ASIGNATURA: DERECHO DE LAS TECNOLOGÍAS DE...
24
© Dr. Carlos Galán. UC3M. ASIGNATURA: DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN LECCIÓN 5 Firma Electrónica Prof. Dr. Carlos Galán Área de Derecho Administrativo Universidad Carlos III de Madrid Esta obra está bajo una licencia de Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 España.
Transcript of ASIGNATURA: DERECHO DE LAS TECNOLOGÍAS DE...
© Dr. Carlo
s Galán. U
C3M.
ASIGNATURA: DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN
LECCIÓN 5 Firma Electrónica
Prof. Dr. Carlos GalánÁrea de Derecho AdministrativoUniversidad Carlos III de Madrid
Esta obra está bajo una licencia de Creative Commons Reconocimiento-NoComercial-CompartirIgual3.0 España.
© Dr. Carlo
s Galán. U
C3M.
Contenido:
1. Las relaciones documentales.1.1 La relación tradicional.1.2 La relación electrónica.
2. ¿Qué es la firma electrónica?2.1 Reconocimiento jurídico de la firma electrónica.2.2 ¿Cómo puede usarse la firma electrónica?
3. Fundamentos tecnológicos.3.1 La firma digital.3.2 La confianza.3.3 Los Prestadores de Servicios de Certificación.3.4 Los certificados digitales.3.5 Clases de certificados.
4. Eficacia jurídica de la firma electrónica.4.1 Los certificados reconocidos.4.2 Titulares de los certificados.4.3 Los certificados de atributos.4.4 La validación de los certificados.
5. La firma electrónica en la Administración Electrónica.6. Ejercicios de Autoevaluación.
© Dr. Carlo
s Galán. U
C3M.
1. LAS RELACIONES DOCUMENTALES
ciudadanos Empresas
AdministracionesPúblicas empleados
Relaciones DocumentalesRelaciones Documentales
© Dr. Carlo
s Galán. U
C3M.
1.1 La relación tradicional
ciudadanos Empresas
AdministracionesPúblicas empleados
- En papel.- Escritos a mano / máquina de escribir.- Firmados (y sellados) manualmente.- Consulta lenta e ineficiente.- Almacenamiento costoso y poco eficaz.
© Dr. Carlo
s Galán. U
C3M.
ciudadanos Empresas
AdministracionesPúblicas empleados
- En papel.- Escritos a mano / máquina de escribir.- Firmados (y sellados) manualmente.- Consulta lenta e ineficiente.- Almacenamiento costoso y poco eficaz.
Autenticidad
1.1 La relación tradicional
© Dr. Carlo
s Galán. U
C3M.
1.2 La relación electrónica
ciudadanos Empresas
AdministracionesPúblicas empleados
- Documentos electrónicos.- Firmados electrónicamente.- Consulta rápida y eficiente.- Almacenamiento barato y eficaz.
© Dr. Carlo
s Galán. U
C3M.
ciudadanos Empresas
AdministracionesPúblicas empleados
- Documentos electrónicos.- Firmados electrónicamente.- Consulta rápida y eficiente.- Almacenamiento barato y eficaz.
- Autenticidad.- Integridad.- No-repudio.
1.2 La relación electrónica
© Dr. Carlo
s Galán. U
C3M.
2. ¿QUÉ ES LA FIRMA ELECTRÓNICA?
La Firma Electrónica es el resultado de un procedimientoreconocido legalmente y sustentado en equipamientos informáticos,que permite:
1. Firmar documentos electrónicos (correos electrónicos, textos,facturas, documentos, formularios, gráficos, imágenes, etc.) yentregarlos firmados a su(s) destinatario(s), garantizando:
• La autenticación del firmante del documento.• La integridad (no alteración) del documento.• La confidencialidad del mismo.• El no-repudio de la transacción efectuada.
2. Incorporar mecanismos de seguridad fuerte a los sistemas deinformación de las organizaciones.
© Dr. Carlo
s Galán. U
C3M.
2.1 Reconocimiento jurídico de la Firma Electrónica
La Firma Electrónica es un mecanismo reconocido legalmente...
• En el mundo.
• En Europa:• Directiva 1999/93/CE para la firma electrónica.
• En España:• Ley 59/2003, de firma electrónica.• Múltiples regulaciones concretando su utilización
en el sector público (AGE, CC.AA., EE.LL.)
© Dr. Carlo
s Galán. U
C3M.
2.2 ¿Cómo puede usarse la Firma Electrónica?
Las características técnicas de la Firma Electrónica hacen quepueda aplicarse a cualquier documento electrónico bien desde undispositivo fijo (ordenador de sobremesa, por ejemplo), hastaun dispositivo móvil (ordenador portátil, PDA o, incluso, desdeun teléfono móvil).
Esta característica es especialmente útilporque permite generar documentosfirmados electrónicamentecon una triple ventaja:
• Legalidad.• Ubicuidad.• Seguridad.
© Dr. Carlo
s Galán. U
C3M.
CRIPTOGRAFÍA DE CLAVE PÚBLICA: CRIPTOGRAFÍA ASIMÉTRICA
. Utiliza un par de claves: una pública y otra privada.
. Un mensaje que sea cifrado con la clave pública sólo podrá ser descifrado utilizando la clave privada, y viceversa.
. Whitfield Diffie y Martin Hellman (1975).
. Algoritmos entre 100 y 1000 veces más lentos que criptografía simétrica.
. Algortimo RSA (Rivest, Shamir, Adelman):. 512 – 2048 bits de longitud de clave.. Procedimiento usado: factorización de grandes números.
. Algoritmo DSA.. Procedimiento usado: logaritmos
discretos.
3. FUNDAMENTOS TECNOLÓGICOS
© Dr. Carlo
s Galán. U
C3M.
mensajede María
algoritmo unidireccional
resumendel mensaje
cifrado
firma
claveprivada
de María
mensajede María
firma
+
mensajede María
algoritmo unidireccional
resumendel mensaje
firma
firmadescifrada
descifrado
clavepúblicade María
COMPARAR
3.1 La firma digital
?
+
© Dr. Carlo
s Galán. U
C3M.
• Un usuario puede generar un par de claves (pública y privada) y exhibir su clave pública a todo el mundo.
• Sin embargo, nosotros necesitamos saber si tal clave pública pertenece a la persona correcta o si se trata de un impostor.
• La Infraestructura de Clave Pública (PKI) descansa en la existencia de una Tercera Parte de Confianza (TTP) que firma la clave pública del usuario una vez que ha comprobado fehacientemente su identidad.
• A esta TTP se la llama Autoridad de Certificación.(ITU-T X.509 + ISO/IEC 9594-8)
3.2 La confianza
© Dr. Carlo
s Galán. U
C3M.
Así pues
La clave pública del usuariofirmada electrónicamente por una
Autoridad de Certificaciónes lo que se llama
Certificado Digital
Tales certificados pueden ser almacenados en directorios,para posibilitar su consulta por múltiples usuarios.
3.2 La confianza
© Dr. Carlo
s Galán. U
C3M.
3.3 Los Prestadores de Servicios de Certificación
15
© Dr. Carlo
s Galán. U
C3M.
3.4 Loscertificados digitales
© Dr. Carlo
s Galán. U
C3M.
• Cada tipo de certificado posee su propia utilidad.
- Clase 0: Sin identificación.- Clase 1: Con Registro.- Clase 2: Administración Pública.- Clase 3: Fedatario Público.- Clase 4: Militar.- Clase WEB: Certificado de Servidor Seguro.- De componente.- …
3.5 Clases de certificados
© Dr. Carlo
s Galán. U
C3M.
Artículo 3. Firma electrónica, y documentos firmados electrónicamente.
1. La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.2. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.3. Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.4. La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel.
4. EFICACIA JURÍDICA DE LA FIRMA ELECTRÓNICA
© Dr. Carlo
s Galán. U
C3M.
•Incluirán, al menos, los siguientes datos:•La indicación de que se expiden como tales.•El código identificativo único del certificado.•La identificación del PSC que expide el certificado y su domicilio.•La firma electrónica avanzada del PSC que expide el certificado.•La identidad del firmante.•Los datos de verificación de firma.•El periodo de validez del certificado.•Los límites de uso, si se establecen.•Cada tipo de certificado posee su propia utilidad.
• Los PSC deberán:•Comprobar la identidad y demás circunstancias…•Verificar que la información del certificado es exacta.•Asegurarse de que el firmante está en posesión de los datos de creación de firma…
• Certificado Reconocido registro fuerte + autenticación 2 factores.
4.1 Los certificados reconocidos
© Dr. Carlo
s Galán. U
C3M.
• Directiva 1999/93/CE:
• Los firmantes sólo pueden ser personas físicas, actuando en nombre propio o en representación de una entidad.
• Ley 59/2003, de firma electrónica:
•Personas físicas, actuando:•En nombre propio,•En representación de una organización.
•Personas jurídicas.
•Entidades sin personalidad.
4.2 Titulares de los certificados
© Dr. Carlo
s Galán. U
C3M.
• Gestión de la persona = identidad + capacidad (potestad)
• Los Certificados de Atributos permiten identificar una cualidad, estado o situación del titular del certificado (abogado, apoderado, director de compras, etc.)
• En buena lógica asociados al certificado de mera identificación.
• Artículo 11.3 de la Ley 59/2003, de firma electrónica:
“Los certificados reconocidos podrán asimismo contener cualquier otra circunstancia o atributo específico del firmante en caso de que sea significativo en función del fin propio del certificado y siempre que aquel lo solicite”.
4.3 Los certificados de atributos
© Dr. Carlo
s Galán. U
C3M.
4.4 La validación de los certificados
• Es necesario comprobar que los certificados digitales usados en la firma electrónica:
• Son adecuados datos del certificado + DPC.• Están vigentes No están caducados.• Son válidos No han sido revocados.
CRLCertificate Revocation List
- Es una lista de todos los certificados revocados de un PSC.
- Es necesario comprobar que el certificado usado no está entre ellos.
OCSPOnline Certificate Status
Protocol
- Consulta online sobre el estado de un certificado concreto.
© Dr. Carlo
s Galán. U
C3M.
5. La F.E. en la Administración Electrónica
AA.PP.SISTEMAS
DEFIRMA ELECTRÓNICA
CIUDADANOS
DNI electrónico
Firma electrónicaavanzada
Otros sistemas
© Dr. Carlo
s Galán. U
C3M.
5. La F.E. en la Administración Electrónica
Sistemas de Firma electrónica usados por las AA.PP.
• Certificados de dispositivo seguro .• Actuación administrativa
automatizada.• Firma electrónica del personal.
• Intercambio de datos en entornos cerrados.
