Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Firma Digital

Firma Digital en la Argentina
by

Pablo Celli

on 31 July 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Firma Digital

Firma Digital en la Argentina
Breve Historia Normativa

RESOLUCION N° 45/97 de la Secretaría de la Función Pública
1997
2001
Decreto 427/98 Firmas Digitales para la Administración Pública Nacional
Ley 25.506
LEY DE FIRMA DIGITAL (Nov. 2001)
1998
Decreto 2628/2002Reglamentación de la Ley N° 25.506 (modificado por Decreto 724/2006)
2002
El Decreto Nº 283/2003 faculta a la Onti a emitir con carácter transitorio certificados Digitales para la Administración Pública Nacional.
Decreto 1028/2003 disuelve el Ente Administrador de Firma Digital y transfiere su competencia a la Oficina Nacional de Tecnologías de Información ONTI
2003
Decreto 160/2004 designa a los miembros de la Comisión Asesora para la Infraestructura de Firma Digital.
Res. de la JGM 435/2004 reglamenta la Comisión
2004
Establece la necesidad del uso de la tecnología criptográfica digital para la modernización del área Pública y su importante contribución a la productividad del sector
Autoriza al empleo en el ámbito de la Administración Pública Nacional de la tecnología de criptografía asincrónica(PKI), para la promoción y difusión del documento y firma digitales.
Objetivos:Normar la equiparación de la firma digital a la firma ológrafa para permitir la digitalización y despapelización de los circuitos administrativos del Estado.
Objetivos:Crear las condiciones para el uso confiable del documento digital suscripto digitalmente en el ámbito del Sector Público.
Objetivos: Reducir el riesgo de fraude en la utilización de documentos digitales al suscribirlos digitalmente.
Necesidad del dictado de una norma de jerarquía superior, que promueva la extensión del uso de la firma digital a todo el ámbito del Sector Público Nacional.
Establece que resulta indispensable la creación de una Infraestructura de Firma Digital para el Sector Público Nacional con el fin de crear las condiciones de un uso confiable del documento suscripto digitalmente.
Se designa a la Secretaría de la Función Pública, dependiente de la Jefatura de Gabinete de Ministros, para que sea la Autoridad de Aplicación del presente Decreto y el Organismo Licenciante, y a la Contaduría General de la Nación como Organismo Auditante,
Establece un glosario y los deberes y funciones de cada organismo dentro de la PKI y fija plazos para la implantación de esta tecnología.
Public Key Infraestruture, o Infraestructura de claves públicas
Objetivo:Reconocer el empleo de la firma electrónica y de la firma digital y su eficacia jurídica con los alcances de la ley.
Define Firma Digital, y electrónica y sus diferencias legales y alcances, también DocumentoDigital
El ARTÍCULO 3º equipara la Firma Digital a la ológrafa y el art. 4º indica que casos están excluidos
Se establecen las funciones, derechos y obligaciones de todos los participantes de la PKI, a la Jefatura de Gabinete de Ministros como la autoridad de aplicación de la Ley y se crea una Comisión Asesora para la Infraestructura de Firma Digital
Objeto. La presente reglamentación regula el empleo de la firma electrónica y de la firma digital y su eficacia jurídica
Establece que la validez de los certificados, digitales emitidos por certificadores
no licenciados
serán válidos para producir los efectos jurídicos que la ley otorga a la firma electrónica.
(NO DIGITAL)
Establece, las funciones de la autoridad de aplicación, Conformación de la Comisión Asesora y sus funciones. También crea el ente Administrador de Firma Digital e indica sus atribuciones y modo de financiamiento
Determina que la JEFATURA DE GABINETE DE MINISTROS convocará a concurso público para la precalificación de entidades de auditoría
Reglamenta cuando revocar los certificados ya emitidos, y los requisitos, funciones y obligaciones de los certificadores licenciados, la duración de los licenciamientos y las causales de caducidad de los mismos. También regla el reconocimiento de los certificados extranjeros y que no son aplicables a personas con domicilio o residencia en la República Argentina.
Define las políticas mínimas de certificación, establece la necesidad de un Seguro para el Certificador Licenciado(derogado por Decreto 724/2006), así mismo excluye la responsabilidad pecuniaria del Estado en relación a certificados públicos o privados en su calidad de Ente Administrador de la PKI.
Establece las funciones, y obligaciones de las autoridades de registro, y particularmente quién cumplirá este rol en el ámbito de la Administración Pública
Dispone el uso de estas tecnologías en el ámbito de la Administración Pública Nacional
Ente Licenciante:
Certificadores licenciados:
Autoridades de Registro:
Es el órgano técnico-administrativo encargado de otorgar las licencias a los certificadores y de supervisar su actividad.
Autoridad de Aplicación:
Secretaría de la Gestión Pública
Comisión Asesora para la Infraestructura de Firma Digital
Son aquellas personas de existencia ideal, registro público de contratos u organismo público que obtengan una licencia emitida por el ente licenciante para actuar como proveedores de servicios de certificación en los términos de la Ley Nº 25.506 y su normativa complementaria.
Certificadores licenciados:
AFIP
ANSES
ONTI
Son entidades que tienen a su cargo las funciones de validación de la identidad y otros datos de los suscriptores de certificados. Dichas funciones son delegadas por el certificador licenciado.
Autoridades de Registro:
Sistema de Auditoría:
Algunas funciones de auditoría y control son asumidos por la ONTI, pero aún no se ha designado quien desempeñará esta función.
Secretaría de Gabinete
Resolución JGM Nº 20/2004
Asigna a la DIRECCIÓN DE APLICACIONES dependiente de la OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN la acción de asistir al Director de la Oficina en el cumplimiento de las obligaciones y funciones establecidas en los Artículos 13 y 14 del Decreto Nº 2628/2002, entre las cuales se encuentra la auditoría necesaria para el licenciamiento prevista en las normas técnicas de firma digital aprobadas por la Decisión Administrativa Nº 06/07.
Resolución SGP N° 64/2007
Procedimientos operativos para la instalación y puesta en marcha de la Autoridad Certificante Raíz de la República Argentina.

Resolución SGP N° 63/2007
Política de Certificación de la Autoridad Certificante Raíz de la República Argentina.

Decisión Administrativa JGM Nº 06/2007
Establece el marco normativo de firma digital aplicable al otorgamiento y revocación de las licencias a los certificadores que así lo soliciten.

Resolución Nº 62/2008
Determina que la ONTI, con el concurso de la Dirección de Infraestructura y de Recursos Informáticos, emitirá el dictamen legal y técnico previo al licenciamiento de certificadores.
2007..2008
Decreto 901/2009
Aprueba la nueva estructura organizativa de la Jefatura de Gabinete de Ministros y en particular, la de la Secretaría de la Gestión Pública. En su punto Nº 21 establece la competencia de la Secretaría para actuar como autoridad de aplicación del Régimen Normativo de la Infraestructura de Firma Digital (Ley Nº 25.506), como así también, en las funciones de ente licenciante de certificadores, supervisando su accionar. Entre los objetivos de la nueva Subsecretaría de Tecnologías de Gestión, establece su función de Autoridad Certificante de Firma Digital para el Sector Público Nacional.
2009
http://www.jgm.gov.ar/archivos/pki/Laboratorio.pdf
Que es la firma digital?

VER:
La firma Digital se basa en un mecanismo de criptografía asincrónica
Literalmente es escritura oculta
La criptografía actualmente se encarga del estudio de los algoritmos, protocolos y sistemas que se utilizan para dotar de seguridad a las comunicaciones, a la información y a las entidades que se comunican
Su uso fue determinante en la Segunda Guerra Mundial.
Y su fundamental progreso, se dio durante la guerra fría, con el advenimiento de internet esta tecnología toma otro giro, pero fue en el ámbito de los organismos de guerra e inteligencia donde se investigó y tuvo su origen primero.
La Criptografía Sincrónica
Es una técnica por la cual un mensaje, texto o dato, es traducido mediante una clave, esto da como resulta un mensaje, texto o dato ENCRIPTADO (OCULTO), que no puede ser interpretado. Para interpretarlo es necesario la clave de origen
El problema de la criptografía sincrónica
El problema es que para que el destinatario pueda leer el mensaje de origen y comprobar que fue hecho por la persona que lo envía necesita la clave con la que se encriptó. Una vez que el destinatario tiene esa clave, puede él también encriptar mensajes, como si fuera el autor original (Es decir la clave no es de uso exclusivo), entonces se intenta hacer confidencial el método de encriptamiento y se cambian las claves periódicamente.
Ejemplos de esta falla son:
La Máquina de encriptación de mensajes de guerra Alemana Enigma, rota por el matemático Marian Rejewski de la oficina de cifrado Polaca decisivo para los aliados.
La rotura del código críptico Japones JN-25, condujo a la célebre victoria estadounidense de la Batalla de Midway
Además el grupo SIS del Ejercito Americano rompió la máquina criptogáfica Japonesa Púrpura antes del comienzo de la 2da Guerra Mundial
Objetivos de la Criptografía actual
Confidencialidad
Integridad
No repudio
Autenticación
La Criptografía asincrónica o pública basada en certificados
La criptografía pública tiene el desafío de conseguir los objetivos referidos precedentemente, pero con la particularidad de que no hay restricciones de acceso al dato encriptado ni a los métodos de encriptamiento que son públicos. Siendo entonces que cualquiera pueda, validar su autenticidad y el emisor no pueda repudiar el contenido como no propio, brindando seguridad en el tiempo sin cambiar las claves que originaron los mensajes (en un tiempo prudencial).Por ello se debe impedir que se vulnere la autenticidad,se suplante al autor, se falsifique o se modifique el contenido.
Como funciona?
Hay dos claves, una privada y una pública
La clave privada es secreta y se uso exclusivo del autor.
La clave pública es accesible por cualquiera, y sirve para validar la autenticidad del mensaje firmado por el emisor.
Con la clave pública y un conjunto de mensajes encriptados con la clave privada original, no es posible despejar por medios computacionales reales, en un tiempo dado, la clave privada
Firmado Electrónicamente
Internet o cualquier otro medio inseguro
Firmado Electrónicamente
Se valida la integridad del documento
Se valida el autor del documento
Todo ello sin conocer la clave privada y sin poder deducirla lo cual garantiza que no es posible que otra persona firme digitalmente este documento.
Cual es la diferencia entre la firma Electrónica y la Digital?
La firma electrónica sirve, en tanto y cuanto receptor y emisor convienen por otro medio no repudiable, que estos certificados o claves públicas son válidos, es decir los reconocen. Sino no puede estarse seguro de la autenticidad del certificado y su correspondencia con el autor (posible suplantación de identidad).
Que es la PKI?
Es la Infraestructura de Claves Públicas, que sirve para otorgar certificados públicos(que no son otra cosa que una clave publica, otorgada a alguien, para hacer algo, en un tiempo dado, firmado por un certificador licenciado) a personas físicas (comprobando su identidad en las autoridades de registro) o a los representantes de personas de entidad ideal, revocarlos, distribuirlos, y renovarlos. Y por sobre todas las cosas que esto se haga de manera pública, permitiéndole a cualquiera comprobar la validez de un certificado, y por ende de los documentos que el autor y dueño del par privado correspondiente, ha firmado electrónicamente. Es por esta publicidad, y la posibilidad de una comprobación de los certificados y las garantías que la Ley impone a través de las obligaciones de los distintos organismos intervinientes, que esa firma electrónica se torna NO REPUDIABLE y por tanto firma DIGITAL. En el esquema de toda PKI, hay una entidad certificante RAIZ reconocida por LEY, que es la entidad que ha emitido para si misma un certificado con el cual firmará los certificados de otras entidades de certificación licenciada, que a su vez firmarán los certificados, de las personas, cuya identidad se acrediten ante la Autoridad de Registro.
La firma Digital es entonces una Firma electrónica realizada por una persona con un Certificado que es válido dentro de un marco normativo y técnico establecido por la propia ley de firmas digitales y su no repudio se basa en este reconocimiento
La reglamentación de la Ley establece los diversos motivos por los que puede caducar un certificado emitido válidamente. Los certificados tienen de por sí una fecha de validez, fuera de la cual los documentos firmados con posterioridad no tienen validez, pero hay otros motivos que pueden producir la caducidad anticipada. Es por ellos que el sistema de PKI debe preveer la posibilidad de entregarle a cualquiera la validación de las listas de revocación de un certificado con el objetivo de saber si el documento digital a ser comprobado, fue firmado con un certificado apócrifo.
Los certificados pueden caducar por diversos motivos
Para poder comprobar un certificado digital de un autor de un documento digital, es necesario validar todos los certificados implicados en la emisión del mismo hasta el certificado RAIZ, en el cual se confía porque el marco normativo lo respalda. Por ello es que no solo se comprobará la no revocación y vigencia del certificado del autor, sino también el de toda la cadena que le dio origen.
Por qué los certificados tienen fecha de vigencia?
Porque si bien no es computacionalmente posible obtener la Clave privada en función de la Clave pública, en un tiempo dado(periodo de vigencia), si es posible hacerlo en un tiempo mucho mayor. Por ello en base al tamaño de las claves usadas, se determina el tiempo computacionalmente aceptable para su validez.
Como funciona técnicamente?
Cómo verifica los certificados?
Un documento firmado digitalmente puede ser confidencial?
Como se cifra un documento digital?
Un documento electrónico es cualquier dato, texto, mensaje etc. que puede ser reducido matemáticamente, digitalmente. Es decir suceptible de ser representado por números.
Ejemplos
Cómo se genera la firma digital el autor?
Como se valida el documento?
Un documento de texto.
Un PDF.
Una Fotografía.
Una Filmación.
Una grabación de audio.
La fecha y hora (TIME STAMP)
La información de un certificado.
Cualquier imagen, Cualquier sonido.
Independientemente del Software que se use, el autor tiene un par PRIVADO de la clave asincrónica que se le ha dado (Clave Privada), esa clave está asegurada en un dispositivo para que sea de uso exclusivo del autor (control físico), pero además es encriptado sincrónicamente con una contraseña que SOLO EL AUTOR conoce.
Antes de firmar el autor deberá ingresar esa contraseña para que el sistema pueda desencriptar sincrónicamente la clave privada.
Con la clave privada desencriptada el sistema primero procede a hacer un resumen matemático del documento. Este resumen se conoce como Hash, y es un número mucho más pequeño que el documento, pero tan grande que solo este documento puede corresponder con este número. Aunque no es posible realizar la operación inversa e ir del número al documento, siempre que se someta el documento al proceso hash devolverá este número.
El número Hash que se corresponde univocamente con el documento es luego encriptado con la clave privada
El documento final se conforma en un solo paquete, documento original y número Hash Encriptado con la Clave Privada y queda listo para su transmición por cualquier medio, otros detalles se pueden sumar al paquete como el certificado público.
Llegado el documento el sistema lo abrirá y si contiene la información del certificado del emisor(habitualmente lo hace, por ejemplo PDF) Comprobará la validez del certificado.Hecho esto, extraerá la clave pública para pasar a corroborar el documento (recuerde que el proceso de validación que aquí se describe también se usa para validar los certificados, que no son más que otros documentos)
Primero tomará el documento original y le aplicará un proceso Hash obteniendo así un número que es digesto del documento que le corresponde univocamente.
Luego desencriptará el número hash encriptado en origen por el autor (con su clave privada) utilizando para ello la clave pública del certificado que se acaba de validar.
Finalmente compara ambos número, si estos son iguales, entonces el documento es válido.
El certificado es un documento digital firmado digitalmente
Por ello se validan todos los certificados intervinientes, hasta el certificado raíz en el cual se confía.
Luego para corroborar que no este revocado alguno de los certificados intervinientes, y desde cuando lo están, el sistema validará para cada uno la lista de revocación y el periodo de vigencia de cada certificado. La lista de revocación también es firmada por el la autoridad de Certificación Raiz.
Si todo slos certificados en la cadena pasan la prueba, entonces el certificado del autor es válido y se comprueba el documento
Por lo tanto aplica la misma lógica de validación que se ha visto antes.
Si un documento firmado digitalmente puede ser confidencial porque además puede cifrarse
El objetivo de cifrar un documento digital es que solo el destinatario pueda verlo.
Se realiza un proceso idéntico al de la firma digital.
Documento Encriptado sincrónicamente, número hash encriptado con la clave privada del autor y clave de sesión encriptada con la clave Pública del destinatario, es enviado.
Como desencripta y comprueba el destinatario?
Con el documento desencriptado intenta validar como si se tratara de un documento firmado digitalmente público.
Pero en lugar de enviar el documento original, este documento se encripta sincrónicamente, con una clave generada al azar, solo para este documento y en esta oportunidad (Clave de sesión).
La clave de sesión también se encripta pero con la clave pública del destinatario (es de notarse que solo la clave privada del destinatario puede desencriptar lo que se ha encriptado con la clave pública)
Primero toma la clave de sesión encriptada e intenta desencriptarla con la clave PRIVADA propia.
Con la clave de sesion desencripta el documento
.
Autor
Destinatarios
Firma Digital...
Mucho más que una firma.
Full transcript