jueves, octubre 07, 2004

Quién es quién en firma digital (II): Certisur

Por los posts anteriores resulta simple deducir quién es Certisur y cuál es el pasado de la gente que la conduce.
Desde el año 1999 que existe un plan para quedarse con el monopolio local. Ese plan es sistemático y, paradójicamente, Internet lo tiene documentado.

Expocomm 2004: el vicepresidente (o CEO, según la tapa de la presentación?) expuso, continuando con el lavado de cerebro tendiente a imponer la serie de axiomas que la "hype" de PKI viene comulgando desde hace largo tiempo para poder hacer algún negocio de todo esto.
En la página 2 ya se encuentran los axiomas del modelo PKI que se intenta imponer, que el usuario promedio toma como válidos y no discute por falta de información:

1)Confidencialidad/Privacidad: ya quedó demostrado que la privacidad no existe (En USA el wiretapping está legalizado, igual que en Argentina, vía la CNC, por decreto).
2) No repudio: ya explicado en post previo su falta de sustento legal y técnico.
3) Interoperabilidad/Universalidad: merece párrafo aparte, pero no existe.

A partir de ahí, el resto carece de fundamento, pero vale la pena resaltar algunos puntos:

- La explicación del marco legal actual en Argentina, en página 10, o bien indica que la presentación está desactualizada, o se desinformó a la audiencia. Varias cosas cambiaron en el medio, entre ellas, la desaparición del "Ente Administrador", detallado al comienzo de este blog.
- Inversión de la carga de la prueba: puede leerse como el modus operandi favorito de los litigantes, tendientes a desgastar a la contraparte, sea fundamentada o no la acusación inicial. En este caso, el poseedor de la clave privada originador de la firma digital está obligado a demostrar su inocencia. El expositor omite extrañamente el siguiente artículo de la ley 25.506 de firma digital:

"ARTICULO 7º — Presunción de autoría. Se presume, salvo prueba en contrario, que toda firma digital pertenece al titular del certificado digital que permite la verificación de dicha firma."

Ni hablar del siguiente artículo, en un mundo donde los virus, el hacking y los caballos de Troya que hoy son moneda corriente en el mundo computacional:

"ARTICULO 10. — Remitente. Presunción. Cuando un documento digital sea enviado en forma automática por un dispositivo programado y lleve la firma digital del remitente se presumirá, salvo prueba en contrario, que el documento firmado proviene del remitente."

Va a ser sumamente interesante ver a un juez analizando las pruebas presentadas por el dueño de una firma digital donde "demuestra" que un hacker tomó su máquina y lo obligó a firmar digitalmente un documento. Tanto o más interesante van a ser las pruebas a presentar.

- Los clientes de la presentación no tienen un certificado de Certisur, sino de Verisign. Basta con entrar a cualquiera de los sitios mencionados en la presentación, y hacer click en el candado en el ángulo inferior derecho del navegador para obtener la información del emisor del certificado del sitio web al cual se está accediendo.
La pregunta que surge de inmediato es: en caso de litigio...se litigará en Tribunales, o en Nueva York? Habrá posibilidad de demanda para los usuarios de dichos certificados?

Finalmente, en página 4 se habla de "proveer confianza".
Más allá del hecho que nadie necesita "proveedores de confianza", ya que la confianza en el ámbito de los negocios surge de una relación específica entre partes, ajenas a un tercero, aún cuando este tercero sea quien las haya inicialmente presentado (esto merece párrafo aparte), sería interesante conocer cuál es el porcentaje del mercado que confiaría en una empresa que es derivada de Veraz y que es afiliada de Verisign.