certificado y firma electrÓnica
TRANSCRIPT
EJE TEMÁTICO Nº 3 Certificado y Firma Electrónica
Elaborado por:Karen Dayani Peñuela Ramos
Jesus Eyder Suarez PáezKelly Alejandra Méndez Ávila
Universidad del QuindíoPrograma Ciencia de la Información, Documentación, Bibliotecología y
ArchivísticaGestión de Documentos Electrónicos – G2
Septiembre 2012
Introducción
Este trabajo se realizó con el propósito de describir el certificado y firma electrónica, procesos que sirven para el manejo de los documentos electrónicos.
Estos procesos generan confianza y fiabilidad y por ende favorece el manejo de los documentos electrónicos de las personas que los reciben ya que están acreditados por entidades especiales.
CERTIFICADO ELECTRÓNICO
Es un documento
emitido y firmado por una Autoridad Certificadora (AC), y puede identificar a una persona física o jurídica y a una clave pública que se le ha asignado para poder realizar procesos de firma y/o cifrado.
¿Qué es?
Imagen tomada de: http://legislaciondedatoselectronicos.bligoo.com.co/
La Autoridad Certificadora (AC) es una entidad de confianza del emisor y del receptor de una comunicación. Esta confianza de ambos en una 'tercera parte confiable' (trusted third party) permite que cualquiera de los dos confíe a su vez en los documentos firmados por la Autoridad Certificadora, en particular, en los certificados que identifican ambos extremos.
(Más adelante se ampliará el concepto)
¿Que es la AC (Autoridad Certificadora)?
Beneficios del certificado electrónico
Garantiza la identidad del ciudadano que realiza una gestión electrónica
Proporciona confidencialidad, integridad, y seguridad en Internet
El contenido del documento electrónico no puede ser alterado
Se agilizan los procesos de aprobación para documentos que requieran firma manuscrita
Beneficios del certificado electrónico
El ciudadano puede realizar trámites y gestiones electrónicamente y obtener una respuesta inmediata sin tener que desplazarse
Tiene el mismo valor jurídico que la firma manuscrita
Se reducen los costos de impresión de documentos que necesiten aprobación mediante firma manuscrita
Tipos de certificados
De acuerdo al contexto del que se esté hablando, se habla de diferentes tipos electrónico ó tipos de certificados como son:
De acuerdo a la normatividad existen dos tipos de certificados electrónicos que son:
Certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad.
Certificado reconocido es un certificado electrónico que cumple con los requisitos recogidos en la Ley de Firma Electrónica 59/2003 tanto en cuanto a su contenido, como en ciertas condiciones que debe cumplir el Prestador de Servicios de Certificación.
Atendiendo nuevamente a la normatividad, se habla de:
Certificado de persona física es el que identifica a una persona individual.
Certificado de persona jurídica es el que identifica a una entidad con personalidad jurídica. Por ejemplo a una empresa.
Certificado de entidad sin personalidad jurídica es el que identifica a una entidad sin personalidad jurídica.Por ejemplo a una comunidad de vecinos.
Atendiendo al soporte del certificado, se habla de:
Certificado software es aquel que consiste en un fichero software, que no tiene soporte físico alguno más que el propio ordenador o servidor donde se instala.
Certificado de tarjeta es aquel que se encuentra alojado en una tarjeta.
• Pedir el certificado a una Autoridad de Certificación AC
1. OBTENCIÓN DEL
CERTIFICADO
• Una vez que una Autoridad de Certificación nos ha emitido un certificado, y lo se ha descargado hay que instalarlo en el navegador de nuestro ordenador. Lo anterior es cuando el certificado es sólo software., cuando el certificado es de tarjeta no es necesario instalar el certificado en el navegador.
2. INSTALACIÓN
DEL CERTIFICADO • Se dice que se va a
exportar un documentos, cuando una vez que ya el certificado está guardado en una unidad de almacenamiento (interna o externa) al equipo y quiere llevarlo al navegador
3. IMPORTAR EL CERFICADO
Ciclo de vida del Certificado
• Caso contrario a la exportación que hace referencia a hacer el traspaso del certificado, del navegador del usuario, a cualquier dispositivo USB u otro medio de almacenamiento. Esto para evitar perdidas de los certificados
4. EXPORTAR EL
CERTIFICADO
• Es el tiempo de validez que tiene un certificado y está determinado por el tipo de certificado que sea y/o por disposición de la Autoridad Certificadora
5. PERIODO DE VALIDEZ DEL CERTIFICADO
• Cuando el certificado ya ha perdido la vigencia, este deja de estar operando por parte de la Autoridad de Certificación.
6. CADUCIDAD DEL
CERTIFICADO
Ciclo de vida del Certificado
• La renovación del certificado es posible, siempre y cuando no hay pasado su vigencia, para este paso, no hay que hacerle mismo procedimiento de obtención del certificado, simplemente que se hace con 2 o 3 mese de anterioridad la solicitud.7. RENOVAR
EL CERTIFICADO
• Consiste en anular la vigencia del en caso de perdida o de sospecha sobre la manipulación de terceros sobre el certificado.
8. REVOCAR EL CERTIFICADO
• Esta operación consiste en eliminar del navegador o de una tarjeta el certificado. Esto se suele hace una vez el certificado ya ah caducado.
9. ELIMINAR EL
CERTIFICADO
Ciclo de vida del Certificado
Firma Electrón
ica
La Ley 527 de 1999 es clara en el sentido de que “No se negarán efectos jurídicos, validez o fuerza obligatoria a todo tipo de información por la sola razón de que esté en forma de mensaje de datos”.
Decreto 1747 de 2000 reglamenta lo relacionado con las entidades de certificación, los certificados y las firmas digitales.
Ley 527 de 1999 de 18 de agosto, por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones.
Decreto 1747 de 2000: reglamenta parcialmente la Ley 527 de 1999 en aspectos relacionados con las entidades de certificación, los certificados y las firmas digitales.
Resolución 26930 de 2000 de la Superintendencia de Industria y Comercio: referencia los requisitos que deben cumplir las entidades de certificación abiertas o cerradas para solicitar su autorización y funcionamiento, clasificación que depende de los servicios que prestan y finalmente se desarrolla el tema de las firmas auditoras para las entidades de certificación y el contenido del informe de auditoría necesario para la autorización, el cual debe ser actualizado por lo menos anualmente.
Normatividad
Según la ley 527 de 1999 en el art 2 literal c se define de la siguiente manera: «Se entenderá como un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación»
¿Qué es?
1. Es única a la persona.2. Se puede verificar.3. Esta bajo el control de la persona que la usa.4. Ligada a la información relacionada en el
mensaje.5. Esta conforme a la reglamentación del
gobierno.
Función de la Firma Electrónica
La firma digital actúa de la misma forma que una firma manuscrita, puesto que si ha sido fijada a un escrito electrónico se presupone que el suscriptor quería ese mensaje como suyo teniendo los siguientes atributos:
La clave privada esta se almacena en el equipo del remitente y solamente es conocida por él.
La clave pública esta es
distribuida entre todos los posibles destinatarios de los mensajes.
¿En qué se fundamenta la firma electrónica?
Algoritmos criptográficos asimétricos en los que son necesarias un par de claves para el intercambio de la información: una clave pública y una clave privada.
Imagen tomada de: http://www.huntingbears.com.ve/mejorando-la-seguridad-de-tu-identidad-en-internet-con-gnupg.html
Tipos de firma electrónica
De clave simétricaEsta firma fue una de las primeras en utilizarse ya que se da por hecho que hay dos partes que están
interesados en la información que está en un documentos electrónico, y se utiliza una sola clave
para decodificar el mensaje, esto por supuesto, son
claves que tienen ambas partes
Tipos de firma electrónica
De clave asimétrica
Esta firma a diferencia de la simétrica, requiere de dos
calves diferentes (una pública y otra privada) en donde la clave pública es
conocida por las dos partes y la privada solo es conocida
por uno de ellos.
Identificación de la firma electrónica
La identificación consiste en determinar cuándo una firma
es verdadera o no; este proceso de identificación se
hace a través de unos datos o conceptos técnicos como lo
son los datos estáticos y dinámicos, los primeros
determinan los trazos de la firma y los segundos miden la
velocidad, la presión y la dirección con la que se hace la
firma.
Autenticación de la firma electrónica
La autenticación de la firma electrónica se hace a través de las autoridades de certificación autorizadas, quienes a su vez deben estar autorizados por el
Ministerio de Justicia para otorgar certificados que
acrediten ya sea una persona o entidad que usa una firma, y
a quien reconoce como usuario legítimo.
Aporta tres características importantes en la comunicación por Internet: identificación del firmante, integridad de los datos y Confianza.
Lo más importante es que están orientadas a realizar operaciones por Internet que en la vida cotidiana requieren de una firma para validarlas, esto ahora se hace electrónicamente
Algunos ejemplos de operaciones que se pueden realizar actualmente haciendo uso de la firma digital son: Realización de la Declaración de la Renta a través de
Internet Firma de correos electrónicos. Firma de facturas electrónicas.
Beneficios de la Firma Electrónica
Principalmente se basa en la instalación de los certificados digitales en las aplicaciones que los vayan a utilizar.
Consiste en la importación a fichero de los datos del certificado.
Las aplicaciones más comunes que utilizan la firma electrónica son el navegador y el cliente de correo electrónico.
El receptor de la información deberá confiar en el certificado digital del emisor para que pueda disponer de los datos de este.
El único dato que no será trasmitido será la clave privada que es el único dato que compromete la seguridad.
Esta es la razón por la que se pueden intercambiar certificados exportados sin la clave privada.
Modo de uso
Se aplica una función denominada hash, dicha función genera una huella digital que a su vez es diferente en cada documento, es decir que ningún documento que pase será el mismo y mediante la aplicación de otra función la huella se cifra con clave privada, de esta forma queda formada la firma.
Proceso
Proceso
1. 2.
3.4.
CIFRADO ELECTRÓNICO
¿Qué es?
El cifrado electrónico es aquel que nos permite ocultar el contenido del
mensaje (inteligible para todos) a un algoritmo en un texto
cifrado(ininteligible para todos excepto para el legítimo destinatario),
asegurando la autenticidad de los contenidos enviados como su
exclusividad y evitando la violación de la información por parte de terceros.
Se distinguen dos tipos de cifrados:
CIFRADO SIMETRICO
Cuando se emplea la misma clave en las operaciones de cifrado y descifrado, se dice que el criptosistema es simétrico o de clave secreta. Estos sistemas son mucho más rápidos que los de clave pública, y resultan apropiados para el cifrado de grandes volúmenes de datos. Ésta es la opción utilizada para cifrar el cuerpo de los mensajes en el correo electrónico o los datos intercambiados en las comunicaciones digitales. Para ello se emplean algoritmos como IDEA, RC5, DES, TRIPLE DES, etc.
CIFRADO ASIMETRICOCuando se utiliza una pareja de claves para separar los procesos de cifrado y descifrado, se dice que el criptosistema es asimétrico o de clave pública. Una clave, la privada, se mantiene secreta, mientras que la segunda clave, la pública, es conocida por todos. De forma general, las claves públicas se utilizan para cifrar y las privadas, para descifrar. El sistema posee la propiedad de que a partir del conocimiento de la clave pública no es posible determinar la clave privada ni descifrar el texto con ella cifrado. Los cripto-sistemas de clave pública, aunque más lentos que los simétricos, resultan adecuados para los servicios de autenticación, distribución de claves de sesión y firmas digitales. Se utilizan los algoritmos de RSA, Diffie-Hellman, etc.
Tomado de: http://nehos-holaaquitoyyop.blogspot.com/2012/06/documentos-electronicos-y-firma-digital.html
1. Se captura el mensaje.2. Se recupera la clave pública del certificado digital del
destinatario.3. Se genera la clave de sesión simétrica de un único uso.4. Se realiza la operación de cifrado en el mensaje
mediante una clave de sesión.5. Se cifra la clave de sesión mediante la clave pública
del destinatario.6. Se incluye la clave de sesión cifrada en el mensaje
cifrado.7. Se envía el mensaje.
Pasos a realizar en el cifrado electrónico
Almacenar archivos en el equipo: no es algo que se realice obligatoriamente, pero sirve para proteger los archivos confidenciales.
Codificar la información que se envía en un correo electrónico o un documento: para el envió de información importante los expertos recomiendan el cifrado de información.
Hacer compras en internet de manera segura: los bancos, las tiendas y la mayoría de empresas que venden productos o realizan transacciones por internet manejan una forma de cifrado muy efectiva llamada Secure Sockets Layer, el cual protege el trayecto electrónico que conecta el navegador web con los equipos que alojan sitios web de comercio electrónico.
Proteger la red domestica inalámbrica de internet: las últimas redes inalámbricas ya vienen con un cifrado, para que los vecinos no puedan acceder a la información de nuestro computador.
Usos del Cifrado Electrónico
Retomando otra vez el termino, estas autoridades o entidades, son aquellas organizaciones privadas que tienen como función evaluar la conformidad y certificar el cumplimiento de una norma de referencia ya sea del producto o del servicio o del sistema de gestión de una organización, son los que realizan las auditorias a las empresas que estén interesadas en obtener una certificación.
Algunos de los organismos nacionales e internacionales de normalización son:
¿Que es la AC (Autoridad Certificadora)?
SIGLA ORGANISMO PAÍS O REGIÓN
ISO Organización Internacional de Normalización
Internacional
CEN Comité Europeo de Normalización Europa
AENOR Asociación Española de Normalización y Certificación
España
COPANT Comisión Panamericana de Normas Técnicas
América
AMN Asociación Normas del Mercosur Mercosur
IRAM Instituto Argentino de Normalización y Certificación
Argentina
INN Instituto Nacional de Acreditación Chile
Entidades de Certificación
Entidades o Autoridades de Certificación en Colombia
Sociedad Cameral de Certificación Digital CERTICÁMARA, S.A.
Gestión de Seguridad Electrónica S.A. - GSE S.A.
Andes Servicio de Certificación Digital S.A. ANDES SCD
ENTIDADES DE CERTIFICACIÓN ABIERTA
Son las que ofrecen servicios propios de las entidades en donde no se limita al intercambio de mensajes entre la entidad y el usuario , y se recibe remuneración por estos. Las entidades de este tipo son:
Instituto Colombiano de Codificación y Automatización Comercial
Banco de la República
UAE Dirección de Impuestos y Aduanas Nacionales – DIAN
Ecopetrol S.A.
Fundación Social
ENTIDADES DE CERTIFICACIÓN CERRADA
Estas entidades a diferencia de las abiertas, ofrecen servicios propios de las entidades de certificación solo para el intercambio de mensajes entre la entidad y el suscriptor, sin exigir algún tipo de remuneración. Las entidades de este tipo son:
Entidades o Autoridades de Certificación en Colombia
1. Generación y Registro de claves.2. Identificación de Peticionarios de Certificados.3. Emisión de certificado.4. Almacenamiento en la AC de su clave
privada.5. Mantenimiento de las claves vigentes y
revocadas.6. Servicios de directorio.
Funciones de la AC
NORMATIVA DEL GOBIERNO ELECTRÓNICO EN COLOMBIA http://programa.gobiernoenlinea.gov.co/apc-aa-files/5686d2a87532a21a70ead773ed71353b/NormativaGEL.pdf En línea agosto 27 de 2012
INSTITUTO NACIONAL DE LA TECNOLOGÍA http://
www.inteco.es/Seguridad/DNI_Electronico/Firma_Electronica_de_Documentos/Que_es_la_Firma_electronica En línea agosto 27 de 2012
http://roble.pntic.mec.es/jprp0006/tecnologia/4eso_informatica/tramites_online/firma_electronica.htm En línea agosto 28 de 2012
Ley 527 de 1999 http://www.secretariasenado.gov.co/senado/basedoc/ley/1999/ley_0527_1999.html En línea agosto 278de 2012
Decreto 1747 de 2000 http://securedata.com.co/files/decreto1747.pdf En línea agosto 29 de 2012 Resolución 26930 de 2000 http://
archivo.mintic.gov.co/mincom/documents/portal/documents/root/Normatividad/Legislacion/R2693d2000.pdf En línea agosto 29 de 2012
Cibergrafía
Firma Electrónica: conceptos básicoshttp://www.archivistica.net/monograficos/Firma_electronica/firma_electronica.htm En línea agosto 29 de 2012
Ley 527 de 1999. Sobre la firma digital http://www.secretariasenado.gov.co/senado/basedoc/ley/1999/ley_0527_1999.html. En línea agosto de 2012
Que es la firma electrónica http
://www.agenciatributaria.es/AEAT.internet/Inicio_es_ES/_Configuracion_/_top_/Ayuda/Certificado_electronico/Que_es_y_para_que_sirve_un_certificado_electronico/Que_es_la_Firma_Electronica.shtml. En línea agosto 29 de 2012
Firmas y certificados electrónicoshttp://andapuca.blogspot.com/ En línea septiembre 1 de 2012
Cibergrafía