Barrapunto

Efectivamente, existen varias Autoridades Certificadoras en España que generan certificados digitales con validez legal, por ejemplo, la FMNT [cert.fnmt.es], que permite realizar la Declaración de Hacienda electrónicamente. Por otro lado, también son muchas las herramientas que ya permiten usar estos certificados para firmar (y cifrar, si uno quiere) los mensajes de correo electrónico. Las diferencias principales entre estos certificados y las claves PGP/GPG son:

1. En general los certificados sólo contienen la firma de un conjunto muy reducido de CAs (normalmente sólo una dentro de una jerarquía predefinida) y, en cambio cada persona que firma una clave pública con su clave PGP/GPG está actuando como una CA.
2. Los certificados pueden no ser gratis (ya no digamos montar una CA, que es carísimo) y difíciles de obtener (normalmente hay que realizar cierto papeleo antes de conseguir un certificado). En cambio, las claves y firmas PGP/GPG son totalmente gratuitas y mucho más fáciles de obtener o generar, lo que ha hecho que su uso esté mucho más extendido por todo el mundo.
3. Por el momento, sólo los certificados digitales generados por ciertas CA españolas tienen validez legal pero, como es muy difícil crear certificados con validez internacional, en este ámbito se usan las claves PGP/GPG porque ofrecen más garantías, flexibilidad y robusted cuanto mayor sea el número de firmas.
4. Los certificados digitales se validan dentro de una estructura en árbol (o bosque), a partir de los CAs raíz existentes. En cambio, la inexistencia de una jerarquía prestablecida en la validación de las claves PGP/GPG hace que sea uno mismo el que tiene que decidir en quién confía, según las firmas que contiene una clave. Además, esto permite la creación de anillos de confianza locales (como es el caso del que se pretende crear en Barcelona) que a su vez esten conectados con otros y formen un anillo de confianza mucho mayor (incluso a nivel internacional).

/alexm [alexm.org]