Paloma Llaneza

"Con lo gruñona que eres, molaría hacerte una serie". Rosa J.C.

Correo electrónico certificado

con 16 comentarios

A pesar de una reciente presentación en la que se mantiene que el correo electrónico tiene valor de prueba en juicio, lo cierto es que es una prueba muy endeble. Cualquiera con coste cero puede “fabricar” un correo electrónico sin que haya un riesgo alto de ser descubierto en el apaño. Este problema es similar en otras pruebas en formato electrónico.

Por este motivo y a la vista de que el correo electrónico se está imponiendo como medio de comunicación entre las empresas y de éstas con la administración, el Comité Técnico sobre Firma Electrónica de ETSI (European Telecommunications Standards Institute) ha formado un grupo de estudio (el STF 318 del que formo parte) con la finalidad de estudiar cuáles habrían de ser los requerimientos del correo electrónico certificado y determinar si es necesario normalizarlo y en qué sentido.

En algunos países europeos (Italia, Bélgica y Alemania) ya se ha comenzado la implantación y/o regulación de estos servicios lo que podría generar un problema de interoperabilidad que la normalización en esta materia pretende evitar. Por este motivo, se ha llegado a la conclusión de que es necesario estudiar las posibilidades de normalizar los servicios de seguridad que proporcionen la autenticación del remitente y la prueba de recepción de un correo electrónico que sean equivalentes a los ya existentes para el correo certificado con acuse de recibo que proporciona el correo postal.

Como un primer paso de este proceso estamos recogiendo información a través de un cuestionario del que esperamos extraer una visión lo más cercana posible a la del mercado real en cada estado de la UE.

Cualquier aportación será muy agradecida.

Escrito por Paloma LLaneza

24 de Enero de 2007 a las 9:00

Archivado en Mundo digital, Seguridad SI

« Escrituras enfermas
Deducciones por mecenazgo »

16 comentarios a 'Correo electrónico certificado'

Suscribase a los comentarios mediante RSS o TrackBack a 'Correo electrónico certificado'.

  1. ¿No debería de bastar con que estuviera firmado de acuerdo a lo regulado por la ley 59/2003 de firma electrónica?

    josemaria

    24 Jan 07 a las 10:04

  2. Josemaria, ya sabes que en la ley se dicen muchas cosas y que se definen diversos tipos de firmas electrónicas. Además la firma electrónica te proporciona, teóricamente (pues cabe prueba en contrario), autenticación y no repudio en origen, pero no prueba de recepción y no repudio en destino que es lo que se busca.

    Paloma LLaneza

    25 Jan 07 a las 10:03

  3. Si, claro. Me refería sólo a la autenticación y no repudio en origen. Desgraciadamente la parte de prueba de recepción y no repudio en destino se me antoja tan, tan difícil (si no imposible) que creo que lo teneis bien difícil para llegar a una solución válida. Mucha suerte en cualquier caso y ya nos contarás.

    josemaria

    25 Jan 07 a las 12:49

  4. TTP+Clave_Privada+TSA+Mensajes Sonda.

    De la -operación de entrega- entre el MTA y el UA es factible obtener una evidencia de valor probatorio. Pero aún queda verificar que se abrió el correo y que fue el destinatario concreto el que lo abrió. Todo un desafío.

    Lo de la versatilidad de Paloma me tiene atónito, pasa de un tour de prisones a un sesudo grupo de individuos que promueven estándares internacionales.

    Para esos cambios de contexto intuyo que nada mejor que el pescado crudo … aderezado con la ISO/IEC 7498-2, la ISO/IEC 10181-4 y la ISO/IEC 13888-1, que dará lugar a un shusISO al estilo ‘llaneza’ que el comensal(destinatario) no podrá rechazar (repudiar).

    Saludos

    PD: Espero que nos mantengas informados sobre este tema en la medida de lo posible.

    Carlos *

    25 Jan 07 a las 13:52

  5. Carlos, el anisakis que si no te mata te pone como un toro versátil :)
    El gran problema del valor legal de las acciones/documentos electrónicos es el gap entre la identidad digital y la identidad real. Con muchas medidas de seguridad y buena voluntad puedo intentar demostrar que un usuario ha hecho algo, pero muchas veces el problema es imputárselo a una persona física. Donde acaba la técnica empiezan las presunciones legales, que no son palabra de Dios ya que permiten prueba en contrario que las desvirtúen. Iré contando lo que se vaya pudiendo.

    Paloma LLaneza

    26 Jan 07 a las 9:38

  6. Excelente iniciativa. Como bien sabes el e-correo es casi vetusto y por muchas vueltas que le demos ‘no garantiza’ nada de nada.

    Existen mecanismos mas o menos estandarizados (S/MIME, PGP, etc.) que permiten añadir algun que otro servicio de seguridad al correo, pero, siempre bajo al optica de la solucion tecnologia y no como un servicio a la sociedad; esta que llamamos ’sociedad de la información’

    Julio

    29 Jan 07 a las 15:58

  7. Julio, en mi opinión la técnica necesita de la ley para rellenar los huecos que deja, que no son pocos…

    Paloma LLaneza

    31 Jan 07 a las 12:34

  8. Paloma,

    A ver qué te parece esto aunque seguro que ya lo conoces:

    https://www.certimail.es/

    No lo he probado ni tengo relación con ellos, pero me parece una buena aproximación aunque aplicable sólo a los correos de enjundia porque si no nos va a salir un congo el dichoso correo.

    Le veo el problema de que carece de procesos de identificación, registro y autenticación presenciales (¿lo resolverán integrándose con el dni electrónico?) a lo que se suman los posibles “spoofing” de correo electrónico ¿junto con cracqueo de contraseñas? (imagino que la confirmación de envío se hace con usuario+contraseña) o el robo de identidad (envío desde portal Certimail suplantando identidad). Y que además para la confirmación de recepción sería necesario que el destinatario responsa a través de Certimail.

    Salu2

    deincognito

    22 Feb 07 a las 10:14

  9. El gap es de índole técnico. Existe una ley de firma digital (aplicable también al e-correo) y existe una tecnología de e-correo base pero que no ofrece muchas garantías para ser usado como medio de comunicación feasible (certificado, por ejemplo).
    Las ISOs, que indica Carlos, y otras yerbas son suficientes para dar una solución de e-correo feasible (con garantías de entrega, acuse de recibo, notificaciones de entrega pero no de lectura, etc…).
    Obviamente, algún ‘ingrediente’ más que permita garantizar la perfecta digestión del Cebiche evitando el anisakis o atragantarse con pe-ka-ies, pe-ge-pes, etc.. existentes desde hace muchos añosssss…
    Recordar que el e-correo es la herramienta más usada en el mundo mundial… con lo cual debéis cuidar que mi abuela también pueda usarlo ;)

    Bon profit!

    -roger

    Roger

    26 Feb 07 a las 15:20

  10. [...] un entorno en donde las comunicaciones electrónicas no tienen acuse de recepción, ya me dirán cómo les van a dar fehaciencia. Y sin ella, como van a ser válidos los bloqueos [...]

    palomallaneza.com - » LISI no es nombre de mujer

    24 Apr 07 a las 9:11

  11. Me gustaría saber, de alguno de ustedes expertos, qué tan útil es finalmente un servicio como Certimail si es, por lo que entiendo de vuetra discusión, imposible asegurar que el usario y la persona física son la misma…

    Guro

    3 May 07 a las 3:40

  12. ¿Qué valor probatorio tiene la confirmación de lectura de un e-mail?
    ¿Puede remitirse una confirmación de lectura firmada digitalmente?

    abogado

    13 Jun 07 a las 17:12

  13. envié un links a todos lso trabajadores de mi empresa, cómo puedo hacer para que exista la seguridad de que estos lo han recibido?

    gildaro

    8 Oct 07 a las 18:06

  14. Pues, … a veces pienso que le pedimos al mundo digital muchísimo mas que al mundo real. Si elreceptor de un correo electrónico firma con su certificado un acuse de recibo (el típico enlace que cuando pinchas te pilla la firma y entonces te entrega el correo)yo creo que es una prueba bastante solida; ahora, si le pedimos al sistema que nos garantice que el destinatario ha leído el correo … pues apaga que nos vamos. Igual, después, hemos de pedir que el destinatario haya entendido su contenido … a una carta con acuse de recibo, o al burofax con todos sus peregiles (AR, CT…), no le pedimos tanto.

    veo bastante coge saber si efctivamente un destinatario ha leido o no un correo electronico

    Alberto

    13 Oct 07 a las 20:55

  15. [...] que os comenté que ETSI estaba valorando la posibilidad de normalizar la arquitectura y servicios de evidencia del [...]

    palomallaneza.com - » Normalizando el correo electrónico certificado

    28 Oct 07 a las 17:30

  16. ya existe un sistema seguro de envios electronicos con valor probatorio ante terceros. Se garantiza
    - la autenticacion del emisario y del destinatario
    - archivo automatico en una caja fuerte electronica encriptada
    - y mucho mas barato que un envio con aviso de recibo enviados por servicios postales.

    Patricia

    14 Nov 09 a las 18:49

Deja un comentario

Additional comments powered by BackType