“Consideraciones legales y
técnicas para el
funcionamiento de las
Autoridades Certificadoras”
Identiga Karto S.A.
15 de noviembre de 2005
¿Qué es una Autoridad de Certificación o
Certificador?
“Se entenderá como certificador la
persona jurídica pública o privada,
nacional
o
extranjera,
que
emite
certificados digitales y está debidamente
autorizada según esta Ley”
Artículo 18
Los Certificadores son un componente
del sistema de Firma Digital
Del mundo físico al mundo
digital … y su impacto en el
sistema de firma.
¿Por qué se realiza una
transacción en el mundo físico?
¿Cuándo es que ustedes
realizan una transacción?
¿Qué se requiere para
realizar una transacción?
¿Qué mecanismos se utilizan para
garantizar esa transacción?
Algunos ejemplos del mundo físico:
Identificación
Cédula
Copia del documento
O dos “originales”
Conoce
una
persona
Documentos
y requisitos
Mayor validez
Fecha cierta o inscripción
Algunos ejemplos del mundo físico:
Realiza una
transacción
Identifica
Institución
Verifica la
firma
Se
identifica
Usuario
Recibo
Existe un nivel mínimo de
confianza en las instituciones y
las personas
Seguridad jurídica y técnica
…al momento de realizar todo
tipo de transacciones.
Transacciones utilizando
documentos
“Documentos”
“Un documento es una
información que ha sido
producida o recibida en la
ejecución, realización o término
de una actividad institucional o
personal y que engloba el
contenido, el contexto y la
estructura permitiendo probar la
existencia de esa actividad”*
Virtud: Independiente del soporte
*Directriz Archivo Nacional.
Pero…
Mundo pensado en “soporte” papel
Legislación pensada en “soporte” papel
“Por escrito, original firmado, sellado y firmado”
“Contrato, triplicado, para inscribir”
Documento electrónico/digital no es igual al
documento físico
¿Cómo es posible trasladar las
transacciones del mundo físico al mundo
digital…
…y que tengan la misma validez
que las transacciones en papel?
Traslado del mundo físico al mundo digital
Documento firmado de “puño y letra”
Legislación
o contrato
Equivalencia
funcional
Documento firmado digitalmente
Equivalencia funcional*
“El criterio de la equivalencia funcional se basa en un
análisis de los objetivos y funciones del requisito tradicional de la
presentación de un escrito consignado sobre papel con miras a
determinar la manera de satisfacer sus objetivos y funciones con
técnicas del llamado comercio electrónico”
*Según Ley Modelo UNCITRAL
“En cualquier norma del ordenamiento
jurídico en la que se haga referencia a un
documento o comunicación, se
entenderán de igual manera tanto los
electrónicos como los físicos.”
Artículo 3
Se busca evitar que la validez de los
documentos electrónicos se supedite a su
reproducción en un medio físico.
Relación entre el mundo físico y el mundo digital en los
documentos, la firma y los certificados.
Vinculación Jurídica
No repudio
Autor
“Firma”
Integridad
Lapicero + “puño y letra”
Mundo Físico
Cédula de Identidad
Soporte papel
Documento
Mundo Digital
Vinculación Jurídica
No repudio
Llave pública
Llave privada
Autor
“Firma”
Integridad
Mecanismos Criptográficos
Certificado Digital
Soporte Digital
Documento
Traslado al mundo digital
(Internet)
¿Cómo sé que la
información no ha
sido leída por
terceros?
¿Cómo puedo
¿Cómo
asegurarme que la
determino la
persona no pueda
identidad de una
negar una
persona en
transacción?
Internet?
¿Cómo sé que el
mensaje no ha sido
¿Cómo sé que el
alterado durante su
mensaje proviene de
transmisión?
quien dice enviarlo?
¿Qué nivel de confianza puedo tener en el
sistema en general?
Tanto en el mundo físico como en el digital,
se debe garantizar:
Privacidad
Integridad
Autenticidad
No repudio
MINIMIZAR EL RIESGO
CONFIANZA
Privacidad
CRIPTOGRAFIA
Base del sistema de
firma digital
Impedir que los datos
sean vistos por usuarios
no autorizados
Autenticidad
Verificar la identidad
de usuarios y sistemas
Integridad
Proteger los datos de
cambios no autorizados
No repudio*
Excluir la posibilidad
de negar una
transacción válida
*Repudiar.(Del lat. repudiāre).1. tr. Rechazar algo, no aceptarlo.
¿Qué es firmar digitalmente?
(parte 1 de 3)
Necesito identificar a la persona
Llave pública
Llave privada
Mundo
Digital
Tercero de
confianza
Proceso de
Registro
Emite un
certificado
Rol del
“Certificador”
Usuario
Mundo
Físico
Tercero de
confianza
Proceso de
Registro
Que liga la
información de
una persona a
un juego de
llaves
Que liga una
persona a una
determinada
información
Emite una
cédula
Demostración
¿Cómo se ve un certificado digital?
(parte 2 de 3)
Necesito garantizar integridad.
Algoritmo
de Hash
Algoritmo
de Hash
Internet
Digesto o
resumen
Si
Digesto o
resumen
Implica que el
No ha sido alterado
Demostración
¿Qué es un “HASH”?
Necesito autenticidad del documento
(parte 3 de 3)
¿Qué envío?
Internet
HASH
¿Privacidad?
Digesto
Encripto
Integridad
Nombre: Felipe Cordero
Cédula: 4-908-485
Vigencia: 10/7/05 al 10/7/06
Serie: 030495AD
Emisor: Identiga CA
Llave privada
Llave pública
Llave pública (Felipe)
Llave privada (Felipe)
Demostración
• ¿Cómo se ve un documento
firmado digitalmente?
Elementos Técnicos
• Privacidad
• Autenticidad
• Integridad
¿Y el no repudio?
Resulta que es un elemento jurídico (…)
¿Y cómo garantizo el no-repudio?
ARTÍCULO 8.(Firma Digital)
Alcance del concepto
Entiéndase por firma digital cualquier
conjunto de datos
adjunto o lógicamente asociado a
un documento electrónico,
HASH
que permita verificar su integridad,
Juego de
Llaves
Proceso de
firma
(…) así como identificar en forma unívoca
y vincular jurídicamente al autor con el
documento electrónico.
Certificado Digital
¿Para que quiero “vincular jurídicamente”?
Por si surge un
conflicto y tengo
que acudir al
Este no pueda
(…) evitando que la validez de los
documentos electrónicos se supedite a su
reproducción a un medio físico.
¿Por qué es tan
importante regular a los
Certificadores?
La seguridad del sistema descansa (…)
Usuario
Seguridad de la
Llave privada
Pérdida de la llave...
Y emisión fraudulenta de
certificados
Tercero de
confianza
Rigurosidad del
proceso de registro de
suscriptores
Confianza en los Certificadores
• Cumplir con requerimientos tecnológicos y
de infraestructura
• Demostrar un alto nivel técnico
• Demostrar rigurosidad en el proceso de
registro de los suscriptores
• Estándares internacionales
• ISO, ITU, FIPS (USA), ETSI (Europa)
• ECA (Ente Costarricense de Acreditación)
¿Qué se necesita para operar un Certificador?
Políticas y
procedimientos de
seguridad
Procedimientos y
Políticas de operación
Manejo de
Tokens
Entrenamiento Sistemas de
Usuario Final
Resplado
Auditoria
Estructura
De Directorios
Proceso de
Registro
Manejo de
Llaves
Proceso de
renovación
Plan de
Implementación
Convención de
Nombres
CA Raíz
Autoridad de
Políticas
Entrenamientos Modelos de
Confianza
Personal
Pruebas del
sistema
Emisión de
Tarjetas
Proceso de
CAs Operacionales Validación
Pruebas de Operación
OIDs
Organización de
OCSP
soporte
Regulación
Legal
Firewalls
Pruebas e
Integración
Archivo
Aplicaciones
Diseño
Conceptual
Responsabilidad
Legal
Manejo de
Hardware
Operación planta
Física
Plan de Continuidad
Del Negocio
CP & CPS
Solo por mencionar
algunos..
Proceso de
Revocación
De otra forma:
Procesos y Procedimientos
Ciclos de vida
Jerarquía de Certificadores
Planeamiento Operativo
Planta Física
Tipos de Certificados
Contratos de Servicio
Personal especializado
Legal
Tecnología
Responsabilidad civil
Hardware especializado
Sistema de Gestión de Calidad
Auditorias periódicas
Para demostrar la idoneidad…
Certificador
Confianza
del usuario
en el
sistema
Llave pública
Llave privada
Proceso de
firma
Acceder a las presunciones legales
¿Cuáles presunciones legales?
ARTÍCULO 9.Valor equivalente
Los documentos y las comunicaciones suscritos mediante firma digital,
tendrán el mismo valor y la eficacia probatoria de su equivalente firmado en
manuscrito. En cualquier norma jurídica que se exija la presencia de una
firma, se reconocerá de igual manera tanto la digital como la manuscrita.
Los documentos públicos electrónicos deberán llevar la firma digital
certificada.
ARTÍCULO 10.- Presunción de autoría y responsabilidad
Todo documento, mensaje electrónico o archivo digital asociado a una
firma digital certificada se presumirá, salvo prueba en contrario, de la
autoría y responsabilidad del titular del correspondiente certificado
digital, vigente en el momento de su emisión.
Vinculación
jurídica
Porque si no…
• No podría acceder a la presunción de autoría
• Habría que determinar la validez en general
del sistema de firma
• Frente a un juez, podría decir que la firma es
“falsa” o no válida” cuando de la otra forma
podría exigir directamente el cumplimiento de la
obligación.
• No puedo utilizar documentos públicos ya que
estos requieren de certificados acreeditados…
Beneficios de esta
tecnología
Se plasma en las aplicaciones
•
•
•
•
Firma y encripción de documentos
Expediente judicial electrónico
Trámites en el Registro Nacional
Gobierno Digital en general (Permisos y
autorizaciones, impuestos)
• ¿Notariado Digital?
¿Qué falta?
Reglamento y acreditaciones
Desarrollo de aplicaciones
Propuestas para cambios específicos
en la legislación
(Ejemplo: Notariado Digital)
Repensar los procesos y
procedimientos
Resumen:
• La firma digital es solo un medio tecnológico que
habilita otros procesos.
• Es fundamental la calidad de los “Certificadores”
• La firma digital se expresa en aplicaciones
concretas.
• El “sistema” de firma digital permite rediseñar los
procesos del papel.
• Son necesarias reformas legales para cierto tipo
de trámites (Notariado)
Existe un nivel mínimo de
confianza en las instituciones
y las personas
Seguridad jurídica y técnica
…al momento de realizar todo
tipo de transacciones digitales.
¡Muchas gracias!
Luis Roberto Cordero
[email protected]
¿Por qué es necesaria la firma digital?
¿Por qué es necesaria una ley?
¿Por qué son necesarias las
Autoridades de Certificación?
¿Por qué se habla de documento
electrónico/digital?
¿Cómo me afecta?
¿Para qué me sirve?
Descargar

Firma Digital - Club de Investigación Tecnologica