Introducción a la firma electrónica Ayuntamiento de Cartagena. Marzo de 2017 Alejandro Delgado Gómez
Qué es una firma electrónica? Firma: El nombre o la marca especial de una persona, fijada de manera manuscrita por esa persona o por su agente autorizado sobre un documento, a efectos de asumir la responsabilidad sobre, aprobar o validar todo o parte de su contenido Firma electrónica: Una marca digital que tiene la función de una firma en, o que está lógicamente asociada con, un documento, y es utilizada por el firmante para asumir la responsabilidad de, o dar el consentimiento a, el contenido del documento Firma digital: Una firma electrónica basada en criptografía de clave pública
Algunos conceptos asociados a la firma electrónica Identidad: conjunto de rasgos propios de un individuo o de una colectividad que los caracterizan frente a los demás Autenticación: En relación con las personas: acreditación por medios electrónicos de la identidad de una persona o ente, del contenido de la voluntad expresada en sus operaciones, transacciones y documentos, y de la integridad y autoría de estos últimos En relación con los documentos: declaración de autenticidad de un documento de archivo en cierto punto específico del tiempo realizada por una persona con calidad jurídica y con autoridad para hacer tal declaración No repudio: la capacidad de un servicio de seguridad digital para asegurar que un mensaje transferido ha sido enviado y recibido por las partes que dicen haber enviado y recibido el mensaje, y para proporcionar prueba de la integridad y el origen de los datos, ambos en una relación no falsificable, que puede ser verificada por cualquier tercera parte en cualquier momento Integridad: la cualidad de un documento de estar completo e inalterado en todos sus aspectos esenciales
La firma electrónica en la Ley 59/2003 Artículo 3 1. La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante. 2. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control. 3. Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma. 4. La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel.
Los certificados en la Ley 59/2003 Artículo 6: Certificados electrónicos 1. Un certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad. Artículo 11 1. Son certificados reconocidos los certificados electrónicos expedidos por un prestador de servicios de certificación que cumpla los requisitos establecidos en esta ley en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten. 2. Los certificados reconocidos incluirán, al menos, los siguientes datos: a) La indicación de que se expiden como tales. b) El código identificativo único del certificado. c) La identificación del prestador de servicios de certificación que expide el certificado y su domicilio. d) La firma electrónica avanzada del prestador de servicios de certificación que expide el certificado. e) La identificación del firmante, en el supuesto de personas físicas, por su nombre y apellidos y su número de documento nacional de identidad o a través de un seudónimo que conste como tal de manera inequívoca y, en el supuesto de personas jurídicas, por su denominación o razón social y su código de identificación fiscal. f) Los datos de verificación de firma que correspondan a los datos de creación de firma que se encuentren bajo el control del firmante. g) El comienzo y el fin del período de validez del certificado. h) Los límites de uso del certificado, si se establecen. i) Los límites del valor de las transacciones para las que puede utilizarse el certificado, si se establecen.
Modificaciones en la normativa europea Reglamento eidas, REGLAMENTO (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE - Decisión de Ejecución (UE) 2015/1506 de la Comisión de 8 de septiembre de 2015 por la que se establecen las especificaciones relativas a los formatos de las firmas electrónicas avanzadas y los sellos avanzados que deben reconocer los organismos del sector público.
Cambios asociados al Reglamento eidas Se validarán todos los certificados europeos, además de los españoles. Tipos de certificados admitidos y a extinguir: Clasificación = 0 Persona física - Certificado cualificado de firma. Clasificación = 1 (a extinguir) Persona jurídica (no reconocido). Clasificación = 2 No reconocidos. Pueden incluir certificados de persona física, de componente, SSL. Clasificación = 3 Sede según la ley 11/2007 (no reconocido). Clasificación = 4 Sello según la ley 11/2007 (no reconocido). Clasificación = 5 Empleado Público según la ley 11/2007 (Si se mantiene la clasificación por la SETSI. En caso contrario se actualizará la clasificación a 0 - Persona física - Certificado cualificado de firma y se informará de ello a través de las listas de correo de @firma) Clasificación = 6 (a extinguir) Entidad sin personalidad jurídica (no reconocido). Clasificación = 7 Empleado Público con seudónimo según el RD 1671/2009. Son un subconjunto de certificados cualificados de persona física (0), que además, son de empleado público con seudónimo. (Si se mantiene la clasificación por la SETSI. En caso contrario se indicará en la clasificación a 0 - Persona física Certificado cualificado de firma, pero no tendrá los campos Nombre, Apellidos y DNI, y contendrá en cambio en campo seudónimo ) Clasificación = 8 -Certificado cualificado de sello, según el reglamento UE 910/2014. Clasificación = 9 - Certificado cualificado de autenticación de sitio web, según el reglamento UE 910/2014. Clasificación = 10 - Certificado cualificado de sello de tiempo. Si el servicio de sellado de tiempo figura en la TSL y el certificado cumple las normas técnicas para ser considerado de sello de tiempo. Clasificación = 11 Certificado de persona física Representante ante las Administraciones Públicas de persona jurídica. Si se mantiene la clasificación por la SETSI o se cumple el perfil indicado para ello. Clasificación = 12 Certificado de persona física Representante ante las Administraciones Públicas de entidad sin persona jurídica. Si se mantiene la clasificación por la SETSI o se cumple el perfil indicado para ello.
Identificación en la Ley 39/2015 Artículo 9. Sistemas de identificación de los interesados en el procedimiento. 1. Las Administraciones Públicas están obligadas a verificar la identidad de los interesados en el procedimiento administrativo, mediante la comprobación de su nombre y apellidos o denominación o razón social, según corresponda, que consten en el Documento Nacional de Identidad o documento identificativo equivalente. 2. Los interesados podrán identificarse electrónicamente ante las Administraciones Públicas a través de cualquier sistema que cuente con un registro previo como usuario que permita garantizar su identidad. En particular, serán admitidos, los sistemas siguientes: a) Sistemas basados en certificados electrónicos reconocidos o cualificados de firma electrónica expedidos por prestadores incluidos en la «Lista de confianza de prestadores de servicios de certificación». A estos efectos, se entienden comprendidos entre los citados certificados electrónicos reconocidos o cualificados los de persona jurídica y de entidad sin personalidad jurídica. b) Sistemas basados en certificados electrónicos reconocidos o cualificados de sello electrónico expedidos por prestadores incluidos en la «Lista de confianza de prestadores de servicios de certificación». c) Sistemas de clave concertada y cualquier otro sistema que las Administraciones Públicas consideren válido, en los términos y condiciones que se establezcan. Cada Administración Pública podrá determinar si sólo admite alguno de estos sistemas para realizar determinados trámites o procedimientos, si bien la admisión de alguno de los sistemas de identificación previstos en la letra c) conllevará la admisión de todos los previstos en las letras a) y b) anteriores para ese trámite o procedimiento. 3. En todo caso, la aceptación de alguno de estos sistemas por la Administración General del Estado servirá para acreditar frente a todas las Administraciones Públicas, salvo prueba en contrario, la identificación electrónica de los interesados en el procedimiento administrativo.
Firma en la Ley 39/2015 Artículo 10. Sistemas de firma admitidos por las Administraciones Públicas. 1. Los interesados podrán firmar a través de cualquier medio que permita acreditar la autenticidad de la expresión de su voluntad y consentimiento, así como la integridad e inalterabilidad del documento. 2. En el caso de que los interesados optaran por relacionarse con las Administraciones Públicas a través de medios electrónicos, se considerarán válidos a efectos de firma: a) Sistemas de firma electrónica reconocida o cualificada y avanzada basados en certificados electrónicos reconocidos o cualificados de firma electrónica expedidos por prestadores incluidos en la «Lista de confianza de prestadores de servicios de certificación». A estos efectos, se entienden comprendidos entre los citados certificados electrónicos reconocidos o cualificados los de persona jurídica y de entidad sin personalidad jurídica. b) Sistemas de sello electrónico reconocido o cualificado y de sello electrónico avanzado basados en certificados electrónicos reconocidos o cualificados de sello electrónico incluidos en la «Lista de confianza de prestadores de servicios de certificación». c) Cualquier otro sistema que las Administraciones Públicas consideren válido, en los términos y condiciones que se establezcan. Cada Administración Pública, Organismo o Entidad podrá determinar si sólo admite algunos de estos sistemas para realizar determinados trámites o procedimientos de su ámbito de competencia. 3. Cuando así lo disponga expresamente la normativa reguladora aplicable, las Administraciones Públicas podrán admitir los sistemas de identificación contemplados en esta Ley como sistema de firma cuando permitan acreditar la autenticidad de la expresión de la voluntad y consentimiento de los interesados. 4. Cuando los interesados utilicen un sistema de firma de los previstos en este artículo, su identidad se entenderá ya acreditada mediante el propio acto de la firma.
Uso de identificación y firma en el procedimiento administrativo Artículo 11. Uso de medios de identificación y firma en el procedimiento administrativo. 1. Con carácter general, para realizar cualquier actuación prevista en el procedimiento administrativo, será suficiente con que los interesados acrediten previamente su identidad a través de cualquiera de los medios de identificación previstos en esta Ley. 2. Las Administraciones Públicas sólo requerirán a los interesados el uso obligatorio de firma para: a) Formular solicitudes. b) Presentar declaraciones responsables o comunicaciones. c) Interponer recursos. d) Desistir de acciones. e) Renunciar a derechos.
Identificación en la Ley 40/2015 Artículo 40. Sistemas de identificación de las Administraciones Públicas. 1. Las Administraciones Públicas podrán identificarse mediante el uso de un sello electrónico basado en un certificado electrónico reconocido o cualificado que reúna los requisitos exigidos por la legislación de firma electrónica. Estos certificados electrónicos incluirán el número de identificación fiscal y la denominación correspondiente, así como, en su caso, la identidad de la persona titular en el caso de los sellos electrónicos de órganos administrativos. La relación de sellos electrónicos utilizados por cada Administración Pública, incluyendo las características de los certificados electrónicos y los prestadores que los expiden, deberá ser pública y accesible por medios electrónicos. Además, cada Administración Pública adoptará las medidas adecuadas para facilitar la verificación de sus sellos electrónicos. 2. Se entenderá identificada la Administración Pública respecto de la información que se publique como propia en su portal de internet.
Firma en la Ley 40/2015 Artículo 42. Sistemas de firma para la actuación administrativa automatizada. En el ejercicio de la competencia en la actuación administrativa automatizada, cada Administración Pública podrá determinar los supuestos de utilización de los siguientes sistemas de firma electrónica: a) Sello electrónico de Administración Pública, órgano, organismo público o entidad de derecho público, basado en certificado electrónico reconocido o cualificado que reúna los requisitos exigidos por la legislación de firma electrónica. b) Código seguro de verificación vinculado a la Administración Pública, órgano, organismo público o entidad de Derecho Público, en los términos y condiciones establecidos, permitiéndose en todo caso la comprobación de la integridad del documento mediante el acceso a la sede electrónica correspondiente.
Firma en la Ley 40/2015 II Artículo 43. Firma electrónica del personal al servicio de las Administraciones Públicas. 1. Sin perjuicio de lo previsto en los artículos 38, 41 y 42, la actuación de una Administración Pública, órgano, organismo público o entidad de derecho público, cuando utilice medios electrónicos, se realizará mediante firma electrónica del titular del órgano o empleado público. 2. Cada Administración Pública determinará los sistemas de firma electrónica que debe utilizar su personal, los cuales podrán identificar de forma conjunta al titular del puesto de trabajo o cargo y a la Administración u órgano en la que presta sus servicios. Por razones de seguridad pública los sistemas de firma electrónica podrán referirse sólo el número de identificación profesional del empleado público.
Interoperabilidad de la firma Artículo 45. Aseguramiento e interoperabilidad de la firma electrónica. 1. Las Administraciones Públicas podrán determinar los trámites e informes que incluyan firma electrónica reconocida o cualificada y avanzada basada en certificados electrónicos reconocidos o cualificados de firma electrónica. 2. Con el fin de favorecer la interoperabilidad y posibilitar la verificación automática de la firma electrónica de los documentos electrónicos, cuando una Administración utilice sistemas de firma electrónica distintos de aquellos basados en certificado electrónico reconocido o cualificado, para remitir o poner a disposición de otros órganos, organismos públicos, entidades de Derecho Público o Administraciones la documentación firmada electrónicamente, podrá superponer un sello electrónico basado en un certificado electrónico reconocido o cualificado.
Otras normas asociadas a la firma electrónica Resolución de 27 de octubre de 2016 (BOE de 3 de noviembre), de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Norma Técnica de Interoperabilidad de Política de Firma y Sello Electrónicos y de Certificados de la Administración. Reglamento que regula la política de firma y sello electrónicos y de certificados del Excmo. Ayuntamiento de Cartagena (http://www.cartagena.es/gestion/documentos/acuerdosynor mativas/18903.pdf)
Qué es @firma? @firma es una plataforma de validación y firma electrónica multi-pki, que se pone a disposición de las Administraciones Públicas, proporcionando servicios para implementar la autenticación y firma electrónica avanzada de una forma rápida y efectiva. Cuando el ciudadano interacciona con la Administración, para realizar un trámite personal, es necesario conocer su identidad, que telemáticamente se realiza a través del DNI electrónico o un certificado electrónico. La Administración comprueba el estado del certificado o el DNIe con el que el ciudadano se está identificando o firmando la solicitud. Para esta comprobación se utiliza la plataforma de validación @firma, delegando en ella la verificación de las credenciales del certificado o DNIe utilizado. Se posibilita la actualización de firmas electrónicas desde un formato básico a un formato más avanzado. Es posible especificar el formato al que se desea extender la firma. Los distintos valores pueden ser: BES, EPES, T, C, X, X-1, X-2, X- L. X-L-1, X-L-2 y A Para la firma de los ciudadanos en local, independiente de la plataforma de validación pero como parte de la Suite @firma se proporciona un componente que se integra con los navegadores de los usuarios, para facilitar la incorporación de la firma en los tramites informatizados. Permite realizar firmas desde entornos de sobremesa y desde dispositivos móviles
Qué es la ACCV? El IVF se ha constituido en Prestador de Servicios de Certificación, y le corresponde la prestación de los servicios de certificación de firma electrónica avanzada en el ámbito de la Generalitat, sus entidades autónomas, entidades de derecho público y empresas públicas dependientes, así como a personas o entidades públicas o privadas, de acuerdo con las directrices establecidas por la conselleria con competencias en materia de administración electrónica, y cualesquiera otras funciones y competencias atribuidas a la Agencia de Tecnología y Certificación Electrónica (art. 98 Ley 5/2013, de 23 de diciembre, de Medidas Fiscales, de Gestión Administrativa y Financiera, y de Organización de la Generalitat). En consecuencia, el área de Certificación Electrónica del IVF proporciona a los ciudadanos, las empresas y las Administraciones Públicas los mecanismos de identificación telemática segura en los trámites administrativos a través de Internet: los certificados digitales y las tecnologías asociadas.
En qué se concreta una firma? <?xml version="1.0" encoding="utf-8"?> <AFIRMA><CONTENT Id="CONTENT-4d65988d-5ad9-440a-abc6-f8c04069790e" Encoding="base64">ZjkxNDU5OTA5ZjBhMDc3ZjQ2NWU1NDlhOTBhZTI2Mzc0NzA1ZGNjMQ==</C ONTENT><ds:Signature Id="Signature-c8baae48-cf70-4f2f-b004-0a00cae7c662-Signature" xmlns:ds="http://www.w3.org/2000/09/xmldsig#"><ds:signedinfo><ds:canonicalizationmethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315"/><ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/><ds:Reference Id="Referenceb24e4894-8224-406d-85ed-9e40367ee6d4" URI="#CONTENT-4d65988d-5ad9-440a-abc6- f8c04069790e"><ds:digestmethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/><ds:DigestValue>JoOn7ET55lgQvOyG XPz1pHfeT2I=</ds:DigestValue></ds:Reference><ds:Reference URI="#Signature-c8baae48-cf70-4f2f-b004-0a00cae7c662-SignedProperties" Type="http://uri.etsi.org/01903#SignedProperties"><ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/><ds:DigestValue>n1AHa0RVvz1C6HtH nijaejv+pnu=</ds:digestvalue></ds:reference><ds:reference URI="#Signature-c8baae48-cf70-4f2f-b004-0a00cae7c662-KeyInfo"><ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/><ds:DigestValue>sJ9vKo1f85yPcSVYVx 76Z+WI+bE=</ds:DigestValue></ds:Reference></ds:SignedInfo><ds:SignatureValue Id="Signature-c8baae48-cf70-4f2f-b004-0a00cae7c662- SignatureValue">PjbeIn7w874L5hspTBnaPNmckRNYPaGBzm2bhqmnnU9oC1uzskRWCJb8+MQqVj +9/Zh49nD2st/hKkLA2g3aqqxHRI88M1QvLlRBPFTMZ+VJPHq+wp9/V7UxKFMsMyxxKJvtt855rilWyc +nw4mvnpou0yayiok2g483zhw8zqzvfbo5tqlvz3zkbz3fydxezbup9ema8acdaimbj2g4nsme54+ RxqbTP8ZvxUtNLUBeqzpX4rzNGcZw4E0t8ExMsYstYAymEGfl/owNZ1Nu6Il7FTXO/Tq9wUixkUzPojRX v8h0/mv0nmxbvg8nborzshdy2aivmjghdptcp8e+zw==</ds:signaturevalue><ds:keyinfo Id="Signature-c8baae48-cf70-4f2f-b004-0a00cae7c662- KeyInfo"><ds:KeyValue><ds:RSAKeyValue><ds:Modulus>ngL/G76ro2yZklKMuLmGcYwtYszl5qXTxt myo3+9m0ueyxraahyqigxyufur9/rpkhkxnv4
En qué se concreta una firma? II
Cómo sabemos que una firma es válida?
Gracias por su atención Alejandro Delgado Gómez alejandro.delgado@ayto-cartagena.es