FIRMA DIGITAL

firma digital

 

FIRMA DIGITAL

1. Defina el término timestamping como servicio de valor añadido

Hora es una secuencia de caracteres, que indica la fecha y / u hora a la que un determinado evento ocurrido. This data is usually presented in a consistent format, allowing for easy comparison of two different records and tracking progress over time; the practice of recording timestamps in a consistent manner along with the actual data is called timestamping . Estos datos se presentan en un formato homogéneo, lo que permite una comparación fácil de dos diferentes registros y seguimiento de los avances en el tiempo, la práctica de registro de tiempo de forma coherente junto con los datos reales se llama timestamping.

Timestamps are typically used for logging events , in which case each event in a log is marked with a timestamp. En los sistemas de ficheros, puede significar la hora almacenados fecha / hora de creación o modificación de un archivo.

Examples of timestamps: Timestamping como Servicio de Valor Añadido

En Internet es la fecha de validez de un documento. En el entorno empresarial y profesional es indispensable garantizar esto. Este es el  servicio de valor añadido.

A medida que Internet se vaya usando como medio transaccional entre Empresas, entre Empresas y Administración o incluso entre Ciudadano y Administración van a ir apareciendo nuevos ámbitos donde sea necesario arbitrar soluciones para conflictos que el propio medio no tiene solucionado. Uno de los que se ha empezado a detectar en los últimos meses es el de la fecha o la hora de una transacción.

Todos sabemos la importancia que tiene el parámetro tiempo en una transacción: una transferencia de varios millones puede generar mucho dinero para un intermediario que retenga dicha transacción. De hecho, muchas empresas basan sus beneficios en el flujo de dinero que manejan, y por lo tanto el tiempo se ha convertido en un elemento básico en el mundo de la empresa.

Pero no sólo en la empresa el tiempo de una transacción es básico, también en la administración se debe garantizar. Pongamos un ejemplo: los concursos públicos. Éstos tienen una fecha y una hora de finalización de presentación de ofertas que deben garantizarse.

Internet no nos da, como servicio básico, una solución a dicha problemática. De hecho, Internet puede dar pié al fraude.

Por ejemplo en las subastas no presenciales, dentro de su estrategia de poner los trámites on-line, la presentación de ofertas puede hacerse a través de Internet, y define como medio el que se haga a través de correo electrónico. El licitante puede presentar toda la documentación al concurso, eso sí, firmada digitalmente para poder garantizar la identidad de quien la presenta (que no haya alguien que intente hacerse pasar por su competencia) y a su vez el no repudio de la oferta. Como todo concurso público tiene una fecha y una hora límite de presentación de ofertas. Todas las empresas licitantes envían su propuesta antes de esta fecha. En el caso de que un postor no hubiera enviado su propuesta en forma oportuna, podría pensar que cambiando la hora de la computadora lograría el ingreso “a tiempo” de su propuesta; lo cual es imposible con el servicio de timestamping, pues se trata de un tercero que  basado en la certificación digital, prestado por una entidad de certificación que da fe de la fecha de un documento o de una transacción. Este tercero o empresa certificadora pone una marca en el documento por el cual las partes aceptan  la validez temporal del documento. Evidentemente esta marca puesta la entidad certificadora debe 1) identificar al firmante del time stamping, debe 2) garantizar la integridad de la marca y el 3) no repudio de ésta. Es decir, en definitiva se basa en la firma y estampación de una fecha en un documento por una tercera parte de confianza (aceptada tanto por el emisor, como por el receptor). Además, quizá previamente se haya firmado por parte de su autor.

 

 

 

1.     Distinga Ud. Entre Entidad de Certificación (EC) y la Entidad de Verificación o Registro (EV/R) ¿Cómo está prevista la participación del Notariado Peruano en ambas figuras?

Las Entidades de Certificación y las Entidades de Registro  son terceros de confianza (Trusted Third Party).

 

La Entidad de Certificación (EC)

Son entes públicos o privados responsables de emitir y mantener los certificados. Realizan la publicación, revocación y suspensión. Gestionan certificados y claves que se asocian al titular. Para su funcionamiento y acreditación deben cumplir ciertos requisitos.

Específicamente en el caso de Entidades de certificación, su estructura debe ser tal que proporcione confianza con respecto a sus certificaciones, para tal efecto conjuntamente con su Manual de Procedimiento deben presentar su Organigrama estructural y funcional.

Asimismo, la Entidad de Certificación debe ser responsable de todas las decisiones relacionadas con el otorgamiento, mantenimiento y cancelación de la certificación. Para tal efecto debe contar con procedimientos para la subcontratación de los servicios de registro/verificación.

 

La Entidad de Registro o Verificación (EC y ER)

Son entidades que registran, identifican y registran a los solicitantes de certificados. Tramitan los certificados ante la Entidad de Certificación e identificación a los titulares. Trasladan a la Entidad de Certificación la información para emisión de los certificados y entregan los mismos.

Tratándose de Entidades de Verificación / Registro éstas deben contar con procedimientos para el registro o verificación, la Atención de quejas y el Manejo y archivo de los registros. La entidad de registro o verificación debe tener el personal suficiente para llevar a cabo el trabajo para el cual declara ser competente.

La EC puede actuar como ER o delegar esta función a otra entidad.

 

Servicios de valor añadido.-

Las entidades de certificación o de verificación/registro que deseen prestar servicios de valor añadido (time stamping) deben garantizar que los mismos no afectarán los servicios principales de verificación o certificación así como la transmisión de los mensajes de datos firmados digitalmente. La calificación de estos servicios se realizará dentro del proceso de acreditación, para tal efecto deberán presentarse los manuales de procedimientos previstos para su prestación, así como una declaración de la infraestructura con la que cuentan para tal efecto, cuando dichos servicios sean subcontratados la entidad acreditada asumirá la responsabilidad por los mismos.

 

Participación del Notariado Peruano

La participación del Colegio de Notarios de Lima está prevista tanto en el tema del registro como de la certificación. Con tal motivo es que se crea el CEDETEC y se propone constituir al Colegio de Notarios de Lima en Entidad de Certificación y Entidad de Registro o Verificación en materia de firma digital. Además en la posibilidad de prestar servicios de valor añadido en dicho entorno, dentro del marco legal establecido por la Ley Nº 27269- Ley de Firmas y Certificados Digitales, su Reglamento aprobado por Decreto Supremo Nº 019-2002-JUS del 18.05.2002, las Disposiciones Complementarias al Reglamento aprobadas pro Resolución de la Comisión de Reglamentos Técnicos y Comerciales del INDECOPI 0103-2003/CRT-INDECOPI del 23.10.2003 y demás normas conexas y complementarias.

 

3.      Qué significa la Interoperabilidad de una PKI o Infraestructura Oficial?

Tecnología PKI

En criptografía, una infraestructura de clave pública (o, en inglés, PKI, Public Key Infrastructure) es una combinación de hardware y software, políticas y procedimientos de seguridad que permiten la ejecución con garantías de operaciones criptográficas como el cifrado, la firma digital o el no repudio de transacciones electrónicas.

El término PKI se utiliza para referirse tanto a la autoridad de certificación y al resto de componentes, como para referirse, de manera más amplia y a veces confusa, al uso de algoritmos de clave pública en comunicación electrónica. Este último significado es incorrecto, ya que no se requieren métodos específicos de PKI para usar algoritmos de clave pública

Propósito y funcionalidad

La tecnología PKI permite a los usuarios autenticarse frente a otros usuarios y usar la información de los certificados de identidad (por ejemplo, las claves públicas de otros usuarios) para cifrar y descifrar mensajes, firmar digitalmente información, garantizar el no repudio de un envío, y otros usos.

En una operación criptográfica que use infraestructura PKI, intervienen conceptualmente como mínimo las siguientes partes:

• Un usuario iniciador de la operación
• Unos sistemas servidores que dan fe de la ocurrencia de la operación y garantizan la validez de los certificados implicados en la operación (autoridad de certificación, Autoridad de registro y sistema de Sellado de tiempo)
• Un destinatario de los datos cifrados/firmados/enviados garantizados por parte del usuario iniciador de la operación (puede ser él mismo).

Las operaciones criptográficas de clave pública, son procesos en los que se utilizan unos algoritmos de cifrado que son conocidos y están accesibles para todos. Por este motivo la seguridad que pueden aportar la tecnología PKI, está fuertemente ligada a la privacidad de la llamada clave privada y los procedimientos operacionales o Políticas de seguridad aplicados.

Es de destacar la importancia de las políticas de seguridad en esta tecnología, puesto que ni los dispositivos más seguros ni los algoritmos de cifrado más fuerte sirven de nada si por ejemplo una copia de la clave privada protegida por una tarjeta criptográfica (del inglés smart card) se guarda en un disco duro convencional de un PC conectado a Internet.

 

Usos de la tecnología PKI Autenticación de usuarios y sistemas (login)

• Identificación del interlocutor
• Cifrado de datos digitales
• Firmado digital de datos (documentos, software, etc.)
• Asegurar las comunicaciones
• Garantía de no repudio (negar que cierta transacción tuvo lugar)

Tipos de certificados

Existen diferentes tipos de certificado digital, en función de la información que contiene cada uno y a nombre de quién se emite el certificado:

• Certificado personal, que acredita la identidad del titular.
• Certificado de pertenencia a empresa, que además de la identidad del titular acredita su vinculación con la entidad para la que trabaja.
• Certificado de representante, que además de la pertenencia a empresa acredita también los poderes de representación que el titular tiene sobre la misma.
• Certificado de persona jurídica, que identifica una empresa o sociedad como tal a la hora de realizar trámites ante las administraciones o instituciones.
• Certificado de atributo, el cual permite identificar una cualidad, estado o situación. Este tipo de certificado va asociado al certificado personal. (p.ej. Médico, Director, Casado, Apoderado de..., etc.).

Además, existen otros tipos de certificado digital utilizados en entornos más técnicos:

• Certificado de servidor seguro, utilizado en los servidores web que quieren proteger ante terceros el intercambio de información con los usuarios.
• Certificado de firma de código, para garantizar la autoría y la no modificación del código de aplicaciones informáticas.

Componentes

Los componentes más habituales de una infraestructura de clave pública son:

• La autoridad de certificación (o, en inglés, CA, Certificate Authority): es la encargada de emitir y revocar certificados. Es la entidad de confianza que da legitimidad a la relación de una clave pública con la identidad de un usuario o servicio.
• La autoridad de registro (o, en inglés, RA, Registration Authority): es la responsable de verificar el enlace entre los certificados (concretamente, entre la clave pública del certificado) y la identidad de sus titulares.
• Los repositorios: son las estructuras encargadas de almacenar la información relativa a la PKI. Los dos repositorios más importantes son el repositorio de certificados y el repositorio de listas de revocación de certificados. En una lista de revocación de certificados (o, en inglés, CRL, Certificate Revocation List) se incluyen todos aquellos certificados que por algún motivo han dejado de ser válidos antes de la fecha establecida dentro del mismo certificado.
• La autoridad de validación (o, en inglés, VA, Validation Authority): es la encargada de comprobar la validez de los certificados digitales.
• La autoridad de sellado de tiempo (o, en inglés, TSA, TimeStamp Authority): es la encargada de firmar documentos con la finalidad de probar que existían antes de un determinado instante de tiempo.
• Los usuarios y entidades finales son aquellos que poseen un par de claves (pública y privada) y un certificado asociado a su clave pública. Utilizan un conjunto de aplicaciones que hacen uso de la tecnología PKI (para validar firmar digitales, cifrar documentos para otros usuarios, etc.)

 

Infraestructura Oficial de Firma Electrónica (IOFE)

La IOFE es la Infraestructura de Clave Pública peruana y está conformada por los elementos correspondientes de una PKI Convencional.

La firma digital emitida dentro de la IOFE tiene la misma validez y eficacia jurídica que el uso de una firma manuscrita.

El Reglamento original de la Ley de Firmas y Certificados Digitales (Ley 27269) designó a INDECOPI como la autoridad a cargo de la acreditación de entidades de certificación digital y entidades de verificación de datos.

El Reglamento que sustituyó a aquel incluyó a las entidades prestadoras de servicios de valor añadido en el alcance de la acreditación.

 

A lo largo del presente año las cuatro Guías de Acreditación vinculadas a Firmas Digitales han estado publicados en el portal electrónico de INDECOPI. Estos documentos se basan en recomendaciones de APEC, a su vez basadas en el estándar RFC 3647.

Otros estándares considerados son, por ejemplo, el FIPS 140-2, la ISO/IEC 17799, la ISO/IEC 15408 y la ISO/IEC TR13335.

Se recibieron algunas observaciones de agentes privados y un conjunto bastante elaborado de observaciones de RENIEC. Ninguna otra entidad pública presentó observaciones

 

Implementación de la IOFE en Perú

Guías de acreditación

 

En una consultoría del segundo semestre de 2006, solventada por PAMDE-PCM, se determinó que, debido al tamaño del mercado peruano y a los costos relacionados, sería conveniente emplear la tecnología CTL (“Certificate Trusted List” o “Lista de Certificados Confiables”) para garantizar seguridad e interoperabilidad en la Infraestructura de Clave Pública peruana.

El modelo es escalable y a mediano plazo podría evolucionar a un modelo PUENTE

 

Modelo de interoperabilidad para la IOFE

 

La Lista de Certificados Confiables contendrá los Certificados Digitales Raíces de las Entidades de Certificación (y de las Entidades prestadoras de SVA) acreditadas por la AAC.

La Lista estará firmada digitalmente por la AAC (lo cual implica que también ella poseerá un certificado digital).

La lista se construye siguiendo la norma técnica internacional TSL -ETSI TS102 231, “Provision of Harmonized Trust Service Provider status information”.

 

Interoperabilidad de la IOFE

 

La CTL debe ser copiada del sistema a través de un disco óptico o CD o DVD, para su publicación.

La publicación consiste en alojar la lista CTL en servidores seguros que garanticen la disponibilidad pública de la misma.

Para la publicación se pueden emplear: 1) los equipos de las entidades acreditadas; 2) los equipos de otras instituciones del estado (SUNAT, ONGEI, SUNARP, por ejemplo); y 3) equipos de propiedad de INDECOPI.

Estas opciones no son excluyentes

 

 

 

Sin perjuicio de la propuesta de la CTL, la Secretaría Técnica de la Comisión de Reglamentos Técnicos y Comerciales de INDECOPI ha recogido información directamente en las autoridades de acreditación de Chile, Canadá y Australia y entidades de Canadá y Suiza vinculadas a firmas digitales.

La principal conclusión de dichas visitas es la siguiente: el elemento central de la AAC no es el hardware y ni siquiera el software. El elemento central es el ejercicio del rol de autoridad administrativa competente, mediante: i) la emisión de los reglamentos y guías de acreditación de entidades del sector, y, ii) la gestión de los procesos de acreditación para asegurar un sistema confiable y funcional.

La AAC reconocerá otras firmas digitales en la IOPE, según dispone el nuevo reglamento.

 

Experiencias recogidas en otros países

 

Revisión y perfeccionamiento de las Guías de Acreditación con el respaldo del consultor que elaboró los proyectos de Guías, INDECOPI ha revisado las observaciones de RENIEC y otras instituciones a los proyectos de Guías y perfeccionado algunos puntos de los mismos. En otros acápites se ha clarificado la redacción. Finalmente, en otros se ha optado por mantener los textos originales. Asimismo, como corolario de la consultoría que proveyó los proyectos de Guías, se ha construido un proyecto de Reglamento General de Acreditación de Entidades vinculadas a Firmas Digitales. El proceso de oficialización de las Guías debe concluir este mes octubre

 

Nuevo Reglamento

 

Reconoce validez de firma manuscrita a la firma digital generada dentro de la IOPE. Reconoce validez a otras firmas según pactos o convenios de las partes y según las políticas que adopte el Estado en caso de la Administración Pública. Ambos son reconocidos para procesos judiciales y administrativos. Establece disposiciones sobre certificación digital en el ámbito público y Crea el DNI electrónico.

Establece el procedimiento para la inscripción de EC (pueden ser personas jurídicas públicas o privadas) y ER (personas jurídicas o notarios). Establece disposiciones del servicio de intermediación electrónica que se debe acreditar ante la AAC

El servicio de intermediación electrónica es diferente al servicio de archivo digital (fedatarios, notarios y particulares).

Se reconoce al fedatario público. Se señala el rol del fedatario juramentado.

4.      Cuál es la diferencia entre Firma Digital y Firma Electrónica?. Defina el principio de Equivalencia Funcional.

Firma Digital

 

“firma digital”, que no es otra cosa que la utilización de un sistema de encriptación asimétrico (asymmetric cryptosystem) en el cual existen dos “llaves” (keys), que consisten en una clave privada y una clave pública. La primera sólo es conocida por el particular, y la segunda es la clave que identifica públicamente a ese particular, de manera que sólo utilizando su clave pública el mensaje enviado por el interesado podrá ser desencriptado y por tanto legible

El sistema es sencillo: el particular (Persona física o jurídica) después de redactar el documento lo encriptará con su clave privada, podrá enviarlo a través de Internet (e-mail, chat, página Web) a su destinatario final conociendo la dirección del mismo, y este último para poder descifrar el mensaje recibido utilizará la clave pública del remitente. Este sistema nos permitirá verificar que el mensaje original no ha sido modificado en su trayecto a través de la Web (principle of irreversibility), la autenticidad del mensaje recibido, y por último, la integridad del mensaje en cuanto a la certeza y conclusión del mismo. La firma digital no es por tanto algo “añadido” a un documento, sino la versión encryptada del mismo. No existe si la disociamos de su mensaje, y del mismo modo, cambia con cada documento encriptado.

“firma electrónica”

Es cualquier símbolo que utilicemos como identificador de una persona en un determinado documento que para su transmisión utilice medios electrónicos, lo cual se asimila a la firma tradicional. El nombre de una persona escrito al final de un documento o un símbolo que le identifique sería una firma electrónica. La firma digital es por tanto un tipo de firma electrónica. El nivel de inseguridad de esta última resulta evidente, ya que su falsificación es tremendamente sencilla. Su invalidez como método de autenticación de documentos es por tanto obvia.

Pero si es cierto que la firma digital es un vehículo seguro para facilitar el comercio electrónico por medio de la autenticación de todo tipo de documentos a los que necesitemos dotarles con la aprobación y demás propiedades de la firma tradicional de una persona, ¿por qué su uso no se ha generalizado? Para entender las respuestas a esta pregunta, no olvidemos que el comercio electrónico, esto es, el comercio a través de Internet, es por definición un comercio internacional, en el que no existen fronteras. La firma digital necesitará por tanto un respaldo legal armonizado a escala internacional, de modo que su uso no haga surgir barreras en la Web

la firma digital y electrónica no son dos términos que designen el mismo sistema, sino que conllevan diferencias esenciales.

la creación de firmas digitales requiere no sólo medios tecnológicos (determinado software para llevar a cabo métodos de encriptación) sino también cierta infraestructura, mediante la cual las denominadas Autoridades de Certificación (CAs) aseveren que efectivamente la “llave pública” de un titular corresponde a una determinada persona, y que por tanto un mensaje recibido de esa persona encriptado con su llave privada sólo podrá ser desencriptado para hacerlo legible mediante la utilización de su llave pública

El problema surge en relación a las infraestructuras llamadas “Open Public Key Infraestructures” (PKIs”), sistemas en los cuales los subscriptores obtienen certificados de las CAs válidos para cualesquiera tipo de documentos y transacciones comerciales, mientras que algunas leyes de firma digital contemplan sólo un sistema cerrado de certificación -“Close PKI model”-, en el cual los certificados sólo tendrán validez jurídica para determinados contextos contractuales definidos con anterioridad por las partes.

 

Una Firma Electrónica es un concepto amplio e indefinido desde el punto de vista tecnológico. Es por tanto una expresión más genérica. La firma electrónica son datos electrónicos asociados a un mensaje electrónico. La nueva legislación reconoce la validez de firmas electrónicas avanzadas generadas fuera de la IOPE sin necesidad de acreditación, reconociendo los pactos y convenios de las partes, así como las políticas estatales.

Una Firma Digital es aquella firma electrónica que está basada en los sistemas de criptografía de clave pública (PKI - Public Key Infrastructure) que satisface los requerimientos de definición de firma electrónica avanzada. El nuevo reglamento le da validez de firma manuscrita siempre que haya sido generada dentro de la IOPE.  Se llama también firma avanzada o reconocida

Una Firma Digitalizada, no tiene nada que ver con las anteriores. Se trata de una simple representación gráfica de la firma manuscrita obtenida a través de un escáner, que puede ser “pegada” en cualquier documento. Esta técnica la empezaron a utilizar masivamente los expertos en Márketing cuando la publicidad circulaba por correo postal ordinario (Snail mail).

El principio de la equivalencia funcional

 

El principio de equivalencia funcional aplicado a los actos jurídicos celebrados a través de medios electrónicos respecto de aquellos actos jurídicos suscritos en forma manuscrita, e incluso oral, constituye el principal fundamento del Comercio Electrónico.  Se trata de un requisito sine qua non del Comercio electrónico, sin el cual no podría desarrollarse con la seguridad y confianza jurídica requerida por la sociedad.

 

Dicho principio se puede simplificar en la siguiente forma: la función jurídica  que cumple la instrumentación escrita y autógrafa respecto de todo acto jurídico, o su expresión oral, la cumple de igual forma la instrumentación electrónica  a través de un mensaje de datos, con independencia del contenido, extensión, alcance y finalidad del acto así instrumentado.

 

Este principio constituye la base fundamental para evitar la discriminación de los mensajes de datos electrónicos con respecto a las declaraciones de voluntad expresadas de manera escrita o tradicional. La aplicación de este principio es reconocido en el nuevo reglamento de la Ley  que da la validez de firma manuscrita a la firma digital generada dentro de la IOPE.

 

 

 

5.      Comente Ud. La siguiente aseveración “La tecnología PKI se ha diseminado de los países desarrollados al resto de países. Junto a la tecnología ha venido asociada la normatividad respecto a su uso.

Es verdad, ya que  para implementar por ejemplo en el Perú, el uso de firmas digitales, la PCM contrató una consultoría que recomendó la tecnología CTL (“Certificate Trusted List” o “Lista de Certificados Confiables”) para garantizar seguridad e interoperabilidad en la Infraestructura de Clave Pública peruana. Lo mismo sucede con las normas aplicables que deben tener un carácter  universal que permita la fluidez en las transacciones comerciales. Se tuvieron en cuenta recomendaciones de APEC, a su vez basadas en el estándar RFC 3647. Otros estándares considerados son, por ejemplo, el FIPS 140-2, la ISO/IEC 17799, la ISO/IEC 15408 y la ISO/IEC TR13335.

 

Además la Secretaría Técnica de la Comisión de Reglamentos Técnicos y Comerciales de INDECOPI ha recogido información vinculada a firmas digitales directamente en las autoridades de acreditación de Chile, Canadá y Australia y entidades de Canadá y Suiza, países en donde se ha desarrollado el tema de tecnología PKI y normatividad aplicable y que por tanto tienen amplísima experiencia para compartir en este aspecto.

 

La principal conclusión de es la siguiente: el elemento central de la AAC no es el hardware y ni siquiera el software. El elemento central es el ejercicio del rol de autoridad administrativa competente, mediante: 1) la emisión de los reglamentos y guías de acreditación de entidades del sector, y, 2) la gestión de los procesos de acreditación para asegurar un sistema confiable y funcional.

 

Sin embargo, a la fecha no está operativa la IOPE, por tanto no hay firma digital en El Perú ya que pese a ser uno de los primeros países en legislar lo referente a firmas digitales existen hasta la fecha vacíos legales importantes que no permiten la implementación de la firma digital en el Perú.

 

 

 

6.      Referencias.

Oscar Ibáñez Parra, Erick Rincón Cárdenas.-  EL ACTO ADMINISTRATIVO ELECTRÓNICO Y LAS NUEVAS TECNOLOGIAS DE LA INFORMACIÓN.-

http://www.usergioarboleda.edu.co/civilizar/revista7/ACTO_ADTIVO_ELECTRONICO.doc

Wikipedia.- Enciclopedia Libre.-

http://es.wikipedia.org/wiki/Autoridad_de_certificaci%C3%B3n

José Francisco Espinoza Céspedes.- RÉGIMEN JURÍDICO DE LA FIRMA ELECTRÓNICA EN EL PERÚ

http://www.ieid.org/congreso/ponencias/Espinoza%20Cespedes,%20JF.pdf

 

_________________________________________________________________
MSN Amor: busca tu ½ naranja http://latam.msn.com/amor/

Escrito por miryan850 el 04/12/2007 20:05 | Comentarios (5)