viernes, 21 de mayo de 2010

Como funciona una Firma Digital

Con la finalidad que las comunicaciones electrónicas sean seguras y garanticen la identidad de las partes que negocian por Internet, las Firmas Digitales cumplen para ello dos funciones principales:

  • Encriptación de datos
  • Autenticidad de identidad


Encriptación de datos

Encriptación es el proceso por el cual un mensaje se cifra y se hace ininteligible; es como si lo metiéramos en una caja fuerte y lo cerramos, de tal modo que sólo aquél que tuviese la llave apropiada pudiera abrirlo.
Veamos el ejemplo siguiente para entender el funcionamiento de la encriptación:

Carlos (Izquierda) desea enviar un mensaje a Juan (Derecha) sin que nadie pueda entender el contenido del mensaje, incluso si éste fuese interceptado por una tercera persona .
Para ello Juan dispone de dos llaves: una es la Llave Pública y la otra es la Llave Privada ; la Llave Pública es conocida por todos y la puede poseer todo el mundo y permite a cualquier persona enviar mensajes codificados o descifrar los mensajes recibidos.
La Llave Privada , es personal y le permite únicamente al usuario descifrar los mensajes cifrados que reciba y poder firmar digitalmente sus mensajes.

Juan envía su Llave Pública a Carlos por cualquier medio que pueda hacerlo, inclusive Carlos puede haberla copiado con la finalidad de utilizarla para cifrar o cerrar el mensaje que le enviará por Internet a Juan.
Por el camino una tercera persona , podría haber copiado el mensaje, pero no le serviría de nada pues sólo Juan dispone de la llave para abrirlo y desencriptarlo.
Cuando el mensaje llega a Juan , éste utiliza su Llave Privada, que sólo él conoce y procede a abrir el mensaje.

Este sistema parece en sí seguro, pero tiene un problema; imaginémonos que Carlos envía todas las semanas dinero a Juan, un Hacker se percata de ello y trama lo siguiente:
Crea dos llaves, Privada y Pública y envía la Pública a Carlos solicitándole que envíe mas dinero durante la semana ; Carlos procede entonces a enviar los datos del Banco por correo electrónico y los cifra con la supuesta Llave Pública de Juan. El dinero terminaría en manos del Hacker puesto que solo él dispone de la Llave para desencriptar los datos del Banco. El problema aquí es que el Hacker se ha hecho pasar por Juan ; apareciendo entonces la necesidad de crear una tercera entidad en la transacción : La Autoridad de Certificación.

El Certificador es una entidad o persona en la que tanto Juan como Carlos confían, por lo que certifica a Carlos que la Llave Pública que le llega a éste es de Juan y no del Hacker.
Veamos ahora como se realiza una comunicación electrónica segura:

1.- Juan adquiere dos llaves, una Privada y una Pública; la Pública se la entrega a la entidad de Certificación en la que confía.
2.- La entidad de Certificación es una entidad debidamente registrada y autorizada y quien se encarga de verificar que la Llave Pública que le estan entregando es de Juan y no del Hacker. Hasta aquí todo va bien, tenemos la certeza que la Llave Pública es de Juan por tanto la autoridad certificadora le dá un certificado a Juan similar a un DNI (Documento Nacional de Identificación); este Certificado contiene:
-La llave Pública
-Su nombre
-La fecha de caducidad
-El nombre de la Autoridad de Certificación que ha emitido el Certificado.
-Un número de serie
-Y alguna otra información adicional (huella digital, tipo de encriptación, etc)
3.- Juan envía el certificado junto con la llave Pública a Carlos para que éste le envíe el dinero. Carlos escarmentado de la mala experiencia anterior no confía por lo que lee el Certificado y llama a la Autoridad Certificadora , la cuál le garantiza que la Llave es de Juan.
4.- Carlos con total seguridad encripta los datos bancarios y se los manda a Juan.
5.- Por el camino, el Hacker que no cesa en su empeño de delinquir, intercepta el mensaje, él posee la Llave Pública pero no posee la Privada que sólo Juan posee no sirviéndole de nada el mensaje interceptado puesto que no lo puede descifrar .
6.- El mensaje llega a Juan que abre ó descencripta el mensaje con la seguridad de que nadie lo ha abierto.

Hemos visto de cómo Carlos envía un mensaje a Juan, el procedimiento inverso es simétrico, tan solo se necesitaría que Carlos tuviera dos pares de Llaves, una Pública y otra Privada que sólo él mismo conociese. Por supuesto la mayor parte de este proceso es transparente a Juan y a Carlos; es decir, ellos solamente tendrán que pedir una sola vez el Certificado a la Autoridad Certificadora pudiendo después hacer tantas transacciones como ellos quieran, encargándose el software de realizar las comprobaciones por ellos.

Autenticidad de Identidad

Otra utilidad de la Firma Digital además de la encriptar los mensajes es la verificación de la autenticidad de la identidad de la persona que firma un documento.
El ejemplo que a continuación les señalamos, muestra como Juan envía un documento a Carlos y cómo éste reconoce la autenticidad del documento al reconocer la firma electrónica de Juan.

Juan utilizando su Llave Privada, firma el documento que quiere enviar a Carlos, éste recibe el documento firmado por Juan y utilizando la Llave Pública de Juan verifica la firma del primero.
Esta es una situación similar a la de la encriptación; imaginémonos que un hacker crea dos llaves una Pública y otra Privada, le hace llegar la Pública a Carlos y seguidamente le envía un documento firmado con la supuesta Llave Privada de Juan, pidiéndole dinero a su amigo Carlos.
Carlos en posesión de la supuesta Llave Pública de Juan, verifica que es Juan, cuando en su lugar es el hacker haciéndose pasar por Juan.
Aparece la necesidad de una tercera entidad llamada Autoridad de Certificación que como en el caso de la encriptación, certifique la autenticidad de dicha firma .

El certificador es una entidad o persona en la que tanto Juan como Carlos confían, por lo que certifica a Carlos que la firma que le llega a éste es de Juan y no del Hacker.
Veamos ahora como se realizaría una comunicación segura:

1.- Juan adquiere dos llaves, una Privada y una Pública; la Pública se la entrega a la entidad de Certificación en la que confía.
2.- La entidad de Certificación es una entidad debidamente registrada y autorizada y quien se encarga de verificar que la Llave Pública que le estan entregando es de Juan y no del Hacker. Hasta aquí todo va bien, tenemos la certeza que la Llave Pública es de Juan por tanto la autoridad certificadora le dá un certificado a Juan similar a un DNI (Documento Nacional de Identificación); este Certificado contiene:
-La llave Pública
-Su nombre
-La fecha de caducidad
-El nombre de la Autoridad de Certificación que ha emitido el Certificado.
-Unnúemro de serie
-Y alguna otra información adicional (huella digital, tipo de encriptación, etc)
3.- Juan envía el Certificado junto con la Llave Pública a Carlos.
4.- Juan envía un documento a Carlos pidiéndole que ingrese dinero en una cuenta bancaria y lo firma utilizando su Llave Privada.
5.- A Carlos le llega la petición de su amigo Juan, y como no se fía, comprueba con el Certificado y la Llave Pública que la firma es de su amigo y no del hacker.
6.- Por el camino el Hacker que no cesa en su empeño de delinquir, crea un par de llaves, una Pública y otra Privada y se hace pasar por Juan pidiendo dinero a Carlos.
7.- A Carlos le llega la falsa petición y no fiándose comprueba con su Certificado y la verdadera Llave Pública de Juan que la firma no es correcta y por lo tanto no envía el dinero evitando ser sorprendido.

Hemos visto como Juan envía su firma a Carlos, el procedimiento inverso es simétrico, tan sólo se necesitaría que Carlos tuviera dos pares de Llaves, una Pública y otra Privada que sólo él mismo conociese. Por supuesto la mayor parte de este proceso es transparente a Juan y a Carlos; es decir, ellos solamente tendrán que pedir una sola vez el Certificado a la Autoridad Certificadora pudiendo después hacer tantas transacciones como ellos quieran, encargándose el software de realizar las comprobaciones por ellos.

a manera de conclusión podemos señalar lo siguiente :

EMISOR DE UN MENSAJE

Con la llave pública del receptor

=

Encripta ó

cifra mensaje

Con la llave privada del emisor
=
Firma el Mensaje

RECEPTOR DEL MENSAJE

Con la llave pública del emisor

=
Verifica la firma digital
Con la llave privada del receptor
=
Desencripta ó descifra el mensaje
CODIGO CIVIL Y COMERCIO ELECTRONICO

El uso de medios electrónicos o análogos para transmitir una manifestación de voluntad expresa y la incorporación de la presunción de recepción de declaraciones contractuales enviadas mediante estos sistemas, cuando el remitente le llegue un acuse de recibo, son las principales innovaciones introducidas recientemente al Código Civil, mediante Ley No 27291, publicada en el diario El Peruano del 28 de junio de 2000, que modifica sus artículos 141 y 1374 y agrega un nuevo artículo 141-A, por el cual se precisa que las formalidades legales aplicables a esta declaración, así como la exigencia de firma, podrán ser generadas o comunicadas por intermedio de medios electrónicos.

Para el caso de escrituras públicas, se ha considerado conveniente que ésta pueda ser generada o comunicada vía sistemas electrónicos y se obliga a dejar constancia del sistema empleado y conservar una versión íntegra del documento. Por último, se dispone reglamentar la norma para el caso de su aplicación a las relaciones entre el Estado y los particulares.

Estas innovaciones responden a la necesidad de que el Código Civil, debido a los avances tecnológicos y a la introducción del comercio electrónico en el mercado peruano, incorpore las nuevas formas de comunicar la manifestación de voluntad..

EL DELITO INFORMATICO

Mediante Ley No 27309, publicada en el diario El Peruano del 17 de julio de 2000, se ha modificado el Título V del Libro Segundo del Código Penal, promulgado por el Decreto Legislativo No 635, incorporando los artículos 207-A, 207-B y 207-C que reprimen con pena de cárcel o servicios comunitarios o multa al que utiliza, ingresa o interfiriere indebidamente una base de datos, sistema, red o programa de computadoras o cualquier parte de la misma, para diseñar, ejecutar o alterar un esquema u otro similar, o para copiarlo; así como para alterarlo, dañarlo o destruirlo.

LEGISLACIÓN COMPARADA.-

La mayoría de las legislaciones extranjeras modernas se basan en la Ley Modelo de Uncitral, por ser flexible y adaptable a las normas propias de cada país. Además, plantea marcos tecnológicos que permiten uniformizar el acceso electrónico a los mercados, evitando generar barreras que obstaculicen el desarrollo de las economías.

Así, distintos países latinoamericanos han desarrollado ya la legislación pertinente para la implementación de firmas electrónicas. En muchos casos, el sector público ha sido el primero en ser regulado y poner en práctica estos medios electrónicos.

Por ejemplo, Colombia mediante Ley 527, define y reglamenta el acceso y uso de mensajes de datos del comercio electrónico así como de las firmas digitales. Asimismo, establece el funcionamiento de las entidades de certificación y otras disposiciones.

En Argentina existe la Comisión Redactora del Anteproyecto de Ley de Firma Digital, que pretende habilitar el empleo de esta rúbrica en la actividad comercial, dentro del principio de libertad de formas. El uso de una infraestructura de firma digital para el sector público se ha regulado mediante el Decreto No 427.

La República de Chile, mediante el Decreto No 81, ha normado el uso de la firma digital y los documentos electrónicos en la administración del Estado.

En Brasil y Ecuador se están discutiendo sendos anteproyectos de ley sobre la materia. Asimismo, en México se ha planteado este asunto como un motivo de reforma del Código de Comercio.

La propuesta de directiva del Parlamento Europeo, plantea las normas básicas para que los países miembros se adapten a ellas, y sea factible desarrollar el comercio por medios electrónicos.

Ley Nº 27269

(El Peruano: 28.5.2000)

EL PRESIDENTE DE LA REPUBLICA
POR CUANTO:


El Congreso de la República
ha dado la Ley siguiente:

Mando se publique y cumpla.
Dado en la Casa de Gobierno, en Lima, a los veintiséis días del mes de mayo del año dos mil.

ALBERTO FUJIMORI FUJIMORI
Presidente Constitucional de la República

ALBERTO BUSTAMANTE BELAUNDE
Presidente del Consejo de Ministros y Ministro de Justicia

RESOLUCION SUPREMA
Nº 098-2000-JUS


Lima, 9 de junio del 2000

SE RESUELVE:

LEY Nº 27291
(El Peruano: 24.6.2000)

LEY QUE MODIFICA EL CÓDIGO CIVIL PERMITIENDO LA UTILIZACIÓN DE LOS MEDIOS ELECTRÓNICOS PARA LA COMUNICACIÓN DE LA MANIFESTACIÓN DE VOLUNTAD Y LA UTILIZACIÓN DE LA FIRMA ELECTRÓNICA

LEY Nº 27309
(El Peruano: 17.7.2000)

“TITULO V
(...)
CAPITULO X
DELITOS INFORMÁTICOS"

LEY DE FIRMAS Y CERTIFICADOS DIGITALES

Mediante Ley N° 27269 (El Peruano: 28-05-2000), se aprobó el Régimen de Firmas y Certificados Digitales, con el objeto de regular la utilización de la firma electrónica, otorgándole la misma validez y eficacia jurídica que una firma manuscrita u otra análoga que conlleve manifestación de voluntad.

Esta Ley se encuentra vigente desde el 29 de mayo de 2000. Su reglamentación debe expedirse dentro de 60 (sesenta) días calendario, a partir de dicha fecha (vence el 29 de julio de 2000).

FIRMA ELECTRONICA

Es cualquier símbolo basado en medios electrónicos, utilizado o adoptado por una parte contratante con la intención precisa de vincularse o para autenticar un documento cumpliendo todas o algunas de las funciones características de una firma manuscrita. La autoridad competente podrá aprobar otras tecnologías de firmas electrónicas, siempre que cumplan con esta Ley y se establezcan sus propios procedimientos de adecuación.

FIRMA DIGITAL

Consiste en la utilización de una técnica de criptografía asimétrica, basada en el uso de un par de claves únicas, por la cual se asocia una clave privada a otra pública, pero relacionadas matemáticamente entre sí, en tal forma que las personas que conocen la clave pública no pueden derivar de ella la clave privada.

TITULAR DE LA FIRMA DIGITAL

Es la persona a la que se le atribuye de manera exclusiva un certificado digital que contiene una firma digital, identificándolo objetivamente en relación con el mensaje de datos. El titular tiene la obligación de asegurar que todas sus declaraciones o manifestaciones materiales hechas a las entidades de registro o verificación y a los terceros que confían en él, sean exactas y completas.

CERTIFICADO DIGITAL

Es el documento electrónico generado y firmado digitalmente por una entidad de certificación, la cual vincula un par de claves con una persona determinada, confirmando su identidad. Deberá contener, al menos, los datos que identifiquen indubitablemente al suscriptor y la entidad de certificación, la clave pública, metodología para verificar la firma digital del suscriptor impuesta a un mensaje de datos, número de serie del certificado y su vigencia, así como la firma digital de la entidad de verificación. Este certificado se cancelará a pedido del titular de la firma digital, por revocatoria de la entidad de certificación o por expiración del plazo de vigencia
.

ENTIDAD DE REGISTRO O VERIFICACIÓN

Cumple con la función de levantamiento de datos y comprobación de la información de un solicitante de certificado digital; identificación y autenticación del suscriptor de firma digital; aceptación y autorización de solicitudes de emisión y cancelación de certificados digitales. Estas entidades deberán estar inscritas en un registro especial.

CERTIFICADOS EMITIDOS EN EL EXTRANJERO

Mediante Ley No 27269, publicada en el diario El Peruano del 17 de julio de 2000, se ha modificado la Ley de Firmas y Certificados Digitales, en el sentido que los Certificados de Firmas Digitales emitidos por Entidades Extranjeras, ya no serán reconocidos por Entidades de Certificación nacionales, sino por la autoridad administrativa competente, que garantice su validez y eficacia.
FIRMA DIGITAL

CONCEPTO.

La firma digital es una herramienta tecnológica que permite garantizar la autoría e integridad de los documentos digitales, posibilitando que éstos gocen de una característica que únicamente era propia de los documentos en papel.

La firma digital es un instrumento con características técnicas y normativas. Esto significa que existen procedimientos técnicos que permiten la creación y verificación de firmas digitales, y existen documentos normativos que respaldan el valor legal que dichas firmas poseen.

PROPIEDADES.

Autenticidad: poder atribuir un documento a su autor de manera fehaciente, de forma de poder identificarlo.

Integridad: poder estar seguro de que la información no ha sido modificada.

Exclusividad: garantizar que la firma está bajo el absoluto y exclusivo poder del firmante.

No repudio: garantizar que el emisor no pueda negar o repudiar su autoría o existencia. Ser susceptible de verificación ante terceros.

FUNCIONAMIENTO.

El firmante genera, mediante una función matemática, una huella digital del mensaje, la cual se cifra con la clave privada del firmante. El resultado es lo que se denomina firma digital, que se enviará adjunta al mensaje original. De esta manera el firmante adjuntará al documento una marca que es única para dicho documento y que sólo él es capaz de producir.

Para realizar la verificación del mensaje, en primer término el receptor generará la huella digital del mensaje recibido, luego descifrará la firma digital del mensaje utilizando la clave pública del firmante y obtendrá de esa forma la huella digital del mensaje original si ambas huellas digitales coinciden, significa que no hubo alteración y que el firmante es quien dice serlo.

FORMATOS.

En nuestro país se denomina "Infraestructura de Firma Digital" al conjunto de leyes, normativa legal complementaria, obligaciones legales, hardware, software, bases de datos, redes, estándares tecnológicos y procedimientos de seguridad que permiten que distintas entidades (individuos u organizaciones) se identifiquen entre manera segura al realizar transacciones en redes.

Las especificaciones TS 101 733 y TS 101 903 definen los formatos técnicos de la firma digital. La primera se basa en el formato clásico PKCS#7 y la segunda en XMLDsig firma XML especificada por el consorcio W3C. Bajo estas normas se definen tres modalidades de firma:

Firma básica: Incluye el resultado de operación de hash y clave privada, identificando los algoritmos utilizados y el certificado asociado a la clave privada del firmante. A su vez puede ser "attached" o "detached", "enveloped" y "enveloping“

Firma fechada: A la firma básica se añade un sello de tiempo calculado a partir del hash del documento firmado por una TSA (Time Stamping Authority)

Firma validada: A la firma fechada se añade información sobre la validez del certificado procedente de una consulta de CRL realizada a la Autoridad de Certificación.

INCLUSION EN GOBIERNO ELECTRONICO.

Hace ya varios años que se vienen implementando en el Sector Público Argentino iniciativas relativas a la digitalización de sus circuitos administrativos y a la utilización de la firma digital para dotar de seguridad a las comunicaciones internas.
A fin de fortalecer y apoyar a los organismos del Sector Público Nacional, la Oficina Nacional de Tecnologías de Información participa activamente en las iniciativas de despapelización, proveyendo certificados digitales a agentes y funcionarios públicos actuando como Autoridad Certificante.

Firmas Digitales - Guías de Acreditación para Entidades de Certificación Digital y Entidades Conexas

El Reglamento de Firmas y Certificados Digitales, aprobado por el Decreto Supremo Nº 019-2002-JUS, designó al INDECOPI como la Autoridad Administrativa Competente de la Infraestructura Oficial de Firma Digital.

Esta condición fue ratificada por el Reglamento que reemplazó a aquel, aprobado por el Decreto Supremo Nº 004-2007-PCM publicado el 14 de enero de 2007 en el diario oficial El Peruano, así como por el Reglamento vigente, sancionado por el Decreto Supremo Nº 052-2008-PCM, publicado el 19 de julio de 2008.

En tal condición, el INDECOPI –a través de la Comisión de Reglamentos Técnicos y Comerciales– ha aprobado: 1) la Guía de Acreditación para Entidades de Certificación Digital; 2) la Guía de Acreditación para Entidades de Verificación/ Registro de Datos; 3) la Guía de Acreditación para Prestadoras de Servicios de Valor Añadido.

Cada guía contiene el conjunto sistematizado de requisitos a ser cumplidos por la empresa u organismo que desee obtener, de la Comisión de Normalización de Fiscalización de Barreras Comerciales No Arancelarias de INDECOPI, su acreditación como Entidad de Certificación Digital, como Entidad de Registro/Verificación de Datos o como Prestadora de Servicios de Valor Añadido.

Las guías fueron elaboradas por un equipo de consultores que fue contratado gracias al financiamiento del Programa de Modernización y Descentralización del Estado de la Presidencia del Consejo de Ministros.

Entre sus principales características destacan:

Se encuentran ajustadas a la Ley de Firmas y Certificados Digitales (Nº 27269), al Reglamento de la misma y a las normas técnicas internacionales sobre la materia. Cada uno de los requisitos de acreditación señalados en las guías contiene la referencia correspondiente a la ley, al reglamento y las normas técnicas internacionales pertinentes;

Recogen las principales observaciones formuladas por el Registro Nacional de Identificación y Estado Civil (RENIEC), que fue la única institución que presentó observaciones durante el período de discusión pública de los proyectos;

El documento principal –el proyecto de Guía de Acreditación de Entidades de Certificación Digital– fue revisado por la consultora canadiense ENTRUST, que tuvo participación en el diseño de la Infraestructura de Firma Digital de la administración del Estado del Canadá. Se debe indicar que las sugerencias de ENTRUST compatibles con la normativa peruana sobre la materia fueron incorporadas al proyecto.

Finalmente, es pertinente recordar que, según la Ley y el Reglamento de Firmas y Certificados Digitales, los documentos electrónicos (contratos, ofertas, oficios, cartas, etcétera) que lleven firma digital basada en un certificado digital emitido por una entidad acreditada ante el INDECOPI, tendrán el mismo efecto jurídico que un documento manuscrito.