firma-e, administración-e y dni-e. retos y desafíos....aspectos legales ley 59/2003 de firma...

Firma-e, Administración-e y DNI-e. Retos y desafíos. 1

Firma-e, Administración-e

y DNI-e.

Retos y desafíos.

Daniel Sánchez Martínez [email protected]

CYUM Tecnologías y Comunicaciones SL

Universidad del Mar (Cieza), 20 de septiembre de 2007

mailto:[email protected]


Introducción

Firma electrónica– Infraestructuras de clave pública

– Certificados y dispositivos criptográficos

– Tipos de firma

Administración electrónica– ¿En qué consiste un proceso de Administración Electrónica?

– Ejemplos de servicios en la Administración pública.

DNI electrónico– Características, validación y despliegue.

Retos por superar.– Protección de los datos personales.

• Plataformas de validación de la Administración Pública y comerciales.

– Firmando a ciegas.

– Preservación digital de los documentos firmados.

Conclusiones.

PKI

Certificados

Dispositivos criptográficos

Tipos de firma

Firma electrónica


PKI

PKI (Public Key Infrastructure)

– Sistema de publicación de los valores de clave pública utilizados en criptografía asimétrica.

– Dos operaciones básicas: certificación y validación.

– El modo de realizar estas operaciones define las características de cada PKI.

– La ley las define como “Prestadores de Servicios de Certificación” (PSC).


PKI

Autoridad de

registro

WWW

Servidor de

solicitudes

Autoridad de

certificación

Servidor LDAP Usuario final Administrador


Elementos de una PKI

Autoridades de Certificación– Certificación, publicación y revocación.

Autoridades de Registro

– Verificación de datos, envío de peticiones de solicitud y revocación.

Autoridades de Validación

– Comprobación de la validez.• Listas de certificados revocados (CRLs) método

off-line.

• Servidores OCSP (Online Certificate Status Protocol) método on-line.


Validación de certificados

Basado en CRLs

Prestador de Servicios de Certificación (PSC)

Servicio de

directorio

Periódicamente

Portal Web

Público

1. Descarga

CRLCRL

Cliente

2. Comprobación de

estado de revocación


Validación de certificados

Basado en

OCSP

Prestador de

Servicios de

Certificación (PSC)

Servicio de

directorioServicio OCSP

público

petición de estado de revocación 1

Cliente

respuesta de estado de revocación 1

petición de estado de revocación n

respuesta de estado de revocación n

......Firma-e, Administración-e y DNI-e. Retos y desafíos. 8

Aspectos legales

Ley 59/2003 de firma electrónica.– Define ciertos conceptos esenciales:

• PSC reconocidos, y sus obligaciones técnicas, económicas y jurídicas.

– Proceso de acreditación ante el Ministerio de Industria, Turismo y Comercio.

– Lista de PSCs reconocidos publicada en su web.

• DPC (Declaración de Prácticas de Certificación) como documento esencial donde se plasman los tipos de servicios y el compromiso del PSC con sus usuarios.

– Características de los certificados emitidos.

– Procedimientos de solicitud, renovación y revocación.

– Mecanismos de validación soportados.


Listado de PSCs


Certificados

Certificados digitales– Documento electrónico

contenedor de una identidad digital.

– Contiene:• Información de identificación

• Clave pública.

• Información de la entidad que certifica.

• Periodo de validez del certificado.

• Firma digital de la CA que lo emite.

– Almacenamiento de

certificado + clave privada:

• Software.

• En dispositivo criptográfico


Dispositivos criptográficos

Los dispositivos criptográficos (smart cards, tokens usb…) permiten almacenar claves y certificados de forma segura.

Ofrecen una interfaz de comunicación con el S.O.– Comandos APDU - ISO 7816

Realizan operaciones criptográficas sencillas sin que las claves privadas salgan del dispositivo.


DSCF

Dispositivos Seguros de Creación de Firma.

Según Ley 59/2003 de firma electrónica:

– Los datos utilizados para la firma no deben poder reproducirse, ni derivarse

con la tecnología existente.

– Los datos de creación de firma pueden ser protegidos de forma fiable por el

firmante contra su utilización por terceros.

– El dispositivo utilizado no altera los datos o el documento que deba firmarse

ni impide que éste se muestre al firmante.

La certificación corre a cargo del Centro Criptológico Nacional

que se basa en normas técnicas internacionales (RD 421/2004):

– CWA 14169 (CEN Workshop Agreement)

– Nivel EAL4+

Actualmente:

– Tarjeta Electrónica Ministerio de Defensa

– DNI-e v1.1


Firma electrónica

Aplicación de la clave privada del certificado digital sobre un documento a través de un algoritmo matemático.

Si está creada por medios que el firmante puede mantener bajo su exclusivo control, proporciona 3 elementos de seguridad sobre transacciones y documentos electrónicos:– Autenticidad identifica al firmante.

– Integridad asegura que el documento no ha sido modificado.

– No repudio el firmante no puede negar su vinculación a esa firma.


Firma electrónica

Clavepública

Claveprivada

h23edhrt

Algoritmo

Hash

Algoritmo

Hash

Resumen

Digital

Resumen

Digital

Documento

original

Firma

Digital

PROCESO

DE FIRMA

PROCESO DE

VERIFICACIÓN DE FIRMA

+ =

√

h23edhrt


Aspectos legales

Ley 59/2003 de firma electrónica define 3 tipos de firma electrónica:– Firma electrónica

• Datos electrónicos que identifican al firmante (muy genérico).

• Ejemplo: login/pwd, código alfanumérico bancario…

– Firma electrónica avanzada• Asegura la integridad y autenticidad de los datos.

• Creada por medios que el firmante mantiene bajo su control.

• Ejemplo: certificados X509 instalados en el navegador…

– Firma electrónica reconocida• Avanzada.

• Certificado emitido por un PSC reconocido.

• Generada por un dispositivo seguro de creación de firma.

• Equivalente a la manuscrita.– Válida ante las administraciones públicas.

– Admisible como prueba en procedimientos judiciales.


Tipos de firma

Según el certificado (clasificación técnica):

– Firma de usuario• Entidad „persona física‟

• Entidad „persona jurídica‟

– Firma de servidor• Servidores web túnel SSL

• Firma automática (sellado, registro, notificación…)

– Firma de código• Componentes que se ejecutan en los clientes.


Tipos de firma

Según el formato:– CMS (Cryptographic Message Syntax) – PKCS#7

• Codificación ASN.1

• RFC 3852

• Librerías– OpenSSL y CAPICOM ActiveX (Win32)

– .NET Framework 2.0 (soporte nativo)

– IAIK y BouncyCastle (Java)

– XML Signature• Códificación XML

• RFC 3075

• Librerías– .NET Framework 2.0 (soporte nativo)

– IAIK y Apache XML Security (Java)

– PDF• Soporta PKCS#7


Fundamentos y pilares

Registro telemático

Notificación electrónica

Facturación electrónica

Contratación pública electrónica

Voto electrónico

Compulsa electrónica

Administración Electrónica


e-Administración

“Uso de las tecnologías de la información en las Administraciones con el fin de mejorar los servicios públicos”.

Líneas de actuación:– Acceso público de los usuarios.

– Intercambio de información entre Administraciones.

– Reorganización interna de las Administraciones.

¿Es realmente algo novedoso?– Las Administraciones ofrecen servicios telemáticos

desde que existe la tecnología web.

– O son incompletos o no tienen validez jurídica.


e-Administración

Beneficios– Eliminación del

papel y colas.

– Oficina virtualúnica(24x7).

– Administración en línea.

– Mayor eficiencia,mayor productividad.

– Colaboración entre Administraciones.

La e-Administración se sustenta en 2 pilares básicos:– Infraestructura técnica seguridad

– Marco normativo validez jurídica


e-Administración

Ley de Acceso Electrónico de los

Ciudadanos a las Administraciones Públicas

(LAECAP).

– Generación de confianza y unificación de

criterios.

– Actuación administrativa automatizada (art 18).

• Sello de entidad o de órgano.

– Validez de los códigos electrónicos (art 30).

– Copias digitalizadas de documentos en la

iniciación de un procedimiento (art 35).



Características:

– Servicio 24x7

– Presentación telemática de instancias

– Integración en flujos de trabajo de

aplicaciones de intranet.

– Seguridad

• Autenticación de usuario

• Firma de instancias

• Sellos de tiempo en justificantes electrónicos



Características:

– Admisión, puesta a disposición y entrega de

notificaciones con acuse de recibo.

– Suscripción de los usuarios a los servicios.

– Notario electrónico.

• Sellos de tiempo.

• Recibos electrónicos.

– Plataforma envio mensajes SMS y correo

electrónico para avisos de notificación.



CompradorProveedor

SII

Certificado Digital

EntidadCertificadora

Internet

Foliado

00100110

Almacenajeelectrónico

00100110

Almacenajeelectrónico

Portal de Facturación

√



Motivación:

– Recorte de gastos para la empresa y para la

Administración.

– Agilidad en la tramitación.

– Ahorro de espacio. Se elimina el papel.

– Procedimiento seguro uso de firma electrónica.

– Utilización de estándares XML.

• UBL Invoice de OASIS.

• eFactura de la Agencia Tributaria.

– Digitalización hacia dentro (flujos de validaciones) y

hacia fuera (emisión y recepción).


Contratación pública

Componentes:

– Expedientes electrónicos

– Registros de licitadores

– Catálogo de ofertas

– Plataformas de licitación

– Notificaciones electrónicas

Características de las plataformas:

– Presentación de ofertas firmadas digitalmente.

– Encriptación temporal de ofertas sobre digital (caja

fuerte virtual).


Plataforma de licitación


Voto electrónico

Requisitos de una plataforma de voto:– Identificación del votante

– Protección de la privacidad de los votantes

– Protección de la urna digital (secreto de los resultados parciales, integridad de los votos, imposibilidad de adición de votos falsos...)

– Verificación del voto por parte de un votante

– Resultados deben poder ser auditados


Voto electrónico

Características:– Sobre digital cifrado del voto con la clave pública

de la autoridad de recuento.

– Clave privada de la autoridad de recuento fraccionada entre los miembros de la mesa electoral.

– Cada votante recibe un identificador electrónico después de emitir el voto (va sellado por la autoridad de recuento).

– En el sobre se añade una prueba de autoría de la votación a través de la clave privada del votante.

– Protocolo de mixing para eliminar correlación votante-voto en el momento anterior al escrutinio.


Compulsa electrónica

Digitalización de documentos por parte de

las Administraciones.

Conservación de las propiedades de

autenticidad e integridad de la copia

electrónica, y de la identidad del organo

que realiza la compulsa.

Uso de firma electrónica reconocida.

“Desmaterialización documental”



Características

Autoridades de validación

Despliegue actual

DNI electrónico

36

Características

Sustituto del DNI tradicional.– Incorpora un chip que permite realizar procesos de autenticación

y firma electrónica reconocida con plena validez jurídica.

Dispositivo seguro de creación de firma.– Certificado por el CCN.

Marco jurídico.– Real Decreto 1553/2005

Firma-e, Administración-e y DNI-e. Retos y desafíos.

Características

El chip contiene diferentes elementos de seguridad:

– 1 certificado reconocido de autenticación.

– 1 certificado reconocido de firma.

– Patrón biométrico de la huella dactilar.

El PSC es la Dirección General de Policía.

– El proceso de generación y activación de los certificados

es presencial.

La Autoridad de Validación la comparten el MAP y

la FNMT.

– CRLs.

– Servicio OCSP.


Autoridades de validación


Despliegue actual


40

Plataformas de validación

Firmas a ciegas

Preservación digital

Retos y desafíos



Escenario español actual:– Múltiples PSC.

– Múltiples tipos de certificados.

– Múltiples mecanismos de validación.

– Problemas de interoperabilidad.

– Aumento de la complejidad de los clientes finales.

– Surgen terceras partes confiables (TTP) que ofertan servicios de valor añadido.

• Interpretación de certificados

• Validación de certificados

– ¿Es consciente el usuario del uso que se hace de sus datos personales?


42


Ejemplo: MAP– Ofrece un webservice a través de la plataforma de

validación (@firma).

– http://www.dnielectronico.es/seccion_aapp/platform.ht

ml


http://www.dnielectronico.es/seccion_aapp/platform.html

http://www.dnielectronico.es/seccion_aapp/platform.html

CRLsOCSP Responder

CA 1 CA 2 CA 3

conexión

onlineconexión

online

descarga

periódica

SCVP Responder

Plataforma de validación

de certificados

…CA n

?

Servidor de

aplicaciones

Servidor de

aplicaciones

Servidor de

aplicaciones


Log de uso de

la plataforma

Repositorio de

certificados


http://www.avradio.com/images/log500.jpg

Firmas a ciegas

Las tecnologías actuales no ofrecen al usuario ninguna garantía acerca de qué está firmando.

– Tampoco el DNI electrónico.

Separación técnica entre la vista y la lógica de la aplicación.

Posible indefensión del usuario.

¿Debemos simplemente “confiar”?

Demo con DNI-e.


45

Preservación digital

El DNI-e permite garantizar jurídicamente la autenticidad y validez de las transacciones electrónicas y los documentos firmados digitalmente.– ¿Dónde guardar esos documentos?

– ¿Cómo preservarlos del paso del tiempo?• Los formatos dejan de ser compatibles.

• Las claves empiezan a ser atacables.

– ¿Cómo garantizar su accesibilidad y su validez?

Problema fundamental al que se enfrentan todas las Administraciones archivado electrónico seguro.


46

Conclusiones

La firma-e, la Administración-e y el DNI-e representan una nueva y apasionante oportunidad para que las Administraciones públicas revolucionen su forma de relacionarse con los ciudadanos.

Existen aún retos y desafíos abiertos que deben ser solventados.

Nos encontramos ante una escenario abiertoen el que fomentar la participación de los ciudadanos y la transparencia de las instituciones.


Referencias

DNI electrónico.

http://www.dnielectronico.es/

CERES. http://www.cert.fnmt.es/

Consejo Superior de Administración

Electrónica. http://www.csi.map.es/

Observatorio e-Government europeo.

http://www.epractice.eu

Tecnimap 2007. http://www.tecnimap.es


http://www.dnielectronico.es/

http://www.cert.fnmt.es/

http://www.csi.map.es/

http://www.epractice.eu/

http://www.tecnimap.es/

48

Gracias por su atención

PREGUNTAS

Daniel Sánchez Martínez <[email protected]>


firma-e, administración-e y dni-e. retos y desafíos....aspectos legales ley 59/2003 de firma...

Documents