lunes, 29 de septiembre de 2008

Peculiaridades del ciclo de vida de los certificados de empleados públicos

La Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP, Ley 11/2007) regula en su artículo 19 establece el siguiente marco general para las firma electrónica del personal al servicio de las AAPP
Artículo 19. Firma electrónica del personal al servicio de las Administraciones Públicas.

1. Sin perjuicio de lo previsto en los artículos 17 y 18, la identificación y autenticación del ejercicio de la competencia de la Administración Pública, órgano o entidad actuante, cuando utilice medios electrónicos, se realizará mediante firma electrónica del personal a su servicio, de acuerdo con lo dispuesto en los siguientes apartados.

2. Cada Administración Pública podrá proveer a su personal de sistemas de firma electrónica, los cuales podrán identificar de forma conjunta al titular del puesto de trabajo o cargo y a la Administración u órgano en la que presta sus servicios.

3. La firma electrónica basada en el Documento Nacional de Identidad podrá utilizarse a los efectos de este artículo.

Es un marco genérico, que implica la necesidad de realizar un desarrollo reglamentario. Un primer borrador del mismo figura en los trabajos que se han divulgado del "Esquema de identificación y firma electrónica de las AAPP" en en Centro de Transferencia de Tecnologías. Sea este el marco que finalmente se defina o no, refleja la complejidad del mismo, que queda patente en un peculiar ciclo de vida de los certificados digitales y los actores que intervienen en el mismo. De una primera lectura de este borrador pueden quedar aspectos no lo suficientemente claros, que es de esperar queden diseñados totalmente en su versión final. A continuación reflejo mi interpretación del mismo.

Al igual que para el resto de los sistemas de identificación electrónica para las AAPP definidos en la LAECSP, se definen dos tipos diferenciados de certificados digitales de empleado público para uso en firma electrónica. De un lado, aquellos que requieren un nivel de aseguramiento alto y ha de protegerse su material criptográfico en un dispositivo seguro de creación de firma (DSCF). De otro, los que requieren un nivel de aseguramiento medio y pueden estar basados en medios software. Las firmas electrónicas generadas con los primeros, de acuerdo a lo definido en la Ley de Firma Electrónica (LFE, Ley 59/2003), tendrían características de firma electrónica reconocida, equivalente a firma manuscrita. Las generadas con los segundos, sólo tendrían características de firma electrónica avanzada.  Es de sospechar que por la cabeza de quien diseñó esta dualidad de certificados pasará el uso de los basados en DSCF por aquellos con consideración de directivos, mientras los basados en software estarían destinados al resto de empleados públicos. No obstante, es fácil prever una convergencia hacia el uso sólo de firma electrónica basada en DSCF, ligando dicho dispositivo a las omnipresentes tarjetas de fichaje.

El "Esquema de identificación y firma electrónica de las AAPP" establece para ambos tipos de certificados un ciclo de vida que gira entorno a tres actores. De un lado la Autoridad de Certificación que emite los certificados, y de otro el suscriptor de certificado u organismo al que están adscritos empleados públicos y el responsable de certificado o empleado público que hace uso del mismo. Es decir, desdobla el titular del certificado en dos actores distintos, dando al primero la propiedad del mismo y al otro su uso. Ello queda reflejado en el hecho que tan sólo el suscriptor puede revocar un certificado de empleado público, y que aunque la solicitud puede partir tanto de suscriptor como del responsable, el responsable está obligado a recibirlo si el suscriptor se lo ha solicitado. Con este marco normativo, la firma electrónica pasa a ser una herramienta de trabajo de obligada aceptación, eliminado las ambiguedades existentes previas a la existencia de la LAECSP.

La relación existente entre los tres actores del ciclo de vida de los certificados digitales de los empleados públicos, hace pensar en una implementación de la generación del material criptográfico realizada integramente por la Autoridad de Certificación, en que el suscriptor realizará una petición masiva de los certificados para los empleados públicos del organismo que representa. En caso de certificados digitales basados en DSCF, una vez estos estuvieran disponibles se harían llegar a cada uno de los empleados públicos. En el caso de certificados basados en software, habría que idear un mecanismo seguro de hacer entrega del fichero PKCS12 al responsable del mismo.

Otro aspecto que llevará a una generación del material criptográfico por parte de la Autoridad de Certificación es la imposición que se hace a éste de conservar las claves privadas durante 15 años dentro del borrador del "Esquema de Identificación y Firma Electrónica". Esta conservación resulta más sencilla de implementar si la generación de claves se realiza en la Autoridad de Certificación que si la realiza suscriptor o responsable para luego hacérselas llegar de modo seguro. El almacenamiento de claves por el periodo indicado permitirá disponer de servicios de key scrow, si bien no existe previsión de cómo será regulado el procedimiento de recuperación de claves.

En resumen, es un ciclo de vida que tiene como principales peculiaridades que el empleado público juega un papel secundario en el mismo y que, a diferencia de servicios para ciudadanos existentes como el proporcionado por la FNMT, se hace la generación de claves  en la Autoridad de Certificación.

domingo, 28 de septiembre de 2008

Protección de claves criptográficas de sedes electrónicas

Hasta la promulgación de la Ley de Acceso Electrónico a los Servicios Públicos (LAESCP, Ley 11/2007), podemos considerar que no existía una normativa de carácter general sobre cómo proteger las claves criptográficas asociadas a los certificados digitales utilizados como identificación de las sedes electrónicas de los órganos y organismos públicos. Hablando con propiedad, ni tan siquiera podemos decir que existiera sede electrónica, ya que tal concepto no había sido establecido, sino sitios Internet establecidos por los órganos u organismos. En la mayoría de los casos, y salvo que utilizarán algún tipo de servicio digital que requiriese el uso de firma electrónica por parte del ciudadano, ni tan siquiera hacían uso de certificados digitales como medio de identificación.


La LAECSP, establece, en primer lugar, el concepto de sede electrónica



Artículo 10. La sede electrónica.

1. La sede electrónica es aquella dirección electrónica disponible para los ciudadanos a través de redes de telecomunicaciones cuya titularidad, gestión y administración corresponde a una Administración Pública, órgano o entidad administrativa en el ejercicio de sus competencias.

2. El establecimiento de una sede electrónica conlleva la responsabilidad del titular respecto de la integridad, veracidad y actualización de la información y los servicios a los que pueda accederse a través de la misma.

3. Cada Administración Pública determinará las condiciones e instrumentos de creación de las sedes electrónicas, con sujeción a los principios de publicidad oficial, responsabilidad, calidad, seguridad, disponibilidad, accesibilidad, neutralidad e interoperabilidad. En todo caso deberá garantizarse la identificación del titular de la sede, así como los medios disponibles para la formulación de sugerencias y quejas.

4. Las sedes electrónicas dispondrán de sistemas que permitan el establecimiento de comunicaciones seguras siempre que sean necesarias.

5. La publicación en las sedes electrónicas de informaciones, servicios y transacciones respetará los principios de accesibilidad y usabilidad de acuerdo con las normas establecidas al respecto, estándares abiertos y, en su caso, aquellos otros que sean de uso generalizado por los ciudadanos.

Para después pasar a establecer como estas han de identificarse
Artículo 17. Identificación de las sedes electrónicas.

Las sedes electrónicas utilizarán, para identificarse y garantizar una comunicación segura con las mismas, sistemas de firma electrónica basados en certificados de dispositivo seguro o medio equivalente.

De estos dos artículos, podemos deducir que no existe sede electrónica no identificada por un certificado. Además, parecería implicar que las claves criptográficas asociadas a los certificados de las sedes electrónicas han de estar protegidas dentro de un dispositivo seguro de creación de firma (DSCF). Para encontrar una definición de este elemento, acudimos a la Directiva 1999/93 que establece un marco comunitario para la firma electrónica. Esta Directiva establece para estos elementos que pueden ser elementos hardware o software que cumplan los siguientes requisitos
ANEXO III
Requisitos de los dispositivos seguros de creación de firma electrónica
1. Los dispositivos seguros de creación de firma garantizarán como mínimo, por medios técnicos y de procedimiento adecuados, que:
a) los datos utilizados para la generación de firma sólo pueden producirse una vez en la  práctica y se garantiza razonablemente su secreto;
b) existe la seguridad razonable de que los datos utilizados para la generación de firma no pueden ser hallados por deducción y la firma está protegida contra la falsificación mediante la tecnología existente en la actualidad;
c) los datos utilizados para la generación de firma pueden ser protegidos de forma fiable por el firmante legítimo contra su utilización por otros.
2. Los dispositivos seguros de creación de firma no alterarán los datos que deben  firmarse ni impedirán que dichos datos se muestren al firmante antes del proceso de firma.

Generalmente, se ha considerado que en un elemento puramente software es difícil dar cumplimiento a estas condiciones, por que los DSCF han sido considerados única y exclusivamente, de carácter hardware. En el caso de servidores de información, los DSCF de los que hacen uso se denominan Hardware Security Module (HSM). Consecuentemente, se derivaría de la LAECSP que tan sólo un HSM parecería estar llamado a ser los elementos dónde se alberguen las claves criptográficas asociadas a los certificados de las sedes electrónicas.

Sin embargo, es otra la interpretación hacía dónde parece encaminarse el borrador del reglamento que desarrolla el "Esquema de Identificación y Firma Electrónica", cuyos trabajos pueden seguirse a través del Centro de Transferencia de Tecnologías de la Administración General del Estado. De un lado, y al igual que para los restantes certificados que las AAPP pueden usar para identificarse, establece que los certificados de sedes electrónicas pueden ser de dos tipos, con y sin equivalencia con firma reconocida. Ello, de acuerdo a la legislación de firma electrónica, abre la vía a que existan certificados de sede electrónica sobre DSCF y sobre un dispositivo no segruro de creación de firma, en aparente contradicción con la LAECSP. Es decir, puede haber certificados de sede electrónica soportados y no soportados sobre HSM.

El valor y uso de dichos certificados, no es sin embargo el mismo. Los certificados basados en HSM podrán ser usados para cualquier servicio digital implantado en una sede electrónica. Los restantes certificados, sólo podrán ser usados en aquellos casos que una infracción de seguridad sólo tenga como consecuencia pérdidas economicas o de imagen no significativas.