#21 Vale, vale, buen intento, pero lee bien la Ley a la que haces referencia:
Definiciones:
e) "Dispositivo de creación de firma" : es un programa o un aparato informático que sirve para aplicar los datos de creación de firma.
f) "Dispositivo seguro de creación de firma" : es un dispositivo de creación de firma que cumple los requisitos establecidos en el artículo 19.
Vayamos por partes, como dijo Jack el Destripador.
¿Quién te ha dicho que el dispositivo de creación de firma ha de ser el ordenador del usuario y no el sistema operativo que la genera mediante soft?. Es evidente que esta apreciación de que el hard en tarjeta es tan bueno, que ha de ser lo único que sirva, juega una mala pasada a mucha gente. Lo mismo que pesar que el dispositivo de firma ha de ser el ordenador y que por ello, no es seguro ni se
puede certificar.
Ya hemos visto que un dispositivo de creación de firma puede ser un programa o un aparato informático y tanto si es aparato o programa, será seguro, si cumple con los requisitos de Artículo 19. Requisitos que cumplen a la perfección los sistemas basados en software, por lo que no creo que sea necesario abundar en el tema.
Ahora bien, se dice en la Ley que han de estar certificados, en nuestro caso por el CNI a través de su Centro Criptológico Nacional. Para tu información hay varios sistemas "seguros de creación de firma" que son programas y que están perfectamente certificados. Incluso hay muchos, que los usuarios consideran de "hardware" no son otra cosa que sistemas embebidos que funcionan por software de "forma especializada". De todos modos, aquí podrás ver sistemas de software certificados por el Centro Criptológico Nacional y que usan sistemas de generación de firmas y que por lo tanto, son considerados seguros:
Para tu información, la mayoría de los sistemas operativos y en especial, los más utilizados, disponen de certificación de seguridad, en base a sus funcionalidades critográficas (entre ellas, ser dispositivo seguro de creación de firma) y todo hay que decirlo, tienen calificaciones bastante elevadas como AEAL 4+. Por mi trabajo estoy cansado de usar programas con certificación de seguridad y que
usan firma digital y en función de la certificación lo que se limita es nivel de secreto que pueden manejar.
Mira lo que pone aquí:
www.lukor.com/ordenadores/noticias/0601/13124440.htm. (Ojo con el artículo, que tiene truco en el comentario sobre la seguridad de los sistemas Linux puesto que consideran el sistema y todas las aplicaciones, mientras que en el caso de Windows, solamente el sistema operativo pelado, pero a efectos de lo que nos ocupa, creo que es lo que necesitabas).
¿Qué es lo que crees que está certificando el CNI de Windows? ¿que no se cuelga cuando juegas a matar marcianos?, evidentemente no, lo que certifica es que cumple con determinados estándares y que por lo tanto, es factible de ser utilizado en un entorno de seguridad, tanto para crear firmas como para muchas otras cosas relacionadas con la criptografía y seguridad, en los entornos más variados de la Administración y empresas.
Creo que con esto ya lo tienes bastante demostrado que Windows, a pesar de sus fallos y errores de programación, es un sistema de software seguro de creación de firma (si quieres, como hice yo en su
momento, te puedes repasar todos los documentos de la certificación), en base a lo que está establecido en la legislación vigente y queda demostrado además que está certificado por el que tiene que certificar, es decir el Centro Criptológico Nacional, el mismo que ha certificado el e-dni.
Que es más seguro un sistema basado en hardware, pues bueno, para gustos los colores, pero con la Ley en la mano, no hay diferencias en su uso y consideración. Hay un principio básico de derecho que dice, en donde la Ley no distingue, no cabe hacer distinción y como ves aquí no se hace ninguna. ¿Ves que en la definición que hace la Ley del sistema seguro de generación de firma ponga que tenga que estar basado en hardware?. Evidentemente no, simplemente dice que ha de cumplir las condiciones de un artículo 19.
Ahora otra pregunta interesante para mentes inquietas, una vez firmado el documento ¿cómo sabe el juez que ha sido creado con un dispositivo seguro de generación de firma si en teoría la firma es la misma, con independencia del dispositivo que se genere.
Es decir, ¿cómo sabe el Juez que se ha generado con un Linux o con un Window suponiendo que el Linux no estuviera certificado y alguien argumentase que la firma no es equivalente a la manuscrita?. La resopuesta es que no puede. Desgraciadamente, en este caso la dura carga de la prueba recaerá en el que sostenga la complicada tesis de que una firma no es válida por haber sido generada por un dispositivo de firma no certificado y eso con solamente un documento firmado digitalmente en la mano, no se puede demostrar. ¿has pensado en ello?, pues creo que el legislador tampoco, lo que demuestra que el "molaware" campeará a sus anchas por esta España durante años, para mayor indefensión de los usuarios.
Por cierto, estais metiendo la pata a varias bandas y en varios foros, el prestigio que está en juego es el vuestro, lo digo por vosotros ;-).
Mi señora lejos de poder dormir tranquila se está horrorizando de lo cabezota que son algunos y se preocupa mucho ante la posibilidad de que un Juez ante la lectura de algunas de las burradas que se han dicho en algunos foros, con relación a mi artículo, pueda llegar a una conclusión equivocada. No quiero ni imaginar que alguno pensase que la firma electrónica basado en un dispositivo de firma basado en soft o no es avanzada o no está reconocida. Afortunadamente, parece que a los notarios, usuarios de firma electrónica por excelencia, sí les interesa el tema.
Definiciones:
e) "Dispositivo de creación de firma" : es un programa o un aparato informático que sirve para aplicar los datos de creación de firma.
f) "Dispositivo seguro de creación de firma" : es un dispositivo de creación de firma que cumple los requisitos establecidos en el artículo 19.
Vayamos por partes, como dijo Jack el Destripador.
¿Quién te ha dicho que el dispositivo de creación de firma ha de ser el ordenador del usuario y no el sistema operativo que la genera mediante soft?. Es evidente que esta apreciación de que el hard en tarjeta es tan bueno, que ha de ser lo único que sirva, juega una mala pasada a mucha gente. Lo mismo que pesar que el dispositivo de firma ha de ser el ordenador y que por ello, no es seguro ni se
puede certificar.
Ya hemos visto que un dispositivo de creación de firma puede ser un programa o un aparato informático y tanto si es aparato o programa, será seguro, si cumple con los requisitos de Artículo 19. Requisitos que cumplen a la perfección los sistemas basados en software, por lo que no creo que sea necesario abundar en el tema.
Ahora bien, se dice en la Ley que han de estar certificados, en nuestro caso por el CNI a través de su Centro Criptológico Nacional. Para tu información hay varios sistemas "seguros de creación de firma" que son programas y que están perfectamente certificados. Incluso hay muchos, que los usuarios consideran de "hardware" no son otra cosa que sistemas embebidos que funcionan por software de "forma especializada". De todos modos, aquí podrás ver sistemas de software certificados por el Centro Criptológico Nacional y que usan sistemas de generación de firmas y que por lo tanto, son considerados seguros:
www.ccn.cni.es/productos.html.
Para tu información, la mayoría de los sistemas operativos y en especial, los más utilizados, disponen de certificación de seguridad, en base a sus funcionalidades critográficas (entre ellas, ser dispositivo seguro de creación de firma) y todo hay que decirlo, tienen calificaciones bastante elevadas como AEAL 4+. Por mi trabajo estoy cansado de usar programas con certificación de seguridad y que
usan firma digital y en función de la certificación lo que se limita es nivel de secreto que pueden manejar.
Mira lo que pone aquí:
www.lukor.com/ordenadores/noticias/0601/13124440.htm. (Ojo con el artículo, que tiene truco en el comentario sobre la seguridad de los sistemas Linux puesto que consideran el sistema y todas las aplicaciones, mientras que en el caso de Windows, solamente el sistema operativo pelado, pero a efectos de lo que nos ocupa, creo que es lo que necesitabas).
¿Qué es lo que crees que está certificando el CNI de Windows? ¿que no se cuelga cuando juegas a matar marcianos?, evidentemente no, lo que certifica es que cumple con determinados estándares y que por lo tanto, es factible de ser utilizado en un entorno de seguridad, tanto para crear firmas como para muchas otras cosas relacionadas con la criptografía y seguridad, en los entornos más variados de la Administración y empresas.
Creo que con esto ya lo tienes bastante demostrado que Windows, a pesar de sus fallos y errores de programación, es un sistema de software seguro de creación de firma (si quieres, como hice yo en su
momento, te puedes repasar todos los documentos de la certificación), en base a lo que está establecido en la legislación vigente y queda demostrado además que está certificado por el que tiene que certificar, es decir el Centro Criptológico Nacional, el mismo que ha certificado el e-dni.
Que es más seguro un sistema basado en hardware, pues bueno, para gustos los colores, pero con la Ley en la mano, no hay diferencias en su uso y consideración. Hay un principio básico de derecho que dice, en donde la Ley no distingue, no cabe hacer distinción y como ves aquí no se hace ninguna. ¿Ves que en la definición que hace la Ley del sistema seguro de generación de firma ponga que tenga que estar basado en hardware?. Evidentemente no, simplemente dice que ha de cumplir las condiciones de un artículo 19.
Ahora otra pregunta interesante para mentes inquietas, una vez firmado el documento ¿cómo sabe el juez que ha sido creado con un dispositivo seguro de generación de firma si en teoría la firma es la misma, con independencia del dispositivo que se genere.
Es decir, ¿cómo sabe el Juez que se ha generado con un Linux o con un Window suponiendo que el Linux no estuviera certificado y alguien argumentase que la firma no es equivalente a la manuscrita?. La resopuesta es que no puede. Desgraciadamente, en este caso la dura carga de la prueba recaerá en el que sostenga la complicada tesis de que una firma no es válida por haber sido generada por un dispositivo de firma no certificado y eso con solamente un documento firmado digitalmente en la mano, no se puede demostrar. ¿has pensado en ello?, pues creo que el legislador tampoco, lo que demuestra que el "molaware" campeará a sus anchas por esta España durante años, para mayor indefensión de los usuarios.
Por cierto, estais metiendo la pata a varias bandas y en varios foros, el prestigio que está en juego es el vuestro, lo digo por vosotros ;-).
Mi señora lejos de poder dormir tranquila se está horrorizando de lo cabezota que son algunos y se preocupa mucho ante la posibilidad de que un Juez ante la lectura de algunas de las burradas que se han dicho en algunos foros, con relación a mi artículo, pueda llegar a una conclusión equivocada. No quiero ni imaginar que alguno pensase que la firma electrónica basado en un dispositivo de firma basado en soft o no es avanzada o no está reconocida. Afortunadamente, parece que a los notarios, usuarios de firma electrónica por excelencia, sí les interesa el tema.
www.elnotariado.com/ver_nota1.asp?id_noticia=2946