Firma Electrónica Avanzada

Firma Electrónica en la SFP

Firma Electrónica Simple

La firma electrónica simple NO proporciona los servicios de no repudio ni de integridad.

Definición

“Los datos en forma electrónica consignados en un mensaje de datos, o adjuntados

o lógicamente asociados al mismo, que puedan ser utilizados para identificar al

firmante en relación con el mensaje de datos e indicar que el firmante aprueba la

información recogida en el mensaje de datos” (UNCITRAL).

Técnicamente, una firma electrónica es un conjunto o bloque de caracteres que

viaja junto a un documento, archivo o mensaje y que puede identificar quién es el

presunto autor o emisor del mismo (autenticación) y crea una relación entre el

documento firmado y su autor (Identificación).

Definición

A la firma electrónica que permite la identificación del firmante y ha sido generada

bajo su exclusivo control, conocida también como firma digital, que vincula

exclusivamente al mismo con el mensaje de datos al que se adjunta o asocia, lo que

permite que sea detectable cualquier modificación ulterior a éste.

Firma Electrónica Avanzada

Integridad

No repudio

Confidencialidad

De acuerdo a la UNCITRAL para que una firma electrónica sea

considerada como avanzada:

a) Los datos de creación de la firma, en el contexto en el

que son utilizados, corresponden exclusivamente al

firmante.

b) Los datos de creación de la firma estaban, en el

momento de la firma, bajo el control exclusivo del

firmante.

c) Es posible detectar cualquier alteración de la firma

electrónica hecha después del momento de la firma; y

d) Es posible detectar cualquier alteración ulterior de la

información firmada.

Tanto la firma electrónica como la firma electrónica avanzada, cumplen con las

características de la firma autógrafa, pero permiten hacerlo en medios electrónicos

con seguridad técnica y jurídica.

Firma Electrónica Avanzada

Firma

Autógrafa

Firma

Electrónica

Simple

Firma

Electrónica

Avanzada

E l e m e n t o s f o r m a l e s

La firma como signo personal. El animus signandi

E l e m e n t o s f u n c i o n a l e s

Identificación Autentificación Confidencialidad X Integridad X X No repudio X X

Firmas Digitales

Esta es el equivalente a la firma autógrafa convencional, ya que un individuo

puede firmar datos y otras entidades pueden leer esta firma y verificar su exactitud.

Sin embargo la firma digital es más segura.

Mensaje en claro Valor hash

Función

HASH

Llave Privada

+

= FIRMA DIGITAL

Documento

firmado

Mensaje en claro

Firmas Digitales

Verificación de Firmas digitales

Valor hash

Función

HASH

=

Mensaje en claro

FIRMA DIGITAL

Llave Pública

Valor hash

Documento

firmado

Infraestructura de Llave Pública

Una Infraestructura de Llave Pública (o en inglés, PKI, Public Key Infrastructure)

es una combinación de hardware y software, tecnologías de cifrado, servicios,

políticas y procedimientos que permiten proteger la seguridad de las transacciones

de información en un sistema distribuido.

PKI integra certificados digitales, criptografía de llave pública y autoridades de

certificación en una arquitectura de seguridad unificada.

Los servicios de seguridad que puede proporcionar una PKI son:

Confidencialidad Notarización

Integridad No-repudio

Autenticidad No-repudio de origen

Comunicación segura No-repudio de recepción

Estampas de tiempo Administración de privilegios

Privacidad

Infraestructura de Llave Pública

Autoridad Certificadora (AC)

Suscriptor o Usuario final

Repositorio

Parte confiante

Autoridad Registradora (AR)

Solicita un certificado

Solicita un certificado

Emite un certificado

Mensaje firmado

Llave Pública

Entidades PKI

Ley Federal de

Procedimiento

Administrativo

Marco normativo – SFP

1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009

Acuerdo

CompraNET

Acuerdo

CompraNet

“Uso de medios

de identificación

electrónica”

Reformas

L.F.P.A

LFRASP

Acuerdo

DeclaraNet

“Dec Patrim

por medios de

comunicación

electrónica”

Acuerdo

DeclaraNet

FE-SFP

FEA

Acuerdo

SAT-SFP

Acuerdo

“Normas de

Operación”

RSPS

Acuerdo

“Expedición por

medios remotos de

comunicación

electrónica”

RSPS

Acuerdo

Declaranet

FEA

Acuerdo

CIDGE

Lineamientos

Subcomisión

FEA

Acuerdo

“Medios de

com elec”

L.F.P.A.

Nueva

LAASSP

Ley de

Adquisiciones

y Obras

Públicas

Homologación de la operación de la FEA en la APF

Código Fiscal

Federal

Ley Federal de Procedimiento

Administrativo

Código de Comercio

SFP SAT

Subcomisión de la FEA

SE

Lineamientos de la FEA

• Procedimiento de certificación

de la Identidad

• Estructura del Certificado

Digital

• Funciones y Procedimientos

de una Autoridad Certificadora

• Interoperabilidad entre

Autoridades Certificadoras

Dependencias y

Entidades

APF

Subcomisión de FEA

Implementación y uso de

certificados digitales

“Módulo para la Firma Electrónica

de Documentos”

Antecedentes

Actualmente los sistemas de la APF que utilizan firma electrónica, emplean componentes criptográficos personalizados al 100% con la aplicación, por lo que no pueden ser reutilizados para otros servicios.

Derivado de lo anterior, la implementación de la firma electrónica ha sido paulatina, por lo que la gran mayoría de los servicios electrónicos en la Administración Pública Federal hasta el día de hoy no cuentan con una firma electrónica, por ello la SFP desarrollo en el 2008 el Módulo para la Firma Electrónica de Documentos.

TramitaNet

E-5cinco RUPA

DeclaraNet

CompraNet

Infraestructura

Tecnológica

Integral

Desde 1995…

Objetivo, Misión y Visión

OBJETIVO

Dar a conocer las alternativas de implementación del proyecto de

Módulo para la Firma Electrónica de Documentos, a los

usuarios de la Secretaría de la Función Pública y de la

Administración Pública Federal, con la finalidad de reducir los

gastos y de poder contar con la interoperabilidad de distintas

aplicaciones.

MISIÓN

Simplificar los procesos con el

Módulo para la Firma

Electrónica de Documentos

en las aplicaciones y trámites

sin tener que gastar recursos

propios para su implementación

en toda la Administración

Pública Federal.

VISIÓN

Proporcionar y/o dar un

servicio a toda la

Administración Publica

Federal para que cualquier

aplicación que requiera del

uso de la Firma Electrónica

Avanzada pueda hacerlo con

un solo componente

criptográfico.

Servicios de Firmado Electrónico 2008

Tecnología orientada a Servicio

In

teg

ració

n y

Po

rta

bil

ida

d

+

-

+ -

RENAT

Servicios de Firmado

Uso de tecnología de firmado exclusiva de cada aplicación.

Inversión de recursos para el desarrollo de la solución de firmado en cada aplicación.

Sin integración de todos los servicios de una PKI (OCSP, estampillas de tiempo, registros de auditoría, etc.)

Soluciones no portables.

Servicios de Firmado Electrónico

RENAT

Situación 2008

RENAT

FEU

Visión 2012

Modelo de Servicio para las Dependencias

La SFP pone a disposición de la APF el Módulo para la Firma

Electrónica de Documentos la cual les permitirá mejorar sus

trámites y servicios

Dependencia

Firma Electrónica

Auditorias

Aplicaciones de la

dependencia

Servicios proporcionados

Modelo de servicio

Mecanismo basado en un modelo de servicio que promueve la

interoperabilidad entre las aplicaciones, autoridades

certificadoras y certificados digitales.

Autoridades Certificadoras Aplicaciones

Servicios Usuarios

FEU OCSP

Firma de

Documentos

Verifica

Firma

MIFE Módulo de Firma

Electrónica de

Documentos

Modelos de servicio de firmado electrónico

Transferencia a dependencia Servicio proporcionado por la SFP

Aplicación

FEU

Paquete

FEU

Reutilización de recursos a través un mecanismo orientado a un modelo de servicio.

Logra la interoperabilidad entre las entidades y sistemas.

Modelo replicable a otras dependencias.

Aprovechamiento de servicios PKI (OCSP, estampillas de tiempo, notaria electrónica, etc.)

Solución altamente portable.

Independencia de plataforma.

Ahorro en la adquisición de licencias de software por cada aplicación que utilice un componente de firmado electrónico.

Rápida integración a diversos procesos y servicios conforme a requerimientos.

BENEFICIOS

Servicios de Firmado Electrónico 2009

Tecnología orientada a Servicio

In

teg

ració

n y

Po

rta

bil

ida

d

+

-

+ -

RENAT

Proyecto 2012

Integración de procesos de la SFP.

Integración de procesos de otras dependencias de la APF.

Modelo de servicio

Los pasos para implementar el servicio de la Firma Electrónica de Documentos

son:

CD con manuales de

uso

Formato de

Condiciones de Uso

Id de conexión

Usuario Datos de

aplicación

1. Realizar el registro del responsable y de la aplicación que

utilizará el servicio de Firma Electrónica Avanzada. La salida de

este proceso es de forma manual y se firma el formato de

condiciones de uso y un identificador de la aplicación registrada.

Registro en el Módulo de

Firma Electrónica de

Documentos

Solicitud de Servicio

Utilización del Servicio por una Aplicación

2. Solicitud del servicio mediante un Identificador de aplicación previamente

registrado, con el cual se configura y personaliza el componente de firma

electrónica.

Archivo

Firmado

Folio

Id de conexión

Continuar

con flujo de

la

aplicación

(Acuse)

Aplicación

Módulo de Firma

Electrónica de

Documentos

Implementación

Una vez que identifique y decida el punto en donde la aplicación integrará el Módulo de

Firma Electrónica de Documentos, esta deberá invocar el componente esperando

como resultado el número de folio correspondiente a la transacción: Como parte de la

información que se debe de tomar en cuenta al momento de registrarse en el módulo

de enrolamiento es la URL que tomará el control del flujo original del proceso, después

de efectuar la Firma Electrónica, por ejemplo ,un acuse, Como se muestra en la figura

el componente acuse es llamado por el componente de Firma Electrónica de

Documentos el cual le dará la continuidad al flujo de la aplicación que estará

implementando la Firma Electrónica.

Módulo de

Firma

Electrónica

Documentos

Invocar Módulo

De Firma

Electrónica

de Documentos

SFP

Dependencia

Implementación

Al invocar el servicio de Firma Electrónica de Documentos se presentara la siguiente pantalla

Una vez que el usuario firma la transacción al oprimir el botón “Siguiente”, el módulo de Firma Electrónica

de Documentos le devolverá el control a la aplicación solicitante del servicio para continuar con el proceso

(ej. Generación de acuse de recibo de la transacción)

Siguientes acciones…

Identificar trámites o servicios que requieran implementar firma electrónica

Análisis de factibilidad de implementación

¿Cuál es el objetivo de implementar firma electrónica en el trámite o servicio electrónico?

- Cifrado/Descifrado - Medio de autenticación - Firmas digitales (equivalencia a firma autógrafa)

Estimación de número de usuarios involucrados

Estimación del número de transacciones de firmado

Identificación de recursos disponibles para la implementación de firma electrónica

- Recursos humanos para desarrollo - Recursos financieros para adquisición de infraestructura tecnológica

Elementos PKI a utilizar (Certificados digitales, validaciones a certificados digitales, OCSP)

Modelado de proceso del trámite o servicio electrónico

Identificación de casos de uso en el que se requiera firma electrónica

Pruebas piloto / Implementación

Aseguramiento de sustento normativo para la firma electrónica

Publicación en Diario Oficial de la Federación de las reglas de operación