La política de firma en el ENI y el ENS, ¿un castillo de naipes?

En el año 2010, fueron publicados los dos Reales Decretos (ENI y ENS) que están marcando el desarrollo de la administración electrónica en España. El desarrollo técnico de estas normas se está abordando a través de la publicación de Normas Técnicas de Interoperabilidad (NTI) en el caso del ENI y mediante Guías de Implantación para el ENS. El objetivo de todo este trabajo es la creación una infraestructura de servicios electrónicos  para la administración pública española que garantice la interoperabilidad de los trámites electrónicos y asegure un correcto tratamiento de la información.

La firma electrónica, uno de los elementos básicos para la puesta en marcha de esta infraestructura, aparece regulada principalmente en los documentos normativos:

  • Resolución 13171 – NTI – Política de firma electrónica y de certificados de la Administración
  • CCN-STIC-807 – Criptología de empleo en el ENS

Política de firma electrónica

En el primero se establecen las políticas de firma y verificación que deben considerarse para el tratamiento de los documentos electrónicos en la Sede Electrónica de un organismo público: formatos de firma, subformatos, sellos de tiempo, gestión de firmas longevas…

En el caso concreto de la AGE, se recomienda la utilización de la Política de Firma definida por el CSAE, actualmente publicada en su versión 1.8 diferentes formatos:

Esta Política de Firma del CSAE, que será revisada en breve, describe la creación, el ciclo de vida y los procesos de verificación para firmas realizadas en los formatos avanzados XAdES y CAdES. Asimismo, reconoce la idoneidad del formato PAdES para la emisión de documentos electrónicos a ciudadanos y deja abierta la puerta para su utilización.

No obstante, la normativa indica que cada organismo público que no pertenezca a la AGE puede definir una Política de Firma propia basada en la proporcionada por el CSAE. Y aquí es dónde pueden comenzar a aparecer problemas de interoperabilidad. Es necesario que los organismos públicos que decidan publicar y mantener su propia política de firma sean conscientes de que pueden limitar las posibilidades de creación de firma que son establecidas por el CSAE, pero que deben respetarse escrupulosamente las posibilidades de verificación de la referida política. En caso contrario, todo este esfuerzo conjunto por la interoperabilidad habrá sido en vano.

Por ejemplo, si un organismo público decide restringir sus políticas de firma a la gestión de CAdES explícitos, será capaz de enviar documentos electrónicos a cualquier otro organismo, pero no podrá recibir los documentos electrónicos que otro organismo público haya firmado con XAdES.

Criptología de empleo

Por otra parte, la guía de seguridad del CCN relativa a la criptología de empleo en el ENS (CCN-STIC-807), establece los criterios de aceptación para firmas, certificados, mecanismos de comunicación y métodos de cifrado en función de la calificación de seguridad de la información.

Por ejemplo, si un documento electrónico tiene una calificación de seguridad BAJA, podrán utilizarse firmas electrónicas basadas en certificados de 1.024 bits, pero si su calificación es superior (MEDIA o ALTA) deberán emplearse certificados de 2.048 bits.

Estas restricciones tecnológicas no están recogidas en la Política de Firma del CSAE, ni parece que haya un hueco previsto para su inclusión. Lo que invita a pensar que la interoperabilidad puede verse de nuevo amenazada en función de los criterios que se definan para el tratamiento de la información en los diferentes organismos públicos.

Conclusiones

En España se está realizando un enorme esfuerzo normativo para la regulación tecnológica en la aplicación de las técnicas de firma electrónica, pero los huecos existentes pueden derivar en interpretaciones inadecuadas. Es responsabilidad de la Administración y de las propias empresas tecnológicas velar por un proceso de adopción de la normativa coherente y exhaustivo. Ya que de otra manera, mucho de lo conseguido hasta la fecha puede verse amenazado, originando la caída del complejo entramado de interoperabilidad y seguridad como si de un frágil castillo de naipes se tratara.

Un comentario en “La política de firma en el ENI y el ENS, ¿un castillo de naipes?

  1. Según se indica en la Guía rápida de la política de firma AGE (http://administracionelectronica.gob.es/recursos/PAE_13312914564875059.pdf?iniciativa=239): “No es necesaria la definición de una política de firma para cada organización. Excepto para organismos que por sus características requieran un marco legal concreto de firma electrónica, no es recomendable crear políticas de firma particulares, ya que se corre el riesgo de incluir restricciones que den como resultado firmas electrónicas no interoperables con las políticas de otros organismos”.

    En este documento también indica su URI de descarga http://administracionelectronica.gob.es/es/ctt/politicafirma/politica_firma_AGE_v1_8.pdf, que curiosamente no aparece en el propio documento de la política y es INDISPENSABLE para firmas XAdES.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s