Firma Digital - CURSO Panama V 2 Dic10

07/12/2010
Firma digital y certificados en las AA PP
AGENCIA ESPAOLA DE COOPERACIN INTERNACIONAL PARA EL DESARROLLO (AECID) UNIVERSIDAD DE PANAM
La firma digital y las Administraciones Pblicas

Arturo Ribagorda Garnacho Catedrtico de Universidad. Universidad Carlos III de Madrid
LA FIRMA DIGITAL Y LOS CERTIFICADOS EN LAS AA PP La seguridad de la informacin administrativa. El cifrado de datos sensibles. La firma digital. Qu es. Qu efectos tiene. Como se realiza. Certificados digitales. Funciones. Tipos de certificados: personal, de servidor, Contenido. Formatos.
LA FIRMA DIGITAL Y LOS CERTIFICADOS EN LAS AA PP Autoridades de Certificacin Funciones. Tipos de Autoridades de certificacin. Revocacin de certificados. La constancia fiable de tiempo: sellos de tiempo y Autoridades de sellado Infraestructuras de clave Pblica (PKI). Estructuracin de las Autoridades de certificacin. Autoridades de validacin. El caso de la Administracin Pblica espaola: La plataforma @firma. La firma digital. Validez legal en Espaa y en la Unin Europea.
07/12/2010
LA FIRMA DIGITAL Y LOS CERTIFICADOS EN LAS AA PP La identidad digital. Tarjetas e-ID (sanitaria, permiso de circulacin, ). El documento nacional de identidad electrnico espaol. La firma y los certificados en la informatizacin de las Administraciones. El caso espaol: La Ley 11/2007 de Acceso electrnico de los ciudadanos a las Administraciones Pblica y su Reglamento de desarrollo. Desarrollos legales en la proteccin de los datos personales. Directiva de la Unin Europea Ley espaola de proteccin de datos personales (LOPD) Reglamento de desarrollo de la LOPD.
ADMINISTRACIN ELECTRNICA1:
El uso de tecnologas de la informacin y de las comunicaciones, especialmente Internet, Internet como herramienta para mejorar la administracin
1. La administracin electrnica: un imperativo. OCDE. 2004
ADMINISTRACIN ELECTRNICA
El uso de la tecnologa de la informacin y la comunicacin en las administraciones pblicas para mejorar los servicios pblicos y los procesos democrticos y reforzar el respaldo a las polticas pblicas
07/12/2010
LA ADMINISTRACIN PBLICA. Retos
Simplificacin administrativa Eficiencia Coordinacin Cercana Transparencia Privacidad
MEDIDAS DE SEGURIDAD: Legales
Ley 11/2007 de acceso electrnico de los ciudadanos a los Servicios Pblicos

R. D. 1671/2009, por el que se desarrolla p parcialmente la Ley 11/2007 y R. D. 3/2010, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica R. D. 4/2010, por el que se regula el Esquema Nacional de Interoperabilidad en el mbito de la Administracin Electrnica.
A2C: % respecto de ciudadanos >15 aos1
1. RED.ES-ONTSI (2008)
07/12/2010
Empresas que interactan con la A. P por Internet (%)
Microempresas que interactan con la A. P. por Internet (%)
EMPRESAS. Interaccin con la A. P. por Internet (%)
07/12/2010
INDIVIDUOS. Trmites con la A. P. por Internet (%)
INTERNAUTAS: Razones para no comprar1
14
Y el principal reto que tiene la implantacin de las Tecnologas de la Informacin y las Comunicaciones (TIC) en la sociedad en general y en la Administracin en particular es la generacin q de confianza suficiente que elimine o minimice los riesgos asociados a su utilizacin. La desconfianza nace de la percepcin, muchas veces injustificada, de una mayor fragilidad de la informacin en soporte electrnico, de posibles riesgos de prdida de privacidad y de la escasa transparencia de estas tecnologas.
LEY 11/2007 de Acceso electrnico de los ciudadanos a los servicios pblicos
07/12/2010
[] las Administraciones deben comprometerse con su poca y ofrecer a sus ciudadanos las ventajas y posibilidades que la sociedad de la informacin tiene, asumiendo su responsabilidad de contribuir a hacer realidad la sociedad de la informacin. Los tcnicos y los cientficos han puesto en pie los instrumentos de esta sociedad, pero su generalizacin depende, en buena medida, del impulso que reciba de las Administraciones Pblicas. Depende de la confianza y seguridad que genere en los ciudadanos [].
Artculo 41. Principios generales. f) Principio de seguridad en la implantacin y utilizacin de los medios electrnicos por las Administraciones Pblicas, en cuya virtud se exigir al menos el mismo nivel de garantas y seguridad que se requiere para la utilizacin de medios no electrnicos en la actividad administrativa.
1. LEY 11/2007 de Acceso electrnico de los ciudadanos a los servicios pblicos
Artculo 4. Principios generales. g) Principio de proporcionalidad en cuya virtud slo se exigirn las garantas y medidas de seguridad adecuadas a la naturaleza y circunstancias de los distintos trmites y actuaciones. Asimismo slo se requerirn a los ciudadanos aquellos datos que sean estrictamente necesarios en atencin a la finalidad para la que se soliciten.
1. LEY 11/2007 de Acceso electrnico de los ciudadanos a los servicios pblicos
07/12/2010
FACTURA ELECTRNICA1
[] A estos efectos, se entender que la factura electrnica es un documento electrnico que cumple con l requisitos l l los i it legal y l reglamentariamente exigibles a las facturas y que, adems, garantiza la autenticidad de su origen y la integridad de su contenido contenido, lo que impide el repudio de la factura por su emisor
1. LEY 56/07 Medidas Impulso S.I. (Art. 1)
EUROPA: Factura electrnica1
20
[] en Espaa se hacen unas 4.500 millones de facturas al ao con un ahorro por factura, en el ao, caso de hacerlas electrnicamente, de 3,4 euros euros. Por tanto, la divulgacin de la Factura Electrnica supone un ahorro p p potencial al ao de ms de 15.000 millones de euros para la economa espaola, un 1,5% del PIB [] [] Con Facturae la Administracin Pblica crea un formato gratuito, abierto y con la garanta de la Agencia Tributaria y de la Secretara de Estado de Telecomunicaciones y para la Sociedad de la Informacin []
07/12/2010
EUROPA: Firma electrnica1
22 1. RED.ES-ONTSI (2008)
LA FIRMA DIGITAL Y LOS CERTIFICADOS EN LAS AA PP
La seguridad de la informacin administrativa. El cifrado de datos sensibles. La firma digital. digital Certificados digitales.
Coste Seguridad Rendimiento Usabilidad
24
07/12/2010
SEGURIDAD
Objetiva Subjetiva (Confianza)
25
SEGURIDAD DE LOS DATOS
La seguridad de los datos trata de la p proteccin de stos frente a revelaciones accidentales o intencionadas a usuarios no autorizados, frente a modificaciones indebidas o frente a destrucciones.
26
Confidencialidad
Integridad
Disponibilidad
27
07/12/2010
MECANISMOS DE SEGURIDAD
Autenticacin Control de accesos Cifrado de datos Funciones resumen Firma digital Registro de auditora
28
La seguridad de la informacin administrativa. El cifrado de datos sensibles. La firma di it l L fi digital. Certificados digitales.
CRIPTOGRAFA
Disciplina que estudia los principios, mtodos y medios de transformar los datos para ocultar su significado
30
10
07/12/2010
Confidencialidad Criptografa
Integridad
Disponibilidad
31
SISTEMA DE CIFRADO (Criptosistema)
Ejemplo de cifrado
Xcdbay Dvr stuvn
Ejemplo de cifrado
Documento en claro
Cifrador
Documento cifrado Clave de cifrado
Descifrador
Documento en claro
Clave de descifrado
32
CRIPTOSISTEMA SIMTRICO (DE CLAVE SECRETA)
Ejemplo de cifrado
Xcdbay Dvr stuvn
Ejemplo de cifrado
Documento en claro
Cifrador
Documento cifrado
Descifrador
Documento en claro
Clave de cifrado y descifrado

33
11
07/12/2010
CRIPTOANLISIS
Anlisis de un sistema criptogrfico, sus entradas y salidas, o ambas, para obtener variables o datos sensibles, incluyendo el texto en claro
34
CRIPTOANLISIS: Principio de Kerckhoff (Auguste Kerckhoff , 1883)
La seguridad del cifrado debe de residir, exclusivamente, en el secreto de la clave
35
CRIPTOSISTEMA ASIMTRICO (DE CLAVE PBLICA)
Ejemplo de cifrado
Xcdbay Dvr stuvn
Ejemplo de cifrado
Documento en claro
Cifrador
Documento cifrado
Descifrador
Documento en claro
Clave de cifrado (pblica) Clave de descifrado (privada)

36
12
07/12/2010
SISTEMAS DE CIFRADO: Usos
Simtrico o de clave secreta

Confidencialidad
Asimtrico o de clave pblica

No repudio (Firma digital) Intercambio de claves secretas
37
LEY GRAL. DE TELECOMUNICACIONES1: Cifrado en las redes y servicios de comunicaciones electrnicas (Art. 36)
1. Cualquier tipo de informacin que se transmita por redes de comunicaciones electrnicas podr ser protegida mediante procedimientos de cifrado
1. Ley 32/03 de 3 de noviembre
38
LEY GRAL. DE TELECOMUNICACIONES1: Cifrado en las redes y servicios de comunicaciones electrnicas (Art. 36)
2. ... Entre sus condiciones de uso, cuando se utilice para proteger la confidencialidad de la informacin, se podr imponer la obligacin , p p g de facilitar a un rgano de la AGE o a un organismo pblico, los algoritmos o cualquier procedimiento de cifrado utilizado, as como la obligacin de facilitar sin coste alguno los aparatos de cifra a efectos de su control de acuerdo con a normativa vigente
1. Ley 32/03 de 3 de noviembre 39
13
07/12/2010
CIFRADO DE LOS DATOS
Algoritmos de compresin
WinRAR WinZip AES 128 Algoritmo propietario
Procesadores de textos
Microsoft Office Word Adobe Acrobat Profesional
La seguridad de la informacin administrativa. El cifrado de datos sensibles. g La firma digital. Qu es. Qu efectos tiene. Como se realiza. Certificados digitales.
NORMALIZACIN: mbito internacional
Comisin Electrnica Internacional (International Electrotechnical Commission, IEC)

Normas sobre electrotecnia y electrnica Pases miembros ~ 60
Organizacin Internacional de (International Organization Standardization, ISO)
Normas. for
42
Normas resto de sectores de actividades Pases miembros ~ 130
14
07/12/2010
ISO e IEC elaboran conjuntamente las normas relativas a las T. I. (Joint Technical Comitee 1 JTC1) 1, http://www.iso.org/iso/jtc1_home.html
Unin Internacional Telecomunicaciones (UIT)
de
las
Sector telecomunicaciones (UIT-T) Antes: Comit Consultivo Internacional Telegrfico y telefnico (CCITT) Sector radiocomunicaciones (UIT-R) Antes: Comit Consultivo Internacional de Radiocomunicaciones (CCIR) Sector de desarrollo Telecomunicaciones (UIT-D) de las
44
ORGANISMOS NACIONALES DE NORMALIZACIN

PAS Alemania Espaa EUA Francia Japn Rusia Suiza ORGANISMO Deutsches Institut fr Normung (DIN) Asociacin Espaola de Normalizacin y Certificacin (AENOR) American National Standards Institute (ANSI) Association Franaise de Normalisation (AFNOR) Japanese Industrial Standars Committee (JISC) Agencia Federal para la Regulacin Tcnica y la Metrologa (GOST) Swiss Association for Standardization (SNV)
Reino Unido British Standards Institution (BS)
15
07/12/2010
ORGANISMOS NACIONALES DE NORMALIZACIN

PAS R. Panam Mxico Chile ORGANISMO Dcin. Gral. Normas y Tecnologa Industrial. Mterio Comercio e Industrias Direccin General de Normas (DGN) Instituto Nacional de Normalizacin (INN)
ESTNDAR O NORMA DE FACTO
No consensuado ni legitimado por un organismo oficial de normalizacin Aceptado y ampliamente utilizada p iniciativa p p por propia de un gran nmero de interesados Algunos acaban en estndares de iure A menudo prevalecen sobre los de iure Especialmente importantes en el mbito de las T.I.
ESTNDAR O NORMA DE FACTO. Instituciones
IETF (Internet Engineering Task Force)

RFC (Request for Comments)
IEEE (Institute of Electrical and Electronics Engineers)

802, 802.11, Posix, VHDL,
World Wide Web Consortium (W3C) ECMA (En origen: European Computer Manufacturers Association) ECMA 376 Office Open XML File Formats
16
07/12/2010
FIRMA DIGITAL
Transformacin criptogrfica de un conjunto de datos que lo protegen de falsificaciones y permiten al receptor de aquel conjunto probar su origen e integridad1
1. ISO/IEC 19790: 2006 49
FIRMA DIGITAL
Firma
Verificacin
Clave pblica (Datos de verificacin de firma) Clave privada (Datos de creacin de firma)
50
FUNCIN RESUMEN (HASH)1
Funcin matemtica que transforma elementos de un conjunto, posiblemente muy grande, en elementos de otro conjunto mucho ms pequeo
1. ISO/IEC 10181-2
51
17
07/12/2010
FUNCIN RESUMEN (con clave) A(k, M) = R M: preimagen de R
A(k, M) es fcil de calcular R<< M A-1(k, R) es muy difcil de computar Si R1=A(k, M1), es complejo hallar M2/ A(k, M2) = R2 = R1
52
AUTENTICACIN (con clave): En el emisor MENSAJE (M) A(k, M)=R k
MENSAJE (M)
R
53
AUTENTICACIN (con clave): En el receptor

MENSAJE (M) R
A(k, M)=R
k A C SI E = P ? T N A O R RECHAZAR
18
07/12/2010
FUNCIN RESUMEN NIST
SHA-0 SHA 1 SHA-1 SHA-2
NIST (FIPS 180), 1993 NIST (FIPS 180-1), 1995 180 1) NIST (FIPS 180-3), 2008
55
FUNCIN RESUMEN NIST
56
FIRMA DIGITAL
Datos aadidos a un conjunto de datos (o transformacin criptogrfica de stos), que lo protegen de falsificaciones y permiten al receptor de aquel conjunto probar su origen e integridad1
1. ISO/IEC 19790: 2006
57
19
07/12/2010
FIRMA DIGITAL: Separada del mensaje
RESUMEN
HUELLA DIGITAL
FIRMA
HUELLA DIGITAL FIRMADA
MENSAJE CON FIRMA

58
SEGURIDAD EN XML
XML Encryption
Entidad normalizadora. W3C (WG XML-Enc) ( ) Permite cifrar documentos enteros o slo partes Permite cifrar distintos formatos: HTML, XML, datos binarios, etc. Se pueden anidar cifrados o firmas
59
SEGURIDAD EN XML
XML Signature
Entidad normalizadora. W3C (WG XML-DSig) y ETSI Permite cifrar documentos enteros o slo partes Permite cifrar distintos formatos: HTML, XML, datos binarios, etc. Se pueden anidar cifrados o firmas
60
20
07/12/2010
XAdES: Formatos
XAdES-BES (Basic Electronic Signature) XAdES-EPES (Explicit Policy Electronic Signature) XAdES-T (with Time Stamp) ( p) XAdES-C (Complete Validation Data) Opcionales (anexos):
XAdES-X (Extended Validation Data) XAdES-XL (Extended Long Validation Data) XAdES-A (Archival)
61
SEGURIDAD EN XML
XML Encryption XML Signature XML K M Key Management t

Protocolo de distribucin y registro de claves pblicas X-KRSS. Registro de clave pblica X-KISS. Informacin de la clave pblica
62
FORMATOS DE FIRMA
PKCS#7 CMS (RFC 2630) S/MIME XML Signature

63
21
07/12/2010
La seguridad de la informacin administrativa. El cifrado de datos sensibles. La firma digital. Certificados digitales. Funciones. Tipos: personal, de servidor, Contenido. Formatos.
CERTIFICADO DE CLAVE PBLICA

Autoridad de Certificacin
65
CERTIFICADO DE CLAVE PBLICA

Autoridad de Certificacin
66
22
07/12/2010
FIRMA DIGITAL: Almacenamiento del certificado y la clave privada
En un fichero En una tarjeta de circuito integrado (tarjeta chip)
67
CERTIFICADO DIGITAL: ITU-T. X 509 v.3

Certificate ::= SIGNED { SEQUENCE { Version Version, serialNumber CertificateSerialNumber, signature AlgorithmIdentifier, AlgorithmIdentifier issuer Name, validity Validity, subject Name, subjectPublicKeyInfo SubjectPublicKeyInfo, issuerUniqueIdentifier IMPLICIT UniqueIdentifier OPTIONAL, subjectUniqueIdentifier IMPLICIT UniqueIdentifier OPTIONAL, 68 extensions Extensions OPTIONAL }
AUTENTICACIN MEDIANTE LA FIRMA
Solicitud de acceso Reto Firma del reto
23
07/12/2010
CERTIFICADO DIGITAL: Extensiones
Acerca del uso de las claves Acerca de las polticas de certificacin Acerca de los atributos del titular y de la AC Acerca de las rutas de certificacin Acerca de los puntos de distribucin
70
CERTIFICADO DIGITAL: Uso de la clave
Cifrado de datos (confidencialidad) Firma digital (integridad, no repudio) Autenticacin
71
CERTIFICADO DIGITAL: Extensiones (uso de claves)1 KeyUsage ::= BIT STRING { digitalSignature (0), nonRepudiation (1), (renombrada contentCommitment) keyEncipherment ( ) y p (2), dataEncipherment (3), keyAgreement (4), keyCertSign (5), cRLSign (6), encipherOnly (7), decipherOnly (8) }
ITU-T X.509 v.3
72
24
07/12/2010
CERTIFICADOS RECONOCIDOS: Normas tcnicas
ETSI TS 101 862: Perfil de Certificados Reconocidos R id RFC 3739 Internet X.509 PKI: Perfil de Certificados Reconocidos
73
CERTIFICADO DIGITAL: Tipos
Certificado de Autoridad de certificacin Certificado de servidor (sede electrnica) Certificado de editor de software Certificado personal
74
CERTIFICADO DE ATRIBUTOS: Contenido
Identificacin del usuario Nombre de la Autoridad de Atributos (AA) Algoritmo de firma de la AA Periodo de vigencia Atributos Extensiones
75
25
07/12/2010
Autoridades de Certificacin Funciones. Tipos de Autoridades de certificacin. Revocacin de certificados. La constancia fiable de tiempo: sellos de tiempo y Autoridades de sellado Infraestructuras de clave Pblica (PKI). La firma digital. Validez legal en Espaa y en la Unin Europea.
AUTORIDADES DE CERTIFICACIN
Generacin y emisin de certificados Revocacin, suspensin, renovacin y recuperacin Generacin de claves (ocasionalmente) Almacenamiento certificados (ocasionalmente) Mantenimiento de la CRL (ocasionalmente) Traslado de los certificados
77
CERTIFICADO DIGITAL: Consulta de validez (Autoridades de validacin)
CRL (Certificate Revocation Lists)

ITU-T: X.509 v.3
OCSP (On-line Certificate Status Protocol)

IETF: RFC 2560
78
26
07/12/2010
Formato X.509: Certificado y CRL
79
OCSP: Pregunta y respuesta Pregunta Cliente OCSP Respuesta
Servidor OCSP (Contestador Responder)
Contestador (Responder) AC emisora del certificado o un Tercero de Confianza acreditado para este fin por aquella Un Tercero de Confianza para el cliente
80
OCSP: Esquema general

CA
APLICACION
OCSP Request OCSP CLIENT OCSP Response
AUTORIDAD DE VALIDACION
OCSP RESPONDER LDAP SERVER
81
27
07/12/2010
OCSP frente a CRL
Proporciona informacin reciente del estado del certificado. Elimina la necesidad de procesar las CRLs Las CRLs contienen informacin sensible Permite la verificacin a posteriori de la validez de las firmas, sin archivar las CRLs.
82
CERTIFICADOS DIGITALES: CRL
Emisor Algoritmo de firma de la AC Fecha de actualizacin Prxima actualizacin Certificados revocados Fecha y hora de revocacin Extensiones
83
TERCEROS DE CONFIANZA (Trusted Third Party, TTP)
SERVICIOS
Certificacin de claves F h d di it l Fechado digital Notificaciones electrnicas Custodia de documentos Custodia de claves (depositadas o de recuperacin) Directorio de claves
84
28
07/12/2010
SELLADO DE TIEMPO
Servicio que permite demostrar que un conjunto de datos exista con anterioridad a un instante, habiendose mantenido inalterado desde entonces entonces. Se puede usar, por ejemplo, para verificar que un documento fue firmado previamente a la revocacin del correspondiente certificado, para probar que un mensaje se remiti antes de expirar un cierto plazo, etc. Este servicio est establecido en la RFC 3161.
85
SERVICIO DE FECHADO: Tcnicas
Firma electrnica Registros encadenados Almacn de confianza
86
FECHADO: Firma electrnica

CLIENTE AUTORIDAD DE FECHADO Fecha (F)
RESUMEN
Huella Digital (R)
RF
Huella digital fechada y firmada
RF
29
07/12/2010
SERVICIO DE FECHADO: Normas
ETSI TS 102 023: Policy requirements for time-stamping authorities ETSI TS 101 861: Time stamping profile RFC 3161: Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)
88
Autoridades de Certificacin Infraestructuras de clave Pblica (PKI). Estructuracin de las Autoridades de certificacin. Autoridades de validacin. El caso de la Administracin Pblica espaola: La plataforma @firma. La firma digital. Validez legal en Espaa y en la Unin Europea.
INFRAESTRUCTURA DE CLAVE PBLICA (PKI)
Conjunto de autoridades de certificacin, de registro, de sellado de tiempo, etc., as como las reglas de estructuracin de stas, y sus mtodos de gestin de certificados, que establecen la validez de stos y garantizan el reconocimiento mutuo de los mismos
90
30
07/12/2010
PKI: Estructura jerrquica descendente

AC AC1 AC3 E1 E2 AC4 Ek AC2 ACn En
91
AUTORIDADES DE REGISTRO1
Identificacin peticionarios Remisin informacin a AC Recepcin de los certificados emitidos por la AC Aceptacin y traslado a AC de peticiones de suspensin, revocacin y cambio de atributos
1. Oficinas de acreditacin
POLTICA Y DECLARACIN DE PRCTICAS DE CERTIFICACIN
qu se necesita hacer? g Poltica de seguridad
cmo se va a hacer? Declaracin de prcticas de certificacin
93
31
07/12/2010
POLTICA DE CERTIFICACIN1
Conjunto de reglas que establecen la adecuacin de un certificado a una comunidad particular y a una clase de aplicaciones con requisitos comunes de seguridad
1. X 509 y RFC 2527
94
DECLARACIN DE PRCTICAS DE CERTIFICACIN
Documento publicado por una AC que comprende las normas, reglas y procedimientos que q e rigen el ciclo de vida de los certificados que ida q e expide. Adems, incluye las obligaciones que contrae con los titulares de sus certificados, y de stos con aqulla, y los mrgenes de responsabilidad que asume frente a las entidades 95 que aceptan dichos certificados
Autoridades de Certificacin Infraestructuras de clave Pblica (PKI). La firma digital. Validez legal en Espaa y en la Unin Europea.
32
07/12/2010
LEGISLACIN
Real Decreto-Ley 14/1999 sobre firma electrnica Ley modelo de la CNUDMI sobre las firmas electrnicas (2001) Directiva 1999/93/CE del P. E. y del Consejo por la que se establece un marco comunitario para la firma electrnica Ley 59/2003 sobre firma electrnica
Firma electrnica y documentos firmados electrnicamente (Art. 3)
1. La firma electrnica es el conjunto de datos en forma electrnica consignados junto a electrnica, otros o asociados con ellos, que pueden ser utilizados como medio de identificacin del firmante
98
99
33
07/12/2010
Firma electrnica y documentos firmados electrnicamente (art. 3)
2. La firma electrnica avanzada es la firma electrnica que permite identificar al firmante y detectar d t t cualquier cambio ulterior d l d t l i bi lt i de los datos firmados, que est vinculada al firmante de manera nica y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control
100
Prestadores de servicios de certificacin (Art. 2.2)
Persona fsica o jurdica que expide certificados electrnicos o presta otros servicios en relacin con la firma electrnica
101
Concepto de certificado electrnico y de firmante (Art. 6)
1. Un certificado electrnico es un documento firmado electrnicamente por un prestador de servicios de certificacin que vincula unos datos de verificacin de firma (clave pblica) a un signatario y confirma su identidad
102
34
07/12/2010
Concepto de certificado electrnico y de firmante (Art. 6)
2. El firmante es la persona que posee un dispositivo de creacin de firma y que acta en nombre propio o en nombre de una persona fsica o jurdica a la que representa
103
Concepto y contenido de los certificados reconocidos (Art. 11) 1. Son certificados reconocidos los certificados electrnicos expedidos por un prestador de servicios de certificacin que cumpla los requisitos establecidos en esta ley en cuanto a la comprobacin de la identidad y dems circunstancias de los solicitantes y a la fiabilidad y las garantas de los servicios de certificacin que presten
104
Certificados reconocidos (Art. 11) 2. Los certificados reconocidos incluirn, al menos: a) La indicacin de que se expiden como tales b) El cdigo identificativo nico del certificado c) La identificacin del PSC q e lo emite y s domicilio que su d) La firma electrnica avanzada del PSC que lo expide e) La identificacin del firmante (personas fsicas: nombre, apellidos y NIF, o seudnimo; personas jurdicas: denominacin o razn social y CIF)
105
35
07/12/2010
Certificados reconocidos (Art. 11) f) Los datos de verificacin de firma que corresponden a los datos de creacin de firma que se encuentran bajo el control del firmante
g) Comienzo y fin del periodo de validez del certificado h) Limites de uso del certificado, si se establecen i) Limites del valor de las transacciones para las que puede utilizarse el certificado, si se establecen
106
Extincin de la vigencia (Art. 8) 2. El periodo de validez de los certificados electrnicos ser adecuado a los caractersticas y tecnologa empleada en la g g p generar los datos de creacin de firma. En el caso de los certificados reconocidos este periodo no podr ser superior a cuatro aos
107
Certificados reconocidos (Art. 11)
3. Los certificados reconocidos podrn asimismo contener cualquier otra circunstancia o atributo especfico del firmante en caso de que sea significativo en funcin del fin propio del certificado y siempre que aqul lo solicite
108
36
07/12/2010
3. Se considera firma electrnica reconocida a la firma electrnica avanzada basada en un certificado reconocido y generada por un dispositivo seguro de creacin de firma
109
4. La firma electrnica reconocida tendr respecto de los datos consignados en forma electrnica el mismo valor que la firma manuscrita en relacin con los consignados en papel
110
Firma electrnica y documentos firmados electrnicamente (art. 3)
10. A los efectos de lo dispuesto en este artculo, artculo cuando una firma electrnica se utilice conforme a las condiciones acordadas por las partes para relacionarse entre s, se tendr en cuenta lo estipulado entre ellas.
111
37
07/12/2010
The European Telecommunication Standards Institute (ETSI) The European Standardization Committee (CEN)
112
ETSI TS 101 456: Requisitos de Polticas para AC que emiten certificados reconocidos ETSI TS 102 042: Requisitos de Polticas para AC que emiten certificados de clave pblica
113
ETSI TS 101 862: Perfil de Certificados Reconocidos RFC 3739 Internet X.509 PKI: Perfil de Certificados Reconocidos
114
38
07/12/2010
ETSI TS 101 456 Policy requirements for certification authorities issuing qualified certificates (European Telecommunications Standard Institute)
Certificados que requieren dispositivos de firma seguros (OID 0.4.0.1456.1.1) Certificados que no requieren dispositivos de firma seguros (OID 0.4.0.1456.1.2)
115
Anexo II f de la Directiva 1999/93/CE. Decisin de la C.E. C(2003) 2439
Security requirements for trustworthy systems managing certificates for electronic signatures Part 1: System Security Requirements CWA Requirements. 14167-1, marzo de 2003. (CEN Comit Europeo de Normalizacin) Part 2: Cryptographic module for CSP signing operations. Protection Profile (MCSO-PP). CWA 14167-2, marzo de 2002. (CEN Comit Europeo de Normalizacin) 116
Anexo III de la Directiva 1999/93/CE (Decisin de la Comisin C(2003) 2439)
Secure signature-creation devices. CWA 14169, marzo d 2002 (CEN C it E de 2002. Comit Europeo d de Normalizacin) Aprobada como norma espaola: UNE-CWA 2005
117
39
07/12/2010
Disposiciones comunes a la extincin y suspensin de la vigencia de los certificados electrnicos1 (Art. 10)
4. La extincin o suspensin de la vigencia de un certificado electrnico se mantendr accesible en el servicio de consulta sobre vigencia de los certificados al menos hasta la fecha en que hubiera finalizado su periodo de validez
118
Obligaciones de los PSC que expidan certificados electrnicos. (Art. 18) c) Mantener un directorio actualizado de certificados en el que se indicarn los certificados expedidos y q p si estn vigentes o si su vigencia ha sido suspendida o extinguida. La integridad del directorio se proteger mediante la utilizacin de los mecanismos de seguridad adecuados
119
Obligaciones de los PSC que expidan certificados electrnicos.1 (Art. 18) d) Garantizar la disponibilidad de un servicio de ) p consulta sobre la vigencia de los certificados rpido y seguro
120
40
07/12/2010
La identidad digital. Tarjetas e-ID (sanitaria, permiso de circulacin, ). El documento nacional de identidad electrnico espaol. La firma y l certificados en l i f L fi los tifi d la informatizacin d l ti i de las Administraciones. El caso espaol: La Ley 11/2007 de Acceso electrnico de los ciudadanos a las AA PP y su Reglamento de desarrollo. Desarrollos legales en la proteccin de los datos personales.
La identidad digital. Tarjetas e-ID (sanitaria, permiso de circulacin, ). El documento nacional de identidad electrnico espaol. La firma y l certificados en l i f L fi los tifi d la informatizacin d l ti i de las Administraciones. El caso espaol: La Ley 11/2007 de Acceso electrnico de los ciudadanos a las AA PP y su Reglamento de desarrollo. Desarrollos legales en la proteccin de los datos personales.
LEGISLACIN
Ley 11/2007 de acceso electrnico de los ciudadanos a los Servicios Pblicos Real Decreto 1671/2009 por el que se desarrolla parcialmente la Ley 11/2007 de acceso electrnico de los ciudadanos a los servicios pblicos. Ley 56/2007 de Medidas de impulso de la sociedad de la informacin
41
07/12/2010
Artculo 13. Formas de identificacin y autenticacin
2. Los ciudadanos podrn utilizar los siguientes sistemas de firma electrnica para relacionarse con las AA PP, de acuerdo con lo que cada , q Administracin determine: a) En todo caso, los sistemas de firma electrnica incorporados al DNI, para personas fsicas. []
b) Sistemas de firma electrnica avanzada, incluyendo los basados en certificado electrnico reconocido, admitidos por las AA PP. c) Otros sistemas de firma electrnica, como la electrnica utilizacin de claves concertadas en un registro previo como usuario, la aportacin de informacin conocida por ambas partes u otros sistemas no criptogrficos, en los trminos y condiciones que en cada caso se determinen
Artculo 15. Utilizacin de sistemas de firma electrnica avanzada.
1. Los ciudadanos, adems de los sistemas de firma electrnica incorporados al DNI, [], podrn utilizar sistemas de firma electrnica avanzada para id tifi d identificarse y autenticar sus t ti documentos. 2. La relacin de sistemas de firma electrnica avanzada admitidos, con carcter general, en el mbito de cada A P, deber ser pblica y accesible por medios electrnicos. []
42
07/12/2010
Artculo 16. Utilizacin de otros sistemas de firma electrnica.
1. Las AA PP podrn determinar, teniendo en cuenta los datos e intereses afectados, y siempre de forma justificada los supuestos y justificada, condiciones de utilizacin por los ciudadanos de otros sistemas de firma electrnica, tales como claves concertadas en un registro previo, aportacin de informacin conocida por ambas partes u otros sistemas no criptogrficos.
Artculo 18. Sistemas de firma electrnica para la actuacin administrativa automatizada.
1. Para la identificacin y la autenticacin del ejercicio de la competencia en la actuacin administrativa automatizada, cada Administracin Pblica podr determinar los supuestos de utilizacin de los siguientes sistemas de firma electrnica:
1. a) Sello electrnico de Administracin Pblica, rgano o entidad de derecho pblico, basado en certificado electrnico que rena los requisitos exigidos por la legislacin de firma electrnica.
43
07/12/2010
Artculo 19. Firma electrnica del personal al servicio de las Administraciones Pblicas.
2. Cada A. P. podr proveer a su personal de sistemas de firma electrnica, los cuales podrn id tifi d identificar de forma conjunta al titular d f j t l tit l del puesto de trabajo o cargo y a la Administracin u rgano en la que presta sus servicios. 3. La firma electrnica basada en el DNI podr utilizarse a los efectos de este artculo.
130
Artculo 25. Plataformas de verificacin de certificados y sistema nacional de verificacin. 1. El Ministerio de la Presidencia gestionar una plataforma de verificacin del estado de revocacin de los certificados admitidos en el mbito de la A. G. E. y []. Esta plataforma permitir verificar el estado de revocacin y el contenido de los certificados y prestar el servicio de forma libre y gratuita a todas las Administraciones pblicas, espaolas o europeas.
R.D. 1671/2009
131
PLATAFORMA @FIRMA
Servicios
Validacin de certificados de mltiples PSC Validacin de firmas Sellado de tiempo (segn RFC 3161) Cliente de firma (para firma de los ciudadanos)
Requisitos de integracin
Conexin a la red SARA
44
07/12/2010
DNI electrnico1. Artculo 1. Naturaleza y funciones
5. La firma electrnica realizada a travs del Documento Nacional de Identidad tendr respecto de los datos consignados en forma electrnica el mismo valor que la firma manuscrita en relacin con los consignados en papel
Real Decreto 1553/2005
DNI electrnico1. Artculo 3. rgano competente para la expedicin y gestin
2. El ejercicio de las competencias a que se refiere el apartado anterior, incluida la emisin de los certificados de firma electrnica reconocidos, ser realizado por la Direccin General de la Polica, a quien corresponder tambin la custodia y responsabilidad de los archivos y ficheros, automatizados o no, relacionados con el Documento Nacional de Identidad Real Decreto 1553/2005
DNI electrnico1. Artculo 9. Entrega del Documento Nacional de Identidad
2. La activacin de la utilidad informtica a que se refiere el artculo 1.4, que tendr carcter voluntario, se ll l t i llevar a cabo mediante una b di t clave personal secreta, que el titular del Documento Nacional de Identidad podr introducir reservadamente en el sistema
45
07/12/2010
DNI
electrnico1.
Artculo 11. Contenido
4. El chip incorporado a la tarjeta soporte contendr: Datos de filiacin del titular Imagen digitalizada de la fotografa Imagen digitalizada de la firma manuscrita Plantilla de la impresin dactilar del dedo ndice de la mano derecha o, en su caso, del que corresponda segn lo indicado en el artculo 5.3 Real Decreto 1553/2005 de este R. D.
Artculo. La sede electrnica
1. La sede electrnica es aquella direccin electrnica disponible para los ciudadanos a travs de redes de telecomunicaciones cuya titularidad, gestin y administracin corresponde a una Administracin Pblica, rgano o entidad administrativa en el ejercicio de sus competencias.
Artculo 10. La sede electrnica
4. Las sedes electrnicas dispondrn de sistemas que permitan el establecimiento de comunicaciones seguras siempre que sean necesarias.
46
07/12/2010
3. Las AA PP podrn utilizar los siguientes sistemas para su identificacin electrnica y para la autenticacin de los documentos electrnicos que produzcan: a)Sistemas de firma electrnica basados en la utilizacin de certificados de dispositivo seguro o medio equivalente que permita identificar la sede electrnica y el establecimiento con ella de comunicaciones seguras
Artculo 17. Identificacin de las sedes electrnicas.
Las sedes electrnicas utilizarn, para identificarse y garantizar una comunicacin segura con las mismas sistemas de firma mismas, electrnica basados en certificados de dispositivo seguro o medio equivalente.
AGE: Conexiones https frente a http1
18%
https http
82%
Informe REINA 09
141
47
07/12/2010
3. [] b) Sistemas de firma electrnica para la actuacin administrativa automatizada. c) Firma electrnica del personal al servicio de las Administraciones Pblicas. d) Intercambio electrnico de datos en entornos cerrados de comunicacin, conforme a lo especficamente acordado entre las partes.
1. Para la identificacin y la autenticacin del ejercicio de la competencia en la actuacin j p administrativa automatizada, cada Administracin Pblica podr determinar los supuestos de utilizacin de los siguientes sistemas de firma electrnica:
1. a) Sello electrnico de Administracin Pblica, rgano o entidad de derecho pblico, basado en certificado electrnico que rena los requisitos exigidos por la legislacin de firma electrnica.
144
48
07/12/2010
1. b) Cdigo seguro de verificacin vinculado a la Administracin Pblica, rgano o entidad y, en su caso, a la persona firmante del caso documento, permitindose en todo caso la comprobacin de la integridad del documento mediante el acceso a la sede electrnica correspondiente.
145
3. La relacin de sellos electrnicos utilizados por cada A. P., incluyendo las caractersticas de los certificados electrnicos y los prestadores que los expiden, deber ser pblica y accesible por medios electrnicos. Adems, cada A. P. adoptar las medidas adecuadas para facilitar la verificacin de sus sellos electrnicos.
146
DNI electrnico1. Artculo 11. Contenido
4. (continuacin) Certificados reconocidos de autenticacin y de firma, y certificado electrnico de la autoridad emisora, que contendrn sus respectivos perodos de validez Claves privadas necesarias para la activacin de los certificados mencionados anteriormente
49
07/12/2010
DNI electrnicos
electrnico1.
Artculo 12. Validez de los certificados
1. Con independencia de lo que establece el artculo 6.1 sobre la validez del DNI, los certificados electrnicos reconocidos incorporados al mismo t d un perodo d i d l i tendrn d de vigencia de treinta meses. A la extincin de la vigencia [], podr solicitarse la expedicin de nuevos certificados reconocidos, manteniendo la misma tarjeta del DNI mientras dicho Documento contine vigente
Empleo de la firma electrnica en el mbito de las AA. PP.1 (Art. 4)
1. Se entiende por fecha electrnica el conjunto de datos en forma electrnica utilizados como medio para constatar el momento en que se ha efectuado una actuacin sobre otros datos electrnicos a los que est asociada
149
ANEXO1: Definiciones
s) Sellado de tiempo: Acreditacin a cargo de un tercero de confianza de la fecha y hora de realizacin de cualquier operacin o transaccin por medios electrnicos.
150
50
07/12/2010
AGE: Empleados/firma electrnica avanzada1
Informe REINA 09
STORK (Secure Identity Across Borders Linked)
Uso de DNI-e en todos los pases de la Unin Participantes: 12 Estados de la UE ms Islandia
152
AGENCIA ESPAOLA DE COOPERACIN INTERNACIONAL PARA EL DESARROLLO (AECID) UNIVERSIDAD DE PANAM
La firma digital y las Administraciones Pblicas

Arturo Ribagorda Garnacho Catedrtico de Universidad. Universidad Carlos III de Madrid
51

Firma Digital - CURSO Panama V 2 Dic10

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Firma Digital - CURSO Panama V 2 Dic10

Încărcat de

Drepturi de autor:

Formate disponibile

07/12/2010

Firma digital y certificados en las AA PP

AGENCIA ESPAOLA DE COOPERACIN INTERNACIONAL PARA EL DESARROLLO (AECID) UNIVERSIDAD DE PANAM

La firma digital y las Administraciones Pblicas

Firma digital y certificados en las AA PP

Firma digital y certificados en las AA PP

Firma digital y certificados en las AA PP

Firma digital y certificados en las AA PP

1. La administracin electrnica: un imperativo. OCDE. 2004

Firma digital y certificados en las AA PP

Firma digital y certificados en las AA PP

LA ADMINISTRACIN PBLICA. Retos

Simplificacin administrativa Eficiencia Coordinacin Cercana Transparencia Privacidad

Firma digital y certificados en las AA PP

MEDIDAS DE SEGURIDAD: Legales

Ley 11/2007 de acceso electrnico de los ciudadanos a los Servicios Pblicos

Firma digital y certificados en las AA PP

A2C: % respecto de ciudadanos >15 aos1

Firma digital y certificados en las AA PP

Empresas que interactan con la A. P por Internet (%)

Firma digital y certificados en las AA PP

Microempresas que interactan con la A. P. por Internet (%)

Firma digital y certificados en las AA PP

EMPRESAS. Interaccin con la A. P. por Internet (%)

Firma digital y certificados en las AA PP

INDIVIDUOS. Trmites con la A. P. por Internet (%)

Firma digital y certificados en las AA PP

INTERNAUTAS: Razones para no comprar1

Firma digital y certificados en las AA PP

Firma digital y certificados en las AA PP

Firma digital y certificados en las AA PP

Firma digital y certificados en las AA PP

Firma digital y certificados en las AA PP

Firma digital y certificados en las AA PP

EUROPA: Factura electrnica1

Firma digital y certificados en las AA PP

Firma digital y certificados en las AA PP

EUROPA: Firma electrnica1

Firma digital y certificados en las AA PP

LA FIRMA DIGITAL Y LOS CERTIFICADOS EN LAS AA PP

Firma digital y certificados en las AA PP

Coste Seguridad Rendimiento Usabilidad

Firma digital y certificados en las AA PP

Objetiva Subjetiva (Confianza)

Firma digital y certificados en las AA PP

SEGURIDAD DE LOS DATOS

Firma digital y certificados en las AA PP

Firma digital y certificados en las AA PP

Firma digital y certificados en las AA PP

LA FIRMA DIGITAL Y LOS CERTIFICADOS EN LAS AA PP

Firma digital y certificados en las AA PP

Firma digital y certificados en las AA PP

Firma digital y certificados en las AA PP

SISTEMA DE CIFRADO (Criptosistema)

Xcdbay Dvr stuvn

Documento cifrado Clave de cifrado

Firma digital y certificados en las AA PP

CRIPTOSISTEMA SIMTRICO (DE CLAVE SECRETA)

Xcdbay Dvr stuvn

Clave de cifrado y descifrado

Firma digital y certificados en las AA PP

Firma digital y certificados en las AA PP

CRIPTOANLISIS: Principio de Kerckhoff (Auguste Kerckhoff , 1883)