servicio de firmado electrónico de...
TRANSCRIPT
Colaboración Innovación Desarrollo
CONTENIDO
• Introducción a la Firma Electrónica
• Firma Autógrafa VS Firma Electrónica
• Criptografía
• Infraestructura de Llave Pública
• Firma Electrónica en México
• Sistema de Firmado Electrónico de documentos SFP
Colaboración Innovación DesarrolloIntroducción
Firma
Firmare – afirmar, dar fuerza
Autógrafa – grabar o escribir por sí mismo
Definiciones
“Nombre y apellido, o título, que una persona escribe de su propia mano en un documento, para darle autenticidad o para expresar que aprueba su contenido” (Diccionario de la Real Academia de la Lengua Española).
“Es una palabra, o pequeño mensaje o dibujo, que tiene como fin identificar y asegurar o autentificar la identidad de un autor o remitente, o como una prueba del consentimiento y/o de verificación de la integridad y aprobación de la información contenida en un documento o similar” (Wikipedia).
Históricamente
Manufirmatio (En Roma)
Sellos (En la Edad Media)
Firma autógrafa (En la actualidad)
Colaboración Innovación DesarrolloFirma Autógrafa
Características
Identificativa.- Sirve para identificar quién es el autor de un documento.
Declarativa.- Significa la asunción del contenido del documento por el autor de la firma.
Probatoria.- Permite identificar si el autor es efectivamente aquél que ha sido identificado como tal en el acto de la propia firma.
La firma es el lazo que une al firmante con el documento en que se pone. Es el nexo entre la persona y el documento que se firma.
ELEMENTOS FORMALES
ELEMENTOS FUNCIONALES
La firma como signo personal Identificación
El animus signandi Autenticación
Colaboración Innovación DesarrolloFirma Electrónica
La firma electrónica simple NO proporciona los servicios de no repudio ni de integridad.
Definición
“Los datos en forma electrónica consignados en un mensaje de datos, o adjuntados o lógicamente asociados al mismo, que puedan ser utilizados para identificar al firmante en relación con el mensaje de datos e indicar que el firmante aprueba la información recogida en el mensaje de datos”(UNCITRAL).
Técnicamente, una firma electrónica es un conjunto o bloque de caracteres que viaja junto a un documento, archivo o mensaje y que puede identificar quién es el presunto autor o emisor del mismo (autenticación) y crea una relación entre el documento firmado y su autor (Identificación).
Colaboración Innovación Desarrollo
Definición
A la firma electrónica que permite la identificación del firmante y ha sido generada bajo su exclusivo control, conocida también como firma digital, que vincula exclusivamente al mismo con el mensaje de datos al que se adjunta o asocia, lo que permite que sea detectable cualquier modificación ulterior a éste.
Firma Electrónica Avanzada
Integridad
No repudio
Confidencialidad
De acuerdo a la UNCITRAL para que una firma electrónica sea considerada como avanzada:
a) Los datos de creación de la firma, en el contexto en el que son utilizados, corresponden exclusivamente al firmante.
b) Los datos de creación de la firma estaban, en el momento de la firma, bajo el control exclusivo del firmante.
c) Es posible detectar cualquier alteración de la firma electrónica hecha después del momento de la firma; y
d) Es posible detectar cualquier alteración ulterior de la información firmada.
Colaboración Innovación Desarrollo
Tanto la firma electrónica como la firma electrónica avanzada, cumplen con las características de la firma autógrafa, pero permiten hacerlo en medios electrónicos con seguridad técnica y jurídica.
Firma Electrónica Avanzada
Firma
Autógrafa
Firma Electrónica
Simple
Firma Electrónica Avanzada
E l e m e n t o s f o r m a l e s
La firma como signo personal. El animus signandi
E l e m e n t o s f u n c i o n a l e s
Identificación Autentificación Confidencialidad X Integridad X X No repudio X X
Colaboración Innovación Desarrollo
Definiciones
• Criptografía es el arte de crear y usar criptosistemas, es el arte y la ciencia de desarrollar y usar mecanismos para transformar los datos en registros de información ilegibles para cualquiera, excepto para el destinatario quien los puede descifrar
• Es el estudio de técnicas matemáticas relacionadas a aspectos de seguridad de la informacióntales como confidencialidad, integridad de datos, autenticación de entidad, y autenticación de origen de datos.
Conceptos básicos
• A la transformación del mensaje original en el mensaje cifrado se le conoce como cifrado y a la operación inversa le llamamos descrifrado.
• Estos pasos se realizan mediante un conjunto de reglas preestablecidas entre los comunicantes al que llamamos algoritmo de cifrado/descifrado y un secreto compartido llamado clave o llave.
Usos
• Cifrado / Descifrado
• Autenticación
• Firmas Digitales
Criptografía
Colaboración Innovación Desarrollo
Historia
• El uso más antiguo de la criptografía data de hace 4500 años (Primeros jeroglíficos tallados en monumentos del Antiguo Egipto).
• Más tarde, los hebreos hacen uso de sencillos cifrados por sustitución monoalfabéticos (como el cifrado Atbash), quizás desde el 500 al 600 AC.
• Julio César implementa el uso del Cifrado César (Sustitución monoalfabética).
Criptografía
En la Primera Guerra Mundial, las organizaciones militares estadounidenses invierten en investigaciones en criptografía. En la Segunda Guerra Mundial las fuerzas aliadas utilizaron algunos dispositivos electromecánicos complejos.
En 1973 el NIST emite convocatoria para proponer un algoritmo criptográfico estándar.
En 2001 NIST publica un nuevo estándar AES .
Colaboración Innovación DesarrolloCriptografía
Clasificación
Por el número de llavesSimétrica, Convencional, o llave SecretaAsimétrica o de Llave PúblicaFunciones Hash (dispersión, compendio)
Por el modo de procesoPor bloquePor flujo
Por el tipo de operacionesSustitución: mapeo de caracteresTransposición o permutación: rearreglo de caracteresProducto (combinación de los dos anteriores)
Colaboración Innovación DesarrolloCriptografía Simétrica o Convencional
Utiliza una sola llave para cifrar y descifrar.
La llave debe mantenerse en secreto.
Mensaje en claro
Mensaje cifrado
CIFRADO
Llave Simétrica
DESCIFRADO
Llave Simétrica
Mensaje en claro
Misma llave
Colaboración Innovación DesarrolloCriptografía Asimétrica o de Llave Pública
Utiliza dos llaves: una pública y una privada.
Lo que se cifra con la llave pública únicamente puede ser descifrada con su respectiva llave privada y viceversa.
Mensaje en claro
Mensaje cifrado
CIFRADO
Llave Privada
DESCIFRADO
Llave Pública
Mensaje en claro
Llaves diferentes y relacionadas
Colaboración Innovación DesarrolloFunciones Hash
Es una función computacionalmente eficiente que procesa una cadena de datos o información de longitud arbitraria y genera un valor de dispersión de longitud fija, llamado valor hash o compendio.
Mensaje en claro
(Longitud variable) Valor hash
(Longitud fija)
FunciónHASH
Colaboración Innovación DesarrolloFirmas Digitales
Un servicio que proporciona la criptografía de llave pública y que no es tan fácil de implementar mediante criptografía simétrica, es la firma digital.
Esta es el equivalente a la firma autógrafa convencional, ya que un individuo puede firmar datos y otras entidades pueden leer esta firma y verificar su exactitud. Sin embargo la firma digital es más segura.
Mensaje en claro Valor hash
FunciónHASH
Llave Privada
+=
FIRMA DIGITAL
Documento firmado
Mensaje en claro
Colaboración Innovación DesarrolloFirmas Digitales
Verificación de Firmas digitales
Valor hash
FunciónHASH
=
Mensaje en claro
FIRMA DIGITAL
Llave Pública
Valor hash
Documento firmado
Colaboración Innovación DesarrolloInfraestructura de Llave Pública
Una Infraestructura de Llave Pública (o en inglés, PKI, Public Key Infrastructure) es una combinación de hardware y software, tecnologías de cifrado, servicios, políticas y procedimientos que permiten proteger la seguridad de las transacciones de información en un sistema distribuido.
PKI integra certificados digitales, criptografía de llave pública y autoridades de certificación en una arquitectura de seguridad unificada.
Los servicios de seguridad que proporciona toda PKI son:
Confidencialidad Notarización
Integridad No-repudio
Autenticidad No-repudio de origen
Comunicación segura No-repudio de recepción
Estampas de tiempo Administración de privilegios
Privacidad
Colaboración Innovación Desarrollo
21 de abril de 2004Acuerdo de colaboración para la integración y operación de Firma Electrónica Avanzada (SAT – SFP).
9 de diciembre de 2005 Acuerdo por el cual se crea la Comisión Intersecretarial para el Desarrollo del Gobierno Electrónico (CIDGE).
26 de agosto de 2006 Acuerdo interinstitucional por el que se establecen los Lineamientos para la homologación, implantación y uso de la Firma Electrónica Avanzada en la APF.
Marco legal – Ámbito Federal
Colaboración Innovación Desarrollo
Homologación de la operación de la FEA en la APF
Código Fiscal Federal
Ley Federal de ProcedimientoAdministrativo
Código de Comercio
SFP SAT
Subcomisión de la FEA
SE
Lineamientos de la FEA• Procedimiento de certificación
de la Identidad• Estructura del Certificado
Digital• Funciones y Procedimientos
de una Autoridad Certificadora• Interoperabilidad entre
Autoridades Certificadoras
Dependencias yEntidades
APF
Marco legal – Ámbito Federal
Colaboración Innovación DesarrolloAntecedentes
Marco normativo SFP
Artículo 37 Fracción XXVI, Ley Orgánica de la Administración Pública Federal.Artículo 69-C, Ley Federal de Procedimiento Administrativo.
Artículo 18, Reglamento Interior de la Secretaría de la Función Pública.Establecer las acciones que se requieran para homologar, implantar y promover los medios de identificación electrónica, así como administrar y controlar los certificados de firma electrónica avanzada emitidos por la Secretaría, a través de la Unidad de Gobierno Digital, a fin de que los mismos permitan el acceso a los trámites y servicios digitales que ofrecen las dependencias, las entidades y la Procuraduría y, en su caso, los gobiernos de las entidades federativas y municipios, así como el acceso entre las propias instituciones públicas en relación con sus procesos, salvaguardando la confidencialidad de la información que se reciba por esas vías;
Artículo 38, Ley Federal de Responsabilidades Administrativas de los Servidores Públicos.
Artículo 27 y 67, Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público.
Acuerdos en los que reconoce el uso de medios electrónicos de comunicación
Tramitanet - 17 enero 2002Compranet - 11 de abril de 1997 (9 de agosto de 2000)Declaranet - 16 de abril de 2002 (28 de abril de 2006)RSPS – 3 de diciembre de 2008Declaranet – 25 de marzo de 2009
Colaboración Innovación DesarrolloSustento Normativo
Ley Federal de Procedimiento Administrativo (DOF 4-agosto-1994)
Artículo 69-C.- Los titulares de las dependencias u órganos administrativos desconcentrados y directores generales de los organismos descentralizados de la administración pública federal podrán, mediante acuerdos generales publicados en el Diario Oficial de la Federación, establecer plazos de respuesta menores dentro de los máximos previstos en leyes o reglamentos y no exigir la presentación de datos y documentos previstos en las disposiciones mencionadas, cuando puedan obtener por otra vía la información correspondiente.
En los procedimientos administrativos, las dependencias y los organismos descentralizados de la Administración Pública Federal recibirán las promociones o solicitudes que, en términos de esta Ley, los particulares presenten por escrito, sin perjuicio de que dichos documentos puedan presentarse a través de medios de comunicación electrónica en las etapas que las propias dependencias y organismos así lo determinen mediante reglas de carácter general publicadas en el Diario Oficial de la Federación. En estos últimos casos se emplearán, en sustitución de la firma autógrafa, medios de identificación electrónica.
Los documentos presentados por medios de comunicación electrónica producirán los mismos efectos que las leyes otorgan a los documentos firmados autógrafamente y, en consecuencia, tendrán el mismo valor probatorio que las disposiciones aplicables les otorgan a éstos.
Colaboración Innovación Desarrollo
29 de mayo de 2000Reformas al Código de Comercio en materia de firma electrónica.
4 de junio de 2002NOM-151-SCFI-2002, Prácticas comerciales – Requisitos que deben observarse para la conservación de mensajes de datos.
29 de agosto de 2003Reformas al código de comercio en materia de firma electrónica.
19 de julio de 2004Reglamento del Código de Comercio en Materia de PSC.
10 de agosto de 2004Reglas generales a las que deberán sujetarse los PSC.
5 de marzo de 2007Acuerdo que modifica las Reglas generales a las que deberán sujetarse los PSC.
Marco legal – Ámbito Federal (SE)
Colaboración Innovación DesarrolloBeneficios
Para la ciudadanía
Instancia para obtener su certificado digital de Firma Electrónica Avanzada.
Obtención de certificado digital de FEA emitido bajo estándares y mejores prácticasinternacionales.
Trámite de obtención de certificado digital de FEA sin costo.
Certificado digital de FEA único y homologado que podrá utilizar en diversos trámites y servicios electrónicos de la APF.
Colaboración Innovación Desarrollo
Ley sobre el uso de Medios Electrónicos y Firma Electrónica para el Estado de Guanajuato y sus municipios (9 de julio de 2004).
Ley sobre el uso de Firma Electrónica Avanzada para el Estado de Sonora(6 de julio de 2006).
Ley de Firma Electrónica Certificada para el Estado de Jalisco y sus municipios (14 de septiembre de 2006).
Normatividad en materia de Firma Electrónica Avanzada para el Estado de Chiapas (13 de septiembre de 2006).
Ley sobre el uso de Medios Electrónicos y Firma Electrónica Avanzada para el Estado de Hidalgo (10 de marzo de 2008).
Ámbito estatal
Colaboración Innovación Desarrollo
ImplementaciImplementacióón y uso de n y uso de certificados digitalescertificados digitales
““MMóódulo para la Firma Electrdulo para la Firma Electróónica nica de Documentosde Documentos””
Colaboración Innovación DesarrolloAntecedentes
La Secretaría de la Función Pública a través de la UGEPTI desde su conformación en 1995 ha administrado y operado servicios electrónicos estratégicos y de alto impacto ciudadano los cuales utilizan la firma electrónica, tales como Compranet, Declaranet, Tramitanet, Registro Único de Personas Acreditadas, e-5CINCO, entre otros.
Actualmente los sistemas de la Administración Pública Federal que utilizan firma electrónica, emplean componentes criptográficos personalizados al 100% con la aplicación, por lo que no pueden ser reutilizados para otros servicios.
La SFP desarrollo en el 2008, el Servicio para la Firma Electrónica de Documentos.
Colaboración Innovación DesarrolloObjetivo, Misión y Visión
OBJETIVO
Dar a conocer las alternativas de implementación del proyecto de Módulo para la Firma Electrónica de Documentos, a los usuarios de la Secretaría de la Función Pública y de la Administración Pública Federal, con la finalidad de reducir los gastos y de poder contar con la interoperabilidad de distintas aplicaciones.
MISIÓN
Simplificar los procesos con el Módulo para la Firma Electrónica de Documentosen las aplicaciones y trámites sin tener que gastar recursos propios para su implementación en toda la Administración Pública Federal.
VISIÓN
Proporcionar y/o dar un servicio a toda la Administración Publica Federal para que cualquier aplicación que requiera del uso de la Firma Electrónica Avanzada pueda hacerlo con un solo componente criptográfico.
Colaboración Innovación DesarrolloServicios de Firmado Electrónico 2008
Tecnología orientada a Servicio
Inte
gra
ció
n y
Po
rtab
ilid
ad
+
-
+-
RENAT
Servicios de Firmado
Uso de tecnología de firmado exclusiva de cada aplicación.
Inversión de recursospara el desarrollo de la solución de firmado en cada aplicación.
Sin integración de todos los servicios de una PKI (OCSP, estampillas de tiempo, registros de auditoría, etc.)
Soluciones no portables.
Colaboración Innovación DesarrolloServicios de Firmado Electrónico
RENAT
Situación 2008
RENAT
FEU
Visión 2009
Colaboración Innovación DesarrolloModelo de Servicio para las Dependencias
La SFP pone a disposición de la APF el Módulo para la Firma Electrónica de Documentos la cual les permitirá mejorar sus trámites y servicios
Dependencia
Firma Electrónica
Auditorias
Aplicaciones de la dependencia
Servicios proporcionados
Colaboración Innovación DesarrolloModelo de servicio
Mecanismo basado en un modelo de servicio que promueve la interoperabilidad entre las aplicaciones, autoridades certificadoras y certificados digitales.
OCSP
Firma de Documentos
Verifica Firma
MIFEMIFEMódulo de Firma
Electrónica deDocumentos
Colaboración Innovación DesarrolloModelos de servicio de firmado electrónico
Transferencia a dependenciaServicio proporcionado por la SFP
Aplicación
FEU
Paquete
FEU
Reutilización de recursos a través un mecanismo orientado a un modelo de servicio.
Logra la interoperabilidad entre las entidades y sistemas.
Modelo replicable a otras dependencias.
Aprovechamiento de servicios PKI (OCSP, estampillas de tiempo, notaria electrónica, etc.)
Solución altamente portable .
Independencia de plataforma.
Ahorro en la adquisición de licencias de software por cada aplicación que utilice un componente de firmado electrónico.
Rápida integración a diversos procesos y servicios conforme a requerimientos.
BENEFICIOS
Colaboración Innovación DesarrolloServicios de Firmado Electrónico 2009
Tecnología orientada a Servicio
Inte
gra
ció
n y
Po
rtab
ilid
ad
+
-
+-
RENATProyecto 2009
Integración de procesos de la SFP.
Integración de procesos de otras dependencias de la APF.
Colaboración Innovación DesarrolloModelo de servicio
Los pasos para implementar el servicio de la Firma Electrónica de Documentos son:
Colaboración Innovación Desarrollo
CD con manuales de uso
Formato de Condiciones de Uso
Id de conexión
Usuario Datos de aplicación
1. Realizar el registro del responsable y de la aplicación que utilizará el servicio de Firma Electrónica Avanzada. La salida de este proceso es de forma manual y se firma el formato de condiciones de uso y un identificador de la aplicación registrada.
Registro en el Módulo de Firma Electrónica de
Documentos
Solicitud de Servicio
Colaboración Innovación DesarrolloUtilización del Servicio por una Aplicación
2. Solicitud del servicio mediante un Identificador de aplicación previamente registrado, con el cual se configura y personaliza el componente de firma electrónica.
Archivo Firmado
Folio
Id de conexión
Continuar con flujo de la aplicación (Acuse)
Aplicación
Módulo de Firma Electrónica de Documentos
Colaboración Innovación DesarrolloImplementación
Una vez que identifique y decida el punto en donde la aplicación integrará el Módulo de Firma Electrónica de Documentos, esta deberá invocar el componente esperando como resultado el número de folio correspondiente a la transacción: Como parte de la información que se debe de tomar en cuenta al momento de registrarse en el módulo de enrolamiento es la URL que tomará el control del flujo original del proceso, después de efectuar la Firma Electrónica, por ejemplo ,un acuse, Como se muestra en la figura el componente acuse es llamado por el componente de Firma Electrónica de Documentos el cual le dará la continuidad al flujo de la aplicación que estará implementando la Firma Electrónica.
Módulo deFirma
ElectrónicaDocumentos
Invocar MóduloDe Firma
Electrónicade Documentos
SFP
Dependencia
Colaboración Innovación DesarrolloImplementación
Al invocar el servicio de Firma Electrónica de Documentos se presentara la siguiente pantalla
Una vez que el usuario firma la transacción al oprimir el botón “Siguiente”, el módulo de Firma Electrónica de Documentos le devolverá el control a la aplicación solicitante del servicio para continuar con el proceso (ej. Generación de acuse de recibo de la transacción)
Colaboración Innovación Desarrollo¿Mas información?
Lic. Mariela L. Martínez HernándezTel. (55) [email protected]