dilluns, 13 de juny de 2011

Les "Bones" pràctiques de CATCert per a preservar signatures electròniques

El dia 9 de juny l'Agència Catalana de Certificació ha fet públic un document titulat Bones pràctiques per a la gestió i preservació de les signatures electròniques. Es tracta d'un compendi de 44 pàgines, sintètic, clar, sense embuts, sobre les possibles vies per garantir la preservabilitat de les signatures electròniques produïdes per les administracions públiques. No es tracta d'un model per administracions exclusivament catalanes, ans al contrari, la proposta podria ser aplicada per qualsevol administració i, fins i tot, per qualsevol empresa privada que consideri oportuna la política de preservació dels seus continguts digitals. El document és molt bo, insisteixo, per la claredat i per sortir de l'esforç que des de fa més de sis anys estan realitzant arxivers i tècnics informàtics en la construcció d'un Arxiu Digital tant competent com iARXIU. Les Bones pràctiques, per tant, són el resultat d'haver madurat l'experiència i la pràctica.

El que volem fer és avaluar les diferents alternatives de preservació, no només de les signatures electròniques, sinó també dels documents electrònics produïts. Es tracta d'un debat que fa temps que existeix, però que realment esclatarà en un o dos anys a molt estirar, just quan les administracions ja tinguin documents i expedients produïts íntegrament en format electrònic i que requeriran d'una preservació permanent. L'aposta per la preservació digital està a punt d'esdevenir línia estratègica a les organitzacions i, per tant, a noves vies de negoci en els sectors privats de les TI. Com que creiem fermament en aquesta realitat, l'anàlisi de les possibles alternatives de preservació no pot ser un simple exercici teòric, sinó que ha de ser, sobretot, un plantejament estratègic per part de les organitzacions. En aquest sentit hem de ser crítics i actius en la millora de les propostes.

Les Bones pràctiques s'orienten a assessorar les vies de preservació dels documents electrònics definits per la llei espanyola. Això vol dir, d'entrada, que les vies proposades estan dins de la categoria de "Tecnologia legal" que tanta fortuna està tenint entre les empreses del software i del desenvolupament de l'Administració Electrònica, i en especial, en el món de la facturació electrònica o la implantació de signatura electrònica i segells de temps. La primera conclusió, abans d'analitzar les propostes una a una, és que es tracta d'un model basat estrictament en les exigències legals del marc vigent actual, però que en cap cas aposta per pensar més a llarg plaç de manera decidida. Tot i així, cal reconèixer, com veurem, que hi ha alguns indicis que fan pensar en què finalment es comença a analitzar el problema de la preservació des d'una prespectiva més tècnica, i no pas tant exclusivament jurídica. En aquesta nova manera de veure el problema hi trobarem els possibles usos i idees que pot aportar la Diplomàtica.

Davant dels repte de preservar documents electrònics, és a dir - i tal com dia la llei-, "documents digitals, amb signatura electrònica i un segell de data i hora" (s'hi pot estar d'acord o no), s'han plantejat fins a sis estratègies diferents. Avaluem-les:

1.- Ressegellat dels documents electrònics i les seves signatures electròniques: Considera que l'objectiu d'aquesta estratègia de preservació és mantenir la validesa de la signatura incoporant nou material criptogràfic, és a dir, segells de data i hora dins de la mateixa estructura de la signatura electrònica. D'aquesta manera preservar documents electrònics es basa en la protecció de la integritat del document original en el seu format inicial i la revisió periòdica de les signatures. Aquesta periodicitat és permanent. Hem marcat expressament en cursiva el concepte "mantenir la validesa" perquè creiem que aquest és el punt crític d'aquesta proposta. Una cosa és "mantenir la validesa" i l'altra és demostrar de manera certa que la signatura era vàlida en el moment en què es va utilitzar. Aquesta distinció és fonamental per posar en dubte l'estratègia del ressegellat. Situar en un cicle perpetu de revalidacions de les signatures amb segells de temps és una exageració i un contrasentit. Allò que des d'un punt de vista diplomàtic, però també legal, convé preservar és la demostració que la signatura electrònica i el certificat que la sustentava eren vàlids i actius en el moment en què es van utilitzar. Per a garantir això no cal "confiar" en sistemes electrònics amb presumpció de perennitat sinó simplement en una llista pública preservada per l'Agència de Certificació, o la seva entitat hereva en el futur, per a poder verificar la validesa de la signatura. Com hem dit més d'una vegada, cap societat ha ressegellat els seus documents. Cal tenir en compte que darrera de la voluntat de "perpetuïtat" o de "cicle perpetu" dels ressegellats només hi hauria d'haver una intencionalitat, a la manera de les formulae perpetuitatis medievals, on sota l'expressió "in perpetuum" simplement es manifestava la intenció de la perdurabilitat, malgrat admetre que només una ajuda divina podria donar sentit a la perpetuïtat ... i en cap cas en espais terrenals. Considerar que cada ressegellat aportarà "una nova baula a la cadena d'evidències electròniques" provocarà en realitat un "encadenament" a un procediment, a una solució concreta, a una tecnologia concreta, a una presumpció de control del futur poc realista i poc honesta a l'impedir altres alternatives futures. Pensem que el ressegellat només pot tenir sentit mentres hi hagi una vigència administrativa tant del document electrònic com de la signatura electrònica. En aquests casos pot ser raonable, atesa la caducitat dels certificats i a la necessitat de disposar de la màxima capacitat efectiva. A posteriori en cap cas cal "mantenir" sinó simplement demostrar la validesa en fase de vigència administrativa.

2.- Arxiu Digital o Serveis d'Arxiu de Confiança: La segona alternativa proposada és la de posar la confiança de la preservació en sistemes electrònics d'arxivament de contingut digital en mans de la pròpia administració pública o en mans d'aquests "Serveis d'Arxiu de Confiança" que, com a alternativa al serveis públics, i tot i no admetre-ho en el text de les Bones pràctiques, hem de suposar "privats". La proposta de l'Arxiu Digital "de confiança" té, a part dels problemes tecnològics inherents a la necessitat d'un instrument robust, el problema de QUI atorga la confiança. En aquest cas ha d'estar dotada per part d'una administració pública? La confiança es pot delegar a un ens privat certificador? L'Arxiu Digital ha d'estar en mans del productor i, per tant, la confiança anirà supeditada a la que tingui aquest productor, o es pot delegar en alguna altra autoritat? Pot deixar-se la confiança en una autoritat arxivística? La solució de l'Arxiu Digital es planteja per evitar haver de mantenir el valor evidencial de les signatures electròniques amb ressegellat. Aquest element constata un gap important: deixar de revalidar les signatures pot deixar en fals la integritat dels documents electrònics? Tot sembla indicar que sí. En aquest cas només la confiança en el repositori i en el sistema de gestió que el mantingui i l'utilitzi, pot garantir la immutabilitat de la integritat original dels documents. Per a poder-ho fer, però, en cap cas l'Arxiu Digital podrà actuar com a agent passiu, al final de la cadena de gestió, perquè aleshores serà incapaç de verificar la integritat original, sinó que només estarà en disposició de verificar la integritat del document que va entrar en el seu sistema i no pas en les seves fases de tramitació i vigència. En tot cas, per evitar aquest gap cal que el servei d'Arxiu Digital treballi conjuntament amb el servei de Gestió Documental per definir responsabilitat i gestió conjunta. La integritat doncs, caldrà gestionar-la des de la fase de producció (tramitació) i durant el període de vigència (que lògicament no hagi ingressat els documents en l'Arxiu Digital). Per a resoldre el problema de la integritat, en aquest cas, cal treballar amb les metadades del document i de la signatura a fi i efecte que poguem contextualitzar convenientment tot allò que li passa al document i a la signatura. Cal dir, i les Bones pràctiques no ho suggereixen, que les metadades no només han de servir per "descriure" sinó que han de "autenticar". És per això, que la Diplomàtica contemporània parla de "Descripció Autenticant" com a mètode per delimitar una ontologia de l'autenticitat documental sòlida que permeti confiar en el propi document i les seves circumstàncies, i no pas en la mera criptografia. En conclusió: les Bones pràctiques veuen en l'estratègia de l'Arxiu Digital l'estratègia de la confiança en els sistemes, en la seva gestió i en les seves mesures i protocols de control. Ara bé, l'estratègia d'Arxiu Digital plantejada com a escenari final de la preservació dels documents en fase activa-semiactiva (o de vigència, tal com diu el text) perdrà la força del control des de la fase de producció. És per això que des del nostre punt de vista, l'estratègia de l'Arxiu Digital pot ser de confiança si s'encadena als sistemes de producció i organitza la preservació des del principi. Per a poder-ho fer ha d'estar a prop dels entorns de producció i, per tant, del productor. En paral·lel, l'estratègia de la "Descripció Autenticant" ha de ser la que permeti confiar en la integritat i l'autenticitat documental amb independència del ressegellat i, fins i tot, de la pròpia signatura electrònica.

3.- Arxiu Digital + Ressegellat: La tercera alternativa proposada per les Bones pràctiques es ven com la solució més convenient als ulls de CATCert. Aquesta estratègia, a més, és la que utilitza el sistema iARXIU. La idea passa per generar paquets d'informació en XML amb els formats dels documents, les signatures electròniques, els segells de data i hora, i les metadades compilades, disposats en fase de tramitació i vigència. Aquest nou objecte digital de preservació creat rebrà una única signatura anomenada "d'arxiu" que serà convenientment ressegellada en el futur. Per evitar una gestió feixuga per la necessitat de ressegellar massa sovint els paquets d'informació, l'estratègia de CATCert passa per generar segells de data i hora de 10 anys de vigència. Per objectar aquesta proposta val tot el que hem dit al punt 1 en relació al ressegellat. Però a més, convé finalitzar amb el que és una veritable fal·làcia en el model que es planteja. En un punt de les Bones pràctiques es diu que s'incoporaran la signatura o el segell a nivell de paquet d'informació "per tal de garantir que els documents i les seves metadades siguin autèntics i íntegres a partir del moment de la recepció i validació de la transferència". La integritat que es garantirà és la del document en el moment que ingressa, no pas la del moment de la producció. El mateix podem dir de l'autenticitat, només garantirem la del document en fase d'ingrés. Aquest problema és de fons: l'Arxiu Digital per se no pot garantir amb la seva política de signatura o segellat la integritat i l'autenticitat real dels documents, aquests poden haver patit transformacions en les fases de tramitació i vigència. Per aquest motiu l'Arxiu Digital ha de vetllar també per garantir aquestes propietats essencials des de la fase de producció, sinó no podrà mai certificar l'autenticitat documental, en tot cas, només certificarà l'entrada de documents al sistema. I això no dóna seguretat ni permet confiar per se amb el propi Arxiu. De fet hi ha un problema de més profunditat encara (i aquí rau la fal·làcia que hem suggerit fa una estona): l'autenticitat documental no pot ser constatada per la simple signatura electrònica i el segellat, l'autenticitat documental (i en això la Diplomàtica és útil) és un compendi d'elements formals físics i intel·lectuals que permeten verificar la integritat, la identitat, els modes, formes i estats de la transmissió del document electrònic des del moment de la seva entrada en vigència, des del moment en què ha esdevingut original primer, complet i amb plens efectes jurídics. I per a verificar aquesta complexitat no n'hi ha prou amb signatures i segells, sinó que cal una compilació de metadades sòlida. Aquesta exigència és la que atabala als sectors empresarials que tenen a veure amb l'Administració electrònica, bàsicament pel desconeixement que tenen dels documents que han de preservar, de la seva naturalesa, de les seves característiques, dels seus valors i funcions ... i per aquest motiu opten per una solució més "econòmica" com és la de la signatura electrònica. I davant del problema de la integritat s'inventen el cicle perpetu ...

4.- Conservació de la signatura en fase de conservació permanent: En realitat aquest punt no està desenvolupat a les Bones pràctiques, simplement hi ha un inquietant "pendent de definir". El que hi ha darrera d'aquesta pressuposició és que hi haurà un moment en què els paquets d'informació, les signatures, els segells, els formats originals de dades, les metadades, etc., hauran d'entrar en una fase de conservació permanent que caldrà també gestionar i que, a l'actualitat, no està gens clar com s'haurà de fer. CATCert, compte!, ja ha fet un pas endavant i planteja que la solució és la del ressegellat dels paquets d'informació, tal com hem dit. Això, doncs, no és un "pendent de definir" ... El problema de la conservació permanent  en realitat, és molt més ampli que la dicotomia "ressegellar o no". Implica una repartiment nou de responsabilitats no explorat: qui ha d'assumir la preservació a llarg termini? CATCert no s'hi posiciona i més aviat sembla indicar que no serà pas competència seva. Potser l'Arxiu Nacional de Catalunya haurà de ser aquest gestor. Ara bé: està preparat un Arxiu Nacional que fins a l'actualitat, i ja van més de sis anys de iARXIU, no s'ha manifestat MAI a l'hora d'aportar solucions en aquest sentit? Quina confiança pot generar una institució que s'inhibeix persistentment d'aquesta responsabilitat? És evident que el problema de la preservació digital no és estrictament de preservació de la integritat, sinó de la preservació de la integritat de una gran quantitat de bytes elaborats com a unitats documentals simples, compostes, a la manera de bases de dades i d'aplicacions informàtiques de dimensions no avaluades fins ara. És un problema molt més complexe que la simple signatura electrònica. Cal a més plantejar-se doncs, no només la preservació permanent de documents administratius, sinó de fons privats personals, empresarials, comercials, d'associacions i entitats, que puguin venir a partir d'ara en format digital. Per no parlar de les col·leccions fotogràfiques en format digital i de la producció audiovisuals de periodistes i canals de TV que han deixat de produir en analògic. Insisteixo: pot una institució pública d'àmbit nacional haver-se inhibit d'aquesta problemàtica i haver estat incapaç d'oferir consultoria en aquest sentit? El que està "pendent de definir" en tot cas, és si realment està capacitat aquest Arxiu Nacional a oferir alternatives i idees o si caldrà que l'Administració local s'espavili a l'hora de trobar solucions. Els arxius històrics tenen molta feina a més, si no volen veure compromesa realment la seva competitivitat a l'hora de preservar a llarg termini el contingut digital. Cal desvetllar aquesta necessitat de manera urgent, no podem continuar fent "com si res", sobretot quan es veu que CATCert ha fet el primer pas per indicar que "d'aquí ja no passem".

5.- La convalidació de signatures electròniques: Davant el problema delimitat per les Bones pràctiques de no poder gestionar amb precisió el ressegellat d'algunes signatures electròniques (perquè simplement no es poden aplicar perquè les signatures no han estat completades a AdES, per exemple, o perquè s'apliquen els segells fora de termini), es planteja la possibilitat que davant d'una signatura no verificable, el responsable primer o un superior jeràrquic torni a signar el document. Aquesta convalidació en realitat no significaria una certificació a la manera d'una autoritat de fe pública com ara un secretari o un notari, sinó que simplement permetria garantir l'autenticitat i l'integritat del document a la manera que té de veure les coses CATCert. També es planteja la solució que la signatura sigui la d'un arxiver, de manera que s'assimilaria la seva funció a la nova figura italiana creada recentment pel Codice dell'Amministrazione Digitale anomenada "il conservatore". Aquesta figura dotada de l'autoritat delegada per l'Estat certificaria l'autenticitat dels documents signats, amb independència de la validesa o no d'aquesta signatura.

6.- La recopilació d'evidències: Aquesta estratègia es fonamenta en la compilació "de tots aquells indicis externs a la mateixa signatura que permetin garantir que no s'ha modificat la signatura des del moment de la seva validació inicial". La idea, que no és dolenta, té una pega. I és que és extremadament signaturacentrista! Les evidències a recopilar són les dels documents i no només les de les seves entitats de validació. Allò que volem preservar no són només signatures sinó els valors d'allò signat, i per tant, cal centrar-nos en els documents! Recopilar evidències es generar uns logs o un registre de les evidències produïdes per la gestió, controls, mesures de migrat, etc., realitzats sobre els paquets d'informació. Fer això requereix un coneixement molt profund de la documentació que custodiem. Fer això requereix de professionals que sàpiguen fer aquesta tasca i no n'hi ha prou amb automatització dels registres o els logs. El contingut és el que aporta valor, la signatura només aporta efectivitat jurídica (que no és poc, però que no és suficient per justificar l'inversió en perservació). La idea de la recopilació d'evidències és la línia bona per continuar treballant en ontologies de l'autenticitat, en compilació rigorosa de metadades orientades a la descripció autenticant i en la contextualització acurada dels propis documents.

i 7.- Abans he dit que hi havia sis estratègies plantejades a les Bones pràctiques. En realitat n'hi ha una més. Des del moment que al resum executiu de totes les propostes s'esmenta la bona pràctica d'utilitzar les signatures longeves "detached" s'està indicant que l'associació de la signatura és una estratègia encarada clarament a la preservació i que no compromet en cap cas els períodes de tramitació i vigència. "Associar" una signatura i no "incrustar-la" és el reconeixement evident de la necessitat de viure amb signatures independents del propi contingut del document per, si s'escau, desvincular-les definitivament en fase de conservació permanent i que no comprometin la preservació i la pròpia integritat dels documents signats que entrin en programes de migració de formats, per exemple.

3 comentaris:

Raimon Nualart - CATCert ha dit...

Part 1/2

Primer de tot, felicitar-te pel teu blog i, en concret, per aquesta entrada ja que trobo molt constructiu i didàctic que existeixi un espai on poder discutir temes importants relacionats amb la nostra pràctica i professió.

Tornant a l'entrada volia fer algunes observacions i puntualitzacions per no confondre al lector:

1- És cert que a la guia es plantegen les tres primeres estratègies que comentes en el blog: ressegellat, arxiu digital de confiança i ressegellat en un arxiu digital de confiança però aquestes s'han d'aplicar tenint en compte l'etapa del cicle de vida del document (mirar capítol 3, 4 i 5 de la guia) i no es poden entendre sense tenir en compte aquest factor.

En aquest sentit, he trobat a faltar en el teu comentari aquest factor, per mi clau, en l'elecció de les possibles estratègies de preservació de les signatures electròniques.

2- Per exemple, l'estratègia de ressegellat a nivell individual de totes les signatures la recomanem només durant la fase de tramitació i fins al tancament de l'expedient i transferència a un arxiu digital de confiança. Aprofito per comentar que des de CATCert s’està treballant per ampliar el període de vida del certificat de l'autoritat de segellament de data i hora (passar de 4 a 10 anys) quelcom simplificaria molt el manteniment de les signatures durant la fase de tramitació ja que, possiblement, només generant una signatura longeva o avançada (format AdES) amb un segell de data i hora tindríem una cobertura de 10 anys, suficient fins a la transferència a un arxiu digital de confiança, sense necessitat de que les administracions hagin d’implementar el ressegellat en els seus processos, deixant aquesta responsabilitat al repositori digital de confiança.

També s'està treballant en el que anomenes " llista pública" per verificar la validesa de la signatura que consistirà en la possibilitat de consultar si en una data (al•legada), la de creació possiblement, la signatura era vàlida o no emprant els serveis de validació de CATCert. El servei s’anomena serveis de validació històrica i fa un parell d’anys es va estudiar a nivell estatal però no va prosperar entre els prestadors de serveis de certificació digital ja que la normativa no exigeix disposar d’aquest servei en línia, tot i que si que obliga a tenir les llistes de certificats revocats arxivades durant un mínim de 15 anys.. Ara bé, CATCert està treballant a nivell dels seus certificats per tal que es pugui sol•licitar la validació històrica. Igualment, el bon funcionament d’aquest servei no elimina el fet de controlar els algorismes amb que s’han fet les signatures. És a dir, signatures generades amb algorismes no fiables implica no poder fer ús d’aquet servei de validació històrica.

3- Pel que fa a la segona estratègia, transferència a un arxiu digital de confiança estic d'acord amb tu de la dificultat d'auditar o certificar la qualitat del servei d'aquest. Possiblement haurem d'esperar a l'aparició d'alguna ISO que ho reguli. En relació al paper de les metadades a la guia es diu que aquestes són "el mecanisme per garantir la validesa dels documents/signatures a llarg termini". Per tant, no només descriuen sinó que també autentiquen, sempre i quan puguem garantir la integritat de les mateixes.

Raimon Nualart - CATCert ha dit...

Part 2/2

4- En relació a la tercera estratègia (arxiu digital més ressegellat) voldria matisar alguns punts:

- El ressegellat que aplica l'arxiu és cada 4 anys, no cada 10 com indiques. Esperem que en el futur si sigui cada 10 anys per simplificar i reduir el número de ressegellats.
- Pel que fa a la fal•làcia que expliques d'aquest model estic totalment en desacord amb la teva explicació i ho intentaré justificar. Tu comentes que aquest model parteix de la idea que la integritat i autenticitat és garanteix a partir del moment del seu ingrés al arxiu i no de la seva creació, quelcom no és cert i ho intentaré explicar:

Abans de procedir a la transferència dels documents al repositori digital, aquesta plataforma HA DE VALIDAR totes les signatures electròniques existents (mireu punt 2.1.3.1 i 2.1.3.3 de la guia). Quan parlem de validar, en estem referint poder demostrar que la signatura electrònica era vàlida en el seu moment de creació i/o que s'ha mantingut la cadena de confiança de la signatura electrònica des de la seva creació fins al moment de l'ingrés. És a dir, que abans del seu ingrés s’ha comprovat la validesa de les signatures quelcom permet mantenir en tot moment la cadena de confiança i no només a partir del seu ingrés al arxiu.

Per exemple, la plataforma iArxiu té una funcionalitat que rebutja o impedeix l'ingrés de documents signats dels quals no s'ha pogut validar automàticament les signatures electròniques. Ara bé, també té una opció que permet ingressar documents signats dels quals no ha pogut comprovar la seva validesa (en aquest cas es desa com a metadades la resposta del servei de validació) però sempre deixant traça dels possibles errors de validació. Mireu punt 5.1.3.3 de la guia.

Crec que amb aquesta explicació la fal•làcia que comentes queda totalment invalidada.

5- Pel que fa a la fase de conservació permanent no s'ha desenvolupat perquè encara no s'ha parlat amb els agents competents. Això no vol dir que CATCert es desentengui del problema sinó tot el contrari, es posarà a la seva disposició en el que calgui i intentarà ajudar i aportar solucions al problema. Tal i com comentes l'estratègia del ressegellat a nivell de paquet d'informació pot ser una de les opcions però cal analitzar altres estratègies. A més a més, cal tenir en compte que hi ha un altre tipus de documentació, com comentes (arxiu privats, fons fotogràfics, bases de dades...) que van més enllà del "problema" de la signatura electrònica i com a tal no s'han inclòs en la guia per motius evidents, però que caldrà abordar la seva preservació.

6- I finalment, en relació a la recopilació d'evidències estic totalment d'acord amb tu que s'han de recollir altres evidències del context, però, la finalitat de la guia era detallar només les relacionades amb la part de la signatura.

Nacho Alamillo ha dit...

Tot i que puc subscriure gairebé tots els continguts de les bones pràctiques publicades pel CATCert a la seva guia, trobo una mancança important en relació amb la foliació dels expedients.

Des del moment de generació de la foliació tenim una signatura electrònica que protegeix tots els documents d'arxiu continguts o referenciats a l'expedient.

Si mantenim aquesta signatura vigent mitjançant resegellat, aleshores ja no cal resellegar les signatures dels documents de l'expedients, el que suposa una reducció computacional d'esforç molt important.

A les bones pràctiques del CATCert aquesta funció sembla realitzar-se a nivell de la signatura del paquet d'informació de transferència.

L'inconvenient d'aquesta opció és la semàntica de la signatura, que en el cas del PIT és senzillament una transfència, mentre que en el cas de la foliació correspon al moment del tancament de l'expedient, d'acord amb la norma.

El motiu principal pel qual es resegella és tenir una data fiable en la qual ens consta que els certificats que suporten la signatura són fiables.

Amb els segells posteriors l'únic que fem és ancorar aquesta data, de forma que en el futur puguem estar segurs que aquest document existia en aquella data, i poder validar la signatura com si encara fos aquella data, de forma que acceptem certificats caducats o algorismes obsolets com a bons.

En aquest sentit, el tancament de l'expedient és un moment idoni per fixar aquesta data, i en conseqüència, la meva recomanació és AdES-A (si és possible) fins el tancament de l'expedient, i després AdES-A de la foliació únicament.

Publica un comentari a l'entrada