[email protected] Firma /sello electrónic@
Identificación Electrónica y Servicios de Confianza
¿Porqué tenemos que confiar en ellos?
[email protected] Firma /sello electrónic@
Ejecutividad europea:
Reglamento
Actos de ejecución, actos delegados, núm. de referencia de normas
Control:
Organismos nacionales de supervisión (y autorización).
Organismo de evaluación de la conformidad
Listas de confianza
Etiqueta de confianza UE
Reconocida / Cualificada
Reconocimiento mutuo
SITUACIÓN JURÍDICA ACTUAL
Reglamento UE eIdAS (910/2014)
[email protected] Firma /sello electrónic@
Diversidad:
Identificación
Servicios de confianza
❖ Firma electrónica
❖ Sello electrónico
❖ Sello de tiempo electrónica (sellado de tiempo o timestamp)
❖ Entrega electrónica certificada
❖ Autenticación de sitio web
Entra en vigor 17/9/14, pero es aplicable –con excep.- en 1/7/16
Deroga la Directiva 1999/93 de firma electrónica (a partir 1/7/16)
SITUACIÓN JURÍDICA ACTUAL
Reglamento UE eIdAS (910/2014)
[email protected] Firma /sello electrónic@
A partir del 1/7/16, solo está en vigor lo que no contradiga o desarrolleel Reglamento eIdAS.
Necesidad de una nueva Ley:
Desarrollo regulación requisitos para solicitar certificadoselectrónicos y de su vida.
Régimen órganos de supervisión y control (incluyendo garantías aaportar).
Régimen de infracciones y sanciones.
Desarrollo prestaciones basadas en soluciones móviles y en la nube.
Nuevo valor probatorio servicios de confianza cualificado. #
SITUACIÓN JURÍDICA ACTUAL
Ley 59/2003 de firma electrónica
[email protected] Firma /sello electrónic@
IDENTIFICACIÓN ELECTRÓNICA Y SERVICIOS DE CONFIANZA. REGLAMENTO eIdAS
Conceptos
Identificación electrónica: proceso de utilizar los datos de identificaciónde una persona en formato electrónico que representan de manera única auna persona (3.1 eIdAS)
Certificado de autenticación de sitio web: declaración que permiteautenticar un sitio web y vincula el sitio web con la persona. (3.38 eIdAS)
Firma electrónica: datos en formato electrónico anejos a otros datoselectrónicos o asociados de manera lógica con ellos que utiliza el firmantepara firmar. (3.10 eIdAS)
Sello electrónico: datos en formato electrónico anejos a otros datos enformato electrónico, o asociados de manera lógica con ellos, paragarantizar el origen y la integridad de estos últimos (3.25 eIdAS).Personas jurídicas (3.24 eIdAS).
[email protected] Firma /sello electrónic@
Si cumple cuatro requisitos:
Identifica al firmante (al que sella)
Permite detectar cualquier modificación
Está vinculada al firmante (al que sella) y a los datos a que serefiere de manera única
El firmante (que sella) controla los medios con que ha sidogenerada
Estamos ante Firma (sello) Electrónic@ Avanzad@ (26 y 36 eIdAS)
Si además:
Está basada en un certificado cualificado
Ha sido generada con un dispositivo cualificado de creación de firma(sello)
Estamos ante Firma (sello) Electrónic@ Cualificad@ (3.12 y 27 eIdAS) #
IDENTIFICACIÓN ELECTRÓNICA Y SERVICIOS DE CONFIANZA. REGLAMENTO eIdAS
Conceptos. Firma y Sello electrónic@
[email protected] Firma /sello electrónic@
EFECTOS JURIDICOS DE LA FIRMA (SELLO) ELECTRONIC@
Una firma electrónica cualificada tendrá un efecto jurídico equivalenteal de una firma manuscrita (25.2 eIdAS≃ 3.4 Ley)
Un sello electrónico cualificado tiene presunción integridad datos ycorrección origen de los datos (35.2 eIdAS)
Por lo tanto, son perfectamente admisibles como prueba documental enjuicio (3.8 Ley) (art. 5.2 de la Ley 56/2007 de impulso de la sociedad dela información)
Pero, además, el sólo hecho de no cumplir con todos los requisitos paraser Cualificad@, no significa que se les niegue todo efecto jurídico oprobatorio (25.1 y 35.1 eIdAS≃ 3.9 Ley)
La Firma Electrónica Reconocida se utilizará en (entre otros) losDocumentos expedidos y firmados electrónicamente por funcionarios o
empleados públicos en el ejercicio de sus funciones públicas (Art. 3.6 bLey)
[email protected] Firma /sello electrónic@
Posibilidad de que las personas jurídicas sean titulares de certificadosde Firma Electrónica. #
Art. 15 (Ley 59/2003) DNI electrónico.
1. El DNI electrónico acredita electrónicamente la identidad personal desu titular y permite la firma electrónica de documentos.
2. Todas la personas físicas o jurídicas, públicas o privadas, reconoceránla eficacia del DNI electrónico para acreditar la identidad delfirmante y la integridad de los documentos firmados.
EFECTOS JURIDICOS DE LA FIRMA ELECTRONICA
[email protected] Firma /sello electrónic@
Fundamentos de la criptografía asimétrica
El sistema se basa en la existencia de sendos pares de claves, publica yprivada, asignadas al emisor y, en su caso, al receptor de un mensaje y/oarchivo.Las claves están contenidas en el certificado de Firma Electrónica,
que es un fichero creado y firmado digitalmente por la Autoridadde Certificación
y que está en diferentes soportes que hay que utilizar.
…Y VENTAJAS
Para firmar, el emisor ha de utilizar su clave privada…
…para lo cual ha de conocer su PIN de acceso
…pero desconoce en que consiste su clave privada; nadie la conocesalvo la Autoridad de Certificación y sólo en el momento de crearla(ver art. 18 Ley 59/2003)
…y utilizando su clave publica, se demuestra indubitadamente suidentidad.
1ª VENTAJA
2ª VENTAJA
3ª VENTAJA
1ª VENTAJA
2ª VENTAJA
3ª VENTAJA
4ª VENTAJA #
4ª VENTAJA
➢Está basada en un certificado seguro
➢El firmante controla los medios con que ha sido generada
➢El firmante controla los medios con que ha sido generada
➢Identifica al firmante
[email protected] Firma /sello electrónic@
7ª VENTAJA
8ª VENTAJA #
No es posible conocer la clave privada partiendo de la pública .Teoría dela factorización de los números primos
El sistema comprobará si la Firma Electrónica sigue vigente o no,mediante la consulta online a la CRL (lista de certificados revocados) oOCSP (Online Certificate Status Protocol) de la autoridad decertificación/validación …
… y se podrían comprobar los atributos
Además, comprobará INDUBITADAMENTE si el documento firmado hasido modificado o no, mediante la utilización del hash del mismo.
Por último, la utilización de la Firma Electrónica supondrá:
Una mayor rapidez en el envío
Y evitará desplazamientos
fundamentos y ventajas de la criptografía asimétrica
5ª VENTAJA
6ª VENTAJA
1ª VENTAJA
2ª VENTAJA
3ª VENTAJA
4ª VENTAJA
5ª VENTAJA
6ª VENTAJA
7ª VENTAJA
8ª VENTAJA
Outlk SSL
Cripto PKI
BOCM Pdf
prueba
➢Permite detectar cualquier modificación
[email protected] Firma /sello electrónic@
LA INTEGRIDAD:- Los contenidos no han sido alterados
2
1 LA AUTENTICIDAD:- Emisor y Receptor se reconocen
LA FIRMA ELECTRONICA GARANTIZA
LA CONFIDENCIALIDAD: (si se requiere)- La información sólo es visible por el/los destinatario/s. Para ello utilizaré su/s clave/s publica/s de tal forma que solo él/ellos con su/s clave/s privada/s lo pueda/n ver.
4
3 El NO REPUDIO:- El emisor y el receptor reconocen la transmisión
1ª VENTAJA
2ª VENTAJA
3ª VENTAJA
4ª VENTAJA
5ª VENTAJA
6ª VENTAJA
7ª VENTAJA
8ª VENTAJA
9ª VENTAJA
9ª VENTAJA
10ª VENTAJA #10ª VENTAJA
EJ/GV
Resumen o “hash del documento:F9F4F34E3670BA9FD446D7B0AC32D90477CE5FED
“Hash” codificado con nuestra clave privada
Nuestra clave pública para enviar
Con firma
electrónica
Vuelve a calcular el “hash del documento:F9F4F34E3670BA9FD446D7B0AC32D90477CE5FED
F9F4F34E3670BA9FD446D7B0AC32D90477CE5FEDCon nuestra clave publica descodifica el hash codificado
Si coinciden, la firma es autentica y el documento no ha sido manipulado
Proceso completo
Doc. codificado con clave pública receptor
El receptor lo decodifica con su clave privada
[email protected] Firma /sello electrónic@
La Firma Electrónica es perfectamente legal, especialmente si cumple los requisitos para ser considerada como cualificada.
La Firma Electrónica es suficientemente segura, más que la manuscrita.
La Firma Electrónica es interesante para la Contratación Administrativa y ya es el presente obligatorio de la misma #.
EN CONCLUSION1ª VENTAJA
2ª VENTAJA
3ª VENTAJA
4ª VENTAJA
5ª VENTAJA
6ª VENTAJA
7ª VENTAJA
8ª VENTAJA
9ª VENTAJA
10ª VENTAJA
[email protected] Firma /sello electrónic@
Un hash es una función matemática que asocia valores de un dominioextenso a otro de menor rango
Los que se utilizan para la Firma Electrónica Reconocida tienen cuatrocaracterísticas:
Todos los Hash generados con un mismo método tienen el mismotamaño sea cual se el de los datos originales.
Dado un texto base es fácil y barato (para un ordenador) calcular suHash.
Es imposible reconstruir el texto base a partir del Hash.
Es imposible que dos textos diferentes tengan un mismo Hash.
Es muy seguro, porque si el Hash tiene 160 bits, se requieren del ordende un cuatrillón (1 seguido de 24 ceros) de pruebas para conseguir“atacarlo”…
Función Hash
Resumen o “hash del documento:
F9F4F34E3670BA9FD446D7B0AC32D90477CE5FED
“Hash” codificado con
nuestra clave privada
Nuestra clave pública para
enviar (firmada por la
autoridad de cert.)
Con firma
electrónica
Vuelve a calcular el “hash del documento:
F9F4F34E3670BA9FD446D7B0AC32D90477CE5FED
F9F4F34E3670BA9FD446D7B0AC32D90477CE5FED
Con nuestra clave publica descodifica el hash codificado
Si coinciden, la firma es autentica y el
documento no ha sido manipulado
¿Como se funciona con el Hash?
prueba
Resumen o “hash del documento:
F9F4F34E3670BA9FD446D7B0AC32D90477CE5FED
“Hash” codificado con
nuestra clave privada
Nuestra clave pública para
enviar
Con firma
electrónica
Vuelve a calcular el “hash del documento:
F9F4F34E3670BA9FD446D7B0AC32D90477CE5FED
F9F4F34E3670BA9FD446D7B0AC32D90477CE5FED
Con nuestra clave publica descodifica el hash codificado
Si coinciden, la firma es autentica y el
documento no ha sido manipulado
REPETIMOS ¿Como se funciona con el Hash?
prueba
[email protected] Firma /sello electrónic@
No repudio
El propio proceso de firma nos proporciona no repudio en origen
La implementación de no repudio en destino se puede acometer dediferentes maneras:
a) Mediante dirección electrónica habilitada
b) Mediante correo electrónico con acuse de recibo
c) (Comparecencia electrónica)
Certificado (Time Stanping) : La transacción se certificará por unTCP (tercera parte confiable) interviniente en la operación.#
[email protected] Firma /sello electrónic@
“La prueba del algodón”
Confidencialidad, cifrado
Para proporcionar confidencialidad se usa el cifrado.
Se cifra con la clave pública del receptor.
Diferentes soluciones para conocerla.
[email protected] Firma /sello electrónic@
CA, Autoridad de Certificación: Es el que genera los pares de claves del
certificado del usuario, y el que da soporte legal y administrativo de las
transacciones realizadas con el certificado.
RA, Autoridad de Registro: “Ventanilla” que permite la relación entre los
usuarios y la Autoridad de Certificación.
Autoridad de Emisión: Emite las tarjetas en las que se guardan los
certificados.
Autoridad de validación: Comprueba si los certificados siguen siendo
validos o no
AA, Autoridad de Atributos: Se responsabiliza de que, p.e., la
pertenencia a un determinado colectivo o los poderes que se poseen, son
los que el certificado contiene.
Terceras Partes de Confianza: Otros emisores de certificados distintos
del nuestro de los que nos fiamos por la fiabilidad de sus procedimientos.
También terceras personas que evitan el no repudio de destino
Usuario: Portador del (de los) certificado(s).
Componentes de una PKI o Infraestructura de Clave Pública
[email protected] Firma /sello electrónic@
Comprobación “transparente” en Outlook
Este es un mensaje firmado electrónicamente con objeto de la celebración de las jornadas sobre la contratación publica electrónica
internacional.
[email protected] Firma /sello electrónic@
La criptografía
•Criptografía: Kryptos (escondido) + Graphos (escritura) =
Escritura escondida. Se trata de escribir algo de forma que otra
persona que lo lea no lo pueda entender salvo que sepa como
se ha “escondido” ( o encriptado).
• Criptografía simétrica: Usamos la misma clave para cifrar y
descifrar. Para que el receptor descifre el mensaje es
imprescindible que conozca la clave que el emisor ha utilizado,
con lo que proporciona menor seguridad, al poderse difundir
aquella clave.
• VS Criptografía asimétrica: Como se usan dos claves del
emisor para firmar, una privada y la otra pública, y otras dos, en
su caso, para cifrar (la privada y la pública del receptor),
ninguno de ellos necesita conocer la clave privada del otro, por
lo que el sistema es muy seguro.
•Seguridad en las transacciones por Internet (SSL) SSL
[email protected] Firma /sello electrónic@
Artículo 5. Modificaciones de la Ley 59/2003, de firma electrónica.
[email protected] Firma /sello electrónic@
El algoritmo RSA y la factorización de números primos grandes
--------------------------------------------------------------------------------
1. Introducción
El algoritmo RSA es un algoritmo de clave pública desarrollado en 1977 en el MIT por Ronald Rivest, Adi Shamir y Leonard
Adelman.
Fue registrado el 20 de Septiembre de 1983. El 20 de Septiembre del 2000, tras 17 años, expiró la patente RSA, pasando a ser un
algoritmo de dominio público.
Este popular sistema se basa en el problema matemático de la factorización de números grandes.
--------------------------------------------------------------------------------
2. El algoritmo RSA El algoritmo RSA funciona de la siguiente manera:
Inicialmente es necesario generar aleatoriamente dos números primos grandes, a los que llamaremos p y q.
A continuación calcularemos n como producto de p y q: n = p * q
Se calcula fi: fi(n)=(p-1)(q-1)
Se calcula un número natural e de manera que MCD(e, fi(n))=1 , es decir e debe ser primo relativo de fi(n).
Es lo mismo que buscar un numero impar por el que dividir fi(n) que de cero como resto.
Mediante el algoritmo extendido de Euclides se calcula d: e.d mod fi(n)=1 Puede calcularse d=((Y*fi(n))+1)/e para Y=1,2,3,...
hasta encontrar un d entero.
El par de números (e,n) son la clave pública.
El par de números (d,n) son la clave privada.
Cifrado: La función de cifrado es C = M^e mod n
Descifrado: La función de descifrado es M = C^d mod n
[email protected] Firma /sello electrónic@
El algoritmo RSA y la factorización de números primos grandes. Veamos un ejemplo sencillo:
1. Escogemos dos números primos, por ejemplo p=3 y q=11.
2. Los multiplicamos n = 3 * 11 = 33.
3. Hallamos fi(n) = (3-1) * (11-1) = 20.
4. Buscamos el número natural e de manera que MCD(e, fi(n))=1 e: 20/1=0, 20/3=6.67. e=3.
5. Mediante el algoritmo extendido de Euclides se calcula d: e.d mod fi(n)=1 d = ((Y * fi(n)) + 1) / e = ( Y * 20 + 1) /
3 = 21 / 3 = 7
6. Obtenemos, por lo tanto dos pares de números:
• e=3 y n=33 son la clave privada.
• d=7 y n=33 son la clave pública.
7. Cifro y descifro un mensaje:
• Mensaje = 5,
• Cifrado con e: C = M^e mod n = 5 elevado a 3 mod 33 = 26
• El mensaje 26 viaja por la red
• Descifrado con d: M = C^d mod n = 26 elevado a 7 mod 33 = 8031810176 mod 33 = 5
• Si quiero descifrar el mensaje y no sé cual es el valor de d, y utilizo cualquier número:
• P.e. utilizo el 4 26 elevado a 4 mod 33=456976 mod 33 = 25
• P.e. utilizo el 6 26 elevado a 6 mod 33=308915776 mod 33 = 4
• Obtengo un resultado, pero no es el del mensaje cifrado
• Si cifro con d y descifro con e, el resultado es el mismo:
• cifrado: 5 elevado a 7 mod 33 =78125 mod 33= 14
• Descifrado: 14 elevado a 3 mod 33= 2744 mod 33= 5
[email protected] Firma /sello electrónic@
Base de datos
de licitación
Mie
mbro
s de la m
esa AlmacenadorAlmacenador
AlmacenadorAlmacenador
AlmacenadorAlmacenador
Se guardan sólo las claves publicas,
no las privadas
Esquemas de funcionamiento en la licitación electrónica
: 1 Alta de la licitación
[email protected] Firma /sello electrónic@
Esquemas de funcionamiento en la licitación electrónica
: 2. Presentación de las ofertas
Esquemas de funcionamiento en la licitación electrónica
: 3 envío vía internet con seguridad SSL
[email protected] Firma /sello electrónic@
Esquemas de funcionamiento en la licitación electrónica
: 3 Apertura de la documentación
Acceso con sus tarjetas de Firma Electrónica Reconocida
HSM
1. PIN2. BIOMETRICO
1. PIN2. BIOMETRICO
1. PIN2. CLAVE BARCOS3. CLAVE AL MOVIL4.
Ejemplo de HASH
El Hash garantiza la integridad
Mediante el código ASCII
El código ASCII asigna a cada letra o signo de puntuación su número equivalente
Es una clave simétrica estándar internacional que utilizan todos los ordenadores.
A B C D E F G H I
65 66 67 68 69 70 71 72 73
a b c d e f g h i
97 98 99 100 101 102 103 104 105
á é í ó ú ! " # $
225 233 237 243 250 33 34 35 36
Vamos a substituir cada letra este texto por su código ASCII
L a c o n t r a t a c i ó n
76 97 32 99 111 110 116 114 97 116 97 99 105 243 110
e l e c t r ó n i c a : u n a
101 108 101 99 116 114 243 110 105 99 97 58 117 110 97
t a r e a i n a p l a z a b
116 97 114 101 97 32 105 110 97 112 108 97 122 97 98
Utilizamos los códigos ASCII de un texto para hacer cualquier cálculo que queramos
En este caso, agrupamos de tres en tres letras, y calculamos
(la 1ª letra-la 2ª letra )* la 3 ªletraLa suma de los resultados es una función HASH que identifica
plenamente el texto.
L a c o n t r a t a c i ó n
76 97 32 99 111 110 116 114 97 116 97 99 105 243 110
-672 -1.320 1941.881 -15.180
e l e c t r ó n i c a : u n a
101 108 101 99 116 114 243 110 105 99 97 58 117 110 97
-707 -1.938 13.965 116 679
t a r e a i n a p l a z a b
116 97 114 101 97 32 105 110 97 112 108 97 122 97 98
2.166 128 -485 388 2.450
1.665
L a c o n t r a t a c i ó n
76 97 32 99 111 110 116 114 97 116 97 99 105 243 110
-672 -1.320 1941.881 -15.180
e l e c t r o n i c a : u n a
101 108 101 99 116 114 111 110 105 99 97 58 117 110 97
-707 -1.938 243 105 116 679
t a r e a i n a p l a z a b
116 97 114 101 97 32 105 110 97 112 108 97 122 97 98
2.166 128 -485 388 2.450
-12.195
Cualquier modificación en el texto provoca un cambio en el valor de la función HASH
En este ejemplo, al substituir “electrónica” por “electronica” sin acento, su valor HASH ha pasado de 1.665 a -12.195
x
[email protected] Firma electrónica en la contratación administrativa
LA REGULACIÓN DE LA FIRMA ELECTRÓNICA
EN LAS NORMAS DE CONTRATOS PÚBLICOS
[email protected] Firma electrónica en la contratación administrativa
Artículo 22.6 (40.6)Apartado b)• Los EEMM o los poderes adjudicadores deberán especificar el nivel de seguridad
exigido para los medios de comunicación electrónicos utilizados en las diferentesfases de cada procedimiento de contratación.
• el nivel será proporcional a los riesgos asociados.
Apartado c)Cuando se exijan firmas electrónicas avanzadas… los poderes adjudicadoresaceptarán… las firmas respaldadas por un certificado electrónico reconocidomencionado en la Lista de Confianza (de la Decisión 2009/767)……con o sin dispositivo seguro de creación de firma……siempre que su formato de la firma avanzada sean los contemplados en la Decisión2011/130…...o que, siendo diferente, la firma o el documento incluyan la información paravalidar en línea la firma de manera gratuita y sin conocer el idioma.…Y no se pueden aplicar requisitos adicionales que puedan entorpecer el uso de estetipo de firma por los licitadores. #
LA NUEVA DIRECTIVA DE CONTRATOS 2014/24 (y 25)
[email protected] Firma electrónica en la contratación administrativa
Anterior Ley 30/2007 de Contratos del Sector Público.Disposición adicional decimosexta (anteriormente decimonovena).Apartado fTodos los actos y manifestaciones de voluntad que tengan efectos jurídicos• de los órganos administrativos• o de las empresas licitadorasy se emitan• en la fase preparatoria• en la fase de licitación• en la fase de adjudicación• en la fase de ejecución del contrato... deben ser autenticados mediante una firma electrónica reconocida (redacción original).... deben ser autenticados mediante una firma electrónica «avanzada reconocida» ¿¿??
(redacción tras la ley 25/2013 de factura electrónica en el sector público)Salvo las facturas electrónicas –que se rigen según diga la Ley 25/2013-
NUESTRA NORMATIVA 1
[email protected] Firma electrónica en la contratación administrativa
NUESTRA NORMATIVA 2
Ley 31/2007, sobre procedimientos de contratación en los sectores especiales.
Artículo 73.2.b Comunicaciones por medios electrónicos.Se exigirá que las ofertas transmitidas por vía electrónica vayan acompañadas deuna firma electrónica avanzada con arreglo a la Ley 59/2003 de Firma Electrónica.
Anexo XLos dispositivos de recepción electrónica… deberán garantizar, como mínimo… que:a) las firmas electrónicas relativas a las ofertas, a las solicitudes de participación, alas solicitudes de clasificación y a los envíos de planos y proyectos se ajusten a laLey 59/2003 de Firma electrónica.
[email protected] Firma electrónica en la contratación administrativa
Nueva Ley 9/2017 de Contratos del Sector Público.Disposición adicional decimosexta
Apartado 1.f) Los órganos de contratación deberán especificar el nivel deseguridad exigido para los medios de comunicación electrónicos utilizados en lasdiferentes fases de cada procedimiento de contratación que deberá serproporcional a los riesgos asociados a los intercambios de información a realizar.
Mediante Orden del Ministerio de Hacienda y Función Pública se establecerán lascondiciones de utilización de las firmas electrónicas en los procedimientos decontratación del Sector Público
Apartado 1.h)... Las copias electrónicas de los documentos que deban incorporarseal expediente, deberán cumplir con lo establecido a tal efecto en la legislaciónvigente en materia de procedimiento administrativo común, surtiendo los efectosestablecidos en la misma. #
NUESTRA NORMATIVA 3