610 likes | 900 Views
LA ADMINISTRACIÓN ELECTRÓNICA Certificados Digitales y DNI Electrónico como herramientas para Administración Electrónica. José Manuel Rodríguez Rodríguez. Índice. Introducción. Concepto de Administración Electrónica. La Seguridad en la Red. La Firma Electrónica.
E N D
LA ADMINISTRACIÓN ELECTRÓNICA Certificados Digitales y DNI Electrónico como herramientas para Administración Electrónica. José Manuel Rodríguez Rodríguez
Índice Introducción. Concepto de Administración Electrónica. La Seguridad en la Red. La Firma Electrónica. Los Certificados Digitales y las PKIs. DNI-Electrónico
Introducción La transformación continua del sector público constituye una necesidad de la sociedad actual, que exige a su Administración mayores niveles de eficacia, eficiencia, calidad y una mayor orientación a la ciudadanía; todo ello en un entorno cambiante y complejo
Introducción • Las TIC en la Administración Pública se han utilizado más para automatizar procesos existentes y crear vías electrónicas alternativas, que para introducir cambios fundamentales en los procesos administrativos. • Otra de las demandas de la ciudadanía es el modelo multicanal de prestación de servicios por parte de la Administración, La Ley 11/2007, reconoce ya este derecho de los ciudadanos.
SERVICIOS PRESTADOS En las dos últimas décadas... Introducción ...han aumentado los Servicios Públicos prestados desde la Administración Pública ... ha aumentado cualitativamente el nivel de exigencia del ciudadano a los poderes públicos. • Hay que prestar servicios públicos de calidad que lleguen a todos los ciudadanos con independencia de su estatus o lugar de residencia. • Para ello, hay que llevar a cabo una profunda transformación en las estructuras administrativas. SERVICIOS DEMANDADOS
Introducción El uso de redes de telecomunicaciones permite entablar relaciones jurídicas con los ciudadanos de forma más ágil e inmediata, abriendo una vía de excepcional potencial para apurar, hasta sus últimas consecuencias, el principio de eficacia en la actuación administrativa que proclama el artículo 103.1 de la Constitución. Entre las principales barreras al desarrollo de la Administración Electrónica (e-Administración) encontramos, además de los hábitos de los ciudadanos, la inseguridad de las redes abiertas de telecomunicaciones.
Concepto de Administración Electrónica:“e-Administración”
Concepto de Administración Electrónica:“e-Administración” Es un servicio ofrecido a los usuarios de Internet que permite realizar determinados trámites ante la Administración Pública. Administración Electrónica es una nueva forma de gestión pública, basada en el uso interactivo de las TIC, con el doble objetivo de la prestación de mejores servicios a ciudadanos y empresas, así como la mejora de los procesos internos de las administraciones públicas. Administración electrónica es el uso de las TIC en las AAPP, combinado con cambios organizativos y nuevas aptitudes con el fin de mejorar los servicios públicos y los procesos democráticos y reforzar el apoyo a las políticas públicas. (Comisión Europea)
Concepto de Administración Electrónica:“e-Administración”. Tipología
... Se aprovecha el conocimiento que la Admón tiene del ciudadano Proactividad 5 4 ... Que transaccionan con el ciudadano económicamente (tributos, ...) e interadministración ... Que transaccionan con el ciudadano en los 2 sentidos (PROCEDIMIENTOS) 3 Interacción sin transacción(SERVICIOS) 2 Información a través de internet sin transacción alguna 1 Niveles de Administración Electrónica + S E R V I C I O S Grado de interoperabilidad Posibilidad de realizar ciertos trámites a través de Internet, que evitan el desplazamiento de los ciudadanos a las oficinas públicas, mediante la utilización de medios de autenticación electrónica o sin ella – descarga de formularios, presentación de solicitudes-. Representado por aquellas facilidades que la Administración pone a disposición de los ciudadanos, a través de Internet, pero que no suponen la realización de transacción alguna. Representa aquellos procedimientos donde exista la posibilidad de interactuar por cuanto el ciudadano realiza sus trámites en la Red y recibe también por esta misma vía la respuesta de la Administración. Se aprovecha el conocimiento que la Admón tiene del ciudadano (propuestas de borradores, campañas, etc.) Abre la posibilidad al ciudadano, no sólo de interactuar, sino de efectuar pagos en línea. -
Proactividad Transacción con efectos económicos e interadministración 5 Transacción 4 Interacción 3 Publicación de información 2 Salto cualitativo 1 El punto de vista del ciudadano Expectativas de los ciudadanos Valor Dificultad Tecnológica y normativa
Niveles de Administración Electrónica eEuropa La página Web informa acerca del trámite: naturaleza, objeto y requisito del trámite 1 Información Los formularios para iniciación de trámites están disponibles para su descarga y posterior presentación en una oficina 2 Información Salto cualitativo 3 Presentación Los formularios para iniciación de trámites están disponibles para su firma electrónica y presentación 4 Tramitación Es posible la iniciación y tramitación completa del procedimiento por medios telemáticos, sin requerir acciones complementarias a las personas interesadas por otros medios 5 Proactividad Se aprovecha el “conocimiento” que la Administración tiene del ciudadano (propuesta de borradores, campañas, etc.)
La seguridad en la Red. • Seguridad. Aspecto clave para el desarrollo de la Administración Electrónica, comercio electrónico... • Necesidad de generar confianza: • Debido a la inseguridad actual de Internet. • Percepción (exagerada) de esa inseguridad por los ciudadanos.
Autenticación • Las dos partes se identifican inequívocamente la una a la otra antes de comunicarse. Integridad • Ambas partes estarán seguras de que los datos o documentos no han sido modificados. Confidencialidad • Evita que alguien no autorizado acceda a los documentos o datos intercambiados. No repudio • Imposibilidad de negar la autoría de un documento, su envío o recepción. Sellado de tiempo • Fechado digital de un documento para establecer imparcialmente su hora de recepción. Administración electrónica con garantías Componentes de Seguridad.
Criptografía • Las herramientas básicas para cumplir las condiciones anteriores son las técnicas de cifrado, en particular los métodos de cifrado simétrico (usan una misma clave, secreta, para cifrar y descifrar) o asimétrico (cada usuario tiene una pareja de claves, una pública y otra privada, con la propiedad de que lo que se cifra con una de las claves sólo se puede descrifrar con la otra). • El cifrado simétrico se utiliza para encriptar información. • El cifrado asimétrico se utiliza, principalmente, para intercambio de claves y firma digital.
Internet Bernardo Ana secreta secreta Cifrado/Descifrado simétrico TEXTO CIFRADO TEXTO EN CLARO TEXTO EN CLARO TEXTO CIFRADO Ana y Bernardo comparten una clave secreta en común
Internet Bernardo Ana Secreta de Bernardo Secreta de Ana Secreta de Bernardo Pública de Bernardo Pública de Bernardo Pública de Ana Directorio Público Cifrado/Descifrado asimétrico TEXTO CIFRADO TEXTO EN CLARO TEXTO EN CLARO TEXTO CIFRADO
TEXTO FIRMADO TEXTO EN CLARO TEXTO FIRMADO Internet Bernardo Ana Pública de Bernardo Secreta de Bernardo Secreta de Ana Pública de Ana Privada de Ana Pública de Ana Verifica firma Directorio Público Envío de un mensaje firmado TEXTO EN CLARO
Firma Electrónica • Una de las principales ventajas de la criptografía de clave pública es que ofrece un método para el desarrollo de firmas digitales. La firma digital permite al receptor de un mensaje verificar la autenticidad del origen de la información así como verificar que dicha información no ha sido modificada desde su generación. De este modo, la firma digital ofrece el soporte para la autenticación e integridad de los datos así como para el no repudio en origen, ya que el originador de un mensaje firmado digitalmente no puede argumentar que no lo es. • Una firma digital está destinada al mismo propósito que una manuscrita. Sin embargo, una firma manuscrita es sencilla de falsificar mientras que la digital es imposible mientras no se descubra la clave privada del firmante.
Firma Electrónica • La firma digital o firma electrónica no es una imagen digitalizada de la firma manual. • La firma digital debe entenderse como la analogía electrónica de la firma manual: • ”ha de dotarse el documento electrónico de garantías legales parecidas a las del documento papel”. • La Ley 59/2003 de 19 de diciembre, que convalidó al Real Decreto-Ley 14/1999, regula la firma electrónica, su eficacia jurídica y la prestación de servicios de certificación. • La firma digital dota a los documentos electrónicos así firmados de una validez legal y responsabilidad civil equivalentes a las de la firma manuscrita sobre documento papel.
Firma Electrónica • 1. La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante. • 2. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control. • 3. Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma. • 4. La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel. • 5. Se considera documento electrónico el redactado en soporte electrónico que incorpore datos que estén firmados electrónicamente.
Firma Electrónica • La firma electrónica se compondrá mediante un software específico o programa de firma y sobre cada uno de los documentos electrónicos. • Incorpora funcionalidades que dotan al documento electrónico de: • Autenticidad • Integridad • Confidencialidad(*) • Sellado de fecha y hora • No repudio con prueba en origen • Etc...
Estimado Sr. Me complace invitarle a la conferencia ......... Estimado Sr. Me complace invitarle a la conferencia ......... +Clave Privada del signatario TEXTO Huella Digital o Resumen del Texto Texto firmado DOCUMENTO ELECTRÓNICO FIRMADO ELECTRÓNICAMENTE Firma Electrónica (*) La huella digital de un documento es una cadena comprimida mediante una función denominada hashque asocia unívocamente dicha huella al documento en cuestión.
Estimado Sr. Me complace invitarle a la conferencia ......... Estimado Sr. Me complace invitarle a la conferencia ......... Clave Pública del signatario TEXTO Clave Privada del signatario Huella Digital o Resumen del Texto Estimado Sr. Me complace invitarle a la conferencia ......... Estimado Sr. Me complace invitarle a la conferencia ......... Huella Digital descifrada Huella Digital calculada Comprobación de la Firma digital Son Iguales? Función Hash Se verifica la firma
Certificados digitales • ¿Qué me garantiza que una clave pública pertenece a un firmante en concreto o dicho de otra manera, cómo puedo vincular los datos de verificación de firma a un firmante? • Para asegurar que una determinada clave pública pertenece a un usuario en concreto se utilizan los certificados digitales. • Un certificado digital es un documento electrónico que asocia una clave pública con la identidad de su propietario. • Adicionalmente, además de la clave pública y la identidad de su propietario, un certificado digital puede contener otros atributos para, por ejemplo, concretar el ámbito de utilización de la clave pública, el período de validez del certificado, etc. • Un certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad. (art.6.1)
Certificados digitales • Un certificado digital es un documento que contiene los datos personales del usuario y su clave pública y está firmado digitalmente por un Prestador de Servicios de Certificación (PSC), también llamado Autoridad de Certificación, CA. • Un certificado X.509 contiene: • Nº versión(1,2 ó3). • Nº serie del certificado (único). • ID del algoritmo de firma. • Nombre distintivo de la CA. • Periodo de validez (desde-hasta) • Nombre distintivo del usuario • Clave Pública del usuario • Identificador de la CA (versiones 2 y 3) • Identificador de usuario (versiones 2 y 3) • Información adicional (versión 3) • Firma Digital de los campos anteriores efectuada por la CA.
Tipos de Certificados digitales • La tipología de los certificados electrónicos varía en función de los PSCs que los emiten y gestionan. No obstante, podemos tomar la siguiente clasificación General: • 1. Certificados de Persona Física. Ejem: Certificado de DNIe o de PF • de FNMT. • 2. Certificados de Persona Jurídica o de Representación. Ejem: • certificado de pertenencia a organización. • 3. Certificados de Entidad. Ejem: Certificado emitido a nombre de • Consejería determinada. • 4. Certificados de Componentes. Ejem: Certificado SSL o de firma de código
Certificados digitales Privada Soporte seguro Par de claves de Ana Pública Certificado digital
Terceras partes de confianza Una vez definido el concepto de certificado digital se plantea una duda:¿cómo confiar si un determinado certificado es válido o si está falsificado?.La validez de un certificado es laconfianza en que la clave pública contenida en el certificado pertenece al usuario indicado en el certificado. La manera en que se puede confiar en el certificado de un usuario con el que nunca hemos tenido ninguna relación previa es mediante la confianza en terceras partes. La idea consiste en quedos usuarios puedan confiar directamente entre sí, si ambos tienen relación con una tercera parte en la que confían y que ésta puede dar fe de la fiabilidad de los dos. TERCERA PARTE DE CONFIANZA Ana y Bernardo no se conocen pero ambos confían en Carmen
Autoridad de Certificación Esa Tercera Parte Confiable se denomina Prestador de Servicios de Certificación o Autoridad de Certificación. La necesidad de una Tercera Parte Confiable (TPC ó TTP, Trusted Third Party) es fundamental en cualquier entorno de clave pública de tamaño considerable. En definitiva, se podrá tener confianza en el certificado digital de un usuario al que previamente no conocemos si dicho certificado está avalado por una tercera parte en la que sí confiamos. La forma en que esa tercera parte avalará el certificado es mediante su firma digital sobre el certificado. Por tanto, podremos confiar en cualquier certificado digital firmado por una tercera parte en la que confiamos. La TPC que se encarga de la firma digital de los certificados de los usuarios de un entorno de clave pública se conoce con el nombre de Autoridad de Certificación (AC).
Infraestructuras de clave pública El modelo de confianza basado en Terceras Partes Confiables es la base de la definición de las Infraestructuras de Clave Pública (ICPs o PKIs, Public Key Infrastructures). Una Infraestructura de Clave Pública es un conjunto de protocolos, servicios y estándares que soportan aplicaciones basadas en criptografía de clave pública. Podemos decir que una PKI es un esquema de identificación público que permite que personas, empresas e instituciones puedan establecer, a través de redes abiertas, comunicaciones seguras, sean privadas o en un contexto mayor de la sociedad. Algunos de los servicios ofrecidos por una PKI son los siguientes: • Registro de claves: emisión de un nuevo certificado para una clave pública. • Revocación de certificados: cancelación de un certificado previamente emitido. • Selección de claves: publicación de la clave pública de los usuarios. • Evaluación de la confianza: determinación sobre si un certificado es válido y qué operaciones están permitidas para dicho certificado. • Recuperación de claves: posibilidad de recuperar las claves de un usuario.
Infraestructuras de clave pública Las PKIs están compuestas por distintas terceras partes en las que todos los demás usuarios de la infraestructura confían: • Autoridad de Certificación • Autoridad de Registro • Directorio X.500 (lugar natural para el depósito de certificados digitales y de listas de certificados revocados) • Otras Terceras Partes Confiables como por ejemplo las Autoridades de Fechado Digital.
AUTORIDAD DE CERTIFICACIÓN Usuario Gestión de certificados Emisión Revocación Renovación AUTORIDAD DE REGISTRO Intermediario Distribución de certificados Acreditación del usuario Envío de certificados a usuarios Publicación de certificados en un directorio público X.500 Directorio Público X.500 Funciones de una Autoridad de Certificación y Autoridad de Registro
Prestadores de Servicios de certificación reconocidos en la J.A.
¿Qué tengo que hacer para obtener un certificado? • Acceder al Web de la Autoridad de Certificación. • www.cert.fnmt.es • Cumplimentar la “Solicitud vía Internet de mi Certificado” tras lo cual me devolverá un código de solicitud. • Personarse con el código de solicitud y DNI/NIF/CIF en una de las Oficinas de Acreditación para firmar la solicitud y las condiciones de utilización. • Descargar en el navegador el Certificado de Usuario conectándome a la misma página Web. • Comprobar su período de validez y en su caso si se ha revocado.
Convenio Junta de Andalucía – F.N.M.T. Solicitud de Certificado. Acreditación
Convenio Junta de Andalucía – F.N.M.T. Descarga de Certificado.
FIRMAR Resumen • ¿Qué es la Firma Digital?: • es un conjunto de datos asociados a un documento electrónico que permite asegurar la identidad del firmante y la integridad del documento. • ¿Cómo se hace?: • en los formularios electrónicos se habilita una opción para firmar documentos. • ¿Qué hace falta?: • un certificado clase 2 de la FNMT y la infraestructura que ya ha sido creada por la Junta de Andalucía. 100% en productivo. El Decreto 183/2003 la habilita en los procedimientos administrativos exigiéndola en la relación de los ciudadanos con la administración electrónica
Resumen • ¿Qué necesita un destinatario para poder validar la Firma Electrónica del emisor? • Conocer la Clave Pública del signatario. • ¿Dónde reside la Clave Pública? • En un Certificado Digital emitido por una Autoridad de Certificación a nombre del emisor. • ¿Qué son los Certificados Digitales? • Pieza de software que identifica a su propietario y que se deposita además en un Directorio Público accesible desde Internet. • ¿Cómo se obtienen?: 1) solicitud a través de Internet, 2) personarse en una oficina de registro y 3) descargar el certificado en nuestro ordenador. • ¿Para qué nos sirven?: • Para relacionarnos con la Administración a través de Internet. • Convenio FNMT : • Permite el uso de certificados digitales CERES en la Administración de la Junta de Andalucía
Ley 59/2003, de Firma Electrónica • La Ley 59/2003, de Firma Electrónica supuso una sustancial modificación del régimen sobre Firma Electrónica que anteriormente se contenía en el extinto Real-Decreto Ley 14/1999. • Entre las novedades podemos destacar: • 1. Se ha revisado la terminología para facilitar la comprensión y aclarar los conceptos contenidos. Por ejemplo, se introduce la denominación de "firma electrónica reconocida" para identificar con mayor claridad a la firma electrónica que cumple los requisitos necesarios para ser considerada equivalente a la firma manuscrita. • 2. Estableció el marco jurídico necesario para desarrollar el Documento Nacional de Identidad electrónico, el documento que permite a los ciudadanos identificarse y firmar documentos en el ámbito telemático, sentando las bases para la generalización de los instrumentos de firma electrónica en España. • 3. Regula la emisión de certificados de personas jurídicas, reconociendo que la firma electrónica, a diferencia de la firma manuscrita, es susceptible de integrarse en procedimientos automatizados, sin intervención directa de una persona física. Este nuevo tipo de certificado va a permitir extender el uso de la firma electrónica a las empresas, especialmente a las pymes.
+ 7 Millones DNIe Génesis del DNIe
DNIe • El desarrollo de la Sociedad de la Información y la difusión de los efectos positivos que de ella se derivan exigen la generalización de la confianza de los ciudadanos en las comunicaciones telemáticas. • Como respuesta a esta necesidad, y en el marco de las directivas de la Unión Europea, el Estado español aprobó un conjunto de medidas legislativas, como la Ley de Firma Electrónica y el RD sobre el Documento Nacional de Identidad electrónico, para la creación de instrumentos capaces de acreditar la identidad de los intervinientes en las comunicaciones electrónicas y asegurar la procedencia y la integridad de los mensajes intercambiados. • El nacimiento del Documento Nacional de Identidad electrónico (DNIe) responde, por tanto, a la necesidad de otorgar identidad personal a los ciudadanos para su uso en la nueva Sociedad de la Información, además de servir de impulsor de la misma. Así, el DNIe es la adaptación del tradicional documento de identidad a la nueva realidad de una sociedad interconectada por redes de comunicaciones. • De este modo, cada ciudadano podrá hacer realizar múltiples gestiones de forma segura a través de medios telemáticos y asegurando la identidad de los participantes en la comunicación.