firma electrónica y la firma manuscrita.

4 Estas características son: 1. Que la firma permita la identificación del signatario y haya sido creada por medios que éste mantiene bajo su exclusivo control, de manera que esté vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de éstos. 2. Que la firma se haya generado con un certificado que cumple lo establecido en la Ley. 3. Que el proveedor del certificado (en nuestro caso, ACE) también cumpla lo establecido en la Ley. Respecto al reconocimiento legal de la firma electrónica avanzada, es necesario tener en cuenta que el hecho de que la firma electrónica avanzada y la firma manuscrita sean equivalentes significa que un documento electrónico firmado puede ser presentado como una prueba documental en un procedimiento (judicial o extrajudicial) cuyo fin sea dirimir una controversia sobre un hecho documentado por medios electrónicos. Cuando no empleamos firma electrónica avanzada, tenemos que demostrar, en ese procedimiento, cuestiones como las siguientes: * Que nosotros verdaderamente escribimos el documento. * Que enviamos el documento a su destinatario. * Que el documento fue recibido correctamente. * Que nadie interceptó y alteró el documento en tránsito. Estas cuestiones, cuando han de ser objeto de prueba para cada documento electrónico que pueda ser objeto de controversia, resultan demasiado costosas para que el sistema funcione. Por este motivo, el empleo de la firma electrónica avanzada supone que será la persona que niegue la validez y eficacia de una concreta firma electrónica la que va a cargar con la prueba. Es decir, el destinatario de un documento electrónico firmado tendrá que demostrar: * Que nosotros no escribimos el documento, cuando este factor sea relevante. * Que el documento no se envió a su destino. * Que el documento no fue recibido correctamente. * Que el documento no fue interceptado ni alterado en tránsito. La principal ventaja de la firma electrónica avanzada sobre otros mecanismos de seguridad, incluida la que hemos denominado firma electrónico "ordinaria", es precisamente su reconocimiento legal, que se plasma en las presunciones que hemos visto someramente. Este reconocimiento legal se está produciendo en dos planos: 1. Por una parte, la Unión Europea ultima una Directiva de Firma Electrónica, al objeto de crear un marco armonizado para el desarrollo de la misma.

5 2. Por otra parte, el Estado Español trabaja en la Ley española, inspirada en la citada Propuesta de Directiva, con la intención de publicarla con la máxima celeridad. Estas posibilidades nos permiten ofrecer algunos escenarios de empleo nuevos, a los que vimos anteriormente: * La firma electrónica avanzada puede emplearse como mecanismo de base para la gestión de nuestra documentación electrónica original. Por ejemplo, un contrato escrito en Adobe Acrobat (PDF), debidamente firmado por ambas partes, resulta un documento tan original, válido y eficaz como si se hubiera realizado en papel y firmado de forma manuscrita. * Por otra parte, la firma electrónica avanzada también nos permite crear archivos de imágenes electrónica con valor de documento original. Si deseamos que un fedatario digitalice determinada documentación, con garantías de original, el empleo de una firma avanzada, lo permite. 1.4 Aplicaciones de firma electrónica avanzada Son aplicaciones de firma electrónica avanzada aquéllas indicadas en los certificados con los que puede verificarse una firma electrónica avanzada. De modo similar a lo que habíamos establecido para la firma electrónica "ordinaria", resulta de lo más provechoso definir aplicaciones específicas para la firma electrónica avanzada. Es cierto que las aplicaciones que son válidas para la firma electrónica "ordinaria", que no tiene valor legal, sino únicamente técnico, con más motivo van a ser válidas con la firma electrónica avanzada, que sí tiene valor legal, pero ello no ha de llevarnos a olvidar que gran parte de la potencia de la firma electrónica avanzada reside en la definición de nuevas aplicaciones para la misma. Por ejemplo, se pueden firmas documentos electrónicos que se corresponden con el registro lógico de una base de datos. Se pueden definir varias firmas para ese registro, sucesivas o concurrentes, y mejorar la gestión general de nuestra organización, eliminando el empleo del engorroso y carísimo papel. El valor añadido de la firma electrónica avanzada, pues, es el siguiente: * Integridad (nos la ofrece también la firma electrónica "ordinaria") * Autenticación (nos la ofrece también la firma electrónica "ordinaria") * El no repudio legal, anglicismo que significa que una persona no puede desdecirse de sus actos, del mismo modo en que no puede hacerlo cuando ha plasmado su voluntad por escrito y ha firmado ese documento. Con firma electrónica avanzada y aplicaciones correctamente establecidas, podemos actuar en los siguientes escenarios: * Gestión integral de la documentación corporativa, interna y externa, con plena validez y eficacia de documento original.

6 * Relaciones con proveedores y clientes, de forma automatizada. * Servicios de suscripción, con formalización del contrato por medios electrónicos. * El paradigma de la librería digital, como modelo de suministro comercial de información. Como la firma electrónica avanzada se basa en un certificado, podemos decir que el certificado es un nuevo elemento de gestión empresarial. 1.5 Certificados reconocidos Los certificados son estructuras de datos cuya propiedad es transmitir determinadas manifestaciones de forma fiable, gracias a la firma que de los mismos realiza la entidad que los emite. Los certificados transmiten de forma fiable algunos de los elementos de la firma electrónica, que estudiábamos anteriormente: en concreto, suelen transmitir la identidad de una persona y su clave pública. Para entender el papel del certificado, hemos de tener en cuenta las siguientes cuestiones: 1. La comprobación de una firma electrónica se realiza con la clave pública listada en un certificado. 2. Cuando el certificado cumple los requisitos legales, se dice que se trata de un certificado reconocidos. 3. Las firmas que se verifican con un certificado reconocido, como hemos visto, son firmas electrónicas avanzadas o con valor legal. Las firmas que se verifican con un certificado "ordinario", no tienen valor legal, como ya hemos visto, sino técnico. Por lo tanto, el certificado reconocido es el elemento clave del sistema, motivo por el cual ACE emitirá certificados reconocidos cuando haya sido aprobada la legislación comentada. El valor añadido del certificado reconocido es el siguiente: * Integridad (ofrecida por la firma electrónica "ordinaria") * Autenticación (ofrecida por la firma electrónica "ordinaria") * El no repudio legal (ofrecido por la firma electrónica avanzada) * La identidad de la persona que firma el documento. * La confidencialidad de los documentos, porque el firmante de un mensaje puede emplear la clave pública del destinatario (listada en su certificado) para hacerlo incomprensible para cualquier persona excepto para el destinatario: como si lo protegiésemos en un sobre inviolable. Los certificados reconocidos cumplen una serie de requisitos técnicos y legales, definidos por la futura ley de firma electrónica y su necesario desarrollo reglamentario. Uno de los más importantes es el seguro de responsabilidad civil que sustenta cada certificado reconocido.

7 Los certificados reconocidos contienen una serie de manifestaciones garantizadas necesariamente: 1. La identidad del suscriptor. 2. La clave pública del suscriptor, al objeto de garantizar la correcta comprobación de la firma electrónica avanzada. 3. Usos y aplicaciones del certificado reconocido, como medio para limitar las garantías que ofrece el certificado a las terceras personas, que reciben documentos firmados por los suscriptores de los certificados. La Confianza Digital surge, por lo tanto, del reconocimiento legal de ciertas tecnologías de la información y las comunicaciones empleadas en las relaciones telemáticas, entre particulares, entre particulares y empresas, entre empresas entre sí, o entre cualquiera de los anteriores y la Administración. Y este reconocimiento de los certificados trae necesariamente aparejado el de las transacciones en las que se emplean los certificados reconocidos, mediante el sencillo procedimiento de firmar documentos y de comprobar tales firmas. En conclusión, el empleo de certificados reconocidos para la creación y comprobación de firmas electrónicas avanzadas ya no es únicamente un medio válido para comprobar la identidad de una persona física, sino una poderosa herramienta de gestión en los escenarios de las relaciones telemáticas.