PKI Publica [Copia Correo Saliente !!]

Jens Hardings jhp en csol.org
Lun Nov 29 15:02:01 CLST 2004


Jens Hardings wrote:

>> A mi me parece natural que el SRCeI sea LA entidad certificadora en 
>> Chile, no creen lo mismo? A quien habría que presionar para esto sea 
>> una realidad? Al SRCeI, al gobierno, al congreso? 
>
>
>
> Voy a averiguar más de lo que puse arriba...


A continuación va lo que me comenta Roberto Opazo, Gerente General de 
Acepta.com (empresa que ya se nombró en este mismo thread si recuerdan) 
y profesor del curso "Seguridad de Datos y Firmas Digitales" en la 
Universidad de Chile. Él me pidió que lo enviara a la lista en su 
nombre. Se refiere a un mail específico que le envié y contenía varias 
citas, así que lo que él comenta es sobre una mezcla de declaraciones.

Como antecedente, también hay que tener en cuenta la parte de la 
constitución (Artículo 19 número 21) que dice:

" ... El Estado y sus organismos podrán desarrollar actividades empresariales o participar en ellas sólo si una ley de quórum calificado los autoriza. En tal caso, esas actividades estarán sometidas a la legislación común aplicable a los particulares, sin perjuicio de las excepciones que por motivos justificados establezca la ley, la que deberá ser, asimismo, de quórum calificado; ... "

Y ojo que distribuir software bajo cualquier licencia también puede calificarse como "actividad empresarial" y eso tiene fuertes consecuencias, pero ese es tema para otro thread. En fin, aquí lo que comentaba Roberto:

---------------------------------------------------------------------------

Veo varios temas en el e-mail adjunto.

* El registro civil como Autoridad Certificadora
Eso sí se discutió y se descartó. Los argumentos fueron 2: las competencias
del Registro Civil como verificador de identidad son una parte ínfima del
trabajo que debe hacer una AC y la tendencia mundial es que el trabajo de
las AC sea hecho en libre competencia por empresas privadas. De esta forma,
los ciudadanos pueden elegir la combinación precio/calidad que más les guste
y no se forman monopolios estatales que obligan a todo el mundo a pagar por
la misma combinación precio/calidad.

Sin embargo, dado que el registro civil es el órgano verificador de
identidad más confiable y más importante en Chile, la Ley 19.799, en el
artículo 12, letra "e", autorizó explícitamente al Registro Civil a brindar
servicios de verificación de identidad asociado con Prestadores de Servicios
de Certificación privados.

Aprovechando esto, Acepta.com se interconectó al Registro Civil y a partir
del 1 de diciembre estaremos operando en todas las regiones del país en las
sucursales del registro civil.

* PGP v/s PKI
Esto es un error conceptual, PGP también es PKI. También hay otros errores
conceptuales en el e-mail adjunto, como hablar de firmar llaves privadas.

* PGP v/s X.509
Esta discusión vale la pena, pero no se ha dado. En la discusión de
estándares de la Ley de firma electrónica sólo se mencionó X.509. La razón
es que no existe ningún operador nacional brindando servicios de
verificación de identidad que conduzcan a la emisión de un certificado PGP.

Sin embargo, aquí también hay un error conceptual, se dice que PGP es gratis
mientras que X.509 es pagado. La verdad es que existen muchas soluciones y
servicios X.509 gratuitos y también hay varios servicios PGP pagados. Por lo
tanto el punto no es ese.

Mi opinión es que el modelo PGP está pensado para comunidades chicas en las
que los usuarios son capaces de intercambiar sus claves públicas en forma
directa. Por otro lado, la generación de medios de prueba que permitan que
un tercero verifique quien es el titular de una clave pública no son muy
relevantes. PGP también queda cojo en la administración de mecanismos de
revocación de certificados, esto es una consecuencia directa de haber
intercambiado las claves entre las entidades finales. Por lo tanto, no me
parece que PGP sea un modelo adecuado para escalarlo a nivel nacional, pero
eso no tiene nada que ver con que dirija una empresa que cobra por
certificados X.509, también podría cobrar por certificados PGP, ya que lo
que uno cobra no es la tecnología, sino la implementación de políticas y
prácticas de certificación, dentro de las cuales, la tecnología es sólo una
pieza más.

---------------------------------------------------------------------------



-- 
Jens.



Más información sobre la lista de distribución Linux