firma digital: aspectos técnicos y legales - dednet.net · quien controla y audita el sistema...
TRANSCRIPT
Octubre de 2000
Firma DigitalAspectos Técnicos y Legales
Dra. Mercedes [email protected]
Lic. Walter [email protected]
Cra. Patricia [email protected]
Expositores:
Autoría (posibilidad de adjudicarlos a una persona)
Integridad (contenido no alterado)
Confidencialidad (acceso sólo por el destinatario)
Disponibilidad (debe estar disponible para su uso)
Condiciones que debe reunir la información
Creciente uso de los medios digitales paraprocesar y transmitir información, celebrarcontratos, etc.
Un documento digital es fácilmente alterable,no es posible determinar con certeza el autor,ni su integridad
No sirven para reemplazar el papel
¿ Cuál es el problema ?
Atribuir el documento a su autor (una persona)en forma fehaciente (autenticar al autor)
Verificar la no alteración del contenido deldocumento luego de que fue firmado(integridad del contenido)
Garantizar el NO REPUDIO
Necesitamos ...
Firma Digital
Conjunto de datos expresados en formato
digital, utilizados como método de identificación
de un firmante y de verificación de la integridad
del contenido de un documento digital, que
cumpla con los siguientes requisitos:
• pertenecer únicamente a su titular
• encontrarse bajo el absoluto y exclusivocontrol de su titular
• ser susceptible de verificación
• estar vinculada a los datos del documentodigital de modo tal que cualquier modificaciónde los mismos ponga en evidencia sualteración
Firma Digital (cont)
Firma Digital II
Una firma digital es el resultado de la
aplicación de un procedimiento criptográfico
extremadamente seguro a un documento
digital, de manera que pueda ser atribuido a su
autor y ofrecer garantía de integridad.
↓ Una firma manuscrita escaneada
↓ Una password
↓ Una huella digital
↓ No tiene que ver con biometría
↓ No es autenticación solamente
Qué NO es una Firma Digital :
Firma DigitalFuncionamiento
Privada Pública
Privada
Criptografía Simétrica
Criptografía Asimétrica
PúblicaPrivada
ClaveClave
Criptografía: ¿Cómo funciona?
Cuando se Firma
Digesto
Firma
Digesto
Pública
Firma
Cuando se Verifica
¿?Privada
PúblicaNombre y Apellido
Nombre y Apellido
Firma Digital: ¿Cómo funciona?
4 actores principales:
Quien firma (el suscriptor)Quien(es) necesita(n) verificar la firma
Quien testimonia que una firma digital
pertenece a una cierta persona
Quien controla y audita el sistema
Sistema de Firma Digital
Marco Normativo
Decreto n° 427/98
Resolución SFP Nº 45 del 17 de marzo de 1997Conclusiones y recomendaciones del Subcomité de Criptografía yfirma digital sobre las pautas técnicas a seguir en materia denormativa de firma digital.
Resolución n° 194/98 Secretaría de la Función PúblicaEstándares sobre tecnología de Firma Digital
Resolución n° 212/98 Secretaría de la Función PúblicaPolítica de certificación : criterios para el licenciamiento de lasAutoridades Certificantes y los requisitos y condiciones para laemisión de los certificados de clave pública utilizados en el procesode verificación de firmas digitales en el ámbito de la APN.
ARGENTINA Firma digital
Infraestructura de Firma Digital para la APN
Actos internos de la Administración
Dos años, prorrogables
SGP es Autoridad de Aplicación, OrganismoLicenciante, dicta estándares tecnológicos
Define las partes y sus funciones y obligaciones
Define qué es una firma digital, basada en lacriptografía asimétrica
Decreto Nº 427/98
Composición de la IFDAPN
Organismo Licenciante: Subsecretaría de la GestiónPública - JGM
Autoridades Certificantes Licenciadas: Organismos de laAPN que soliciten sus licencias
Agentes Públicos: solicitan sus certificados de clavepública a una Autoridad Certificante Licenciada
Organismo Auditante: SIGEN
1996199719982000Situación Internacional
Iniciativas legales en otros países
Leyes modelo UNCITRAL
América
Europa
Asia
Oceanía
Normas por cada Estado, distingue tres tipos de firmas digitales:
- Simples firmas electrónicas- Firmas digitales- Firmas electrónicas con atributos de autenticación específicos.
Leyes de alcance federal:
3Goverment Paperwork Elimination Act - 1998
3Internal Revenue Restructuring and Reform Bill - 1998
Estados Unidos
Normas legales de alcance federal:
3E-SIGN Electronic Signatures in global and national commerceAct - Junio 2000
Admite la validez legal de la firma y documentos electrónicospara transacciones entre Estados o referidas a comerciointernacional. Adopta el principio de libertad de mercado yautorregulación
3UETA Uniform Electronic Transactions Act
Modelo de norma adoptada por 27 Estados.
Estados Unidos
Directiva 93/99 Diciembre 1999
Objetivo: facilitar el uso de la firma electrónica y contribuir a sureconocimiento jurídico
No regula aspectos contractuales ni de forma de los actos.
Requisitos firma manuscrita = firma electrónica
Distingue entre firma electrónica y firma electrónica avanzada
No se requiere autorización previa para la prestación de serviciosde certificación.
Comunidad Europea
Sistemas voluntarios de acreditación.Sistema de supervisión de proveedoresFija requisitos para los dispositivos seguros de creación de firma.La conformidad con los requisitos será fijada por un tercero.
Efectos jurídicos de la firma electrónica:firma electrónica avanzada basada en un certificado reconocido ycreada por un dispositivo seguro de creación de firma= firma manuscrita
Responsabilidad del proveedor de servicio de certificación.
Comunidad Europea
Equivalencia de certificados:por sistema voluntario de acreditación,que esté avalado el certificado,o que medien acuerdos bi o multilaterales
Los Estados podrán establecer prescripciones adicionales para eluso de la firma electrónica en el sector público.
Protección de los datos
Comunidad Europea
Comité de firma electrónica. Revisión y valoración dearmonización, en base a la experiencia, con propuesta legislativa.
Anexo I: Requisitos de los certificados reconocidos.
Anexo II: Requisitos de los proveedores de servicios decertificación.
Anexo III: Requisitos de los dispositivos seguros de creación defirma electrónica.
Anexo IV: Recomendaciones para la verificación segura de firma
Comunidad Europea
ESPAÑA
Real Decreto 1290/99: Fábrica Nac. De Moneda y Timbre RealCasa de la Moneda
Real Decreto-Ley 14/1999, 17/9/99 Regula el uso de la firmaelectrónica el reconocimiento de su eficacia jurídica y laprestación al público de servicios de certificación.
Real Decreto 1906/99. Rige a partir 1/3/99 Regula determinadoscontratos a distancia, admitiendo como medio de pruebadocumentos electrónicos firmados digitalmente.
Europa
ITALIA
Ley Firma Digital, 1997 Otorga validez legal a los instrumentos,datos y documentos electrónicos.
Decreto Presidencial 513/97: Asimila firma digital con firmaológrafa. Las firmas digitales serán certificadas por AutoridadesCertificantes Acreditadas.
Decreto Primer Ministro 87/99 : Define especificacionestécnicas. Algoritmos aplicables. Función de hash. Clases declaves. Magnitudes de claves. CA. Obligaciones, formasprocedimientos.
Europa
PORTUGAL
Decreto Ley 290/99: Regula la validez, eficacia y valorprobatorio de los documentos electrónicos y de la firma digital.Entidades certificadoras. Procesos de acreditación voluntarios.
FRANCIA
Ley sobre el derecho de prueba y firma digital.Confiere al escrito en soporte electrónico igual fuerza probatoriaque al papel.Asimila firma digital con firma ológrafa .
Europa
GRAN BRETAÑA
Electronic Communications Act 2000Registro de proveedores de servicios criptográficosAdmite la validez legal de la firma digital
SUECIA, ALEMANIA, DINAMARCA, FINLANDIA,HOLANDA, IRLANDA, ESTONIA, LITUANIA, HUNGRIA
Europa
RUSIAJAPONSINGAPURCOREA DEL SURMALASIAINDIAISRAEL
Asia
AUSTRALIANUEVA ZELANDA
Oceanía
ARGENTINA ECUADOR
BRASIL MEJICO
CANADA PERU
CHILE URUGUAY
COLOMBIA
América
CHILE
Decreto Supremo 81/99 Reconoce como antecedente a laArgentinaProyecto de ley de firma digital
CANADAProyecto ley comercio electrónico 1999Proyecto ley protección de la información personal ydocumentos electrónicos.
COLOMBIALey 527 Agosto 1999 sobre Comercio Electrónico.
América
PERU
Ley de firmas y certificados digitales. Mayo 2000
BRASIL
Proyecto ley comercio electrónico 1999 Cita comoantecedente a la Argentina
MEJICOModificaciones al Código de Comercio y Código Procesal
América
ASPECTOS RELEVANTES
- Sistema de Acreditación
- Potestad del Estado
- Responsabilidad de AC
- Efectos jurídicos de la firma electrónica - firma digital
- Presunciones
- Alcances de las normas
- Neutralidad tecnológica pero no tanto......
- Reconocimiento de certificados extranjeros
- Protección del consumidor
DERECHO COMPARADO
PROYECTOS DE LEYES
Código Unificado Civil y Comercial:
En los instrumentos generados por medios electrónicos, el
requisito de la firma de una persona queda satisfecho si se utiliza
un método para identificarla, y ese método asegura
razonablemente la autoría e ineralterabilidad del instrumento .
Argentina
PROYECTOS DE LEYES
Proyecto de ley PEN de firma digital 1999
Proyecto de ley Diputados Fontdevila y Parentella -15 junio 2000
Proyecto de ley Senadores Del Piero y MolinariRomero - 20 de junio 2000
Proyecto de ley Diputado Corchuelo Blasco -10 julio 2000
Anteproyecto Jefatura de Gabinete de Ministros -agosto 2000
Proyecto de ley Diputada Adriana Puiggros -4 de septiembre 2000
Argentina
CONTRATACIONES DEL ESTADO
Decreto 436/00
Remisión de información en formato digital a laOficina Nacional de Contrataciones del Ministerio deEconomía
Sistema de compras y contrataciones disponible enInternet
Pliegos en Internet
Compras informatizadas
Sistema de información de proveedores
Argentina
CONTRATACIONES DEL ESTADO
Anteproyecto de Ley Contrataciones
Compras por Internet
Habilita el uso del documento digital firmadodigitalmente
Art.8 ley de procedimientos administrativos
Argentina
Aplicaciones
Objetivo:
Prestar más y mejores servicios a los administrados
Mejorar la gestión interna de los organismos
¿Cómo?
Contribuir a convertir al Estado en UsuarioModelo de las Tecnologías de la Información
en un ambiente confiable y seguro
En el Estado ...
TECNOLOGIA + MARCO LEGAL
Infraestructura que permite garantizar laidentidad de un ciudadano y/o agente públicoa través de Internet, sin necesidad de lapresencia física
Permite también identificar a los organismospúblicos frente al ciudadano y viceversa, o aotras jurisdicciones
Ambiente confiable y seguro
Presencia de la Administración en la red
Consulta de información personal desde Internet
Realización de cualquier trámite por Internet
Acceso a aplicaciones informáticas de gestión, porciudadanos y empresas
Comunicación entre dependencias de unaadministración y entre administraciones
Integración de información al ciudadano desde distintasadministraciones
Democracia electrónica
Aplicaciones
Australia275.000 certificados digitales emitidos para PyMES
España y BrasilPresentación de Declaraciones Juradas Impositivas
Arizona (EEUU)Primera experiencia internacional de voto electrónico
Entidades FinancierasProyecto “Identrus”, solución de autenticación entreEmpresas y Bancos
EEUUDepartamento de Veteranos de Guerra (10.000 CDs) y elFEMA (100.000 CDs)
En el mundo ...
Infraestructura de Firma DigitalTecnología y marco tecnológico de autenticación para laAdministración Pública
CNV/SAFJPsRemisión de información firmada digitalmente
Ministerio de JusticiaConsulta de antecedentes - D.N.Reincidencia
ArCERTCertificados Digitales para autenticación
Certificados para servidores
En Argentina ...
1996 - Subcomité de Criptografía y Firma Digital
Pautas para una normativa sobre firma digitalDecreto 427/98Proyecto de ley de firma digital
1998 - Estándares de Firma Digital (Res. SFP Nº 194/98) Política de Certificación (Res. SFP Nº 212/98)
1999 - Organismo Licenciante Operativo Licenciamiento del M. Economía Laboratorio de Firma Digital
2000 - Nuevas ACL (JGM, CNEA, Educ.ar) Revisión Decreto Nº 427/98 Nuevos proyectos: certificaciones cruzadas
time stamping
1996 - 2000 CAPACITACION
Un poco de historia - IFD
Un ejemplo ...
Tramitar un Certificado Digital• Generar un par de claves• Autorizar los datos que contendrá el certificado• Obtener el Certificado
Firmar un mensaje de Correo Electrónico• Utilizando una smartcard
Verificar un mensaje de Correo Electrónico• En una situación normal• Cuando el documento ha sido alterado
Servicio de Time Stamping
Un ejemplo
Subsecretaría de la Gestión Públicahttp://www.sgp.gov.ar
Infraestructura de Firma Digital http:// www.pki.gov.ar
Autoridad Certificante http:// sfp.pki.gov.ar
Laboratorio de Firma Digitalhttp://laboratorio.pki.gov.ar
Websites
Contactos
Infraestructura de Firma [email protected]
Mercedes Rivolta - [email protected]
Walter Marta - [email protected]
Patricia Prandini - [email protected]