Portal de la Subscretaría de Defensa del Consumidor : cómo hacer reclamos y otras cuestiones
Para tener en cuenta...
Monday, July 30, 2007
Thursday, July 26, 2007
Para comenzar, algo sobre firma digital
Mucho se habla últimamente en los medios judiciales (al menos aquí en Río Negro, aunque pareciera una moda que empieza a cundir) sobre la firma digital. Tenemos una ley de firma digital ( ley 25.506 ), un decreto reglamentario decreto 2628/02 que declara propender a la despapelización de la Administración Pública , reformas a los códigos de procedimientos que incorporan comunicaciones electrónicas, etc.... pero lo que no tenemos son autoridades certificantes para usuarios que no pertenezcan a organismos de la administración pública (nacional, salvo convenio expreso), a pesar que hace ya, cuánto? seis años? que tenemos esa ley.
Pareciera que hay algo que no funciona en este enfoque; empezando, claro está, por la distinción que hace entre firma digital (art. 2º) y firma electrónica (art. 5º), totalmente arbitraria e irracional desde lo técnico; aunque quizás no tanto desde lo jurídico.... Probablemente sea el momento de revisar el esquema en el que está basada la infraestructura de la firma digital y, justamente como su nombre lo indica, crear una infraestructura que, a través de una interconexión entre diversos niveles de certificación, logre el objetivo de la ley.
Se me ocurre que lo que no funciona es justamente la base sobre la que se asienta el concepto de certificado digital; son tantos los requisitos (casi tantos como las letras del alfabeto!) en infraestructura tecnológica y humana, y en obligaciones, que impone la ley 25506 a los hasta ahora inexistentes certificadores licenciados, que hasta donde tengo conocimiento no se constituyó ninguno destinado al uso general, ni han asumido tal tarea las entidades que lo hubieran podido hacer, tales como colegios públicos de las distintas profesiones.
Por todo ésto, creo que es mucho más razonable partir de una escala de menor complejidad técnica y más interrelación humana, subiendo niveles a partir de unidades de relativamente escaso tamaño, como podrían ser, justamente, los colegios profesionales, o las empresas, u organismos no pertenecientes al sector público nacional. Y sin grandes pretensiones, crear las llamadas "redes de confianza" (en inglés: web of trust, cuyo concepto puede verse aquí ), mediante las cuales un grupo más o menos numeroso de gente certifica la firma de determinadas personas, todo mediante el uso de sistemas criptográficos altamente sofisticados basados en criptografía asimétrica, algunos de ellos de uso libre, tales como gpg (que se puede obtener del siguiente enlace ).
Los certificados que así se generan se "suben" a servidores distribuidos en diversas partes del mundo que se sincronizan permanentemente entre si, lo que minimiza casi a 0 las posibilidades de falsificación de las "firmas".
Luego, subiendo de nivel, otro grupo certifica las firmas de los anteriores, y así sucesivamente, hasta que cada certificado tiene un número tan importante de avales que resultaría muy difícil dudar de su autenticidad.
Esto significa que crear una infraestructura de firma digital es posible, sin necesidad de tener una gran infraestructura tecnológica, pero resulta imperativo invertir el enfoque y abrir la mente a posibilidades no tradicionales.
El sistema no está exento de problemas, en particular, frente a los requerimientos de autoría y no repudio; pero dado un número suficientemente grande de "avales", qué diferencia real existe con un certificado que pudo ser "plantado" en los servidores de una (única) entidad, o cuyas claves pudieron ser robadas de esos mismos servidores?
En lo personal, pienso que ofrecen mayores garantías de confiabilidad y estabilidad los sistemas de uso libre con una sólida base científico-criptográfica, que no esconden sus algoritmos ni sus procedimientos ni dependen de un único organismo para su funcionamiento.
Pareciera que hay algo que no funciona en este enfoque; empezando, claro está, por la distinción que hace entre firma digital (art. 2º) y firma electrónica (art. 5º), totalmente arbitraria e irracional desde lo técnico; aunque quizás no tanto desde lo jurídico.... Probablemente sea el momento de revisar el esquema en el que está basada la infraestructura de la firma digital y, justamente como su nombre lo indica, crear una infraestructura que, a través de una interconexión entre diversos niveles de certificación, logre el objetivo de la ley.
Se me ocurre que lo que no funciona es justamente la base sobre la que se asienta el concepto de certificado digital; son tantos los requisitos (casi tantos como las letras del alfabeto!) en infraestructura tecnológica y humana, y en obligaciones, que impone la ley 25506 a los hasta ahora inexistentes certificadores licenciados, que hasta donde tengo conocimiento no se constituyó ninguno destinado al uso general, ni han asumido tal tarea las entidades que lo hubieran podido hacer, tales como colegios públicos de las distintas profesiones.
Por todo ésto, creo que es mucho más razonable partir de una escala de menor complejidad técnica y más interrelación humana, subiendo niveles a partir de unidades de relativamente escaso tamaño, como podrían ser, justamente, los colegios profesionales, o las empresas, u organismos no pertenecientes al sector público nacional. Y sin grandes pretensiones, crear las llamadas "redes de confianza" (en inglés: web of trust, cuyo concepto puede verse aquí ), mediante las cuales un grupo más o menos numeroso de gente certifica la firma de determinadas personas, todo mediante el uso de sistemas criptográficos altamente sofisticados basados en criptografía asimétrica, algunos de ellos de uso libre, tales como gpg (que se puede obtener del siguiente enlace ).
Los certificados que así se generan se "suben" a servidores distribuidos en diversas partes del mundo que se sincronizan permanentemente entre si, lo que minimiza casi a 0 las posibilidades de falsificación de las "firmas".
Luego, subiendo de nivel, otro grupo certifica las firmas de los anteriores, y así sucesivamente, hasta que cada certificado tiene un número tan importante de avales que resultaría muy difícil dudar de su autenticidad.
Esto significa que crear una infraestructura de firma digital es posible, sin necesidad de tener una gran infraestructura tecnológica, pero resulta imperativo invertir el enfoque y abrir la mente a posibilidades no tradicionales.
El sistema no está exento de problemas, en particular, frente a los requerimientos de autoría y no repudio; pero dado un número suficientemente grande de "avales", qué diferencia real existe con un certificado que pudo ser "plantado" en los servidores de una (única) entidad, o cuyas claves pudieron ser robadas de esos mismos servidores?
En lo personal, pienso que ofrecen mayores garantías de confiabilidad y estabilidad los sistemas de uso libre con una sólida base científico-criptográfica, que no esconden sus algoritmos ni sus procedimientos ni dependen de un único organismo para su funcionamiento.
Subscribe to:
Posts (Atom)