ASIGNATURA: DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN LECCIÓN 5 Firma Electrónica Prof. Dr. Carlos Galán Área de Derecho Administrativo Universidad Carlos III de Madrid Esta obra está bajo una licencia de Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 España.
Contenido: 1. Las relaciones documentales. 1.1 La relación tradicional. 1.2 La relación electrónica. 2. Qué es la firma electrónica? 2.1 Reconocimiento jurídico de la firma electrónica. 2.2 Cómo puede usarse la firma electrónica? 3. Fundamentos tecnológicos. 3.1 La firma digital. 3.2 La confianza. 3.3 Los Prestadores de Servicios de Certificación. 3.4 Los certificados digitales. 3.5 Clases de certificados. 4. Eficacia jurídica de la firma electrónica. 4.1 Los certificados reconocidos. 4.2 Titulares de los certificados. 4.3 Los certificados de atributos. 4.4 La validación de los certificados. 5. La firma electrónica en la Administración Electrónica. 6. Ejercicios de Autoevaluación.
1. LAS RELACIONES DOCUMENTALES Administraciones Públicas empleados Relaciones Documentales ciudadanos Empresas
1.1 La relación tradicional Administraciones Públicas empleados - En papel. - Escritos a mano / máquina de escribir. - Firmados (y sellados) manualmente. - Consulta lenta e ineficiente. - Almacenamiento costoso y poco eficaz. ciudadanos Empresas
1.1 La relación tradicional Administraciones Públicas empleados Autenticidad - En papel. - Escritos a mano / máquina de escribir. - Firmados (y sellados) manualmente. - Consulta lenta e ineficiente. - Almacenamiento costoso y poco eficaz. ciudadanos Empresas
1.2 La relación electrónica Administraciones Públicas empleados - Documentos electrónicos. - Firmados electrónicamente. - Consulta rápida y eficiente. - Almacenamiento barato y eficaz. ciudadanos Empresas
1.2 La relación electrónica Administraciones Públicas - Autenticidad. - Integridad. - No-repudio. - Documentos electrónicos. - Firmados electrónicamente. - Consulta rápida y eficiente. - Almacenamiento barato y eficaz. empleados ciudadanos Empresas
2. QUÉ ES LA FIRMA ELECTRÓNICA? La Firma Electrónica es el resultado de un procedimiento reconocido legalmente y sustentado en equipamientos informáticos, que permite: 1. Firmar documentos electrónicos (correos electrónicos, textos, facturas, documentos, formularios, gráficos, imágenes, etc.) y entregarlos firmados a su(s) destinatario(s), garantizando: La autenticación del firmante del documento. La integridad (no alteración) del documento. La confidencialidad del mismo. El no-repudio de la transacción efectuada. 2. Incorporar mecanismos de seguridad fuerte a los sistemas de información de las organizaciones.
2.1 Reconocimiento jurídico de la Firma Electrónica La Firma Electrónica es un mecanismo reconocido legalmente... En el mundo. En Europa: Directiva 1999/93/CE para la firma electrónica. En España: Ley 59/2003, de firma electrónica. Múltiples regulaciones concretando su utilización en el sector público (AGE, CC.AA., EE.LL.)
2.2 Cómo puede usarse la Firma Electrónica? Las características técnicas de la Firma Electrónica hacen que pueda aplicarse a cualquier documento electrónico bien desde un dispositivo fijo (ordenador de sobremesa, por ejemplo), hasta un dispositivo móvil (ordenador portátil, PDA o, incluso, desde un teléfono móvil). Esta característica es especialmente útil porque permite generar documentos firmados electrónicamente con una triple ventaja: Legalidad. Ubicuidad. Seguridad.
3. FUNDAMENTOS TECNOLÓGICOS CRIPTOGRAFÍA DE CLAVE PÚBLICA: CRIPTOGRAFÍA ASIMÉTRICA. Utiliza un par de claves: una pública y otra privada.. Un mensaje que sea cifrado con la clave pública sólo podrá ser descifrado utilizando la clave privada, y viceversa.. Whitfield Diffie y Martin Hellman (1975).. Algoritmos entre 100 y 1000 veces más lentos que criptografía simétrica.. Algortimo RSA (Rivest, Shamir, Adelman):. 512 2048 bits de longitud de clave.. Procedimiento usado: factorización de grandes números.. Algoritmo DSA.. Procedimiento usado: logaritmos discretos.
3.1 La firma digital mensaje de María mensaje de María algoritmo unidireccional clave privada de María algoritmo unidireccional resumen del mensaje cifrado firma mensaje de María + firma +? resumen del mensaje firma descifrada descifrado firma COMPARAR clave pública de María
3.2 La confianza Un usuario puede generar un par de claves (pública y privada) y exhibir su clave pública a todo el mundo. Sin embargo, nosotros necesitamos saber si tal clave pública pertenece a la persona correcta o si se trata de un impostor. La Infraestructura de Clave Pública (PKI) descansa en la existencia de una Tercera Parte de Confianza (TTP) que firma la clave pública del usuario una vez que ha comprobado fehacientemente su identidad. A esta TTP se la llama Autoridad de Certificación. (ITU-T X.509 + ISO/IEC 9594-8)
3.2 La confianza Así pues La clave pública del usuario firmada electrónicamente por una Autoridad de Certificación es lo que se llama Certificado Digital Tales certificados pueden ser almacenados en directorios, para posibilitar su consulta por múltiples usuarios.
3.3 Los Prestadores de Servicios de Certificación 15
3.4 Los certificados digitales
3.5 Clases de certificados Cada tipo de certificado posee su propia utilidad. - Clase 0: Sin identificación. - Clase 1: Con Registro. - Clase 2: Administración Pública. - Clase 3: Fedatario Público. - Clase 4: Militar. - Clase WEB: Certificado de Servidor Seguro. - De componente. -
4. EFICACIA JURÍDICA DE LA FIRMA ELECTRÓNICA Artículo 3. Firma electrónica, y documentos firmados electrónicamente. 1. La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante. 2. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control. 3. Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma. 4. La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel.
4.1 Los certificados reconocidos Incluirán, al menos, los siguientes datos: La indicación de que se expiden como tales. El código identificativo único del certificado. La identificación del PSC que expide el certificado y su domicilio. La firma electrónica avanzada del PSC que expide el certificado. La identidad del firmante. Los datos de verificación de firma. El periodo de validez del certificado. Los límites de uso, si se establecen. Cada tipo de certificado posee su propia utilidad. Los PSC deberán: Comprobar la identidad y demás circunstancias Verificar que la información del certificado es exacta. Asegurarse de que el firmante está en posesión de los datos de creación de firma Certificado Reconocido registro fuerte + autenticación 2 factores.
4.2 Titulares de los certificados Directiva 1999/93/CE: Los firmantes sólo pueden ser personas físicas, actuando en nombre propio o en representación de una entidad. Ley 59/2003, de firma electrónica: Personas físicas, actuando: En nombre propio, En representación de una organización. Personas jurídicas. Entidades sin personalidad.
4.3 Los certificados de atributos Gestión de la persona = identidad + capacidad (potestad) Los Certificados de Atributos permiten identificar una cualidad, estado o situación del titular del certificado (abogado, apoderado, director de compras, etc.) En buena lógica asociados al certificado de mera identificación. Artículo 11.3 de la Ley 59/2003, de firma electrónica: Los certificados reconocidos podrán asimismo contener cualquier otra circunstancia o atributo específico del firmante en caso de que sea significativo en función del fin propio del certificado y siempre que aquel lo solicite.
4.4 La validación de los certificados Es necesario comprobar que los certificados digitales usados en la firma electrónica: Son adecuados datos del certificado + DPC. Están vigentes No están caducados. Son válidos No han sido revocados. CRL Certificate Revocation List - Es una lista de todos los certificados revocados de un PSC. - Es necesario comprobar que el certificado usado no está entre ellos. OCSP Online Certificate Status Protocol - Consulta online sobre el estado de un certificado concreto.
5. La F.E. en la Administración Electrónica AA.PP. SISTEMAS DE FIRMA ELECTRÓNICA DNI electrónico CIUDADANOS Firma electrónica avanzada Otros sistemas
5. La F.E. en la Administración Electrónica Sistemas de Firma electrónica usados por las AA.PP. Certificados de dispositivo seguro. Actuación administrativa automatizada. Firma electrónica del personal. Intercambio de datos en entornos cerrados.