17 de noviembre de 2008

El nacimiento de la firma digital

Este artículo apareció publicado en La Nación del 27/11/2008 (ver publicación)

Con enorme satisfacción, comparto con ustedes la noticia de que el Sistema Nacional de Certificación Digital (SNCD) -la infraestructura requerida para la introducción de la firma digital en nuestro país- nació a la vida exactamente a las 18:30 horas del pasado viernes 14 de noviembre.

A esa hora, siete personas (dos del Ministerio de Ciencia y Tecnología, cuatro del Banco Central y este servidor, del Poder Judicial) -que para ese momento llevábamos ya cuatro horas de estrés, encerrados dentro de una “jaula de Faraday” forrada en cobre y herméticamente sellada, fría como refrigerador, de escasos 3x2 metros, en las profundidades de la custodia subterránea de alta seguridad del Banco- rompimos en gritos y aplausos cuando las palabras “Instalación exitosa” aparecieron en la pantalla del servidor IBM, evidenciando la correcta generación del primer certificado digital con pleno valor jurídico del país, conforme a la ley 8454 del 2005.

Dicho certificado digital pertenece a la llamada “autoridad raíz” del Sistema, creada bajo convenio entre el MICIT y el BCCR. Con él se firmarán digitalmente los certificados de las “autoridades certificadoras” que, a su vez, nos entregarán a los usuarios finales las claves y certificados necesarios para que podamos emplear la firma digital en toda clase de transacciones públicas y privadas.

La construcción del SNCD cristaliza un notable esfuerzo de cooperación y buena voluntad. Ese relativamente corto documento electrónico que fue generado el 14 de este mes contiene, en realidad, una sumatoria de dedicación y entrega de un gran número de personas, tanto del sector público como del privado. Allí está el resultado del esfuerzo de varios años de personal del Ministerio de Ciencia y Tecnología, del Ministerio de Justicia, del Ministerio de Comercio Exterior, del Poder Judicial, del Banco Central, del Tribunal Supremo de Elecciones, la Procuraduría General de la República, el Registro Público, el Instituto Tecnológico de Costa Rica, la Universidad de Costa Rica, el Ente Costarricense de Acreditación (ECA) y la Cámara de Tecnologías de Información y Comunicación (CAMTIC).

Desde luego, no todo ha sido positivo. La ley 8454 -como lo he señalado en anteriores oportunidades- nació con importantes limitaciones y deficiencias que no han sido corregidas aun. Tampoco han faltado críticas y “majadas de manguera”, incluso de parte de autoridades y de personas de las que se habría esperado mayor apoyo. En honor a la verdad, este proyecto difícilmente habría salido adelante si no fuese por la tenacidad y compromiso del personal técnico medio de las instituciones citadas.

A partir de este momento, pasamos a la etapa siguiente, que es la de creación y registro de las autoridades certificadoras y sus correspondientes autoridades de registro. En esta fase jugarán un papel crucial, según se irá anunciando más adelante, las entidades bancarias del país. Lo importante es que, con la activación de la autoridad raíz, se ha dado el paso que muchos veníamos esperando desde hace años. Estamos, por fin, en el umbral de la adopción de una herramienta -la firma digital- que brindará un impulso decisivo al gobierno digital, la banca electrónica, el comercio electrónico y múltiples otras áreas del quehacer nacional.

Un agradecimiento y una calurosa felicitación para el MICIT, el Banco Central y, especialmente, para las y los compañeros(as) que han puesto conocimientos, inteligencia y dedicación en este gran proyecto. La satisfacción y orgullo de este momento pertenece a ustedes.

Nota: arriba, en la foto, Miguel Carballo -del Banco Central- brinda explicaciones en la puerta de la "jaula de Faraday". Disculpas por la mala calidad de la imagen, tomada sin flash y con un teléfono celular, unos días antes del evento descrito en este artículo.

5 comentarios:

Rodolfo Quesada dijo...

Con respecto a lo que son otras plataformas que no son de Microsoft... ¿Existe alguna previsión para los usuarios de las alternativas? He leido sobre los dichosos tokens y en El Financiero de hoy (17-Nov-2008) destaca que se esta ulizando tencnología .Net, que bueno, es propiedad de Microsoft, y aunque esta la alternativa Mono, con solo que sepamos sobre que tecnología se esta usando no es posible rescatar mucho.

¿Como vamos a hacer los que usamos Linux o los que usan Mac OS X, o cualquier otra cosa para usar firmas digitales?

Yo realmente espero que se haya considerado ese aspecto.

Se que son muchas piezas las del rompecabezas, con que este el nodo raiz ya es bastante, pero como usuarios de verdad esperaria poder hacer cualquier tramite desde mi maquina open source...

¿Será acaso que se podrá implementar algo de la firma digital de modo open source?

Christian Hess Araya dijo...

La firma digital es una tecnología abierta, basada en estándares internacionales ISO, completamente neutra desde el punto de vista de hardware y software. Sin importar qué plataforma se haya utilizado para construir el nodo raíz, las autoridades certificantes deberán implementar servicios que no impongan exigencias injustificadas a los usuarios. No anticipo que haya problema alguno para aprovechar la firma digital en soluciones de software libre.

Daniel Calvo dijo...

Excelente Noticia, el primer paso importante de muchos que nos faltan dar en esa linea, que alegría.

Saludos

Paulo Sequeira dijo...

Christian,

Si nosotros contamos a partir de ahora con nuestra propia entidad certificadora nacional, ¿cuál va a ser su relación con las otras entidades certificadoras bien establecidas?

Por supuesto, estas últimas no dejarán de existir, pero algunas ideas que se me vienen a la cabeza son que nuestros bancos (así como nuestras demás instituciones públicas) podrían optar por obtener sus certificados de alguna entidad certificadora nacional, en lugar de tener que obtenerlos de Verisign, por ejemplo.

Ahora bien, no dudo que Verisign se abra una sucursal acá para tener su propia entidad certificadora registrada localmente; sin embargo, la jerarquía de esos certificados dependería de nuestro nodo raíz, no del de Verisign.

¿No debería pasar que los diferentes productos (ej. los navegadores), empiecen a incluir nuestro certificado raíz al distribuirse en el país? Es más, indistintamente de si un producto está dirigido a nuestro mercado o no, si el BNCR usara un certificado digital costarricense, alguien desde el extranjero que quisiera acceder a sus servicios de banca en línea debería de tener instalado nuestro certificado raíz para poder validarlo, ¿no es así?

Havok dijo...

Hess me sorprendí al ver tu blog. Verás, soy estudiante de Computación, tengo 20 años y llevo 6 usando GNU/Linux. Es frustrante para alguien en mi posición, osea, estudiante, tener que enfrentarme día a día con dinosaurios de la informática que siguen hiendo por la vía rápida/fácil que por la técnicamente superior. No hablo de facilidad de implementación o facilidad de uso, que son variables importantes a tomar en cuenta, me refiero a fácil en su término charral, lo que menos trabajo pueda generar, independientemente si el producto es simplemente mediocre. Gente con títulos hasta el cuello que opinan de lo lindo pero cuyos fundamentos son u obsoletos o basados en mitos. Al ver tu blog observé que estás al tanto de lo que acontece en una parte importante del mundo del software. El estar actualizado, algo indispensable en carreras relacionadas con tecnología. No hablo de ideología, hablo de ser técnicamente capaz de poder evaluar dos productos objetivamente y decidir la mejor opción basado en nuestras necesidades. Eso es libertad. Bueno, esa libertad desgraciadamente no es muy abundante entre los profesionales que conozco, cuando para mi es un requisito indispensable para ser competente en su carrera. Bueno, el punto de todo esto, desconozco cual haya sido tu participación en el proyecto de firma digital, pero espero que haya sido importante. Garantizar el acceso a la información independientemente de la plataforma, para garantizar igualdad de oportunidades, el respeto a los estándares, etc. son aspectos que se deben tener en mente desde el diseño y concepción de cualquier sistema. Por lo que te felicito. Espero que las críticas que hayas recibido hayan sido constructivas, o por lo menos críticas como las de nosotros, usuarios de software libre, que solo queremos que se nos incluya.

Saludos!