Quo vadis, certificat?

El pal de paller de les polítiques de seguretat i identificació a la xarxa son els certificats: una criptografia robusta i el reconeixement jurídic de l’equivalència amb la signatura manuscrita fan que siguin la tecnologia ideal per a la seguretat.

Però totes aquestes bondats tecnològiques no acaben de quadrar amb la facilitat d’ús rapidesa, comodització i descuit que comporten les aplicacions, dispositius i el públic d’avui en dia, i el poc suport per part dels fabricants no ho facilita.

Per fer la correcta gestió d’un certificat t’has de personar físicament en un lloc, demostrar que ets tu (o portar uns poders, imagina’t!), després instal·lar-te’l en un o varis dispositius que usis (si es pot), tenir-ne cura i vigilar que no te’l robin i encara després, anar-lo renovant.

En un entorn empresarial/professional això té un sentit i aquestes feines es fan i amb diferents suports (certificats software, targes criptogràfiques, o amb HSMs), però ves i diga-li a un ciutadà mitjà que ha de fer això. La gran majoria faran una ganyota, uns quants ho faran i l’usaran i un grup més petit encara es molestarà en entendre el perquè de tot plegat (sense entrar en raons tècniques).

S’entén doncs la poca expansió de l’ús de certificats malgrat els anys que fa que n’hi han, malgrat les campanyes per exemple del DNIe o de l’idCAT (en diferents suports) o l’impuls a la e-Administració. El que més ha triomfat és el de FNMT, i perquè l’usa Hisenda per tal que presentis la declaració de la renda.

A tot això, suma-li que està pensat (o es molt més còmode fer-lo anar) sobre un ordinador, i encara tindràs menys ús, perquè el que es demana cada vegada més és mobilitat (telèfon o tablet), i aquí si que topem amb un mur.

Vist això, als certificats, com els coneixem fins ara, no els veig gaire futur.

Desapareixeran? No, és clar que no. A la banda servidor seguiran existint, en el mon empresarial també… però en el dia a dia dels usuaris acabaran desapareixent… de les interfícies.

Signatura biomètrica
Els seguirem trobant, però darrere de solucions portàtils com signatures biomètriques, identificacions i claus d’un sol ús enviades al mòbil, proves de coneixença (preguntes) o similars
. Totes aquestes tecnologies, que no requereixen d’anar carregant ni custodiant un certificat software o hardware, o que es basen en aparells (mòbils) que tots portem a sobre, son les que ens anirem trobant cada vegada més.

La mobilitat i per tant la comodització de les solucions allunyen cada vegada més l’usuari final de fer-se càrrec de la seva pròpia identitat amb mitjans digitals propis, i deixen aquestes proves a càrrec de tercers que seran els que generin el certificat a partir de claus d’un sol ús generades amb dades numèriques que només l’usuari pot haver produït/saber/posseir.

I els sistemes jurídics que donen validesa a tots aquests processos s’acabaran adaptant a aquestes tecnologies.

Així que seguirem tenint certificats, i usant-los, però segurament sense gairebé adonar-nos-en que ho fem.

Java, certificats i e-Administració: més difícil encara


Google ha deixat de donar suport a Java des de setembre, Microsoft no suporta certificats digitals a Edge, l’API criptogràfica del W3c no arrenca, el suport per certificats no és fàcil a Linux…

Fet i fet, la e-administració sembla que té els peus de fang, o que li estan fent el llit.

Per treballar on-line amb l’Administració (sigui quina sigui) necessitem certificats per identificar-nos de manera segura i fiable (jurídicament fiable, de manera que es pugui demostrar qui som davant de tercers i els nostres actes tinguin validesa – per això la identificació usuari/password no és vàlida en tots els casos) i, si volem signar des del navegador, actualment java és la única tecnología “universal” a la banda client (mentre els fabricants de navegadors no implementin completament la API del W3C).

Però precisament aquests dos son els grans problemes que hi ha:

  • Els certificats: complicats d’usar, gestionar i entendre, magatzems diferents on guardar-los (Windows, Mac, Linux, Firefox per la seva banda), suports que tremolen (Edge), suport discutible i poca usabilitat (DNIe), finalitats del certificat, validesa…
  • Java: és pesat, les actualitzacions contínues son un calvari per usuaris i administració, no té suport complert a tots els sistemes operatius, i cadascú té versions diferents… un malson de manteniment per als informàtics i una font de disgustos per als usuaris.

Si a tot això hi afegim la necessitat i complexitat de donar també servei i facilitats en mobilitat, la cosa ja pinta negra, negra.

Hi ha solucions, alternatives (l’esmentada API, eines de signatura biomètrica que faciliten la vida a l’usuari , iniciatives com cl@ve) però la mateixa manera de fer de l’Administració (els seus propis requeriments administratius i jurídics) no ho facilita:

  • Què entenem per signatura? Documents signats, o accions signades i validades mitjançant un password o un pin?
  • Guardem documents? Això vol dir pdf signats? O ens valdria signar xml’s, afegint-hi una prova mitjançant una clau d’un sol ús generada a partir d’un password?
  • Si no s’usen certificats, com es construeix la representació de poders, com identifiquem representants, etc? Quan se sap com signo amb un certificat privat o un de pertanyença a una empresa, per fer determinat tipus de tràmits?
  • Si no s’usen signatures amb certificats, sinó altres tipus de signatures o comprovants signats (imaginem accions validades amb PINs), com demostrem la validesa davant de tercers? Serà universal, interoperable? Seran solucions compatibles amb el món privat?
  • Si s’usen eines com el DNI en el núvol, quina infraestructura caldrà? Federacions de HSM? Qui les mantindria? Com s’entendrien? No fem a l’usuari massa depenent de l’Administració?

I si generem signatures dependents d’entorns, circumstàncies o dades foranes, com assegurem la validesa a llarg termini? Com es guardarien les dades que ens asseguressin la fiabilitat de la signatura/comprovant?

No és que no es pugui fer, però el tancament de camins tecnològics per part dels fabricants sembla portar-nos a un redibuix de tota l’estructura de suport a la eAdministració que teníem fins ara…

Escric aquest article bastant a rajaploma, així que segurament molts dels arguments i idees exposats son discutibles i puntualitzables, en sóc molt conscient, i sempre trobarem nous camins i sortiran noves alternatives i solucions tecnològiques…

De tot això, però, en podem treure dos lliçons des de ja:

  • Cal que la tecnologia s’adapti a la eAdministració: cal tenir en compte factors com seguretat, facilitat d’ús, independència, validesa a llarg termini, autocontenció de les dades…
  • Cal que l’Administració es simplifiqui per facilitar l’ús, l’adopció i l’adaptació a la tecnologia.

Equips i compartició de coneixements: una millor Administració

Al I Congrés de Govern Digital s’hi van dir coses interessants (vegeu-ne el resum de la XIP), jo m’en quedo amb dues

[..]encara que les administracions no han estat dissenyades per innovar, és inajornable marcar-se reptes, que ajudin a implementar idees innovadores per canviar les rutines ineficients actuals.

[..]governança de la transició a la digitalització, gestió de recursos humans, reutilització del coneixement, col·laboració pública i privada, compartició d’infraestructures, transició de productes a serveis, interoperabilitat, seguretat, presència a les xarxes socials, gestió del funcionament de les ciutats i de les necessitats dels habitants.

Per tant, smart cities, si, i transparència i opendata, però és cada vegada més imperatiu un canvi de les formes de treballar: no ens podem saltar els marcs legals, garants d’una correcta actuació, però no caldria potser actualitzar-los d’acord amb les noves possibilitats? I no caldria ja, sobretot, no només modernitzar les eines sino també modernitzar els processos i els funcionaments interns, flexibilitzar les estructures i les tasques de cada un, donar més llibertat i responsabilitat als diferents actors?

En l’àmbit de les TI, ho esmenta adalt: col·laboració pública i privada i interoperabilitat, i també la compartició d’infrastructures (les administracions com a plataforma?) o, fins i tot, la compartició de coneixement i d’eines: seria viable, un repositori comú, à la github, per desenvolupar eines comuns i fer les particularitzacions necessàries? Com aconseguir usar a nivell intra i interadminstratiu eines col·laboratives per compartir coneixements i experiències? Podem aplicar uns esquemes de treball col·laboratius similars als del món del sofware lliure, crear comunitats que tirin del carro?

Penso que cal establir relacions de confiança fermes en l’àmbit intern, que només poden provenir de treballar amb qualitat i ser efectius en les tasques pròpies: això és el que realment pot donar seguretat als altres i permetre formar equips de treballs basats en la col·laboració, base per una compartició posterior a més gran nivell.

Cal la transició d’una jerarquia departamental, d’uns grups establerts per criteris administratius a uns equips de treballs establerts per habilitats (meritocràcia) i amb objectius definits.

Les administracions com a plataforma

Usar els serveis propis del govern com una plataforma que pugui ser usada per tercers és una molt bona idea. En Dave Briggs explica i expandeix una idea inicial del Servei Digital del Govern Britànic en aquest sentit.

Blocs de construcció

Si utilitzem les diferents peces que componen els diferents sistemes com elements intercanviables que poden ser usats en diversos llocs, en comptes de repetir funcionalitats en sistemes verticals, estalviem despeses, reduim temps i facilitem el manteniment. I si a això hi afegim la possibilitat de reutilitzar aquestes mateixes peces en sistemes foranis al nostre, però amb les mateixes o similars necessitats, ja no només som nosaltres qui estalviem, l’estalvi és ara compartit també per la resta d’usuaris.

Com el mateix Dave diu, és una aproximació a una arquitectura orientada a serveis.

Fins aqui, sobre el paper, i sobre una única administració que doni servei a d’altres (siguin empreses, particulars o altres administracions) tot clar.

Però com apliquem aquesta reutilització a una estructura de govern de diversos nivells? Pensem en Catalunya, i apliquem els dos nivells de govern més propers: local i autonòmic.

Com fem que aquests dos nivells comparteixin aquestes peces? Segur que tenen elements comuns entre els diferents nivells, i està clar que tots els ajuntaments tenen les mateixes obligacions i necessitats, per tant sembla fàcil, en teoria, començar a pensar aquests blocs.

Però després resulta que cada casa aplica la seva recepta: les seves ordenances, les seves característiques i estructures de dades, i cadascú té unes regles de negoci similars però no iguals.

Això implica que el sistema a construir ha de ser enormement flexible, parametritzable i modular, per no parlar de les diferents tecnologies i llenguatjes que cadascú té a casa seva.

Així, com ho fem? Dissenyem un sistema tipus SaaS, parametritzable, però centralitzat i coordinat per algú? Es generen unes forges comunes a tothom, amb exemples en diferents llenguatjes i uns repositoris públics que es vagin actualitzant? I els grups de treball? Horitzontals, o liderats per algú? Podem usar un model de coneixement i programació similar al de l’Open Source, crear comunitats i establir ponts, distribuir coneixement i aprofitar esforços?

Els reptes tècnics i de coordinació son enormes, pero la idea és molt interessant i és la direcció en la que cal treballar per aprofitar millor recursos i coneixements.

42 veus sobre el govern obert

Interesentíssim el llibre presentat ahir per la XIP per entendre què és el govern obert: una explicació a l’abast de tothom de què és, complementades per 42 explicacions excel·lents sobre idees concretes.

42 veus sobrel govern obert, de la XIP

D’obligada lectura no només pels que estiguin interessats en la millora de l’Administració Pública, si no per tots aquells que estiguin interessats en la millora de la nostra societat.

I, sobretot, d’obligada reflexió posterior: unes idees que hauríem d’anar veient reflectides, d’una manera o altra, en el quefer de les nostres administracions.