presentación "eje tematico 3"
TRANSCRIPT
Eje temático No. 3Certificado electrónico y firma electrónica
Presentado por:Lina María Restrepo Suaza
Milena Cristina Marín BarrosGloria Cecilia Medina Martínez
Ingrid Judith SuarezLiliana Melo Mérida
Carolina Díaz Ramírez
Docente:Jorge Mario Zuluaga Campuzano
Universidad del QuindíoCiencia de la información y la documentación: bibliotecología y
archivística2012
Certificado Electrónico
Son documentos digitales de identidad emitidos a unindividuo. La emisión está bajo la responsabilidad poruna entidad de certificación debidamente autorizada.Esta entidad garantiza los datos contenidos en elcitado documento relativos a una persona, ya seanatural o jurídica (empresas).
Este documento digital vendría a ser el equivalente aun Documento de Identidad, Licencia, pasaporte ocarné de empresa. Mediante un conjunto de clavesasociadas a una identidad.
Un Certificado sirve para identificarse ante terceros, ypreviene suplantación de la identidad en Internet. Estehecho lo convierte en herramienta clave para laidentificación de las partes contratantes en elcomercio electrónico.
1. Datos que identifiquen al suscriptor.2. Datos que identifiquen a la Entidad de Certificación.3. La clave pública.4. La metodología para verificar la firma digital del suscriptor impuesta a un mensaje de datos.5. Número de serie del certificado.6. Vigencia del certificado.7. Firma digital de la Entidad de
Certificación
Elementos que debe tener un certificado…
La identidad del emisor y del receptor de lainformación (autenticación de las partes).
Que el mensaje no ha sido manipulado por el camino(integridad de la transacción).
Que sólo el emisor y receptor vean la información(confidencialidad).
Que una vez aceptada la comunicación, ésta nopueda ser negada de haber sido emitida (no repudio).
Funciones de los certificados electrónicos
Las firmas electrónicas cumplen la función de sus análogasmanuscritas, pero con la diferencia que son digitales, es decirestán realizadas con el propósito de identificar a alguien en lared. Es decir crean un medio seguro de identificaciónlogrando con esto un ambiente de seguridad para quienesreciben información, sin dudar de su procedencia. La firmadigital tiene la misma validez que la firma manuscrita, siendomas segura porque es muy difícil de falsificar.
Firma Electrónica
Es una huella digital de un documentocifrado con una clave.
Viene a solventar tres importantesproblemas asociados a ladocumentación electrónica:
• confidencialidad
• integridad
• autenticidad.
FIRMA ELECTRÓNICA
¿Qué es?
Para poder utilizar la firma electrónica es necesariohaber obtenido previamente un certificado digital.
El funcionamiento de la firma electrónica se basaen un par de números: la clave privada y la clavepública; con una relación matemática entre ellos.Estos números o claves se generan a partir de unnavegador de Internet y del certificado digitalemitido por la entidad certificadora.
La clave privada se almacena en un dispositivo deuso privado: una tarjeta criptográfica onormalmente el disco duro de un ordenador.La clave pública, en cambio, se distribuye junto conel mensaje firmado, fichero, etc.
Sobre la firma electrónica recibida, el receptoraplicará la clave pública del emisor a fin dedescifrarla. El resultado será una huella que debecoincidir con la huella del mensaje. Si esto seproduce, hay garantía de que el mensaje no ha sidomodificado y de que ha sido emitido por el titularde la firma.
FIRMA ELECTRÓNICA
¿Cómo funciona?
Cuando se firma electrónicamente un mensaje o fichero para enviar, seaplica una función denominada hash.
Esta función genera un dato llamado huella digital, que cambia en cadafichero o mensaje. Así, dos mensajes diferentes generarán huellasradicalmente diferentes.
Por su parte, y mediante la aplicación de una segunda función, la huella secifrará con la clave privada. El resultado será la firma electrónica.
¿Cómo se firma electrónicamente un documento?
El receptor de un mensaje que incluya firma electrónica puede comprobarque el mensaje no ha sido modificado aplicando la función hash sobre elmensaje recibido. El resultado será la huella del mensaje.
Sobre la firma electrónica recibida, el receptor aplicará la clave pública delemisor a fin de descifrarla. El resultado será una huella que debe coincidircon la huella del mensaje. Si esto se produce, existe la garantía de que elmensaje no ha sido modificado y de que ha sido emitido por el titular de lafirma.
¿Cómo se verifica la firma electrónica?
La Ley 59/2003, de 19 dediciembre, de firma electrónicadefine la firma electrónicadistinguiendo tres tipos:
¿Qué tipos de firmas existen?
La firma electrónica general, que equivaldría a una firma manuscrita digitalizada. "La firma electrónica es el conjunto de datos en forma
electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante".
La firma electrónica avanzada. "(...) es la firma electrónica que permite identificar al
firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al
firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo
control".
La firma electrónica reconocida. "Se considera firma electrónica reconocida la firma electrónica avanzada basada en un
certificado reconocido y generada mediante un dispositivo seguro de creación de firma. La firma electrónica reconocida tendrá respecto
de los datos consignados en forma electrónica el mismo valor que la firma manuscrita.
Aplicaciones de la firma digital:
Mensajes con autenticidad aseguradaMensajes sin posibilidad de repudioContratos comerciales electrónicosFactura ElectrónicaDesmaterialización de documentosTransacciones comerciales electrónicasInvitación electrónica
Dinero electrónico
Notificaciones judiciales electrónicas
Voto electrónico
Decretos ejecutivos (gobierno)
Créditos de seguridad social
Contratación pública
Sellado de tiempo
Nadie tiene una seguridad absolutaen Internet, tanto los proveedorescomo los compradores tienen unriesgo Sin embargo, la tecnologíaofrece medios de transaccionescada vez más seguros. Las técnicasde encriptación de datos puedenconvertir el comercio electrónicoen más seguro que el comerciotradicional basado en tarjetas decrédito.
Beneficios de las firmas y certificados electrónicos
Garantizar la confidencialidad de latransacción de tal forma que la informacióntransferida solo sea accesible por las partesque intervienen. (Encriptación)
Garantizar la integridad de la transacción,de forma que no pueda ser alterado porterceras partes sin saberlo. (Firma Digital)
Garantizar la autenticidad de las partes. Lafirma digital garantiza la integridad de latransacción y el certificado digital (emitidopor un tercero) garantiza la identidad de laspartes.
El comercio electrónico necesita de un sistema de transacción seguro que permita:
La firma electrónica proporciona un amplio abanico de servicios de seguridad, que superan con creces a los ofrecidos
en un contexto físico por el DNI o pasaporte y las firmas manuscritas:
1. AutenticaciónPermite identificar unívocamente alsignatario, al verificar la identidad delfirmante, bien como signatario dedocumentos en transaccionestelemáticas, bien para garantizar elacceso a servicios distribuidos en red.En este último caso, la utilización defirmas digitales para acceder aservicios de red o autenticarse anteservidores web evita ataquescomunes de captación decontraseñas mediante el uso deanalizadores de protocolos (sniffers)o la ejecución de reventadores decontraseñas.
2. Imposibilidad de suplantación
El hecho de que la firma haya sidocreada por el signatario mediantemedios que mantiene bajo su propiocontrol (su clave privada protegida, porejemplo, por una contraseña, controlbiométrico, una tarjeta inteligente, etc.)asegura, además, la imposibilidad de susuplantación por otro individuo.
3. IntegridadPermite que sea detectada cualquiermodificación por pequeña que sea delos datos firmados, proporcionando asíuna garantía ante alteraciones fortuitaso deliberadas durante el transporte,almacenamiento o manipulacióntelemática del documento o datosfirmados.
4. No repudioOfrece seguridad inquebrantable de queel autor del documento no puederetractarse en el futuro de las opinioneso acciones consignadas en él ni dehaberlo enviado. La firma electrónicaadjunta a los datos, debido a laimposibilidad de ser falsificada,testimonia que él, y solamente él, pudohaberlo firmado.
5. Audibilidadpermite identificar y rastrear lasoperaciones llevadas a cabo por elusuario dentro de un sistemainformático cuyo acceso se realizamediante la presentación decertificados, especialmente cuando seincorpora el estampillado de tiempo,que añade de forma totalmente fiable lafecha y hora a las acciones realizadaspor el usuario.
Son entes autorizados, conforme a laLey, que están facultados para emitircertificados, por medio de unestampado cronológico y demásfunciones relativas al intercambio demensajes de datos y firmasdigitales, generando confianza sobre elproceso de autorización, el cual serealizará de acuerdo con las actividadesque vaya a ofrecer.
¿Qué son esas entidades de certificación?
Según la ley 527, pueden ser personas jurídicas, públicas oprivadas, nacionales o extranjeras y las cámaras de comercio. la ley 588, ensu parágrafo primero le agregó dos entidades: notarias yconsulados, quienes también deben ser autorizadas por lasuperintendencia de industria y comercio, según la reglamentación delgobierno.
¿Quiénes pueden ser entidades de certificación?
Tener siempre parámetrospara certificar
Capacidad económica.
Capacidad financiera
Capacidad técnica suficientepara prestar el servicio
Que los representanteslegales o administrativos noestén incursos en ningunainhabilidad.
¿Que requisitos deben cumplir las entidades de certificación?
1. Amonestaciones.2. Suspenderle todas las
actividades.3. Multas personales hasta por
trescientos salarios mínimos.4. Multas institucionales hasta por
dos mil salarios mínimosvigentes.
5. Prohibición de prestar directa oindirectamente el servicio hastapor cinco años.
6. Perdida de la renovación de laautorización.
¿Que sanciones se le pueden imponer a las entidades de certificación?
Emitir certificados en relación con las firmas digitales de personasnaturales o jurídicas.Emitir certificados sobre la verificación respecto de la alteraciónentre el envío y recepción del mensaje de datos.Emitir certificados en relación con la persona que posea un derechou obligación con respecto a los documentos enunciados en losliterales f) y g) del artículo 26 de la presente ley.Ofrecer o facilitar los servicios de creación de firmas digitalescertificadas.Ofrecer o facilitar los servicios de registro y estampado cronológicoen la generación, transmisión y recepción de mensajes de datos.Ofrecer los servicios de archivo y conservación de mensajes dedatos.
En el ARTÍCULO 30. Actividades de las entidades de certificación. Modificado por el art. 161, Decreto Nacional 019 de
2012.Las Entidades de Certificación autorizadas por la Superintendencia de Industria y Comercio podrán realizar,
entre otras, las siguientes actividades:
En la Ley 527 de 1999, "Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras
disposiciones", estableció en el artículo 41 las funciones a cargo de la Superintendencia de Industria y Comercio, relacionadas con las Entidades de
Certificación:
Autorizar la actividad de las entidades de certificación en el territorio nacional.Velar por el funcionamiento y la eficiente prestación del servicio por parte de lasentidades de certificación.Realizar visitas de auditoría a las entidades de certificación.Revocar o suspender la autorización para operar como entidad de certificación.Solicitar la información pertinente para el ejercicio de sus funciones.Imponer sanciones a las entidades de certificación en caso de incumplimiento de lasobligaciones derivadas de la prestación del servicio.Ordenar la revocación de certificados cuando la entidad de certificación los emita sin elcumplimiento de las formalidades legales.Designar los repositorios y entidades de certificación en los eventos previstos en la ley.Emitir certificados en relación con las firmas digitales de las entidades de certificación.Velar por la observancia de las disposiciones constitucionales y legales sobre lapromoción de la competencia y prácticas comerciales restrictivas, competencia desleal yprotección del consumidor, en los mercados atendidos por las entidades de certificación.Impartir instrucciones sobre el adecuado cumplimiento de las normas a las cuales debensujetarse las entidades de certificación.
¿Que facultades tiene la superintendencia de industria y comercio frente a las entidades de
certificación?
La Superintendencia de Industriay Comercio, autoriza la actividadde las entidades de certificaciónen el territorio nacional y debevelar por su buen funcionamientoy porque éstas cumplan con lasnormas relativas a competencia.Además la Superintendenciadebe cumplir con las funcionestradicionales, vigilar por laprotección al consumidor.
1. Suspender o revocar la autorización.2. Solicitar información, que es una característica
tradicional de los organismos de vigilancia y control.3. Imponer sanciones en caso de incumplimiento.4. Ordenar la revocación de los certificados en el caso
de que no cumplan las exigencias del GobiernoNacional.
5. Designar los repositorios de las entidades decertificación en caso de que alguna entidad de ellasdeje de funcionar y la información que conservabantenga que pasar a otra entidad.
6. Realizar visitas de auditorías.7. Emitir certificados en relación con firmas digitales.8. Impartir las instrucciones del caso y adicionalmente a
esa las contempladas en el Decreto 2153 en cuanto avigilancias y control
La ley 527 le permite a la superintendencia de industria y comercio frente a las entidades de
certificación lo siguiente :
En Colombia existen dos tipos de Entidades de Certificación:
Entidad de certificación cerrada
Es la entidad que ofrece serviciospropios de las entidades decertificación sólo para elintercambio de mensajes entre laentidad y el suscriptor, sin exigirremuneración por ello.
Entidad de certificación abierta
Es la entidad que ofrece serviciospropios de las entidades decertificación, tales que:
a) Su uso no se limita alintercambio de mensajes entre laentidad y el suscriptor, o
b) Recibe remuneración poréstos.
Las siguientes son las entidades de certificación autorizadas por esta
Superintendencia, en los términos de la ley 527 de 1999, del decreto 1747 de 2000 y del Capítulo VIII del Título V de la Circula Única de la Superintendencia
de Industria y Comercio.
SOCIEDAD CAMERAL DE CERTIFICACION DIGITAL CERTICÁMARA, S.A.
Dirección: Carrera 7 No. 26 – 20 Piso 18 Edificio Seguros Tequendama –Bogotá D.C., Colombia
Teléfonos: +57 (1) 3790300
E-mail: [email protected]
Página web: www.certicamara.com
Autorizada mediante resolución No. 1007 del 24 de enero de 2002
Autorización de nuevos servicios –Ampliación de la Autorización:
Resolución No. 22456 (10/09/2004)
Resolución No. 28012 (12/11/2004)
Resolución No. 9887 (13/04/2007)
Resolución No. 3816 (30/01/2009)
Algunas entidades de certificación abierta
GESTIÓN DE SEGURIDAD ELECTRÓNICA S.A. - GSE S.A.
Dirección: Calle 103B No. 50 – 50. Piso 2. Bogotá, D.C. Colombia
Teléfono: +57 (1) 7051888
Fax: +57 (1) 7081881
E-mail: [email protected]
Página web: www.gse.com.co
Autorizada mediante resolución No. 23344 del 12 de mayo de 2009
Autorización de nuevos servicios –Ampliación de la Autorización:
Resolución No. 1194 (21/01/2010)
Algunas entidades de certificación cerrada
INSTITUTO COLOMBIANO DE CODIFICACIÓN Y AUTOMATIZACIÓN
COMERCIAL
Dirección: Av. El Dorado No. 70 -16, Bogotá D.C., Colombia
Teléfono: +57 (1) 4270999
Fax: +57 (1) 4254700
E-mail: web@gs1co@org
Página web: www.gs1co.org
Autorizada mediante resolución No. 25352 del 31 de agosto de 2002.
BANCO DE LA REPÚBLICA
Dirección: Carrera 7 No. 14-78, Bogotá D.C., Colombia
Teléfono: +57 (1) 3431111
Fax: +57 (1) 2861686
Página web: www.banrep.gov.co
Autorizada mediante resolución No. 6372 del 28 de Febrero de 2003.
A TODA HORA S.A. - ATHDirección: Calle 100 No. 13 - 21 Piso12, Bogotá D.C., ColombiaTeléfono: +57 (1) 6422000E-mail: [email protected] mediante resolución No.29844 del 22 de octubre de 2003.
NOTA: Mediante resolución 43730 del 28de agosto de 2009 la SuperintendenteDelegada para la Protección delConsumidor y Metrología, suspendiótemporalmente la autorización otorgadaa ATH, decisión que fue confirmada por laresolución 47773 del 8 de septiembre de2010 de ese mismo Despacho.
UAE DIRECCIÓN DE IMPUESTOS Y ADUANAS NACIONALES – DIAN
Dirección: Carrera 8 No. 6 - 64 Piso5, Bogotá D.C., Colombia
Teléfono: +57 (1) 6079999
Página web: www.dian.gov.co
Autorizada mediante resolución No.36119 del 30 de diciembre de 2005.
ECOPETROL S.A.
Dirección: Carrera 7 No. 37 – 69, Piso Primero, Bogotá D.C., Colombia
Teléfono: +57 (1) 2344000
Fax: +57 (1) 2343352
Página web: www.ecopetrol.com.co
Autorizada mediante resolución No. 9886 del 13 de abril de 2007.
Certicamara es una entidad que en Colombia es responsable de emitir, concalidad técnica y de manera segura e irrepetible por otros medios o enotras circunstancias, el par de claves, pública y privada, que constituye eleje del certificado, así como de poner a salvo su propia clave privada, ygarantizar la calidad técnica del sistema informático, y el libre y fácil accesoa las listas y directorios de claves públicas para la verificación de firmasemitidas por la misma.
Es responsable de realizar una identificación consistente y completa, seguirlos trámites con fidelidad, y realizar las labores de revocación, modificacióny renovación de manera correcta y fiel, siendo responsable directa de losdatos que certifica.
Un ejemplo de estas entidades en Colombia es…
Permite “ocultar” o “codificar” el contenido delmensaje, son cifrados por el remitente y descifradospor el destinatario. Es el sistema informático queutiliza un sistema de encriptación. La palabraCriptografía viene del griego “Kryptos”, escondido, y“graphos”, escritura, se trata de escribir algo demanera que el destinatario final pueda leerlo.Se utiliza para asegurar laconfidencialidad, protección de la informaciónintercambiada entre personas u organizaciones y nosean violadas por terceros. Se asegura así tanto laautenticidad de los contenidos enviados como suexclusividad; tanto el emisor como el receptor debentener instalados programas de cifrado.El proceso utiliza algoritmos matemáticos complejospara codificar información digital. Solamentepersonas o equipos con la “clave” de softwarecorrecta pueden descifrar la información y volver aponerla en el orden correcto.
Cifrado Electrónico
Los sistemas de cifrado se basan en dos claves parael envío de la información, una pública y otraprivada:
• Clave pública: se la enviaremos a todo elmundo que la quiera, la subiremos a unservidor, o a nuestra web... Esta clave permitiráa la gente verificar nuestra firma y crearmensajes cifrados para nosotros.
• Clave privada: no se la daremos a nadie, ya quenos permitirá firmar y descifrar correo.
Es importante darse cuenta de que estas clavesson dos archivos que se generarán en nuestro PCy que están íntimamente ligadas, pero no sepuede averiguar una a través de la otra.
Cifrado Electrónico¿Cómo funciona?
• Para almacenar archivos en el equipoy proteger los más confidenciales,como los registros médicos y losdocumentos financieros.
• Para codificar la información que seenvía en un correo electrónico o undocumento.
• Para proteger la red domésticainalámbrica de Internet; y así losvecinos no puedan intervenir la red nilas sesiones online ni robar suinformación personal.
Cifrado Electrónico¿Para que puede
ser utilizado?
• Para hacer compras en Internet demanera segura. Los bancos, lastiendas y otras empresas que vendenproductos o realizan transaccionesfinancieras en Internet utilizan unaforma de cifrado más potentedenominada Secure Sockets Layer(SSL). Este tipo de cifrado protege eltrayecto electrónico que conecta sunavegador web con los equipos quealojan sitios web de comercioelectrónico.
Ejemplo de Cifrado Electrónico
Supondremos que queremosmandar a Pepe un mensaje cifradopara que sólo él pueda ver elcontenido. Paraello, previamente, dispondremosde la clave pública de Pepe.
• Con la clave pública de Pepecifraremos el mensaje.
• Pepe recibirá un mensaje cifrado.
• Pepe usará su clave privada paraver el contenido del mismo.
Legislación
Ley 59 de 2003http://online.lexnova.es/servicesLXOL/visordoc?signatura=98B5E0E1AA75C9CA09FFA
0F48FA54515&titulacion=
Por medio de la cual los datos ydocumentos transmitidos con lafirma electrónica ofrecen plenavalidez y disponen de todas lasgarantías y seguridad jurídicasegún queda recogido en la Ley59/2003 de 19 de diciembre defirma electrónica.
Ley 527 de 1999http://www.ocyt.org.co/leg/Ley%205
27.pdf
Por medio de la cual se define yreglamenta el acceso y uso de losmensajes de datos, del comercioelectrónico y de las firmasdigitales, y se establecen lasentidades de certificación y sedictan otras disposiciones.
Ley 11 de 2007http://www.boe.es/boe/dias/200
7/06/23/pdfs/A27150-27166.pdf
Decreto 2150 de 1995http://wlserver.unab.edu.co/admisi
ones/Decreto1995no2150.pdf
Art. 26. Determina que lasentidades de AdministraciónPública, deberán habilitarsistemas de transmisiónelectrónica de datos para que losusuarios envíen o recibaninformación requerida en susactuaciones frente a laadministración.
De acceso electrónico de losciudadanos a los ServiciosPúblicos.
Decreto 1747 de 2000http://securedata.com.co/files/dec
reto1747.pdf
Por el cual se reglamentaparcialmente la Ley 527 de 1999,en lo relacionadocon las entidades de certificación,los certificados y las firmasdigitales.
Resolución 26930 de 2000
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=5793
Referencia los requisitos quedeben cumplir las entidades decertificación abiertas o cerradaspara solicitar su autorización yfuncionamiento, clasificación quedepende de los servicios queprestan y finalmente se desarrollael tema de las firmas auditoraspara las entidades de certificacióny el contenido del informe deauditoría necesario para laautorización, el cual debe seractualizado por lo menosanualmente.
Decreto 127 de 2001http://programa.gobiernoenlinea.gov.
co/apc-aa-files/5686d2a87532a21a70ead773ed713
53b/Decreto127de2001.pdf
Crea el Programa Presidencialpara el desarrollo de lastecnologías de la información ycomunicación
Decreto 3107 de 2003http://programa.gobiernoenlinea.gov.co/index.shtml?apc=a1d-22-22&x=22
Suprime funciones y las trasladaal Ministerio de Comunicaciones.
Directiva Presidencial 02 del 2000http://programa.gobiernoenlinea.gov.co/a
pc-aa-files/5686d2a87532a21a70ead773ed71353b/
Directiva_02_2000.PDF
Suprime funciones y las trasladaal Ministerio de Comunicaciones.
Decreto 1151 de 2008
http://hermesoft.esap.edu.co/esap/hermesoft/portal/home_1/rec/Normatividad/D
ecreto%201151%20de%202008.pdf
Por el cual se establecen loslineamientos generales de laEstrategia de Gobierno en Línea dela República de Colombia, sereglamenta parcialmente la Ley962 de 2005, y se dictan otrasdisposiciones.
Constitución Política de Colombia
http://www.banrep.gov.co/regimen/resoluciones/cp91.pdf
Art. 113 y 209 Los cuales señalanque “los diferentes órganos delEstado tienen funciones separadaspero colaboran armónicamentepara la realización de sus fines.