CERTIFICADO DIGITAL

Es un sistema que garantiza laidentidad y otras cualificaciones deuna persona que actúa a través deuna red informática, un sistema deinformación, y en general, cualquiermedio de comunicación y oinformación digital, tambiénpodríamos decir que es un mensajede datos firmados por la entidad decertificación que identifica tanto ala entidad de certificación que loexpide como al suscriptor y contienela clave publica de este.

OBJETIVO:

El objetivo principal de los certificadoselectrónicos es la interacción entre personas oentidades. A través de internet un ambientede seguridad amplia y confiable.

¿PARA QUÉ SIRVE?

Autentificar La identidad del usuario de formaelectrónica ante terceros

Firmar electrónicamente de forma que garanticela integridad de los datos transmitidos y suprocedencia.

Cifrar datos para que solo el destinatario deldocumento pueda acceder a su contenido.

LA CERTIFICACIÓN ELECTRÓNICA PERMITE GARANTIZAR…

La identidad y capacidad de laspartes que tratan entre si sinconocerse (emisor y receptor delmensaje).La confidencialidad de loscontenidos de los mensajes (noInscrito leídos - no Inscritoescuchados por terceros).La integridad de la transacción(no manipulada por terceros).

¿QUE NOS GARANTIZA UN CERTIFICADO?

La legitimidad de las entidades y de las personas que intervienen en el intercambio de información.La reserva que solo el emisor y el receptor vean la información.La honestidad de la información intercambiada asegurando que no se produce ninguna alteración.

FIRMA ELECTRÓNICA

Una firma electrónica sería simplementecualquier método o símbolo basado en medioselectrónicos utilizados o adoptados por unaparte con la intención actual de vincularse oautenticar un documento, cumpliendo todas oalgunas de las funciones características de unafirma manuscrita. En otros términos, la firmaelectrónica es el género y la digital, la especie; demodo que la firma electrónica incluye la firmadigital, la cual está realizada mediantealogaritmos de clave asimétrica.

PARA FIRMAR ELECTRÓNICAMENTE UN DOCUMENTO SE REQUIERE…

Se requiere de un certificado digital emitido poruna Autoridad Certificadora Registrada, y el cualdebe ser almacenado y custodiado en undispositivo (Token o tarjetas inteligentes -smartcards-) que cumpla con el estándar FIPS 140nivel 2, este dispositivo es muy importante yaque es el responsable de custodiar un secretoúnico (llave privada) que es utilizado para firmardigitalmente los documentos o archivos.El dispositivo requiere además de los datos deactivación, los cuales pueden ser una palabra depaso, una frase clave o información biométrica(huella digital).

¿CÓMO FUNCIONA LA FIRMA ELECTRÓNICA?

El firmante ingresa a la opción de firmar digitalmente el documento.La aplicación solicita el dispositivo (Token o tarjeta inteligente).El firmante inserta el dispositivo en el lector (Puerto USB o en el lector detarjetas).El dispositivo solicita los datos de activación (palabra o frase clave).El firmante indica su palabra o frase clave (que es secreta y custodia paraevitar robo de la identidad).El sistema operativo calcula el código clave (digesto) y lo firma utilizando lallave privada custodiada por el dispositivo. Además verifica el estado delcertificado para evitar firmar utilizando un certificado revocado o suspendido.La aplicación almacena en grupo el documento firmado, el cual es compuestopor la unión del documento electrónico, el certificado digital y el digesto oresumen encriptado.El firmante verifica que el documento o archivo esté firmado digitalmente.

CIFRADO ELECTRÓNICO

Los procesos de firma electrónica y de cifrado electrónico estánbasados en la criptografía. Existen dos tipos de criptografía:

CLAVE SIMÉTRICA: Ciframos un documento con clavesimétrica y lo protegemos mediante la contraseña "Verano". Paradescifrarlo utilizaremos la misma contraseña. ¿Qué desventajastiene este sistema? El sistema es robusto siempre que no tengamosque comunicar la contraseña a otras personas. Deberíamos buscarun medio muy seguro, que no pudiera ser interceptado, paracomunicarle qué contraseña debe utilizar para descifrar el mensaje

CLAVE ASIMÉTRICA: La misma clave no se utiliza para cifrary descifrar. Existen dos claves, una es pública, la otra privada. Laclave pública es conocida por todos mientras que la clave privadaes la que se mantiene en secreto y no se comparte con los demás.

LA CLAVE PRIVADA: Para "firmar" un documento utilizaremos nuestraclave privada. Sólo el firmante posee la clave privada. El receptor accede aldocumento mediante la clave pública correspondiente y se evidencia quién esel firmante.

LA CLAVE PÚBLICA: En el caso anterior la clave pública ha servido paraacceder a los documentos firmados electrónicamente con la correspondienteclave privada.

La clave pública es útil además para "cifrar" los documentos. Un documentocifrado con la clave pública sólo podrá ser descifrado con la correspondienteclave privada. Mediante la utilización de la clave pública podemosasegurarnos de que sólo un determinado destinatario descifrará eldocumento.

CIFRADO ELECTRÓNICO

Ejemplo:

ENTIDADES CERTIFICACIÓN

AUTORIDAD DE CERTIFICACION: Esuna entidad de confianza, responsable deemitir y revocar los certificados digitales ocertificados, utilizados en la firmaelectrónica, para lo cual se emplea lacriptografía de clave pública.Jurídicamente es un caso particular dePrestador de Servicios de Certificación.

VERISIGN EN COLOMBIA. (AUTORIDAD DE CERTIFICACION DIGITAL)

VeriSign es la Autoridad deCertificación Digital líder en el mundoen la emisión de certificados SSL para elaseguramiento de transacciones decomercio electrónico, comunicaciones, einteracciones para sitios Web, intranetsy extranet.

Certicámara S.A. es representante oficialpara Colombia de VeriSign INC.,consulte esta información en:http://www.verisign.com/latinamerica/esp/support/affiliates.html

¿CÓMO SE SOLICITA UN CERTIFICADO?

El mecanismo habitual de solicitud de un certificadode servidor web a una CA consiste en que la entidadsolicitante, utilizando ciertas funciones del softwarede servidor web, completa ciertos datosidentificativos y genera una pareja de clavespública/privada. Con esa información el softwarede servidor compone un fichero que contiene unapetición CSR (Certificate Signing Request) enformato PKCS que contiene la clave pública y que sehace llegar a la CA elegida. Esta, tras verificar por sío mediante los servicios de una RA (RegistrationAuthority, Autoridad de Registro) la información deidentificación aportada y la realización del pago,envía el certificado firmado al solicitante, que loinstala en el servidor web con la misma herramientacon la que generó la petición CSR.

LEGISLACIÓN

La creación de un marco jurídico adecuado que permitala utilización y la expansión de los sistemas de firmaelectrónica es, sin lugar a duda, una necesidad denuestro tiempo, imprescindible para el desarrollo decomercio electrónico. Colombia no ha sido ajena a estarealidad y ha desarrollado normas reguladoras de estecrucial instrumento técnico.

a) La ley 527 de 1999, de 18 de agosto,por medio de la cual se define yreglamenta el acceso y uso de losmensajes de datos, del comercioelectrónico y de las firmas digitales, yse establecen las entidades decertificación y se dictan otrasdisposiciones.

a) El decreto 1747 de 2000, de 11 deseptiembre, por el cual se reglamentaparcialmente la ley 527 de 1999, en lorelacionado con las entidades decertificación, los certificados y lasfirmas digitales.

Por otro lado la ley 527 de 1999 señala: “Podrán serentidades de certificación, las personas jurídicas,tanto publicas como privadas, de origen nacional oextranjero, y las cámaras de comercio, que previasolicitud sean autorizadas por la Superintendenciade Industria y Comercio y que cumplan con losrequerimientos establecidos por el GobiernoNacional…

LEGISLACIÓN

¿CUÁL ES EL VALOR PROBATORIO DE ESTAS

FIRMAS EN COLOMBIA?

a) Firmas Electrónicas: El artículo 7 de la ley 527 de 1999, señala“Cuando cualquier norma exija la presencia de una firma oestablezca ciertas consecuencias en ausencia de la misma, seentenderá satisfecho dicho requerimiento si: a) se ha utilizado unmétodo que permita identificar al iniciador de un mensaje de datosy para indicar que el contenido cuenta con su aprobación; b) que elmétodo sea tanto confiable como apropiado para el propósito por elcual el mensaje fue generado o comunicado”.

a) Firmas Digitales: Es de aclarar que las llamadas firmas digitales sonuna modalidad de firma electrónica que cumple altísimas dosis deseguridad.

GRACIAS…