EJE TEMÁTICO TRESCERTIFICADO Y FIRMA ELECTRÓNICA

María Cecilia Ortiz GuacanemeAndrea del Pilar Galeano Ríos

Andrés NiñoVenancio Sandoval Ospina

John Leider Gaviria CastañedaGRUPO 1

JORGE MARIO ZULUAGA CAMPUZANO Ingeniero de Sistemas Especialista en

Desarrollo de Software

CIENCIA DE LA INFORMACIÓN, LA DOCUMENTACIÓN, BIBLIOTECOLOGÍA Y ARCHIVÍSTICA

UNIVERSIDAD DEL QUINDÍO2011

Mediante este eje temático van a encontrar toda la información sobre certificación y firma electrónica, además de que se trata la autentificación e identificación que se realiza por medio del cifrado de contraseñas que se debe de manejar según la normatividad que existe en el país, para ello se identifican los entes reguladores para velar que se cumplan cada uno de esos puntos.

INTRODUCCIÓN:

Objetivo general: Mediante el análisis, investigación y realización de este trabajo pretendemos brindar información pertinente, específica y comprensible acerca de la certificación y firma electrónica, funcionamiento, identificación, autentificación, entidades de certificación y cifrado electrónico.

Objetivos específicos Facilitar información que les permita a todos los compañeros establecer con claridad

los conceptos de certificado electrónico, sus garantías, servicios y diferentes tipos existentes. 

Comprender lo relacionado con la firma electrónica y su diferencia con la firma digital, estableciendo su importancia características y funcionalidad.

Proporcionar la información necesaria acerca del cifrado electrónico, la autentificación e identificación como procesos importantes dentro de las actividades concernientes al control, seguridad y confidencialidad de los documentos electrónicos. 

Tener un acercamiento al marco legal implementado en Colombia, el cual es muy importante como base de la regulación e implementación que debe tener la gestión electrónica documental en nuestro país.

Establecer con claridad las entidades encargadas de la certificación electrónica, sus funciones y tipos.

OBJETIVOS:

• Certificado Electrónico• El certificado electrónico

garantiza• Un certificado electrónico sirve• Tipos de certificados electrónicos• Certificación digital• Funcionamiento• Cualidades de la certificación

digital• Confiabilidad de un certificado• Firma electrónica• Características y usos de la firma

electrónica• Firma digital• Atributos de la firma digital• Autentificación e identificación

• Funcionamiento firma electrónica• Esquema de funcionamiento firma

electrónica• Cifrado• Tipos de cifrado• Marco legal• Marco regulatorio• Ley 527 de 1999• Acuerdo Nº 27 de 2006• Norma ISO 15489• Entidades de certificación• Tipos de entidades de

certificación• Conclusión

TABLA DE CONTENIDO

Un certificado electrónico es un conjunto de datos que permiten la identificación del titular del certificado, intercambiar información con otras personas y entidades, de manera segura, lo mismo que firmar electrónicamente los datos que se envían de tal forma que se pueda comprobar su integridad y procedencia.

El certificado electrónico se encuentra validado por una autoridad competente . 

CERTIFICADO ELECTRÓNICO

EL CERTIFICADO ELECTRÓNICO GARANTIZA

La autenticidad de las personas y entidades que intervienen en el intercambio de información.

Confidencialidad: que solo el emisor y el receptor vean la información.

La integridad de la información intercambiada, asegurando que no se produce ninguna manipulación.

El no repudio, que garantiza al titular del certificado que nadie más que él puede generar una firma vinculada a su certificado y le imposibilita a negar su titularidad en los mensajes que haya firmado.

Autentificar la identidad del usuario, de forma electrónica, ante terceros.

Firmar electrónicamente de forma que se garantice la integridad de los datos trasmitidos y su procedencia. Un documento firmado no puede ser manipulado, ya que la firma está asociada matemáticamente tanto al documento como al firmante.

UN CERTIFICADO ELECTRÓNICO SIRVE PARA

Cifrar datos para que sólo el destinatario del documento pueda acceder a su contenido.

Certificado electrónicos: es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad.

Certificado reconocido: es un certificado electrónico que cumple con los requisitos recogidos en la Ley de Firma Electrónica 59/2003 tanto en cuanto a su contenido, como en ciertas condiciones que debe cumplir el Prestador de Servicios de Certificación.

TIPOS DE CERTIFICADOS

ELECTRÓNICOS

Atendiendo a la normativa, se habla de:

Certificado de persona física: es el que identifica a una persona individual.

Certificado de persona jurídica: es el que identifica a una entidad con personalidad jurídica. Por ejemplo a una empresa.

Certificado de entidad sin personalidad jurídica: es el que identifica a una entidad sin personalidad jurídica. Por ejemplo a una comunidad de vecinos.

Atendiendo al soporte del certificado, se habla de:

Certificado software: es aquel que consiste en un fichero software, que no tiene soporte físico alguno más que el propio ordenador o servidor donde se instala.

Certificado de tarjeta: es aquel que se encuentra alojado en una tarjeta.

CERTIFICACIÓN DIGITAL

Un certificado digital es un documento otorgado por una autoridad de certificación que garantiza la asociación de una persona física con una firma digital.

El certificado digital es el mecanismo que nos permite obtener una firma digital válida para firmar documentos de manera electrónica.

FUNCIONAMIENTO

Dependiendo de su nivel de seguridad, la firma digital ofrece las mismas garantías que la firma ológrafa y permite asegurar la integridad de un documento.

El documento digital vendría a ser el equivalente a un Documento de Identidad, Licencia, pasaporte o carné de empresa.

La emisión está bajo la responsabilidad por una entidad de certificación debidamente autorizada por la SIC.

Esta entidad garantiza la veracidad de los datos relativos a una persona y contenidos en el citado documento.

Mediante un conjunto de claves asociadas a una identidad, un Certificado sirve para identificarse ante terceros, y previene suplantación de la identidad en Internet.

Este hecho lo convierte en herramienta clave para la identificación de las partes contratantes en el comercio electrónico.

CUALIDADES DE LA CERTIFICACIÓN

DIGITAL

De la credibilidad de quien lo emite, es decir de la entidad de certificación.

Del método y los recursos utilizados para su emisión: soporte, identificación, seguridad, etc.

Del ámbito de reconocimiento de ese certificado.

LA CONFIABILIDAD DE UN

CERTIFICADO

DEPENDE

Una firma electrónica es una firma digital que se ha almacenado en un soporte de hardware;

FIRMA ELECTRÓNICA

mientras que la firma digital se puede almacenar tanto en soportes de hardware como de software. La firma electrónica reconocida tiene el mismo valor legal que la firma manuscrita.

Las características y usos de la Firma electrónica son exactamente los mismos que los de la Firma Digital con la única diferenciación del tipo de soporte en el que se almacenan. Su condición de inmodificable aporta un grado superior de seguridad, si bien la ausencia habitual de contraseñas de seguridad que protejan su uso permitirían que un portador ilegítimo pudiese suplantar al propietario con facilidad, entre sus usos encontramos:

CARACTERÍSTICAS Y USOS DE LA FIRMA ELECTRÓNICA

Firma de documentosLa firma y cifrado de los

correos electrónicosContratación electrónicaAplicaciones Bancarias

Comercio ElectrónicoAutenticación de usuarios en

redes telemáticas insegurasMasificación de trámites

administrativosNotificaciones electrónicas

FIRMA DIGITAL

“Se entenderá como un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y

al texto del mensaje permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación”

Ley 527 art. 2 literal c

CREACIÓN DE UNA FIRMA

DIGITAL

VERIFICACIÓN DE LA FIRMA

DIGITAL

• Es única• Es verificable• Está bajo control exclusivo del iniciador• Está ligada a la información del mensaje• Está de acuerdo con la reglamentación

ATRIBUTOS DE

LA FIRMA DIGITAL

Se podría resumir en un solo término control de acceso, la identificación como la autenticación son la primera línea de defensa que tienen un sistema para permitir o denegar el acceso a los usuarios como por ejemplo:

Un programa especializadoUn programa de uso comercialDocumentos que pueden estar en un servidor

(Bibliotecas virtuales, formularios de inscripción, Etc.)

Incluso información de clasificación confidencial.

AUTENTIFICACIÓN E

IDENTIFICACIÓN

Identificación: es el momento en que el usuario se da a conocer en el sistema, por medio de su identidad o login correspondiente.

Autentificación: es la verificación que realiza el sistema sobre la identificación, para dar paso o denegarlo en el caso dado.

Clave. (Contraseña). Forma de autenticación o identificación de una persona o usuario. Generalmente es información de carácter secreto, único e individual, que hace uso de una combinación de números, de letras o de ambas, para controlar y permitir el acceso a un lugar o sistema.

PODRÍAMOS

DENOMINAR QUE:

Estos son algunos de los tipos de técnicas que se pueden utilizar para utilizar la identificación y autentificación:

El individuo conoce: una clave secreta de acceso o password, una clave criptográfica, un número de identificación personal o PIN, etc.

La persona posee: una tarjeta magnética.Lo identifica unívocamente: las huellas digitales o

la voz.El usuario es capaz de hacer: los patrones de

escritura.

Ejemplo del ingreso a un documento con información confidencial.

1. Primero para tener esta información la empresa prestadora de servicios solicita, tener unos datos del usuario que está afiliado.

2. Después de tener esos datos los utiliza para enviar trimestralmente un informe o estrato de rendimiento, el cual es enviado por un mail a su correo personal.

3. Adjunto en el mensaje se encuentra un archivo en PDF que contiene la información, pero antes de poder ingresar el usuario debe de ingresar la contraseña que el debe de conocer.

4. El ingreso de la contraseña correcta dará como resultado el poder ingresar a la información.

FUNCIONAMIENTO

FIRMA ELECTRÓNICA¿Cómo funciona?

Es un mecanismo criptográfico que asocia la identidad de una persona o equipo informático al mensaje o documento que este envía. Podría decirse que es lo más parecido a una firma autografiada para el medio electrónico. En función del tipo de firma incluso asegura que no puede modificarse el contenido de un documento firmado. Contiene una clave privada y otra clave pública (criptografía asimétrica).

Si el código hash calculado no concuerda con el resultado de la firma digital desencriptada o el documento ha sido modificado posteriormente a la firma del mismo o la firma no fue generada por la clave privada del emisor del documento.

ESQUEMA DE FUNCIONAMIENTO FIRMA ELECTRONICA

CIFRADO

Cifrar no es más que la acción de tomar un texto en lenguaje natural; si se le aplica un algoritmo de cifrado se generará como resultado un mensaje cifrado que sólo se podrá descifrar por aquellos que conozcan el algoritmo utilizado y la clave correspondiente.

Cifrado Simétrico (o de clave secreta)

El cifrado simétrico es aquel que emplea la misma clave tanto para cifrar como para descifrar el mensaje. Su ventaja es la rapidez del proceso de cifrado y su inconveniente es la distribución segura de dicha clave ya que para descifrar el mensaje el destinatario necesita la misma clave secreta con la que el remitente lo ha cifrado.

Cifrado Asimétrico

Emplea un par de claves: una clave pública para cifrar y su correspondiente clave privada para descifrar.

Tan sólo el destinatario, poseedor de la correspondiente clave privada, podrá descifrarlo y, por lo tanto, ver su contenido.

EXISTEN DOS TIPOS

DE CIFRADO:

CLAVE PRIVADA

Se aloja en la PC o Tarjeta inteligente.

CLAVE PÚBLICA

Conocida por todos se envía a quien la requiera, se publica de modo que pueda ser accesible.

• Identificarse ante terceros • Firmar documentos electrónicamente • Evitar la suplantación de la identidad • Proteger la información transmitida• Garantizar la integridad de la • Comunicación entre las partes

NECESIDADES DEL

CIFRADO DIGITAL

LO QUE SIGNIFICA

EL MARCO LEGAL

Es una obligación la conservación de los documentos electrónicos. Son responsables de su custodia todos aquellos bajo cuyo cuidado

reposan, bien cuando están de forma física o Electrónica. Es una obligación el desarrollo, aplicación y actualización de las TRD. Todos los trabajos archivísticos deben ser guiados por las normas, el

Comité de Archivo y de la mano de las herramientas como las TRD. En algunos archivos temáticos existen normas especificas para su

administración. El manejo de las Comunicaciones Oficiales tiene normas especificas

para su administración. Las Normas Técnicas Colombianas son de obligatoria observación. La participación activa en el desarrollo del SGD es necesaria para el

logro de los objetivos Institucionales e integrar con el G E L.

• “La adopción de Tecnologías de Información y Comunicación (TICs) por parte de las organizaciones, y la necesidad de aplicar modelos de gestión, hace que en la actualidad, la mayoría de los documentos se generen y cumplan su ciclo de vida de manera electrónica.”

MARCO REGULATORIO PARA LOS DOCUMENTOS ELECTRONICOS

Ley 80 de 1989

Ley 397 de 1997 ‘Ley General de

Cultura’

Ley 594 de 2000 ‘Ley General de Archivos’

Decreto 4124 de

2004

Ley 1185 de 2008 ‘Ley de

Patrimonio’

Decreto 763 de 2009

Reglamenta el acceso y uso de mensajes de datos, del comercio electrónico y de la firma digitales, y se establecen las entidades de certificación y se dictan otras Disposiciones

Ley 527 de 1999

Ley 527 de 1999

MENSAJES DE DATOS FIRMAS DIGITALES

ACUERDO No. 027-2006 “Por el cual se modifica el Acuerdo No. 07 del 29 de junio de 1994

El Archivo General de la Nación de Colombia; ente rector de la Archivística define:

Documento electrónico de archivo: Registro de la información generada, recibida, almacenada, y comunicada por medios electrónicos, que permanece en estos medios durante su ciclo vital; es producida por una persona o entidad en razón de sus actividades y debe ser tratada conforme a los principios y procesos archivísticos.

La ley 594 establece las reglas del juego para el control documental en las instituciones; sin importar los soportes o entornos en los cuales se conserve la información.

Según las instrucciones impartidas por el AGN, el PGD debe articularse e integrarse con las TIC, definiendo así el marco conceptual para el control de los documentos electrónicos

NORMA ISO

15489La norma ISO 15489 y el manual para Archiveros «Documentos electrónicos» orientan las mejores practicas sobre gestión de documentos; incluyendo los documentos electrónicos, como incorporarlos a un sistema de archivo, conservarlos y hacer que estén disponibles.

¿Quienes son los responsables de aplicar las anteriores

normas?

ENTIDADES DE CERTIFICACIÓN

La superintendencia de industria y comercio, bajo el artículo 41 de la ley 527 de 1999 tiene las siguientes facultades:

Autorizar la actividad de las entidades de certificación en el territorio nacional. Velar por el funcionamiento y la eficiente prestación del servicio por parte de

las entidades de certificación. Realizar visitas de auditoría a las entidades de certificación. Revocar o suspender la autorización para operar como entidad de

certificación. Solicitar la información pertinente para el ejercicio de sus funciones. Imponer sanciones a las entidades de certificación en caso de incumplimiento

de las obligaciones derivadas de la prestación del servicio.

 

• Ordenar la revocación de certificados cuando la entidad de certificación los emita sin el cumplimiento de las formalidades legales.

• Designar los repositorios y entidades de certificación en los eventos previstos en la ley.

• Emitir certificados en relación con las firmas digitales de las entidades de certificación.

• Velar por la observancia de las disposiciones constitucionales y legales sobre la promoción de la competencia y prácticas comerciales restrictivas, competencia desleal y protección del consumidor, en los mercados atendidos por las entidades de certificación.

• Impartir instrucciones sobre el adecuado cumplimiento de las normas a las cuales deben sujetarse las entidades de certificación

ENTIDADES DE CERTIFICACIÓN

Entidad de certificación abierta: la que ofrece servicios propios de las entidades de certificación, tales que: Su uso no se limita al intercambio de mensajes entre la entidad y el suscriptor, o recibe remuneración por éstos.

• Sociedad Cameral De Certificación Digital CERTICÁMARA, S.A.

• Andes Servicio De Certificación Digital S.A. ANDES SCD

TIPOS DE ENTIDADES DE CERTIFICACIÓN

Entidad de certificación cerrada: entidad que ofrece servicios propios de las entidades de certificación sólo para el intercambio de mensajes entre la entidad y el suscriptor, sin exigir remuneración por ello.

• Instituto Colombiano De Codificación Y Automatización Comercial• Banco De La República• A toda hora S.A. - ATH• Uae Dirección De Impuestos Y Aduanas Nacionales – DIAN• Ecopetrol S.A.• Fundación Social

TIPOS DE ENTIDADES DE CERTIFICACIÓN

CONCLUSIÓN:

Al haber realizado la investigación correspondiente al eje temático número tres, encontramos que en Colombia existe una normatividad para los documentos electrónicos, para que estos sean manejados por las distintas organizaciones que desean utilizar en sus documentos electrónicos las certificaciones y firma electrónica, por la seguridad y validez que dan al realizarse por este medio, éstas son evaluadas por las entidades certificadoras que existen en nuestro país.

CERTIFICADO Y FIRMA ELECTRÓNICA:

http://www.aeat.es/AEAT.internet/Inicio_es_ES/_Configuracion_/_top_/Ayuda/Certificado_electronico/Que_es_y_para_que_sirve_un_certificado_electronico/_Que_es_un_Certificado_electronico_.shtmlhttp://www.informatica-hoy.com.ar/software-seguridad-virus-antivirus/Certificado-Digital-Seguridad-informatica.phphttps://www.tramitaciontelematica.es/fdigital/F_digital.htmhttp://sivicof.contraloriabogota.gov.co/stormUser/Documentos/Conceptos%20de%20Firma%20Digital.pdfhttp://andapuca.blogspot.com/

AUTENTIFICACIÓN E IDENTIFICACIÓN:

http://www.runt.com.co/portel/libreria/php/01.1302.html?dif=8183db3d40af5a2b6f1c912a8ccef9aahttp://www.eumed.net/cursecon/ecoinet/seguridad/autentificacion.htmhttp://www.segu-info.com.ar/logica/identificacion.htmhttp://www4.uji.es/~al024444/mecanismosdeseguridad.html

BIBLIOGRAFÍA:

ENTIDADES DE CERTIFICACIÓN:

http://www.sic.gov.co/index.php?idcategoria=2107www.certicamara.gov.co

FUNCIONAMIENTO DE LA FIRMA ELECTRÓNICA:http://www.boe.es/aeboe/consultas/bases_datos/act.php?id=BOE-A-2007-12352&p=20110305&tn=1http://www.informatica-juridica.com/anexos/anexo79.asphttp://salvadorvilalta.com/2010/02/13/firma-electronica-que-es-y-como-funciona/http://www.fomento.es/oficinavirtual/firma.html

CIFRADO ELECTRÓNICO:http://www.mozilla-hispano.org/documentacion/Firma_y_cifrado_de_correos_electr%C3%B3nicos

MUCHAS

GRACIAS