viernes, julio 21, 2006

Cortar y Pegar

Hay gente que está muy molesta y que no parece tener interés económico alguno en el asunto.
Sería bueno que el Gobierno se ocupe y haga una nueva ley como corresponde, alejando al lobby que ha dominado la agenda desde los años noventa en este asunto.

Autor: Carlos A. Peña
Fecha: 2005-12-01 15:23 -300
A: proposicion
Cc:
Asunto: Re: [Proposicion] OT: firma digital, audiencia publica el 5/12
No son cuatro los vinculados a Certisur, son cinco, incluyendo su
abogado y su gerente de tecnología. Y de los dos restantes de la
Comisión Asesora, uno no cumple los requisitos de la ley. En rigor, la
ONTI actúa como Gerencia de Marketing de Certisur. Hace una audiencia
pública para "detectar aplicaciones" que sirven a su empresa y luego
pasa y les vende su firma electrónica con el aval del Estado. Hasta las
personas que se la venden son las mismas !!!

Se puede comprobar que siempre se presentan públicamente los
funcionarios de la ONTI junto con los de Certisur. Casi casi no sabemos
si Certisur es un organismo del estado o la ONTI es privada...

Después de la denuncia de Polino, de la página del estudio altmark
brenna (http://www.altmark-brenna.com.ar/) sacaron en "Alianzas
Estratégicas" donde decía de su relación con Certisur pero igual ya
quedó documentada.

Saludos. Carlos Peña


Enrique A. Chaparro wrote:

>On Tue, 29 Nov 2005 13:28:55 -0300
>Roberto Meyer wrote:
>
>RM> Hola:
>RM>
>RM> La noticia corta
>RM> ----------------
>RM> Este 5 de diciembre de 14 a 19 horas habrá una Audiencia Pública que
>RM> se llevará a cabo en Av. Pte. Roque Saenz Peña 511 - Planta Baja [1].
>RM> Más info al 4343-7458. La convoca la actual Comisión Asesora para la
>RM> Infraestructura de Firma Digital.
>
>Intentare estar alli. No dire que ``something smells rotten in the State
>of Denmark'' pero cuatro de los siete miembros de la comision asesora en
>cuestion (esto es, la mayoria simple) estan vinculados a la empresa
>Certisur, a su vez vinculada a Verisign, a su vez vinculada a la NSA.
>
>Saludos,
>
>Enrique
>
>
>
>
>------------------------------------------------------------------------
>
>_______________________________________________
>Lista de correo del Proyecto Proposicion
>Para configurar su suscripción, puede
> enviar un e-mail a proposicion-request@???,
>o visitar https://mx.grulic.org.ar/mailman/listinfo/proposicion
>

viernes, julio 14, 2006

La teoría de la proximidad

Rivolta y Prandini: dictan clases en la Univ. de Tres de Febrero.
Rivolta: Administradora Gubernamental.
Prandini: funcionaria de la ONTI.
Carratalá: ex-contratado de la ONTI.
Carratalá: Actual empleado de Certisur.
Carratalá: Miembro de la Comisión Asesora de Firma Digital.
Prandini, Rivolta y Carratalá: juntos en incontables conferencias de PKI desde el siglo pasado a la fecha.
Scholnik: tiene su propia empresa de seguridad informática y firmas digitales, compite con Certisur.
Carratalá y Scholnik: dictan clases en la UBA.
Carratalá y Scholnik: juntos dictan conferencias sobre firma digital.
Achiary: Director Nacional de la ONTI. En el tema de referencia, máximo responsable luego del Sr. Jefe de Gabinete de Ministros, Alberto Fernández.
Prandini y Achiary: integran la ONTI.
Carratalá y Achiary: integraron la ONTI.
Carratalá, Achiary y Prandini: impulsaron las bases de la actual ley de firma digital desde la ONTI.
Carratalá: empleado de Certisur.
Altmark: del Estudio Altmark-Brenna.
Estudio Altmark-Brenna: asociado estratégicamente con Certisur en tema firma digital.
Altmark y Carratalá: integrantes de la Comisión Asesora de Firma Digital.
Jensen: Asesor del Diputado Fontdevilla.
Jensen, Carratalá y Altmark: integrantes de la Comisión Asesora de Firma Digital.
Aquerreta: Vicepresidente de Comercio Electrónico y Contenidos de CABASE.
Altmark: Abogado de CABASE.
Altmark: Asociado estratégicamente con Certisur.
Aquerreta-Altmark-Carratalá-Jensen: integrantes de la Comisión Asesora de Firma Digital.
Sáenz: presidente de la Comisión de Informática del Colegio de Escribanos de la Pcia. de Bs. As.
Colegio de Escribanos-Certisur: Acuerdo para emisión de firmas por parte de Certisur.
Sáenz-Aquerreta-Altmark-Carratalá-Jensen: integrantes de la Comisión Asesora de Firma Digital.

Total miembros de la Comisión: 7.
Miembros explícitamente identificados por proximidad: 5 (Mayoría simple y mayoría de dos tercios, en caso de ser necesaria).


martes, julio 04, 2006

Volvimos

No somos millones, pero volvimos.
El último post que predijo esta situación es de hace casi 2 años.
Como era previsible, algo había que hacer para cumplir con la ley 25.506 que, al obligar al Estado a "digitalizarse" para fin del 2006, automáticamente habilita una nueva caja.
Hay que admitir que los actuales la recibieron pero, como todos sabemos, los negociados no tienen ideologías políticas, así que esté quien esté a cargo da lo mismo.
La regla es siempre la misma: ninguno va a entender de qué se trata, pero rápidamente va a entender que puede engordar su bolsillo, sin importar las consecuencias de las decisiones que se tomen.
Así que acá estamos, en un "revival" de la firma digital.
Esta vez, con el Sr. Achiary diciendo que la firma digital "es algo complicado" y que "no es para cualquiera". Un cumplido que le permite zafar de la crítica despiadada de sus pares gubernamentales que gestionan, pero que poco hace para cuidar las arcas del Estado a manos de los voraces que comandan la Comisión Asesora que él mismo apoya, y que responde a intereses extranjeros.
Llama poderosamente la atención que al Sr. Presidente no le hayan comentado sobre las implicancias de esta decisión rubricada con su firma y avalada por medios de prensa, y lo hayan llevado a firmar un decreto que prácticamente obliga al Estado a tercerizar la gestión de certificados digitales para entregarlos gratuitamente al pueblo argentino digitalizable.
Se entiende que la Adm Federal de Ingresos Públicos tiene algunas urgencias en el caso, pero dichas urgencias podrían haberse resuelto sin tener que haber involucrado al Sr. Presidente en el asunto.
Es posible que el Sr. Jefe de Gabinete, quien es el Gerente General del Sr. Achiary, haya estado confundido también. Llama la atención que existan tantos confundidos en la cadena, si es que hay alguna confusión.
La información disponible indica que son pocos los que entienden lo que hay realmente en juego, además del dinero.
Certisur, Prince & Cooke, los lobbystas encubiertos como AG (administradores gubernamentales) y la pandilla en general que se ha mencionado en posts previos ha vuelto a primera plana nuevamente. Algunos, ocupando cargos de manera ilegal en distintas dependencias del Estado, ex funcionarios de la ONTI y formados por actuales miembros de Certisur. Otros, subsidiados por los intereses que hace rato están esperando para apoderarse de este enorme mercado llamado Estado digitalizado, cuyo costo ya se sabe quién lo va a pagar.
Hay una pandilla en acción. (Definición de pandilla: liga o unión que forman algunos para engañar a otros o hacerles daño; grupo de amigos, panda). Hay otra, pero en reacción?

martes, noviembre 09, 2004

PKI y sus mitos (II): la confianza

El modelo entero de PKI que impone la ley 25.506 se basa en la presunción de la existencia de un tercero "confiable", que garantiza la "identidad" del dueño de una clave privada y, por derivación, de su correspondiente clave pública.
Como fuera discutido previamente, las relaciones de confianza entre individuos y, por ende, entre organizaciones, se establecen en un modelo "peer" to "peer" más que en un modelo "centralizado".

Es decir, en un ambiente donde A y B son conocidos entre sí y tienen confianza mutua, la aparición de C por introducción de A, no necesariamente obliga a B a la confianza, pero la introducción de C por parte de A hace que B asigne una cierta probabilidad a C de ser confiable, que en cualquier otro caso no se la asignaría, lo que en la jerga común equivale a decir que ni siquiera lo tendría en cuenta.
Esto es lo que normalmente ocurre en las relaciones humanas y más específicamente, en el mundo financiero, donde el dinero no tiene amigos.
En el PKI que la ley 25.506 impone, la relación entre A y B no importa. Sólo importa la existencia de un súper-ente, X, que garantiza la "confianza" entre A y B, A y C, y B y C.
Esta garantía es un axioma del PKI jerárquico, que en particular nadie aprobó. Ya fué discutido hace algunos años la falacia del porqué se debería confiar en un tercero, además del para qué (Usaríamos el mismo certificado tanto para una transacción comercial de 10$ como para una de 1 millón?).
Si uno suma los hechos mencionados previamente en este sitio a la posibilidad de que Certisur / Verisign sean los dominadores monopólicos del negocio de firma digital de Argentina, entonces queda muy claro que la "confianza" no DEBE ser delegada, cuando ya se sabe que la confianza no es delegable. La confianza no es delegable.
La confianza no es delegable.
Cuando una sociedad necesita reafirmar una tautología como la mencionada es porque carece de la capacidad suficiente para distinguir su propia identidad respecto del todo.
Definitivamente, estamos muy lejos de superar el enfrentamiento con la realidad que el 2001 nos puso enfrente.
Sin embargo, hay gente que sabe aprovechar esa debilidad, y el Estado es absolutamente permeable a esa ambición. La combinación es nefasta para la comunidad, porque significa la suma del poder público al recurso privado.
Uno podría plantearse el escenario de llevar esta documentación a la Justicia, pero cuando los 3 poderes están contaminados, es imposible revertir la situación excepto por alguna vía extraordinaria que es mejor no imaginar.
Italia pudo salir en su momento porque el Poder Judicial tuvo algunos integrantes dispuestos a luchar por su país, y pudo enfrentar a los dos poderes restantes. La reacción en cadena hizo el resto.
Eso, en Argentina, hoy, 2004, suena a quimera.



jueves, octubre 28, 2004

La fiesta del 11 de Diciembre

Y hablando de 11 de Diciembre, ese día encontraremos a todos los involucrados aquí, gracias a mi propuesta de fecha aniversario.
Entre ellos, los funcionarios públicos que solventamos con los impuestos que pagamos diariamente.
Es notable ver cuán fácil resulta vincularlos a través de una búsqueda en Internet.
Basta tomar todos los apellidos expositores al azar, entremezclarlos y salir a buscar en Google, por ejemplo.
Se va a descubrir rápidamente la correlación de eventos que los viene vinculando desde el siglo pasado.
Por ejemplo, entre los mencionados en el seminario hay dos funcionarios públicos dando clases en una Universidad. Uno de ellos es un AG (Administrador Gubernamental es igual a intocable en la jerga pública, lo que significa que no se lo puede echar así nomás; un sindicalista sería más fácil de echar, para dar un ejemplo). Para quien no sabe de qué se trata esto, ver aquí.
Detalles del cuerpo docente del posgrado, aquí.
Quién es parte del Consejo Académico? el Dip. Fontdevila, representado por su asesor, el Ing. Jensen, en la Comisión Asesora de Firma Digital.
Quién es el Director Académico? el dueño de la empresa del seminario, el amigo Prince.
Quiénes conforman el Cuerpo Docente? entre otros, nuestros funcionarios públicos.
El CTO de Certisur ya está ubicado en la UBA junto a su "competencia", el Lic. Scolnik...:-)
Dictan clases de qué? De firma digital. Sería interesante conocer cuántas universidades en el país están incluyendo firma digital en su contenido, y si en particular, en la Universidad en la cual dan clases estas funcionarias públicas, ya se están dictando clases de los lenguajes de programación, técnicas de análisis, diseño y documentación que toda la Industria Nacional de Software está necesitando para ser competitiva en el mercado globalizado que enfrentamos.
A quién le interesa la enseñanza de firma digital en una Universidad? al Estado? A la industria nacional de software? o a quién? Cuál es el sentido de de-formar el concepto de seguridad?
Es todo tan burdamente obvio, que espanta.
Lo notable es que los funcionarios públicos están obligados a reportar cualquier ilícito, caso contrario pueden recibir castigo penal de la Justicia. Al menos, es lo que la ley dice, pero...quién respeta la ley?
Cuánto tiempo más llevará, como dijo David?


lunes, octubre 11, 2004

Diciembre 11 de 2006

Es la fecha límite que tiene el Estado Nacional para implementar la firma digital en su ámbito, según reza el art. 48 de la ley 25.506:

ARTICULO 48. — Implementación. El Estado nacional, dentro de las jurisdicciones y entidades comprendidas en el artículo 8º de la Ley 24.156, promoverá el uso masivo de la firma digital de tal forma que posibilite el trámite de los expedientes por vías simultáneas, búsquedas automáticas de la información y seguimiento y control por parte del interesado, propendiendo a la progresiva despapelización.

En un plazo máximo de 5 (cinco) años contados a partir de la entrada en vigencia de la presente ley, se aplicará la tecnología de firma digital a la totalidad de las leyes, decretos, decisiones administrativas, resoluciones y sentencias emanados de las jurisdicciones y entidades comprendidas en el artículo 8º de la Ley 24.156.

Ahora bien, si se tiene en cuenta que:

a) No hay a la fecha certificadores licenciados por el Ente Licenciante;
b) Que la Comisión Asesora que "asesora" sobre la reglamentación relativa al proceso de emisión de licencias está dominada por Certisur;
c) Salvo casos excepcionales, la Administración Pública Nacional no está en condiciones de implementar ninguna tecnología de firma digital de aquí a 2 años, sea esta la actual (compleja) u otra más simple, salvo que haya una decisión política en el tema que impulse su desarrollo, lo cual puede descartarse que suceda, con una altísima probabilidad;
d) Que la ley permite la tercerización de este servicio;
e) Que en el mercado no hay ninguna firma que preste estos servicios (imposible solventar un negocio que no esté legalmente habilitado durante 5 años), salvo la mencionada y una más que, sospechosamente, concurre junto a la otra a los eventos y exposiciones en la materia;
f) Que para salvar el punto c) se encuenta la ONTI facultada a otorgar certificados digitales al resto de la Administración Pública;
g) Que la ONTI no tiene recursos para cumplir con esta función, excepto tercerizando;
h) Que la Adm. Pública Nacional a fines del 2002 tenía en sus filas alrededor de 250.000 agentes (hoy tiene muchos más);
i) Que un banco cualquiera cobra por una certificación simple de firma unos $10;
j) Que es "aceptable" renovar anualmente un certificado digital;

Estamos hablando de un negocio de al menos $ 5 millones anuales (el certificado no va a costar menos de $20, ya que van a intervenir los escribanos para dar fe), exclusivamente dedicados a la renovación de certificados digitales, que irán a parar a las arcas de Certisur. Es decir, un negocio redondo por no hacer nada productivo.

Y falta computar el negocio de la digitalización de los documentos mencionados en el artículo de la ley, que es mucho mayor que el de la simple emisión de certificados, por lo que se está hablando de un negocio de un par de decenas de millones al año, en su etapa inicial.

El Estado tiene poder suficiente para revertir esta situación. Hay que preguntarse si realmente quiere revertirla.




jueves, octubre 07, 2004

Quién es quién en firma digital (II): Certisur

Por los posts anteriores resulta simple deducir quién es Certisur y cuál es el pasado de la gente que la conduce.
Desde el año 1999 que existe un plan para quedarse con el monopolio local. Ese plan es sistemático y, paradójicamente, Internet lo tiene documentado.

Expocomm 2004: el vicepresidente (o CEO, según la tapa de la presentación?) expuso, continuando con el lavado de cerebro tendiente a imponer la serie de axiomas que la "hype" de PKI viene comulgando desde hace largo tiempo para poder hacer algún negocio de todo esto.
En la página 2 ya se encuentran los axiomas del modelo PKI que se intenta imponer, que el usuario promedio toma como válidos y no discute por falta de información:

1)Confidencialidad/Privacidad: ya quedó demostrado que la privacidad no existe (En USA el wiretapping está legalizado, igual que en Argentina, vía la CNC, por decreto).
2) No repudio: ya explicado en post previo su falta de sustento legal y técnico.
3) Interoperabilidad/Universalidad: merece párrafo aparte, pero no existe.

A partir de ahí, el resto carece de fundamento, pero vale la pena resaltar algunos puntos:

- La explicación del marco legal actual en Argentina, en página 10, o bien indica que la presentación está desactualizada, o se desinformó a la audiencia. Varias cosas cambiaron en el medio, entre ellas, la desaparición del "Ente Administrador", detallado al comienzo de este blog.
- Inversión de la carga de la prueba: puede leerse como el modus operandi favorito de los litigantes, tendientes a desgastar a la contraparte, sea fundamentada o no la acusación inicial. En este caso, el poseedor de la clave privada originador de la firma digital está obligado a demostrar su inocencia. El expositor omite extrañamente el siguiente artículo de la ley 25.506 de firma digital:

"ARTICULO 7º — Presunción de autoría. Se presume, salvo prueba en contrario, que toda firma digital pertenece al titular del certificado digital que permite la verificación de dicha firma."

Ni hablar del siguiente artículo, en un mundo donde los virus, el hacking y los caballos de Troya que hoy son moneda corriente en el mundo computacional:

"ARTICULO 10. — Remitente. Presunción. Cuando un documento digital sea enviado en forma automática por un dispositivo programado y lleve la firma digital del remitente se presumirá, salvo prueba en contrario, que el documento firmado proviene del remitente."

Va a ser sumamente interesante ver a un juez analizando las pruebas presentadas por el dueño de una firma digital donde "demuestra" que un hacker tomó su máquina y lo obligó a firmar digitalmente un documento. Tanto o más interesante van a ser las pruebas a presentar.

- Los clientes de la presentación no tienen un certificado de Certisur, sino de Verisign. Basta con entrar a cualquiera de los sitios mencionados en la presentación, y hacer click en el candado en el ángulo inferior derecho del navegador para obtener la información del emisor del certificado del sitio web al cual se está accediendo.
La pregunta que surge de inmediato es: en caso de litigio...se litigará en Tribunales, o en Nueva York? Habrá posibilidad de demanda para los usuarios de dichos certificados?

Finalmente, en página 4 se habla de "proveer confianza".
Más allá del hecho que nadie necesita "proveedores de confianza", ya que la confianza en el ámbito de los negocios surge de una relación específica entre partes, ajenas a un tercero, aún cuando este tercero sea quien las haya inicialmente presentado (esto merece párrafo aparte), sería interesante conocer cuál es el porcentaje del mercado que confiaría en una empresa que es derivada de Veraz y que es afiliada de Verisign.