El “no repudio” en la firma electrónica


Con frecuencia leo que la firma electrónica cuenta entre sus propiedades con una denominada “no repudio”.

Llevo años luchando contra el término, y a veces consigo convencer a mis interlocutores con perfil jurídico pero no a los de perfil tecnológico.

Por desgracia, es un término muy utilizado hace años y frecuentemente incluido en las explicaciones básicas de la firma electrónica, incluso por profesores universitarios.

El término fue debatido hace más de 10 años en el contexto del marco normativo anglosajón, en el que tuvo su origen y finalmente fue desechado y sustituido por otro, denominado “content commitment” que equivaldría más o menos al concepto de “consentimiento informado” ampliamente acuñado en el contexto hispano.

Nunca una firma electrónica aporta “no repudio”. Aporta, si acaso (y no es poco), presunción de su atribución al titular del certificado. Pero esa presunción puede ser desvirtuada si el titular del certificado puede acreditar que no ha realizado la firma. Algo que no es imposible de imaginar, por ejemplo, con el DNI electrónico.

El DNI electrónico permite realizar firmas avanzadas, de modo que puesto que el DNIe es un dispositivo seguro de creación de firma y sus certificados son cualificados, dichas firmas electrónicas son cualificadas (sinónimo de “reconocidas” en este contexto). Y por tanto merecedoras del mayor nivel probatorio definido por la Ley de Firma Electrónica o por la Directiva de Firma Electrónica. Pero si no somos cuidadosos con la custodia del dispositivo y el secreto de la clave, otra persona pudiera llegar a usarlo para firmar electrónicamente. Y si se nos quiere atribuir una firma electrónica que no hemos realizado, estaríamos en nuestro derecho de “repudiarla”. Otra cosa es que sea fácil demostrarlo.

Así que lo adecuado es decir que una firma electrónica ofrece “presunción de atribución”, no que ofrece “no repudio”.

Para los “tequis” escépticos, a los que no haya convencido, cito (de la norma ISO/IEC 9594-8:2000/Cor.3:2004 (E)):

contentCommitment: for verifying digital signatures which are intended to signal that the signer is committing to the content being signed. The type of commitment the certificate can be used to support  may be further constrained by the CA, e.g. through a certificate policy. The precise type of commitment of the signer e.g. “reviewed and approved” or “with the intent to be bound”, may be signalled by the content being signed, e.g. the signed document itself or some additional signed information.

Since a content commitment signing is considered to be a digitally signed transaction, the digitalSignature bit need not be set in the certificate. If it is set, it does not affect the level of commitment the signer has endowed in the signed content.

Note that it is not incorrect to refer to this keyUsage bit using the identifier nonRepudiation. However, the use of this identifier has been deprecated. Regardless of the identifier used, the semantics of this bit  are as specified in this Directory Specification.

Ya hablé de esta idea en un post anterior: El “no repudio” en el DNI electrónico

5 thoughts on “El “no repudio” en la firma electrónica

  1. Podríamos llamarlo autenticar, pero entonces nos liaríamos con la cualidad de autenticación de la firma electrónica, entendida como la verificación de la identidad

    Diccionario RAE:

    autenticar.
    (De auténtico).
    1. tr. Autorizar o legalizar algo.
    2. tr. acreditar (‖ dar fe de la verdad de un hecho o documento con autoridad legal).

    O acreditación

    Diccionario RAE:

    acreditar.
    1. tr. Hacer digno de crédito algo, probar su certeza o realidad. U. t. c. prnl.

    Podríamos distinguir entre autenticación de la identidad y autenticación del contenido

    O simplemente mantener autenticación para la acreditación de la identidad y compromiso con el contenido para la acreditación del contenido, de modo que dándose ambas acreditaciones con respecto a un documento electrónico se entienda éste se encuentra acreditado.

    En cualquier caso las cualidades de acreditación de la identidad como la autenticación del contenido de la firma electrónica, por muy cualificada o reconocida que sea, no podrán ser más que presunciones como bien indica Julián

    Un saludo

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s