220 likes | 380 Views
Certificado y firma electrónica. EXPOSICIÓN EJE TEMÁTICO No. 3 PRESENTADO POR: Leidy Paola Olarte, Adriana M. Vega, Marinela Hernández , Gleys Bolívar DOCENTE Jorge Mario Zuluaga Campuzano Universidad Del Quindío
E N D
Certificado y firma electrónica EXPOSICIÓN EJE TEMÁTICO No. 3 PRESENTADO POR: Leidy Paola Olarte, Adriana M. Vega, Marinela Hernández , Gleys Bolívar DOCENTE Jorge Mario Zuluaga Campuzano Universidad Del Quindío Programa Ciencia De La Información Y De La Documentación, Bibliotecología Y Archivística 2011
Certificado electrónico • Es un sistema que garantiza la identidad y otras cualificaciones de una persona que actúa a través de una red informática, un sistema de información, y en general, cualquier medio de comunicación y o información digital, también podríamos decir que es un mensaje de datos firmados por la entidad de certificación que identifica tanto a la entidad de certificación que lo expide como al suscriptor y contiene la clave publica de este. • Objetivo: El objetivo principal de los certificados electrónicos es la interacción entre personas o entidades. A través de internet un ambiente de seguridad amplia y confiable. • ¿Para qué sirve? • AutentificarLa identidad del usuario de forma electrónica ante terceros • Firmar electrónicamente de forma que garantice la integridad de los datos transmitidos y su procedencia. • Cifrardatos para que solo el destinatario del documento pueda acceder a su contenido.
La Certificación Electrónica Permite Garantizar… • La identidad y capacidad de las partes que tratan entre si sin conocerse(emisor y receptor del mensaje). • La confidencialidad de los contenidos de los mensajes (no Inscrito leídos - no Inscrito escuchados por terceros). • La integridad de la transacción (no manipulada por terceros). ¿Que nos garantiza un certificado? • La legitimidad de las entidades y de las personas que intervienen en el intercambio de información. • La reserva que solo el emisor y el receptor vean la información. • La honestidad de la información intercambiada asegurando que no se produce ninguna alteración.
FIRMA electrónica Una firma electrónica sería simplemente cualquier método o símbolo basado en medios electrónicos utilizados o adoptados por una parte con la intención actual de vincularse o autenticar un documento, cumpliendo todas o algunas de las funciones características de una firma manuscrita. En otros términos, la firma electrónica es el género y la digital, la especie; de modo que la firma electrónica incluye la firma digital, la cual está realizada mediante alogaritmos de clave asimétrica. Para firmar electrónicamente un documentose requiere… Se requiere de un certificado digital emitido por una Autoridad Certificadora Registrada, y el cual debe ser almacenado y custodiado en un dispositivo (Token o tarjetas inteligentes -smart cards-) que cumpla con el estándar FIPS 140 nivel 2, este dispositivo es muy importante ya que es el responsable de custodiar un secreto único (llave privada) que es utilizado para firmar digitalmente los documentos o archivos. El dispositivo requiere además de los datos de activación, los cuales pueden ser una palabra de paso, una frase clave o información biométrica (huella digital).
Características esenciales de la Firma Electrónica Autenticidad, integridad, confidencialidad y no repudio. • ¿Que no es una firma electrónica o digital? • Nombre de usuario y Contraseña. • Login y Passwords. • PIN (Número de Identificación Personal). • Claves. • Firmas Digitalizadas • Juan Pérez • Juan Pérez • Juan Pérez
identificación y autentificación • La identificación y autenticación de ciudadanos y empresas, así como la de funcionarios públicos y sedes electrónicas se realiza con ayuda de la plataforma de firma electrónica. • Asimismo, las operaciones de firmado de documentos por parte de ciudadanos y empleados públicos también se incluye dentro de las funcionalidades de la plataforma de firma electrónica. • Las funcionalidades anteriores son normalmente cubiertas por una única solución dentro del mercado. Sin embargo, a menudo las Administraciones disponen de otros componentes adicionales como por ejemplo el que facilita la gestión de las operaciones de firma, permitiendo la visualización del conjunto de documentos pendientes de firma y, si procede, su firma por lotes (portafirmas).
Aspectos Tecnológicos… • El gran impulso dado por la Administración en el desarrollo de la plataforma de firma electrónica @firma, ha podido frenar iniciativas de los proveedores a la hora de desarrollar de manera particular soluciones de firma electrónica. Esto quizá explique que tan sólo exista una alternativa basada en fuentes abiertas en el mercado nacional. • En el mercado internacional se han llevado iniciativas similares que, si bien disponen de operaciones de firmado y cifrado de la información similares, de alguna manera tienen una más difícil adaptación en lo que a tareas de validación de certificados contra las Autoridades de Certificación españolas se refiere.@firma se sitúa en una posición dominante proporcionando, entre otras, unas ventajas que en la mayoría de ocasiones influyen de manera determinante en la toma de decisiones por parte de las Administraciones: • Gratuidad por su implantación y uso. • Con la firma de un acuerdo con el MAP se tiene acceso a todas las Autoridades de Certificación españolas. • Admite prácticamente todos los formatos de firma (XAdES, CAdES, CMS, XMLSignature…)
LEGISLACIÓN La creación de un marco jurídico adecuado que permita la utilización y la expansión de los sistemas de firma electrónica es, sin lugar a duda, una necesidad de nuestro tiempo, imprescindible para el desarrollo de comercio electrónico. Colombia no ha sido ajena a esta realidad y ha desarrollado normas reguladoras de este crucial instrumento técnico. La ley 527 de 1999, de 18 de agosto, por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones. El decreto 1747 de 2000, de 11 de septiembre, por el cual se reglamenta parcialmente la ley 527 de 1999, en lo relacionado con las entidades de certificación, los certificados y las firmas digitales.
LEGISLACIÓN Cabe señalar que, al contrario de lo que han realizado muchos países en el ámbito del derecho comparado, el legislador colombiano no ha optado por la creación de una ley especial de firma electrónica y una posterior reglamentación - como ha sido el caso de España, Alemania o de Estados Unidos – sino que ha creado una “Ley de comercio electrónico” – tal y como es popularmente conocida la ley 527 de 1999 – en la que inserta la regulación de la firma electrónica para, posteriormente, desarrollarla reglamentariamente por medio del decreto 1747 de 2000. Por otro lado la ley 527 de 1999 señala: “Podrán ser entidades de certificación, las personas jurídicas, tanto publicas como privadas, de origen nacional o extranjero, y las cámaras de comercio, que previa solicitud sean autorizadas por la Superintendencia de Industria y Comercio y que cumplan con los requerimientos establecidos por el Gobierno Nacional…
¿Cuál Es El Valor Probatorio De Estas Firmas En Colombia? Firmas Electrónicas: El artículo 7 de la ley 527 de 1999, señala “Cuando cualquier norma exija la presencia de una firma o establezca ciertas consecuencias en ausencia de la misma, se entenderá satisfecho dicho requerimiento si: a) se ha utilizado un método que permita identificar al iniciador de un mensaje de datos y para indicar que el contenido cuenta con su aprobación; b) que el método sea tanto confiable como apropiado para el propósito por el cual el mensaje fue generado o comunicado”. Firmas Digitales: Es de aclarar que las llamadas firmas digitales son una modalidad de firma electrónica que cumple altísimas dosis de seguridad.
¿CÓMO FUNCIONA LA FIRMA ELECTRÓNICA? • El firmante ingresa a la opción de firmar digitalmente el documento. • La aplicación solicita el dispositivo (Token o tarjeta inteligente). • El firmante inserta el dispositivo en el lector (Puerto USB o en el lector de tarjetas). • El dispositivo solicita los datos de activación (palabra o frase clave). • El firmante indica su palabra o frase clave (que es secreta y custodia para evitar robo de la identidad). • El sistema operativo calcula el código clave (digesto) y lo firma utilizando la llave privada custodiada por el dispositivo. Además verifica el estado del certificado para evitar firmar utilizando un certificado revocado o suspendido. • La aplicación almacena en grupo el documento firmado, el cual es compuesto por la unión del documento electrónico, el certificado digital y el digesto o resumen encriptado. • El firmante verifica que el documento o archivo esté firmado digitalmente. El procedimiento para firmar documentos electrónicos puede variar dependiendo de la aplicación que esté utilizando. Existen programas que permiten que un documento sea firmado por varias personas, por ejemplo, Microsoft Word permite generar una o más líneas de firma para el mismo documento.
En otras palabras… La firma digital funciona utilizando complejos procedimientos matemáticos que relacionan el documento firmado con información propia del firmante, y permiten que terceras partes puedan reconocer la identidad del firmante y asegurarse de que los contenidos no han sido modificados. El firmante genera, mediante una función matemática, una huella digital del mensaje, la cual se cifra con la clave privada del firmante. El resultado es lo que se denomina firma digital, que se enviará adjunta al mensaje original. De esta manera el firmante adjuntará al documento una marca que es única para dicho documento y que sólo él es capaz de producir.
CIFRADO ELECTRÓNICO • Los procesos de firma electrónica y de cifrado electrónico están basados en la criptografía. Existen dos tipos de criptografía: de clave simétrica y de clave asimétrica. • CLAVE SIMÉTRICA: Ciframos un documento con clave simétrica y lo protegemos mediante la contraseña "Verano". Para descifrarlo utilizaremos la misma contraseña. ¿Qué desventajas tiene este sistema? El sistema es robusto siempre que no tengamos que comunicar la contraseña a otras personas. Deberíamos buscar un medio muy seguro, que no pudiera ser interceptado, para comunicarle qué contraseña debe utilizar para descifrar el mensaje • CLAVE ASIMÉTRICA: La misma clave no se utiliza para cifrar y descifrar. Existen dos claves, una es pública, la otra privada. La clave pública es conocida por todos mientras que la clave privada es la que se mantiene en secreto y no se comparte con los demás. • LA CLAVE PRIVADA: Para "firmar" un documento utilizaremos nuestra clave privada. Sólo el firmante posee la clave privada. El receptor accede al documento mediante la clave pública correspondiente y se evidencia quién es el firmante. • LA CLAVE PÚBLICA: En el caso anterior la clave pública ha servido para acceder a los documentos firmados electrónicamente con la correspondiente clave privada.La clave pública es útil además para "cifrar" los documentos. Un documento cifrado con la clave pública sólo podrá ser descifrado con la correspondiente clave privada. Mediante la utilización de la clave pública podemos asegurarnos de que sólo un determinado destinatario descifrará el documento.
ENTIDADES CERTIFICACIÓN AUTORIDAD DE CERTIFICACION: Es una entidad de confianza, responsable de emitir y revocar los certificados digitales o certificados, utilizados en la firma electrónica, para lo cual se emplea la criptografía de clave pública. Jurídicamente es un caso particular de Prestador de Servicios de Certificación. La Autoridad de Certificación, por sí misma o mediante la intervención de una Autoridad de Registro, verifica la identidad del solicitante de un certificado antes de su expedición o, en caso de certificados expedidos con la condición de revocados, elimina la revocación de los certificados al comprobar dicha identidad. Los certificados son documentos que recogen ciertos datos de su titular y su clave pública y están firmados electrónicamente por la Autoridad de Certificación utilizando su clave privada. La Autoridad de Certificación es un tipo particular de Prestador de Servicios de Certificación que legitima ante los terceros que confían en sus certificados la relación entre la identidad de un usuario y su clave pública.
VERISIGN EN COLOMBIA. (AUTORIDAD DE CERTIFICACION DIGITAL) VeriSign es la Autoridad de Certificación Digital líder en el mundo en la emisión de certificados SSL para el aseguramiento de transacciones de comercio electrónico, comunicaciones, e interacciones para sitios Web, intranets y extranet. Certicámara S.A. es representante oficial para Colombia de VeriSign INC., consulte esta información en:http://www.verisign.com/latinamerica/esp/support/affiliates.html
¿Cómo se solicita un certificado? El mecanismo habitual de solicitud de un certificado de servidor web a una CA consiste en que la entidad solicitante, utilizando ciertas funciones del software de servidor web, completa ciertos datos identificativos (entre los que se incluye el localizador URL del servidor) y genera una pareja de claves pública/privada. Con esa información el software de servidor compone un fichero que contiene una petición CSR (Certificate Signing Request) en formato PKCS que contiene la clave pública y que se hace llegar a la CA elegida. Esta, tras verificar por sí o mediante los servicios de una RA (Registration Authority, Autoridad de Registro) la información de identificación aportada y la realización del pago, envía el certificado firmado al solicitante, que lo instala en el servidor web con la misma herramienta con la que generó la petición CSR. En este contexto, PKCS corresponde a un conjunto de especificaciones que son estándares de facto denominadas Public-Key Cryptography Standards.
La certificación de Firma Digital permite garantizar: • Identidad y capacidad de las partes que tratan entre sí sin conocerse (emisor y receptor del mensaje). • Integridad de la transacción (verificar que la información no fue manipulada). • Irrefutabiblidad de los compromisos adquiridos (no repudiación). • Confidencialidad de los contenidos de los mensajes (solamente conocidos por quienes estén autorizados). • Conclusiones… • La certificación digital es un negocio complejo que requiere know how específico para operarlo . • La constitución de una ECC, resulta aconsejable solo cuando el riesgo de las comunicaciones que se certifican significativamente bajo. • El proceso de la certificación digital es fundamental contar con un tercero de confianza imparcial y ajena a las incidencias de los procesos donde se instrumentaliza la firma digital . • Debemos tener en cuenta la documentación adecuada de los procesos. • Debemos cumplir con los procedimientos. • La organización debe estar lista para la evolución del mercado.
BIBLIOGRAFÍA Contratación, Notarios y Firma Electrónica: Una propuesta de modernización para el notariado Latino. Ortega Día Juan Francisco. Ediciones Uniandes, Facultad de Derecho, Universidad de los Andes, 2010. ABA Digital Signatures Guidelines. American Bar Association, October 5 1996, Pág. 30. http://www.nocturnar.com/forum/seguridad-informatica/197231-que-firma-digital.html http://www.archivistica.net/monograficos/Firma_electronica/firma_electronica.htm http://www.cenatic.es/laecsp/page15/page15.html