Los Certificados Electrónicos en la
Administración Pública:
Alberto López Tallón
Jefe de Servicio de Proyectos Tecnológico...
La Identidad
Digital en la
Administración
Pública
La Identidad Digital - Los comienzos:
Con el auge de la Administración Electrónica, los
certificados electrónicos se estab...
El Certificado-e en la Administración
La Administración asume una posición de
liderazgo en el uso de certificados electrón...
El Certificado-e en la Administración
A partir de aquí:
El Certificado-e en la Administración
El Certificado-e en la Administración
Una mayor heterogeneidad del entorno
multiplica los problemas de una tecnología no
t...
El Certificado-e en la Administración
A mayores, en la Administración aún se
comenten errores que confunden al usuario.
Ej...
El Certificado-e en la Administración
Algunos tipos de certificados generan barreras
adicionales. Ejemplos: adquisición de...
Las principales
problemas y barreras
para el ciudadano
Barreras y Problemas para el ciudadano
El entorno tecnológico aún no ha logrado que la
utilización de los certificados ele...
Barreras y Problemas para el ciudadano
Incomodidad de algunos medios. P.ej.: lentitud
y/o excesivas peticiones de introduc...
Consecuencias
Ciudadanos
DNI electrónico (DNIe)
Usuarios del DNIe
Pero…
Se trata de una tecnología demasiado buena y
segura como para descartarla
Además, el problema no está tanto en los p...
Por tanto…
No obstante, el uso generalizado de certificados
electrónicos sigue siendo el ideal al que aspirar
Hoy por hoy,...
Algunas claves para
encontrar soluciones
Claves para encontrar Soluciones
Estudiar soluciones para simplificar el uso de los
certificados electrónicos
Análisis de ...
Claves para encontrar Soluciones
Al ciudadano rechaza «tareas de bricolaje», si
queremos un uso generalizado de certificad...
Claves para encontrar Soluciones
¿Cuál sería la solución ideal?
+
Tarjeta criptográfica (incluido DNI electrónico)
tipo «plug and play»
Políticas eficaces que logren la incorporación de
...
Claves para encontrar Soluciones
Lograrlo es una cuestión de coordinación y
voluntad de todos los actores implicados:
fabr...
Muchas Gracias
Alberto López Tallón
Jefe de Servicio de Proyectos Tecnológicos
Más información en: www.microlopez.org
Upcoming SlideShare
Loading in …5
×

Alberto López

1,265 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,265
On SlideShare
0
From Embeds
0
Number of Embeds
56
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Saltar muy rápido estas transparencias
  • Destacar en cuanto a ventajas de gestión cosas como la facilidad para difusión de una identidad digital, cosas como la revocación y caducidad de los certificados, la presencia de un tercero de confianza que asume el papel de la emisión, la revocación, etc.
  • Comentar que la gran acogida de los certificados electrónicos en la AP la llevan a una posición de líder en la materia
    Los servicios electrónicos ofrecidos por la Administración, lideran dentro de las aplicaciones abiertas al público el uso de certificados electrónicos y la Administración ocupa en ese sentido una posición de vanguardia
    El despegue de los certificados se ve favorecido por la sencillez del entorno
    Proyecto CERES de la FNTM que arranca en el año 1996 dónde la RCM-FNMT se constituye en 1997 como Prestador de Servicios de Certificación
    El certificado FNMT se puede adquirir gratuitamente, de modo que las barreras son mínimas
  • Pautas: almacén utilizado, componentes de firma diferentes, restricciones al uso de certificados, no soporte o soporte defectuoso de navegadores como Safari, diálogo de selección del certificado
  • Sedes electrónicas con CAs «inventadas»
    Ejemplo de Firefox que ignora el almacén del SO
    Problema de los componentes de firma: puede requerir la configuración de seguridad del navegador para que permita utilizarlos, según el productos tienen comportamientos y requisitos diferentes (Java, etc.) que complican la vida al usuario, entre sí pueden generar incompatiblidades, etc.
    Ahora según qué servicio electrónico se soportan unos u otros navegadores y sistemas operativos
    Requisitos adicionales como tener instalada una máquina virtual Java, etc.
    Pregunta al público: ¿Cuánto de ustedes han realizado firmas electrónicas? ¿Cuántos de ustedes no han tenido nunca un problema de este tipo al realizar una firma electrónica?
  • La posibilidad de poder exportar el certificado con la clave privada desde el almacén
    El desconocimiento del usuario que hace que casi nadie haga copias de seguridad
    En mis cursos, los pocos que lo habían hecho casi el 100% lo habían hecho sin la clave privada por ser esa la opción por defecto del almacén
  • Uso transparente: un usuario o bien tiene que saber de cosas como claves privadas, almacén de certificados, etc. O bien tiene que adquirir un lector, instalar software para utilizarlo, etc. Comentar comandos APDU
    Comentar el ejemplo de la importación de certificados raíz en algunas las páginas Web para que el usuario pueda funcionar. Ejemplo de sacarse una copia, el fallo de hacerlas sin la clave privada, etc. Que la gente confunde el PIN de protección con la clave privada, etc. Decir que esto no se puede abordar son formación.
    Anécdota de la gente que aún nos viene con certificados de su PKI privada
  • Uso transparente: un usuario o bien tiene que saber de cosas como claves privadas, almacén de certificados, etc. O bien tiene que adquirir un lector, instalar software para utilizarlo, etc. Comentar comandos APDU
    Comentar el ejemplo de la importación de certificados raíz en algunas las páginas Web para que el usuario pueda funcionar. Ejemplo de sacarse una copia, el fallo de hacerlas sin la clave privada, etc. Que la gente confunde el PIN de protección con la clave privada, etc. Decir que esto no se puede abordar son formación.
    Anécdota de la gente que aún nos viene con certificados de su PKI privada
    Explicar que si un usuario de Firefox abre un certificado desde su navegador se instalará efectivamente en el almacén de Firefox, pero si lo guarda primero en el escritorio y luego lo abre la opción de instalación se referirá al almacén de Windows
  • … y esto nos lleva a los problemas de los usuarios
  • - Según la Encuesta sobre Equipamiento y Uso de Tecnologías de la Información y Comunicación en los hogares 2010 un 4,7% de los titulares de un DNIe han utilizado sus certificados en sus relaciones con la Administración Pública, 13% ha utilizado otros certificados
  • Hacer énfasis en el que el problema está más en el entorno que en la tecnología en sí
  • Hacer especial hincapié en que sacar la conclusión de que la tecnología en sí de los certificados no es adecuada para alcanzar una usabilidad adecuada y con ello una implantación masiva
    El problema no está ahí ya que con un entorno tecnológico adecuado su uso puede ser perfectamente transparente para el usuario aunando las ventajas de seguridad con las de una buena usabilidad
  • Sedes electrónicas con CAs «inventadas»
    Ejemplo de Firefox que ignora el almacén del SO
    Problema de los componentes de firma: puede requerir la configuración de seguridad del navegador para que permita utilizarlos, según el productos tienen comportamientos y requisitos diferentes (Java, etc.) que complican la vida al usuario, entre sí pueden generar incompatiblidades, etc.
    Confirmación borrador AEAT: el contribuyente necesitará alguno de estos datos: el NIF, el número de cuenta corriente, el número de referencia del borrador (aparece en la carta que acompaña al borrador) y el número de justificante (es el que aparece en el documento de ingreso o devolución que acompaña al borrador). Para confirmar el borrador de Renta por internet no es necesario el certificado de firma electrónica, salvo si se va a pagar en ese momento.
  • Sedes electrónicas con CAs «inventadas»
    Ejemplo de Firefox que ignora el almacén del SO
    Problema de los componentes de firma: puede requerir la configuración de seguridad del navegador para que permita utilizarlos, según el productos tienen comportamientos y requisitos diferentes (Java, etc.) que complican la vida al usuario, entre sí pueden generar incompatiblidades, etc.
    Pregunta al público: ¿Cuánto de ustedes han realizado firmas electrónicas? ¿Cuántos de ustedes no han tenido nunca un problema de este tipo al realizar una firma electrónica?
  • La idea es muy sencilla
    En el último punto, hay que lograr en definitiva que los lectores se consideren tan cotidianos e imprescindibles como el ratón
    Poner el ejemplo de los comandos APDU
    Lo que voy a decir es de cajón, pero aún así no corresponde a la realidad
  • Poner el ejemplo de un acuerdo con Microsoft para la preinstalación de los drivers del DNIe y su actualización a través de Windows Update
  • Alberto López

    1. 1. Los Certificados Electrónicos en la Administración Pública: Alberto López Tallón Jefe de Servicio de Proyectos Tecnológicos ¿Solución o Pesadilla?
    2. 2. La Identidad Digital en la Administración Pública
    3. 3. La Identidad Digital - Los comienzos: Con el auge de la Administración Electrónica, los certificados electrónicos se establecen como solución de referencia de identidad digital Una de las principales razones es la necesidad de trasladar las garantías jurídicas del derecho administrativo a la vía electrónica Los certificados son una solución potente, interoperable, con un alto nivel de seguridad y aportan importantes ventajas de gestión
    4. 4. El Certificado-e en la Administración La Administración asume una posición de liderazgo en el uso de certificados electrónicos, muy por delante del sector privado Al principio (p.ej. IRPF 1999) el entorno tecnológico del usuario se mantiene razonablemente sencillo Entonces, prácticamente el 100% de los casos: Windows + IE + certificado PKCS#12
    5. 5. El Certificado-e en la Administración A partir de aquí:
    6. 6. El Certificado-e en la Administración
    7. 7. El Certificado-e en la Administración Una mayor heterogeneidad del entorno multiplica los problemas de una tecnología no trivial como lo son los certificados digitales El ciudadano se encuentra con pautas de uso y problemas diferentes según qué producto usa El principio de neutralidad tecnológica de la Ley 11/2007 es deseable, pero a la vez resulta problemático en la práctica
    8. 8. El Certificado-e en la Administración A mayores, en la Administración aún se comenten errores que confunden al usuario. Ejemplo: uso de CAs propias en webs públicas Muchos de los fabricantes tampoco ayudan: insuficiente soporte al uso de certificados digitales, falta de rigor en las implementaciones,… Aún falta estandarización con lo que ello implica. Ejemplo: firma electrónica en Web
    9. 9. El Certificado-e en la Administración Algunos tipos de certificados generan barreras adicionales. Ejemplos: adquisición del lector e instalación de software del DNI electrónico En algunos casos conseguir una usabilidad adecuada implica asumir brechas de seguridad. Ejemplo: instalación vía Web de un cert. PKCS#12 Aparecen nuevos requisitos. Ejemplo: VM Java para Applets de firma electrónica
    10. 10. Las principales problemas y barreras para el ciudadano
    11. 11. Barreras y Problemas para el ciudadano El entorno tecnológico aún no ha logrado que la utilización de los certificados electrónicos sea lo suficientemente transparente al usuario El ciudadano ha de enfrentarse a conceptos no triviales: almacén de certificados, certificado raíz, clave privada, etc. Errores en las Webs y distribución de certificados raíz generan rechazo e inseguridad al ciudadano
    12. 12. Barreras y Problemas para el ciudadano Incomodidad de algunos medios. P.ej.: lentitud y/o excesivas peticiones de introducción del PIN en algunas tarjetas criptográficas y DNIe. Excesivo nivel de incidencias en componentes clave. Ejemplo: Componentes de firma electrónica en páginas Web Confusión creada por las políticas de algunas fabricantes. Ejemplo: almacenes de certificados
    13. 13. Consecuencias
    14. 14. Ciudadanos DNI electrónico (DNIe) Usuarios del DNIe
    15. 15. Pero… Se trata de una tecnología demasiado buena y segura como para descartarla Además, el problema no está tanto en los propios certificados, sino en el entorno tecnológico
    16. 16. Por tanto… No obstante, el uso generalizado de certificados electrónicos sigue siendo el ideal al que aspirar Hoy por hoy, salvo para colectivos afines a las nuevas tecnologías, los certificados carecen de la usabilidad necesaria para un amplio uso Mientras tanto hay que trabajar en las mejoras y contemplar alternativas
    17. 17. Algunas claves para encontrar soluciones
    18. 18. Claves para encontrar Soluciones Estudiar soluciones para simplificar el uso de los certificados electrónicos Análisis de riesgos individualizado en los trámites para estudiar alternativas a los certificados. Ejemplos: puntos DGT, borrador AEAT, etc. Al funcionario lo podemos formar, al ciudadano no. Quedan prohibidas la soluciones complejas para su uso generalizado
    19. 19. Claves para encontrar Soluciones Al ciudadano rechaza «tareas de bricolaje», si queremos un uso generalizado de certificados electrónicos todo ha de ser «plug and play» El problema es mucho más fácil de resolver con funcionarios y profesionales, ya que disponen de departamentos de tecnología y formación … pero, aún no se forma lo suficiente y se delega demasiado en el proveedor en la implantación de soluciones de administración electrónica
    20. 20. Claves para encontrar Soluciones ¿Cuál sería la solución ideal?
    21. 21. + Tarjeta criptográfica (incluido DNI electrónico) tipo «plug and play» Políticas eficaces que logren la incorporación de los lectores como un dispositivo cotidiano más Software eficiente: sin lentitud, ni peticiones excesivas del PIN de usuario +
    22. 22. Claves para encontrar Soluciones Lograrlo es una cuestión de coordinación y voluntad de todos los actores implicados: fabricantes, instituciones de normalización, Gobiernos y Administración Solucionar los problemas expuestos es técnicamente posible y ni siquiera muy difícil
    23. 23. Muchas Gracias Alberto López Tallón Jefe de Servicio de Proyectos Tecnológicos Más información en: www.microlopez.org

    ×