¿Nace el DNI electrónico con cobertura legal suficiente?

 

 

Enviado por Fernando Acero el 12 Marzo 2006 - 6:21pm

En el momento de emitirse el primer e-dni vemos que la cobertura legal -sobre todo la encaminada a proteger los intereses de los ciudadanos- es claramente insuficiente. Sin ir más lejos, en la Directiva 1999/93/CE del Parlamento Europeo de 13 de diciembre 1999, en el Artículo 5 dedicado a los Efectos Jurídicos de la firma electrónica, en el apartado 2 se dice textualmente:

2. Los Estados miembros velarán por que no se niegue eficacia jurídica, ni la admisibilidad como prueba en procedimientos judiciales, a la firma electrónica por el mero hecho de que:

- ésta se presente en forma electrónica, o
- no se base en un certificado reconocido, o
- no se base en un certificado expedido por un proveedor de servicios de certificación acreditado, o
- no esté creada por un dispositivo seguro de creación de firma.

De ello entiendo que a priori ha de valer mi firma GPG, aunque no se base en un certificado reconocido, no se base en un certificado emitido por un proveedor de servicios de certificación y no esté creada por un dispositivo seguro de creación de firma (que esté certificado como tal)...

Leyendo este artículo no sé si me están haciendo un favor o si se está abriendo la caja de los truenos, sobre todo si considero que el contenido del documento me puede beneficiar o perjudicar frente a terceros. Si bien es cierto que en la Ley 59/2003, de 19 de diciembre, de Firma Electrónica, en el Artículo 3 punto 9 no es tan amplia, creo que el contenido, desde el punto de vista estricto de la seguridad de la firma y su validez jurídica, puede generar dudas:

No se negarán efectos jurídicos a una firma electrónica que no reúna los requisitos de firma electrónica reconocida en relación a los datos a los que esté asociada por el mero hecho de presentarse en forma electrónica.

Pero este no es la única duda que tengo; hay otras más importantes.

Hace unos días se debatían en los foros de Kriptópolis los posibles problemas derivados de la conservación de documentos firmados digitalmente y la posible validez jurídica de los mismos con el paso del tiempo. Pero no entremos a considerar la validez de los documentos firmados si en un futuro se considera que el sistema de firma no era seguro; veamos cosas más reales y vigentes a fecha de hoy.

La conservación de la documentación en formato electrónico, aún sin firma electrónica asociada, como podemos ver en los Criterios de Conservación (pdf) publicados como desarrollo del Real Decreto 263/1996 de 16 de febrero, que fue modificado por el Real Decreto 209/2003, de 21 de febrero, no es algo baladí ni sencillo de lograr. Como veremos, la firma electrónica complica esta situación.

Como podemos ver en este documento, hay muchos aspectos a tener en cuenta a la hora de conservar la documentación en formato electrónico. En el documento se habla de formatos, juegos de caracteres, soportes, etc. Todo ello, ha de tenerse en cuenta y manejarse en conjunto, si queremos garantizar que se pueda acceder a la documentación en el futuro. Sin embargo, en esta normativa no se tiene en cuenta, ni se hace referencia a la firma electrónica.

También hay que señalar dos cosas:

a) Estos criterios no se están cumpliendo con la exactitud que se debiera. Por ejemplo, mientras que esta normativa dice que los archivos de texto se deben almacenar en formato: TXT, PDF, RTF, SGML (norma internacional ISO 8879), XML, HTML, SXW (openoffice.org) o EPS (Encapsulated PostScript), lo cierto es que en todos los ámbitos de la Administración se genera, exige y almacena la mayor parte de la información y los documentos, en formato DOC, que es binario y propietario y es el formato nativo de Microsoft Office, situación que provoca riesgos para la conservación a medio o largo plazo, y además supone una reducción en la accesibilidad de los documentos.

b) Estos deseables criterios, aunque no se cumplen en su totalidad, solamente son aplicables a la Administración General del Estado, lo que puede crear incertidumbres y problemas en las administraciones Autonómica y Local, por no tener desarrollos normativos similares.

Como podemos ver, sin considerar la firma, la conservación ya es un problema no resuelto a todos los niveles y además, es de dudoso cumplimiento en algunos ámbitos. Sin embargo, la actual y poco deseable convivencia del papel con el incipiente mundo digital, nos puede llevar a pensar que el problema no existe. Pero ¿qué pasará cuando se implante plenamente la administración electrónica, o la oficina sin papeles y se use el e-dni de forma masiva? ¿Seguiremos pasando a papel los documentos para poder archivarlos?.

¿CÓMO AFECTA LA FIRMA ELECTRÓNICA A LA CONSERVACION?

En el documento “La Firma Electrónica y el Archivo Digital” (pdf), de Jordi Serra Serra, se dice textualmente:

La tecnología de firma electrónica ha sido considerada para la conservación a largo plazo más una amenaza que un beneficio, presentando una problemática que afecta a todas las fases del ciclo de vida.”

a) En la fase administrativa, el principal problema es la caducidad de firma. La actualización de la firma original solo es posible cuando se tiene acceso al documento. Desde el momento en el que la transferencia al archivo significa una desvinculación del entorno tecnológico original, se dificulta la actualización de la firma.

b) En la fase de conservación a largo plazo, la forma electrónica se convierte e un factor de riesgo para mantener la legibilidad de los documentos digitales, puesto que constituye una capa tecnológica añadida a los documentos, que mantiene vinculaciones externas determinantes para su validez (software de firma y cifrado, lista de certificados revocados, etc). El uso de encriptación puede dificultar posteriores migraciones, del mismo modo que la obsolescencia tecnológica puede afectar al software de firma y cifrado. Se añade que, para mantener la vigencia de la firma electrónica por periodo de tiempo prolongado, es necesario conservar elementos básicos de la infraestructura de firma (PKI).

Según Serra, la solución a estos problemas se basa en el uso de sellos de tiempo y el refirmado periódico de los documentos, usando para ello una firma de archivo única y de mayor duración. De esta forma, se mantiene intacto su valor evidencial y su potencial utilización legal, incluso después de la caducidad de la firma original. Aquí quiero señalar que el autor contempla la caducidad de la firma, pero no la caida total del sistema de firma, por ejemplo por el compromiso de las claves o por el fallo del sistema criptográfico usado.

Pero, hasta ahora hemos hablado de la Administración, ¿Qué pasa con la conservación de los documentos firmados entre particulares o entre particulares y empresas? ¿Qué obligaciones implica? ¿Qué problemas puede tener cara a la conservación?

Por lo tanto, este problema solo puede tener solución, si se establece una normativa clara y precisa, que con el rango de Ley, regule la forma en la que deberán funcionar los registros que contengan documentos digitales con firma electrónica, tanto en las administraciones (General, Autonómica y Local), como en las empresas. Para ser completa, dicha normativa deberá especificar además todas las operaciones técnicas -incluyendo la conversión de formatos o soportes- que sean necesarias para mantener vigente la información, con total independencia de los cambios tecnológicos (software/hardware) que se produzcan en el tiempo.

Como bien señala Serra, La utilización de la firma electrónica de archivo no excluye la necesidad de conservar la infraestructura de clave pública. Sin embargo, mediante una estructura cooperativa de archivo digital es posible la conservación de documentos digitales por un periodo de tiempo considerable y a un coste asequible para la mayoría de las organizaciones.

Pero para que lo dicho anteriormente sea posible es necesario que exista una legislación clara y precisa que lo regule y exija, tanto a las administraciones (general, autonómica y local), como a las empresas. Recordemos aquí lo que se se dice de los Efectos Jurídicos de la firma electrónica, que obliga que la normativa vaya más allá de los certificados reconocidos de proveedores certificados. Si no lo hacemos así, habrá problemas serios cuando se use masivamente el e-dni -u otros sistemas de firma- para firmar documentos y contratos que deban tener vigencia legal en el tiempo.

Visto lo visto, no basta con lo que dice Directiva 1999/93/CE del Parlamento Europeo, la Ley 59/2003, o el Real Decreto 1553/2005. Hace falta una legislación que regule lo que se debe hacer para conservar los documentos electrónicos y -en especial- si cuentan con firma digital, que como hemos visto, además complica su conservación.

"Copyleft 2006 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

Comentarios

Selecciona arriba tu forma preferida de visualizar los comentarios y pulsa el botón para guardar tu elección para próximas visitas (sólo si eres usuario registrado).
Fernando Acero's picture

Los criterios reflejan la opinión de expertos

Enviado por Fernando Acero el 12 Marzo 2006 - 8:45pm.

Hace poco le decía a un amigo del trabajo, que los Criterios de normalización, seguridad y conservación, no están hechos para fastidiar a la Administración y que era una pena que no se aplicasen con más rigor. También le comenté, que lejos de eso, estaban pensados para proteger a la Administración y a los administrados frente a los peligros y avatares que se derivan del uso de sistemas informáticos, para el tratamiento una información, que es valiosa para nosotros.

Es más, le dije que estaba convencido de que si todo el mundo los aplicase, incluidas las empresas, nos iría mucho mejor a todos. Yo los considero un buen documento de referencia, que nos dice claramente lo mejor que se puede hacer en cada caso para evitar problemas.

Lo bueno es que también le dije que muchos de esos criterios son fruto de la experiencia de muchos expertos y aquí vemos un buen ejemplo de que eso es así.

"Copyleft 2006 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

"Copyleft Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved. Quotation is allowed."

Krampo's picture

Los efectos jurídicos de la Firma Electrónica

Enviado por Krampo el 13 Marzo 2006 - 12:15pm.

De ello entiendo que a priori ha de valer mi firma GPG, aunque no se base en un certificado reconocido, no se base en un certificado emitido por un proveedor de servicios de certificación y no esté creada por un dispositivo seguro de creación de firma (que esté certificado como tal)...

Tanto la Directiva Europea como la Ley de Firma Electrónica prevén distintos tipos de firmas electrónicas, con distintos grados de "garantías", y en función de eso se les asignan distintos efectos.

En ambos casos, la equiparación con los efectos jurídicos de una "firma manuscrita" exige mayores garantías:

Directiva:

Artículo 5 - Efectos jurídicos de la firma electrónica

1. Los Estados miembros procurarán que la firma electrónica avanzada basada en un certificado reconocido y creada por un dispositivo seguro de creación de firma:

a) satisfaga el requisito jurídico de una firma en relación con los datos en forma electrónica del mismo modo que una firma manuscrita satisface dichos requisitos en relación con los datos en papel; y

b) sea admisible como prueba en procedimientos judiciales.

Ley:

Artículo 3. Firma electrónica, y documentos firmados electrónicamente.
....
4. La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel.

En resumen:

Lo que pretende la normativa es que no sea "blanco o negro", es decir, que las firmas electrónicas no tengan sólo 2 posibles estados o valores...:

- "ningún valor" o
- "el mismo valor que una firma manuscrita"

... sin posibles valores intermedios.

Pero hay un trecho entre decir ...

- que "no se niegue eficacia jurídica" (Directiva) o
- que "No se negarán efectos jurídicos" (Ley)

...a equiparar esos efectos jurídicos con los de la firma manuscrita.

En la práctica: tu firma GPG NO es equivalente a tu firma manuscrita, mientras que la firma con tu eDNI sí lo sería/será.

Saludos.

Fernando Acero's picture

Muy interesante comentario y una petición..

Enviado por Fernando Acero el 13 Marzo 2006 - 2:40pm.

Estimado Krampo, creo que no he dicho que se pueda equiparar mi firma GPG a la firma manuscrita... si lo llego a decir, me machacas.... ufff ;-). Considero que el comentario que has hecho es muy interesante y abre una buena vía para aclarar ciertas dudas.

Son precisamente los "valores intermedios" que comentas y que se vislumbran en la legislación cuando habla de una firma no reconocida, los que me preocupan y en especial, para una posible regulación legal de la conservación documental.

De todos modos, ya que ha salido el tema y lo considero más que interesante, me gustaría que nos aclarases lo que pueden representar a tu juicio, esos "los valores intermedios" de las firmas no reconocidas". No te quepa la menor duda, que aunque he logrado intuir el problema que comento en mi artículo, es un tema que se nos puede escapar a la mayoría. Es precisamente en estos valores intermedios y en su indefinición para los profanos, en lo que puede haber problemas.

Está claro, una firma reconocida que cuente además con todos sus requisitos legales, es la única que tiene la misma validez que la firma manuscrita. Aquí no hay error o duda, firma manuscrita = firma reconocida. Ahora bien, ¿cuáles son los valores intermedios que se le pueden otorgar a una no reconocida? ¿qué significado práctico tiene, cara a los usuarios, que no se le niegue "eficacia jurídica", o "efectos jurídicos", a una firma no reconocida, tal como se establece en la legislación?.

Puede que me equivoque, pero creo que si envío un correo con mi firma GPG, que contenga alguna "inconveniencia", el efecto o eficacia jurídica de este acto, será el mismo que si hubiera mandado un papel firmado con bolígrafo. Es decir, no podré negar la autoría del mismo. Es más, estoy convencido en base a lo que se establece en la legislación, no podré alegar que dicha firma no es válida para determinar mi identidad, por ser una firma no reconocida, o estar realizada con un sistema no certificado.

Y en ese punto creo que está el problema, no en el hecho de que por no ser una firma no reconocida, no se equipare a firma manuscrita al 100% y por ello, no se acepte para presentar la Declaración de la Renta o ante la Administración.

A efectos de lo que comento en el resto del artículo, los problemas son los mismos, puesto que son los condicionantes técnicos y operativos de la tecnología de firma, los que crean los problemas de conservación y ello es independiente de que esté reconocida como firma manuscrita o no. Por ello, sigo pensando que la legislación es insuficiente y que debería aclarar o acotar de alguna forma, esos valores intermedios.

"Copyleft 2006 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

"Copyleft Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved. Quotation is allowed."

Krampo's picture

Firmas "reconocidas" y "no reconocidas"

Enviado por Krampo el 13 Marzo 2006 - 3:48pm.

...me gustaría que nos aclarases lo que pueden representar a tu juicio, esos "los valores intermedios" de las firmas no reconocidas".

El ejemplo más claro sería una firma electrónica "avanzada". Sin ser un experto jurista, me da en la nariz que en los próximos años dará mucha guerra el artículo 3.8 de la ley de Firma Electrónica:

8. El soporte en que se hallen los datos firmados electrónicamente será admisible como prueba documental en juicio. Si se impugnare la autenticidad de la firma electrónica reconocida, con la que se hayan firmado los datos incorporados al documento electrónico, se procederá a comprobar que por el prestador de servicios de certificación, que expide los certificados electrónicos, se cumplen todos los requisitos establecidos en la Ley en cuanto a la garantía de los servicios que presta en la comprobación de la eficacia de la firma electrónica, y en especial, las obligaciones de garantizar la confidencialidad del proceso así como la autenticidad, conservación e integridad de la información generada y la identidad de los firmantes. Si se impugna la autenticidad de la firma electrónica avanzada, con la que se hayan firmado los datos incorporados al documento electrónico, se estará a lo establecido en el apartado 2 del artículo 326 de la Ley de Enjuiciamiento Civil.

.....¿cuáles son los valores intermedios que se le pueden otorgar a una no reconocida? ...

Esa es una buena pregunta, pero me temo que nadie nos dará una definición "de libro" como nos gustaría. A los legisladores y a los juristas les encanta "generalizar" mucho más que "concretar", así que suelen emplear fórmulas genéricas que muchas veces los jueces se ven obligados a "interpretar"...y eso forma parte del sueldo de estos últimos.

El caso de tu firma GPG es un buen ejemplo: lo comento más abajo.

...¿qué significado práctico tiene, cara a los usuarios, que no se le niegue "eficacia jurídica", o "efectos jurídicos", a una firma no reconocida, tal como se establece en la legislación?.

Entiendo que es que no te lo rechazaran de plano como prueba en un juicio o en una denuncia, reclamación, etc. Un contraejemplo podría ser más clarificador: si alguien te pincha el teléfono de tu casa sin autorización judicial, la conversación grabada no se admite como prueba; no tiene eficacia jurídica. Bueno, pues nadie te puede decir: ese documento firmado electrónicamente no me vale; Yo sólo admito papeles firmados de puño y letra o firmas electrónicas "reconocidas".

Puede que me equivoque, pero creo que si envío un correo con mi firma GPG, que contenga alguna "inconveniencia", el efecto o eficacia jurídica de este acto, será el mismo que si hubiera mandado un papel firmado con bolígrafo. Es decir, no podré negar la autoría del mismo. Es más, estoy convencido en base a lo que se establece en la legislación, no podré alegar que dicha firma no es válida para determinar mi identidad, por ser una firma no reconocida, o estar realizada con un sistema no certificado.

Las firmas electrónicas que tú mismo te generas y que no "certifica" una tercera parte de confianza son fácilmente falsificables. Cualquiera puede autogenerarse una firma electrónica de esas y hacerse pasar por otro.

Esa "certificación" de la tercera parte de confianza es lo que les da más valor y mayores garantías.

Si tu firmas algo con GPG y alguien te quiere demandar por ello, cabría la posibilidad de que tu repudies esa firma y niegues ser el propietario de la clave privada con que se firmó el documento. ¿Quién puede asegurar/certificar que no era otro el que ha estado usando esa firma (incluso puede que desde hace años) suplantándote? (partimos de la base de que tú quieres repudiar la firma, así que ha de ser alguien distinto de ti).

Bueno, pues si quien te demanda encuentra la forma de "demostrar" que eres tú y no otro el que ha estado usando esa firma en otras ocasiones anteriores, en otros documentos, etc. posiblemente consiga llevar adelante la demanda, pero .... seguramente la carga de la prueba recaiga sobre él. Es decir, tendrá que demostrar primero que esa firma es tuya, como afirma, dado que tú lo niegas.

En el caso de las firmas "reconocidas" hay alguien que puede certificar que tú (y no otro) eres el propietario de esa firma electrónica, por lo que se parte de la base de que es tuya. Hay que demostrar justo lo contrario.

Saludos.

Fernando Acero's picture

Muchas gracias por el comentario..

Enviado por Fernando Acero el 13 Marzo 2006 - 8:09pm.

Gracias Krampo por el comentario, creo que será muy interesante para todos, al igual que tu contestación a las dudas de Enriquez, me alegra que alguien pueda dar calidad a los comentarios legales, puesto que algunos tenemos muchas dudas y también, en muchas ocasiones.

fórmulas genéricas que muchas veces los jueces se ven obligados a "interpretar"...y eso forma parte del sueldo de estos últimos.

Esta es la madre del cordero, es decir la inseguridad subyacente a la "interpretación" de un juez a la hora de dar validez a una firma no reconocida. No olvidemos que es una persona que en temas de tecnología y en especial en complejos sistemas de firma, puede tener sus lagunas como todo el mundo, que además, creo son de una carrera de "letras".

Mucho me temo que en el ejemplo que he puesto con mi firma GPG, la tomarán como buena si me perjudiuca y mala si me beneficia, o dicho de otro modo, buena si la acusación parte de otro y mala si la acusación parte de mí. Pero esto es solamente una sensación personal, fruto de mi relación con la justicia ;-).

También quiero señalar lo interesante que es el tema de la carga de la prueba, que recae en una parte distinta, en función de que la firma sea o no sea reconocida. Si yo fuera un poco "sinvergüenza" se me ocurrirían formas de "optimizar" el uso de las firmas reconocidas y las no reconocidas en mi beneficio, obigando a que la carga de la prueba caiga en el sitio que más me interese en cada caso.

Hablando en serio y sobre el tema inicial que me llevó a plantear serias dudas sobre si era suficiente la cobertura legal actual. He de decir, que cruzando mi escenario con el que acabas de desvelar al hilo del comentario a Enriquez, estoy convencido de que es imprescindible aclarar legalmente muchas cosas. Entre ellas, los procedimientos de conservación, como mínimo, para todos los niveles de la Administración (central, autonómica y local) y en la conservación de documentos que son fruto de la relación entre particulares y empresas.

Tenemos que darnos cuenta que con las múltiples variables que se manejan, entre firmas reconocidas y no reconocidas, la carga de la prueba en cada caso, la interpretación de los jueces, lo poco que precisa la legislación algunos temas, lo único que hacemos es abonar un caldo de cultivo, que aprovechando el desconocimiento de muchos usuarios sobre estos temas, alimente a pillos y sivergüenzas.

"Copyleft 2006 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

"Copyleft Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved. Quotation is allowed."

Enriquez's picture

Mas reflexiones

Enviado por Enriquez el 13 Marzo 2006 - 1:00pm.

Lo primero que me gustaría dejar claro es que no soy abogado. por lo que agradecería enormemente que si alguna de las reflexiones que aquí expongo, están equivocadas o no se ajustan en algún sentido a lo que la ley dice, me ayudaseis a corregirlas.

1. El Real Decreto Ley 14/99 sobre Firma Electrónica pretende la plena equiparación jurídica de la firma electrónica con respecto a la firma manuscrita. El desarrollo de dicha ley hace que ese espíritu se incumpla porque:

a) Exige que unas "entidades de evaluación" acrediten a los "prestadores de servicios de certificación", PSC, (certifiquen a los certificadores, vamos), pero a día de hoy, esas entidades no se han llegado a crear.

b) Obliga a la inscripción de estos PSC en un Registro de Prestadores de Servicios de Certificación, que tampoco se ha llegado a crear.

Con tanta exigencia, resulta que, en ningún caso, se daba en la práctica esta buscada equiparación con la firma manuscrita, lo cual ha sido una de las razones para el escaso desarrollo de la firma electrónica en España.

En otras palabras ninguna autoridad certificadora en la actualidad puede estar inscrita en el registro (porque no existe tal registro), ni puede estar acreditada por las entidades de evaluación (porque tampoco existen).

Esto lo escribí en 2003, no se si habrá cambiado a día de hoy.

2. Ahora bien, sigue vigente uno de los principios que rigen nuestro ordenamiento jurídico en materia contractual, que es el de la "autonomía de la voluntad", según el cual, las partes contratantes pueden contratar entre ellas prácticamente cualquier cosa, con tal que no contravengan ninguna ley ni principio del ordenamiento jurídico. Prueba de ello es que el artículo 3.2 dice: "A la firma electrónica que no reúna todos los requisitos previstos en el apartado anterior, no se le negarán efectos jurídicos ni será excluida como prueba en juicio, por el mero hecho de presentarse en forma electrónica".

Cualquiera puede firmar un contrato en el que consienta que el uso de un sistema de certificados, GPG, etc, obrará los mismos efectos que su firma manuscrita.

Por otra parte en la web del DNIe se dice que se favorecerá la aparición de iniciativas privadas que presten servicios de certificación a los ciudadanos. Esto se conseguirá en base a reconocer al DNI electrónico como medio suficiente para acreditar la identidad y los demás datos personales de los interesados, pudiendo ser utilizado como medio de identificación para la realización de un registro fuerte que permita la expedición de certificados reconocidos por parte de entidades privadas, sin verse éstas obligadas a realizar una fuerte inversión en el despliegue y mantenimiento de una infraestructura de registro. Es decir que tu puedes montar una Autoridad certificadora con su Autoridad de registro, usando para la verificación de la identidad de tus usuarios el DNIe, sin tener que montar toda la infraestructura de una Autoridad de registro presencial. Lo que no se es que métodos se podrán utilizar para demostrar esta autenticación, imagino que la firma.
Ya veremos a donde nos lleva todo esto ;)

Krampo's picture

Re: Más reflexiones sobre la Ley de Firma Electrónica

Enviado por Krampo el 13 Marzo 2006 - 6:08pm.

Esto lo escribí en 2003, no se si habrá cambiado a día de hoy.

Hombre Enriquez,

El Real Decreto Ley que comentabas en esos párrafos ya está derogado ¡desde diciembre de 2003! :-)

Como consecuencia, muchas apreciaciones no son vigentes:

- La nueva Ley de Firma Electrónica ya no habla de "entidades de evaluación" que acrediten a los "prestadores de servicios de certificación"

Te pego un fragmento de la exposición de motivos de la nueva Ley:

Por otra parte, la Ley modifica el concepto de certificación de prestadores de servicios de certificación para otorgarle mayor grado de libertad y dar un mayor protagonismo a la participación del sector privado en los sistemas de certificación y eliminando las presunciones legales asociadas a la misma, adaptándose de manera más precisa a lo establecido en la directiva. Así, se favorece la autorregulación de la industria, de manera que sea ésta quien diseñe y gestione, de acuerdo con sus propias necesidades, sistemas voluntarios de acreditación destinados a mejorar los niveles técnicos y de calidad en la prestación de servicios de certificación....

Y un link al Artículo 26

El hecho de aprobarse poco antes que la Directiva Europea de Firma Electrónica generó bastantes críticas e hizo que aquel Real Decreto Ley naciese ya cojo.

- El Registro de Prestadores de Servicios de Certificación sí que existe actualmente.

Cualquiera puede firmar un contrato en el que consienta que el uso de un sistema de certificados, GPG, etc, obrará los mismos efectos que su firma manuscrita.

Ciertamente, pero -en principio- eso tendría efectos sólo entre las partes firmantes de ese contrato. Y ha requerido la firma previa de un contrato para darle validez a la firma GPG. La diferencia es que una firma "reconocida" no requiere ningún trámite previo para tener plena validez y para ser equivalente a una firma manuscrita, ante cualquiera con quien quieras contratar algún producto o servicio.

Es decir que tu puedes montar una Autoridad certificadora con su Autoridad de registro, usando para la verificación de la identidad de tus usuarios el DNIe, sin tener que montar toda la infraestructura de una Autoridad de registro presencial. Lo que no se es que métodos se podrán utilizar para demostrar esta autenticación, imagino que la firma.

Uno de los problemas que tiene hoy en día la obtención de una firma electrónica es el (engorroso, pero imprescindible e importantísimo) trámite presencial que hay que efectuar para obtener la firma electrónica. El objetivo fundamental es asegurar que eres tú (y no otro) el que posee la clave privada de esa firma electrónica, además de hacerte "firmar" el contrato con las condiciones de uso de la firma electrónica (que si tienes que custodiar la clave privada y no compartirla, que si avisarás en caso de dudar de que alguien pueda haber comprometido la seguridad de la clave privada,...).

Esas "intenciones" o "bondades" del nuevo eDNI permitirán que sea más fácil montarte una CA. Antes de que alguien diga que saldrán CAs como setas, echad un vistazo al artículo 20, apartado 2

Enriquez's picture

Gracias por el reciclaje ;-)

Enviado por Enriquez el 13 Marzo 2006 - 8:34pm.

Me sacas de muchas dudas, tengo que ponerme al día en estos temas que hace tiempo que no los toco ;-).
Lo de los contratos entre particulares se hizo en su día para ahorrarte el dinero que costaban los certificados, a día de hoy ya no merece la pena.
Estamos de acuerdo en lo del engorroso trámite presencial y en lo de que el precio un aval de 3.000.000 no está al alcance de cualquiera ;)

Un saludo y gracias de nuevo.