APPENDIX Statutory References
9. STATE OF FLORIDA
Partiendo de lo indicado en las secciones anteriores, se pueden establecer diversas estrategias de conservación a largo plazo de los documentos firmados.
En primer lugar, mientras el documento electrónico de archivo firmado se encuentra en fase activa o de tramitación, se pueden aplicar las siguientes estrategias:
- Adición de sellos de fecha y hora de archivo (ArchiveTimeStamp) a cada objeto de firma electrónica259, método por el que en principio apostaría la Norma Técnica analizada. Este método resulta adecuado para proteger una firma unitaria y los datos que contiene, pero no protege otras informaciones complementarias de la firma ni los metadatos correspondientes, que se encuentran fuera del objeto de firma y pueden tener relevancia probatoria en caso de conflicto260.
- Adición de sellos de fecha y hora a cada instancia descriptiva de firma electrónica261. Este método resulta adecuado para proteger la firma unitaria y las informaciones complementarias y los metadatos correspondientes, especialmente en el escenario de repositorio seguro.
- Adición de sellos de fecha y hora a cada secuencia de firma electrónica262. Este
259
Por objeto de firma electrónica es necesario entender la estructura de datos que contiene los datos de una firma electrónica, típicamente utilizando un formato normalizado, como por ejemplo CAdES, XAdES o PAdES, que se elige en función del formato del documento a firmar (por ejemplo, CAdES sería útil para firmas de documentos binarios, XAdES para la firma de documentos en XML, y PAdES para la firma de documentos en PDF).
260
Por ejemplo, la respuesta que devuelve una plataforma de validación de firma electrónica (típicamente, un documento XML que informa sobre la firma electrónica verificada) no se puede guardar dentro de la firma electrónica, pero tiene un gran valor evidencial.
261 Una instancia descriptiva de firma electrónica es un objeto que contiene una firma electrónica y las
informaciones y metadatos adicionales que se precisan para su gestión futura.
262
Una secuencia de firmas electrónicas es una lista ordenada de varias instancias descriptivas de objetos de firmas electrónicas, incluyendo los propios objetos, que se utiliza cuando diversas personas deben firmar un mismo documento, como alternativa a las más complejas “contrafirmas”.
método resulta adecuado para proteger todas las firmas de un flujo y las informaciones complementarias y los metadatos correspondientes, también en el escenario de repositorio seguro.
En segundo lugar, mientras el documento electrónico de archivo firmado se encuentra en fase semiactiva o de vigencia, se pueden aplicar las estrategias adicionales:
- Adición de sellos de fecha y hora de archivo (ArchiveTimeStamp) a la foliación de un expediente electrónico. En lugar de añadir un nuevo sello de archivo a cada firma de cada documento, sólo se añade un sello en la firma de la foliación, ya que este elemento protege todos los documentos del expediente, lo que representa una vía computacional más eficiente de protección de la firma que la protección individual de cada objeto de firma.
- Empaquetado de los documentos del expediente, incluyendo la foliación, en un contenedor firmado, y adición de sellos de fecha y hora de archivo (ArchiveTimeStamp) a la firma del contenedor. Se podría emplear para proteger paquetes de expedientes enteros, por ejemplo por años, lo cual siempre es más eficiente que resellar cada expediente.
Finalmente, si el documento electrónico de archivo firmado pasa a fase de conservación permanente, hay que recordar que en todo caso el documento electrónico ha perdido ya su valor legal263 y, por tanto, en general se puede defender la no necesidad de preservar ni mantener la evidencia de todas las informaciones que soportan las firmas electrónicas, sin perjuicio de aplicar técnicas de seguridad para garantizar la autenticidad de los contenidos de los repositorios digitales de archivo, eminentemente mediante metadatos y pistas de auditoría.
263
5 LA CRIPTOGRAFÍA EN LA POLÍTICA DE FIRMA
ELECTRÓNICA
La política de firma electrónica se refiere, en su epígrafe III.5 a las “reglas de uso de algoritmos”, dentro de las denominadas “reglas comunes”, en referencia a los algoritmos criptográficos en que se basa la firma electrónica.
En concreto, la regla 1ª del epígrafe III.5 de la Norma Técnica de Interoperabilidad ordena que “la política de firma especificará las reglas de uso de algoritmos en los diferentes formatos así como la longitud de las claves asociadas a aquéllos de forma proporcional a las necesidades detectadas en los diferentes usos de la firma electrónica, cumpliendo en cualquier caso lo establecido en la NTI de Catálogo de estándares”, incluyendo la política criptológica como parte esencial de la política de firma electrónica y de certificados.
Dos son los aspectos de los que debe ocuparse, por tanto, cada concreta política de firma electrónica:
- Establecimiento de las reglas de uso de algoritmos (de resumen, de firma electrónica, según veremos a continuación).
- Determinación de la longitud de las claves empleadas por dichos algoritmos para las operaciones (de resumen, de firma).
Conviene antes, sin embargo, recordar la (escasa) regulación de los criptografía en el régimen general de la LFE, de lo que nos ocupamos a continuación.