Este documento describe el certificado y firma electrónica. Explica que el certificado electrónico es un documento emitido y firmado por una Autoridad Certificadora que identifica a una persona o entidad y su clave pública. La firma electrónica se basa en algoritmos criptográficos asimétricos que utilizan una clave pública y una clave privada para garantizar la autenticidad e integridad de los mensajes electrónicos. El cifrado electrónico permite ocultar el contenido de un mensaje mediante un algoritmo para proteger la información
1. EJE TEMÁTICO Nº 3
Certificado y Firma Electrónica
Elaborado por:
Karen Dayani Peñuela Ramos
Jesus Eyder Suarez Páez
Kelly Alejandra Méndez Ávila
Universidad del Quindío
Programa Ciencia de la Información, Documentación, Bibliotecología y Archivística
Gestión de Documentos Electrónicos – G2
Septiembre 2012
2. Introducción
Este trabajo se realizó con el propósito de describir el certificado y firma
electrónica, procesos que sirven para el manejo de los documentos
electrónicos.
Estos procesos generan confianza y fiabilidad y por ende favorece el
manejo de los documentos electrónicos de las personas que los reciben
ya que están acreditados por entidades especiales.
4. ¿Qué es?
Es un documento emitido y
firmado por una Autoridad
Certificadora (AC), y puede
identificar a una persona
física o jurídica y a una
clave pública que se le ha
asignado para poder
realizar procesos de firma
y/o cifrado.
Imagen tomada de:
http://legislaciondedatoselectronicos.bligoo.com.co/
5. ¿Que es la AC (Autoridad Certificadora)?
La Autoridad Certificadora (AC) es
una entidad de confianza del emisor
y del receptor de una comunicación.
Esta confianza de ambos en una
'tercera parte confiable' (trusted
third party) permite que cualquiera
de los dos confíe a su vez en los
documentos firmados por la
Autoridad Certificadora, en
particular, en los certificados que
identifican ambos extremos.
(Más adelante se ampliará el concepto)
6. Beneficios del certificado electrónico
Garantiza la identidad del ciudadano que realiza
una gestión electrónica
Proporciona confidencialidad, integridad, y
seguridad en Internet
El contenido del documento electrónico no
puede ser alterado
Se agilizan los procesos de aprobación para
documentos que requieran firma manuscrita
7. Beneficios del certificado electrónico
Tiene el mismo valor jurídico que la firma
manuscrita
El ciudadano puede realizar trámites y
gestiones electrónicamente y obtener
una respuesta inmediata sin tener que
desplazarse
Se reducen los costos de impresión de documentos
que necesiten aprobación mediante firma manuscrita
9. De acuerdo al contexto del que se esté hablando, se habla de
diferentes tipos electrónico ó tipos de certificados como son:
De acuerdo a la normatividad existen dos tipos de certificados
electrónicos que son:
Certificado electrónico es un documento firmado electrónicamente por un
prestador de servicios de certificación que vincula unos datos de verificación
de firma a un firmante y confirma su identidad.
Certificado reconocido es un certificado electrónico que cumple con los
requisitos recogidos en la Ley de Firma Electrónica 59/2003 tanto en cuanto a
su contenido, como en ciertas condiciones que debe cumplir el Prestador de
Servicios de Certificación.
10. Atendiendo nuevamente a la normatividad, se habla de:
Certificado de persona física es el que identifica a una persona
individual.
Certificado de persona jurídica es el que identifica a una entidad
con personalidad jurídica. Por ejemplo a una empresa.
Certificado de entidad sin personalidad jurídica es el que identifica
a una entidad sin personalidad jurídica.Por ejemplo a una
comunidad de vecinos.
11. Atendiendo al soporte del certificado, se habla de:
Certificado software es aquel que consiste en un fichero software,
que no tiene soporte físico alguno más que el propio ordenador o
servidor donde se instala.
Certificado de tarjeta es aquel que se encuentra alojado en una
tarjeta.
12. Ciclo de vida del Certificado
2. INSTALACIÓN
DEL CERTIFICADO
•Se dice que se va a
exportar un
documentos, cuando
•Una vez que una Autoridad
de Certificación nos ha
una vez que ya el
•Pedir el certificado a emitido un certificado, y lo certificado está
una Autoridad de se ha descargado hay que guardado en una
Certificación AC instalarlo en el navegador unidad de
de nuestro ordenador. Lo almacenamiento
anterior es cuando el (interna o externa) al
certificado es sólo
software., cuando el
equipo y quiere llevarlo
certificado es de tarjeta no al navegador
es necesario instalar el
certificado en el navegador.
1. OBTENCIÓN DEL 3. IMPORTAR EL
CERTIFICADO CERFICADO
13. Ciclo de vida del Certificado
5. PERIODO DE
VALIDEZ DEL
•Caso contrario a la CERTIFICADO
exportación que hace
referencia a hacer el
traspaso del •Es el tiempo de validez •Cuando el certificado
certificado, del que tiene un certificado ya ha perdido la
navegador del y está determinado por vigencia, este deja de
usuario, a cualquier el tipo de certificado estar operando por
dispositivo USB u otro que sea y/o por parte de la Autoridad
medio de disposición de la de Certificación.
almacenamiento. Esto Autoridad Certificadora
para evitar perdidas de
los certificados
4. EXPORTAR EL 6. CADUCIDAD DEL
CERTIFICADO CERTIFICADO
14. Ciclo de vida del Certificado
8. REVOCAR EL
•La renovación del CERTIFICADO
certificado es posible,
siempre y cuando no •Esta operación
hay pasado su consiste en eliminar
vigencia, para este •Consiste en anular la del navegador o de
paso, no hay que vigencia del en caso de una tarjeta el
hacerle mismo perdida o de sospecha certificado. Esto se
procedimiento de sobre la manipulación suele hace una vez el
obtención del de terceros sobre el certificado ya ah
certificado, certificado. caducado.
simplemente que se
hace con 2 o 3 mese
de anterioridad la
solicitud.
7. RENOVAR EL 9. ELIMINAR EL
CERTIFICADO CERTIFICADO
16. Normatividad
La Ley 527 de 1999 es clara en el sentido de que “No se negarán efectos jurídicos,
validez o fuerza obligatoria a todo tipo de información por la sola razón de que
esté en forma de mensaje de datos”.
Decreto 1747 de 2000 reglamenta lo relacionado con las entidades de
certificación, los certificados y las firmas digitales.
Ley 527 de 1999 de 18 de agosto, por medio de la cual se define y reglamenta el
acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas
digitales, y se establecen las entidades de certificación y se dictan otras
disposiciones.
Decreto 1747 de 2000: reglamenta parcialmente la Ley 527 de 1999 en aspectos
relacionados con las entidades de certificación, los certificados y las firmas
digitales.
Resolución 26930 de 2000 de la Superintendencia de Industria y Comercio:
referencia los requisitos que deben cumplir las entidades de certificación abiertas
o cerradas para solicitar su autorización y funcionamiento, clasificación que
depende de los servicios que prestan y finalmente se desarrolla el tema de las
firmas auditoras para las entidades de certificación y el contenido del informe de
auditoría necesario para la autorización, el cual debe ser actualizado por lo
menos anualmente.
17. ¿Qué es?
Según la ley 527 de 1999 en el art 2
literal c se define de la siguiente
manera: «Se entenderá como un valor
numérico que se adhiere a un mensaje
de datos y que, utilizando un
procedimiento matemático conocido,
vinculado a la clave del iniciador y al
texto del mensaje permite determinar
que este valor se ha obtenido
exclusivamente con la clave del
iniciador y que el mensaje inicial no ha
sido modificado después de efectuada
la transformación»
18. Función de la Firma Electrónica
La firma digital actúa de la misma forma que una firma
manuscrita, puesto que si ha sido fijada a un escrito electrónico se
presupone que el suscriptor quería ese mensaje como suyo
teniendo los siguientes atributos:
1. Es única a la persona.
2. Se puede verificar.
3. Esta bajo el control de la persona que la usa.
4. Ligada a la información relacionada en el mensaje.
5. Esta conforme a la reglamentación del gobierno.
19. ¿En qué se fundamenta la firma
electrónica?
Algoritmos criptográficos asimétricos en los que son necesarias
un par de claves para el intercambio de la información: una clave
pública y una clave privada.
La clave privada esta se almacena
en el equipo del remitente y
solamente es conocida por él.
La clave pública esta es distribuida
entre todos los posibles
destinatarios de los mensajes.
20. Imagen tomada de: http://www.huntingbears.com.ve/mejorando-la-seguridad-de-tu-identidad-en-internet-con-gnupg.html
21. Tipos de firma electrónica
De clave simétrica
Esta firma fue una de las primeras
en utilizarse ya que se da por
hecho que hay dos partes que
están interesados en la
información que está en un
documentos electrónico, y se
utiliza una sola clave para
decodificar el mensaje, esto por
supuesto, son claves que tienen
ambas partes
22. Tipos de firma electrónica
De clave asimétrica
Esta firma a diferencia de la
simétrica, requiere de dos calves
diferentes (una pública y otra
privada) en donde la clave pública
es conocida por las dos partes y la
privada solo es conocida por uno
de ellos.
23. Identificación de la firma electrónica
La identificación consiste en
determinar cuándo una firma es
verdadera o no; este proceso de
identificación se hace a través de
unos datos o conceptos técnicos
como lo son los datos estáticos y
dinámicos, los primeros determinan
los trazos de la firma y los segundos
miden la velocidad, la presión y la
dirección con la que se hace la firma.
24. Autenticación de la firma electrónica
La autenticación de la firma
electrónica se hace a través de las
autoridades de certificación
autorizadas, quienes a su vez deben
estar autorizados por el Ministerio
de Justicia para otorgar certificados
que acrediten ya sea una persona o
entidad que usa una firma, y a quien
reconoce como usuario legítimo.
25. Beneficios de la Firma Electrónica
Aporta tres características importantes en la
comunicación por Internet: identificación del
firmante, integridad de los datos y Confianza.
Lo más importante es que están orientadas a realizar
operaciones por Internet que en la vida cotidiana
requieren de una firma para validarlas, esto ahora se
hace electrónicamente
Algunos ejemplos de operaciones que se pueden
realizar actualmente haciendo uso de la firma digital
son:
Realización de la Declaración de la Renta a través de
Internet
Firma de correos electrónicos.
Firma de facturas electrónicas.
26. Modo de uso
Principalmente se basa en la instalación de los certificados digitales en las
aplicaciones que los vayan a utilizar.
Consiste en la importación a fichero de los datos del certificado.
Las aplicaciones más comunes que utilizan la firma electrónica son el
navegador y el cliente de correo electrónico.
El receptor de la información deberá confiar en el certificado digital del
emisor para que pueda disponer de los datos de este.
El único dato que no será trasmitido será la clave privada que es el único
dato que compromete la seguridad.
Esta es la razón por la que se pueden intercambiar certificados
exportados sin la clave privada.
27.
28. Proceso
Se aplica una función denominada hash, dicha
función genera una huella digital que a su vez
es diferente en cada documento, es decir que
ningún documento que pase será el mismo y
mediante la aplicación de otra función la
huella se cifra con clave privada, de esta
forma queda formada la firma.
31. ¿Qué es?
El cifrado electrónico es aquel que nos permite
ocultar el contenido del mensaje (inteligible
para todos) a un algoritmo en un texto
cifrado(ininteligible para todos excepto para el
legítimo destinatario), asegurando la
autenticidad de los contenidos enviados como
su exclusividad y evitando la violación de la
información por parte de terceros.
32. Se distinguen dos tipos de cifrados:
CIFRADO SIMETRICO
Cuando se emplea la misma clave en las
operaciones de cifrado y descifrado, se
dice que el criptosistema es simétrico o
de clave secreta. Estos sistemas son
mucho más rápidos que los de clave
pública, y resultan apropiados para el
cifrado de grandes volúmenes de datos.
Ésta es la opción utilizada para cifrar el
cuerpo de los mensajes en el correo
electrónico o los datos intercambiados
en las comunicaciones digitales. Para
ello se emplean algoritmos como IDEA,
RC5, DES, TRIPLE DES, etc.
33. CIFRADO ASIMETRICO
Cuando se utiliza una pareja de claves para
separar los procesos de cifrado y descifrado,
se dice que el criptosistema es asimétrico o de
clave pública. Una clave, la privada, se
mantiene secreta, mientras que la segunda
clave, la pública, es conocida por todos. De
forma general, las claves públicas se utilizan
para cifrar y las privadas, para descifrar. El
sistema posee la propiedad de que a partir del
conocimiento de la clave pública no es posible
determinar la clave privada ni descifrar el
texto con ella cifrado. Los cripto-sistemas de
clave pública, aunque más lentos que los
simétricos, resultan adecuados para los
servicios de autenticación, distribución de
claves de sesión y firmas digitales. Se utilizan
Tomado de: http://nehos-
los algoritmos de RSA, Diffie-Hellman, etc. holaaquitoyyop.blogspot.com/2012/06/documentos-electronicos-y-firma-
digital.html
34. Pasos a realizar en el cifrado
electrónico
1. Se captura el mensaje.
2. Se recupera la clave pública del certificado digital del
destinatario.
3. Se genera la clave de sesión simétrica de un único uso.
4. Se realiza la operación de cifrado en el mensaje mediante
una clave de sesión.
5. Se cifra la clave de sesión mediante la clave pública del
destinatario.
6. Se incluye la clave de sesión cifrada en el mensaje cifrado.
7. Se envía el mensaje.
35. Usos del Cifrado Electrónico
Almacenar archivos en el equipo: no es algo que se realice
obligatoriamente, pero sirve para proteger los archivos
confidenciales.
Codificar la información que se envía en un correo electrónico
o un documento: para el envió de información importante los
expertos recomiendan el cifrado de información.
Hacer compras en internet de manera segura: los bancos, las
tiendas y la mayoría de empresas que venden productos o
realizan transacciones por internet manejan una forma de
cifrado muy efectiva llamada Secure Sockets Layer, el cual
protege el trayecto electrónico que conecta el navegador web
con los equipos que alojan sitios web de comercio electrónico.
Proteger la red domestica inalámbrica de internet: las últimas
redes inalámbricas ya vienen con un cifrado, para que los
vecinos no puedan acceder a la información de nuestro
computador.
36. ¿Que es la AC (Autoridad Certificadora)?
Retomando otra vez el termino, estas autoridades o
entidades, son aquellas organizaciones privadas que
tienen como función evaluar la conformidad y certificar
el cumplimiento de una norma de referencia ya sea del
producto o del servicio o del sistema de gestión de una
organización, son los que realizan las auditorias a las
empresas que estén interesadas en obtener una
certificación.
Algunos de los organismos nacionales e internacionales
de normalización son:
37. Entidades de Certificación
SIGLA ORGANISMO PAÍS O REGIÓN
ISO Organización Internacional de Internacional
Normalización
CEN Comité Europeo de Normalización Europa
AENOR Asociación Española de Normalización y España
Certificación
COPANT Comisión Panamericana de Normas América
Técnicas
AMN Asociación Normas del Mercosur Mercosur
IRAM Instituto Argentino de Normalización y Argentina
Certificación
INN Instituto Nacional de Acreditación Chile
38. Entidades o Autoridades de
Certificación en Colombia
ENTIDADES DE CERTIFICACIÓN ABIERTA
Son las que ofrecen servicios propios de las entidades en donde no se limita al
intercambio de mensajes entre la entidad y el usuario , y se recibe remuneración
por estos. Las entidades de este tipo son:
Sociedad Cameral de Certificación Digital CERTICÁMARA, S.A.
Gestión de Seguridad Electrónica S.A. - GSE S.A.
Andes Servicio de Certificación Digital S.A. ANDES SCD
39. Entidades o Autoridades de
Certificación en Colombia
ENTIDADES DE CERTIFICACIÓN CERRADA
Estas entidades a diferencia de las abiertas, ofrecen servicios propios de las entidades
de certificación solo para el intercambio de mensajes entre la entidad y el suscriptor,
sin exigir algún tipo de remuneración. Las entidades de este tipo son:
Instituto Colombiano de Codificación y Automatización Comercial
Banco de la República
UAE Dirección de Impuestos y Aduanas Nacionales – DIAN
Ecopetrol S.A.
Fundación Social
40. Funciones de la AC
1. Generación y Registro de claves.
2. Identificación de Peticionarios de Certificados.
3. Emisión de certificado.
4. Almacenamiento en la AC de su clave privada.
5. Mantenimiento de las claves vigentes y revocadas.
6. Servicios de directorio.
41. Cibergrafía
NORMATIVA DEL GOBIERNO ELECTRÓNICO EN COLOMBIA
http://programa.gobiernoenlinea.gov.co/apc-aa-
files/5686d2a87532a21a70ead773ed71353b/NormativaGEL.pdf En línea agosto 27 de
2012
INSTITUTO NACIONAL DE LA TECNOLOGÍA
http://www.inteco.es/Seguridad/DNI_Electronico/Firma_Electronica_de_Documentos/
Que_es_la_Firma_electronica En línea agosto 27 de 2012
http://roble.pntic.mec.es/jprp0006/tecnologia/4eso_informatica/tramites_online/firm
a_electronica.htm En línea agosto 28 de 2012
Ley 527 de 1999
http://www.secretariasenado.gov.co/senado/basedoc/ley/1999/ley_0527_1999.html
En línea agosto 278de 2012
Decreto 1747 de 2000
http://securedata.com.co/files/decreto1747.pdf En línea agosto 29 de 2012
Resolución 26930 de 2000
http://archivo.mintic.gov.co/mincom/documents/portal/documents/root/Normativida
d/Legislacion/R2693d2000.pdf En línea agosto 29 de 2012
42. Cibergrafía
Firma Electrónica: conceptos básicos
http://www.archivistica.net/monograficos/Firma_electronica/firma_electro
nica.htm En línea agosto 29 de 2012
Ley 527 de 1999. Sobre la firma digital
http://www.secretariasenado.gov.co/senado/basedoc/ley/1999/ley_0527_19
99.html. En línea agosto de 2012
Que es la firma electrónica
http://www.agenciatributaria.es/AEAT.internet/Inicio_es_ES/_Configuracion
_/_top_/Ayuda/Certificado_electronico/Que_es_y_para_que_sirve_un_certi
ficado_electronico/Que_es_la_Firma_Electronica.shtml. En línea agosto 29
de 2012
Firmas y certificados electrónicos
http://andapuca.blogspot.com/ En línea septiembre 1 de 2012