FIRMA ELECTRÓNICA José Félix Muñoz Asignatura “Economia del comercio electrónico” 9 diciembre 2003

1. FIRMA ELECTRÓNICA José Félix Muñoz Asignatura “Economia del comercio electrónico” 9 diciembre 2003 Universidad de Zaragoza

2. CONTENIDO • Introducción • Generaciones de los sistemas de información • Los documentos electrónicos • La identidad digital • Firma electrónica • Normativa • Firma no avanzada y firma avanzada • Los certificados y los Servicios de Certificación • Problemas pendientes • Ejemplos • En uso: la factura digital y la presentación de documentos ante los Registros • En proyecto: las notificaciones administrativas y el documento público electrónico

3. 1ª generación: LOS DATOS • 1951: Censo de los EE UU de América • Los ordenadores tratan datos • cadenas de caracteres y números • Características • Formularios • Contabilidad: Estado del Bienestar • Mainframes y redes jerárquicas • Protección de datos de carácter personal

4. 2ª generación: LOS DOCUMENTOS • Los ordenadores tratan documentos • correo electrónico • bases documentales: normativa, jurisprudencia • Características • Captura de datos en pantalla • Procedimientos:Workflow • Ordenadores personales e Internet (TCP/IP) • Documento y firma electrónicos

5. 3ª generación: EL CONOCIMIENTO • Los ordenadores adquieren conocimiento • explicitado en reglas: sistemas expertos • mediante entrenamiento: redes neuronales • Decisión automatizada • Directiva 1995/46, de 23 de octubre, sobre tratamiento de datos personales • Se admite cuando existe una relación contractual • Se utilizan en decisiones bancarias y en sistemas de vigilancia ( tarjetas de crédito, blanqueo de dinero)

6. LOS DOCUMENTOS ELECTRONICOS • Cualquier combinación de • texto, imagen, voz y video • Interoperabilidad • precisa de estándares • XML -> dialectos • LegalXML: OASIS (U.S.A) • LEXML: Europa • MetaLex: Holanda • crXML: registradores europeos

7. LA IDENTIDAD DIGITAL • La autenticación de los usuarios debe resolver el problema de como acreditar la identidad de la persona física que realiza una acción en el sistema • En “medidas de seguridad” se distinguen tres niveles: • algo que se sabe: contraseña (password) o PIN • algo que se tiene: una tarjeta • algo que se es: medidas biométricas • La firma manual es una acción consciente y característica de cada individuo • no es posible encontrar un mecanismo técnico que resulte totalmente equivalente • la firma electrónica de una persona y la de una maquina son indistinguibles

8. NORMATIVA • Directiva 1999/93, de 13 de diciembre, por la que se establece un marco comunitario para la firma electrónica • Real Decreto Ley 14/1999, de 17 de septiembre, sobre firma electrónica • el RDL tiene graves carencias • se encuentra en fase avanzada de elaboración un proyecto de ley sobre firma electrónica • Estándares técnicos • X-509, Unión Internacional de Telecomunicaciones • normas ETSII de la Unión Europea

9. FIRMA NO AVANZADA • Es “el conjunto de datos, en forma electrónica, anejos a otros datos electrónicos o asociados funcionalmente con ellos, utilizados como medio para identificar formalmente al autor o a los autores del documento que la recoge” • Se corresponde con el PIN o la contraseña • En ella se basan la práctica totalidad de los sistemas de banca y comercio electrónico existentes • la experiencia ha demostrado que ofrece un nivel de seguridad suficiente para estas aplicaciones • una ventaja importante es su bajo coste y su facilidad de implementación y uso • en general, no se considera suficiente para la realización de trámites administrativos (e-government)

10. FIRMA AVANZADA: definición • Es “la firma electrónica que permite la identificación del signatario y ha sido creada por medios que éste mantiene bajo su exclusivo control, de manera que está vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de éstos” • La definen dos características: • los datos de generación de firma son conocidos únicamente por el firmante • suelen conservarse en un dispositivo criptográfico • está asociada unívocamente con los datos firmados • La Ley equipara su eficacia a la de la firma manual

11. FIRMA AVANZADA: generación • Se basa en la criptografía de claves asimétricas • clave privada • sólo la conoce el titular • clave pública • se difunde de forma pública • Generación de la firma: • Se genera un resumen del documento (función hash) • El resumen cifrado con la clave privada del firmante constituye la firma electrónica de este

12. FIRMA AVANZADA: comprobación • Por una parte se calcula el resumen del documento • Por otra, se descrifa la firma utilizando la clave pública del firmante, obteniéndose también el resumen del documento • Si ambos resúmenes coinciden la firma es correcta y, por tanto, sabemos • que la firma corresponde al documento (autenticidad) • que el documento no ha sido modificado (integridad)

13. LOS SERVICIOS DE CERTIFICACION: definición • La clave pública es, por tanto, el mecanismo de comprobación de las firmas electrónicas. Pero, ¿cómo podemos saber que una clave pública pertenece a una persona dada? • Para ello se crean Servicios de Certificación o CAs • las CAs emiten certificados electrónicos que asocian una identidad con una clave pública • los certificados están firmados por la CA • esta debe difundir sus claves • la CA debe disponer de un directorio para publicar las revocaciones de certificados (CRLs, OCSP) • En el trámite de registro se comprueba la identidad del signatario y se recoge su compromiso con las claves certificadas • es un aspecto clave para la confiabilidad del certificado

14. LOS SERVICIOS DE CERTIFICACION: ejemplos • Ámbito internacional: Verisign • España • FNMT – Real Casa de la Moneda • es la CA de la administración del Estado • proyecto CERES • proyecto DNI digital • SCR: Servicio de Certificación de los Registradores • Camerfirma • Desarrollo más lento y difícil de lo previsto, ejemplo: ACE

15. PROBLEMAS PENDIENTES • Los atributos • Normalmente no basta con conocer la identidad de una persona sino que es preciso conocer también algunos datos sobre ella • por ejemplo, su profesión o su condición de representante de una compañía mercantil • El sello de tiempo (time-stamping) • En algunos casos es preciso conocer con seguridad el momento en el que se generó la firma para comprobar su validez • Las firmas de personas jurídicas • No están previstas en la Ley, si en el Proyecto • La finalidad de los sistemas telemáticos es la automatización de procedimientos

16. LAS FACTURAS • EDI: normas UN-EDIFACT • universalidad -> excesiva complejidad • Orden del Mº de Ec. y H. de 22 de marzo de 1996 • Centros Servidores EDI • Directiva 2001/115, 20 de diciembre, I.V.A. • factura electrónica: autenticada con firma electrónica • Orden del Mº de Ec. y H. de 5 de diciembre de 2002 • Ley 34/2002, 11 de julio, servicios de la SI • contratos privados

17. LOS REGISTROS • Presentación de • deposito anual de cuentas • libros contables • Sello de tiempo de la firma • vigencia de los poderes • Reg. Hipotecario, art. 332.2 • R.D. 1867/1998, 4 de septiembre • Instrucción de 10 de abril de 2000

18. LAS NOTIFICACIONES TELEMATICAS • Gobierno electrónico • son el sentido inverso a la presentación • problemas • colaboración • prueba • “Domicilio digital” • buzón de correo • Ley Gral. Tributaria, art. 105 • R. D. 209/2003, 21 de febrero

19. EL DOCUMENTO PUBLICO ELECTRONICO • Es clave para la interoperabilidad • múltiples interesados • Posesión • problema de la copia única • Formato: PDF, XML • Ley del Notariado, art. 17 bis • Instrucción de 18 de marzo de 2003