El futuro tecnológico de la firma electrónica

Creado en 17/01/2016. Autor: Juan Arana

(01)

El año 2015 ha añadido obstáculos para el uso de la firma electrónica tal como se viene empleando habitualmente en España en las Administraciones públicas, desde la ley 11/2007: mediante "applet java" que se ejecutan desde los navegadores. Especialmente, en el último cuatrimestre de 2015 han crecido las dificultades en PC-Windows: Chrome retiró el soporte a comienzo de septiembre, Opera lo hizo a comienzos de diciembre, Mozilla añadió dificultades, de momento superables, en la versión 42 en noviembre y sigue manteniendo las dificultades en la versión 43.  El nuevo navegador de Windows, Edge, no soporta los "applet java" (ni Windows 10 trae instalado Java). El mundo del software libre sigue la misma estela.

Mozilla tiene la intención de finalizar su soporte a los "applet java" a finales de 2016

Aunque no cese el soporte, los frecuentes cambios necesarios en las configuraciones de navegadores y java son fuente de quebraderos de cabeza: configuraciones que funcionan un día, dejan de funcionar al siguiente.

(02)

 Quienes debemos ocuparnos de los servicios de soporte dedicamos un importante esfuerzo -lleno de sobresaltos- para que las firmas electrónicas en nuestras organizaciones o de nuestros ciudadanos puedan llevarse a cabo. A pesar de ello en demasiadas ocasiones, el proceso de firma no es algo fluido y muchas veces hay que dedicar unas decenas de minutos a reconfigurar los PCs. En una reciente encuesta realizada entre las universidades se señala que las "dificultades tecnológicas" asociadas a los "applet java" son la mayor dificultad en la extensión de la administración electrónica (y la administración "sin papeles") en nuestro pais por encima de resistencias al cambio, restricciones presupuestarias, ausencia de directrices.

 El BOE (29/10/2015) abona esta tesis: Las compañías desarrolladoras de los distintos navegadores están cuestionándose soportar dicho entorno [entorno de ejecución propietario Java, actualmente propiedad de Oracle], lo que conlleva cambiar a un método alternativo de firma electrónica [1].

 Un informe con membrete de DTIC de MINHAP [2] señala: Los Applets de Java se han convertido en una verdadera pesadilla para usuarios y proveedores de servicios de firma electrónica en aplicaciones Web

 Algún alto responsable de CRUE-TIC considera que la resolución de este problema es acuciante. Opinión que compartimos.

 Posibles soluciones

 (03)

El Ministerio de Hacienda y Administraciones Públicas (MINHAP) va diseñando algunas soluciones que aún no han empezado a implantarse por ejemplo, el "certificado en la nube" denominada ahora "firma por certificados centralizados".

Estas soluciones pudieran ser ofrecidas por otros prestadores de servicios de confianza (emisores de certificados).

Los plazos anunciados por MINHAP (finales de 2015) no se han cumplido, aunque es probable que en las próximas semanas podamos ver algún resultado. No conocemos plazos de otros prestadores. 

 (04)

Autofirma. Desde hace algunos años propone que el navegador, en vez de ejecutar un "applet java" ejecute una aplicación, denominada Autofirma (antes FirmaFacil), que el usuario debe instalar (es de instalación muy sencilla). Apenas conociamos sedes que la utilizaran (ni siquiera las del MINHAP) pero en las últimas semanas la estamos viendo en la sede del Ministerio de Educación, está anunciada en el ayuntamiento de Zaragoza. La Diputación Provincial de Ciudad Real, que también la incorpora, ofrece un video divulgativo. Requiere cambios en la programación de la sede.

La solución Autofirma está asociada también a firmas desde dispositivos móviles.

 (05)

MINHAP ofrece aplicaciones de escritorio fáciles de utilizar y robustas como el Cliente @firma("ClienteStandAlone") que se puede encontrar aquí. Estas soluciones tienen el coste de que hay que desarrollar programación para subir los documentos, una vez firmados, a las sedes (o a las plataformas de tramitación) y verificar que la firma realizada en local es correcta. Para trámites en los que no es necesario llevar el documento firmado a la sede y asignarle un código seguro de verificación (por ejemplo firmar contratos entre varias partes) es una solución magnífica.

 También lo es, aunque un poco más incómoda, la firma en valide.redsara.es

 (06)

MINHAP ofrece Cl@ve, aunque de momento no esté al alcance de todas las administraciones. Hasta el momento sólo sirve para identificarse, sin necesidad de java, pero no para firmar documentos. Esta limitación no es exclusivamente tecnológica: procede de las normas, como se indica a continuación.

 (07)

Algunas administraciones amparadas en la Ley 11/2007 y en la estela del art. 10.c de la nueva 39/2015, aún no vigente, empiezan a proponer una firma en la que el firmante sólo tenga que identificarse y añadir algún elemento de seguridad que impida la suplantación del firmante. Con técnicas que no necesitan el "applet java", aseguran la inalterabilidad del documento.

Eso es lo que hace, desde fechas muy recientes, la Secretaría General de Coordinación Autonómica y Local del MINHAP para un asunto que en absoluto es menor: el intercambio de datos presupuestarios y económico-financieros [entre ayuntamientos y ministerio]. Viene respaldado por esta norma.

Según noticias muy recientes, MINHAP pudiera extender esta forma de firma a otros trámites (por ejemplo, al registro electrónico común)

(08)

Congelar configuraciones de sistema operativo, con versiones de navegador y java que sigan funcionando.

(09)

Las Universidades llevamos tiempo preocupados por este asunto. Se están barajando una variedad de soluciones: uso de Autofirma, de aplicaciones de escritorio, de dispositivos HSM que almacenan claves criptográficas -firma centralizada local-, creación de paquetes de navegadores y java congelados en determinada versión, instalar mecanismos de firma alternativos a los "applet java" o aligerar, mediante normativas internas y en determinados casos, la obligatoriedad de la firma.

(10)

Soluciones en las que está trabajando la Universidad de Zaragoza (ciudadanos y funcionarios tramitadores).

a) La "firma en la nube" (03), en cuanto esté disponible, a no ser que sea excesivamente onerosa (esta es la resolución que preve pago).

b) Admitir firma por identificación del ciudadano más sello de órgano. Recientemente se ha modificado (BOA 11/12/2015) la regulación del registro electrónico de UNIZAR permitiendo las "claves concertadas". En pocas semanas está previsto desarrollar esta norma admitiendo el NIP y la contraseña administrativa para quienes cumplan determinadas condiciones (ser empleado de UNIZAR, estar matriculado) o se hayan identificado telemáticamente mediante un certificado electrónico o presencialmente. Sería una solución de tipo (07) que también tiene que ver con (06) a la que nos adscribiremos en cuanto tengamos la autorización.

c) Promover la firma con aplicaciones de escritorio (Cliente @firma) y cargarla después en la sede. Está orientada especialmente a tramitadores (05)

d) Ofrecer configuraciones estables que funcionen. En este momento recomendamos (y conservamos una copia en nuestras instalaciones enlazadas a las FAQ) a Mozilla 41.0.2 y Java 1.7.0.67 (08). Esta es una solución que no puede mantenerse indefinidamente.

e) Migrar Portafirmas cuando integre Autofirma y firma de múltiples documentos (para funcionarios tramitadores).

f) Seguimos atentamente las soluciones que se van ofreciendo y participamos en foros de universidades y otras administraciones.

 Referencias

1. https://www.boe.es/boe/dias/2015/10/29/pdfs/BOE-A-2015-11632.pdf

Resolución de 15 de octubre de 2015, de la Secretaría General de Coordinación Autonómica y Local, por la que se habilita el uso de claves concertadas para el envío firmado de la información descrita en la Orden HAP/2105/2012, de 1 de octubre; así como para otra información firmada de carácter económico-financiero que la Secretaría General tenga que recibir de las Administraciones Locales y Autonómicas.

2. http://es.slideshare.net/TomsGarcaMer/alternativas-a-los-applets-de-java...

Debe considerarse un documento oficioso: aunque es bastante "leido", no hemos sabido encontrarlo en MINHAP. Sin embargo, párrafos enteros sí que están citados en documentos MINHAP.

Postdata (27/01/2016): MINHAP ha publicado (en la semana del 18/01/2016) en http://clave.gob.es/clave_Home/dnin/realizando-la-firma.html casi un manual de usuario de la firma en la nube.