martes, octubre 05, 2004

PKI y sus mitos (I): El no-repudio

El modelo PKI que se va a adoptar en Argentina, por ley, es el que intenta imponer USA con poco éxito en el resto del planeta.
Informes serios basados en la experiencia demuestran que la conveniencia de la adopción de PKI en su modelo corriente es por lo menos discutible, sino desaconsejable. Al menos en un contexto de largo plazo y a gran escala.
Los resultados financieros de los vendedores de PKI muestran que el negocio no está pasando hoy día por los certificados digitales, y hay que preguntarse seriamente quién está subsidiando a estas empresas que pierden dinero para tener presencia en el mercado.

Qué es lo que se vende entonces? Un conjunto de elementos difusos e intangibles, englobados todos por "la confianza". Se parte de un axioma, que es que la autoridad certificante que emite el certificado digital es ¨confiable". Esto de la confianza merece discusión aparte.

Uno de los elementos intangibles y difusos es el postulado que afirma que una firma digital provee "no repudio". En términos simples, un documento firmado digitalmente no puede ser negado por el poseedor de la clave privada que genera dicha firma digital. Para aseverar esto se parte de otro axioma, que es que nada ni nadie pudo utilizar la clave privada del poseedor excepto el mismo poseedor.

Esto es tecnológicamente insensato (dada la existencia de troyanos, keyloggers, claves públicas ocultas de la NSA en el código de Microsoft, etc) y, en muchas partes del mundo, ilegal. Es decir, un individuo siempre tiene el derecho de rechazar una transacción hecha en su nombre. Esto invalida el "no-repudio" automático que se intenta imponer, hasta por ley en los países más corruptibles.

Un documento electrónico firmado digitalmente sólo da evidencia NECESARIA pero no SUFICIENTE para afirmar que el dueño de la clave privada originadora de dicha firma ha sido quien efectivamente ha firmado dicho documento. Sólo se puede afirmar que dicha firma digital fué generada con esa clave privada, pero nada más. El resto son suposiciones y no dan evidencia suficiente.

Es necesario replantearse si este es el modelo correcto de mundo digitalizado a aplicar para nuestro país por los próximos 20 años. Nadie lo discutió en su momento (basta con recorrer los previos posts para darse cuenta que siempre son los mismos actores los que nos llevaron con intención a esta situación, y sino basta con googlear y buscar nombres asociados) y en momentos donde los intereses creados están intentando reglamentar a su gusto y conveniencia, parece ser éste el momento adecuado.