Firma y certificado digital
- 1. CERTIFICADO DIGITAL Es un sistema que garantiza la identidad y otras cualificaciones de una persona que actúa a través de una red informática, un sistema de información, y en general, cualquier medio de comunicación y o información digital, también podríamos decir que es un mensaje de datos firmados por la entidad de certificación que identifica tanto a la entidad de certificación que lo expide como al suscriptor y contiene la clave publica de este.
- 2. OBJETIVO: El objetivo principal de los certificados electrónicos es la interacción entre personas o entidades. A través de internet un ambiente de seguridad amplia y confiable.
- 3. ¿PARA QUÉ SIRVE? Autentificar La identidad del usuario de forma electrónica ante terceros Firmar electrónicamente de forma que garantice la integridad de los datos transmitidos y su procedencia. Cifrar datos para que solo el destinatario del documento pueda acceder a su contenido.
- 4. LA CERTIFICACIÓN ELECTRÓNICA PERMITE GARANTIZAR… La identidad y capacidad de las partes que tratan entre si sin conocerse (emisor y receptor del mensaje). La confidencialidad de los contenidos de los mensajes (no Inscrito leídos - no Inscrito escuchados por terceros). La integridad de la transacción (no manipulada por terceros).
- 5. ¿QUE NOS GARANTIZA UN CERTIFICADO? La legitimidad de las entidades y de las personas que intervienen en el intercambio de información. La reserva que solo el emisor y el receptor vean la información. La honestidad de la información intercambiada asegurando que no se produce ninguna alteración.
- 6. FIRMA ELECTRÓNICA Una firma electrónica sería simplemente cualquier método o símbolo basado en medios electrónicos utilizados o adoptados por una parte con la intención actual de vincularse o autenticar un documento, cumpliendo todas o algunas de las funciones características de una firma manuscrita. En otros términos, la firma electrónica es el género y la digital, la especie; de modo que la firma electrónica incluye la firma digital, la cual está realizada mediante alogaritmos de clave asimétrica.
- 7. PARA FIRMAR ELECTRÓNICAMENTE UN DOCUMENTO SE REQUIERE… Se requiere de un certificado digital emitido por una Autoridad Certificadora Registrada, y el cual debe ser almacenado y custodiado en un dispositivo (Token o tarjetas inteligentes -smart cards-) que cumpla con el estándar FIPS 140 nivel 2, este dispositivo es muy importante ya que es el responsable de custodiar un secreto único (llave privada) que es utilizado para firmar digitalmente los documentos o archivos. El dispositivo requiere además de los datos de activación, los cuales pueden ser una palabra de paso, una frase clave o información biométrica (huella digital).
- 8. ¿CÓMO FUNCIONA LA FIRMA ELECTRÓNICA? El firmante ingresa a la opción de firmar digitalmente el documento. La aplicación solicita el dispositivo (Token o tarjeta inteligente). El firmante inserta el dispositivo en el lector (Puerto USB o en el lector de tarjetas). El dispositivo solicita los datos de activación (palabra o frase clave). El firmante indica su palabra o frase clave (que es secreta y custodia para evitar robo de la identidad). El sistema operativo calcula el código clave (digesto) y lo firma utilizando la llave privada custodiada por el dispositivo. Además verifica el estado del certificado para evitar firmar utilizando un certificado revocado o suspendido. La aplicación almacena en grupo el documento firmado, el cual es compuesto por la unión del documento electrónico, el certificado digital y el digesto o resumen encriptado. El firmante verifica que el documento o archivo esté firmado digitalmente.
- 10. CIFRADO ELECTRÓNICO Los procesos de firma electrónica y de cifrado electrónico están basados en la criptografía. Existen dos tipos de criptografía: CLAVE SIMÉTRICA: Ciframos un documento con clave simétrica y lo protegemos mediante la contraseña "Verano". Para descifrarlo utilizaremos la misma contraseña. ¿Qué desventajas tiene este sistema? El sistema es robusto siempre que no tengamos que comunicar la contraseña a otras personas. Deberíamos buscar un medio muy seguro, que no pudiera ser interceptado, para comunicarle qué contraseña debe utilizar para descifrar el mensaje CLAVE ASIMÉTRICA: La misma clave no se utiliza para cifrar y descifrar. Existen dos claves, una es pública, la otra privada. La clave pública es conocida por todos mientras que la clave privada es la que se mantiene en secreto y no se comparte con los demás.
- 11. CIFRADO ELECTRÓNICO LA CLAVE PRIVADA: Para "firmar" un documento utilizaremos nuestra clave privada. Sólo el firmante posee la clave privada. El receptor accede al documento mediante la clave pública correspondiente y se evidencia quién es el firmante. LA CLAVE PÚBLICA: En el caso anterior la clave pública ha servido para acceder a los documentos firmados electrónicamente con la correspondiente clave privada. La clave pública es útil además para "cifrar" los documentos. Un documento cifrado con la clave pública sólo podrá ser descifrado con la correspondiente clave privada. Mediante la utilización de la clave pública podemos asegurarnos de que sólo un determinado destinatario descifrará el documento.
- 12. Ejemplo:
- 13. ENTIDADES CERTIFICACIÓN AUTORIDAD DE CERTIFICACION: Es una entidad de confianza, responsable de emitir y revocar los certificados digitales o certificados, utilizados en la firma electrónica, para lo cual se emplea la criptografía de clave pública. Jurídicamente es un caso particular de Prestador de Servicios de Certificación.
- 14. VERISIGN EN COLOMBIA. (AUTORIDAD DE CERTIFICACION DIGITAL) VeriSign es la Autoridad de Certificación Digital líder en el mundo en la emisión de certificados SSL para el aseguramiento de transacciones de comercio electrónico, comunicaciones, e interacciones para sitios Web, intranets y extranet. Certicámara S.A. es representante oficial para Colombia de VeriSign INC., consulte esta información en: http://www.verisign.com/latinamerica /esp/support/affiliates.html
- 15. ¿CÓMO SE SOLICITA UN CERTIFICADO? El mecanismo habitual de solicitud de un certificado de servidor web a una CA consiste en que la entidad solicitante, utilizando ciertas funciones del software de servidor web, completa ciertos datos identificativos y genera una pareja de claves pública/privada. Con esa información el software de servidor compone un fichero que contiene una petición CSR (Certificate Signing Request) en formato PKCS que contiene la clave pública y que se hace llegar a la CA elegida. Esta, tras verificar por sí o mediante los servicios de una RA (Registration Authority, Autoridad de Registro) la información de identificación aportada y la realización del pago, envía el certificado firmado al solicitante, que lo instala en el servidor web con la misma herramienta con la que generó la petición CSR.
- 16. LEGISLACIÓN La creación de un marco jurídico adecuado que permita la utilización y la expansión de los sistemas de firma electrónica es, sin lugar a duda, una necesidad de nuestro tiempo, imprescindible para el desarrollo de comercio electrónico. Colombia no ha sido ajena a esta realidad y ha desarrollado normas reguladoras de este crucial instrumento técnico.
- 17. a) La ley 527 de 1999, de 18 de agosto, por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones. a) El decreto 1747 de 2000, de 11 de septiembre, por el cual se reglamenta parcialmente la ley 527 de 1999, en lo relacionado con las entidades de certificación, los certificados y las firmas digitales.
- 18. LEGISLACIÓN Por otro lado la ley 527 de 1999 señala: “Podrán ser entidades de certificación, las personas jurídicas, tanto publicas como privadas, de origen nacional o extranjero, y las cámaras de comercio, que previa solicitud sean autorizadas por la Superintendencia de Industria y Comercio y que cumplan con los requerimientos establecidos por el Gobierno Nacional…
- 19. ¿CUÁL ES EL VALOR PROBATORIO DE ESTAS FIRMAS EN COLOMBIA? a) Firmas Electrónicas: El artículo 7 de la ley 527 de 1999, señala “Cuando cualquier norma exija la presencia de una firma o establezca ciertas consecuencias en ausencia de la misma, se entenderá satisfecho dicho requerimiento si: a) se ha utilizado un método que permita identificar al iniciador de un mensaje de datos y para indicar que el contenido cuenta con su aprobación; b) que el método sea tanto confiable como apropiado para el propósito por el cual el mensaje fue generado o comunicado”. a) Firmas Digitales: Es de aclarar que las llamadas firmas digitales son una modalidad de firma electrónica que cumple altísimas dosis de seguridad.
- 20. GRACIAS…