Firma digital en el peru
Upcoming SlideShare
Loading in...5
×
 

Firma digital en el peru

on

  • 272 views

Firma digital en el Perú

Firma digital en el Perú

Statistics

Views

Total Views
272
Views on SlideShare
272
Embed Views
0

Actions

Likes
0
Downloads
4
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Firma digital en el peru Firma digital en el peru Document Transcript

  • EL SISTEMA DE FIRMA DIGITAL Y SU APLICACIÓN EN EL PERÚ ANÁLIS Y PERSPECTIVAS Gerber Incacari Sancho Tomado de : www.diplomado.org/ij/firmadigital.doc Podemos empezar diciendo que la firma digital garantiza la seguridad técnica y jurídica en las transacciones comerciales (comercio electrónico) y no comerciales (gobierno electrónico) Antes de analizar la firma digital o electrónica, debemos analizar la firma. FIRMA Según la real academia española vigésima tercera edición la firma es “Nombre y apellido, o título, que una persona escribe de su propia mano en un documento, para darle autenticidad o para expresar que aprueba su contenido.”[1] Según esta definición restrictiva y no acorde a los últimos avances técnicos y científicos, la firma solo es aquella manuscrita, cuando debemos tener en cuenta que lo principal no es la forma como se manifiesta la firma sino que cumpla su función que básicamente es la de acreditar la identidad del firmante. La firma manuscrita es un símbolo puesta sobre un documento. Cabría preguntarse si el solo símbolo constituye una firma, creemos que si por cuanto ese símbolo es el que utilizo, cuando es puesta sobre un documento, para acreditar mi identidad y dar conformidad del contenido del documento. Para la validez de la firma el documento no debe haber sido alterado. Otra definición restrictiva y parcial nos da la enciclopedia wikipedia que nos dice: La firma es una palabra, o pequeño mensaje o dibujo, que tiene como fin identificar y asegurar o autentificar la identidad de un autor o remitente, o como una prueba del consentimiento y/o de verificación de la integridad y aprobación de la información contenida en un documento o similar.[2] VERIFICACIÓN DE LA FIRMA En el caso de la firma manuscrita la verificación se realiza a través de un grafólogo o perito grafotécnico además postula que puede analizar determinados rasgos de la personalidad de un individuo. En el caso de la firma digital la verificación se realiza a través de los certificados digitales, específicamente con la clave pública del firmante; también se verifica la inalterabilidad del documento.
  • FIRMA ELECTRÓNICA Antes de analizar la firma digital (especie) debemos analizar el género que es la firma electrónica. La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros asociados con ellos, que pueden ser utilizados como medio de identificación del firmante. [3] Tipos de firma electrónica: a) Que básicamente identifican al firmante: PIN y Biométrica b) Firma Digital, que identifican al firmante y garantizan la integridad del mensaje. PIN, Personal Identification Number , Número de Identificación Personal, consiste en el uso de una contraseña (que puede ser número, letras o una combinación de éstas). Utilizado en los correos electrónicos, en los cajeros, etc. Cumple la función de una firma que es identificar al firmante, aunque no garantiza la integridad del mensaje. Por ejemplo si recibo un correo de Juan Pérez, tengo “seguridad” de que es él quien me ha enviado dicho mensaje, lógicamente la autenticidad de la identidad de Juan Pérez es no es tan segura. Asimismo tampoco tengo garantía de que el mensaje no ha sido modificado. Cabe resaltar que dicha seguridad básicamente se basa en la confianza. En caso de los Bancos el tema es más delicado ya que mi contraseña puede ser conocida por los empleados del Banco quienes podrían suplantar indebidamente mi identidad. FIRMA BIOMÉTRICA Es aquella firma que identifica a una persona a través de rasgos de la persona como su huella dactilar, el iris, su voz, etc. Estos deben haber sido previamente digitalizados es decir convertidos en 0 y 1. FIRMA DIGITAL Es aquella firma electrónica que utiliza la criptografía asimétrica. En la firma digital intervienen una serie de factores técnicos y jurídicos, tales como la versión de criptografía, entidad de certificación, hardware de firma, medio donde se almacena el certificado digital, validez, duración de la firma, entre otros factores por lo que cabría llamar sistema de firma digital. Por otro lado el mismo diccionario nos dice que firma digital es la Información cifrada que identifica al autor de un documento electrónico.[4] Asimismo la enciclopedia wikipedia nos dice que: Firma digital es una tecnología que produce los mismos efectos jurídicos que la "firma autógrafa" de un documento físico, siendo también admisible como prueba en juicio, en función de la legislación de cada país. Esta tecnología se basa en la criptografía. Mediante unos mecanismos criptográficos, se lleva a cabo la firma y la posterior confirmación y validación de dicha firma. [5]
  • LEGISLACIÓN La Ley Modelo sobre las Firmas electrónicas, de la comisión de las naciones unidas para el Derecho Mercantil Internacional – UNCITRAL [6] nos brinda unas definiciones que han sido tomadas por muchas legislaciones. Artículo 2. Definiciones Para los fines de la presente Ley: a) Por “firma electrónica” se entenderán los datos en forma electrónica consignados en un mensaje de datos, o adjuntados o lógicamente asociados al mismo que puedan ser utilizados para identificar al firmante en relación con el mensaje de datos e indicar que el firmante aprueba la información contenida en el mensaje de datos; Aquí se puede apreciar dos funciones básicas de la firma: identificar al firmante y que éste apruebe el contenido del documento firmado. b) Por “certificado” se entenderá todo mensaje de datos u otro registro que confirme el vínculo entre un firmante y los datos de creación de la firma; El certificado, relacionado a la firma digital sirve para verificar la autenticidad de la firma. c) Por “mensaje de datos” se entenderá la información generada, enviada, recibida o archivada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el intercambio electrónico de datos (EDI), el correo electrónico, el telegrama, el télex o el telefax; Cabe resaltar que la ley modelo incluye como mensaje de datos al telefax, en el que no interviene un medio informático. d) Por “firmante” se entenderá la persona que posee los datos de creación de la firma y que actúa en nombre propio o de la persona a la que representa; El firmante puede actuar en representación de una persona jurídica. e) Por “prestador de servicios de certificación” se entenderá la persona que expide certificados y puede prestar otros servicios relacionados con las firmas electrónicas; La ley en este caso se refiere a las entidades o autoridades de certificación. f) Por “parte que confía” se entenderá la persona que pueda actuar sobre la base de un certificado o de una firma electrónica. Se refiere a la alta seguridad que ofrece la firma digital por lo que los terceros pueden confiar en dicho medio. View slide
  • Un aspecto muy importante de esta directiva es el art. 6 que dice: Artículo 6. Cumplimiento del requisito de firma 1) Cuando la ley exija la firma de una persona, ese requisito quedará cumplido en relación con un mensaje de datos si se utiliza una firma electrónica que, a la luz de todas las circunstancias del caso, incluido cualquier acuerdo aplicable, sea tan fiable como resulte apropiado a los fines para los cuales se generó o comunicó ese mensaje. Este artículo es importante por cuanto nos dice que ante cualquier ley [7] (ya que no hace distinción) podemos donde se exija la firma (se entiende manuscrita) se puede utilizar en su reemplazo la firma electrónica. PERÚ Ley 27269 http://www2.congreso.gob.pe/ccd/leyes/cronos/2000/ley27269.htm DECRETO SUPREMO N° 052-2008-PCM 18 AGOSTO DE 2008, Reglamento de la Ley de Firmas y Certificados Digitales, http://www.scribd.com/doc/4022337/DS-0522008PCM Modifican el art. 11 de la ley 27269 http://www.hfernandezdelpech.com.ar/LegislacionYproExtIPERULey27310.htm Indecopi nos dice que la firma digital es: "una herramienta tecnológica que permite garantizar la autoría e integridad de los documentos digitales, posibilitando que éstos gocen de una característica que únicamente era propia de los documentos en papel.Una firma digital es un conjunto de datos asociados a un mensaje digital que permite garantizar la identidad del firmante y la integridad del mensaje". http://www.indecopi.gob.pe/servicios-FirmaCerDigital-que-es.jsp Al respecto podemos deducir que la firma tiene dos funciones básicas las cuales son: - Otorgar certeza a los terceros sobre la autenticidad de la identidad del firmante, es decir existe seguridad de que el autor apatente (quien dice ser) es realmente el autor del documento firmado. - Garantizar la integridad del mensaje firmado, es decir que exista certeza de que el documento no ha sido modificado. Aquí cabe aclarar que en realidad el documento podría ser modificado por un Hacker, pero el sistema de firma digital alertará de que el documento ha sido modificado, aun dicha modificación sea insignificante (por ejmplo una coma, un espacio, una tilde, etc) invalidando la validez y eficacia de la firma. Más adelante Indecopi refiere: "La firma digital no implica asegurar la confidencialidad del mensaje; un documento firmado digitalmente puede ser visualizado por otras personas, al igual que cuando se firma holográficamente" ibidem View slide
  • Este aspecto es muy importante por cuanto se decía que la firma digital garantizaba la confidencialidad, cuando como podemos analizar la firma en general tiene como función básica otorgar certeza de la autenticidad del firmante y garantizar que el documento no ha haya sido alterado; pero no es función de la firma garantizar la confidencialidad; por ejmplo yo podría firmar un documento independeinte si icho documento lo va a leer una persona o varias, la confidencialidad entra en el camp de la privacidad y de las medidas de seguridad que se otorguen. Por último la definción de Indecopi nos dice: "La firma digital es un instrumento con características técnicas y normativas, ésto significa que existen procedimientos técnicos que permiten la creación y verificación de firmas digitales, y existen documentos normativos que respaldan el valor legal que dichas firmas poseen". ibidem Asi es existe con respecto al sistema de firma digital dos aspectos o caratcterísitcas muy importes. Aspecto Técnico - Que incluye básicamente el uso de la criptografía asimétrica, es decir el uso de dos claves muy complejas y seguras relacionadas matemáticamente entre sí. Aspecto Jurídico - Es muy importante por cuanto a través de la ley la firma digital va a tener la misma validez y la eficacia jurídica que la firma manuscrita. Para firmar digitalmente se requiere: 1 - Tener un certificado digital, ello es fundamentel por cuanto en el certificado digital está incorporado la clave secreta que se utiliza para firmar digitalmente. Esta clave es completamente segura (aunque nada es ciento por ciento seguro) sin embargo ofrece un alto grado de seguridad. El certificado digital es un documento electrónico que contiene la clave privada, la clave pública, datos personales, la firma digital de la entidad que otorga los certificados digitales, la videncia del certificado, entre otros datos relevantes almacenados en soporte electrónico tal como un USB, un chip etc. Analizaremos las definiciones que Indecopi publica en su página web: http://www.indecopi.gob.pe/destacadoreglamentos-firmaDigital-preg-frec.jsp ¿Qué es, pues, la criptografía asimétrica?
  • La criptografía es un arte mediante el cual un mensaje legible es convertido en un texto incomprensible y después devuelto a su forma original. Al respecto podemos deicr que la criptografía es parte de la criptología Criptología: - Criptografía, disciplina que estudia el cifrado y descifrado de mensajes utilizando claves simétrica o asimétricas - Criptoanálisis, estudia el descifrado de mensajes sin conocer la clave de encriptación, esta ténica es utilizada por los llamados hacker o crakers, a través de lo que se denomina la fuerza bruta. Así por ejemplo cuando deseamos abrir un candado que tiene un sistema de seguridad con claves de dos cifras: Si no conocemos la clave no podemos abrir el candado, entonces empezamos a utilizar la "fuerza bruta", tanteamos con todas las posibilidades, empezamos con el 00, 01, 02... y asi sucesivamente hasta dar con la clave de acceso. La Criptografía se divide a su vez en: Criptografía Simétrica Es aquella que se utiliza cuando un mensaje ha sido ocultado, cifrado o encriptado (palabras que podemos considerlas con el mismo significado) utilizando una determinada clave y utilizando la misma clave podemos abrir, descifrar o desencriptar un mensaje. Criptografía Asimétrica Es aquella que se utiliza para cifrar el mensaje con una clave pública o privada y descifrar el mismo mensaje con una clave privada o publica respectivamente. Es decir con una clave pública puedo descifrar un mensaje que ha sido encriptado con una clave privada y viciversa, con una clave privada puedo descifrar un mensaje que ha sido encriptado con una clave pública. El secreto está en que estas claves publicas y privadas están matemáticamente realacionadas entre si, de tal manera que forman una pareja única que se utiliza para cifrar y descifrar mensajes. La firma digital utiliza la criptografía asimétrica. Indecopi nos da el ejemplo siguiente sobre criptografía simétrica: Consideremos, por ejemplo, el texto siguiente, redactado (ficticiamente) por el general Wellesley: “Blucher, mañana al alba atacaremos a Bonaparte en Waterloo” A este texto le aplicaremos una clave muy sencilla: cada letra será reemplazada por la letra que le precede en el abecedario (y la “a” por la “z”). El resultado es: “Aktbgdq, lznzmz zk zkaz zszbzqdlñr z Añmzozqsd dm Vzsdqkññ”
  • Obviamente esta clave es un mero juguete, pues si Napoleón (el enemigo) capturase al mensajero y leyera el mensaje, una de las primeras ideas que le vendría a la mente sería la de reemplazar cada letra por la que le sigue en el abecedario y obtendría el texto legible original. Sin embargo, una clave mucho más complicada y previamente elaborada entre Blucher y Wellesley podría resistir el análisis de Napoleón, sobre todo teniendo en cuenta que (aunque no lo sepa) sólo dispone de una noche para poder descifrarla antes que los ejércitos aliados le caigan encima. Este que dimos es un ejemplo de “criptografía simétrica”. Aplicando una clave sobre un texto, se le convierte en incomprensible, y volviendo a aplicarla (pero en sentido simétricamente inverso) el texto incomprensible recupera su legibilidad. Pero, naturalmente, Wellesley y Blucher necesitan haber convenido previamente la clave común. ¿Qué sucede cuando las circunstancias no permiten eso? La respuesta es la “criptografía asimétrica”. Es una modalidad del arte criptográfico que, a diferencia del método simétrico tradicional, no utiliza la misma clave para cifrar y descifrar un mensaje sino que utiliza dos claves diferentes: una para cifrar el mensaje y otra (que no es la “inversión” de la primera) para descifrarlo. También se le llama “criptografía de clave pública” porque sólo una de estas claves es privada y secreta. La otra es necesariamente de conocimiento público. La explicación de por qué las cosas son así la daremos más adelante. Otro ejemplo de criptografía simétrica es la utilización de la clave por ejemplo quinceaños Asi: Clave simétrica: quinceaños=0123456789 quinceaños= 0123456789
  • Es decir q=0, u=1, i=2 , etc. Texto el texto claro : Quiero comprar un kilo de chuño El texto cifrado con la clave sería : 0125r8 48mpr6r 13 k2l8 d5 4h178 Para descifrar este texto debemos : Quiero comprar un kilo de chuño Emplear la misma clave y obtendríamos lo siguiente: Podemos emplear otros tipos de claves VENTAJAS Y DESVENTAJAS DE LA CRIPTOGRAFÍA SIMÉTRICA VENTAJAS La criptografía simétrica es rápida Su uso es sencillo y facil de utilizar No se requiere programas informáticos DESVENTAJAS No es segura Se debe compratir la clave Para enviar mensaje con clave privada se requiere poseer muchas claves. Asi por ejemplo: A desea enviar un mensaje a B usando la criptografía simétrica. a y B deben compartir la misma clave. Si A desea enviar otro documento a C, entonces A debería emplear otra clave de cifrado ya que su clave solo puede compartirla con una persona. Tendría que tener tantas claves como personas a quienes desea enviar mensajes. El hecho de compartir contraseñas hace inseguro el sistema
  • Las claves o contraseñas pueden ser interceptadas y conocidas por terceros con cierta facilidad. Podemos referirnos a la inseguridad que presentan los Bancos con sus sistema de contraseñas, la contraseña que utilizamos de hecho es conocida por ciertos empleados del Banco, que podrían utilizar la misma haciendose pasar por nosotros. La seguridad de los Bancos es la utilización de certificados digitales de servidor, paa dotar de seguridad a la web de los Bancos. DESVENTAJAS DE LA CRIPTOGRAFÍA ASIMÉTRICA Es más lenta que la criptografía simétrica Requiere el uso de hardware y software, aunque ahora el sistema se ve facilitado por el uso del DNI electrónico e incluso de los teléfonos celulares. Es un dispositivo que puede perderse y ser utuilizado por otro persona, para evitar ello debe utilizarse un PIN cada vez que deseo activar el sistema de frima digital VENTAJAS Es muy seguro Brinda seguridad técnica y por ende jurídica La persona no requiere compartir su clave privada con nadie Basta que cada persona tenga dos claves (una pública y otra privada) CERTIFICADO DIGITAL Un Certificado Digital es el equivalente electrónico a un Documento de Identidad. El Certificado Digital asocia una clave criptografica a una identidad, de tal forma que esta quede feacientemente ligada a los documentos electronicos sobre la que se aplica. Un Certificado sirve para: Autentificar la identidad del usuario, de forma electrónica, ante terceros. Firmar digitalmente de forma que se garantice la integridad de los datos trasmitidos y su procedencia.
  • Cifrar datos para que sólo el destinatario del documento pueda acceder a su contenido. El uso de un certificado nos garantiza: 1) La identidad del emisor y del receptor de la información (autentificación de las partes) 2) Que el mensaje no ha sido manipulado durante el envío (integridad de la transacción) 3) Que sólo emisor y receptor vean la información (confidencialidad) 4) Que el titular de un mensaje no pueda negar que efectivamente lo firmó (no-repudio) ¿Qué elementos contiene un Certificado Digital? - La identidad del titular. - La clave publica del titular. - Datos propios del certificado: número de serie, fecha de caducidad… - La identidad de la autoridad de certificación que lo ha emitido - La firma de la autoridad de certificación. ¿Quién interviene en el proceso de la emisión de un certificado? FIRMA DIGITAL A TRAVÉS DEL MÓVIL Se muestra como se puede irma digitalmente usando el DNI electrónico y el celular. http://www.youtube.com/watch?v=h1QCvoeP2ck Sobre los 4 aspectos que garantiza la criptografía asimétrica Autenticidad de la autoriía del mensaje, integridad del mensaje, no repudio y la confidencialidad, esta última se logra cuando ambos (emisor y receptor) utilizan clave pública y privada. Cabe resaltar que en el caso de la firma digital, basta con que uno de ellos tenga clave pública y privada, el receptor puede no tener dichas claves, pero si podrá saber. la autenticidad de la firma, la integridad del mesnaje y la garantía que el emisor no repudio el mensaje.http://www.youtube.com/watch?v=MMStHT82cyI
  • [1] Disponible en www.rae.es [2] Disponible en http://es.wikipedia.org/wiki/Firma [3] García Más , Francisco Javier, Comercio y firma electrónicos: análisis jurídico de los servicios de la sociedad de la información, 2da edición, autor, 2004 pág.32 Libro disponible a texto completo en http://books.google.com.pe/books?id=1JtU5F025IYC&printsec=frontcover&source=gbs_summary_r&cad =0 [4] Disponible en http://ww.rae.es [5] Disponible en http://es.wikipedia.org/wiki/Firma [6] Disponible en http://www.uncitral.org/uncitral/es/uncitral_texts/electronic_commerce/2001Model_signatures. html [7] Debemos entender en principio de carácter comercial, pudiendo ampliarse a una de carácter civil patrimonial e incluso consideramos que no hay razón, dado los avances de la tecnología, a ampliar su aplicación a otros ámbitos civiles no patrimoniales e incluso administrativos, lo que desarrollaría en gobierno electrónico.