servicio de firmado electrónico de...

Servicio de Firmado Servicio de Firmado ElectrElectróónico de Documentosnico de Documentos

Colaboración Innovación Desarrollo

CONTENIDO

• Introducción a la Firma Electrónica

• Firma Autógrafa VS Firma Electrónica

• Criptografía

• Infraestructura de Llave Pública

• Firma Electrónica en México

• Sistema de Firmado Electrónico de documentos SFP

Colaboración Innovación DesarrolloIntroducción

Firma

Firmare – afirmar, dar fuerza

Autógrafa – grabar o escribir por sí mismo

Definiciones

“Nombre y apellido, o título, que una persona escribe de su propia mano en un documento, para darle autenticidad o para expresar que aprueba su contenido” (Diccionario de la Real Academia de la Lengua Española).

“Es una palabra, o pequeño mensaje o dibujo, que tiene como fin identificar y asegurar o autentificar la identidad de un autor o remitente, o como una prueba del consentimiento y/o de verificación de la integridad y aprobación de la información contenida en un documento o similar” (Wikipedia).

Históricamente

Manufirmatio (En Roma)

Sellos (En la Edad Media)

Firma autógrafa (En la actualidad)

Colaboración Innovación DesarrolloFirma Autógrafa

Características

Identificativa.- Sirve para identificar quién es el autor de un documento.

Declarativa.- Significa la asunción del contenido del documento por el autor de la firma.

Probatoria.- Permite identificar si el autor es efectivamente aquél que ha sido identificado como tal en el acto de la propia firma.

La firma es el lazo que une al firmante con el documento en que se pone. Es el nexo entre la persona y el documento que se firma.

ELEMENTOS FORMALES

ELEMENTOS FUNCIONALES

La firma como signo personal Identificación

El animus signandi Autenticación

Colaboración Innovación DesarrolloFirma Electrónica

La firma electrónica simple NO proporciona los servicios de no repudio ni de integridad.

Definición

“Los datos en forma electrónica consignados en un mensaje de datos, o adjuntados o lógicamente asociados al mismo, que puedan ser utilizados para identificar al firmante en relación con el mensaje de datos e indicar que el firmante aprueba la información recogida en el mensaje de datos”(UNCITRAL).

Técnicamente, una firma electrónica es un conjunto o bloque de caracteres que viaja junto a un documento, archivo o mensaje y que puede identificar quién es el presunto autor o emisor del mismo (autenticación) y crea una relación entre el documento firmado y su autor (Identificación).


Definición

A la firma electrónica que permite la identificación del firmante y ha sido generada bajo su exclusivo control, conocida también como firma digital, que vincula exclusivamente al mismo con el mensaje de datos al que se adjunta o asocia, lo que permite que sea detectable cualquier modificación ulterior a éste.

Firma Electrónica Avanzada

Integridad

No repudio

Confidencialidad

De acuerdo a la UNCITRAL para que una firma electrónica sea considerada como avanzada:

a) Los datos de creación de la firma, en el contexto en el que son utilizados, corresponden exclusivamente al firmante.

b) Los datos de creación de la firma estaban, en el momento de la firma, bajo el control exclusivo del firmante.

c) Es posible detectar cualquier alteración de la firma electrónica hecha después del momento de la firma; y

d) Es posible detectar cualquier alteración ulterior de la información firmada.


Tanto la firma electrónica como la firma electrónica avanzada, cumplen con las características de la firma autógrafa, pero permiten hacerlo en medios electrónicos con seguridad técnica y jurídica.


Firma

Autógrafa

Firma Electrónica

Simple


E l e m e n t o s f o r m a l e s

La firma como signo personal. El animus signandi

E l e m e n t o s f u n c i o n a l e s

Identificación Autentificación Confidencialidad X Integridad X X No repudio X X


Definiciones

• Criptografía es el arte de crear y usar criptosistemas, es el arte y la ciencia de desarrollar y usar mecanismos para transformar los datos en registros de información ilegibles para cualquiera, excepto para el destinatario quien los puede descifrar

• Es el estudio de técnicas matemáticas relacionadas a aspectos de seguridad de la informacióntales como confidencialidad, integridad de datos, autenticación de entidad, y autenticación de origen de datos.

Conceptos básicos

• A la transformación del mensaje original en el mensaje cifrado se le conoce como cifrado y a la operación inversa le llamamos descrifrado.

• Estos pasos se realizan mediante un conjunto de reglas preestablecidas entre los comunicantes al que llamamos algoritmo de cifrado/descifrado y un secreto compartido llamado clave o llave.

Usos

• Cifrado / Descifrado

• Autenticación

• Firmas Digitales

Criptografía


Historia

• El uso más antiguo de la criptografía data de hace 4500 años (Primeros jeroglíficos tallados en monumentos del Antiguo Egipto).

• Más tarde, los hebreos hacen uso de sencillos cifrados por sustitución monoalfabéticos (como el cifrado Atbash), quizás desde el 500 al 600 AC.

• Julio César implementa el uso del Cifrado César (Sustitución monoalfabética).

Criptografía

En la Primera Guerra Mundial, las organizaciones militares estadounidenses invierten en investigaciones en criptografía. En la Segunda Guerra Mundial las fuerzas aliadas utilizaron algunos dispositivos electromecánicos complejos.

En 1973 el NIST emite convocatoria para proponer un algoritmo criptográfico estándar.

En 2001 NIST publica un nuevo estándar AES .

Colaboración Innovación DesarrolloCriptografía

Clasificación

Por el número de llavesSimétrica, Convencional, o llave SecretaAsimétrica o de Llave PúblicaFunciones Hash (dispersión, compendio)

Por el modo de procesoPor bloquePor flujo

Por el tipo de operacionesSustitución: mapeo de caracteresTransposición o permutación: rearreglo de caracteresProducto (combinación de los dos anteriores)

Colaboración Innovación DesarrolloCriptografía Simétrica o Convencional

Utiliza una sola llave para cifrar y descifrar.

La llave debe mantenerse en secreto.

Mensaje en claro

Mensaje cifrado

CIFRADO

Llave Simétrica

DESCIFRADO

Llave Simétrica

Mensaje en claro

Misma llave

Colaboración Innovación DesarrolloCriptografía Asimétrica o de Llave Pública

Utiliza dos llaves: una pública y una privada.

Lo que se cifra con la llave pública únicamente puede ser descifrada con su respectiva llave privada y viceversa.

Mensaje en claro

Mensaje cifrado

CIFRADO

Llave Privada

DESCIFRADO

Llave Pública

Mensaje en claro

Llaves diferentes y relacionadas

Colaboración Innovación DesarrolloFunciones Hash

Es una función computacionalmente eficiente que procesa una cadena de datos o información de longitud arbitraria y genera un valor de dispersión de longitud fija, llamado valor hash o compendio.

Mensaje en claro

(Longitud variable) Valor hash

(Longitud fija)

FunciónHASH

Colaboración Innovación DesarrolloFirmas Digitales

Un servicio que proporciona la criptografía de llave pública y que no es tan fácil de implementar mediante criptografía simétrica, es la firma digital.

Esta es el equivalente a la firma autógrafa convencional, ya que un individuo puede firmar datos y otras entidades pueden leer esta firma y verificar su exactitud. Sin embargo la firma digital es más segura.

Mensaje en claro Valor hash

FunciónHASH

Llave Privada

+=

FIRMA DIGITAL

Documento firmado

Mensaje en claro

Colaboración Innovación DesarrolloFirmas Digitales

Verificación de Firmas digitales

Valor hash

FunciónHASH

=

Mensaje en claro

FIRMA DIGITAL

Llave Pública

Valor hash

Documento firmado

Colaboración Innovación DesarrolloInfraestructura de Llave Pública

Una Infraestructura de Llave Pública (o en inglés, PKI, Public Key Infrastructure) es una combinación de hardware y software, tecnologías de cifrado, servicios, políticas y procedimientos que permiten proteger la seguridad de las transacciones de información en un sistema distribuido.

PKI integra certificados digitales, criptografía de llave pública y autoridades de certificación en una arquitectura de seguridad unificada.

Los servicios de seguridad que proporciona toda PKI son:

Confidencialidad Notarización

Integridad No-repudio

Autenticidad No-repudio de origen

Comunicación segura No-repudio de recepción

Estampas de tiempo Administración de privilegios

Privacidad

Colaboración Innovación DesarrolloInfraestructura de Llave Pública

Entidades PKI


21 de abril de 2004Acuerdo de colaboración para la integración y operación de Firma Electrónica Avanzada (SAT – SFP).

9 de diciembre de 2005 Acuerdo por el cual se crea la Comisión Intersecretarial para el Desarrollo del Gobierno Electrónico (CIDGE).

26 de agosto de 2006 Acuerdo interinstitucional por el que se establecen los Lineamientos para la homologación, implantación y uso de la Firma Electrónica Avanzada en la APF.

Marco legal – Ámbito Federal


Homologación de la operación de la FEA en la APF

Código Fiscal Federal

Ley Federal de ProcedimientoAdministrativo

Código de Comercio

SFP SAT

Subcomisión de la FEA

SE

Lineamientos de la FEA• Procedimiento de certificación

de la Identidad• Estructura del Certificado

Digital• Funciones y Procedimientos

de una Autoridad Certificadora• Interoperabilidad entre

Autoridades Certificadoras

Dependencias yEntidades

APF

Marco legal – Ámbito Federal

Colaboración Innovación DesarrolloAntecedentes

Marco normativo SFP

Artículo 37 Fracción XXVI, Ley Orgánica de la Administración Pública Federal.Artículo 69-C, Ley Federal de Procedimiento Administrativo.

Artículo 18, Reglamento Interior de la Secretaría de la Función Pública.Establecer las acciones que se requieran para homologar, implantar y promover los medios de identificación electrónica, así como administrar y controlar los certificados de firma electrónica avanzada emitidos por la Secretaría, a través de la Unidad de Gobierno Digital, a fin de que los mismos permitan el acceso a los trámites y servicios digitales que ofrecen las dependencias, las entidades y la Procuraduría y, en su caso, los gobiernos de las entidades federativas y municipios, así como el acceso entre las propias instituciones públicas en relación con sus procesos, salvaguardando la confidencialidad de la información que se reciba por esas vías;

Artículo 38, Ley Federal de Responsabilidades Administrativas de los Servidores Públicos.

Artículo 27 y 67, Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público.

Acuerdos en los que reconoce el uso de medios electrónicos de comunicación

Tramitanet - 17 enero 2002Compranet - 11 de abril de 1997 (9 de agosto de 2000)Declaranet - 16 de abril de 2002 (28 de abril de 2006)RSPS – 3 de diciembre de 2008Declaranet – 25 de marzo de 2009

Colaboración Innovación DesarrolloSustento Normativo

Ley Federal de Procedimiento Administrativo (DOF 4-agosto-1994)

Artículo 69-C.- Los titulares de las dependencias u órganos administrativos desconcentrados y directores generales de los organismos descentralizados de la administración pública federal podrán, mediante acuerdos generales publicados en el Diario Oficial de la Federación, establecer plazos de respuesta menores dentro de los máximos previstos en leyes o reglamentos y no exigir la presentación de datos y documentos previstos en las disposiciones mencionadas, cuando puedan obtener por otra vía la información correspondiente.

En los procedimientos administrativos, las dependencias y los organismos descentralizados de la Administración Pública Federal recibirán las promociones o solicitudes que, en términos de esta Ley, los particulares presenten por escrito, sin perjuicio de que dichos documentos puedan presentarse a través de medios de comunicación electrónica en las etapas que las propias dependencias y organismos así lo determinen mediante reglas de carácter general publicadas en el Diario Oficial de la Federación. En estos últimos casos se emplearán, en sustitución de la firma autógrafa, medios de identificación electrónica.

Los documentos presentados por medios de comunicación electrónica producirán los mismos efectos que las leyes otorgan a los documentos firmados autógrafamente y, en consecuencia, tendrán el mismo valor probatorio que las disposiciones aplicables les otorgan a éstos.


29 de mayo de 2000Reformas al Código de Comercio en materia de firma electrónica.

4 de junio de 2002NOM-151-SCFI-2002, Prácticas comerciales – Requisitos que deben observarse para la conservación de mensajes de datos.

29 de agosto de 2003Reformas al código de comercio en materia de firma electrónica.

19 de julio de 2004Reglamento del Código de Comercio en Materia de PSC.

10 de agosto de 2004Reglas generales a las que deberán sujetarse los PSC.

5 de marzo de 2007Acuerdo que modifica las Reglas generales a las que deberán sujetarse los PSC.

Marco legal – Ámbito Federal (SE)

Colaboración Innovación DesarrolloBeneficios

Para la ciudadanía

Instancia para obtener su certificado digital de Firma Electrónica Avanzada.

Obtención de certificado digital de FEA emitido bajo estándares y mejores prácticasinternacionales.

Trámite de obtención de certificado digital de FEA sin costo.

Certificado digital de FEA único y homologado que podrá utilizar en diversos trámites y servicios electrónicos de la APF.


Ley sobre el uso de Medios Electrónicos y Firma Electrónica para el Estado de Guanajuato y sus municipios (9 de julio de 2004).

Ley sobre el uso de Firma Electrónica Avanzada para el Estado de Sonora(6 de julio de 2006).

Ley de Firma Electrónica Certificada para el Estado de Jalisco y sus municipios (14 de septiembre de 2006).

Normatividad en materia de Firma Electrónica Avanzada para el Estado de Chiapas (13 de septiembre de 2006).

Ley sobre el uso de Medios Electrónicos y Firma Electrónica Avanzada para el Estado de Hidalgo (10 de marzo de 2008).

Ámbito estatal


ImplementaciImplementacióón y uso de n y uso de certificados digitalescertificados digitales

““MMóódulo para la Firma Electrdulo para la Firma Electróónica nica de Documentosde Documentos””

Colaboración Innovación DesarrolloAntecedentes

La Secretaría de la Función Pública a través de la UGEPTI desde su conformación en 1995 ha administrado y operado servicios electrónicos estratégicos y de alto impacto ciudadano los cuales utilizan la firma electrónica, tales como Compranet, Declaranet, Tramitanet, Registro Único de Personas Acreditadas, e-5CINCO, entre otros.

Actualmente los sistemas de la Administración Pública Federal que utilizan firma electrónica, emplean componentes criptográficos personalizados al 100% con la aplicación, por lo que no pueden ser reutilizados para otros servicios.

La SFP desarrollo en el 2008, el Servicio para la Firma Electrónica de Documentos.

Colaboración Innovación DesarrolloObjetivo, Misión y Visión

OBJETIVO

Dar a conocer las alternativas de implementación del proyecto de Módulo para la Firma Electrónica de Documentos, a los usuarios de la Secretaría de la Función Pública y de la Administración Pública Federal, con la finalidad de reducir los gastos y de poder contar con la interoperabilidad de distintas aplicaciones.

MISIÓN

Simplificar los procesos con el Módulo para la Firma Electrónica de Documentosen las aplicaciones y trámites sin tener que gastar recursos propios para su implementación en toda la Administración Pública Federal.

VISIÓN

Proporcionar y/o dar un servicio a toda la Administración Publica Federal para que cualquier aplicación que requiera del uso de la Firma Electrónica Avanzada pueda hacerlo con un solo componente criptográfico.

Colaboración Innovación DesarrolloServicios de Firmado Electrónico 2008

Tecnología orientada a Servicio

Inte

gra

ció

n y

Po

rtab

ilid

ad

+

-

+-

RENAT

Servicios de Firmado

Uso de tecnología de firmado exclusiva de cada aplicación.

Inversión de recursospara el desarrollo de la solución de firmado en cada aplicación.

Sin integración de todos los servicios de una PKI (OCSP, estampillas de tiempo, registros de auditoría, etc.)

Soluciones no portables.

Colaboración Innovación DesarrolloServicios de Firmado Electrónico

RENAT

Situación 2008

RENAT

FEU

Visión 2009

Colaboración Innovación DesarrolloModelo de Servicio para las Dependencias

La SFP pone a disposición de la APF el Módulo para la Firma Electrónica de Documentos la cual les permitirá mejorar sus trámites y servicios

Dependencia

Firma Electrónica

Auditorias

Aplicaciones de la dependencia

Servicios proporcionados

Colaboración Innovación DesarrolloModelo de servicio

Mecanismo basado en un modelo de servicio que promueve la interoperabilidad entre las aplicaciones, autoridades certificadoras y certificados digitales.

OCSP

Firma de Documentos

Verifica Firma

MIFEMIFEMódulo de Firma

Electrónica deDocumentos

Colaboración Innovación DesarrolloModelos de servicio de firmado electrónico

Transferencia a dependenciaServicio proporcionado por la SFP

Aplicación

FEU

Paquete

FEU

Reutilización de recursos a través un mecanismo orientado a un modelo de servicio.

Logra la interoperabilidad entre las entidades y sistemas.

Modelo replicable a otras dependencias.

Aprovechamiento de servicios PKI (OCSP, estampillas de tiempo, notaria electrónica, etc.)

Solución altamente portable .

Independencia de plataforma.

Ahorro en la adquisición de licencias de software por cada aplicación que utilice un componente de firmado electrónico.

Rápida integración a diversos procesos y servicios conforme a requerimientos.

BENEFICIOS

Colaboración Innovación DesarrolloServicios de Firmado Electrónico 2009

Tecnología orientada a Servicio

Inte

gra

ció

n y

Po

rtab

ilid

ad

+

-

+-

RENATProyecto 2009

Integración de procesos de la SFP.

Integración de procesos de otras dependencias de la APF.

Colaboración Innovación DesarrolloModelo de servicio

Los pasos para implementar el servicio de la Firma Electrónica de Documentos son:


CD con manuales de uso

Formato de Condiciones de Uso

Id de conexión

Usuario Datos de aplicación

1. Realizar el registro del responsable y de la aplicación que utilizará el servicio de Firma Electrónica Avanzada. La salida de este proceso es de forma manual y se firma el formato de condiciones de uso y un identificador de la aplicación registrada.

Registro en el Módulo de Firma Electrónica de

Documentos

Solicitud de Servicio

Colaboración Innovación DesarrolloUtilización del Servicio por una Aplicación

2. Solicitud del servicio mediante un Identificador de aplicación previamente registrado, con el cual se configura y personaliza el componente de firma electrónica.

Archivo Firmado

Folio

Id de conexión

Continuar con flujo de la aplicación (Acuse)

Aplicación

Módulo de Firma Electrónica de Documentos

Colaboración Innovación DesarrolloImplementación

Una vez que identifique y decida el punto en donde la aplicación integrará el Módulo de Firma Electrónica de Documentos, esta deberá invocar el componente esperando como resultado el número de folio correspondiente a la transacción: Como parte de la información que se debe de tomar en cuenta al momento de registrarse en el módulo de enrolamiento es la URL que tomará el control del flujo original del proceso, después de efectuar la Firma Electrónica, por ejemplo ,un acuse, Como se muestra en la figura el componente acuse es llamado por el componente de Firma Electrónica de Documentos el cual le dará la continuidad al flujo de la aplicación que estará implementando la Firma Electrónica.

Módulo deFirma

ElectrónicaDocumentos

Invocar MóduloDe Firma

Electrónicade Documentos

SFP

Dependencia

Colaboración Innovación DesarrolloImplementación

Al invocar el servicio de Firma Electrónica de Documentos se presentara la siguiente pantalla

Una vez que el usuario firma la transacción al oprimir el botón “Siguiente”, el módulo de Firma Electrónica de Documentos le devolverá el control a la aplicación solicitante del servicio para continuar con el proceso (ej. Generación de acuse de recibo de la transacción)


““DemostraciDemostracióónn””

Colaboración Innovación Desarrollo¿Mas información?

Lic. Mariela L. Martínez HernándezTel. (55) [email protected]

servicio de firmado electrónico de...

Documents