módulo 3 firma electrónica avanzada

3Mó

dul

o 3

• M

ód

ulo

3 •

Mó

dul

o 3

• M

ód

ulo

3 •

Mó

dul

o 3

•

Guatemala, octubre 2016

Axiología de la Firma Electrónica Avanzada

Dirección de Formación y Capacitación

Firma Electrónica AvanzadaCURSO VIRTUAL

INSTITUTO NACIONALDE ADMINISTRACIÓN PÚBLICA

Curso Virtual: Firma ElECtróniCa2

Módulo 3: AxiologíA de lA FirMA electrónicA AvAnzAdA 3

MÓDULO 3Axiología de la

Firma Electrónica Avanzadaa

Índice


7 FIRMA ELECTRÓNICA AVANZADA

7 ¿Que es la Firma Electrónica Avanzada?

12 ¿Qué es un certificado Digital y que debe de contener?

13 ¿Qué no es Firma Electrónica Avanzada?

14 Para la firma electrónica avanzada se utilizan los siguientes dispositivos criptográficos

15 ¿ Hacia donde podemos llegar ?

16 Beneficios del uso de la firma electronica avanzada

16 PKI PASO A PASO

17 PKI= Infraestructura de Llave Pública (Public Key Infraestructure)

18 Estampado Cronológico o Time Stamping

18 Sistema Online Certificate Status Protocol –OCSP- (Protocolo del estado del certificado en linea)

19 APLICANDO PKI A GUATEMALA

19 ESTRUCTURA ACTUAL FIRMA-E

20 REQUISITOS TECNICOS DE UN –PSC-


21 COMO SE GENERAN LOS CERTIFICADOS DIGITALES

22 ESQUEMAS DE PKI

22 SOPKI (Self-Operating PKI) – creando PKI propia

23 EXPKI (Existing PKI) – Implementando PKI ya Existente

24 OSPKI (Outsourcing PKI) – PKI Externa

25 ACTIVIDADES DE LA SEMANA

26 BIBLIOGRAFIA

FIRMA ELECTRÓNICA AVANZADA

¿Que es la Firma Electrónica Avanzada?Es la que cumple con estos cuatro requisitos:

1. La confidencialidad o secreto de la información enviada.

2. La integridad de dicha información, avalando que no ha sido manipulada, o falsificada y que ha permanecido inalterable en el envío.

3. La autenticidad, que asegura que los datos provienen de una determinada persona.

4. El no repudio, de modo que la persona emisora reconoce la transmisión y no puede negar ante terceros el envío de dichos datos en un momento concreto.

Hoy en día, los sistemas basados en la firma electrónica garantizan la seguridad en las comunicaciones.

¿En qué consiste la firma electrónica?

Es obvio que no podemos conocer personalmente a todas las personas con las que intercambiamos información por Internet.

Entonces, surge el problema ¿cómo podemos estar seguros de la identidad de las personas con las que nos comunicamos y realizamos transacciones? Esta cuestión se resuelve a través de la firma electrónica avanzada que nos identifica en Internet de manera unívoca.

Los mecanismos de firma electrónica permiten a la persona que recibe una información:

• Tener plena certeza de quién es el autor del mensaje.

• Verificar que el mensaje no ha sido modificado desde su creación.


¿Qué es la Clave Pública y la Privada?

En el sistema de firma electrónica, cada persona dispone de un par de claves:

• La clave privada que únicamente el propietario conoce.

• La clave pública que es conocida por las demás personas.

La clave privada debe permanecer bajo el exclusivo control de su propietario.

Esta característica permite que una firma digital identifique en forma unívoca al firmante.

La clave pública, por su parte, es la que le posibilita al destinatario verificar quien es el autor del mensaje y la integridad de los datos enviados.

Estas claves actúan de forma complementaria: lo que cifra la primera clave, sólo puede ser descifrado por la otra.

¿Qué es la clave pública y la privada?

Un mensaje cifrado con la clave privada de una persona sólo puede ser descifrado utilizando la clave pública asociada.

Por tanto, podemos tener plena seguridad de que el mensaje descifrado con esa clave pública solamente pudo cifrarse utilizando la privada, es decir, proviene de la persona a quien está asociada esa clave, o lo que es lo mismo, podemos saber sin lugar a dudas quién es el emisor de ese mensaje.


El proceso de firma electrónica:

1. El emisor va a enviar un mensaje firmado electrónicamente, para que el destinatario pueda verificar que realmente ha sido enviado por él.

2. Para ello aplica al mensaje original una función hash, que es una operación que da como resultado otro conjunto de datos, denominado resumen, que tiene la propiedad de estar asociado unívocamente a los datos de origen.

3. El emisor cifra el resumen con su clave privada. Ésta es la firma electrónica avanzada que se añade al mensaje original. y envía el mensaje junto con su firma electrónica.

4. El destinatario recibe el mensaje. Para comprobar la autoría del mensaje y cerciorarse de que quien se lo envía es quien dice ser, descifra el resumen del mensaje con la clave pública del emisor.

5. Después aplica nuevamente la función hash al mensaje recibido para obtener el resumen.

6. Si ambos resúmenes (el obtenido al descifrar la firma del mensaje y el obtenido al hacer el resumen del mensaje) coinciden, la firma es válida y cumple los requisitos de autenticidad, integridad y no repudio en origen.

7. Si no coinciden podría deberse a varias causas: alguien ha modificado el mensaje antes de recibirlo o la clave pública no corresponde con la privada utilizada en la firma.

8. El emisor no puede negar haber enviado el mensaje y el receptor puede estar seguro de la autoría de ese mensaje y de su inalterabilidad.


Función HASH:

Función o Método para generar claves o llaves que representen de forma única a Documentos, Registros Archivos, etc. detalla o identifica probabilísticamente un gran conjunto de información.

Función HASH:

Aquí, cada tres caracteres, con sus códigos ASCII, se opera (1º-2º)*3º. La suma de los resultados es una función HASH que identifica perfectamente el texto.

E n u n r i n c ó n d e69 110 32 117 110 32 114 105 110 99 243 110 32 100 101

l a M a n c h a d e c32 108 97 32 77 97 110 99 104 97 32 100 101 32 99

u y o n o m b r e n o q117 121 111 32 110 111 109 98 114 101 32 110 111 32 113

8927- 4 4 4 - 8 6 5 8 1 2 5 4 7 5 9 0

2738

8 6 6 9

-13122 2 4 9 9 0 - 1 5 8 4 0 - 6 8 6 8

-22806

-7372- 4 3 6 5 1 1 4 4 6 5 0 0

-11399

6831


¿Dónde se guardan las claves?

La clave privada, empleada para firmar mensajes, debe estar exclusivamente bajo el poder del firmante. Para ello, dicha clave se guarda en un dispositivo seguro, como el token o en una tarjeta criptográfica, que no se pueden duplicar y que están protegidos por un número de identificación personal (PIN).

Por su parte, la clave pública debe ser conocida por el resto de personas.

Para ello, se incluye en un certificado digital, público y accesible. Este certificado avala que la clave contenida en él pertenece a la persona indicada en el mismo. Por lo cual se identifica plenamente.

Tarjeta criptográfica

TOKEN

Por su parte, la clave pública debe ser conocida por el resto de personas. Para ello, se incluye en un certificado digital, público y accesible.

Este certificado avala que la clave contenida en él pertenece a la persona indicada en el mismo, esto es, le identifica indubitablemente.


¿Qué es un certificado Digital y que debe de contener?

• Un certificado digital es un documento electrónico firmado electrónicamente por un Prestador de Servicios de Certificación, que asocia una clave pública con su Propietario


¿Qué no es Firma Electrónica Avanzada?La firma en pads o huella digital, No es firma electrónica avanzada tampoco los tokens otp.


Para la firma electrónica avanzada se utilizan los siguientes dispositivos criptográficos:


¿ Hacia donde podemos llegar ?E-servicios y tramites Móviles

Slim SIM Sticker

lLlegar a toda gama de celulares

lTramites a través de SMS firmados digitalmente

lServicios online 24X7X365

lNo Dispositivos adicionales

Contact & NCF Secure Micro SD

lEstándares FIPS 140-2-3

lParticipación Ciudadana

lPlataformas Web 2.0

lPKI en el celular


Beneficios del uso de la firma electronica avanzada

• Sustitución de firma manuscrita por la firma electrónica avanzada

• Comunicación Oficial Electrónica de manera segura

• Eliminación de impresiones y copias (no papel)

• Resguardo de Información de manera digital con validez legal

• Eficiencia de la gestión

• Reducción de burocracia

• Mayores beneficios y con menores costos

• Transparencia en las operaciones

• Agilidad en la resolución de trámites

• Combate a la corrupción

• Modernización de los procesos administrativos

• Resultados rápidos en beneficio del ciudadano

PKI PASO A PASO


PKI= Infraestructura de Llave Pública (Public Key Infraestructure)Es una combinación de hardware y software, políticas y procedimientos de seguridad que permiten la ejecución con garantías de operaciones criptográficas como el cifrado, la firma digital o el no repudio de transacciones electrónicas.

Los componentes más habituales de una infraestructura de clave pública son:

• La autoridad de certificación (o, en inglés, CA, Certificate Authority): Es la encargada de emitir y revocar certificados. Es la entidad de confianza que da legitimidad a la relación de una clave pública con la identidad de un usuario o servicio.

• La autoridad de registro (o, en inglés, RA, Registration Authority): Es la responsable de verificar el enlace entre los certificados (concretamente, entre la clave pública del certificado) y la identidad de sus titulares.

• Los repositorios: son las estructuras encargadas de almacenar la información relativa a la PKI. Los dos repositorios más importantes son el repositorio de certificados y el repositorio de listas de revocación de certificados. En una lista de revocación de certificados (o, en inglés, CRL, Certificate Revocation List) se incluyen todos aquellos certificados que por algún motivo han dejado de ser válidos antes de la fecha establecida dentro del mismo certificado.

• La autoridad de validación (o, en inglés, VA, Validation Authority): es la encargada de comprobar la validez de los certificados digitales.

PKI= Infraestructura de Llave Pública (Public Key Infraestructure)

La autoridad de sellado de tiempo(o, en inglés, TSA, TimeStamp Authority): Es la encargada de firmar documentos con la finalidad de probar la hora y fecha exacta en que se realizo o efectuó un documento o transaccion.

Los usuarios y entidades finales son aquellos que poseen un par de claves (pública y privada) y un certificado asociado a su clave pública. Utilizan un conjunto de aplicaciones que hacen uso de la tecnología PKI (para validar firmas digitales, cifrar documentos para otros usuarios, etc.)


Estampado Cronológico o Time StampingEs un servicio mediante el cual se puede garantizar la existencia de un documento o mensaje de datos en general en un determinado instante de tiempo, el cual se realiza mediante la emisión de una estampa de tiempo que es posible garantizar en el instante de la creación, modificación, recepción de un determinado mensaje de datos impidiendo su posterior alteración.

Proporciona 3 Datos: tiempo del día/expresado en hora, minuto y segundo

(hh:mm:ss); fecha expresada en día, mes, año; (dd:mm:aaaa) y la firma de los datos realizados con certificado digital.

Estos valores se basan en relojes atómicos u hora legal del país que puede ser dictaminada generalmente por el centro nacional de metrología que en Guatemala se conoce como CENAME.

Los valores asignados al tiempo del día y la fecha de una estampa cronológica certificada no tiene en cuenta ni aplican en ningún caso los valores que el sistema informático del solicitante señale y ningún tercero puede cambiar o sustituir la aplicación de valores distintos de tiempo del día y fecha que este asignada mediante por la estampa, con ello se garantiza el principio de prelación primero en el tiempo primero en derecho lo cual es importante aplicar en contratos y subastas electronicas entre otros medios importantes para su verificación.

Sistema Online Certificate Status Protocol –OCSP- (Protocolo del estado del certificado en linea)El objetivo es dotar al servidor la capacidad de realizar consultas en línea OCSP para validar el estado de los certificados de los usuarios, en vez de recurrir al sistema de Listas de Certificados Revocados, ya que es menos eficiente y obliga al administrador del servidor a realizar cargas periódicas de la CRL.

En cuanto al OCSP (Online Certificate Status Protocol), es un protocolo estandar (RFC2560) que permite realizar consultas a un servidor predeterminado sobre el estado de un certificado, en base al numero de serie y el firmante del mismo.


APLICANDO PKI A GUATEMALA

ESTRUCTURA ACTUAL FIRMA-E


REQUISITOS TECNICOS DE UN –PSC-Autoridad certificadora y de estampado cronológico:

Operación: ISO/IEC 27001 o WebTrust.

Hardware criptográfico: FIPS PUB 140-1 Nivel 3 o FIPS PUB 140-2 Nivel 3

Autoridad de registro (AR):

Operación: Provisoriamente: ISO 9001 con apego a ISO/IEC 27001

A partir de marzo 2014: ISO 9001 y ISO/IEC 27001

Para dispositivo de certificados: FIPS PUB 140-1 Nivel 3 o FIPS PUB 140-2 Nivel 3

Autoridad de registro (y todas las delegadas):

Provisoriamente: ISO 9001 con apego a ISO/IEC 27001

A partir de marzo 2014: ISO 9001 y ISO/IEC 27001

Para dispositivo de almacenamiento de certificados:

-FIPS PUB 140-1 Nivel 2 ó 3, o FIPS PUB 140-2 Nivel 2 ó 3

Registro público en línea:

-RFC 2560 (OCSP)

Servicio de estampado cronológico:

-ISO/IEC 27001 con apego a ETSI TS 102 023, ISO/IEC 18014, -RFC 3161

Almacenamiento de comunicaciones electrónicas:

-ISO/IEC 27001 con apego a TIA-942 en TIER 3 ó 4


COMO SE GENERAN LOS CERTIFICADOS DIGITALES


ESQUEMAS DE PKIRoles en PKI:

1. Autoridad de Certificación (CA): Responsable de emitir y revocar los certificados digitales o certificados, utilizados en la firma electrónica.

2. Autoridad de Registro (RA): Responsable de identificar y autenticar a los solicitantes de certificados digitales, utilizados en la firma electrónica.

3. Proveedor del Servicio / Aplicación (SP): Responsable de publicar el servicio / aplicación que utilizará certificados digitales para firmas electrónicas, y que confía en las mismas.

4. Usuario del Servicio / Aplicación: Al que se le emite un certificado digital para firma electrónica, lo posee y hace uso de él en los servicios / aplicaciones disponibles.

SOPKI (Self-Operating PKI) – creando PKI propia:

1. El Proveedor del Servicio es dueño de la CA y la RA.

2. Los usuarios deben confiar totalmente en el SP, ya que es el que administra la PKI.

3. Costos altos de implementación para el SP.

4. Como no existe la participación de un tercero, es más difícil de detectar fallas de seguridad.

SP


EXPKI (Existing PKI) – Implementando PKI ya Existente:

1. Tanto la RA como la CA son externas (Proveedor de Servicios de Certificación – PSC).

2. Los usuarios y el SP deben confiar totalmente en el PSC, ya que es el que administra la PKI.

3. Provee mayor seguridad.

4. Para mantener los servicios activos, los usuarios o el SP deben de pagar una cuota por Certificado.

PSC


OSPKI (Outsourcing PKI) – PKI Externa:

1. Los certificados digitales son emitidos por una CA independiente, pero la RA es operada por el SP quien se asegura de la consistencia y la correcta información de los usuarios.

2. Los usuarios y el SP deben confiar en la CA.

3. La CA debe proporcionar seguridad, y proveer asistencia para adaptar el sistema a cambios.

SP


ACTIVIDADES DE LA SEMANA


No. Actividades Recursos Tiempo estimado Fecha Punteo

1 Foro Temático Módulo IIIForo del Aula

Virtual30

minutosMartes

a Jueves5 puntos

2.

Elaborar un ensayo indicando “Investigar que tecnología se

utiliza en otros países para el voto electrónico”

Aula Virtual2

HorasJueves 5 puntos

3. Cuestionario Aula Virtual30

minutosViernes 5 puntos

4.Proyecto Final

Llenar la parte 3 del proyecto Final(documento a descargar)

Aula Virtual30

minutosViernes 5 puntos

BIBLIOGRAFIA

- “LA LEY PARA EL RECONOCIMIENTO DE LAS COMUNICACIONES Y FIRMAS ELECTRÓNICAS”

Decreto No. 47-2008 del Congreso de la República

- REGLAMENTO DE LA LEY

Acuerdo Gubernativo No. 135-2009 y su reforma en Acuerdo Gubernativo No. 262-2009

- INTYPEDIA

http://www.intypedia.com/


Guatemala, octubre 2016

Axiología de la Firma Electrónica Avanzada

Dirección de Formación y Capacitación

Firma Electrónica AvanzadaCURSO VIRTUAL

módulo 3 firma electrónica avanzada

Government & Nonprofit