Opinando sobre el DNIe


Hace unos días me hicieron unas preguntas sobre el DNIe y al ver que en la publicación final mis opiniones no coincidían con lo que yo pienso, repasé mis respuestas. La culpa es mía por falta de contextualización de mis respuestas, y por haber forzado a la periodista a resumirlas. Releyendolas, tampoco me extraña la interpretación de la periodista, aunque ahora las matizaría para dejar claro que mi opinión es favorable al DNIe y no contraria. Por supuesto, reconozco que hay potencial de mejora en el DNIe y en su contexto de uso.

Agradezco a Eva Fernández de Diario de Navarra la oportunidad de opinar sobre este tema y le pido disculpas por haber dificultado su trabajo con mis peroratas y mis anacolutos.

¿Qué relación tienen o han tenido vuestros proyectos profesionales con la implantación del DNIe en España?

En mi caso bastante. Incluso antes de su lanzamiento. Por ejemplo, hicimos un trabajo para Telefónica Móviles en el año 2005 (lo  explico en : https://inza.wordpress.com/2006/06/25/firma-electronica-en-el-telefono-movil-celular-con-movistar/   )

Aparte, hemos impartido múltiples seminarios sobre el tema, varios con Inteco. Hemos preparado un curso on-line para Inteco, hemos sido  seleccionados por Red.es como entidad promotra del DNIe. Y la mayor  parte de nuestros desarrollos informáticos tienen que ver con la firma electrónica.

Siete años después de su puesta en marcha y con 21 millones de DNIe expendidos, ¿cómo describiríai la situación general de su uso?

El uso es bajo, pero ha sido esencial para que se rompiera el círculo vicioso anterior: “Como hay pocos certificados no merece la pena desarrollar servicios y aplicaciones que saquen partido de ellos. Como no hay aplicaciones, no merece la pena obtener certificados”. Ha cambiado radicalmente el mercado de la certificación en España. España es ahora, sin duda, el más avanzado del mundo en temas relacionados con la firma electrónica. Aunque se han cometido y se cometen muchos errores causados por la impericia de quienes tienen que acometer proyectos de este tipo con escasa experiencia. Por ejemplo, en los diseños de las interficies de usuario, en especificaciones del propio DNIe o en implementaciones de firma o autenticación electrónicas. Por ejemplo, el acceso a la banca electrónica del BBVA con DNIe solicita el uso del certificado de firma, cuando debería solicitar el de autenticación.

Un resumen de como habia sido el mercado de la certificación hasta  el 2002-2003 lo puedes ver en https://inza.wordpress.com/2006/10/01/12-anos-de-firma-electronica-en-espana/
(2003 fue el momento en que se publicó la Ley 59/2003).

¿Cuáles crees que han sido los principales errores que se han cometido durante estos años (a nivel político, profesional, empresarial, social…) para que la situación actual no cumpla las expectativas de los primeros años?

Creo que se han cometido muchos errores y muchos aciertos. Y a veces  por las mismas personas. Para mi los errores más importantes son

  • La exigencia por parte de la Agencia Estatal de Protección de Datos de que el acceso a la información pública (el certificado) requiriera password, lo que hace el DNIe inusable
  • La exigencia de que el acceso al certificado de autenticación exigiera password (lo que la hace indistinguible del de firma a un no experto). En la firma es precisa la voluntad de firmar, y es correcto que se exija password, en la autenticación se muestra la información sobre uno mismo de forma fiable y no implica conformidad con nada, por lo que el mero hecho de introducir el DNIe en el lector muestra la intención de identificarse.
  • El desconocimiento general sobre la necesidad de validación del certificado por parte de terceros.
  • La limitación en la validez de los certificados. La imposibilidad para el ciudadano de saber si los certificados están revocados
  • El establecimiento del concepto de “período de gracia” en la validación.
  • El uso de CRL por algunos organismos. Se debería usar siempre solo OCSP.
  • La carencia de la UE y los supervisores nacionales en gestionar adecuadamente el artículo 11 de la Directiva 1999/93.
  • La falta de información sobre OID, OCSP y otras informaciones de las TSL que se han empezado a lanzar este año y que deberían llevar 15 años de gestión.
  • La generación de excesiva normativa sobre firma electrónica, dispersa y contradictoria. Especialmente erróneos han sido los desarrollos legislativos relativos a la Ley 11/2007.
  • El incumplimientos de normas como la Ley 56/2007 por el sector privado.
  • La dejadez de organismos públicos encargados de la difusión del  DNI (a nivel estatal y autonómico).
  • El secretismo sobre cierta información del DNIe (los comando APDU) recientemente revelada. 
  • La implementación de los drivers, sin alternativas.
  • La falta de homogeneidad en la gestión de certificados en diferentes plataformas: CSP, PKCS#11,…

Seguiría,…

¿Qué  aspectos tienen que cambiar necesariamente para que el DNIe  cumpla todo su  potencial como dispositivo de autenticación y firma digital?

Para mi no es un problema solo del DNI sino de todos los certificados cualificados. El primer error es tratar al DNIe como si  fuera distinto del resto de los certificados cualificados. Y esto abarca a los certificados de todos los paises.

Creo que lo más importante es la interoperabilidad. Las TSL son un paso muy importante pero insuficente. La erradicación de las CRL y uso de protocolos como OCSP es clave. La codificación correcta de la  extensión AIA en los certificados, importante. El uso de firmas  AdES-XL en origen esencial.

El soporte nativo de firmas electrónicas en los sistemas operativos  ayudaría. Solo Microsoft hace las cosas más o menos bien en este sentido.  El soporte nativo de firmas electrónicas en los navegadores también es importante. Habría que unificar los interfaces de acceso a los certificados para que el concepto de CSP se extendiera a otras sistemas operativos y aplicaciones (incluyendo navegadores) y los CSP integraran de forma nativa interficies PKCS#11.

Y la eliminación de la necesidad de teclear el PIN del DNIe al  acceder al certificado o a la clave de autenticación, mejorarían la usabilidad de este. Yo cambiaría la Ley 59/2003 para que los certificados puedan durar 10 años, y luego cambiaría las especificaciones del DNIe para qu sus certificados duraran lo mismo que el soporte.

¿Cuáles serían  los primeros pasos que habría que dar para que la situación  comenzara a dar un  giro sustancial en España?

Primero cambiar la Ley 59/2003 para que incorpore lo correcto de la Ley 11/2007 y elimine lo incorrecto de dicha ley y de su normativa de desarrollo. También hay temas que cambiar de la propia Ley 59/2003, y de otras normas, como las que definen las firmas  electrónicas de los notarios y los registradores, el código de comercio, el código civil, la ley de enjuiciamiento civil. La ley de firma electrónica debería ser la fuente única de derecho sobre firma (aunque tenga un desarrollo reglamentario que en la actualidad “casi” no existe). Y se derogarían los aspectos de firma del resto de leyes.

¿Qué futuro  le auguras al DNIe a corto, medio y largo plazo?

Bueno.

2 pensamientos en “Opinando sobre el DNIe

  1. Yo

    En cuanto al proceso de autenticación sin contraseña, tengo mis dudas de si sería correcto, ya que si por algún “descuido” una persona tuviese acceso al DNIe de otra sería posible que se autenticase en su nombre y en el peor de los casos acceder a información privada y muy sensible. He de confesar que al principio he dudado en mi opinión.

    Responder
  2. Pingback: Los Certificados Electrónicos ¿Solución o Pesadilla? III. Los Certificados Electrónicos y sus Problemas prácticos | Microlopez

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s