1jdmlfg@gmail.com Firma /sello electrónic@

Identificación Electrónica y Servicios de Confianza

¿Porqué tenemos que confiar en ellos?

2jdmlfg@gmail.com Firma /sello electrónic@

Ejecutividad europea:

Reglamento

Actos de ejecución, actos delegados, núm. de referencia de normas

Control:

Organismos nacionales de supervisión (y autorización).

Organismo de evaluación de la conformidad

Listas de confianza

Etiqueta de confianza UE

Reconocida / Cualificada

Reconocimiento mutuo

SITUACIÓN JURÍDICA ACTUAL

Reglamento UE eIdAS (910/2014)

3jdmlfg@gmail.com Firma /sello electrónic@

Diversidad:

Identificación

Servicios de confianza

❖ Firma electrónica

❖ Sello electrónico

❖ Sello de tiempo electrónica (sellado de tiempo o timestamp)

❖ Entrega electrónica certificada

❖ Autenticación de sitio web

Entra en vigor 17/9/14, pero es aplicable –con excep.- en 1/7/16

Deroga la Directiva 1999/93 de firma electrónica (a partir 1/7/16)

SITUACIÓN JURÍDICA ACTUAL

Reglamento UE eIdAS (910/2014)

4jdmlfg@gmail.com Firma /sello electrónic@

A partir del 1/7/16, solo está en vigor lo que no contradiga o desarrolleel Reglamento eIdAS.

Necesidad de una nueva Ley:

Desarrollo regulación requisitos para solicitar certificadoselectrónicos y de su vida.

Régimen órganos de supervisión y control (incluyendo garantías aaportar).

Régimen de infracciones y sanciones.

Desarrollo prestaciones basadas en soluciones móviles y en la nube.

Nuevo valor probatorio servicios de confianza cualificado. #

SITUACIÓN JURÍDICA ACTUAL

Ley 59/2003 de firma electrónica

5jdmlfg@gmail.com Firma /sello electrónic@

IDENTIFICACIÓN ELECTRÓNICA Y SERVICIOS DE CONFIANZA. REGLAMENTO eIdAS

Conceptos

Identificación electrónica: proceso de utilizar los datos de identificaciónde una persona en formato electrónico que representan de manera única auna persona (3.1 eIdAS)

Certificado de autenticación de sitio web: declaración que permiteautenticar un sitio web y vincula el sitio web con la persona. (3.38 eIdAS)

Firma electrónica: datos en formato electrónico anejos a otros datoselectrónicos o asociados de manera lógica con ellos que utiliza el firmantepara firmar. (3.10 eIdAS)

Sello electrónico: datos en formato electrónico anejos a otros datos enformato electrónico, o asociados de manera lógica con ellos, paragarantizar el origen y la integridad de estos últimos (3.25 eIdAS).Personas jurídicas (3.24 eIdAS).

6jdmlfg@gmail.com Firma /sello electrónic@

Si cumple cuatro requisitos:

Identifica al firmante (al que sella)

Permite detectar cualquier modificación

Está vinculada al firmante (al que sella) y a los datos a que serefiere de manera única

El firmante (que sella) controla los medios con que ha sidogenerada

Estamos ante Firma (sello) Electrónic@ Avanzad@ (26 y 36 eIdAS)

Si además:

Está basada en un certificado cualificado

Ha sido generada con un dispositivo cualificado de creación de firma(sello)

Estamos ante Firma (sello) Electrónic@ Cualificad@ (3.12 y 27 eIdAS) #

IDENTIFICACIÓN ELECTRÓNICA Y SERVICIOS DE CONFIANZA. REGLAMENTO eIdAS

Conceptos. Firma y Sello electrónic@

7jdmlfg@gmail.com Firma /sello electrónic@

EFECTOS JURIDICOS DE LA FIRMA (SELLO) ELECTRONIC@

Una firma electrónica cualificada tendrá un efecto jurídico equivalenteal de una firma manuscrita (25.2 eIdAS≃ 3.4 Ley)

Un sello electrónico cualificado tiene presunción integridad datos ycorrección origen de los datos (35.2 eIdAS)

Por lo tanto, son perfectamente admisibles como prueba documental enjuicio (3.8 Ley) (art. 5.2 de la Ley 56/2007 de impulso de la sociedad dela información)

Pero, además, el sólo hecho de no cumplir con todos los requisitos paraser Cualificad@, no significa que se les niegue todo efecto jurídico oprobatorio (25.1 y 35.1 eIdAS≃ 3.9 Ley)

La Firma Electrónica Reconocida se utilizará en (entre otros) losDocumentos expedidos y firmados electrónicamente por funcionarios o

empleados públicos en el ejercicio de sus funciones públicas (Art. 3.6 bLey)

8jdmlfg@gmail.com Firma /sello electrónic@

Posibilidad de que las personas jurídicas sean titulares de certificadosde Firma Electrónica. #

Art. 15 (Ley 59/2003) DNI electrónico.

1. El DNI electrónico acredita electrónicamente la identidad personal desu titular y permite la firma electrónica de documentos.

2. Todas la personas físicas o jurídicas, públicas o privadas, reconoceránla eficacia del DNI electrónico para acreditar la identidad delfirmante y la integridad de los documentos firmados.

EFECTOS JURIDICOS DE LA FIRMA ELECTRONICA

9jdmlfg@gmail.com Firma /sello electrónic@

Fundamentos de la criptografía asimétrica

El sistema se basa en la existencia de sendos pares de claves, publica yprivada, asignadas al emisor y, en su caso, al receptor de un mensaje y/oarchivo.Las claves están contenidas en el certificado de Firma Electrónica,

que es un fichero creado y firmado digitalmente por la Autoridadde Certificación

y que está en diferentes soportes que hay que utilizar.

…Y VENTAJAS

Para firmar, el emisor ha de utilizar su clave privada…

…para lo cual ha de conocer su PIN de acceso

…pero desconoce en que consiste su clave privada; nadie la conocesalvo la Autoridad de Certificación y sólo en el momento de crearla(ver art. 18 Ley 59/2003)

…y utilizando su clave publica, se demuestra indubitadamente suidentidad.

1ª VENTAJA

2ª VENTAJA

3ª VENTAJA

1ª VENTAJA

2ª VENTAJA

3ª VENTAJA

4ª VENTAJA #

4ª VENTAJA

➢Está basada en un certificado seguro

➢El firmante controla los medios con que ha sido generada

➢El firmante controla los medios con que ha sido generada

➢Identifica al firmante

10jdmlfg@gmail.com Firma /sello electrónic@

7ª VENTAJA

8ª VENTAJA #

No es posible conocer la clave privada partiendo de la pública .Teoría dela factorización de los números primos

El sistema comprobará si la Firma Electrónica sigue vigente o no,mediante la consulta online a la CRL (lista de certificados revocados) oOCSP (Online Certificate Status Protocol) de la autoridad decertificación/validación …

… y se podrían comprobar los atributos

Además, comprobará INDUBITADAMENTE si el documento firmado hasido modificado o no, mediante la utilización del hash del mismo.

Por último, la utilización de la Firma Electrónica supondrá:

Una mayor rapidez en el envío

Y evitará desplazamientos

fundamentos y ventajas de la criptografía asimétrica

5ª VENTAJA

6ª VENTAJA

1ª VENTAJA

2ª VENTAJA

3ª VENTAJA

4ª VENTAJA

5ª VENTAJA

6ª VENTAJA

7ª VENTAJA

8ª VENTAJA

Outlk SSL

Cripto PKI

BOCM Pdf

prueba

➢Permite detectar cualquier modificación

11jdmlfg@gmail.com Firma /sello electrónic@

LA INTEGRIDAD:- Los contenidos no han sido alterados

2

1 LA AUTENTICIDAD:- Emisor y Receptor se reconocen

LA FIRMA ELECTRONICA GARANTIZA

LA CONFIDENCIALIDAD: (si se requiere)- La información sólo es visible por el/los destinatario/s. Para ello utilizaré su/s clave/s publica/s de tal forma que solo él/ellos con su/s clave/s privada/s lo pueda/n ver.

4

3 El NO REPUDIO:- El emisor y el receptor reconocen la transmisión

1ª VENTAJA

2ª VENTAJA

3ª VENTAJA

4ª VENTAJA

5ª VENTAJA

6ª VENTAJA

7ª VENTAJA

8ª VENTAJA

9ª VENTAJA

9ª VENTAJA

10ª VENTAJA #10ª VENTAJA

EJ/GV

Resumen o “hash del documento:F9F4F34E3670BA9FD446D7B0AC32D90477CE5FED

“Hash” codificado con nuestra clave privada

Nuestra clave pública para enviar

Con firma

electrónica

Vuelve a calcular el “hash del documento:F9F4F34E3670BA9FD446D7B0AC32D90477CE5FED

F9F4F34E3670BA9FD446D7B0AC32D90477CE5FEDCon nuestra clave publica descodifica el hash codificado

Si coinciden, la firma es autentica y el documento no ha sido manipulado

Proceso completo

Doc. codificado con clave pública receptor

El receptor lo decodifica con su clave privada

13jdmlfg@gmail.com Firma /sello electrónic@

La Firma Electrónica es perfectamente legal, especialmente si cumple los requisitos para ser considerada como cualificada.

La Firma Electrónica es suficientemente segura, más que la manuscrita.

La Firma Electrónica es interesante para la Contratación Administrativa y ya es el presente obligatorio de la misma #.

EN CONCLUSION1ª VENTAJA

2ª VENTAJA

3ª VENTAJA

4ª VENTAJA

5ª VENTAJA

6ª VENTAJA

7ª VENTAJA

8ª VENTAJA

9ª VENTAJA

10ª VENTAJA

14jdmlfg@gmail.com Firma /sello electrónic@

Un hash es una función matemática que asocia valores de un dominioextenso a otro de menor rango

Los que se utilizan para la Firma Electrónica Reconocida tienen cuatrocaracterísticas:

Todos los Hash generados con un mismo método tienen el mismotamaño sea cual se el de los datos originales.

Dado un texto base es fácil y barato (para un ordenador) calcular suHash.

Es imposible reconstruir el texto base a partir del Hash.

Es imposible que dos textos diferentes tengan un mismo Hash.

Es muy seguro, porque si el Hash tiene 160 bits, se requieren del ordende un cuatrillón (1 seguido de 24 ceros) de pruebas para conseguir“atacarlo”…

Función Hash

Resumen o “hash del documento:

F9F4F34E3670BA9FD446D7B0AC32D90477CE5FED

“Hash” codificado con

nuestra clave privada

Nuestra clave pública para

enviar (firmada por la

autoridad de cert.)

Con firma

electrónica

Vuelve a calcular el “hash del documento:

F9F4F34E3670BA9FD446D7B0AC32D90477CE5FED

F9F4F34E3670BA9FD446D7B0AC32D90477CE5FED

Con nuestra clave publica descodifica el hash codificado

Si coinciden, la firma es autentica y el

documento no ha sido manipulado

¿Como se funciona con el Hash?

prueba

Resumen o “hash del documento:

F9F4F34E3670BA9FD446D7B0AC32D90477CE5FED

“Hash” codificado con

nuestra clave privada

Nuestra clave pública para

enviar

Con firma

electrónica

Vuelve a calcular el “hash del documento:

F9F4F34E3670BA9FD446D7B0AC32D90477CE5FED

F9F4F34E3670BA9FD446D7B0AC32D90477CE5FED

Con nuestra clave publica descodifica el hash codificado

Si coinciden, la firma es autentica y el

documento no ha sido manipulado

REPETIMOS ¿Como se funciona con el Hash?

prueba

17jdmlfg@gmail.com Firma /sello electrónic@

No repudio

El propio proceso de firma nos proporciona no repudio en origen

La implementación de no repudio en destino se puede acometer dediferentes maneras:

a) Mediante dirección electrónica habilitada

b) Mediante correo electrónico con acuse de recibo

c) (Comparecencia electrónica)

Certificado (Time Stanping) : La transacción se certificará por unTCP (tercera parte confiable) interviniente en la operación.#

18jdmlfg@gmail.com Firma /sello electrónic@

“La prueba del algodón”

Confidencialidad, cifrado

Para proporcionar confidencialidad se usa el cifrado.

Se cifra con la clave pública del receptor.

Diferentes soluciones para conocerla.

20jdmlfg@gmail.com Firma /sello electrónic@

CA, Autoridad de Certificación: Es el que genera los pares de claves del

certificado del usuario, y el que da soporte legal y administrativo de las

transacciones realizadas con el certificado.

RA, Autoridad de Registro: “Ventanilla” que permite la relación entre los

usuarios y la Autoridad de Certificación.

Autoridad de Emisión: Emite las tarjetas en las que se guardan los

certificados.

Autoridad de validación: Comprueba si los certificados siguen siendo

validos o no

AA, Autoridad de Atributos: Se responsabiliza de que, p.e., la

pertenencia a un determinado colectivo o los poderes que se poseen, son

los que el certificado contiene.

Terceras Partes de Confianza: Otros emisores de certificados distintos

del nuestro de los que nos fiamos por la fiabilidad de sus procedimientos.

También terceras personas que evitan el no repudio de destino

Usuario: Portador del (de los) certificado(s).

Componentes de una PKI o Infraestructura de Clave Pública

21jdmlfg@gmail.com Firma /sello electrónic@

Comprobación “transparente” en Outlook

Este es un mensaje firmado electrónicamente con objeto de la celebración de las jornadas sobre la contratación publica electrónica

internacional.

22jdmlfg@gmail.com Firma /sello electrónic@

La criptografía

•Criptografía: Kryptos (escondido) + Graphos (escritura) =

Escritura escondida. Se trata de escribir algo de forma que otra

persona que lo lea no lo pueda entender salvo que sepa como

se ha “escondido” ( o encriptado).

• Criptografía simétrica: Usamos la misma clave para cifrar y

descifrar. Para que el receptor descifre el mensaje es

imprescindible que conozca la clave que el emisor ha utilizado,

con lo que proporciona menor seguridad, al poderse difundir

aquella clave.

• VS Criptografía asimétrica: Como se usan dos claves del

emisor para firmar, una privada y la otra pública, y otras dos, en

su caso, para cifrar (la privada y la pública del receptor),

ninguno de ellos necesita conocer la clave privada del otro, por

lo que el sistema es muy seguro.

•Seguridad en las transacciones por Internet (SSL) SSL

23jdmlfg@gmail.com Firma /sello electrónic@

Artículo 5. Modificaciones de la Ley 59/2003, de firma electrónica.

24jdmlfg@gmail.com Firma /sello electrónic@

El algoritmo RSA y la factorización de números primos grandes

--------------------------------------------------------------------------------

1. Introducción

El algoritmo RSA es un algoritmo de clave pública desarrollado en 1977 en el MIT por Ronald Rivest, Adi Shamir y Leonard

Adelman.

Fue registrado el 20 de Septiembre de 1983. El 20 de Septiembre del 2000, tras 17 años, expiró la patente RSA, pasando a ser un

algoritmo de dominio público.

Este popular sistema se basa en el problema matemático de la factorización de números grandes.

--------------------------------------------------------------------------------

2. El algoritmo RSA El algoritmo RSA funciona de la siguiente manera:

Inicialmente es necesario generar aleatoriamente dos números primos grandes, a los que llamaremos p y q.

A continuación calcularemos n como producto de p y q: n = p * q

Se calcula fi: fi(n)=(p-1)(q-1)

Se calcula un número natural e de manera que MCD(e, fi(n))=1 , es decir e debe ser primo relativo de fi(n).

Es lo mismo que buscar un numero impar por el que dividir fi(n) que de cero como resto.

Mediante el algoritmo extendido de Euclides se calcula d: e.d mod fi(n)=1 Puede calcularse d=((Y*fi(n))+1)/e para Y=1,2,3,...

hasta encontrar un d entero.

El par de números (e,n) son la clave pública.

El par de números (d,n) son la clave privada.

Cifrado: La función de cifrado es C = M^e mod n

Descifrado: La función de descifrado es M = C^d mod n

25jdmlfg@gmail.com Firma /sello electrónic@

El algoritmo RSA y la factorización de números primos grandes. Veamos un ejemplo sencillo:

1. Escogemos dos números primos, por ejemplo p=3 y q=11.

2. Los multiplicamos n = 3 * 11 = 33.

3. Hallamos fi(n) = (3-1) * (11-1) = 20.

4. Buscamos el número natural e de manera que MCD(e, fi(n))=1 e: 20/1=0, 20/3=6.67. e=3.

5. Mediante el algoritmo extendido de Euclides se calcula d: e.d mod fi(n)=1 d = ((Y * fi(n)) + 1) / e = ( Y * 20 + 1) /

3 = 21 / 3 = 7

6. Obtenemos, por lo tanto dos pares de números:

• e=3 y n=33 son la clave privada.

• d=7 y n=33 son la clave pública.

7. Cifro y descifro un mensaje:

• Mensaje = 5,

• Cifrado con e: C = M^e mod n = 5 elevado a 3 mod 33 = 26

• El mensaje 26 viaja por la red

• Descifrado con d: M = C^d mod n = 26 elevado a 7 mod 33 = 8031810176 mod 33 = 5

• Si quiero descifrar el mensaje y no sé cual es el valor de d, y utilizo cualquier número:

• P.e. utilizo el 4 26 elevado a 4 mod 33=456976 mod 33 = 25

• P.e. utilizo el 6 26 elevado a 6 mod 33=308915776 mod 33 = 4

• Obtengo un resultado, pero no es el del mensaje cifrado

• Si cifro con d y descifro con e, el resultado es el mismo:

• cifrado: 5 elevado a 7 mod 33 =78125 mod 33= 14

• Descifrado: 14 elevado a 3 mod 33= 2744 mod 33= 5

26jdmlfg@gmail.com Firma /sello electrónic@

Base de datos

de licitación

Mie

mbro

s de la m

esa AlmacenadorAlmacenador

AlmacenadorAlmacenador

AlmacenadorAlmacenador

Se guardan sólo las claves publicas,

no las privadas

Esquemas de funcionamiento en la licitación electrónica

: 1 Alta de la licitación

27jdmlfg@gmail.com Firma /sello electrónic@

Esquemas de funcionamiento en la licitación electrónica

: 2. Presentación de las ofertas

Esquemas de funcionamiento en la licitación electrónica

: 3 envío vía internet con seguridad SSL

29jdmlfg@gmail.com Firma /sello electrónic@

Esquemas de funcionamiento en la licitación electrónica

: 3 Apertura de la documentación

Acceso con sus tarjetas de Firma Electrónica Reconocida

HSM

1. PIN2. BIOMETRICO

1. PIN2. BIOMETRICO

1. PIN2. CLAVE BARCOS3. CLAVE AL MOVIL4.

Ejemplo de HASH

El Hash garantiza la integridad

Mediante el código ASCII

El código ASCII asigna a cada letra o signo de puntuación su número equivalente

Es una clave simétrica estándar internacional que utilizan todos los ordenadores.

A B C D E F G H I

65 66 67 68 69 70 71 72 73

a b c d e f g h i

97 98 99 100 101 102 103 104 105

á é í ó ú ! " # $

225 233 237 243 250 33 34 35 36

Vamos a substituir cada letra este texto por su código ASCII

L a c o n t r a t a c i ó n

76 97 32 99 111 110 116 114 97 116 97 99 105 243 110

e l e c t r ó n i c a : u n a

101 108 101 99 116 114 243 110 105 99 97 58 117 110 97

t a r e a i n a p l a z a b

116 97 114 101 97 32 105 110 97 112 108 97 122 97 98

Utilizamos los códigos ASCII de un texto para hacer cualquier cálculo que queramos

En este caso, agrupamos de tres en tres letras, y calculamos

(la 1ª letra-la 2ª letra )* la 3 ªletraLa suma de los resultados es una función HASH que identifica

plenamente el texto.

L a c o n t r a t a c i ó n

76 97 32 99 111 110 116 114 97 116 97 99 105 243 110

-672 -1.320 1941.881 -15.180

e l e c t r ó n i c a : u n a

101 108 101 99 116 114 243 110 105 99 97 58 117 110 97

-707 -1.938 13.965 116 679

t a r e a i n a p l a z a b

116 97 114 101 97 32 105 110 97 112 108 97 122 97 98

2.166 128 -485 388 2.450

1.665

L a c o n t r a t a c i ó n

76 97 32 99 111 110 116 114 97 116 97 99 105 243 110

-672 -1.320 1941.881 -15.180

e l e c t r o n i c a : u n a

101 108 101 99 116 114 111 110 105 99 97 58 117 110 97

-707 -1.938 243 105 116 679

t a r e a i n a p l a z a b

116 97 114 101 97 32 105 110 97 112 108 97 122 97 98

2.166 128 -485 388 2.450

-12.195

Cualquier modificación en el texto provoca un cambio en el valor de la función HASH

En este ejemplo, al substituir “electrónica” por “electronica” sin acento, su valor HASH ha pasado de 1.665 a -12.195

x

36jdmlfg@gmail.com Firma electrónica en la contratación administrativa

LA REGULACIÓN DE LA FIRMA ELECTRÓNICA

EN LAS NORMAS DE CONTRATOS PÚBLICOS

37jdmlfg@gmail.com Firma electrónica en la contratación administrativa

Artículo 22.6 (40.6)Apartado b)• Los EEMM o los poderes adjudicadores deberán especificar el nivel de seguridad

exigido para los medios de comunicación electrónicos utilizados en las diferentesfases de cada procedimiento de contratación.

• el nivel será proporcional a los riesgos asociados.

Apartado c)Cuando se exijan firmas electrónicas avanzadas… los poderes adjudicadoresaceptarán… las firmas respaldadas por un certificado electrónico reconocidomencionado en la Lista de Confianza (de la Decisión 2009/767)……con o sin dispositivo seguro de creación de firma……siempre que su formato de la firma avanzada sean los contemplados en la Decisión2011/130…...o que, siendo diferente, la firma o el documento incluyan la información paravalidar en línea la firma de manera gratuita y sin conocer el idioma.…Y no se pueden aplicar requisitos adicionales que puedan entorpecer el uso de estetipo de firma por los licitadores. #

LA NUEVA DIRECTIVA DE CONTRATOS 2014/24 (y 25)

38jdmlfg@gmail.com Firma electrónica en la contratación administrativa

Anterior Ley 30/2007 de Contratos del Sector Público.Disposición adicional decimosexta (anteriormente decimonovena).Apartado fTodos los actos y manifestaciones de voluntad que tengan efectos jurídicos• de los órganos administrativos• o de las empresas licitadorasy se emitan• en la fase preparatoria• en la fase de licitación• en la fase de adjudicación• en la fase de ejecución del contrato... deben ser autenticados mediante una firma electrónica reconocida (redacción original).... deben ser autenticados mediante una firma electrónica «avanzada reconocida» ¿¿??

(redacción tras la ley 25/2013 de factura electrónica en el sector público)Salvo las facturas electrónicas –que se rigen según diga la Ley 25/2013-

NUESTRA NORMATIVA 1

39jdmlfg@gmail.com Firma electrónica en la contratación administrativa

NUESTRA NORMATIVA 2

Ley 31/2007, sobre procedimientos de contratación en los sectores especiales.

Artículo 73.2.b Comunicaciones por medios electrónicos.Se exigirá que las ofertas transmitidas por vía electrónica vayan acompañadas deuna firma electrónica avanzada con arreglo a la Ley 59/2003 de Firma Electrónica.

Anexo XLos dispositivos de recepción electrónica… deberán garantizar, como mínimo… que:a) las firmas electrónicas relativas a las ofertas, a las solicitudes de participación, alas solicitudes de clasificación y a los envíos de planos y proyectos se ajusten a laLey 59/2003 de Firma electrónica.

40jdmlfg@gmail.com Firma electrónica en la contratación administrativa

Nueva Ley 9/2017 de Contratos del Sector Público.Disposición adicional decimosexta

Apartado 1.f) Los órganos de contratación deberán especificar el nivel deseguridad exigido para los medios de comunicación electrónicos utilizados en lasdiferentes fases de cada procedimiento de contratación que deberá serproporcional a los riesgos asociados a los intercambios de información a realizar.

Mediante Orden del Ministerio de Hacienda y Función Pública se establecerán lascondiciones de utilización de las firmas electrónicas en los procedimientos decontratación del Sector Público

Apartado 1.h)... Las copias electrónicas de los documentos que deban incorporarseal expediente, deberán cumplir con lo establecido a tal efecto en la legislaciónvigente en materia de procedimiento administrativo común, surtiendo los efectosestablecidos en la misma. #

NUESTRA NORMATIVA 3