signatura electrònica - coneix la uib · pdf fileobjectius del curs ep1001501...
TRANSCRIPT
Objectius del curs EP1001501
Aprendre les bases de la signatura electrònica i perquè és important en l’administració
electrònica.
Veure els diferents tipus de firma legislats i com es poden emprar.
Explicar com es complementa la signatura electrònica amb els documents.
Donar una visió general del suport legislatiu que hi ha al darrera.
Contingut del curs EP1001501
La signatura electrònica com a eina de la nova administració.
Per què funciona la signatura electrònica (digital)?
Tipus de firma.
Documents electrònics.
Contingut de la sessió
Definició d’administració electrònica
Signatura electrònica
Criptografia de clau asimètrica
Autoritat de certificació
Esquema general de signatura electrònica
Tipus de signatura electrònica
Verificació de signatura electrònica
Documents originals i compulsats
Codi segur de verificació
Segell de temps
Tipus de certificats
Analogies amb sistemes tradicionals
Jerarquia de certificació
Autoritats de certificació
Programari bàsic de signatura electrònica
Preludi: què és administració electrònica
Definició: L’administració electrònica és el nom que es dóna a l’ús de les tecnologies de la informació en l’administració, modernitzant i automatitzant processos tradicionals amb eines com la signatura electrònica, tot amb validesa i seguretat jurídica, per agilitzar la interacció amb els ciutadans.
En la legislació es comença a regular l’administració electrònica en la llei 11/2007 d’accés electrònic dels ciutadans als serveis públics, encara que abans hi havia la llei 59/2003 de signatura electrònica.
En la llei 30/1992 RJAPiPAC, en l’art. 46 diu “Les còpies de qualssevol documents públics gaudeixen de la mateixa validesa i eficàcia que aquests sempre que hi hagi constància que són autèntiques ”.
Un document electrònic és qualsevol representació digital d’una realitat. Permet separar l’aspecte de forma, de disseny, de la informació o contingut i es poden explotar per separat (llei 59/2003 de signatura electrònica).
Alerta: Es poden fer còpies idèntiques i se’n pot modificar l’estructura o el contingut sense que es pugui saber quin era l’estat inicial. Són perills per a la fiabilitat i a la autenticitat.
Signatura electrònica
Signatura tradicional: Nom d’una persona que aquesta escriu al peu d’una carta,
d’un rebut, etc., per certificar que n’és l’autor o que n’aprova el contingut.
La legislació defineix signatura electrònica com el conjunt de dades en forma
electrònica, consignades al costat d’altres o associades amb aquestes, que poden
ser utilitzades com a mitjà d’identificació del signant (llei 59/2003 de signatura
electrònica).
Definició molt ampla… Es donen tres nivells (en la llei 11/2007):
Bàsica
Avançada
Reconeguda
La signatura digital és un mecanisme algorísmic d’identificació del signant d’un
document electrònic.
Interludi: criptografia
Fa mil·lennis que es xifren missatges. Després de la segona guerra mundial,
Claude Shannon va impulsar el desenvolupament de la criptografia moderna.
La criptologia és la ciència que estudia com enviar missatges de manera segura;
que només poden ser coneguts per les persones autoritzades.
Es poden emprar dues aproximacions:
Seguretat: Un sistema criptogràfic és segur si és indesxifrable, encara que el
criptoanalista té recursos i temps il·limitats.
Seguretat pràctica: Un sistema criptogràfic és segur si és indesxifrable suposant que el
criptoanalista disposa de temps i recursos limitats.
Criptografia
Mètodes clàssics: substitucions, transposicions, ..., màquina enigma.
Mètodes moderns: matemàtics.
Sistemes de clau simètrica. Ex: DES (1970), AES (1977).
Com s’intercanvien les claus?
Missatge
clar
Missatge
xifrat
Missatge
clar
clau
A B
Criptografia de clau asimètrica
Diffie i Hellman donen una solució l’any 1976.
Es basen en “funcions d’un sol sentit”. Una funció d’un sol sentit és aquella que
és fàcil de calcular, però és difícil, o costós, calcular la seva inversa.
Ex: multiplicar – factoritzar primers.
El mètode RSA (1977) és el més emprat.
Es genera una parella de claus complementàries:
Si xifram un missatge amb una clau, necessitam l’altra per desxifrar-lo.
A més, a partir d’una clau no es pot deduir l’altra.
S’associen dues claus a cada usuari. Anomenam pública a una de les claus i privada l’altra.
El mecanisme d’enviament d’informació entre dues persones és:
Xifrat
Signatura
És un procés computacionalment costós. Per agilitzar el seu funcionament s’empren “funcions resum” o s’intercanvien claus d’un algorisme simètric, depenent del l’ús.
Qui relaciona les claus amb identitats?
Criptografia de clau asimètrica
Missatge
clar
Missatge
xifrat
Missatge
clar
Bpub Bpri
Missatge
clar
Missatge
xifrat
Missatge
clar
Apri Apub
A
A
B
B
Autoritat de certificació
Certificat electrònic: la legislació defineix un certificat electrònic com un document electrònic, signat electrònicament per un prestador de serveis, que vincula les eines de signatura electrònica en poder de cada usuari amb la seva identitat personal i d’aquesta manera el donen a conèixer en l’àmbit telemàtic com a signant.
Un certificat conté:
Nom, adreça i domicili del subscriptor.
Identificació del subscriptor nomenat en el certificat.
El nom, l’adreça i el lloc on realitza activitats l’entitat de certificació.
La clau pública de l’usuari.
La metodologia per a verificar la signatura digital del subscriptor imposada en el missatge de dades.
El nombre de sèrie del certificat.
Data d’emissió i d’expiració del certificat.
Els usuaris ens fiam dels procediments de la CA, o no.
Esquema general de signatura digital
Certificat
Dades
digitals
Resum Resum
signat Xifrat
Privada Funció
resum
Esquema general de signatura digital
Dades
digitals
Resum
Resum
signat
Funció
resum
Xifrat Resum
==
Certificat Pública
Punts claus de l’esquema general
El procés de signatura és un procés digital que es basa en procés d’informació
(de bits). Hi intervenen tres punts clau:
La informació original.
Les dades de signatura.
El certificat del signant.
Aquestes tres informacions (bits) són crítiques per poder determinar que una
persona signa una determinada informació.
S’ha de poder verificar la firma.
En el procés tradicional, normalment no es fa.
En la signatura electrònica s’ha de fer.
Canvi de mentalitat? Es verifiquen les firmes en el procés tradicional?
Signatura electrònica bàsica
La legislació defineix signatura electrònica (llei 59/2003) com el conjunt de
dades en forma electrònica, consignades al costat d’altres o associades amb
aquestes, que poden ser utilitzades com a mitjà d’identificació del signant.
El terme signatura electrònica bàsica surt de llevar a la definició de dalt el
concepte de signatura digital. Segons això, posar un nom i un DNI, o una
signatura escanejada pot considerar-se signatura electrònica. És una definició
massa ampla. Encara que legalment la definició la inclou, informàticament,
adjuntar a un document un nom o una signatura escanejada no té cap validesa, ni
seguretat; ni res de res. No s’ha d’emprar.
Diferent és dins un entorn controlat, com pot ser una aplicació. Ex: Dins
UIBdigital, es pot emprar una signatura bàsica perquè podem saber que una cosa
l’ha feta una persona ja que confiam en que el mecanisme d’accés és fiable.
Signatura electrònica avançada
La legislació defineix signatura electrònica avançada (llei 59/2003) com la
signatura electrònica que permet identificar el signant i detectar qualsevol canvi
ulterior de les dades signades, que està vinculada al signant de manera única i a
les dades a les quals es refereix i que ha estat creada per mitjans que el signant
pot mantenir sota el seu control exclusiu.
Ex: Firma amb un certificat d’empleat públic de la FNMT.
Aquesta sí és la signatura digital.
Signatura electrònica reconeguda
La legislació defineix signatura electrònica reconeguda (llei 59/2003) com la
signatura electrònica avançada basada en un certificat reconegut i generada
mitjançant un dispositiu segur de creació de signatura.
Un dispositiu segur de creació de signatura és un dispositiu criptogràfic que està
certificat i serveix per aplicar les dades de signatura.
La legislació diu que un dispositiu segur de creació de signatura és un dispositiu
que ofereix les garanties següents:
Que les dades utilitzades per generar signatura es poden produir només una vegada i
assegura raonablement el seu secret.
Que existeix una seguretat raonable del fet que les dades utilitzades per generar
signatura no poden ser derivades de les de verificació de signatura o de la mateixa
signatura i del fet que la signatura està protegida contra la falsificació amb la tecnologia
existent en cada moment.
Que les dades de creació de signatura poden ser protegides de forma fiable pel signant
contra la seva utilització per tercers.
Verificació d’una signatura electrònica
Bàsica? Com verificam la validesa d’una rúbrica escanejada?
Avançada o reconeguda: és una verificació algorísmica que necessita del
programari adequat:
Adobe Reader
XolidoSign...
IBkey
RedSara Valide
Consisteix en validar el certificat, verificar la signatura de la CA, comprovar si
està revocat, si està caducat i finalment, calcular la signatura del document i
comprovar que és correcta.
Si un certificat no és vàlid, no es pot comprovar la signatura. Això planteja
problemes a llarg termini.
Documents originals o compulsats
Originals: Art 45.5 llei 30/1992 RJAPiPAC. Els documents emesos, sigui quin sigui el seu suport, per mitjans electrònics, informàtics o telemàtics per les administracions públiques, o els que aquestes emetin com a còpies d’originals emmagatzemats per aquests mateixos mitjans, gaudeixen de la validesa i eficàcia de document original sempre que en quedi garantida l’autenticitat, integritat i conservació i, si escau, la recepció per l’interessat, així com el compliment de les garanties i els requisits que exigeixen aquestes o altres lleis. Els documents electrònics signats tenen la validesa de document original.
Compulsa electrònica: Art 46.2 llei 30/1992 RJAPiPAC. Les còpies de qualssevol documents públics gaudeixen de la mateixa validesa i eficàcia que aquests sempre que hi hagi constància que són autèntiques. Les còpies signades tenen la mateixa validesa que l’original.
Copies electròniques: Art 30 llei 11/2007 LAECSP
Còpies mantenint o no el format original.
Amb signatura electrònica i en poder de l’administració
Si els originals són paper i es fa còpia electrònica, es pot destruir original.
Es planteja del problema de les “còpies” electròniques.
Codi segur de verificació
Art 30.5 llei 11/2007 LAECSP. Les còpies realitzades en suport paper de
documents públics administratius emesos per mitjans electrònics i signats
electrònicament tenen la consideració de còpies autèntiques sempre que
incloguin la impressió d’un codi generat electrònicament o altres sistemes de
verificació que permetin contrastar-ne l’autenticitat mitjançant l’accés als arxius
electrònics de l’Administració Pública, òrgan o entitat emissora. Un document
electrònic que s’imprimeix pot contenir un codi que permet recuperar el
document electrònic original. Per tant, diu, el document en paper té la
característica de còpia autèntica.
ATENCIÓ. Redacció totalment desafortunada, perquè en paper no es té forma de
verificar l’autenticitat. Com ens asseguram que la còpia és autèntica? Ens
connectam a la Seu Electrònica de l’administració. Verificam el certificat de seu.
Amb el codi obtenim el document i si verificam algorísmicament que la firma
sigui correcta, aleshores el document és bo.
Segell de temps
Un segell de temps consisteix en associar una data i hora, obtinguda d’una font
fiable, a un document. Ambdues informacions són signades electrònicament.
Permet assegurar que el document ja existia en aquella data i hora i que no ha
estat modificat.
Esquema general del segell de temps
Dades
digitals
Resum
Funció
resum
Xifrat Funció
resum
TS
signat
Certificat
Privada
TSA
Esquema general del segell de temps
Dades
digitals
Resum
TS
signat Xifrat
TS
resum
==
Certificat
Funció
resum Funció
resum
TS
resum
Pública
TSA
Analogies
Paper original signat manualment: és un document vàlid per a tràmits administratius,
perquè en cas de conflicte, un cal·lígraf pot verificat l’autenticitat de la signatura.
Una fotocopia: igual que un paper amb signatura escanejada, no té validesa perquè no
es pot verificar l’autoria del document.
Fotocopia compulsada: un funcionari dóna fe que la fotocòpia és fidel a l’original. La
còpia es pot emprar pel tràmit i en cas de conflicte, l’original es pot autenticar.
Document electrònic no signat, qualsevol el pot modificar sense deixar rastre: no és
fiable.
Document electrònic amb signatura electrònica és original. Es poden fer totes les
COPY que es vulguin. Cada “còpia” també és un original.
Compulsa electrònica: còpia (original en paper) de la informació amb signatura
electrònica d’un funcionari o automàtica. Equival a fotocòpia compulsada.
Si els documents en paper duen CSV, es diu que és còpia autèntica. Atenció, s’ha de
verificar!.
Jerarquia de certificació
Els certificats emprats actualment es basen l’especificació ITU-T X.509 (International Telecommunication Union-Telecommunications). Es va publicar l’any 1988 com a part del servei de directori X.500.
Estableix una jerarquia estricta de certificació, en la qual uns certificats arrel, de primer nivell, s’empren per firmar certificats de més baix nivell.
Els navegadors popular inclouen una sèrie de certificats d’ús comú (els fabricants ens fan confiar en algunes CA automàticament!). Hem d’instal·lar els certificats arrel emprats (possiblement indirectament) per firmar els certificats emprats per firmar els documents que volem validar. Uf!.
Les extensions dels fitxers emprats habitualment per certificats X.509 són:
.cer, .crt, .der: Certificats en format DER.
.pem: Certificats DER en format BASE64
.p7b, .p7c: Dades de firma en format PKCS#7 (Public-Key Cryptography Standards ), certificats i CRL.
.p12: Conté certificats i possiblement claus privades, en format PKCS#12.
Autoritats de certificació
La Dirección General de la Policía, Ministerio del Interior (DGP) emet el DNIe.
La Fábrica Nacional de Moneda y Timbre (FNMT) emet certificat anomenat de classe 2 que s'empra per identificar servidors i per firmar el certificats de persona física i jurídica emprats, entre d'altres, per hisenda. També emet certificats per a l'administració pública espanyola. Aquest certificats s'empren el BOE, certificats de seu electrònica, certificats d'empleat públic i d'altres.
L'Agència Catalana de Certificació (CATcert) té per objecte gestionar certificats digitals i prestar serveis relacionats amb la signatura electrònica i amb els processos d’identificació necessaris en l’àmbit d’actuació de les administracions públiques catalanes.
Ziurtapen eta Zerbitzu Enpresa (IZENPE) és un societat de certificació promoguda per Govern Basc i les Diputacions Forals que proporciona serveis de certificació electrònica.
L'Autoritat de Certificació de la Comunitat Valenciana (ACCV) proporciona als ciutadans, les empreses i les Administracions Públiques els mecanismes d'identificació telemàtica segura en els tràmits administratius a través d'Internet: els certificats digitals i les tecnologies associades.
El Ministerio de Defensa (MINISDEF) proporciona un servei d'identitat digital basat en certificats electrònics que permet l'autenticació en els sistemes d'informació, el tractament de la informació electrònica de forma íntegra i segura i a més, permet la firma de documents electrònics. Aquests certificats son emprats pels serveis d'@Firma.
Programari bàsic de signatura
Adobe Reader
Visor de fitxers en format PDF. Pot imprimir i verificat els documents firmats
electrònicament.
XolidoSign
Signatura de documents en diferents formats. També pot aplicar segellat de temps.
RedSara Valide
Servei web, amb applets de Java, que permet firmar, validar una firma, validar un
certificat, validar una seu electrònica, etc.
IBKEY
Programa en Java que permet firmar PDFs i validar-ne de firmats. S’empra per les
compulses electròniques del BOIB.
eCoFirma
Un programa en Java que permet firmar documents, fer marques d’aigua, etc.
Adobe Reader
Visor de fitxers en format PDF (Portable document format).
Pot verificar els documents firmats electrònicament.
www.adobe.com/reader/
La especificació és pública des de 1993. Des de l’any 1998 ISO ho ha publicat
com a l’estàndard 32000-1.
Entre moltes altres coses, el document pot estar xifrat i també firmat.
XolidoSign
Signatura de documents en diferents formats; també pot aplicar segell de temps.
Verificació de firmes.
www.xolido.com
Això és tot
Gràcies a tothom