26 septiembre 2012

Evidencias digitales con eGarante (ejemplo práctico)

Para los lectores mas asiduos del blog, seguro que les suena 'Mail Sellado' y 'Web Sellada' proyectos que lanzamos aquí desde hace tiempo y que, gracias al notable éxito que estaban teniendo, me ha motivado a crear un servicio mucho más profesional basado en ellos.

Podéis ver el nuevo servicio en: www.egarante.com

A modo de resumen diré que Mail Sellado y Web Sellada son dos servicios que permiten emplear un tercero de confianza que haga de 'notario', y certifique que un dato (sea un correo electrónico o una página web) está de una determinada forma en un determinado momento. Se certifica el contenido y el momento en el que se ha tenido constancia de ese dato

En el caso de Mail Sellado se certifica el correo electrónico (emisor, receptor, contenido y adjuntos) y la hora en la que se ha enviado dicho correo.

En el caso de Web Sellada, el contenido de una página web en un determinado momento

Los cambios en eGarante con respecto a los anteriores servicios son bastante sustanciales, de entrada, desaparece el firmado mediante clave GPG y cambia a un certificado digital X.509. Ese cambio ha permitido a su vez abandonar el sistema de múltiples ficheros (mail original, firma GPG, sello de tiempo) e integrarlo todo en un único fichero PDF que contiene la firma digital, el sello de tiempo y el contenido del correo.

Ahora, tanto Mail Sellado como Web Sellada entregan un único fichero PDF fácilmente verificable desde Acrobat Reader.

Otro cambio destacable -en Mail Sellado- es que, si bien antaño enviar los correos con copia a mailsellado en copia oculta (bcc) o copia normal (cc) daba igual, ambos generaban una evidencia digital que se enviaba SOLO al emisor. Ahora, si se emplea CC, la evidencia digital llegará a emisor y receptor.

Esto, que parece baladí, abre la puerta a nuevas posibilidades como por ejemplo el envío confirmado de datos con validez legal.

Vamos a ver un ejemplo sencillo de envío confirmado de datos. De entrada, hay que decir que este tipo de servicios siempre requieren cooperación por parte del destinatario.

Nadie que diga 'confirmación de lectura garantizada con solo enviar el correo' dice la verdad.

Antaño (felices años 90 ...) sí que había formas mas o menos ingeniosas de hacer confirmación de lectura 'ninja' sin intervención del receptor, en general se basaban en inyectar un fichero jpg invisible en un mail con formato HTML.

Entonces, cuando el receptor abría el mail, se cargaba ese fichero externo y era prueba irrefutable de que ese mail se había leído.

Hoy día, ningún (o casi ningún) lector de correo (web o cliente de escritorio) carga elementos externos, así que adiós a la confirmación de lectura 'ninja'.

Métodos para conseguir obtener la confirmación de lectura hay muchos, en el caso de eGarante he optado por uno muy sencillo de emplear que permite usarlo desde la aplicación de correo.

Lo vamos a ver con un ejemplo: Andrés pretende enviar un contrato de alquiler a Tomás y desea que tanto de ese contrato, como de la aceptación de Tomás, quede constancia fehaciente.

Lo primero que hace Andrés es enviar el contrato a Tomás poniendo como Cc a mailsigned@egarante.com

Click para agrandar la imagen


Cuando Tomás abra su correo electrónico, encontrará dos correos, por un lado el correo de Andrés y por otro, un correo de Mail Sellado que ha sido enviado a Andrés (emisor), pero también a Tomás (receptor) y que contiene la evidencia digital del primer correo

Click para agrandar la imagen

Tomás al responder el correo de Andrés pulsa 'Responder a todos':

Click para agrandar la imagen

Y escribe su correo.

Al haber pulsado en 'Responder a todos' también está añadiendo a mailsigned@egarante.com

Click para agrandar la imagen

De esa forma, genera otra evidencia digital que será enviada tanto a Tomás (Emisor) como a Andrés (receptor) del correo que ha escrito

Click para agrandar la imagen

Resumiendo de forma esquemática:

  1. Andrés envía correo a Tomás poniendo en CC a mailsigned@egarante.com
  2. Se genera una evidencia digital de ese correo que es enviada a Andrés (emisor) y Tomás (receptor). Ambos tienen la prueba de que ese correo se envió con ese contenido
  3. Tomás responde ese correo con 'Responder a todos' y por ende añadiendo en su respuesta a mailsigned@egarante.com
  4. Se genera una evidencia digital de ese segundo correo que es enviada a Tomás (Emisor) y Andrés (receptor)
De esa forma, toda la conversación por correo electrónico ha quedado 'sellada' y ambos participantes disponen de evidencias digitales de lo que se ha hablado. 

A partir de ahora, la típica frase: 'Vale, pero esto me lo pones por e-mail' debería cambiar a 'Vale, pero esto me lo pones por e-mail y añade en copia a mailsigned@egarante.com

22 comments :

masticover dijo...

Hola Yago,
Si no he entendido mal, no hay evidencia de que la otra persona lee el correo hasta que responde al mismo ¿no? Es decir, que si el emisor envía un correo y el destinatario lo lee pero, por cualquier motivo, no quiere responder... En este caso no habrían evidencias de la lectura del mismo, sólo de que se envió.
Gracias. Un saludo.

Miroslav dijo...

El servicio está muy bien pero falla que sea necesario registrar el certificado en el lector de PDF. Es un paso más que reduce demasiado su usabilidad.


Creo que se podría utilizar una entidad certificadora aceptada para evitar ese paso y popularizar el servicio.

spawn dijo...

Eso mismo estaba pensando yo, al leer la noticia.

Yago Jesus dijo...

Efectivamente, si el receptor del mensaje no responde a ese correo, no quedará evidencia de que lo haya leído, pero OJO, tu siempre tendrás la evidencia de que ese correo fue enviado en esa fecha.

Yago Jesus dijo...

Hombre, piensa que para usar el servicio no tienes porque realizar todo ese proceso, está bien que lo hagas (y solo hay que hacerlo UNA vez y ya queda configurado Adobe Reader) pero no es una obligación para poder usarlo, solo cuando necesites probar la evidencia entonces tienes que configurar Reader

Juanma Merino dijo...

Me parece una idea fantástica pero entiendo que no se podría certificar que una evidencia no ha sido alterada antes de enviarla para firmar (un .cap anexado al correo por ejemplo). Es el problema de siempre, que un contraperitaje consigue facilmente que se desestime una evidencia (según el juez). Para el ejemplo que pones (comunicar una baja con antelación) está muy bien pensado pero también es posible que me firmes un e-mail que yo sé con certeza que no ha llegado a su destinatario. Por ejemplo configurando su dominio en mi DNS como autoritativo y apuntando el MX a cualquier sitio.

Javier Cao dijo...

Buenas,
Con todos los respetos porque la idea me parece buena, para poder hablar con propiedad de ciertos conceptos que se manejan en este servicio, deberíais leer detenidamente la Ley 59/2003 de Firma electrónica. Por suerte, nuestra regulación establece quien puede y quién no hacer ciertas cosas en materia de firma electrónica. Tanto es así que no cualquiera, atendiendo a la Ley puede generar un certificado raiz y si lo hace, debe cumplir con los requisitos establecidos por el Art. 18 de la citada ley. De forma extendida publiqué cual es la problemática de generar certificados autofirmados en el post http://seguridad-de-la-informacion.blogspot.com.es/2009/07/prestadores-de-servicios-de.html
Aunque vuestra intención es loable, los aspectos jurídicos quedan muy tocados porque lo primero que se pondrá en duda es vuestro certificado raiz que no consta dentro de los registrados por el Ministerio de Industria en https://sedeaplicaciones2.minetur.gob.es/prestadores/

Yago Jesus dijo...

Respecto a lo primero que dices de un capítulo anexado, te confirmo que la evidencia también contiene los archivos adjuntos así que todo eso queda también certificado. Por lo que aunque haya 'contra-peritaje' en realidad la evidencia sigue siendo MUY solida. Evidentemente cada Juez es un mundo y en materia de justicia no hay nada al 100%

Respecto a eso que dices de las manipulaciones, te respondo dos cosas, la primera que si tu estás empleando tu propio servidor SMTP (que entiendo es el escenario que tu describes), en la evidencia digital saldrá también ese dato y estarás auto-debilitando la evidencia.

No obstante, hay un matiz, eso que dices solo tiene sentido si estás empleando la copia oculta (Bcc) en la que solo te llega a ti la evidencia.

Solución a eso: usa CC para que se generen DOS evidencias, emisor / receptor y de esa forma no hay trampa posible :)

Yago Jesus dijo...

Hola Javier,

Gracias por tu comentario, una reflexión muy sesuda pero de todo punto incorrecta. Como persona que ha participado en el despliegue de PKIs tan relevantes como el DNI-E creo que te confundes de medio a medio.

De entrada eGarante NO es un prestador, mayormente porque NO emito certificados a particulares ni presto servicios como los de autoridad de sellado de tiempo. Así que de entrada tu planteamiento no es válido ya que la ley de firma digital no me afecta.

Es más, en lo lo que si estoy en trámites es en conseguir un certificado reconocido por Adobe (para evitar tener que importar el de mi CA) que por cierto solo expiden unas pocas CAs casi todas Americanas.

El hecho de que yo me auto-identifique no tiene una implicación legal negativa en el servicio, llegado el caso, si existiese un contencioso judicial entre dos partes que hayan usado eGarante, se citaría a un representante de eGarante en el transcurso del Juicio para que diese FE de que esa firma pertenece al servicio. De hecho ese servicio forma parte del 'paquete de ventajas' de eGarante PRO. La defensa pericial.

Las únicas leyes que si afectan directamente a eGarante (en España) son las del código civil relacionadas con contratos privados .

Puedes consultarlas aquí http://noticias.juridicas.com/base_datos/Privado/cc.l4t2.html

En el caso de un contrato privado celebrado mediante correo electrónico, eGarante actuaría COMO TESTIGO, y como puedes ver por ti mismo, el código civil no establece ninguna restricción relacionada con la ley de firma digital.

Un saludo !

Javier Cao dijo...

Mis comentarios al respecto de ser un prestador de servicios de certificación se basan en haber examinado un certificado que está descargable en
http://www.egarante.com/verificar.html, el eGarante-cacert.cer que es un certificado digital generado por vosotros mismos como indica su campo emisor.
E = contact@egarante.com
CN = eGarante CA
S = Madrid
C = ES


Yo (que interpreto como técnico) el Art. 2 de la Ley 59/2003 en su punto segundo "Se denomina prestador de servicios de certificación la persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica" entiendo que quién genera su propio certificado de alguna forma lo ha expedido aunque sea sólo el CA raiz. Y en ese supuesto, al menos sería lógico cumplir las garantías de todo prestador no reconocido que por otro lado son también muy básicas.


En cualquier caso coincido contigo en que vuestro servicio a priori aportará evidencias de forma sencilla e intuitiva y que luego habrá que valorar su fortaleza. De todas formas, lo que comentas de usar un certificado reconocido por Adobe haría más limpia la solución final. Personalmente no me gusta ver que se solicita confiar explicitamente en certificados raíz autofirmados porque considero que acostumbrar a la gente a hacer estas cosas... logra hacer más fácil luego a "los malos" el lograr sus fechorías porque la gente está acostumbrada a un mal hábito. La esencia de la confianza de toda PKI es no dudar de su certificado raiz y entiendo que eso es lo que pretende regular la Ley 59/2003.... aunque tenemos un prestiogioso Instituto de las Telecomunicaciones que lo hace.

Yago Jesus dijo...

Yo, sigo discrepando contigo, yo no estoy prestando ningún servicio de certificación a nadie, me estoy auto-identificando con MI(s) propio(s) certificado(s). Sin más. No expido ni realizo ningún servicio.

De hecho el sello de tiempo lo emite la ACCV, que es una entidad si reconocida, y entiendo que esa parte si es 'prestación de servicios'.

Respecto a que te parece mal brindar a la gente la posibilidad de que añadan mi certificado, creo que mal haces si te posicionas del lado de las entidades de certificación (en general) y a su negocio. De esto ya he hablado en el blog bastante (certificados expedidos a dominios 'typo squatting' etc etc)

Adobe tiene el acuerdo con http://www.adobe.com/security/partners_cds.html la mayoría ofrecen tokens USB con un limite de firmas, y otras 'salvedades' orientadas a hacer negocio.

De hecho tu planteamiento debería ser el contrario, yo no estoy fomentando que la gente acepte cosas cuyo certificado no se puede validar, lo que estoy haciendo es que la gente siga un proceso manual para añadir una nueva CA y puedan validar los documentos, que es justo lo opuesto a 'ignora los mensajes de error'.

En lo que si me gustaría que me dieses la razón es en lo que te he puesto sobre la ley de firma digital que NO excluye legalmente certificados como el mio. Esto es importante porque en tu primer comentario (y en tu post) así lo indicabas y como puedes ver, no es así.

Un saludo

Javier Cao dijo...

Buenas de nuevo. Efectivamente SI TE DOY LA RAZON en que la Ley 59/2003 no excluye certificados como el tuyo. Quizás no me expresé bien en la frase "los aspectos jurídicos quedan muy tocados porque lo primero que se pondrá en duda es vuestro certificado raiz que no consta dentro de los registrados por el Ministerio de Industria". Efectivamente entiendo que vuestro papel es el de "testigo" y que las evidencias aportadas tendrán que ser analizadas y valoradas por las partes. Vosotros efectivamente actuáis como la figura de "Tercero de confianza" que establece la Ley 34/2002 de Servicios de la Sociedad de la Información y de comercio electrónico. Si las partes se ponen de acuerdo previamente, además de aplicar el Art. 3.9, se puede aplicar también el 3.10 que explícitamente dice que "
cuando una firma electrónica se utilice conforme a las condiciones acordadas por las partes para relacionarse entre sí, se tendrá en cuenta lo estipulado entre ellas."
haciendo referencia a no usar firma electrónica reconocida. Es decir, que si con carácter previo las partes pactan usar vuestro servicio, lo que reflejen las evidencias digitales irá a misa. Así que en este sentido, validez legal la hay. Otra cosa es cuando no haya acuerdo y entonces se necesiten informes periciales para valorar la fortaleza probatoria de las evidencias que es lo que se apuntaban también en algunos de los comentarios. Si además vosotros suministráis el servicio de apoyo pericial, seguro que al juez le podéis aclarar cual es vuestro papel y podéis demostrar que estando en medio, no se han producido alteraciones de contenido. De todas formas, yo creo (y es una opinión personal ya) que si "dáis fe" de la integridad de un contenido como explica esta frase en la descripción del servicio egarante "De esa forma garantizamos el contenido del correo electrónico (con nuestra firma digital) y el momento exacto en el que se envió (con el sello de tiempo)"
usando vuestro certificado digital y eso se presta como servicio, si os aplica la definición del Art. 2 de la Ley 59/2003 correspondiente a prestadores de servicios de certificación porque sois y así lo pone la web "un tercero de confianza". La ACCV acredita que las cosas se producen en un determinado tiempo pero vosotros acreditáis el contenido del correo ya que sois los que creáis el PDF que se envía a firmar en tiempo. Por tanto, sois los que tenéis la responsabilidad de garantizar integridad y autenticidad de contenido.

Yago Jesus dijo...

Hombre Javier, es que decir que 'las intenciones son loables pero jurídicamente está tocado' es una acusación / valoración MUY grave, y como ya hemos comentado, totalmente inexacta.

Respecto a lo de 'tercero de confianza', intenta mirarlo mas allá de la Ley, nosotros no decimos que seamos un tercero de confianza acorde a la ley xxx, solo que soy un tercero de confianza, no se si queda claro el matiz

De hecho, intenta ver el servicio de una forma mas global, saliendo de España y viéndolo como un servicio cuyo ámbito aspira a ser internacional

La intención del servicio es ser un testigo independiente entre dos o varias partes a la hora de intercambiar información.

Eso, tal y como está implementado el servicio se cumple al 100%, cualquiera puede solicitar nuestros servicios periciales para dar FE sobre una prueba que hayamos emitido y en eso se fundamenta el servicio y el ser tu tercero de confianza.

Adrian Pulido dijo...

Muchísimas felicidades por la herramienta. Es un gran sistema :). Mucha suerte, con el proyecto destinado a un ámbito más profesional.

Yago Jesus dijo...

¡¡¡ Muchas gracias !!!

javier cao dijo...

No suelo hacer afirmaciones gratuitas pero también se consultar cuando las argumentaciones me generan dudas. Te animo que te pases por el foro de evidencias electrónicas donde he consultado las dudas que estábamos debatiendo y personas del sector de gran relevancia no te dan la razón. El servicio está jurídicamente tocado. Puedes consultarlo como debate del foro en http://www.linkedin.com/groupItem?view=&gid=1780982&type=member&item=169729303&qid=6c6194cd-ab63-4e8a-8e6c-8894b8fa42ca&trk=group_most_popular-0-b-ttl&goback=%2Egmp_1780982

Yago Jesus dijo...

Vamos a ver Javier, pongamos eso en su justo contexto: De entrada, sí has hecho afirmaciones gratuitas citando una Ley de la que desconocías varios de sus apartados.

Segundo, lanzas una pregunta dirigida en ese foro, donde contestan 3-4 personas que, hay que decirlo: NINGUNA ES JUEZ, por lo que todo lo que sea hablar de 'juridicamente tocado' es como si ahora yo me pongo a hablar de medicina en base a que me he leído un tratado sobre el tema. Me sorprende que a ratos intentes disfrazar tus comentarios con 'respaldo legal' y ahora presentes 'esta evidencia' de un foro como un dogma

Donde tu defines "personas de relevancia" yo veo personas que o bien tienen un servicio parecido (y así lo dicen en los comentarios) o tienen afinidad con personas que lo tienen.

Además en varios de esos comentarios se me da la razón respecto a que eGarante no es un prestador de servicios de servicios de certificación (como yo ya te había indicado, pero claro esa parte la obvias)

En definitiva, me encanta que exista un debate al respecto y que te lo hayas tomado tan a pecho, pero intenta conservar la frialdad y ver las cosas en su contexto, no busques desesperadamente que cualquiera te de la razón.

javier cao dijo...

Yo también soy partidario de comentar las cosas y debatir sobre ellas. Además no me lo tomo a pecho, una vez que discuto sobre un tema me gusta llegar a una conclusión y aprender de los que saben. Y cuando no lo tengo claro no tengo inconveniente en preguntar a quien considero que sabe o en los foros donde pueden estar los expertos. Si no fuera así no me expondría preguntando en estos foros. Sinceramente para nada soy de los que quieren tener razón pero considero a Nacho Alamillo como uno de los mayores expertos en materia de Firma electrónica de este país. Y efectivamente me he dejado llevar porque para mi lo que el diga él tiene mucho valor. En cualquier caso, estas cosas efectivamente se decidirán ante un señor juez que lo mismo no tiene ni siquiera en consideración nuestras valoraciones refinadas sobre el texto. Lo de "jurídicamente tocado" estaba dentro de un contexto referido al valor probatorio que también ha sido comentado en el foro. Extrae tu de ahí tus propias conclusiones. Ya con esto cierro mi participación en este hilo.

Yago Jesus dijo...

No, Javier, No, que ya somos mayorcitos y hace tiempo que sabemos que los Reyes Magos son los padres.

Lo que has hecho en ese foro (por cierto, privado, no se puede leer desde fuera sin cuenta linkedin) ha sido plantear una pregunta DIRIGIDA en base a TUS conclusiones, para acto seguido introducir eGarante.

Has obviado este post, que habría servido como contexto de lo que estábamos hablando y tampoco has tenido la delicadeza de invitarme a ese debate hasta que has encontrado lo que tu has considerado 'óptimo' para, entonces si, venir a plantearlo.

En definitiva, me reafirmo en lo dicho, aun espero que alguien rebata lo que he expuesto aquí sin recurrir a 'es que el servicio de mi amiguete es mejor porque ...'

Carlos Melero dijo...

He requerido del servicio para hacer una "captura" de una fotografía de Facebook incluyendo los comentarios pero el filtro de URLs no permite enviarlo. Incluso siendo la fotografía pública.


Echo en falta un email de contacto para este tipo de cuestiones.


Muchas gracias por el servicio.

Eloy dijo...

Hola.


Me parece un gran servicio. Sin embargo, hoy por primera vez parece no funcionar. Es decir, no están llegando las confirmaciones por mail.


Saludos

Yago Jesus dijo...

Gracias por el aviso, ya está up again !