ingetelecom.files.wordpress.com · Web viewLa firma digital es una herramienta tecnológica que...

FICHA DE IDENTIFICACIÓN DE TRABAJO DE INVESTIGACIÓN

Título: Firma Digital

Estudiantes: Callisaya Callisaya Iván Rodrigo Rojas La Fuente Ariel Nicolas Velasco Orosco Luis Fernando

Fecha: 13 de Octubre de 2018

Carrera: Ingeniería de SistemasAsignatura: Tecnología ComunicacionalGrupo: ADocente: Ing. Felix PintoPeriodo Académico: II/2018

Subsede: La Paz

Título: Firma Digital __________________________________________________________________________________________________________

Índice

1.1. Introducción...............................................................................................31.2. Desarrollo..................................................................................................41.3. Conclusiones..............................................................................................61.4. Bibliografia................................................................................................6

Asignatura: Tecnología Comunicacional Carrera: Ingeniería de Sistemas

2


Introducción

Este trabajo, tiene como tema o mejor dicho objeto de estudio a la firma digital, desarrollando las ventajas que ofrece la firma digital, los aspectos técnicos de la misma y explicando la necesidad del día a día.Con todo lo antedicho, no queda más que decir que, este es un trabajo que tan solo busca brindar, a aquellas personas que, como yo en un principio, no conocen nada acerca de la firma digital y todo lo que ella significa, una visión general de la misma para que puedan comprender que es lo que ella significa y lo provechoso de su uso.

El concepto de firma digital nació como una oferta tecnológica para acercar la operatoria social usual de la firma ológrafa (manuscrita) al marco de lo que se ha dado en llamar el ciberespacio o el trabajo en redes.Consiste en la transformación de un mensaje utilizando un sistema de cifrado asimétrico de manera que la persona que posee el mensaje original y la clave pública del firmante, pueda establecer de forma segura, que dicha transformación se efectuó utilizando la clave privada correspondiente a la pública del firmante, y si el mensaje es el original o fue alterado desde su concepción.

Desarrollo


3


¿Qué es la firma digital?

La firma digital es una herramienta tecnológica que permite garantizar la autoría e integridad de los documentos digitales, posibilitando que éstos gocen de una característica que únicamente era propia de los documentos en papel.Una firma digital es un conjunto de datos asociados a un mensaje digital que permite garantizar la identidad del firmante y la integridad del mensaje.

La firma digital no implica asegurar la confidencialidad del mensaje; un documento firmado digitalmente puede ser visualizado por otras personas, al igual que cuando se firma holográficamente.La firma digital es un instrumento con características técnicas y normativas. Esto significa que existen procedimientos técnicos que permiten la creación y verificación de firmas digitales, y existen documentos normativos que respaldan el valor legal que dichas firmas poseen.

¿Cómo funciona?

La firma digital funciona utilizando complejos procedimientos matemáticos que relacionan el documento firmado con información propia del firmante, y permiten que terceras partes puedan reconocer la identidad del firmante y asegurarse de que los contenidos no han sido modificados.

El firmante genera, mediante una función matemática, una huella digital del mensaje, la cual se cifra con la clave privada del firmante. El resultado es lo que se denomina firma digital, que se enviará adjunta al mensaje original. De esta manera el firmante adjuntará al documento una marca que es única para dicho documento y que sólo él es capaz de producir.

Para realizar la verificación del mensaje, en primer término el receptor generará la huella digital del mensaje recibido, luego descifrará la firma digital del mensaje utilizando la clave pública del firmante y obtendrá de esa forma la huella digital del mensaje original; si ambas huellas digitales coinciden, significa que no hubo alteración y que el firmante es quien dice serlo.

Principales diferencias entre firma digital y firma digitalizadaFirma Digital

La firma digital consiste en aplicar mecanismos criptográficos al contenido de un mensaje o documento con el objetivo de demostrar al receptor del mensaje que el emisor del mensaje es real (autenticación), que éste no puede negar que envió el mensaje (no repudio) y que el mensaje no ha sido alterado desde su emisión (integridad).


4


La firma digital es por tanto una parte fundamental de la firma electrónica avanzada y de la firma electrónica cualificada, pero no de la firma simple

La firma digital también es legal, pero per se no tiene naturaleza jurídica, en el sentido de que su objetivo NO es dar fe de un acto de voluntad por parte del firmante, sino tan sólo encriptar los datos de un documento para conferirle mayor seguridad.

Firma Digitalizada

La firma digitalizada es la conversión del trazo de una firma en una imagen. Para obtener tu propia firma digitalizada tienes que realizarla sobre un papel y escanearla. O bien realizarla mediante algún tipo de hardware, como pueden ser los pads de firma, que te permiten guardar la imagen de tu firma en el ordenador - en formato .jpg o .png - y utilizarla cada vez que la necesites.

La firma digitalizada se considera firma electrónica simple, con lo cual es legal. Pero no ofrecen ninguna garantía respecto a la identidad del firmante (que es una característica de las firmas simples).

Además, las firmas digitalizadas se pueden falsificar muy fácilmente. Con lo que resulta paradójico que este tipo de firmas sea de las más utilizadas por la mayoría de las personas para firmar, y dar su consentimiento, en muchos documentos y contratos.

En conclusión, la firma más importante dentro de la seguridad informática es la firma digital y no es sinónimo de la firma digitalizada ni electrónica. Estos últimos le ayudan a dar la forma.Concluimos que la firma digitalizada es una firma que podría ser escaneada de cualquier documento y por lo tanto no tiene ningún valor legal; mientras que la firma digital, al permitir establecer la identidad del autor, tiene valor legal.

Aplicaciones

La firma digital se puede aplicar en las siguientes situaciones: E-mail Contratos electrónicos Procesos de aplicaciones electrónicos Formas de procesamiento automatizado Transacciones realizadas desde financieras alejadas


5


Transferencia en sistemas electrónicos, por ejemplo si se quiere enviar un mensaje para transferir $100,000 de una cuenta a otra. Si el mensaje se quiere pasar sobre una red no protegida, es muy posible que algún adversario quiera alterar el mensaje tratando de cambiar los $100,000 por 1000,000,con esta información adicional no se podrá verificar la firma lo cual indicará que ha sido alterada y por lo tanto se denegará la transacción.

Actualidad de la Firma Digital en Europa

La Unión Europea, se ha volcado en un esfuerzo para potenciar una Europa moderna, de vanguardia. Y dentro de una Europa de vanguardia se entiende también, una Europa digital; pero para convertirse en esa Europa digital hacen falta garantías, porque el mundo tecnológico y todos sus avances requieren que a la par se realice una fuerte inversión en términos de seguridad y garantías. La Firma Digital es uno de los mecanismos que va en concordancia con dichas garantías; por esto, en 1999 se creó el marco legal que permitiría empezar a regular el desarrollo y utilización de sistemas de e-Signature en Europa. Entre 1999 y 2004 se llevaron a cabo otros avances significativos que se materializaron en un Marco Europeo de Estandarización. Este marco incluía la creación de la European Electronic Signature Standardisation Initiative, además de 30 pre-estándares que daban una idea clara de los requisitos que iban a ser exigidos a los sistemas de Firma Digital. A partir de esta fecha se subsiguieron una serie de directrices , normas y recomendaciones sobre temas como la protección de datos y la interoperatividad; pero había que hacer mucho más; por ello, en 2008 se crea el Plan de Acción sobre Firma Electrónica e Identificación Electrónica (e-signature & eID Action Plan 2009-2010) . Este Plan de Acción ha sido uno de los avances más significativos y con resultados más cuantificables transfronterizos que podamos encontrar sobre Firma Electrónica en Europa. El legado del plan han sido términos tan importantes como prácticas comunes de supervisión de mecanismos de Certificación Electrónica, Firma Electrónica e Identificación Electrónica, guías de usuario y de implementación de estos mecanismos, marcos de desarrollo de dispositivos para firma electrónica segura, guías de implementación de interoperatibilidad transfronteriza, esquemas de clasificación de firmas digitales, entre muchos otros avances. Finalmente, se crea el Mandato de Estandarización m460 (Standardisation mandate m460 to CEN and ETSI on electronic signatures) que entró en vigor en enero de 2001 y que tendrá una duración de 4 años en los que se buscará la actualización de las normas europeas actuales en cuanto a Firma Electrónica. Este mandato supone una fuerte inversión económica para buscar solución a problemas como la multiplicidad de normas que rigen las firmas electrónicas en Europa, problemas de incompatibilidad e interoperatibilidad en sistemas de Firma Electrónica, la falta de pautas de uso, entre otros problemas.


6


Otro logro importante de este tipo de legislaciones en Europa fue la exigencia a los países miembros de la elaboración de una lista de productos certificados y fiables de firma digital por país o Trusted List. Aunque no se ha determinado el número de DNIs electrócnicos(eIDs) en Europa, ni de firmas electrónicas cualificadas (qualified electronic signatures), se sabe que el incremento en el uso de servicios de trámites con las administraciones públicas (E-government) y el comercio electrónico (e-commerce) está siendo constante.

Avances y Penetración de la Firma Digital en Latinoamérica

La creciente demanda de transacciones comerciales a través de internet y dispositivos electrónicos ha promovido el surgimiento el uso de firma electrónica, que no requiere la presencia del usuario y que autentifica la validez del documento. Para esta solución, no sólo se dispone de infraestructura y software; también involucra la intervención de mecanismos de seguridad para el tratamiento de la información, así como la creación de la normativa legal que establezca los estándares de validez.

La digitalización de los documentos permite mantener copias de los mismos, pero el remitente necesita certificar ante el receptor el grado de validez que estos poseen.

Esta tecnología comenzó tomar importancia en la región en 1998, cuando cada nación estableció reformas para abrirle paso en sus legislaciones. Puerto Rico y Uruguay fueron los primeros países en determinar normativas respecto a este recurso. Le siguieron Bermuda y Colombia en 1999; Islas Caimán, Perú y México en 2000; Venezuela, Argentina, Panamá y Brasil en 2001; Chile y Ecuador en 2002; Belize en 2003; Costa Rica entre 2005 y 2006; Guatemala en 2008, y Trinidad y Tobago en 2009.

En tanto, Bolivia, a pesar de que aprobó una ley al respecto en el Congreso y con unanimidad en 2007, aún no se encuentran referencias en la Gacerta Oficial. Cuba, Paraguay, El Salvador y Saint Lucía no poseen legislación al respecto, ni han mostrado intenciones. De esta manera, 18 de los 23 países de la región tienen en cuenta este fenómeno.

Algoritmos necesarios para la generación de una firma digital (Aumenta)

Para poder realizar una firma digital se requiere clasificarla en función del modo en el que se construye dicha firma, para ello, podemos construir esquemas de firma digital basándonos en distintos tipos de técnicas:


7


Basándonos en la supuesta seguridad de dispositivos físicos.

Un dispositivo, como una tarjeta inteligente, se dice que es resistente a modificaciones (en inglés tamper resistant) si se cree que es difícil acceder a la clave secreta almacenada en él. Por tanto podemos usar una tarjeta inteligente con un algoritmo criptográfico para construir una firma digital de la siguiente forma:

El signatario tienen una tarjeta inteligente que puede sólo cifrar con una clave secreta K1, y cada verificador tiene una tarjeta inteligente que puede sólo descifrar con una clave secreta K2 de forma que lo cifrado por K1 sólo puede ser verificado por K2. K1 y K2 pueden ser iguales (clave simétrica) o distintas (claves asimétricas). En este tipo de mecanismo hay que abordar el problema de instalar y almacenar de forma segura las claves en las tarjetas inteligentes. Falsificar una firma es difícil si el dispositivo es resistente a modificaciones.

Basándonos en criptografía de clave simétrica.

Se han propuesto distintos protocolos de firma basados en la criptografía de clave secreta. Sin embargo, a partir de la aparición de la criptografía asimétrica están en recesión debido a su superioridad tanto conceptual como operacional en la mayoría de los contextos de uso.


8


La Firma de Lamport-Diffie es un esquema de firma digital propuesta por L. Lamport y W. Diffie. Este esquema fue propuesto en el año de 1979. Es uno de los primeros en ser estudiados dentro de los esquemas de firma digital. La firma, en principio, se aplica sobre mensajes sin efectuar ninguna modificación previa de los mismos.

Basándonos en criptografía de clave asimétrica.

Se han propuesto distintos protocolos de firma basados en la criptografía de clave asimétrica. Los más importantes son los siguientes:

DSA: (Digital Signature Algorithm, en español Algoritmo de Firma digital) es un estándar del Gobierno Federal de los Estados Unidos de América o FIPS para firmas digitales. Fue un Algoritmo propuesto por el Instituto Nacional de Normas y Tecnología de los Estados Unidos para su uso en su Estándar de Firma Digital(DSS), especificado en el FIPS 186. DSA se hizo público el 30 de agosto de 1991, este algoritmo como su nombre lo indica, sirve para firmar y no para cifrar información. Una desventaja de este algoritmo es que requiere mucho más tiempo de cómputo que RSA.

RSA: El algoritmo fue descrito en 1977 por Ron Rivest, Adi Shamir y Leonard Adleman, del Instituto Tecnológico de Massachusetts (MIT); las letras RSA son las iniciales de sus apellidos.

El algoritmo consta de tres pasos:

Generación de claves, cifrado y descifrado


9


Supongamos que Bob quiere enviar a Alicia un mensaje secreto que solo ella pueda leer. Alicia envía a Bob una caja con una cerradura abierta, de la que solo Alicia tiene la llave. Bob recibe la caja, escribe el mensaje, lo pone en la caja y la cierra con su cerradura (ahora Bob no puede leer el mensaje). Bob envía la caja a Alicia y ella la abre con su llave. En este ejemplo, la caja con la cerradura es la «clave pública» de Alicia, y la llave de la cerradura es su «clave privada»

Se cree que RSA será seguro mientras no se conozcan formas rápidas de descomponer un número grande en producto de primos. Aunque se cree que la computación cuántica podría proveer de una solución al problema de factorización, existen investigadores que dudan que dichos avances vayan a volver obsoletos estos algoritmos.

Normativa, Resolución Ministerial y/o Administrativa de ATT y de las entidades certificadoras.(Aumenta)

La firma digital, al cumplir una serie de requisitos necesarios, adquiere el mismo valor que una firma manuscrita. Pero estos requisitos así como otros detalles importantes se encuentran en algunos decretos y leyes que podría ser importante revisar.

LEY Nº 164


10


Artículo 1. (OBJETO). La presente Ley tiene por objeto establecer el régimen general de telecomunicaciones y tecnologías de información y comunicación, del servicio postal y el sistema de regulación, en procura del vivir bien garantizando el derecho humano individual y colectivo a la comunicación, con respeto a la pluralidad económica, social, jurídica, política y cultural de la totalidad de las bolivianas y los bolivianos, las naciones y pueblos indígena originario campesinos, y las comunidades interculturales y afrobolivianas del Estado Plurinacional de Bolivia.Que tiene como siguiente definición de la firma digital:“Es la firma electrónica que identifica únicamente a su titular, creada por métodos que se encuentren bajo el absoluto y exclusivo control de su titular, susceptible de verificación y está vinculada a los datos del documento digital de modo tal que cualquier modificación de los mismos ponga en evidencia su alteración.”

CAPÍTULO TERCERO DOCUMENTOS Y FIRMAS DIGITALES

Artículo 78. (VALIDEZ JURÍDICA). Tienen validez jurídica y probatoria: I. El acto o negocio jurídico realizado por persona natural o jurídica en documento digital y aprobado por las partes a través de firma digital, celebrado por medio electrónico u otro de mayor avance tecnológicoArtículo 79. (EXCLUSIONES). Se exceptúan los siguientes actos y hechos jurídicos de su celebración por medios electrónicos:

1) Los actos propios del derecho de familia. 2) Los actos en que la Ley requiera la concurrencia personal física de alguna de

las partes. 3) Los actos o negocios jurídicos señalados en la Ley que, para su validez o

producción de determinados efectos, requieran de documento físico o por acuerdo expreso de partes.

Artículo 80. (CERTIFICADOS EMITIDOS POR ENTIDADES EXTRANJERAS). Los certificados digitales emitidos por entidades certificadoras extranjeras tienen la misma validez y eficacia jurídica reconocida en la presente Ley, siempre y cuando tales certificados sean reconocidos por una entidad certificadora autorizada nacional


11


que garantice, en la misma forma que lo hace con sus propios certificados, el cumplimiento de los requisitos, el procedimiento, así como la validez y vigencia del certificado.Artículo 81. (AUTORIDAD Y ATRIBUCIONES). La Autoridad de Regulación y Fiscalización de Telecomunicaciones y Transportes es la encargada de autorizar, regular, fiscalizar, supervisar y controlar a las entidades certificadoras de acuerdo a lo establecido en la presente Ley y su reglamentación. Artículo 82. (ENTIDAD CERTIFICADORA). Pueden constituirse y operar como entidades certificadoras, las personas jurídicas de derecho público o privado en la prestación de servicios de certificación digital, las que deben cumplir con los requisitos técnicos, económicos y legales establecidos en la presente Ley y su reglamento. Artículo 83. (CERTIFICADOS DIGITALES PARA EL SECTOR PÚBLICO). La Agencia para el Desarrollo de la Sociedad de la Información en Bolivia – ADSIB, prestará el servicio de certificación para el sector público y la población en general a nivel nacional, conforme a las normas contenidas en la presente Ley, y velará por la autenticidad, integridad y no repudio entre las partes. Artículo 84. (REGLAMENTACIÓN). El reglamento referido a firmas y certificados digitales comprenderá:1. Los requisitos, funciones, procedimientos, convenio de partes, obligaciones, cese de la entidad certificadora autorizada, responsabilidad de las entidades certificadoras autorizadas ante terceros, sanciones, resolución de controversias y otros. 2. La publicidad, seguridad e integridad en el uso de la firma digital. 3. Las definiciones, principios y procedimientos relativos al tratamiento de los datos personales.

DECRETO SUPREMO N° 1793

REGLAMENTO PARA EL DESARROLLO DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN


12


ARTÍCULO 1.- (OBJETO). Reglamentar el acceso, uso y desarrollo de las Tecnologías de Información y Comunicación – TIC, en el marco del Título IV de la Ley N° 164, de 8 de agosto de 2011, General de Telecomunicaciones, Tecnologías de Información y Comunicación.Respecto a firmas y certificados digitales.

1) Autenticación: Proceso técnico de verificación por el cual se garantiza la identidad del firmante en un mensaje electrónico de datos o documento digital, que contengan firma digital;

2) Clave privada: Conjunto de caracteres alfanuméricos generados mediante un sistema de cifrado que contiene datos únicos que el signatario emplea en la generación de una firma electrónica o digital sobre un mensaje electrónico de datos o documento digital;

3) Clave pública: Conjunto de caracteres de conocimiento público, generados mediante el mismo sistema de cifrado de la clave privada; contiene datos únicos que permiten verificar la firma digital del signatario en el Certificado Digital;

4) Firma electrónica: Es el conjunto de datos electrónicos integrados, ligados o asociados de manera lógica a otros datos electrónicos, utilizado por el signatario como su medio de identificación, que carece de alguno de los requisitos legales para ser considerada firma digital;

5) Infraestructura nacional de certificación digital: Es el conjunto de normas, estándares tecnológicos, procedimientos, equipos, redes, bases de datos y programas informáticos y dispositivos de cifrado, preparados para la generación, almacenamiento y publicación del estado, la vigencia y validez de los certificados digitales reconocidos por las entidades certificadoras;

6) Mensaje electrónico de datos: Es toda información de texto, imagen, voz, video y datos codificados digitalmente, creada, generada, procesada, enviada, recibida, comunicada o archivada por medios electrónicos, que pueden ser intercambiados por cualquier sistema de comunicación electrónico;

7) Signatario: Es el titular de una firma digital que utiliza la misma bajo su exclusivo control y el respaldo de un certificado digital proporcionado por entidades certificadoras autorizadas.

ARTÍCULO 4.- (PRINCIPIOS). I. Documentos digitales: Los documentos y mensajes electrónicos ambos con firma digital se regirán por los siguientes principios:

1) Autenticidad: La información del documento digital y su firma digital si corresponden con la persona que ha firmado. Esta es una característica intrínseca de la firma digital, en donde el autor del mensaje queda acreditado, puesto que permite verificar la identidad del emisor de un documento digital;


13


2) Integridad: Característica única del mensaje electrónico de datos o documento digital ambos con firma digital, que indica que los mismos no han sido alterados en el proceso de transmisión desde su creación por parte del emisor hasta la recepción por el destinatario;

3) No repudio: Es la garantía de que un mensaje electrónico de datos o un documento digital ambos firmados digitalmente, no puedan ser negados en su autoría y contenido.

TÍTULO IV CERTIFICADO Y FIRMA DIGITAL Y ENTIDADES CERTIFICADORAS CAPÍTULO I CERTIFICADO Y FIRMA DIGITAL ARTÍCULO 24.- (CERTIFICADO DIGITAL). Los certificados digitales deben ser emitidos por una entidad certificadora autorizada, responder a formatos y estándares reconocidos internacionalmente y fijados por la ATT, contener como mínimo los datos que permitan identificar a su titular, a la entidad certificadora que lo emitió, su periodo de vigencia y contemplar la información necesaria para la verificación de la firma digital. ARTÍCULO 25.- (TIPOS DE CERTIFICADOS). La ATT, establecerá mediante Resolución Administrativa los tipos de certificados digitales que podrán emitir las entidades certificadoras autorizadas, de acuerdo a su uso y conforme a estándares y recomendaciones internacionales aplicables que promuevan la interoperabilidad con otros sistemas. ARTÍCULO 26.- (FUNCIÓN DEL CERTIFICADO DIGITAL). El certificado digital cumple las siguientes funciones: a. Acredita la identidad del titular de la firma digital; b. Legitima la autoría de la firma digital que certifica; c. Vincula un documento digital o mensaje electrónico de datos, con la firma digital y la persona; d. Garantiza la integridad del documento digital o mensaje electrónico con firma digital. ARTÍCULO 27.- (CARACTERÍSTICAS DEL CERTIFICADO DIGITAL). I. Los certificados digitales, deben contener mínimamente las siguientes características:

1) La emisión debe ser realizada por una entidad de certificación autorizada; 2) Contener el número único de serie que identifica el certificado; 3) Responder a formatos estándares reconocidos internacionalmente; 4) Periodo de validez; 5) Ser susceptibles de verificación respecto de su estado de revocación; 6) Acreditar, en los supuestos de representación, las facultades del signatario

para actuar en nombre de la persona física o jurídica a la que represente; 7) Contemplar la información necesaria para la verificación de la firma; 8) Identificar la política de certificación bajo la cual fue emitido; 9) Contemplar los límites de uso del certificado, si se prevén; 10)Validar la correspondencia jurídica entre el certificado digital, la firma digital y

la persona; 11)Identificar inequívocamente a su titular y al certificador autorizado que lo

emitió.


14


II. La ATT, mediante Resolución Administrativa establecerá el formato y estructura de los certificados digitales tanto para personas naturales como para personas jurídicas. ARTÍCULO 28.- (OBTENCIÓN DEL CERTIFICADO DIGITAL). I. Para la obtención del certificado digital, las entidades certificadoras deberán suscribir convenio de partes o contratos de prestación de servicios con los usuarios, de acuerdo con los términos y condiciones de esta prestación, previamente aprobados por la ATT. II. Los requisitos mínimos para la obtención del Certificado Digital serán establecidos por la ATT mediante Resolución Administrativa, de acuerdo al tipo de Certificado. ARTÍCULO 29.- (VIGENCIA DE LOS CERTIFICADOS PARA CARGOS PÚBLICOS). La vigencia de los certificados de firma digital emitidos con relación al ejercicio de cargos públicos no será superior a los dos (2) años y no deberá exceder el tiempo de duración de dicho cargo público a menos que exista prórrogas de funciones en las instituciones, debiendo todo cambio en el cargo, ser comunicado a la entidad certificadora pública inmediatamente. ARTÍCULO 30.- (SUSPENSIÓN DE LA VIGENCIA). I. La vigencia de un certificado digital será suspendida por la entidad certificadora, cuando se verifique alguna de las siguientes circunstancias:

1) A solicitud del titular del certificado, debidamente comunicada a la entidad certificadora;

2) Decisión de la entidad certificadora en virtud de razones técnicas, previa comunicación a los signatarios;

3) Por orden o decisión judicial debidamente fundamentada que determine la suspensión provisional de la vigencia del certificado digital.

II. En mérito a la suspensión de la vigencia, cesan de forma temporal los efectos jurídicos del certificado digital conforme a los usos que le son propios e impide el uso legítimo del mismo por parte del titular. III. La suspensión de la vigencia del certificado digital será levantada por cualquiera de las siguientes causas:

1) A requerimiento del titular del certificado digital, cuando la suspensión haya sido solicitada por éste;

2) Cesación de las causas técnicas que motivaron la suspensión a criterio de la entidad certificadora;

3) Por orden o decisión judicial debidamente fundamentada que determine el cese de la suspensión de la vigencia del certificado digital.

IV. En las situaciones descritas en el Parágrafo anterior, la entidad certificadora tiene la obligación de habilitar de inmediato el certificado digital de que se trate. V. La suspensión de un certificado digital, no producirá, por si sola, la invalidez jurídica de los actos que al amparo de dicho certificado se hayan realizado con anterioridad.

RAR ATT-DJ-RA TL LP 32/2015


15


Artículo 15 (Vigencia y requisitos mínimos para personas naturales).- Un certificado digital para personas naturales tendrá una vigencia máxima de

1 año Fotocopia simple de carnet de identidad o carnet de extranjero del solicitante Fotocopia de la última factura de pago de luz, agua o teléfono que permita

verificar la dirección actual del solicitante, La documentación debe ser validada por la Entidad de Certificación / Agencia

de Registro con la presentación de la documentación original por parte del solicitante

Dispositivo que permita firmar un documento al signatario, donde sean almacenados y custodiados el certificado digital y su clave privada (Token o tarjetas inteligentes -smart cards-) que cumpla con el estándar FIPS 140-2. (inciso g art. 33 del D.S. 1793).

Artículo 16 (Vigencia y requisitos mínimos para personas Jurídicas).- Un certificado digital para persona jurídica tendrá una vigencia máxima de 2

años Fotocopia simple del Certificado de Inscripción al Padrón Nacional de

Contribuyentes Biométrico Digital (PBD-11) y/o Documento de Exhibición del NIT (Número de Identificación Tributaria) del solicitante,

Fotocopia simple de carnet de identidad o carnet de extranjero del representante legal de la empresa u organización solicitante,


16


Fotocopia del nombramiento o certificado laboral del solicitante firmado por el Representante Legal de la empresa u organización solicitante,

Autorización original de la persona jurídica solicitante firmada por el Representante Legal,

La documentación debe ser validada por la Entidad de Certificación / Agencia de Registro con la presentación de la documentación original por parte del solicitante

En función al tipo de información que utiliza una organización las claves pública y privada podrán ser emitidas de acuerdo a los criterios de seguridad del Anexo 11 y de acuerdo a las siguiente recomendaciones:

1) Dispositivo que permita firmar un documento al signatario, donde sean almacenados y custodiados el certificado digital y su clave privada (Token o tarjetas inteligentes -smart cards-) que cumpla con el estándar FIPS 140-2. (inciso g art. 33 del D.S. 1793)

2) Software donde sea almacenado el certificado digital que permita firmar uno o varios documentos y que cumpla con sistemas de seguridad reconocidos internacionalmente, garantizando la confiabilidad del mismo. (inciso g art. 33 del D.S. 1793).

Artículo 17 (Vigencia y requisitos mínimos para Cargos Públicos).- Un certificado digital para cargos públicos tendrá una vigencia máxima de 2

años Fotocopia simple de carnet de identidad o carnet de extranjero, Fotocopia del memorándum de designación firmado por el Representante de

la Entidad, Autorización del servidor público firmada por el Representante de la Entidad,

La documentación debe ser validada por la Entidad de Certificación / Agencia de Registro con la presentación de la documentación original por parte del solicitante

Dispositivo que permita firmar un documento al signatario, donde sean almacenados y custodiados el certificado digital y su clave privada (Token o tarjetas inteligentes -smart cards-) que cumpla con el estándar FIPS 140-2. (inciso g art. 33 del D.S. 1793).


17


Procedimientos que debemos seguir para realizar una firma digital

¿Qué es un Certificado Digital?

La Agencia para el Desarrollo de la Sociedad de la Información en Bolivia (ADSIB), de acuerdo a la Ley N°164 General de Telecomunicaciones, Tecnologías de la Información y Comunicación, es la Entidad Certificadora Pública encargada de prestar el servicio de certificación digital para el sector público y la población en general de Bolivia.

A nivel conceptual, la Firma Digital es un conjunto de datos electrónicos integrados, ligados o asociados de manera lógica a un documento digital, o un correo electrónico, que certifica la identidad del signatario y la integridad del documento digital firmado. La firma digital esta compuesta por el hash del documento digital cifrado por la clave privada del signatario, y por el certificado digital del signatario.

Un certificado digital emitido por ADSIB le permite al signatario o usuario realizar firmas digitales avanzadas y autenticar su identidad con la validez legal, vincula un documento digital o mensaje electrónico de datos y garantiza la integridad del documento digital o mensaje electrónico con firma digital. La certificación que emite ADSIB, contempla tres destinatarios: cargos públicos, personas jurídicas y personas naturales.

En el marco de la normativa vigente, se establece los siguientes usos para un certificado digital:

1. El acto o negocio jurídico realizado por persona natural o jurídica en documento digital y aprobado por las partes a través de firma digital, celebrado por medio electrónico u otro de mayor avance tecnológico.

2. EL mensaje electrónico de datos.3. La firma digital.

Requisitos para obtener un Certificado Digital

Para personas naturales:

Fotocopia simple de carnet de identidad o carnet de extranjero. Fotocopia de la última factura de pago de luz, agua o teléfono que permita

verificar su dirección actual. Dispositivo que permita firmar un documento, donde sea almacenado el

certificado digital y custodiado (Token o tarjetas inteligentes -smart cards-) que cumpla con el estándar FIPS140-2.


18


Para personas jurídicas:

Fotocopia simple de carnet de identidad o carnet de extranjero. Autorización original de la persona jurídica firmada por el Representante

Legal. En función al tipo de información que utiliza una organización las claves

pública y privada podrán ser emitidas a: Dispositivo que permita firmar un documento, donde sea almacenado el

certificado digital y custodiado (Token o tarjetas inteligentes -smart cards-) que cumpla con el estándar FIPS 140-2.

Software donde sea almacenado el certificado digital que permita firmar uno o varios documentos y que cumpla con sistemas de seguridad reconocidos internacionalmente, garantizando la confiabilidad del mismo a sus usuarios o signatarios.

Fotocopia simple del certificado de inscripción al padrón nacional de contribuyentes biométrico digital (PBD-11) y/o documento de Exhibición del NIT (Número de identificación tributaria).

Solicitud del Certificado

Las personas que deseen obtener un certificado digital deberán:

a. Crear una cuenta de usuario en el sistema de la página web: www.firmadigital.bo.

b. Solicitar mediante su cuenta de usuario el tipo firma digital y completar el formulario de solicitud.

c. Aproximarse a las oficinas de la ADSIB, junto con los requisitos que se le especificarán una vez realizada su solicitud.

d. Realizar el pago correspondiente.e. Ingresar el número de depósito o subir una imagen del comprobante bancario

en su cuenta de usuario.f. Es responsabilidad del usuario proteger la contraseña de su cuenta de

usuario.

Procedimiento de verificación de pago y facturación

La ADSIB establece los siguientes procedimientos para el pago y facturación por el servicio de la certificación digital.

Depósito:

El usuario realiza el pago correspondiente al registro o renovación del certificado digital. El mismo se realizará bajo los procedimientos, formas y/o en


19


las instituciones bancarias y cuentas autorizadas por el Administrador, los que serán publicados en el sitio web de la ECP.

Tarifas: La estructura tarifaria de las firmas digitales será publicada en el sitio web de la ECP.

Nota de débito:

Para el pago correspondiente al registro o renovación de un certificado digital el usuario deberá reservar y generar de forma obligatoria una “nota de débito” en el sitio web de la ECP mediante su cuenta de usuario. Registro en entidad financiera: Al momento del pago, el usuario deberá presentar la “nota de débito” en la entidad financiera y solicitar la incorporación del número de la misma en la boleta de depósito, indicando la cuenta autorizada para el pago, el monto y el nombre del titular.

Registro en el sistema:

Una vez realizado el pago, el usuario deberá ingresar a su cuenta de usuario en el sitio web de la ECP y adjuntar el comprobante de depósito y/o registrar el número del mismo en el sistema, según corresponda. Vigencia: Cada pago por la emisión de un certificado digital podrá realizarse para un periodo de 1 (un) año.

Verificación:

El Técnico en Facturación realiza la verificación y confirma el pago en la cuenta del usuario. La transacción por el registro o renovación de la firma digital culmina una vez que se ha verificado y confirmado el pago en la cuenta de usuario del sitio web de la ECP.

Emisión de Factura:

El Técnico en Facturación emite la factura correspondiente una vez concluido este proceso. La factura electrónica generada será enviada a la dirección de correo electrónico, nombre y número de identificación tributaria registrados en la cuenta de usuario para este propósito. La factura estará, igualmente, disponible en la cuenta de usuario del sitio web de la ECP. El titular podrá también recabar la misma en oficinas de la ECP.

Procedimiento de entrega

La ADSIB, una vez validada la identidad del signatario y verificado el pago correspondiente, aprobará la firma del certificado correspondiente.

La ADSIB cuenta con procedimientos internos para la ceremonia de la Firma Digital.

Una vez verificados la identidad y el pago correspondiente la ADSIB tendrá un plazo máximo de 72 horas para poner a disposición del usuario su certificado firmado en su


20


cuenta de usuario, salvo caso fortuito, fuerza mayor o decisión técnicamente justificada, casos en que la entidad deberá informar las razones del retraso al usuario

Un día después de que se haya realizado la generación del certificado digital en la ceremonia de la firma digital se procederá de la siguiente manera:

1. Certificado digital: La Unidad de Administración de Sistemas y Soporte Técnico entrega el Certificado impreso del usuario a la Encargada de Gabinete

2. Registro del Certificado digital: La Encargada de Gabinete escanea el certificado del usuario y sube este documento al sistema en la cuenta de usuario del usuario.

3. Notificación: El sistema genera un correo electrónico notificando al usuario que puede acceder al sistema mediante su cuenta de usuario para acceder a su certificado digital.

Ejemplo de realización de una firma digital

Paso 1. El emisor firma y envía su mensaje firmado.

1. El emisor (Juan) crea un mensaje nuevo sin cifrar.2. El emisor obtiene un resumen del mensaje aplicando un función Hash (Message digest)3. El emisor cifra el resumen del mensaje mediante su clave privada.4. Lo obtenido es la firma digital de Juan


21


1. El emisor (Juan) envía al receptor (Pepe) su correo electrónico firmado.Este correo contiene lo siguiente El contenido del mensaje en texto plano sin cifrar La firma digital del mensaje, la cual contiene a su vez:

El resumen cifrado mediante la clave privada de Juan El certificado digital de Juan que contiene sus datos personales y su clave

pública, lo cuales están cifrados por la entidad proveedora del certificado.

Paso 2. El emisor firma y envía su mensaje firmado y cifrado.

1. El emisor (Juan) envía al receptor (Pepe) su correo electrónico firmado y cifrado.En este caso el emisor (Juan) además de firmar, cifra el mensaje para que el contenido del mismo solo pueda ser abierto y leido por el destintario (Pepe)Para cifrar el mensaje, Juan utiliza la clave pública de Pepe, que con anterioridad ha obtenido porque se la ha enviado Pepe con su firma digital.Este correo contiene lo siguiente:o El contenido del mensaje cifrado con la clave pública de Pepeo La firma digital del mensaje, la cual contiene a su vez:

3.

El resumen cifrado mediante la clave privada de Juan El certificado digital de Juan que contiene sus datos personales y su clave pública,

lo cuales están cifrados por la entidad proveedora del certificado.


22


Paso 3. El receptor verifica la firma digital del mensaje

1. El receptor (Pepe) recibe el correo electrónico firmado digitalmente por Juan.2. El siguiente paso es descifrar el certificado digital de Juan mediante la clave

pública de la entidad certificadora.Esta clave pública normalmente se encuentra en el almacén de certificados del equipo del cliente de correo.

3. Una vez descifrado el certificado, Pepe puede acceder a la clave pública de Juan y a los datos de identificación de Juan que contiene el certificado.

4. Pepe utiliza la clave pública de Juan para descifrar el Resumen del mensaje cifrado creado por Juan.

5. Si el contenido del mensaje recibido ha sido cifrado por Juan, Pepe debe utilizar su clave privada para descifrar el contenido del mensaje.


23


6. El receptor (Pepe) obtiene su propio resumen del mensaje usando la misma función Hash que uso el emisor (Juan) sobre el contenido del mensaje sin cifrar.

7. Pepe compara el resumen recibido de Juan con el resumen suyo, y si ambos son iguales significa los siguiente:o El mensaje ha llegado sin sufrir ninguna alteración desde que fue enviado por Juan.o El resumen descifrado por Pepe con la clave pública de Juan ha sido

necesariamente cifrado por Juan con su clave privada, por lo que podemos estar seguros que el mensaje proviene inequivocamente de Juan.

8. Si la comparación del resumen no coincide, quiere decir que el mensaje ha sido alterado por terceros durante la transmisión, o que el mensaje ha sido firmado por otra persona.


24


Conclusiones

No es lo mismo firmar un documento en papel con bolígrafo, escanearlo y enviarlo por correo que recurrir a una plataforma especializada de creación de firmas electrónicas.

Las firmas electrónicas ofrecen seguridad y respaldo legal. En el caso de las firmas electrónicas avanzadas y cualificadas, además de identificar al firmante de forma única, garantizan la integridad de la información contenida en el mensaje o documento.

Cada vez más empresas son conscientes de la importancia de cuidar la seguridad y conferir garantías legales a todos los documentos que firman, tanto sus clientes como sus proveedores o empleados.


25


Bibliografía

http://www.escribanodigital.com/es/info/actualidad-de-la-firma-digital-en-

europa

https://seguinfo.wordpress.com/2007/07/05/%C2%BFque-es-la-firma-digital-2/

https://tecnologia-informatica.com/firma-digital-conceptos/

http://www.firma-digital.cr/como%20funciona/

https://tecno.americaeconomia.com/articulos/firma-digital-sus-avances-y-

penetracion-en-latinoamerica

https://www.firmadigital.bo/ayuda.html


26

https://www.firmadigital.bo/ayuda.html

https://tecno.americaeconomia.com/articulos/firma-digital-sus-avances-y-penetracion-en-latinoamerica

https://tecno.americaeconomia.com/articulos/firma-digital-sus-avances-y-penetracion-en-latinoamerica

http://www.firma-digital.cr/como%20funciona/

https://tecnologia-informatica.com/firma-digital-conceptos/

https://seguinfo.wordpress.com/2007/07/05/%C2%BFque-es-la-firma-digital-2/

http://www.escribanodigital.com/es/info/actualidad-de-la-firma-digital-en-europa

http://www.escribanodigital.com/es/info/actualidad-de-la-firma-digital-en-europa

ingetelecom.files.wordpress.com · Web viewLa firma digital es una herramienta tecnológica que...

Documents

Transcript of ingetelecom.files.wordpress.com · Web viewLa firma digital es una herramienta tecnológica que...