Mobile Signature o la lucha por el control del usuario
Hace muchos, muuuuchos año (2.001), tuve la inmensa fortuna de poder participar en un proyecto europeo del VI programa marco, el proyecto @DAN.
El objetivo era desarrollar una altamente segura plataforma móvil para dar soporte a la economía digital. Soñábamos con poder realizar firmas y pagos electrónicos sobre dispositivos UMTS (ya hasta las siglas son antiguas), en aquéllos momentos en fases de prototipo y a los que jamás tuvimos acceso.
Entre otras virtudes del proyecto está la de plantar la semilla en nuestras entrañas de lo que hoy es isigma, nuestra empresa.
Al tema. Queríamos que en el mismo terminal y a ser posible, desde el mismo dispositivo seguro de creación de firma (la tarjeta chip o el SIM, vamos) pudiéramos generar firmas electrónicas y pagos seguros, pero con la iglesia hemos topado. Bueno, con la iglesia no, con las telco y los bancos. Resumiendo, las telco no iban a a dejar poner información bancaria o de tarjetas de crédito en el SIM, al menos no sin pagar un peaje. Y los bancos, acostumbrados a ser ellos los que cobran los peajes, no estaban dispuestos a pagar tal.
Y tuvimos que hacer un engendro con unas PDAs compaq ipaq wifi (no disponíamos de terminales UMTS), unas camisas de expansión (en algún sitio tendríamos que poner los lectores de tarjetas full-size) y unos lectores de tarjetas PCMCIA. Total, que el dispositivo móvil acabó siendo un zapatófono digno de los primeros tiempos de la telefonía móvil analógica (Teleline)
Por otro lado, dada la poca capacidad de los SIM de esos años y la capacidad de procesamiento de los terminales, se desarrollaban soluciones de firma electrónica móvil basadas en microcertificados y otras tecnologías, que no eran los certificados X.509v3 de los que hoy disfrutamos (p.e. en el DNIe.)
Todo esto viene porque en aquél momento hice una especie de profecía en la que vaticinaba que las nuevas tecnologías (sobre todo los avances en capacidado de procesamiento de los terminales y de los SIM) permitirían usar tecnologías PKI estándares. La profecía era la siguiente:
New technologies. Old PKIs
New technologies in memory miniaturisation and batteries development bring us more powerful mobile handsets. Besides, communication protocols are evolving rapidly, providing with wide bandwidth to wireless links.
This facts allow us to use X.509v3 standard certificates in front of subsets, reduced to fit the old mobile constrains.
Moreover not only X.509v3 standard certificates but also other standards regarding the format of the messages (PKCS#7), the interfaces between cryptographic tokens or HSMs (Hardware Security Module) and applications (PKCS#11) or procedures well defined for standard (versus mobile) PKI can be used.
As we have seen, the requirements of @Dan drive us to the use of high featured mobile devices with broad bandwidth, what allow us to use standard PKIs.
La tecnología ha evolucionado según lo previsto. La capacidad de SIM y de terminales móviles actuales sobra para utilizar PKIs estándar, guardando la clave privada y el certificado en la SIM o en el propio terminal (¿qué mejor que el propio terminal fuera el dispositivo seguro de creación de firma?); sin embargo no paran de aparecer proyectos «novedosos» de firma móvil (p.e. éste), en los que los prestadores de servicios de certificación ceden a los deseos de las telco.
Pero ¿por qué hay que diferenciar la «firma móvil» de la firma electrónica a secas?. Porque no hacerlo significaria ceder el control de parte de la SIM, o de parte de las comunicaciones a terceros, y eso no ha ocurrido, ni ocurrirá.
Espero en próximos vaticinios no pecar tanto de inocente…
1 comentario.
[…] que técnicas, ya que involucra a un actor adicional, que es el de los operadores de telefonía. En una entrada anterior ya reflexionábamos sobre esto. Sin embargo, tanto la administración como los operadores, tienen […]