Firmas Digitales

Firmas Digitales

Firma Electrónica o digital
El concepto de firma digital fue introducido por Diffie y Hellman en 1.976. Básicamente una firma digital es un conjunto de datos asociados a un mensaje que permite asegurar la identidad del firmante y la integridad del mensaje. Aparentemente estos se consiguen con los criterios de autenticidad e integridad anteriormente citados, pero estos no son suficientes si se pretende equiparar a la firma manuscrita que además tiene las propiedades de:

  • ser barata y fácil de producir
  • ser fácil de reconocer tanto por el propietario como por otros
  • ser imposible de rechazar por el propietario.

Para ello existen 2 métodos de firma digital:

  1. Firma digital con árbitro donde dos usuarios con desconfianza mutua confían en un tercero. Se utilizan criptosistemas de clave única (una sóla clave para cifrar y descifrar). El emisor y el receptor tienen sus propias claves por lo que es el árbitro el encargado de recibir el mensaje del emisor, desencriptarlo con la clave del emisor. De esta forma el emisor y el receptor no necesitan compartir claves.
  2. Firma digital ordinaria en la cual el usuario firmante envía directamente la firma al destinatario, y este debe poder comprobar la validez de la firma sin necesidad de un árbitro. A este método pertenecen los sistemas de firmas actuales que se basan en criptosistemas de clave pública.

El modo de funcionamiento de la firma digital basado en clave pública es el siguiente:

  • cada participante tiene un par de claves, una se usa para encriptar y la otra para desencriptar.
  • cada participante mantiene en secreto una de las claves (clave privada) y pone a disposición del público la otra (clave pública).
  • el emisor calcula un resumen del mensaje a firmar con una función hash. El resumen es un conjunto de datos de pequeño tamaño que tiene la propieda de cambiar si se modifica el mensaje.
  • el emisor encripta el resumen del mensaje con una clave privada y ésta es la firma digital que se añade al mensaje original.
  • el receptor, al recibir el mensaje, calcula de nuevo su resumen mediante la función hash. Además desencripta la firma utilizando la clave pública del emisor obteniendo el resumen que el emisor calculó. Si ambos resúmenes coinciden entonces la firma es válida por lo que cumple los criterios ya vistos de autenticidad e integridad además del de no repudio ya que el emisor no puede negar haber enviado el mensaje que lleva su firma.
Firma Digital
La firma digital es tecnicamente un bloque de caracteres de seguridad que se envian adjuntos a un documento que sirven para acreditar quien es el autor y para autenticar que no ha existido ninguna manipulacion posterior de los datos (integridad).

Para firmar un documento digital, su autor utiliza su propia clave secreta (sistema criptografico simetrico), a la que solo el tiene acceso, lo que impide que solamente las personas autorizadas puedan verlo.

Certificado Digital: Un certificado digital es un archivo digital no modificable, que es emitido por una entidad de confianza (CA) que que asocia a una persona o entidad una clave publica. Un certificado digital que siga el standard X509v3, puede ser utilizado por los navegadores, y entre otros datos contiene la siguiente información · Identificación el titular del certificado: Nombre, dirección · Clave pública del titular del certificado. · Fecha de validez. · Número de serie. · Identificación el emisor del certificado. Beneficios: La firma electronica o digital proporciona una amplica gama de servicios de seguridad, que superan a los ofrecidos a sus equivalentes reales como el pasaporte, carne de indentificacion y las firmas manuscritas. - Autenticación: Indica que se puede identificar unívocamente al signatario del documento, y verificar la identidad del firmante. Puede utilizarse tanto en documentos en transacciones electronicas o para permitir el acceso a servicios distribuidos en red. Por ejemplo puede utilizarse para acceder a servicios de red o autenticarse ante servidores web evitando fraudes comunes como intercepcion de claves mediante el uso de analizadores de protocolos (sniffers) o la ejecución de programas automaticos para encontrar claves. - Imposibilidad de suplantación: Asegura que el documento firmado ha sido creado por su usuario mediante medios que solamente el mantiene bajo su propio control como su clave privada protegida o contraseña. - Integridad: Permite detectar cualquier cambio minimo que se encuentre en los datos firmados, proporcionando así una garantía ante alteraciones fortuitas o deliberadas durante el transporte, almacenamiento o manipulación electronica del documento o datos firmados. - No repudio: ofrece seguridad inquebrantable de que el autor del documento no puede retractarse en el futuro de las opiniones o acciones consignadas en él ni de haberlo enviado. La firma electrónica adjunta a los datos, debido a la imposibilidad de ser falsificada, testimonia que él, y solamente él, pudo haberlo firmado. - Auditabilidad: permite identificar y rastrear las operaciones llevadas a cabo por el usuario dentro de un sistema informático cuyo acceso se realiza mediante la presentación de certificados, especialmente cuando se incorpora el estampillado de tiempo, que añade de forma totalmente fiable la fecha y hora a las acciones realizadas por el usuario. - El acuerdo de claves secretas: garantiza la confidencialidad de la información intercambiada ente las partes, esté firmada o no, como por ejemplo en las transacciones seguras realizadas a través de SSL. La información contenida en las firmas digitales es completamente segura y fiable, no siendo posible ningún tipo de falsificación o fraude en su verificación. Es de gran utilidad para comercio electrónico y el ámbito interno empresarial (vgr.: teletrabajo, entornos virtuales compartidos), debe señalarse que, en el ámbito de la Administración Pública (relación administración - administrado), la firma digital tiene enormes aplicaciones, algunas de las cuales son: presencia de la Administración en la red, consulta de información personal desde Internet, realización de cualquier trámite por Internet , acceso a aplicaciones informáticas de gestión por ciudadanos y empresas, comunicación entre dependencias de distintas administraciones, integración de información al ciudadano desde distintas administraciones, democracia electrónica (vgr.: plesbicitos, sufragio). Tanto las referidas modalidades de trabajo como el incremento en la velocidad de circulación de la información que permite el documento digital, importaría que las organizaciones de nuestro país ofrezcan un mejor nivel de servicios a sus clientes y simultáneamente reduzcan sus costos, aumentando su productividad y su competitividad en lo que hoy son mercados cada vez más globalizados y competitivos. Usos: Cuando se envía un documento firmado digitalmente, ée siempre se acompañel certificado del signatario, con el fin de que el destinatario pueda verificar la firma electronica adjunta. Estos certificados permiten a sus titulares realizar una gran cantidad de acciones a travéde Internet: acceder por medio de su navegador a sitios web restringidos, a los cuales les deberáresentar previamente el certificado, cuyos datos seráverificados y en funcióe los mismos se le permitirá denegarál acceso; enviar y recibir correo electróo cifrado y firmado; entrar en intranets corporativas, e incluso a los edificios o instalaciones de la empresa, donde se le pediráue presente su certificado, firmar software para su uso en Internet, como applets de Java o controles ActiveX de Microsoft, de manera que puedan realizar acciones en el navegador del usuario que de otro modo le serí negadas; firmar cualquier tipo de documento digital, para uso privado; obtener confidencialidad en procesos administrativos o consultas de informacióensible en servidores de la Administraciórealizar transacciones comerciales seguras con identificacióe las partes, como en SSL, donde se autentica al servidor web, y especialmente en SET, donde se autentican tanto el comerciante como el cliente. Actualmente, el estáar de uso en este tipo de certificados es el X.509.v3.

Tecnologías para Firmas Digitales
La firma digital de un documento es el resultado de aplicar cierto algoritmo matemático, denominado función hash, a su contenido. Esta función asocia un valor dentro de un conjunto finito (generalmente los números naturales) a su entrada. Cuando la entrada es un documento, el resultado de la función es un número que identifica casi unívocamente al texto. Si se adjunta este número al texto, el destinatario puede aplicar de nuevo la función y comprobar su resultado con el que ha recibido. No obstante esto presenta algunas dificultades.

Para que sea de utilidad, la función hash debe satisfacer dos importantes requisitos. Primero, debe ser difícil encontrar dos documentos cuyo valor para la función "hash" sea idéntico. Segundo, dado uno de estos valores, debería ser difícil recuperar el documento que lo produjo.

Algunos sistemas de cifrado de clave pública se pueden usar para firmar documentos. El firmante cifra el documento con su clave privada y cualquiera que quiera comprobar la firma y ver el documento, no tiene más que usar la clave pública del firmante para descifrarla.

Existen funciones "hash" específicamente designadas para satisfacer estas dos importantes propiedades. SHA y MD5 son dos ejemplos de este tipo de algoritmos. Para usarlos un documento se firma con una función "hash", cuyo resultado es la firma. Otra persona puede comprobar la firma aplicando la misma función a su copia del documento y comparando el resultado con el del documento original. Si concuerdan, es casi seguro que los documentos son idénticos.

Claro que el problema está en usar una función "hash" para firmas digitales que no permita que un "atacante" interfiera en la comprobación de la firma. Si el documento y la firma se enviaran descifrados, este individuo podría modificar el documento y generar una firma correspondiente sin que lo supiera el destinatario. Si sólo se cifrara el documento, un atacante podría manipular la firma y hacer que la comprobación de ésta fallara. Una tercera opción es usar un sistema de cifrado híbrido para cifrar tanto la firma como el documento. El firmante usa su clave privada, y cualquiera puede usar su clave pública para comprobar la firma y el documento. Esto suena bien, pero en realidad no tiene sentido. Si este algoritmo hiciera el documento seguro también lo aseguraría de manipulaciones, y no habría necesidad de firmarlo. El problema más serio es que esto no protege de manipulaciones ni a la firma, ni al documento. Con este método, sólo la clave de sesión del sistema de cifrado simétrico es cifrada usando la clave privada del firmante. Cualquiera puede usar la clave pública y recuperar la clave de sesión. Por lo tanto, resulta obvio usarla para cifrar documentos substitutos y firmas para enviarlas a terceros en nombre del remitente.

La solución Un algoritmo efectivo debe hacer uso de un sistema de clave pública para cifrar sólo la firma. En particular, el valor "hash" se cifra mediante el uso de la clave privada del firmante, de modo que cualquiera pueda comprobar la firma usando la clave pública correspondiente. El documento firmado se puede enviar usando cualquier otro algoritmo de cifrado, o incluso ninguno si es un documento público. Si el documento se modifica, la comprobación de la firma fallará, pero esto es precisamente lo que la verificación se supone que debe descubrir. El Digital Signature Algorithm es un algoritmo de firmado de clave pública que funciona como hemos descrito. DSA es el algoritmo principal de firmado que se usa en GnuPG

  • Aplicaciones de Certificados y Firma Digital
  • Contratos comerciales electróos
  • Facturas electrónicas
  • Desmaterialización de documentos
  • Transacciones comerciales electrónicas
  • Invitación electrónica
  • Dinero electrónico
  • Notificaciones judiciales electrónicas
  • Voto electrónico
  • Decretos ejecutivos (gobierno)
  • Créditos de seguridad social
  • Contratación Publica
  • Sellado de tiempo Firma Electronica o Digital Para que sirve la firma electronica. Sus principales usos en internet son para asegurar que la contraparte dice quien dice ser en realidad. Cuando se utiliza en correos sirve para GARANTIZAR que el mensaje enviado llegue a su destinatario y ninguna otra persona sin autorizacion pueda interceptarlo o modificarlo durante el trancito. Asimismo sirve para CERTIFICAR que el destinatario recibio el mensaje, registrandose incluso la hora y segundos en que ocurrio el evento (No repudio: indica que lo recibio) ASEGURA que en caso de intento de interceptacion no autorizada o intentos de modificarlo puedan detectarse facilmente. En sitios de internet sirve para GARANTIZAR que la pagina web es real y no esta ante otra (evitando la tecnica conocida como web spoofing, donde cracker o hacker habilidosos engañan a los visitantes con paginas identicas a las originales haciendolos creer que estan en un sitio real, sin embargo no es asi. Un ejemplo de ello son las sitios web de los bancos utilizados para evitar que lean las claves del usuario. Tambien pueden utilizarse para firmar archivos de programas informaticos y leyendo la firma el usuario autorizado puede tener mayor seguridad ante modificaciones o contagios por virus. Tipos de firma electronica: Las primeras fueron las de clave simetrica, que consiste en que las dos partes que utilizan la misma firma para decodificar o desencriptar el mensaje La firma electrónica en muchos paises con legislacion le confiere un valor equivalente al de la firma escrita. Los sistemas de claves asimetricas llamada tambien infraestructura de clave publica consiste en un sistema que tiene dos claves distintas. Una clave es publica y puede darse a conocer a los demas, y la otra privada que solo conocen los autorizados. En Espana por ejemplo existe un Real Decreto-Ley 14/99 que legisla La firma Electronica Asi como en otros paises como Costa Rica esta en proceso. La firma electronica avanzada es aquella que cumpliendo determinados requisitos tecnicos descritos, es equiparada por ley a la firma manuscrita en cuanto a sus efectos, ¿ Qué son los certificados digitales ? Son Son documentos, digitales, emitidos por las llamadas entidades prestadoras de servicios de certificación que sirven para garantizar la identidad de las partes en la transacción y la privacidad de la misma; la comprobación de la posible alteración o autorizada del mensaje; y el no repudio. Las certificadoras mas populares en España son www.feste.com Fundación para el estudio de la seguridad de las telecomunicaciones; www.ace.es Agencia de certificaciólectróa; www.fnmt.es Fáica Nacional de Matasello y Timbre www.ips.es Internet Publishing Services - : La indicacióe que se expiden como tales; El cóo identificativo ú del certificado; La identificacióel prestador que lo ha expedido o librado, con mencióe su nombre o razóocial, domicilio, e-mail, nº de identificacióiscal, y en su caso, sus datos de identificacióegistral; La firma electróa avanzada del prestador emisor de tal certificado; La identificacióel signatario - el que intenta hacer valer su firma a travédel certificado - por su nombre y apellidos, o un pseudóo, pudiéose tambiéincoporar cualquier otra circunstancia personal cuando esta sea significativa, siempre y cuando se déonsentimiento en cuanto a ello por parte del firmante; En los casos de actuarse por representacióindicaráel documento en el que la misma se base; Los datos de verificacióe firma -clave púa - que correspondan a los de creacióe firma - clave privada -

    ¿ Qués el no repudio ? Es una caracteríica de los certificados digitales que incorporan la llamada firma electróa avanzada - regulada en el Real Decreto Ley de firma electróa, cuyo texto y otros están www.fnmt.es, en el apartado de legislació, y consiste en que tanto el emisor, como el receptor, no pueden negar haber efectuado el mensaje; tambiépermite evitar la copia o duplicacióe los certificados, asíomo su uso fuera del tiempo para el que hayan sido emitidos. ¿ Quéipos de certificados hay ? Los hay desde para transacciones en las que una o ambas partes son administracióúa - www.fnmt.es -, o con finalidad exclusivamente mercantil, entre empresas - obtenibles sobre todo en www.ace.es -, o para uso exclusivamente entre particulares - que se pueden conseguir en www.feste.es -. Se pueden usar para transacciones por la red, o simplemente, y a tílo de ejemplo, para garantizarnos que la pána web que visualizamos es autéica, y no es otra falsificada, o para "lacrar" nuestro correo electróo.

    ¿ Cuáo cuestan los certificados digitales ? A pesar de que no hay uniformidad de precios al permitir el Gobierno su concurrencia en un rémen de libre competencia, se puede decir, a modo de ejemplo, que para un particular, sin ámo de lucro, puede oscilar entre diez mil o doce ptas. el primer añcon una renovaciónual de sobre las mil o dos mil ptas., o bien, para establecer una web segura, desde las doscientas mil. De cualquier forma, tambiélos hay, de tipo personal, desde unas 2000/ptas. añhasta 8 ó indicadas. Hemos de comentar, no obstante, que el precio dependerá entre otras cosas - del grado de certificacióue nos reporten con el uso del certificado : Ejemplo : No es lo mismo que no comprueben nuestra identidad a la hora de solicitarlo - con lo cual no se acreditarácon el uso del mismo, nuestra verdadera identidad -, que otro en el que previamente, y de forma presencial, síe haya comprobado dicha circunstancia.

    ¿ Como se obtienen los certificados ? En principio es víon line, aunque segús casos hace falta presentar determinada documentacióíca, y acreditar nuestra personalidad en persona, ya sea a travéde corredores de comercio, notarios, o ante la misma administraciósegús casos. De todas formas, el primer paso es contactar víinternet con las entidades de certificació como por ejemplo Ace : www.ace.es; Feste : www.feste.es; o FNMT : www.fnmt.es -, para asíoder ver sus precios, servicios, y modalidad de pago y tramitació¿ Existen certificados para todo tipo de transacciones ? Se recomienda usar, al menos, los basados en las especificaciones téicas denominadas X.509 y SET. ¿ Quérdenador hace falta ? Actualmente basta para ello con un ordenador tipo Pentium, con un mímo de 8 megas de memoria RAM; tambiése requiere usar

  • Documentos de interes de IETF relativos al estáar X.509 y a la tecnología PKI
  • Proyecto de ley de firma electróa publicado en el Boletín Oficial de las Cortes Generales (20/06/03)
  • Directiva 1999/93 CE de 13 de diciembre de 1999
  • ORDEN HAC/1181/2003
  • Requisitos téicos de Autoridades de Certificacióeconocidas (Orden HAC/1181/2003)

  • Nota de prensa del Consejo Superior de Cáras sobre el Foro (17/06/03)
  • Firma electrónica en Kalysis Community ::
    La Firma Electrónica y la fiabilidad de las transacciones online Más allá del acceso a la información y servicios de un usuario final, la integración de Internet en los procesos de negocio de una compañía necesita más que nunca de un grado de fiabilidad y confianza en el medio. Sólo cuando ese grado de confianza se alcanza y se mantiene, podrá disminuirse ese gran inhibidor de desarrollo digital que es la sensación de inseguridad. El enorme desarrollo de las transacciones online implica necesariamente abordar el tema de la seguridad, tanto desde el punto de vista técnico como jurídico. Pero, ¿qué se entiende por seguridad en Internet? Básicamente se trata de implementar los mecanismos necesarios para que cuando se realice una operación a través de un medio electrónico, se asegure la integridad del contenido y se autentifique al remitente y al receptor. La adopción de protocolos de seguridad, la aparición de nuevas formas de pago, así como las fuertes inversiones que están realizando las empresas, nacen de una necesidad de demostrar que las transacciones online son cada vez más fiables. Uno de los mecanismos que contribuyen a esta fiabilidad es la firma electrónica. Una firma electrónica es un bloque de caracteres que acompaña a un documento y que certifica quién es su autor (autenticación) y que no haya existido ninguna manipulación de los datos (integridad). Para firmar, el signatario utiliza una clave secreta que le vincula al documento. La validez de la firma podrá ser comprobada por cualquier persona que disponga de la clave pública del autor. La validez de un Certificado Digital se basa en la confianza depositada en la Autoridad de Certificación, que lo emite tras la comprobación veraz de la identidad acreditada Para las empresas, trabajar con firmas electrónicas y certificados supone un importante ahorro en la gestión de la documentación. Se agilizan los trabajos y aprobaciones, los documentos se almacenan mediante medios electrónicos y permiten búsquedas y consultas de manera eficaz. Empresas de Tasaciones, Colegios Profesionales u Hospitales y en general, todas aquellas entidades que necesitan gestionar y transmitir datos de manera confidencial, ya trabajan con firmas electrónicas. Marco Legal Desde el punto de vista legal, usuarios y empresas demandan una cierta seguridad para que sus relaciones comerciales por Internet sean jurídicamente válidas. Para ello se han creado normas jurídicas ad hoc, tanto en Estados Unidos como en Europa. En el caso del ordenamiento jurídico español, quizás la más importante sea el Real Decreto-Ley 14/1999, de 17 de septiembre, que otorga los mismos efectos jurídicos a la Firma Electrónica que a la manuscrita. La validación legal de la firma electrónica elimina las barreras legales y potencia el desarrollo de negocios a través de Internet. Así mismo, el 26 de Julio de 2002, el Ministerio de Ciencia y Tecnología publica un borrador del anteproyecto de ley de firma electrónica, redactado con la intención de ampliar el decreto anterior. La situación actual de la certificación en España En España contamos con importantes y pioneras experiencias como la llevada a cabo por la Fabrica Nacional de la Moneda y Timbre (proyecto CERES) gracias a la cual los españoles hemos podido realizar y presentar nuestra declaración de la renta a la Agencia Tributaria a través de Internet (desde hace ya dos años), o el inminente proyecto del DNI digital, pionero en el mundo y que nos permitirá extender las actuales capacidades de nuestro DNI actual, al mundo digital: es decir autenticación de identidades y capacidad de firma. El ritmo de adopción de estos sistemas, guarda una estrecha relación con el desarrollo de la tecnología de la información de un país, medido por el número de usuarios de estas. En línea con los esfuerzos que tanto desde la administración del estado y autonómica, como desde el sector privado se hacen para potenciar el mayor uso de la tecnología, Microsoft Ibérica quiere contribuir a incrementar el ritmo del desarrollo digital en España, acercando el conocimiento y uso de las tecnologías de certificación y firma, a aquellos usuarios de tecnología Microsoft. Por eso la presente iniciativa pretende acercar de una forma sencilla a los usuarios de Microsoft Office XP a la utilización de mecanismos de firma, certificados digitales etc. Ayudar a la familiarización del usuario con estos entornos es el objetivo perseguido. Existen varias entidades de certificación digital en España (es decir, con capacidad de emitir un certificado digital) con propósitos diferentes: Agencias de Certificación Españolas 1.- Fábrica Nacional de Moneda y Timbre (www.fnmt.es) La FNMT se constituye como la autoridad publica de Certificación Española. Sus certificados son utilizados para la relación con la administración pública. La Agencia Tributaria es un importante exponente de la utilidad del certificado emitido por la FNMT: la declaración de la renta es posible presentarla telemáticamente gracias a esta iniciativa. El número de administraciones que utilizan los certificados de la Fabrica para las relaciones con sus administrados aumentan permanentemente: https://www.cert.fnmt.es/certif/ver_proyectos 2.- ACE (Agencia de Certificación electrónica) (www.ace.es) ACE centra su actividad en proporcionar servicios de confianza que garanticen la seguridad de las transacciones electrónicas, con los subsiguientes ahorros de costes, disminución de tiempo y de recursos utilizados en tales gestiones. Su orientación se dirige al sector empresarial. 3.- FESTE (www.feste.es) El Patronato de FESTE está formado por el Consejo General del Notariado, el Consejo General de la Abogacía y la Universidad de Zaragoza. Los distintos certificados emitidos por FESTE van desde los certificados notariales, a los certificados WEB o los certificados corporativos par su uso por instituciones privadas 4.- IPSCA (www.ipsca.es) ipsCA, centra sus actividades en los servicios de Certificación Digital en los que se incluye la emisión de certificados (Servidor, WAP, Firma de Código, ...), formación, soporte y consultoría. Siendo su área de actuación más destacada, la emisión de Certificados de Servidor Seguro para comercio electrónico, actuando como una tercera parte que verifica, autentica y certifica identidades sobre Internet. Por medio de la promoción anunciada por Microsoft, ipsCA pone gratuitamente a disposición de los usuarios de Office XP un certificado personal del tipo B1 para su utilización en el entorno de firma proporcionado por MS Office XP. El objetivo de Microsoft con esta iniciativa es facilitar el acceso a este tipo de tecnologías, acercándolas al usuario final. 5.- CAMERFIRMA (www.camerfirma.com) Camerfirma es la autoridad de certificación digital de las Cámaras de Comercio españolas además de tener experiencia en servicios de outsourcing de Entidades de Certificación. Actualmente, Camerfirma está participado por el Consejo Superior de Cámaras, y por tres importantes entidades financieras como son Banesto, Bancaja o Caixa Galicia. Existen algunas otras entidades de certificación de ámbitos más locales y sectoriales, así como administraciones autonómicas
    Foto Principal: 1129701 INTEGRIDAD. Significa que la firma digital garantiza que el documento recibido es idéico al enviado por su autor. ©JUPITER IMAGES CORP. Comercio electróo - Reglamento estará principios del 2006 Guíbáca sobre cófunciona la firma digital Carlos Cordero Péz Se requiere contar con un dispositivo similar a la llave malla ¿Ha escuchado sobre la firma digital pero no tiene idea de cófunciona? Deje de preocuparse pues al igual que usted muchos costarricenses tienen dudas sobre su puesta en marcha. La firma digital vendrá facilitar todas las transacciones que se realicen a travéde redes informácas e Internet. Su uso es sencillo, solo se requiere de un dispositivo (similar a la llave malla) llamado token que se conecta en el puerto USB de las computadoras cada vez que se requiera. Es en ese token donde esta una llave digital que garantiza que nadie máfirmaráor usted. Una vez conectado, el dispositivo haráue automácamente aparezca un íno o dibujo en la barra de herramientas al que se le debe dar un click. En ese momento podráubricar contratos, facturas, formularios, planos, imánes, videos, mú y escritos judiciales, entre otros. La ley que regula la firma digital se aprobó agosto pasado, pero todavífalta el reglamento, que supuestamente estaráisto en el primer trimestre del 2006, segúrnando Gutiéez, titular del Ministerio de Ciencia y Tecnologí(Micit). El Financiero preparóa breve guísobre el tema con el apoyo de Edwin Aguilar, consultor internacional, y Luis Roberto Cordero, director de la compañIdentiga Karto. -¿Qués la firma digital? -Es un mecanismo electróo equivalente a la firma manuscrita que identifica (con una llave criptográca) a una persona autora y emisora (certificada) de un documento informáco. -¿Qués la llave criptográca? -Es un software encriptado (en cóo numéco) que garantiza que solo el emisor usa su firma digital. -¿Qués un certificado electróo? -Identifica al poseedor de una firma digital. Los obtenidos en el exterior deben ser autorizados por el Micit. -¿Qués un certificador? -Es una compañque comprueba la identidad de una persona, genera las llaves y emite el certificado. Esta debe estar acreditada ante el Ente Costarricense de Acreditació registrarse en la direccióe certificadores, ambos del Micit. -¿Cósolicitar esta firma? -Falta definirlo. Comúte, la persona se presenta ante el certificador con su céla y los documentos que le soliciten. Las personas jurícas deben hacer el tráte a travéde su apoderado legal. -¿Quée necesita? -Un dispositivo llamado token (desde US$70) que se conecta a la computadora. Ademá se utilizan versiones recientes de Office de Microsoft Corp. (desde 2003) y StarOffice de Sun Microsystems Inc. -¿Como se firma? -Con la llave automácamente se genera en esos software un íno o dibujo en la barra de herramientas al que se le da un click. -¿Cóverifica el receptor la firma en un documento? -Se utilizan software MD5 o SHA1 que serávendidos en el mercado. -¿Quéalta para poder utilizar la firma digital? -Varias instituciones púas -como el Poder Judicial en el caso de los escritos- deberáreglamentar su uso. -¿Cóse garantiza la seguridad de los documentos electróos? -Tanto emisor como receptor deben contar con sistemas de seguridad informáca.
    CERTIFICADO DIGITAL Conceptos generales - El certificado digital, también conocido como ISDM digital, es el centro de la seguridad online. - Actúa de pasaporte electrónico, como prueba de identidad. Estos certificados digitales se expiden directamente por un tercero de confianza, al administrador Web. - Esa información es fiable porquéestá "firmada" digitalmente por una autoridad de expedición de certificados de confianza, que se denomina Autoridad de certificación (CA), la cual comprueba la autenticidad de la información que se incluye en el certificado antes de expedirlo. Certificado digital - Con un certificado digital, los usuarios pueden añadir firmas electrónicas a los formularios online. - Los destinatarios pueden comprobar la autenticidad del correo electrónico confidencial. - Los compradores pueden estar seguros de que un website es legítimo, al tiempo que las técnicas de cifrado mejoradas permiten que datos confidenciales, como los detalles de tarjetas de crédito o información personal, viajen de forma segura por redes abiertas. - El certificado digital también controla el acceso a los bancos y comercios online, así como las intranets y extranets. Y todo sin las incómodas contraseñas o los números PIN tan fáciles de olvidar. - El certificado no es más que información en formato digital, a la que se añade una firma digital de la CA para dar constancia de que el propietario del certificado ha pasado por el proceso de autenticación de la CA. - El nivel de control de autenticación y la información que contienen los certificados dependen del tipo o "clase" de certificado que se expida. Tipos de certificado - En la actualidad tenemos un formato (estándar) que se ha extendido casi para todas las aplicaciones, este es el llamado X.509. - Este formato contiene los datos del poseedor del certificado, la clave pública del propietario, y la firma de una autoridad certificadora. La mejor propiedad del formato X.509 es que contiene el mínimo necesario de información para poder realizar muchas transacciones, principalmente comerciales y financieras.

    MODULO DE FIRMA DIGITAL

    Objetivo:

    Habilitar un espacio donde diferentes personas o entidades que posean certificados digitales de cualquier tipo, puedan realizar transacciones comerciales de una manera segura, autenticada, íntegra e inequívoca.

    Ambito:

    Tanto en transacciones comerciales entre dos individuos como procesos dentro de un entorno corporativo (flujo de trabajo).

    Utilización:

    - Entornos Internet: Transacciones a través de formularios de páginas web.
    - Entornos Locales: Se puede firmar cualquier documento generado por ordenador. Esto significa la más importante novedad respecto al resto de herramientas del mercado.

    Para ambos entornos, es necesario poseer, por cualquiera de las partes que intervienen en la transacción, un certificado digital.

    Posibilidad de firma múltiple :

    Muy a menudo, dentro de una empresa es necesario completar un circuito de firmas para dar validez a un documento. En Parquet de Firmas contemplamos esta opción gracias a la Firma Múltiple que facilita un mecanismo para que se puedan realizar este tipo de transacciones de forma segura e inequívoca.

    Registro de sucesos:

    La herramienta posee un registro donde se van almacenado todos los eventos que suceden en las transacciones de firma. Dicho registro contiene entre otros muchos datos:

    - Fecha de firma del documento
    - Quien lo envía
    - Si se ha recibido y cuando
    - Si el receptor lo ha abierto o solo consultado
    - Días transcurridos entre emisión y firma

    Todo esto esta implantado de manera que no quede ningún detalle al azar de todas las transacciones.

    Caracteristicas:

    - Personalizable mediante perfiles de usuario
    - Comunicación vía HTTP/HTTPS
    - Transparente a cualquier Firewall de la red del cliente
    - Cifrado completo del mensaje tanto en HTTP como HTTPS
    - Compresión de la información al ser enviada, evitando carga de ancho de banda en la red con máxima concurrencia de usuarios
    - Sistema de consulta de eventos por firmante, documento y dossier

    Cliente:

    - Todos los mecanismos anteriormente expuestos se encuentran en un entorno amigable integrado en Windows y que se encuentra en el Explorador de Windows y en el escritorio. Basado en un sistema de carpetas similar a cuando exploramos cualquier unidad del ordenador.

    - Carpeta de borradores :

    - Aquí se encuentran todos los documentos que se quieran firmar. Las acciones que se pueden realizar con los documentos que de esta carpeta están accesibles mediante un menú contextual accesible con un simple click con el botón derecho del ratón encima de cualquier documento.
    - A partir de aquí comienza el proceso de la firma.

    - Carpeta de pendientes de firma :

    - Aquí se ubican aquellos documento cuyo proceso de firma haya comenzado pero que se encuentra a la espera de que se complete por completo. Toma especial importancia en la Firma Múltiple ya que hasta que no se termine el circuito de firmas, el documento permanecerá en esta carpeta.

    - Carpeta de firmados :

    - Cuando se haya completado el circuito de firmas si esta es múltiple, o bien si ha firmado la otra parte si es una firma entre dos personas, el documento aparecerá en esta carpeta. Los documentos que estén en ella tendrán otras operaciones accesibles de la manera anteriormente especificada.

    - Carpeta de revocados :

    - Si por cualquier razón, alguno de los formantes no está de acuerdo con el documento (el contrato tiene fallos, por ejemplo) tiene la opción de repudiarlo. Automáticamente se le comunicará al emisor y se almacenará en esta carpeta.

    - Carpeta de solicitados para eliminar :

    - Una de las novedades más importantes de esta herramienta reside en el hecho de poder repudiar un documento después de haber completado el circuito de firmas. Cuando este supuesto se cumple, el emisor lo almacena en esta carpeta y se vuelve a iniciar el circuito. Con esta opción se contempla la posibilidad de modificar un documento que no se repudió en el circuito.

    Además de lo citado anteriormente podemos destacar lo siguiente:

    - Integración en el sistema operativo.
    - Entorno amigable.
    - Instalación y desinstalación del certificado por sesión.
    - Límite de tiempo de las sesiones configurable por el usuario.
    - Instalación en caliente de herramientas.

    Servidor:

    - Será el encargado de coordinar las tareas anteriormente
    - Expuestas a la par de completar el Registro de Eventos.
    - Certifica al usuario que va a utilizar el servicio de Firma.
    - Archiva los documentos que recibe y comprueba si la transacción está completa.
    - Actualiza las carpetas descritas según la operación que corresponda.
    - Actualiza la base de datos de acceso.
    - Envía el documento al Custodio si la transacción se ha completado.

    Características :

    - Servidor HTTP propio. Permite Proxy.
    - Almacenamiento de la información sobre cualquier tipo de base de datos existente en el mercado.

    Requerimientos técnicos:

    - Cliente:

    - Plataformas sobre las cuales la herramienta es operativa: W9X, WME, W2000, WinXP con la posibilidad de migrar hacia otros sistemas operativos
    - Desarrollo de API para otros lenguajes como Java, PHP, CFM, C, C++, Python, Perl, etc

    - Servidor:

    - Maquinas UNIX, Solaris
    - Tecnología Microsoft (WNT, 9X, 2000, XP)

    MODULO DE FECHADO DIGITAL

    Objetivo:

    Se utiliza para generar evidencias irrefutables sobre la existencia de un documento en un instante determinado del tiempo. Es el método de evitar del repudio de un documento y garantizar así, que no existan malos entendidos en las transacciones electrónicas.

    Ambito:

    Abarca un gran radio de acción ya que se puede utilizar sobre cualquier documento electrónico que sea susceptible de repudio.

    Como actúa el Fechado Digital.

    1. Una vez firmado el documento, se activa la opción de fechado.

    2. Se marca el documento y se envía.

    3. El firmante lo recibe con la constancia de que el documento existe aunque para él es transparente.

    Como utilizar OPENVPN en linux




  • firmas digitales 2018