Upload
gilberto-henriquez
View
67
Download
0
Embed Size (px)
DESCRIPTION
Firma digital
Citation preview
07/12/2010
Firma digital y certificados en las AA PP
AGENCIA ESPAOLA DE COOPERACIN INTERNACIONAL PARA EL DESARROLLO (AECID) UNIVERSIDAD DE PANAM
La firma digital y las Administraciones PblicasArturo Ribagorda Garnacho Catedrtico de Universidad. Universidad Carlos III de Madrid
Firma digital y certificados en las AA PP
LA FIRMA DIGITAL Y LOS CERTIFICADOS EN LAS AA PP La seguridad de la informacin administrativa. El cifrado de datos sensibles. La firma digital. Qu es. Qu efectos tiene. Como se realiza. Certificados digitales. Funciones. Tipos de certificados: personal, de servidor, Contenido. Formatos.
Firma digital y certificados en las AA PP
LA FIRMA DIGITAL Y LOS CERTIFICADOS EN LAS AA PP Autoridades de Certificacin Funciones. Tipos de Autoridades de certificacin. Revocacin de certificados. La constancia fiable de tiempo: sellos de tiempo y Autoridades de sellado Infraestructuras de clave Pblica (PKI). Estructuracin de las Autoridades de certificacin. Autoridades de validacin. El caso de la Administracin Pblica espaola: La plataforma @firma. La firma digital. Validez legal en Espaa y en la Unin Europea.
1
07/12/2010
Firma digital y certificados en las AA PP
LA FIRMA DIGITAL Y LOS CERTIFICADOS EN LAS AA PP La identidad digital. Tarjetas e-ID (sanitaria, permiso de circulacin, ). El documento nacional de identidad electrnico espaol. La firma y los certificados en la informatizacin de las Administraciones. El caso espaol: La Ley 11/2007 de Acceso electrnico de los ciudadanos a las Administraciones Pblica y su Reglamento de desarrollo. Desarrollos legales en la proteccin de los datos personales. Directiva de la Unin Europea Ley espaola de proteccin de datos personales (LOPD) Reglamento de desarrollo de la LOPD.
Firma digital y certificados en las AA PP
ADMINISTRACIN ELECTRNICA1:
El uso de tecnologas de la informacin y de las comunicaciones, especialmente Internet, Internet como herramienta para mejorar la administracin
1. La administracin electrnica: un imperativo. OCDE. 2004
Firma digital y certificados en las AA PP
ADMINISTRACIN ELECTRNICA
El uso de la tecnologa de la informacin y la comunicacin en las administraciones pblicas para mejorar los servicios pblicos y los procesos democrticos y reforzar el respaldo a las polticas pblicas
2
07/12/2010
Firma digital y certificados en las AA PP
LA ADMINISTRACIN PBLICA. Retos
Simplificacin administrativa Eficiencia Coordinacin Cercana Transparencia Privacidad
Firma digital y certificados en las AA PP
MEDIDAS DE SEGURIDAD: Legales
Ley 11/2007 de acceso electrnico de los ciudadanos a los Servicios Pblicos R. D. 1671/2009, por el que se desarrolla p parcialmente la Ley 11/2007 y R. D. 3/2010, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica R. D. 4/2010, por el que se regula el Esquema Nacional de Interoperabilidad en el mbito de la Administracin Electrnica.
Firma digital y certificados en las AA PP
A2C: % respecto de ciudadanos >15 aos1
1. RED.ES-ONTSI (2008)
9
3
07/12/2010
Firma digital y certificados en las AA PP
Empresas que interactan con la A. P por Internet (%)
1. RED.ES-ONTSI (2008)
Firma digital y certificados en las AA PP
Microempresas que interactan con la A. P. por Internet (%)
1. RED.ES-ONTSI (2008)
Firma digital y certificados en las AA PP
EMPRESAS. Interaccin con la A. P. por Internet (%)
1. RED.ES-ONTSI (2008)
4
07/12/2010
Firma digital y certificados en las AA PP
INDIVIDUOS. Trmites con la A. P. por Internet (%)
1. RED.ES-ONTSI (2008)
Firma digital y certificados en las AA PP
INTERNAUTAS: Razones para no comprar1
1. RED.ES-ONTSI (2008)
14
Firma digital y certificados en las AA PP
Y el principal reto que tiene la implantacin de las Tecnologas de la Informacin y las Comunicaciones (TIC) en la sociedad en general y en la Administracin en particular es la generacin q de confianza suficiente que elimine o minimice los riesgos asociados a su utilizacin. La desconfianza nace de la percepcin, muchas veces injustificada, de una mayor fragilidad de la informacin en soporte electrnico, de posibles riesgos de prdida de privacidad y de la escasa transparencia de estas tecnologas.LEY 11/2007 de Acceso electrnico de los ciudadanos a los servicios pblicos
5
07/12/2010
Firma digital y certificados en las AA PP
[] las Administraciones deben comprometerse con su poca y ofrecer a sus ciudadanos las ventajas y posibilidades que la sociedad de la informacin tiene, asumiendo su responsabilidad de contribuir a hacer realidad la sociedad de la informacin. Los tcnicos y los cientficos han puesto en pie los instrumentos de esta sociedad, pero su generalizacin depende, en buena medida, del impulso que reciba de las Administraciones Pblicas. Depende de la confianza y seguridad que genere en los ciudadanos [].
Firma digital y certificados en las AA PP
Artculo 41. Principios generales. f) Principio de seguridad en la implantacin y utilizacin de los medios electrnicos por las Administraciones Pblicas, en cuya virtud se exigir al menos el mismo nivel de garantas y seguridad que se requiere para la utilizacin de medios no electrnicos en la actividad administrativa.1. LEY 11/2007 de Acceso electrnico de los ciudadanos a los servicios pblicos
Firma digital y certificados en las AA PP
Artculo 4. Principios generales. g) Principio de proporcionalidad en cuya virtud slo se exigirn las garantas y medidas de seguridad adecuadas a la naturaleza y circunstancias de los distintos trmites y actuaciones. Asimismo slo se requerirn a los ciudadanos aquellos datos que sean estrictamente necesarios en atencin a la finalidad para la que se soliciten.1. LEY 11/2007 de Acceso electrnico de los ciudadanos a los servicios pblicos
6
07/12/2010
Firma digital y certificados en las AA PP
FACTURA ELECTRNICA1
[] A estos efectos, se entender que la factura electrnica es un documento electrnico que cumple con l requisitos l l los i it legal y l reglamentariamente exigibles a las facturas y que, adems, garantiza la autenticidad de su origen y la integridad de su contenido contenido, lo que impide el repudio de la factura por su emisor1. LEY 56/07 Medidas Impulso S.I. (Art. 1)
Firma digital y certificados en las AA PP
EUROPA: Factura electrnica1
1. RED.ES-ONTSI (2008)
20
Firma digital y certificados en las AA PP
[] en Espaa se hacen unas 4.500 millones de facturas al ao con un ahorro por factura, en el ao, caso de hacerlas electrnicamente, de 3,4 euros euros. Por tanto, la divulgacin de la Factura Electrnica supone un ahorro p p potencial al ao de ms de 15.000 millones de euros para la economa espaola, un 1,5% del PIB [] [] Con Facturae la Administracin Pblica crea un formato gratuito, abierto y con la garanta de la Agencia Tributaria y de la Secretara de Estado de Telecomunicaciones y para la Sociedad de la Informacin []
7
07/12/2010
Firma digital y certificados en las AA PP
EUROPA: Firma electrnica1
22 1. RED.ES-ONTSI (2008)
Firma digital y certificados en las AA PP
LA FIRMA DIGITAL Y LOS CERTIFICADOS EN LAS AA PP
La seguridad de la informacin administrativa. El cifrado de datos sensibles. La firma digital. digital Certificados digitales.
Firma digital y certificados en las AA PP
Coste Seguridad Rendimiento Usabilidad
24
8
07/12/2010
Firma digital y certificados en las AA PP
SEGURIDAD
Objetiva Subjetiva (Confianza)
25
Firma digital y certificados en las AA PP
SEGURIDAD DE LOS DATOS
La seguridad de los datos trata de la p proteccin de stos frente a revelaciones accidentales o intencionadas a usuarios no autorizados, frente a modificaciones indebidas o frente a destrucciones.26
Firma digital y certificados en las AA PP
Confidencialidad
Integridad
Disponibilidad27
9
07/12/2010
Firma digital y certificados en las AA PP
MECANISMOS DE SEGURIDAD
Autenticacin Control de accesos Cifrado de datos Funciones resumen Firma digital Registro de auditora28
Firma digital y certificados en las AA PP
LA FIRMA DIGITAL Y LOS CERTIFICADOS EN LAS AA PP
La seguridad de la informacin administrativa. El cifrado de datos sensibles. La firma di it l L fi digital. Certificados digitales.
Firma digital y certificados en las AA PP
CRIPTOGRAFA
Disciplina que estudia los principios, mtodos y medios de transformar los datos para ocultar su significado
30
10
07/12/2010
Firma digital y certificados en las AA PP
Confidencialidad Criptografa
Integridad
Disponibilidad31
Firma digital y certificados en las AA PP
SISTEMA DE CIFRADO (Criptosistema)
Ejemplo de cifrado
Xcdbay Dvr stuvn
Ejemplo de cifrado
Documento en claro
Cifrador
Documento cifrado Clave de cifrado
Descifrador
Documento en claro
Clave de descifrado32
Firma digital y certificados en las AA PP
CRIPTOSISTEMA SIMTRICO (DE CLAVE SECRETA)
Ejemplo de cifrado
Xcdbay Dvr stuvn
Ejemplo de cifrado
Documento en claro
Cifrador
Documento cifrado
Descifrador
Documento en claro
Clave de cifrado y descifrado33
11
07/12/2010
Firma digital y certificados en las AA PP
CRIPTOANLISIS
Anlisis de un sistema criptogrfico, sus entradas y salidas, o ambas, para obtener variables o datos sensibles, incluyendo el texto en claro
34
Firma digital y certificados en las AA PP
CRIPTOANLISIS: Principio de Kerckhoff (Auguste Kerckhoff , 1883)
La seguridad del cifrado debe de residir, exclusivamente, en el secreto de la clave
35
Firma digital y certificados en las AA PP
CRIPTOSISTEMA ASIMTRICO (DE CLAVE PBLICA)
Ejemplo de cifrado
Xcdbay Dvr stuvn
Ejemplo de cifrado
Documento en claro
Cifrador
Documento cifrado
Descifrador
Documento en claro
Clave de cifrado (pblica) Clave de descifrado (privada)36
12
07/12/2010
Firma digital y certificados en las AA PP
SISTEMAS DE CIFRADO: Usos
Simtrico o de clave secreta Confidencialidad
Asimtrico o de clave pblica No repudio (Firma digital) Intercambio de claves secretas37
Firma digital y certificados en las AA PP
LEY GRAL. DE TELECOMUNICACIONES1: Cifrado en las redes y servicios de comunicaciones electrnicas (Art. 36)
1. Cualquier tipo de informacin que se transmita por redes de comunicaciones electrnicas podr ser protegida mediante procedimientos de cifrado
1. Ley 32/03 de 3 de noviembre
38
Firma digital y certificados en las AA PP
LEY GRAL. DE TELECOMUNICACIONES1: Cifrado en las redes y servicios de comunicaciones electrnicas (Art. 36)
2. ... Entre sus condiciones de uso, cuando se utilice para proteger la confidencialidad de la informacin, se podr imponer la obligacin , p p g de facilitar a un rgano de la AGE o a un organismo pblico, los algoritmos o cualquier procedimiento de cifrado utilizado, as como la obligacin de facilitar sin coste alguno los aparatos de cifra a efectos de su control de acuerdo con a normativa vigente1. Ley 32/03 de 3 de noviembre 39
13
07/12/2010
Firma digital y certificados en las AA PP
CIFRADO DE LOS DATOS
Algoritmos de compresinWinRAR WinZip AES 128 Algoritmo propietario
Procesadores de textosMicrosoft Office Word Adobe Acrobat Profesional
Firma digital y certificados en las AA PP
LA FIRMA DIGITAL Y LOS CERTIFICADOS EN LAS AA PP
La seguridad de la informacin administrativa. El cifrado de datos sensibles. g La firma digital. Qu es. Qu efectos tiene. Como se realiza. Certificados digitales.
Firma digital y certificados en las AA PP
NORMALIZACIN: mbito internacional
Comisin Electrnica Internacional (International Electrotechnical Commission, IEC)Normas sobre electrotecnia y electrnica Pases miembros ~ 60
Organizacin Internacional de (International Organization Standardization, ISO)
Normas. for42
Normas resto de sectores de actividades Pases miembros ~ 130
14
07/12/2010
Firma digital y certificados en las AA PP
NORMALIZACIN: mbito internacional
ISO e IEC elaboran conjuntamente las normas relativas a las T. I. (Joint Technical Comitee 1 JTC1) 1, http://www.iso.org/iso/jtc1_home.html
Firma digital y certificados en las AA PP
NORMALIZACIN: mbito internacional
Unin Internacional Telecomunicaciones (UIT)
de
las
Sector telecomunicaciones (UIT-T) Antes: Comit Consultivo Internacional Telegrfico y telefnico (CCITT) Sector radiocomunicaciones (UIT-R) Antes: Comit Consultivo Internacional de Radiocomunicaciones (CCIR) Sector de desarrollo Telecomunicaciones (UIT-D) de las44
Firma digital y certificados en las AA PP
ORGANISMOS NACIONALES DE NORMALIZACINPAS Alemania Espaa EUA Francia Japn Rusia Suiza ORGANISMO Deutsches Institut fr Normung (DIN) Asociacin Espaola de Normalizacin y Certificacin (AENOR) American National Standards Institute (ANSI) Association Franaise de Normalisation (AFNOR) Japanese Industrial Standars Committee (JISC) Agencia Federal para la Regulacin Tcnica y la Metrologa (GOST) Swiss Association for Standardization (SNV)
Reino Unido British Standards Institution (BS)
15
07/12/2010
Firma digital y certificados en las AA PP
ORGANISMOS NACIONALES DE NORMALIZACINPAS R. Panam Mxico Chile ORGANISMO Dcin. Gral. Normas y Tecnologa Industrial. Mterio Comercio e Industrias Direccin General de Normas (DGN) Instituto Nacional de Normalizacin (INN)
Firma digital y certificados en las AA PP
ESTNDAR O NORMA DE FACTO
No consensuado ni legitimado por un organismo oficial de normalizacin Aceptado y ampliamente utilizada p iniciativa p p por propia de un gran nmero de interesados Algunos acaban en estndares de iure A menudo prevalecen sobre los de iure Especialmente importantes en el mbito de las T.I.
Firma digital y certificados en las AA PP
ESTNDAR O NORMA DE FACTO. Instituciones
IETF (Internet Engineering Task Force) RFC (Request for Comments)
IEEE (Institute of Electrical and Electronics Engineers) 802, 802.11, Posix, VHDL,
World Wide Web Consortium (W3C) ECMA (En origen: European Computer Manufacturers Association) ECMA 376 Office Open XML File Formats
16
07/12/2010
Firma digital y certificados en las AA PP
FIRMA DIGITAL
Transformacin criptogrfica de un conjunto de datos que lo protegen de falsificaciones y permiten al receptor de aquel conjunto probar su origen e integridad11. ISO/IEC 19790: 2006 49
Firma digital y certificados en las AA PP
FIRMA DIGITAL
Firma
Verificacin
Clave pblica (Datos de verificacin de firma) Clave privada (Datos de creacin de firma)50
Firma digital y certificados en las AA PP
FUNCIN RESUMEN (HASH)1
Funcin matemtica que transforma elementos de un conjunto, posiblemente muy grande, en elementos de otro conjunto mucho ms pequeo
1. ISO/IEC 10181-2
51
17
07/12/2010
Firma digital y certificados en las AA PP
FUNCIN RESUMEN (con clave) A(k, M) = R M: preimagen de R
A(k, M) es fcil de calcular R