TrustedX: La Custodia de Documentos Firmados
Introducción
Si bien el espectro de aplicaciones basadas en firma electrónica es cada vez más amplio, la virtualización de los procesos de negocio sigue siendo todavía la asignatura pendiente. En España el DNI-e y la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (Ley 11/2007) suponen un paso de gigante en materia de derechos de los ciudadanos a los servicios electrónicos. Pero ante todo, son herramientas contundentes que establecen el marco de consolidación del soporte electrónico y de la mejora competitiva y eficiencia, especialmente en el ámbito de las Administraciones Públicas.
Así pues, ahora el reto de las TIC es el de poder emular fielmente los procesos basados en papel, unos mecanismos de funcionamiento probados, pero de manera más eficiente y fiable. Las premisas que se establecen para la custodia de documentos firmados conllevan garantizar el intercambio de información, el acceso a los datos desde diferentes aplicaciones, la integridad, autenticidad, confidencialidad, calidad, protección y conservación de los documentos almacenados. En otras palabras, se impone el uso de los estándares en materia de interoperabilidad y seguridad, eso sin menosprecio de las funcionalidades de gestión de la información que brindan los nuevos soportes electrónicos y de los que carece el medio papel.
La preservación de las firmas electrónicas
La verificación de la firma electrónica debe resultar en una declaración de validez o no validez. La verificación de las firmas electrónicas ya es habitual en las transacciones electrónicas, pero debe ser posible su corroboración, incluso años después de su generación, usando mecanismos irrefutables y sin la necesidad de recabar información probatoria que no se haya mantenido debidamente por mecanismos automáticos. Un ejemplo de información probatoria es la evidencia de que en el momento de la firma los certificados digitales eran válidos.
Habitualmente, la pérdida de información probatoria está relacionada con el paso del tiempo (las evidencias que en su día eran válidas dejan de serlo a partir de un momento determinado) o con la movilidad del propio documento firmado (en algunas implementaciones las evidencias sólo son válidas en el contexto del propio sistema de archivo). La resolución del problema se detalla en la RFC 3126 de IETF (Internet Engineering Task Force), y posteriormente adoptada en los estándares XAdES y CAdES de ETSI (European Telecommunications Standards Institute) que soporta TrustedX.
Estas recomendaciones se basan en: (i) la actualización de las firmas, complementándolas y manteniendo las evidencias de forma sistemática antes de que éstas pierdan su eficacia probatoria y (ii) en la salvaguarda de los datos ante posibles ataques criptográficos, especialmente cuando los algoritmos y las claves hubiesen perdido su fortaleza con el paso del tiempo. Se trata pues, de unos estándares que minimizan la necesidad de medidas organizativas en materia de verificación de firmas electrónicas, y permiten la extracción de los documentos firmados del sistema de custodia posibilitando su verificación con herramientas de terceros o simplemente para archivarlos en otros sistemas (haciendo posible la movilidad de un archivo).
