La firma no criptográfica

Síntesis. Gracias Manuel Gallo y Daniel G. Si queremos analizar distintos tipos de firma, tenemos que hacerlo a la luz de las garantías que deseamos obtener. En principio, todas y de forma plena. Son comunes a las diferentes modalidades: 1 Asegurar la identidad del firmante y 2 Asegurar su voluntad de firmar respaldando o dando autoría y 3 Estar unida inequívocamente al firmante y 4 Generarla en un dispositivo bajo el control "exclusivo" del firmante en el momento de la firma. Además, 5 Estar vinculada de forma solidaria al documento que se firma y lograr la 6 Integridad. El documento firmado no puede ser alterado sin detectarlo. ¿Cuáles son las modalidades o escenarios? - La manuscrita convencional - La manuscrita biométrica - La realizada con certificado digital SW - La realizada con dispositivo seguro de creación de firma en exclusivo control - La firma en la nube con certificado a nuestro nombre (cl@ve Firma) - La ‘firma’ mediante CSV - La ‘Afirma’ o pseudo-firma por evidencias con sellado del todo (firma UETA USA) ../.. (continúa)  

../.. Cada una de ellas presenta variantes en la forma de lograr las seis garantías. Creo que auditar cada una de ellas proponiendo los elementos de refuerzo necesarios es la manera de analizar la viabilidad de cualquier iniciativa. Nos referimos a la identificación robusta de doble factor, el OTP, las trazas, el hash, el repositorio seguro de documentos con CSV, el trazo biométrico de un solo uso, el sello del servicio de confianza, etc. Son formas de conseguirlas. Podemos tratar en detalle cada uno de los escenarios. PS: Excluimos la firma bajo coacción que es situación independiente a la tecnología utilizada.

Igual el conveniente echar un vistazo al proceso de "Firma Avanzada", que no requiere certificados, puede basarse en criptografía de todos modos... y SI es una firma, exactamente igual de válida que una firma basada en certificados. De hecho, incluso en la Administración Pública, se usan con más frecuencia los mecanismos de firma sin certificado que aquellos que se hacen con un certificado. La cuestión está, exclusivamente, en: - Garantizar la identidad del firmante - Garantizar su "voluntad" de firmar - Garantizar que la firma se genera en un dispisitivo bajo el control "exclusivo" del firmante en el momento de la firma - Garantizar que la firma está unida inequívoxamente al firmante - Garantizar que la firma está unida inequíbocamente al documebto que se firma - Garantizar que el documebto firmado no ouede ser alterado sin detectarlo Pemsar en el año 2020 que todo lo anterior es "patrimonio exclusivo" del mundo de los certificados es, entre otras cosas, una gran "temeridad"... del mismo modo que lo es lo que dicen algunas autoridades de certificación (eg: en Portugal) de que "cualquier firma no cualificada es avanzada"... o lo que sostiene muxha gente en Europa (también en España) de que "una firma con OTP es una Firma Avanzada

Miguel, echa un vistazo a www lleida.net/ policies ... y hablemos.

Muy interesante. Es evidente que los certificados digitales siguen resistiéndose para muchas personas, lo que supone una brecha digital importante. Usar sistemas de firma electrónica más fáciles de utilizar es avanzar. Especialmente en procedimientos que no requieran una garantía especial. En Castro, en mi Ayuntamiento hemos dado bonos sociales de internet, un USB con 4G a familias necesitadas sólo con su firma garabateada en un tablet Microsoft surface ¿Para qué más? Ven, firma aquí el formulario de condiciones de uso y llévate el usb-4g. Fácil, sin registros previos y en un sólo acto. ¿Problemas? --> Ninguno.