CHAPTER 3 Research methodology: A case studies approach
4.3 The development of Kuala Lumpur during the post-independence era (1957-2015)
es prolija en cuanto a los formatos de firma electrónica, quizá el aspecto de esta regulación que nos parece más criticable.
El epígrafe III.2 de la Norma Técnica se dedica al establecimiento de reglas en relación con los “formatos admitidos de firma electrónica”, especificando diversas reglas de carácter general, que analizaremos seguidamente.
La regla 1ª de este epígrafe III.2 indica que “los formatos admitidos por las organizaciones para las firmas electrónicas basadas en certificados electrónicos, se ajustarán a las especificaciones de los estándares europeos relativos a los formatos de firma electrónica así como a lo establecido en la NTI de Catálogo de estándares”. Se trata de un texto verdaderamente oscuro. En primer lugar, porque hoy no existen propiamente “estándares europeos relativos a los formatos de firma electrónica”, aunque cabe entender que se refiere a las especificaciones técnicas publicadas por el Instituto Europeo de Normas de Telecomunicaciones conocidas como XAdES, CAdES y PAdES.
“ETSI ES” y el número de referencia, mientras que la especificaciones técnicas lo hacen como “ETSI TS” y el número de referencia, y el valor jurídico de unos y otras es diferente, por lo que quizá se debería haber sido un poco más estricto a la hora de establecer la regla del epígrafe III.2.1ª, que resulta de imposible cumplimiento, al menos en estos momentos.
Y en segundo lugar, porque remite, en igualdad de condiciones que a los estándares europeos, a lo establecido en la Norma Técnica de Interoperabilidad de Catálogo de estándares, que no ha sido aún aprobada.
De la revisión del borrador211 de la citada Norma se desprende la admisión de uso de los siguientes “estándares” de firma electrónica: CAdES, CMS, PAdES, PDF Signature212, PKCS#7, XAdES y XML-DSig, como se puede ver con una cierta redundancia, pero un alcance más amplio, si bien el Catálogo de estándares no especifica para qué propósitos ni con qué restricciones se puede emplear cada uno de dichas especificaciones técnicas.
La regla 2ª del epígrafe III.2, por su parte, dispone que “los formatos de firma electrónica serán:
a) Estándares abiertos basados en estándares de firma europeos y ampliamente utilizados.
b) Seleccionados de entre los definidos por la Comisión Europea para la política de interoperabilidad de firmas electrónicas que será regulada a través de Decisión Comunitaria.
c) Compatibles con la definición de políticas de generación y validación de firmas para facilitar la interoperabilidad deseada y el automatismo en el tratamiento de firmas
211
El texto del proyecto de resolución de Norma Técnica de Interoperabilidad se puede consultar en
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=P60215901274203521811&langPae= es (última visita: 31/07/2012).
212
Al cual, curiosamente, califica como de “uso generalizado”. Curioso, teniendo en cuenta que una firma PDF es una firma CMS dentro de un fichero PDF (ISO 32000), ambos definidos por el propio texto como abiertos.
electrónicas generadas por distintas organizaciones.
d) Tales que permitan desarrollar funcionalidades avanzadas como la generación de firmas longevas de cara a garantizar su preservación.
e) Si procede, interoperables con la política marco en la que se basan”.
Se trata de una norma, si cabe, aún más defectuosa que la anterior, y en nuestra opinión completamente desviada de todo propósito racional.
El apartado a) resulta redundante con la regla 1ª del mismo epígrafe III.2, si bien añade al hecho de emplear “estándares” abiertos el que sean “ampliamente utilizados”, que es como no decir nada, especialmente en ausencia de estadísticas públicas sobre el uso de las especificaciones técnicas del ETSI en la Unión Europea.
El apartado b) sólo puede cualificarse como inseguro jurídicamente, en tanto en cuanto la selección de los citados estándares deberá hacerse conforme a un instrumento comunitario pendiente de aprobación. Parece que la referencia se estaría realizando a la Decisión 2011/130/UE, pero como la misma se cita en la propia Norma Técnica de Interoperabilidad, debemos entender que esta regla debe referirse a otra Decisión213.
Respecto a los apartados c) y d), resulta evidente que están redactados, igual que los anteriores, para conducir al lector siempre hacia la adopción de los mismos estándares, que son precisamente los apuntados en la regla 1ª de este epígrafe III.3: XAdES, CAdES y PAdES, diseñados precisamente para estas finalidades214.
En nuestra opinión, si se quería imponer el uso de XAdES, CAdES y PAdES, como veremos que se acaba haciendo en algunos casos, quizá hubiese sido más apropiado ordenarlo, dada la consideración del RDENI y las Normas Técnicas como normas
213 Excepto si es, como por otra parte parece, un gazapo, en cuyo caso se agradecería la oportuna
corrección de errores, en mor de intentar el cumplimiento de lo allí establecido.
214
De hecho, y como hemos podido ver en la sección 3.1 de este trabajo, estas especificaciones técnicas son las que han creado y desarrollado los conceptos de política de firma electrónica o longevidad de firma electrónica, por lo que difícilmente se podrán seleccionar “estándares diferentes”.
básicas en la materia.
Porque claro, la regla 3ª del epígrafe III.2 continua diciendo que “cada organización determinará los formatos y estructuras concretas de firma a incluir en su política, aplicando los criterios expuestos en esta NTI de forma proporcional al uso y necesidades de la firma electrónica en cada caso”; declaración que está muy bien, obviamente, por aquello de no parecer demasiado intrusivo, pero que en realidad no parece cierta, atendido el escaso margen de elección que todo este sistema deja a ciudadanos y Administraciones.
En el caso de la política de firma electrónica y de certificados de la Administración General del Estado215, de forma previsible, los formatos escogidos para la firma electrónica son… XAdES y CAdES.
Pero no PAdES, si bien se indica que “se tendrá en consideración especial el formato PAdES (PDF Advanced Electronic Signatures), según especificación técnica ETSI TS 102 778-3, para su estudio y posible incorporación en futuras versiones de la política de firma, dada su especial relevancia como un formato de firma visible directamente por el ciudadano mediante herramientas estándar”.
Pocos comentarios merecen las reglas 4ª y 5ª del epígrafe III.2, igual que el apartado e) de la regla 2ª216 del mismo epígrafe, normas puramente organizativas llamadas, en especial la segunda, a cumplir la importante función de mantener alineados los sistemas técnicos con las nuevas versiones de las especificaciones técnicas de firma, que evolucionan de forma muy rápida217.
215
Cfr. la sección 2.2: pp. 8-9.
216
Que dispone: “e) Si procede, interoperables con la política marco en la que se basan”, en el sentido de que una política particular sólo podría elegir a partir de los formatos indicados en la política marco. Cfr. sección 3.2.3 de este trabajo.
217 Como muestra, un botón: las especificaciones CAdES y XAdES referidas en la Norma Técnica de
Interoperabilidad ha tenido que ser actualizadas en el ETSI debido al descubrimiento de problemas de procesamiento de algunos atributos de la forma -A, de forma que la Norma Técnica española ya ha quedado obsoleta.