3. La Identidad Digital - Los comienzos:
Con el auge de la Administración Electrónica, los
certificados electrónicos se establecen como
solución de referencia de identidad digital
Una de las principales razones es la necesidad de
trasladar las garantías jurídicas del derecho
administrativo a la vía electrónica
Los certificados son una solución potente,
interoperable, con un alto nivel de seguridad y
aportan importantes ventajas de gestión
4. El Certificado-e en la Administración
La Administración asume una posición de
liderazgo en el uso de certificados electrónicos,
muy por delante del sector privado
Al principio (p.ej. IRPF 1999) el entorno
tecnológico del usuario se mantiene
razonablemente sencillo
Entonces, prácticamente el 100% de los casos:
Windows + IE + certificado PKCS#12
7. El Certificado-e en la Administración
Una mayor heterogeneidad del entorno
multiplica los problemas de una tecnología no
trivial como lo son los certificados digitales
El ciudadano se encuentra con pautas de uso y
problemas diferentes según qué producto usa
El principio de neutralidad tecnológica de la Ley
11/2007 es deseable, pero a la vez resulta
problemático en la práctica
8. El Certificado-e en la Administración
A mayores, en la Administración aún se
comenten errores que confunden al usuario.
Ejemplo: uso de CAs propias en webs públicas
Muchos de los fabricantes tampoco ayudan:
insuficiente soporte al uso de certificados
digitales, falta de rigor en las implementaciones,…
Aún falta estandarización con lo que ello implica.
Ejemplo: firma electrónica en Web
9. El Certificado-e en la Administración
Algunos tipos de certificados generan barreras
adicionales. Ejemplos: adquisición del lector e
instalación de software del DNI electrónico
En algunos casos conseguir una usabilidad
adecuada implica asumir brechas de seguridad.
Ejemplo: instalación vía Web de un cert. PKCS#12
Aparecen nuevos requisitos. Ejemplo: VM Java
para Applets de firma electrónica
11. Barreras y Problemas para el ciudadano
El entorno tecnológico aún no ha logrado que la
utilización de los certificados electrónicos sea lo
suficientemente transparente al usuario
El ciudadano ha de enfrentarse a conceptos no
triviales: almacén de certificados, certificado raíz,
clave privada, etc.
Errores en las Webs y distribución de certificados
raíz generan rechazo e inseguridad al ciudadano
12. Barreras y Problemas para el ciudadano
Incomodidad de algunos medios. P.ej.: lentitud
y/o excesivas peticiones de introducción del PIN
en algunas tarjetas criptográficas y DNIe.
Excesivo nivel de incidencias en componentes
clave. Ejemplo: Componentes de firma
electrónica en páginas Web
Confusión creada por las políticas de algunas
fabricantes. Ejemplo: almacenes de certificados
15. Pero…
Se trata de una tecnología demasiado buena y
segura como para descartarla
Además, el problema no está tanto en los propios
certificados, sino en el entorno tecnológico
16. Por tanto…
No obstante, el uso generalizado de certificados
electrónicos sigue siendo el ideal al que aspirar
Hoy por hoy, salvo para colectivos afines a las
nuevas tecnologías, los certificados carecen de
la usabilidad necesaria para un uso amplio
Mientras tanto hay que trabajar en las mejoras
y contemplar alternativas
18. Claves para encontrar Soluciones
Estudiar soluciones para simplificar el uso de los
certificados electrónicos
Análisis de riesgos individualizado en los trámites
para estudiar alternativas a los certificados.
Ejemplos: puntos DGT, borrador AEAT, etc.
Al funcionario lo podemos formar, al ciudadano
no. Quedan prohibidas la soluciones complejas
para su uso generalizado
19. Claves para encontrar Soluciones
Al ciudadano rechaza «tareas de bricolaje», si
queremos un uso generalizado de certificados
electrónicos todo ha de ser «plug and play»
El problema es mucho más fácil de resolver con
funcionarios y profesionales, ya que disponen de
departamentos de tecnología y formación
… pero, aún no se forma lo suficiente y se delega
demasiado en el proveedor en la implantación
de soluciones de administración electrónica
21. +
Tarjeta criptográfica (incluido DNI electrónico)
tipo «plug and play»
Políticas eficaces que logren la incorporación de
los lectores como un dispositivo cotidiano más
Software eficiente: sin lentitud, ni peticiones
excesivas del PIN de usuario
+
22. Claves para encontrar Soluciones
Lograrlo es una cuestión de coordinación y
voluntad de todos los actores implicados:
fabricantes, instituciones de normalización,
Gobiernos y Administración
Solucionar los problemas expuestos es
técnicamente posible y ni siquiera muy difícil
23. Muchas Gracias
Alberto López Tallón
Jefe de Servicio de Proyectos Tecnológicos
Más información en: www.microlopez.org
Notas del editor
Saltar muy rápido estas transparencias
Destacar en cuanto a ventajas de gestión cosas como la facilidad para difusión de una identidad digital, cosas como la revocación y caducidad de los certificados, la presencia de un tercero de confianza que asume el papel de la emisión, la revocación, etc.
Comentar que la gran acogida de los certificados electrónicos en la AP la llevan a una posición de líder en la materia
Los servicios electrónicos ofrecidos por la Administración, lideran dentro de las aplicaciones abiertas al público el uso de certificados electrónicos y la Administración ocupa en ese sentido una posición de vanguardia
El despegue de los certificados se ve favorecido por la sencillez del entorno
Proyecto CERES de la FNTM que arranca en el año 1996 dónde la RCM-FNMT se constituye en 1997 como Prestador de Servicios de Certificación
El certificado FNMT se puede adquirir gratuitamente, de modo que las barreras son mínimas
Pautas: almacén utilizado, componentes de firma diferentes, restricciones al uso de certificados, no soporte o soporte defectuoso de navegadores como Safari, diálogo de selección del certificado
Sedes electrónicas con CAs «inventadas»
Ejemplo de Firefox que ignora el almacén del SO
Problema de los componentes de firma: puede requerir la configuración de seguridad del navegador para que permita utilizarlos, según el productos tienen comportamientos y requisitos diferentes (Java, etc.) que complican la vida al usuario, entre sí pueden generar incompatiblidades, etc.
Ahora según qué servicio electrónico se soportan unos u otros navegadores y sistemas operativos
Requisitos adicionales como tener instalada una máquina virtual Java, etc.
Pregunta al público: ¿Cuánto de ustedes han realizado firmas electrónicas? ¿Cuántos de ustedes no han tenido nunca un problema de este tipo al realizar una firma electrónica?
La posibilidad de poder exportar el certificado con la clave privada desde el almacén
El desconocimiento del usuario que hace que casi nadie haga copias de seguridad
En mis cursos, los pocos que lo habían hecho casi el 100% lo habían hecho sin la clave privada por ser esa la opción por defecto del almacén
Uso transparente: un usuario o bien tiene que saber de cosas como claves privadas, almacén de certificados, etc. O bien tiene que adquirir un lector, instalar software para utilizarlo, etc. Comentar comandos APDU
Comentar el ejemplo de la importación de certificados raíz en algunas las páginas Web para que el usuario pueda funcionar. Ejemplo de sacarse una copia, el fallo de hacerlas sin la clave privada, etc. Que la gente confunde el PIN de protección con la clave privada, etc. Decir que esto no se puede abordar son formación.
Anécdota de la gente que aún nos viene con certificados de su PKI privada
Uso transparente: un usuario o bien tiene que saber de cosas como claves privadas, almacén de certificados, etc. O bien tiene que adquirir un lector, instalar software para utilizarlo, etc. Comentar comandos APDU
Comentar el ejemplo de la importación de certificados raíz en algunas las páginas Web para que el usuario pueda funcionar. Ejemplo de sacarse una copia, el fallo de hacerlas sin la clave privada, etc. Que la gente confunde el PIN de protección con la clave privada, etc. Decir que esto no se puede abordar son formación.
Anécdota de la gente que aún nos viene con certificados de su PKI privada
Explicar que si un usuario de Firefox abre un certificado desde su navegador se instalará efectivamente en el almacén de Firefox, pero si lo guarda primero en el escritorio y luego lo abre la opción de instalación se referirá al almacén de Windows
… y esto nos lleva a los problemas de los usuarios
Según la Encuesta sobre Equipamiento y Uso de Tecnologías de la Información y Comunicación en los hogares 2010 un 4,7% de los titulares de un DNIe han utilizado sus certificados en sus relaciones con la Administración Pública, 13% ha utilizado otros certificados
Ojo con la cifra de la AEAT (casi 8 millones), porque están las gestorias
Hacer énfasis en el que el problema está más en el entorno que en la tecnología en sí
Hacer especial hincapié en que sacar la conclusión de que la tecnología en sí de los certificados no es adecuada para alcanzar una usabilidad adecuada y con ello una implantación masiva
El problema no está ahí ya que con un entorno tecnológico adecuado su uso puede ser perfectamente transparente para el usuario aunando las ventajas de seguridad con las de una buena usabilidad
Sedes electrónicas con CAs «inventadas»
Ejemplo de Firefox que ignora el almacén del SO
Problema de los componentes de firma: puede requerir la configuración de seguridad del navegador para que permita utilizarlos, según el productos tienen comportamientos y requisitos diferentes (Java, etc.) que complican la vida al usuario, entre sí pueden generar incompatiblidades, etc.
Confirmación borrador AEAT: el contribuyente necesitará alguno de estos datos: el NIF, el número de cuenta corriente, el número de referencia del borrador (aparece en la carta que acompaña al borrador) y el número de justificante (es el que aparece en el documento de ingreso o devolución que acompaña al borrador). Para confirmar el borrador de Renta por internet no es necesario el certificado de firma electrónica, salvo si se va a pagar en ese momento.
Sedes electrónicas con CAs «inventadas»
Ejemplo de Firefox que ignora el almacén del SO
Problema de los componentes de firma: puede requerir la configuración de seguridad del navegador para que permita utilizarlos, según el productos tienen comportamientos y requisitos diferentes (Java, etc.) que complican la vida al usuario, entre sí pueden generar incompatiblidades, etc.
Pregunta al público: ¿Cuánto de ustedes han realizado firmas electrónicas? ¿Cuántos de ustedes no han tenido nunca un problema de este tipo al realizar una firma electrónica?
La idea es muy sencilla
En el último punto, hay que lograr en definitiva que los lectores se consideren tan cotidianos e imprescindibles como el ratón
Poner el ejemplo de los comandos APDU
Lo que voy a decir es de cajón, pero aún así no corresponde a la realidad
Poner el ejemplo de un acuerdo con Microsoft para la preinstalación de los drivers del DNIe y su actualización a través de Windows Update