[uylug-varios] FIRMA ELECTRÓNICA,AVANZADA CON CUSTODIA CENTRALIZADA

[Carlos Martinez]

Es controversial, pero se hace. Yo tengo implementado un sistema que hace algo por el estilo.
Hay que balancear varias cosas ahi:
1. La capacidad del usuario de gestionar, conservar y proteger su clave privada. ¿Es mayor el riesgo de que la roben o de que la pierda?
2. Que cosas se pueden hacer o no con esas claves. Cual es el riesgo al que el usuario se expone en caso de exposición de las claves?
En el caso nuestro, si bien tendríamos una modalidad para ofrecer en la que el usuario podría gestionar su clave, en la práctica no la ha elegido nadie.

via Newton Mail [https://cloudmagic.com/k/d/mailapp?ct=pi&cv=9.8.307&pv=11.3&source=email_footer_2]
On Tue, Apr 24, 2018 at 11:11 AM, Enrique Verdes <emverdes at ieee.org> wrote:


El 23 de abril de 2018, 19:00, Carlos Martinez < carlosmarcelomartinez at gmail.com [carlosmarcelomartinez at gmail.com] > escribió:
No, no es obligatorio Nadie esta obligado a usarlo.
Por otro lado hay ciertos modelos transaccionales donde alguna forma de "escrow" (que yo al menos siempre lo he traducido como "custodia") es necesaria, y de hecho, habilita modelos de negocio potencialmente interesantes.
Lo que si es bizarro de todo esto es el aspecto comunicacional, "Mas seguros en Internet por decreto" es un titular que en el mejor de los casos es voluntarista y en el peor contiene errores coneptuales gigantes. Aca el palito es para el área de comunicaciones, no para quienes trabajaron en la implementación y reglamentación de esto, que en definitiva están haciendo algo que es necesario e importante.
A mi, sin saber nada y sin haber leído nada, lo que me hace un montón de ruido es lo de la custodia de la clave privada para actuar en mi nombre.
Slds.
El G at llego.

s2
Carlos



[https://mailtrack.io?utm_source=gmail&utm_medium=signature&utm_campaign=signaturevirality1&] Sent with Mailtrack [https://mailtrack.io?utm_source=gmail&utm_medium=signature&utm_campaign=signaturevirality1&]
2018-04-23 17:49 GMT-03:00 Eduardo Trápani < etrapani at vera.com.uy [etrapani at vera.com.uy] > :
On 23/04/18 11:36, Andres wrote:
en una palabra vamos a estar todos recontra regalados...

¿Todos? No veo que sea obligatorio.

Es el marco para los que quieran hacerlo. Si querés usarlo, entonces está legislado, sobre todo para los prestadores, que se tienen que registrar, someterse a auditorías, etc. y tienen penas si no cumplen o en caso de dolo. Para vos, por las revocaciones, por ejemplo. Si no te sirve o querés hacerlo, no vas tener más riesgo que el que tengas ya, no sufras.

Para los que se queja de algo basado solamente en la confianza: sí, es así, purita confianza. Y no es muy diferente a lo que hacemos cuando le damos a Amazon, Google Play, iTunes, Paypal ... el número de tarjeta y el verificador. Por ejemplo, para las aplicaciones de Apple, un par de toquecitos hace que Apple saque de nuestras tarjetas para dárselo en parte al servicio/aplicación. Están pagando por nosotros. Y nos "ahorramos" el andar con las credenciales encima y entrarlas cada vez. Les damos la confianza para manejar nuestras tarjetas.

Sacándole el ruido que generan tantas cosas técnicas juntas, yo entiendo es simplemente un poder. Y como tal, lo podés revocar y en este caso puede además ser revocado por otras razones (dándote una mayor protección *relativa*, porque como veíamos, en el fondo es un tema de confianza).

El artículo 3 ( http://www.impo.com.uy/bases/ decretos/70-2018/3 [http://www.impo.com.uy/bases/decretos/70-2018/3] ) es un buen arranque de la lectura.

Unos ejemplos de uso no vendrían mal. Pero como no hay, arriesgo uno, digamos que Google o Facebook son capaces de identificarte a vos de tal manera que vos le tenés confianza que no le van a errar, que tenés cómo resolver si te hackean a vos (no a ellos), etc. Entonces, voluntariamente, les das tu clave privada y la próxima vez que vayas a, digamos, pagar una factura o indicar que recibiste un paquete o cualquier cosa que harías en persona, lo hacés a través de ellos, iniciando la sesión y pidiendo que firmen por vos.

La reglamentación en Uruguay hace que ese prestador de servicio (algo como Facebook, Google, Whatsapp, Yandex, WeChat ...) tengan que tener una sede y tus datos acá. Y tienen que cumplir con otras condiciones ( http://www.impo.com.uy/bases/ decretos/70-2018/10 [http://www.impo.com.uy/bases/decretos/70-2018/10] ). Para verificarlo está la Unidad de Certificación Electrónica, que hará las auditorías. Se trata de rodear de todavía más confianza a ese "poder" que estamos dando.

Después, los organismos como por ejemplo la Intendencia de Tacuarembó, pueden decidir aceptar que esos prestadores, registrados nacionalmente y evaluados firmen por vos. Si antes dudaban, el marco legal les permite hacerlo con más tranquilidad. Tampoco están obligados (ni siquiera a recibir tarjetas te pueden obligar). En este marco es lo mismo que seas vos, que firmes digitalmente vos, o que firme digitalmente por vos alguien a quien le has depositado la confianza.

Gracias Christian por los enlaces. Se entiende bastante más leyéndolos. La verdad es que no sé si siempre fue tan complicado legislar. En estos temas te los regalo, aunque logres chupar rueda de Estonia o algún país así.
______________________________ _________________
Uylug-varios mailing list
Uylug-varios at listas.uylug.org. uy [Uylug-varios at listas.uylug.org.uy]
http://listas.uylug.org.uy/lis tinfo.cgi/uylug-varios-uylug.o rg.uy [http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy]



--
========================
Carlos M. Martinez-Cagnazzo
http://cagnazzo.me [http://cagnazzo.name]
========================
______________________________ _________________
Uylug-varios mailing list
Uylug-varios at listas.uylug.org. uy [Uylug-varios at listas.uylug.org.uy]
http://listas.uylug.org.uy/ listinfo.cgi/uylug-varios- uylug.org.uy [http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy]




--
Enrique M. Verdes [https://uy.linkedin.com/pub/enrique-verdes/1/794/ba8]

"Those who don't understand Unix are doomed to re-invent it -- poorly,"
Anonymous.
_______________________________________________ Uylug-varios mailing list Uylug-varios at listas.uylug.org.uy http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.uylug.org.uy/pipermail/uylug-varios-uylug.org.uy/attachments/20180424/917d0ef1/attachment-0004.html>