La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

LA FIRMA ELECTRONICA AVANZADA Y EL DOCUMENTO ELECTRONICO SEGURO

Publicada porOvidio Montesano Modificado hace 10 años

Presentaciones similares

Presentación del tema: "LA FIRMA ELECTRONICA AVANZADA Y EL DOCUMENTO ELECTRONICO SEGURO"— Transcripción de la presentación:

1 LA FIRMA ELECTRONICA AVANZADA Y EL DOCUMENTO ELECTRONICO SEGURO
Javier Alarcón

2 CONTENIDO I.- CONCEPTOS BASICOS II.- CONSERVACION DE LA INFORMACION (Documentos Electrónicos)

3

4 LA SEGURIDAD DE LA INFORMACION TIENE CUATRO OBJETIVOS FUNDAMENTALES…
Confidencialidad de la Información: Sólo el destinatario de la información puede “descifrarla” para obtener el mensaje o información original Integridad de la Información: Tener los elementos para asegurar que la información originada por el emisor es exactamente la misma que recibe el destinatario de la misma Autenticidad: Poder identificar al emisor de la información así como la integridad de la misma No Repudiación: Tener los elementos técnicos para acreditar la responsabilidad de una transacción o mensaje al emisor de la misma

5 LOS OBJETIVOS SE LOGRAN A TRAVES DEL USO DE LA CRIPTOGRAFIA…
Un mensaje M se transforma en un criptograma C mediante un algoritmo de encripción E utilizando una llave k. Los mensajes encriptados C=E(M,k) se transforman en el mensaje original con un algoritmo de desencripción D(C,k). Se utilizan “llaves digitales” para la encripción/desencripción de los mensajes.

6 Criptografía Tradicional o Simétrica
(DES, RC2, RC4…) Alicia Roberto Encripta Llave secreta Alicia Desencripta Llave secreta

7 Criptografía Asimétrica
(RSA, DSA, DH…) Roberto Alicia Privada Pública Privada Pública Confidencialidad Proceso de Encripción Desencripción Mensaje Cifrado Autenticidad Encripción Desencripción Mensaje Cifrado

8 Necesidad de Determinar quién es el dueño de cierta Llave Pública
Alicia.key Raul.key Oscar.key Juan.key Usuario incómodo (Raúl) Alicia.key Raul.key Oscar.key Juan.key Roberto Cambia nombres de archivos Alicia Roberto No puede abrir sobre Encripta con Llave en archivo Alicia.key Raúl Puede abrir sobre

9 LAS LLAVES ASIMETRICAS Y EL REQUERIMIENTO DE CERTIFICACION DEBEN SER GENERADOS DE MANERA AUTOMATICA POR UNA APLICACION O A TRAVES DE UN DISPOSITIVO DE HARDWARE El usuario genera sus propias llaves para tener la certeza que sólo el conoce la llave privada o llave “secreta”. Certificado Digital Privada Pública Usuario Requerimiento de Certificación Pública Certificador Valida identidad de quien presenta el requerimiento Genera Certificado Registra el Certificado

10 UNA VEZ QUE LOS PARTICIPANTES CUENTAN CON SUS CERTIFICADOS Y SUS LLAVES PUEDEN REALIZAR EL PROCESO DE ENCRIPCION DE MENSAJES Y TRANSACCIONES CON LA CERTEZA QUE UNICAMENTE EL DESTINATARIO PUEDE DESENCRIPTARLOS Certificados de Socios Comerciales Usuario Llave pública del destinatario Destinatario Mensaje o Transacción Encriptada Mensaje o Transacción

11 AL RECIBIR UN MENSAJE EL DESTINATARIO PUEDE DESENCRIPTARLO CON SU LLAVE PRIVADA PARA VER EL CONTENIDO Llave privada Mensaje Desencriptado Mensaje Encriptado Receptor Nota: La llave privada puede pertenecer a un sistema, el cuál al recibir las transacciones, automáticamente las desencripta.

12 Algoritmo de Digestión Digestión o Huella Digital
LA GENERACION DE HUELLAS DIGITALES PERMITE VALIDAR LA INTEGRIDAD DEL MENSAJE O DE LA TRANSACCION RECIBIDA Destinatario Usuario Algoritmo de Digestión Mensaje o Transacción Digestión o Huella Digital Iuwdndvksfougyeowfpmvmjdhguefiokwldxmcsjkhgfoewifdkkaefnvsdluigfhjeaijcmnvhdyguiqjrepfokwrjourgpirokvoiurthguercmsenouirerifjcmoeurgfpeomcnvoeutg98preklññ 128 / 160 bits Recibe el mensaje y digestión Obtiene digestión del mensaje Compara digestiones para validar la integridad de la información Nota: Dos transacciones o mensajes distintos producen una huella digital distinta, y dos mensajes o transacciones iguales, producen la misma huella digital. La longitud de la huella digital es por lo general de 16 a 20 bytes dependiendo del algoritmo utilizado (MD5, MD4,SHA-1).

13 LA FIRMA Y ENSOBRETAMIENTO DIGITAL ASEGURAN LA CONFIDENCIALIDAD, AUTENTICIDAD E INTEGRIDAD DE LA INFORMACION Llave privada Iniciador Firma Electrónica Avanzada Documento o Transacción Digestión Sobre Digital Destinatario Llave pública destinatario Recibe sobre electrónico Autentica Emisor “Abre” sobre Valida firma e integridad de la información Certificado Destinatario Certificado Iniciador

14 Certificado Digital X.509 Certificado Digital Versión: 3
Número de Serie: Nombre del Emisor: AC Inválido antes de: Fecha UTC Inválido después de: Fecha UTC Nombre del Sujeto: Juan Pérez Llave Pública: Certificado Digital

15 Creación del Certificado Digital X.509
Requerimiento de Certificación Llave privada Autoridad Certificadora Datos del Requerimiento + datos de la Autoridad Certificadora Digestión Firma Electrónica Avanzada Certificado Digital Datos del Requerimiento y de la AC

16 Autenticidad del Certificado Digital Algoritmo RSA de Autenticación
Llave Pública de la AC Si o no es auténtico Algoritmo RSA de Autenticación Certificado Digital

17 Lista de Certificado Revocados Lista de Certificados Revocados
Nombre del Emisor: AC Ultima Actualización: Fecha UTC Siguiente Actualización: Fecha UTC Número de Serie, Fecha UTC de revocación . Lista de Certificados Revocados

18 DOS ESTANDARES QUE CONTEMPLAN LOS CONCEPTOS AQUI DEFINIDOS SON EL PKCS (Public Key Criptography Standards) Y EDIFACT PKCS: - #1 : Encripción utilizando RSA - #3 : Diffie-Hellman Key Agreement Standard - #5 : Password-Based Encryption Standard - #6 : Extended-Certificate Syntax Standard - #7 : Cryptographic Message Syntax Standard - #8 : Private-Key Information Syntax Standard - #9 : Selected Attribute Types - #10 : Certification Request Syntax Standard - #11 : Cryptographic Token Interface Standard - #12 : Personal Information Exchange Syntax Standard - #13 : Elliptic Curve Cryptography Standard EDIFACT: - ISO : Security rules for batch EDI (autenticidad, integridad y no rep.) - ISO : Secure authentication an ack. Message (AUTACK) - ISO : Security rules for batch EDI (confidencialidad) - ISO : Security key and certificate management message (KEYMAN) - ISO : Security rules for interactive EDI

19 II.- CONSERVACION DE LA INFORMACION (Documentos Electrónicos)

20 EL DOCUMENTO TRADICIONAL TIENE UNA SERIE DE DESVENTAJAS EVIDENTES…
(Ej. Un contrato) requiere rubricar cada hoja y firmar autografamente la última La rúbrica no está contenida en ninguna identificación oficial, por lo que no es posible validar que pertenezca a una persona en particular Las rúbricas por lo general son muy simples y pudieran ser replicadas La práctica indica que pocos validan que la firma autógrafa sea la misma que la que aparece en una identificación oficial La mayoría de las veces, después de haber rubricado y firmado un documento, no se vuelven a validar cada una de las hojas para ver que no hayan sido alteradas una vez, que se recibe de regreso el documento con las rúbricas y firmas del resto de participantes

21 EL DOCUMENTO TRADICIONAL (Cont)…
La firma autógrafa es igual en todos los documentos sin importar su contenido En los documentos tradicionales no es posible solicitar firmas simultaneas, siempre se firma en forma secuencial, complicando el proceso de recopilación de las firmas Qué pasa si tomo la firma autógrafa de un contrato, la plasmo en otro documento y este lo envío por fax ? Qué pasa cuando hay que ubicar el documento y la firma del mismo en el tiempo ? (Ejemplos: Una subasta o concurso, registro de marcas, registro de patentes, título de propiedad)

22 HAY UNA SERIE DE PREGUNTAS QUE NOS TENEMOS QUE HACER Y A LAS CUALES DEBEMOS DAR RESPUESTA PARA CONSIDERAR UN DOCUMENTO ELECTRONICO (MENSAJE DE DATOS) COMO VALIDO Qué se firmó ? Quiénes lo firmaron ? Cuándo lo firmaron ?

23 Proceso de Digestión (Hash) Firma Electrónica Avanzada (FEA)
Qué se Firmó ? … El contenido del mensaje de datos, el conjunto de bits que forman el mensaje Los participantes en un acuerdo negocian este contenido, y una vez aceptado, proceden a firmarlo electrónicamente Llave Privada Mensaje de Datos Proceso de Digestión (Hash) Digestión Encripción Firma Electrónica Avanzada (FEA) Mensaje Firmado

24 <> = Qué se Firmó ? …
Al autenticar una FEA es posible determinar si ésta fue aplicada a un mensaje de datos en particular Llave Pública Desencripción Mensaje Firmado Firma Electrónica Avanzada (FEA) No autentico Digestión (1) <> Comparación de Digestiones = Autentico Mensaje de Datos Proceso de Digestión (Hash) Digestión (2)

25 Requerimiento de Certificación
Quiénes lo firmaron ? … Son los participantes que aceptaron el contenido del mensaje de datos y dieron su aceptación utilizando su Llave Privada para generar la FEA El Certificado Digital liga la identidad de los firmantes con su Llave Pública, que por su relación con la Privada permite determinar el autor de una FEA Certificado Digital Privada Autoridad Certificadora Es un tercero confiable (Trusted Third Party - TTP) Valida identidad de quien presenta requerimiento Autentica requerimiento para determinar que el dueño del mismo es propietario de la Llave Privada que corresponde a la Pública dentro del requerimiento Agrega sus Datos a los datos del requerimiento, agrega período de validez, asigna número de serie y lo Firma Electrónicamente generando el Certificado Digital Requerimiento de Certificación Pública

26 Quiénes lo firmaron ? … Al ser el Certificado Digital un mensaje firmado electrónicamente, este se puede autenticar y determinar: Que el Certificado no ha sido alterado (es integro) Que el Certificado fue emitido por una Autoridad Certificadora confiable (TTP) Que el Certificado se encuentra en su período de validez Teniendo el mensaje firmado electrónicamente por los diferentes participantes y sus correspondientes Certificados Digitales, podemos determinar: Que el mensaje no ha sido alterado desde el momento de su firma (es integro) Que los participantes firmaron el mismo mensaje Que el mensaje se firmó con ciertas Llaves Privadas específicas (es auténtico) Que una Tercero Confiable validó la identidad de los firmantes avalando que estos son los poseedores de la Llave Privada con la que se realizaron las firmas Mensaje Firmado Certificados Digitales

27 Cuándo lo firmaron ? … Es necesario determinar si el Certificado Digital del firmante era válido al momento de realizar la firma del mensaje (No Revocado) Si se firmó antes del momento de la revocación, la firma es válida Si se firmó después del momento de la revocación, la firma se considera inválida y se debe rechazar el mensaje Es necesario determinar si en su ámbito aplicativo el mensaje tenía validez al momento de su firma (Ejemplo: Una subasta o un concurso con fecha límite para entrega de propuestas) Es recomendable involucrar a una Autoridad de Tiempo Confiable (TSA) también conocida como Oficialía de Partes, que de fe que una transacción ocurre a cierta fecha y hora a través de la emisión de estampillas de tiempo

28 Receptores de Mensajes
Cuándo lo firmaron ? … Receptores de Mensajes Mensaje firmado Proceso de Digestión (Hash) Digestión Time Stamp Authority (TSA) Firmantes Internet Estampilla de Tiempo

29 QUE ESTANDARES CONTEMPLAN ESTOS CONCEPTOS Y ME PERMITEN DAR RESPUESTA AL QUE, QUIEN Y CUANDO ? …
X.509 para Certificados Digitales OCSP (Online Certificate Status Protocol): Permite hacer consultas en línea a las Autoridades Certificadoras sobre el estatus de revocación de un certificado. TSP (Time Stamp Protocol): Permite generar estampillas de tiempo que amparan la existencia de un contenido a una determinada fecha y hora. PKCS (Public Key Cryptography Standards): Estándar que define la Sintaxis de Mensajes Criptográficos, incluyendo mensajes firmados electrónicamente.

30 bSigned (Esquema Conceptual)
Elige documento a ser firmado Elige participantes y roles Elige secuencia de firmado (opcional) Elige período de expiración del documento Envía a bSigned Autoridad Certificadora OCSP Iniciador SSL Servidor de Base de Datos Internet TSP Servidor bSigned Reciben correo electrónico con liga a documento a firmar Revisan documento y si todo es correcto proceden a firmarlo Envían firma a bSigned Recibe documento y certificados de los participantes Valida estatus de certificados vs Autoridad(es) Certificadora(s) Envía correo para solicitud de firmas Time Stamp Authority (TSA) Recibe “resumen” de la transacción Genera estampilla de tiempo Almacena estampilla Envía estampilla a Servidor bSigned Valida firma de cada participante Valida estatus de certificado al momento de la firma Solicita estampilla de tiempo por cada una de las firmas Firmantes Solicita estampilla de proceso finalizado Genera archivo con toda la evidencia y lo hace disponible a los participantes

31 Marco Legal de la Firma Electrónica
Factura Electrónica y Comprobantes Fiscales Admisibilidad de Mensajes de Datos Conservación de Mensajes de Datos 1era Ley de Firmas Electrónicas Estatal (Guanajuato) Procedimientos Administrativos por medios electrónicos Ley de Firmas Electrónicas En el corto espacio de cuatro años, la modernización de la administración pública ha mostrado diversas manifestaciones, sobre todo en el marco jurídico que diversifica los instrumentos de gobierno. Sólo en la legislación que permite el uso de la Firma Electrónica, fue desde mayo del año 2000 cuando se decreta el primer gran cambio para la aceptación de los documentos de datos y, con ellos, la primera definición de una identidad electrónica legalmente admisible para asuntos de gobierno. Esta primera disposición legal que rompe con la cultura del papel en la administración pública, es la que corresponde a las reformas a la Ley Federal de Procedimiento Administrativo, publicada en el Diario Oficial el mes de mayo de año En esta reforma se da legalidad a las comunicaciones electrónicas de y hacia las instituciones gubernamentales, y se acepta la validez jurídica de la firma electrónica como medio de identificación de la personalidad tanto del ciudadano como de los servidores públicos. En el 2001 se expide una Norma Oficial Mexicana, la NOM-151 en materia de comercio, en la que se establecen las prácticas comerciales y requisitos que deben observarse para la conservación de mensajes de datos que consignen contratos, convenios o compromisos que den nacimiento a derechos y obligaciones entre las partes. En el 2002, se establecen una serie de disposiciones para que la Administración Pública Federal realice promociones y resoluciones administrativas definitivas a través de medios de comunicación electrónica. Es decir, correo electrónico y portales Web. En mayo de año pasado, se expide la Ley de Firmas Electrónicas, que en realidad es una miscelánea de adiciones y reformas al Código de Comercio, todas ellas para dar sustento legal a la firma electrónica en el intercambio de documentos electrónicos. Finalmente, a principios de este año, se norma el uso de la factura electrónica, usando para su legitimación el procedimiento de Firma Electrónica Avanzada. Con este marco legal, México está preparado ya para establecer mecanismos tecnológicos que permitan la utilización de los medios electrónicos en el intercambio de documentos legalmente admisibles, con validez en juicios y controversias, auditables y seguros. Mayo 2000 Mayo 2000 Junio 2002 Agosto 2003 Enero 2004 Junio 2004

32 LA FIRMA ELECTRONICA NO ES UNICAMENTE UN TEMA DE SEGURIDAD, ES UN TEMA DE EVOLUCION …
La firma electrónica nos permite eficientar procesos y reducir costos Eliminación de gastos en papel Eliminación de gastos en toner o cartuchos para impresoras Eliminación de gastos de mensajería para traslado de documentos Eliminación de riesgos en el traslado de documentos confidenciales (perdida, robo, apertura, alteraciones y maltratos) Eliminación de espacio físico para almacenamiento de los documentos Disminución dramática en los tiempos de gestión de firmas de documentos (Una sola firma ampara todo el contenido del documento, a diferencia del mundo en papel, donde cada hoja debe rubricarse y la firma autógrafa aparece únicamente al final del documento. El proceso de rubricar cada hoja y firma se debe realizar además en las copias del documento) Disminución dramática en tiempos de búsqueda de documentos Disminución del riesgo en documentos ya almacenados (robo, alteraciones y maltratos) DESPUES DE TODO, LA FIRMA ELECTRONICA AVANZADA NO ES TAN FEA …

Descargar ppt "LA FIRMA ELECTRONICA AVANZADA Y EL DOCUMENTO ELECTRONICO SEGURO"

Presentaciones similares

Seguridad técnica y jurídica con certificados digitales

Seguridad técnica y jurídica con certificados digitales
Certificados X.509 Federico García

Certificados X.509 Federico García
Criptografía como recurso para el aula de matemáticas. El arte de esconder Firmas digitales La firma digital es una sucesión de bits que se obtienen mediante.

Criptografía como recurso para el aula de matemáticas. El arte de esconder Firmas digitales La firma digital es una sucesión de bits que se obtienen mediante.
Jorge de Nova Segundo UD4: Instalación y administración de servicios Web Seguridad del protocolo HTTP.

Jorge de Nova Segundo UD4: Instalación y administración de servicios Web Seguridad del protocolo HTTP.
La Firma Electrónica.

La Firma Electrónica.
Curso de Seguridad Informática

Curso de Seguridad Informática
Curso de Seguridad Informática

Curso de Seguridad Informática
Evaluaciones de Sistemas de Administración de la Seguridad SMSA

Evaluaciones de Sistemas de Administración de la Seguridad SMSA
Conceptos sobre firma y certificados digitales

Conceptos sobre firma y certificados digitales
- Firma digital y cifrado de mensajes.

- Firma digital y cifrado de mensajes.
INFRAESTRUCTURA DE CLAVE PÚBLICA

INFRAESTRUCTURA DE CLAVE PÚBLICA
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.

1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
Que es el protocolo “SSL”

Que es el protocolo “SSL”
Manual de Registro Web VUCEM

Manual de Registro Web VUCEM
Trabajo de redes Inma Gómez Durán

Trabajo de redes Inma Gómez Durán
Pablo Suau/Ramón Rizo - Seguridad en Entornos Web 1 Aplicaciones de PGP Introducción Claves Algoritmos criptográficos Instalación Generación de un par.

Pablo Suau/Ramón Rizo - Seguridad en Entornos Web 1 Aplicaciones de PGP Introducción Claves Algoritmos criptográficos Instalación Generación de un par.
Ética y legislación informática

Ética y legislación informática
Firma Digital en el Ecuador

Firma Digital en el Ecuador
Firma digital en el ecuador

Firma digital en el ecuador
Por: Jorge Aguirre Firma digital.

Por: Jorge Aguirre Firma digital.

Presentaciones similares

Anuncios Google