Sistemas de Información para la Gestión Unidad 2: Actualización Tecnológica de la Información Firma Digital U.N.Sa. Facultad de Cs.Económicas SIG 2010
UNIDAD 2: INFRAESTRUCTURA DE TECNOLOGÍA DE LA INFORMACIÓN Estructura de TI y tecnologías emergentes. Estructura de TI. Componentes de la Infraestructura: hardware y software. Tendencias y administración de la infraestructura Administración de bases de datos e información: Entorno tradicional de archivos. Sistemas de administración de bases de datos. Bases de datos y toma de decisiones. Telecomunicaciones, Internet y nuevas tecnologías. Telecomunicaciones y la conectividad de redes. Redes de comunicaciones. Internet. Aspectos Legales, Seguridad y Privacidad. La Firma Digital. Impacto ético, social y legal en la gestión de datos. Políticas de Información y aseguramiento de la calidad de datos. Normativas actuales sobre protección de Datos Personales
Gracias 3
FIRMA DIGITAL
TEMARIO Qué es firma digital? Cómo funciona? Claves privadas y claves públicas Qué son los certificados digitales? Qué contiene un certificado digital? Qué valor legal tiene la firma digital? Marco normativo Infraestructura de Firma Digital Aplicaciones
FIRMA DIGITAL BIBLIOGRAFIA GENERAL: SISTEMAS DE INFORMACION PARA LA GESTION EMPRESARIA Planeamiento, Tecnología y Calidad Capítulo 24 Alberto R. Lardent Pearson Educación APUNTES DE CATEDRA
Introducción Nueva tecnología informática Comercio electrónico Transferencias bancarias, Operaciones de bolsa, Contrataciones entre empresas, Etcétera. Necesidad de que los instrumentos electrónicos cumplan los siguientes requerimientos: Certeza de quién es el emisor y quién es el receptor, Demostración de la existencia de la voluntad jurídica, Prueba fehaciente de la misma.
FIRMA DIGITAL PUNTOS CRITICOS EN LA ACEPTABILIDAD Y VALIDEZ DE DOCUMENTOS ELECTRONICOS 1. CREDIBILIDAD. 2. FUGACIDAD. 3. IDENTIFICACION Y AUTENTICACION DE LAS PARTES. 4. IDENTIFICACION DEL DOCUMENTO. 5. INADECUACION DEL ORDEN JURIDICO.
FIRMA DIGITAL Algunos Conceptos: FIRMA: El trazo peculiar mediante el cual el sujeto consigna habitualmente su nombre y apellido, a fin de hacer constar las manifestaciones de voluntad (Diccionario Abeledo Perrot, citado por Lardent) La firma es el nombre escrito de una manera particular, conforme el modo habitual seguido por una persona en actos sometidos al cumplimento de formalidades (Revista Jurisprudencia Argentina, citado por Lardent) Documento tradicional = papel + mecanismo de impresión + firma Documento electrónico = no hay elemento físico. El documento y el medio de almacenamiento están integrados. Digitalizar = convertir algo en números (dígitos)
QUE ES FIRMA DIGITAL? Documento Digital: representación digital de actos o hechos con independencia del soporte (art. 6) Firma Digital: resultado de aplicar a un documento digital un procedimiento matemático de exclusivo conocimiento del firmante (art. 2) Firma Electrónica: conjunto de datos electrónicos ligados de manera lógica a otros datos electrónicos utilizados por el signatario como medio de identificación (art. 5) que carezca de algunos de los requisitos legales para ser considerada firma digital (art. 9)
FIRMA DIGITAL Qué son las firmas digitales? Equivalente digital a la firma manuscrita. NO ES LA IMAGEN ESCANEADA de la firma manuscrita. Es la encripción (criptografía) con la llave privada del hash (huella) de un documento. Existe una diferente para cada documento. La firma digital es una propuesta de tecnología informática que intenta cumplir con la finalidad que tradicionalmente cumplía la firma ológrafa (manuscrita), pero adaptada ahora al marco del ciberespacio, esto es, al operatoria en redes. Debe constar de por lo menos dos partes: 1. Método que haga imposible la alteración de la firma. 2. Verificación que la firma pertenece al firmante. (Lardent).
FIRMA DIGITAL
FIRMA DIGITAL Resumiendo Una firma digital es un conjunto de datos asociados a un mensaje que permite asegurar la identidad del firmante y la integridad del mensaje. La firma digital no implica que el mensaje esté encriptado, es decir, que este no pueda ser leído por otras personas; al igual que cuando se firma un documento holográficamente este sí puede ser visualizado por otras personas.
FIRMA DIGITAL Resumiendo es un instrumento idóneo para agilizar el sistema de transacciones electronicas y para dar confianza se puede aplicar tanto a un correo electrónico como a un documento (texto, multimedia, etc.)
Graficamente Parte 1. Emisor FIRMA DIGITAL
Graficamente Parte 2. Receptor FIRMA DIGITAL
COMO FUNCIONA? Utiliza complejos procedimientos matemáticos que relacionan el documento firmado con información propia del firmante, y permiten que terceras partes puedan reconocer la identidad del firmante y asegurarse de que los contenidos no han sido modificados.
Como se trabaja El firmante: genera mediante una función matemática una huella digital del mensaje. Esta huella digital se encripta con la clave privada del firmante, y el resultado es lo que se denomina firma digital la cual se enviará adjunta al mensaje original. De esta manera el firmante va a estar adjuntando al documento una marca que es única para ese documento y que sólo él es capaz de producir. El receptor del mensaje: generará la huella digital del mensaje recibido, luego desencriptará la firma digital del mensaje utilizando la clave pública del firmante y obtendrá de esa forma la huella digital del mensaje original; si ambas huellas digitales coinciden, significa que el mensaje no fue alterado y que el firmante es quien dice serlo.
COMO FUNCIONA? CRIPTOSISTEMA ASIMETRICO Algoritmo que utiliza un par de claves, una clave privada para firmar digitalmente y su correspondiente clave pública para verificar dicha firma digital ENCRIPTACION Transformación un documento legible (texto plano) en uno ilegible (texto cifrado) de acuerdo a una fórmula matemática (algoritmo) y de la utilización de una palabra clave o simplemente la clave DESENCRIPTACION Transformación de un texto cifrado en un texto plano utilizando el algoritmo y la clave de encriptación. Proceso inverso a la Encriptación
COMO FUNCIONA? Encriptar versus Desencriptar Encriptar: Texto Plano + Clave de Encriptado TEXTO CIFRADO Desencriptar: Texto Cifrado + Clave de Desencriptado TEXTO PLANO RECUPERADO
COMO FUNCIONA? Encriptar versus Desencriptar D k (E k (P)) = P E y D son funciones matemáticas parametrizadas con la clave k. Estas funciones E() y D() son conocidas pero no la clave k. Las funciones son conocidas fundamentalmente por dos motivos: 1. Es un gran esfuerzo inventar, probar e instalar un método nuevo (función). 2. El cifrado con claves permite fácilmente cambiar la clave y mantener la función.
FIRMA DIGITAL EJEMPLOS DE CIFRADO 1. Relleno de una sola vez (función XOR bit a bit) 2. Criptografía clásica: sustitución y transposición (Julio César desplazamiento a derecha e izquierda del alfabeto) 3. Criptografía moderna: algoritmos de clave privada y clave Pública.
CLAVE PUBLICA Y CLAVE PRIVADA Clave criptográfica privada En un criptosistema asimétrico es aquella que se utiliza para firmar digitalmente Clave criptográfica pública En un criptosistema asimétrico es aquella que se utiliza para verificar una firma digital
FIRMA DIGITAL CIFRADO MODERNO: CIFRADO DE CLAVE PRIVADA: Las claves de cifrado y descifrado son las mismas Ejemplos: DES (Data Encryption Estándar), Triple DES CIFRADO DE CLAVE PUBLICA: Las claves de cifrado y descifrado son diferentes no derivándose una de otra, por lo cual puede hacerse pública la clave de cifrado mientras se mantenga en secreto la clave de descifrado. Ejemplo: RSA (Rivest, Shamir, Adlerman)
FIRMA DIGITAL
FIRMA DIGITAL
FIRMA DIGITAL
FIRMA DIGITAL
FIRMA DIGITAL
INFRAESTRUCTURA PKI PKI significa Public Key Infraestructure o Infraestructura de Clave Pública Sistema de hardware, software, personal, normas y procedimientos que proveen garantías de seguridad para los documentos, transacciones y comunicaciones electrónicas por internet.
INFRAESTRUCTURA PKI ORGANISMO LICENCIANTE Autoridad certificante raíz Controla y Audita a las Entidades Certificantes Secretaría de la Función Pública Entidades Certificantes Licenciadas Bolsa de Valores, Comisión de Energía Atómica,Ministerio de Justicia, etc. Personas Que Solicitan y obtienen el certificado de clave Pública: Una clave Personal (su Firma) Una clave Pública (Verificaciones)
INFRAESTRUCTURA PKI Autoridades Certificantes: Terceras partes confiables que dan fe de la veracidad de la información incluida en los certificados digitales que emiten Certificado digital: Documento electrónico firmado digitalmente que relaciona una entidad con una clave pública (DNI digital)
QUE CONTIENE UN CERTIFICADO DIGITAL?
QUE VALOR LEGAL TIENE UN CERTIFICADO DIGITAL? existe una presunción "iuris tantum" a su favor Por ejemplo: Si un documento firmado digitalmente es verificado correctamente, se presume salvo prueba en contrario que proviene del suscriptor del certificado asociado y que no fue modificado
MARCO NORMATIVO Ley 25.506 Definición Requerimientos Exclusiones Presunciones - Validez - Originales - Conservación de los certificados digitales Del certificador licenciado Del titular de un certificado digital De la autoridad de aplicación - Otros Dtos 2628/02-283/03 Autoridades de Aplicación/registros Infraestructura estándares - certificadores
MARCO NORMATIVO Acordada 8.893/02 de la Corte de justicia F780 Formulario para fines fiscales Presentación electrónica Decisión Administrativa 6/2007. Firma Digital. Establécese el marco normativo de firma digital aplicable al otorgamiento y revocación de las licencias a los certificadores que así lo soliciten. Bs. As., 7/2/2007 (B.O. 12/02/2007)
APLICACIONES Mensajes con autenticidad asegurada Mensajes sin posibilidad de repudio Contratos comerciales electrónicos Factura electrónica Desmaterialización de documentos Transacciones comerciales electrónicas Invitación electrónica Dinero electrónico Notificaciones judiciales electrónicas Voto electrónico Decretos ejecutivos (gobierno)
FIRMA DIGITAL - EJEMPLOS
FIRMA DIGITAL - EJEMPLOS
FIRMA DIGITAL - EJEMPLOS Caso de Firma digital: Caja de Valores SA Entidades Financieras Sistema de comunicaciones seguras (SCS) del Sistema Bursátil Argentino Características del SCS: algoritmo de clave simétrica 3DES (Triple Data Encryption Standard) con cambio automático de clave algoritmo RSA (Rivers, Shamir y Adleman) para manejo de claves asimétricas Tamaño de claves RSA no menor a 1024 bits Método de certificación y firma digital aplicando el algoritmo RSA y la función de hash MD5
FIRMA DIGITAL - EJEMPLOS MODELO GENERACIÓN CLAVE PUBLICA (RSA) Buenos Aires, 00 de XXXXX de 2008 Sres. Caja de Valores S.A. Sarmiento 299 (1002) - Capital Federal De mi consideración: Solicitamos, por la presente nota, tengan a bien dar curso al pedido de ALTA RENOVACION VIGENCIA INMEDIATA: SI NO para el usuario cuyo código es : XXXXXXXX, para lo cual adjuntamos un disquete que contiene la Clave Pública del mismo y que transcribimos a continuación: XXXXXXXX 8024 0597012a0108000000000000040000020080c341696ae725f89f 0824222597ec01f9a6f990115e190a91b2af03775d2232aad96478e7a83efb0c35fed4 34c3c6ff094bef7e3e309be4d8ad4f1974b7ad984e0a3599e5ba2fe35ce58c152e6317 7b62249e90baddff836edf9689815f3326738843f1e1cac6b2ec2c3e437e436168ca0d 78d6c51af81af14a02f35555873bc1500800b2764868490cbbb383aaabb5714dcd85309 19eaf09e1607d8166b527773e497cc6fb012233b400c677a2b17022340c60a1d8888e8 b869c8197080a43e560caebdee3b12a4433207c2cc58af201a9bc0fe6fc56449993a7e 3e38ef6b2115429adeabf42daba7a9d095c9efa3aa48b6233d752eebc9d828e49ee282 ca76c5715500000000000000007e4aa955e3f6762d8270ad3e2ec2285f 407cc548e8d 1ad26b01b3a9db0c522460ac10309 Atentamente. Firma Apoderados PERSONA JURIDICA Buenos Aires, 00 de XXXXX de 2008
Resguardo de la clave privada Llaves por puerto USB - Dos tipos: Almacenan clave Privada generada en PC. Generan la Clave Privada directamente y la almacenan. Lectores de Tarjetas Almacenan clave Privada generada en PC. Generan la Clave Privada directamente y la almacenan. Grabación en Mini CD
Firma Digital - Direcciones utiles Firma Oficial Certificados nivel II https://ca.pki.gov.ar/ccei / Firma Digital Personal Certificados nivel I. http://ca.sgp.gov.ar/email/ Infraestructura de Firma Digital Información. www. pki.gov.ar Seguridad Informática http://www.pki.gov.ar/laboratorio Empresas Privadas Verisign - Certisur www.verisign.com www.certisur.com.ar
Entes Licenciantes AFIP - Administración Federal de Ingresos Públicos ANSES - Administración Nacional de la Seguridad Social
PREGUNTAS? MUCHAS GRACIAS