Firma electrónica

968 views
849 views

Published on

Trabajo realizado para la asignatura Fundamentos Deontológicos y Jurídicos de las TIC. Nota: 10

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
968
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
23
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Firma electrónica

  1. 1. • ÍNDICE I. Introducción ............................................................................................................ 2 II. ¿Qué es la firma electrónica?.................................................................................. 3 III. Tipos de firmas electrónicas ................................................................................... 3 IV. Funciones de la firma electrónica ........................................................................... 4 V. Usos de la firma electrónica .................................................................................... 4 VI. Fundamentos de la firma electrónica ..................................................................... 5 VII. Formatos de firma ................................................................................................... 6 VIII. Certificados electrónicos ......................................................................................... 8 IX. Prestador de servicios de certificación ................................................................... 9 X. Dispositivos de creación y verificación de firma ................................................... 10 XI. Normativa vigente................................................................................................. 11 XII. Conclusión ............................................................................................................. 11 XIII. Bibliografía y fuentes ............................................................................................ 12 XIV. Licencia .................................................................................................................. 13
  2. 2. I. INTRODUCCIÓN En la última década, los documentos electrónicos han sufrido una gran proliferación. Impulsados en gran medida, por la facilidad de creación y la calidad que se puede obtener en ellos, pero sobre todo, por la rápida difusión que ofrece Internet y el soporte electrónico en general. Sin embargo, los documentos electrónicos presentan dos graves problemas: la confidencialidad y la autenticidad. La confidencialidad se refiere a "la capacidad de mantener un documento electrónico inaccesible a todos, excepto a una lista determinada de personas". Mientras que la autenticidad es "la capacidad de determinar si una lista determinada de personas han establecido su reconocimiento y/o compromiso sobre el contenido del documento electrónico". Si se puede probar la autenticidad de un documento, se dice que es no-repudiable. El problema de la autenticidad va ligado con el de la integridad. Un documento deja de ser auténtico si se ha modificado su contenido. La manera tradicional de autentificar un documento era mediante la firma autógrafa de este. A pesar de que desde hace bastante tiempo se venían creando los documentos en soporte digital, éstos se solían imprimir para autentificarlos con métodos tradicionales. Sin embargo, la facilidad e inmediatez que permite la Red para transmitir documentos, así como, la posibilidad de acceder a ellos sin importar la localización geográfica, está impulsando el uso íntegro de documentos en soporte digital. Para solucionar los problemas de confidencialidad, autenticidad, integridad y no-repudiación entra en juego la criptografía y fruto de ella, la firma electrónica. La criptografía es "el arte de escribir con clave secreta o de un modo enigmático". Se trata de una rama de las matemáticas que aplica problemas de difícil solución a aplicaciones especificas. Por ejemplo, los factores de un número que es producto de dos números primos. En este trabajo pretendemos dar una idea global del uso de la firma electrónica, qué es, qué tipos de firmas hay, cuáles son sus funciones y usos, en qué se fundamentan, elementos implicados, etc.
  3. 3. II. ¿QUÉ ES LA FIRMA ELECTRÓNICA? La Ley 59/2003 de firma electrónica, en su Artículo 3.1, define la Firma Electrónica como: "El conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante." Es decir, es el equivalente electrónico de nuestra firma manuscrita. Esta posee una serie de datos, en forma electrónica, que permiten acreditar nuestra identidad en la nueva Sociedad de la Información. La firma electrónica nos permite ejercitar completamente el artículo nº 6 de la Declaración Universal de Derechos Humanos, que dice: “Todo ser humano tiene derecho, en todas partes, al reconocimiento de su personalidad jurídica”. En España la firma manuscrita tiene el mismo valor jurídico que cualquier otro tipo de firma que tenga las mismas finalidades, como puede ser la firma electrónica reconocida. Estamos hablando indistintamente de firma electrónica y firma digital, sin embargo, hay una sutil pero importante diferencia. La firma digital se puede almacenar tanto en software como en hardware, mientras que la firma electrónica solo se puede almacenar en hardware, por ejemplo en el DNIe. III. TIPOS DE FIRMAS ELECTRÓNICAS En el Artículo 3 de la Ley de Firma Electrónica 59/2003 se definen los diferentes tipos de firmas electrónicas:    1 Firma electrónica1: es el conjunto de datos en forma electrónica, consignados junto a otros o asociados a ellos, que pueden ser utilizados como medio de identificación del firmante. La firma electrónica avanzada2: es aquella que además de permitir identificar al firmante, permite detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control. La firma electrónica reconocida3: es aquella que además de ser avanzada, ha sido expedida por un Proveedor de Servicios de Certificación reconocido. Artículo 3.1 - Ley de Firma Electrónica 59/2003 Artículo 3.2 - Ley de Firma Electrónica 59/2003 3 Artículo 3.3 - Ley de Firma Electrónica 59/2003 2
  4. 4. Como podemos observar, la firma electrónica solo permite la identificación del firmante, mientras que las otras dos permiten, entre otras cosas, verificar la integridad del documento. Sin embargo, solo la última es equiparable a la manuscrita y por lo tanto tiene validez jurídica, ya que hace falta una entidad certificadora externa que acredite la identidad de manera imparcial. Aunque el art. 3.9 LFE establece que no se negarán los efectos jurídicos de los demás tipos, sin embargo no especifica cuáles. IV. FUNCIONES DE LA FIRMA ELECTRÓNICA Las funciones de la firma electrónica son las siguientes:      V. Identificar: ha de garantizar inequívocamente que los titulares de la firma son quienes dicen ser. Autentificar: el contenido del mensaje debe ser el mismo que pusieron las partes intervinientes. Integridad: ha de garantizar que el contenido del documento no ha sido manipulado en el proceso de transmisión. No-repudio: tiene que lograr la seguridad jurídica, de forma que ninguna de las partes pueda negar haber escrito el documento. Confidencialidad: el contenido del documento solo pude ser conocido por las partes implicadas. USOS DE LA FIRMA ELECTRÓNICA La firma electrónica es una identidad digital, por lo que puede ser utilizada para numerosas aplicaciones, entre ellas podemos destacar las siguientes:      Permite firmar todo tipo de documentos digitales, desde PDF, e-mails... hasta contratos electrónicos. De esta forma, se garantiza inequívocamente la identidad del autor, así como la integridad del documento. Habilita la opción de codificar la comunicación entre dos personas o entidades como puede ser un servidor de Internet, haciendo que esta sea confidencial. Esto se consigue mediante las claves públicas y las privadas que explicaremos a continuación. Asegura que el receptor es quien dice ser. Por ejemplo, el certificado de una página web acredita que realmente ésta pertenece a una determinada empresa. El sistema de identificación más seguro actualmente es mediante la firma electrónica. Por ejemplo, para acceder a Intranets, redes locales o a determinados servidores. Permite firmar software. De esta manera se puede garantizar que es original y por lo tanto que no contiene malware.
  5. 5. VI. FUNDAMENTOS DE LA FIRMA ELECTRÓNICA Como ya hemos introducido, la firma electrónica tiene como base el uso de la criptografía, que es la rama de las matemáticas que estudia el cifrado y descifrado de la información. La firma digital (avanzada) es el resultado de aplicar un algoritmo, denominado función hash, al contenido del documento y posteriormente, aplicar sobre él el algoritmo de firma. La finalidad de la función hash es calcular un valor que sirve de resumen del documento. El proceso es de dirección única, a partir del valor resumen no se puede obtener los datos originales. Este valor identifica al documento inequívocamente y permite al destinatario comprobar la integridad del documento obtenido aplicando de nuevo la función. Posteriormente, los sistemas de criptografía aplican otro algoritmo, que se conoce como clave, mediante el cual se codifica el mensaje. De tal manera que solo puede ser decodificado por un algoritmo de decodificación, que puede ser el mismo u otro asociado. Se distinguen dos esquemas clásicos de encriptación:  Encriptación simétrica: el emisor y el receptor utilizan la misma clave para encriptar y desencriptar el mensaje. El principal problema de este sistema es que es necesario intercambiar las claves por algún medio, y ese medio puede no ser seguro.
  6. 6. El algoritmo simétrico más famoso es el denominado DES y su variante DES-CBC, pero el algoritmo RC4 va ganando terreno.  Encriptación asimétrica: se basa en pares de claves, una pública y otra privada, de tal forma que lo que una encripta solo lo puede desencriptar la otra. Existen varios algoritmos de llave pública, el más popular es el RSA. El emisor dispone de una clave privada que solo debe conocer él, y otra clave pública que puede proporcionar a cualquier persona. De tal manera que puede proceder de dos maneras: 1. Si el emisor usa su clave privada para cifrar el mensaje, cualquier persona puede descifrarlo usando su clave pública. De esta manera se consigue identificar y autentificar el documento. Esta es la idea fundamental de la firma electrónica. 2. Si el emisor usa la clave pública del receptor para cifrar el mensaje, solo el receptor haciendo uso de su clave privada podrá descifrar el mensaje. De esta manera se logra confidencialidad, ya que nadie más que el receptor puede descifrar el mensaje. La firma electrónica avanzada y reconocida utilizan la criptografía de clave asimétrica, mientras que la firma electrónica básica se basa en la criptografía de clave simétrica. VII. FORMATOS DE FIRMA El formato de firma corresponde al tipo de fichero generado tras aplicar la firma y se caracteriza por su estructura, por su incrustación o no en el documento original, por la posibilidad de incluir varias firmas y por la longevidad de la firma y del sello de tiempo. Como ya sabemos, una firma electrónica contiene información sobre el documento original, el firmante, la fecha de firma, los algoritmos utilizados y sobre la caducidad o no de ésta. La estructuración de esta información es característica de cada formato. Los más importantes son:
  7. 7.  PKCS#7/CMS: es uno de los formatos más extendidos. CMS4 es la evolución del formato PKCS#5 que describe la sintaxis de encapsulación para la protección de datos. Permiten incluir firmas de diferentes firmantes mediante dos modalidades: encadenada y mancomunada. La firma propiamente dicha se compone de de datos formales referidos al tipo de firma, así como de distintos atributos, como el tipo de contenido, certificados, hash, fecha y hora, número de firmas, etc.  XML/XML-DSig: es el formato de mayor expansión debido a su gran uso en aplicaciones online, al ser el formato recomendado por la W3C6. Su funcionamiento y estructura es muy similar al CMS, sin embargo, éste codifica las firmas y certificados siguiendo el estándar Base64. Posee tres modos de firma: -Enveloped: la firma se añade al final del documento XML. Se firma todo lo inmediatamente anterior al documento. -Enveloping: el documento se incluye dentro de la firma. Permite firmar el documento entero o partes de él. -Detached: la firma y el documento se encuentran en dos archivos distintos.  S/MIME7: Es un estándar para criptografía de clave pública y firmado de correo electrónico. Ofrece autenticación, integridad del mensaje y no-repudio.  PDF: se trata de una implementación de PKCS#7. La principal ventaja de este formato es la capacidad de gestionar firmas, además permite realizar firmas longevas. Otras características importantes son la posibilidad de firmar y autentificar con Adobe Reader®, de hacer la firma visible y permitir su personalización. Da la posibilidad de añadir sellos de tiempo o firmar solo campos determinados y además las firmas se pueden integrar en el repositorio de confianza de Windows. El principal problema de estos formatos es la validación de firmas a largo plazo. Cuando se quiera comprobar la validez de la firma en el futuro y el certificado ya esté caducado o revocado, no se podrá determinar si en el momento de firmar la firma era válida. Para solucionar este problema aparecen los formatos avanzados, los cuales incorporan elementos de tiempo y validación que permiten verificar la firma sin ayuda externa. Los principales AdES (Advanced Electrónic Signature) son: 4 Cryptographic Message Syntax Public-Key Cryptographic Standard #7 6 World Wide Web Consortium 7 Secure/Multipurpose Internet Mail Extensions 5
  8. 8.       AdES-BES (Basic): permite satisfacer los requerimientos de la firma electrónica avanzada. AdES-T (timestamp): añade sello de tiempo. AdES-C (complete): añade ciertas referencias para permitir la futura validación. AdES-X (extended): añade sellos de tiempos a las referencias creadas por el formato anterior (AdES-C). AdES-X-L (extended long-term): añade certificados e información de revocación para la validación a largo plazo. AdES-A (archival): permite la adicción periódica de sellos de tiempo para garantizar el archivo de las firmas. Los formatos avanzados correspondientes a los formatos básicos, que hemos expuesto anteriormente, son:    CAdES: CMS Advanced Electronic Signature. XAdES: XML Advanced Electronic Signature. PAdES: PDF Advanced Electronic Signature. VIII. CERTIFICADOS ELECTRÓNICOS En el Artículo 6.1 de la Ley de Firma Electrónica 59/2003 se define certificado electrónico como: "Es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad" Es decir, es un documento electrónico emitido por un prestador de servicios de certificación (PSC), que asocia al firmante con su clave pública. El firmante puede ser una persona física o jurídica. El certificado en sí no sirve para identificar, ya que haría falta la clave privada que solo conoce el firmante. Pero sí que permite autentificar a las partes implicadas en la comunicación, porque garantiza la relación entre la clave pública y la identidad.
  9. 9. La información mínima que debe contener un certificado es:     La identidad del propietario del certificado (identidad a certificar). La clave pública asociada a esa identidad. La identidad del prestador de servicios de certificación. El algoritmo criptográfico usado para firmar el certificado. En la imagen superior se puede ver el certificado de la página web www.google.com. En ella se puede ver toda la información que hemos citado:     La identidad del propietario del certificado: google.es La clave pública asociada a esa identidad: 30 82 01 0a 82 01 01 00 e1 a1... La identidad del prestador de servicios de certificación: Bitdefender El algoritmo criptográfico usado para firmar el certificado: sha1RSA Además de esa información proporciona el periodo de validez del certificado (07/11/12-07/06/13). Todos los certificados tienen periodo de validez, ya que se trata principio básico en la emisión de cualquier tipo de identificación. IX. PRESTADOR DE SERVICIOS DE CERTIFICACIÓN Los Prestadores de Servicios de Certificación (PSC) son definidos por la Ley de Firma Electrónica como: “Persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica, cuya función básica es la emisión de certificados y otros servicios de firma electrónica.”
  10. 10. La validez del certificado es fundamental para confiar en la persona firmante. Por eso podemos tener plena confianza en él si éste ha sido emitido por un PSC de confianza. Ya que el PSC garantiza su validez firmando digitalmente el certificado. Los prestadores de servicios de certificación no necesitan una autorización para emitir certificados, sin embargo, deben cumplir con una serie de obligaciones, entre ellas se encuentran las siguientes:      X. Comprobar la identidad y demás datos personales del solicitante. Facilitar al firmante el dispositivo de creación y verificación de firma. No almacenar ni copiar los datos de creación de firma del solicitante. Mantener un registro público de los certificados emitidos. Estar inscritos en el Registro de Prestadores de Servicios de Certificación. DISPOSITIVOS DE CREACIÓN Y VERIFICACIÓN DE FIRMA "Un dispositivo de creación de firma es un programa o sistema informático que sirve para aplicar los datos de creación de firma." Básicamente la función de un dispositivo de creación de firmas es aplicar los pasos explicados anteriormente para la creación de una firma. Además, para que éste sea un dispositivo seguro, debe asegurar que la firma no se pueda repetir, que ésta no se pueda derivar de los datos usados para su creación, que el programa no modifique el documento original en el proceso de firma y que no pueda acceder un tercero a los datos de creación. "Un dispositivo de verificación de firma es un programa o sistema informático que sirve para aplicar los datos de verificación de firma." Para que la verificación sea satisfactoria se tiene que comprobar los siguientes requisitos:
  11. 11.      Los datos utilizados para firmar tienen que corresponder con la persona que verifica la firma. El proceso debe ser fiable. Se debe comprobar la integridad del documento. Los certificados deben ser auténticos y válidos. Se tiene que comprobar que la seguridad no ha sido alterada. Si se cumplen todos estos requisitos el documento firmado queda verificado. Existe numeroso software que se encarga de realizar estas tareas, por ejemplo @firma, xolidoSign, Clicksign, Sinadura, etc. XI. NORMATIVA VIGENTE La firma electrónica es regulada por las siguientes normativa:     Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 diciembre de 1999, en la que se establece un marco comunitario para la firma electrónica. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de los Datos de Carácter Personal. Ley 59/2003, de 19 diciembre, de Firma Electrónica. Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del documento nacional de identidad y sus certificados de firma electrónica. XII. CONCLUSIÓN Como conclusión vamos a analizar las ventajas de la firma electrónica, así como las desventajas que tiene respecto a la firma tradicional. La firma electrónica conlleva una serie de claras ventajas. Primero supone un gran ahorro económico en cuanto a folios, tinta, gasto de traslado de documentos, etc. Además de las ventajas que conlleva el uso del soporte electrónico, ahorro de espacio físico, disminución del riesgo de alteración o pérdida, optimización de las búsquedas... Por otro lado, facilita la identificación tanto del emisor como del receptor y asegura que el contenido sea irrevocable y no-repudiable, asegurando plenamente la veracidad del documento. Asimismo, es el mejor sistema de identificación que se dispone por el momento, ya que no depende de usuarios ni claves que se puedan perder o ser robadas. No obstante, también posee alguna desventaja, como que el sistema por sí solo no es infalible y los riesgos no se pueden eliminar en su totalidad. Siendo muy importante la figura de los PSC.
  12. 12. XIII. BIBLIOGRAFÍA Y FUENTES                Cruz Rivero, Diego. (2006). Eficacia formal y probatoria de la firma electrónica. Madrid, España: Marcial Pons. Alfredo Alejandro Reyes Krafft. (2002). La firma electrónica y las entidades de certificación. Consultado el 23 de noviembre de 2012 en up.edu.mx Ana I. Berrocal Lanzarot. (2006). La firma electrónica y su regulación en la Ley 59/2003. Consultado el 23 de noviembre de 2012 en ucm.es Carlos G. Figuerola, Angel Francisco Zazo Rodríguez, José Luis Alonso Berrocal. (2003). Firma Digital. Consultado el 23 de noviembre de 2012 en usal.es Cortes Generales Españolas. (2003). Ley 59/2003, de 19 de diciembre, de firma electrónica. Consultado el 23 de noviembre de 2012 en juridicas.com Cuerpo Nacional de Policía (2012). Guía de Referencia Básica. Consultado el 23 de noviembre de 2012 en dnielectronico.es Gobierno de Aragón. (2010). Sistemas de remisión electrónica de documentos. Consultado el 24 de noviembre de 2012 en gob.es Ignacio Mendívil. (2005). El ABC de los Documentos Electrónicos Seguros. Consultado el 23 de noviembre de 2012 en upm.es Instituto Nacional de la Tecnologías de la Comunicación (INTECO). (2007). Desarrollo de aplicaciones con DNIe. Consultado el 24 de noviembre de 2012 en inteco.es Instituto Nacional de la Tecnologías de la Comunicación (INTECO). (2012). Guías y documentos del DNI electrónico. Consultado el 24 de noviembre de 2012 en inteco.es Instituto Nacional de la Tecnologías de la Comunicación (INTECO). (2012). Prestador de Servicios de Certificación. Consultado el 25 de noviembre de 2012 en inteco.es Javier Sáez Moneo. (2010). Adecuación a las TIC de una empresa de transportes. Consultado el 23 de noviembre de 2012 en ubu.es Ministerio de Hacienda y Administraciones Públicas. (2012). Formatos de Firma. Consultado el 25 de noviembre de 2012 en gob.es Parlamento Europeo y del Consejo. (1999). Directiva 1999/93/CE del 13 de diciembre de 1999. Consultado el 23 de noviembre de 2012 en fnmt.es SeguriData. (2005). Aplicaciones de la firma electrónica. Consultado el 24 de noviembre de 2012 en seguridata.com
  13. 13.    Wikipedia. (2010). Certificado digital. Consultado el 25 de noviembre de 2012 en wikipedia.org Xolido Systems S.A. (2012). Manual de Xolido®Sign Consultado el 25 de noviembre de 2012 en xolido.com ZonaTIC. (2012). Sistemas actuales de autenticación y firma. Consultado el 24 de noviembre de 2012 en usatudni.es XIV. LICENCIA Esta obra, junto con su diseño e ilustraciones, están sujetas a la licencia Reconocimiento-NoComercial 3.0 España de Creative Commons. Para ver una copia de esta licencia, visite CC BY-NC 3.0 ES. "Recopilación y comparación de códigos deontológicos" by David Miguel Lozano, is licensed under a Creative Commons Reconocimiento-NoComercial 3.0 España License.

×