La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seguridad y Firma electrónica Alfredo Batuecas Caletrío

Presentaciones similares


Presentación del tema: "Seguridad y Firma electrónica Alfredo Batuecas Caletrío"— Transcripción de la presentación:

1 Seguridad y Firma electrónica Alfredo Batuecas Caletrío
Universidad de Salamanca Seguridad y Firma electrónica Veracruz, marzo 2007 Alfredo Batuecas Caletrío Área de Derecho Civil

2 La seguridad en las comunicaciones preocupa al hombre desde antiguo.
“Cuanto más se agravaba cada día la fiereza del asedio, principalmente por ser muy pocos los defensores, estando gran parte de los soldados postrados de las heridas, tanto más se repetían correos a César, de los cuáles algunos eran cogidos y muertos a fuerza de tormentos a vista de los nuestros”. (La Guerra de las Galias, Libro V, parágrafo XLV) La seguridad en las comunicaciones preocupa al hombre desde antiguo. Su desarrollo ha venido propiciado por necesidades militares: Grecia: Guerra entre Esparta y Atenas, la escítala Carlomagno incrustaba signos falsos en sus mensajes Napoleón asignaba números a las letras o grupos de letras T. Jefferson utilizaba discos cilíndricos en los que estaban impresas las letras del abecedario Mención aparte merece César, uno de los primeros en utilizar de un modo útil e inteligente la criptografía: sustituía cada letra por la que ocupaba tres puestos más adelante en el abecedario

3 Hoy se utilizan métodos más sofisticados:
SISTEMAS DE CLAVE SIMÉTRICA Método de sustitución Método de permutación Esteganografía Mixtos: Mezcla sustitución y permutación. Máquina “Enigma” SISTEMAS DE CLAVE ASIMÉTRICA Opera sobre una clave privada y una clave pública Hoy ya no se envían los mensajes literalmente, sino resúmenes para lo que se utilizan funciones resumen (Hash) Así, si Esmeralda codifica sus mensajes con su clave privada, Ángel tendrá que utilizar la clave pública de aquélla para poder leerlo. Con esto, se nos garantiza la identidad del remitente del mensaje. Si Esmeralda quiere que el mensaje sólo lo pueda leer Ángel lo que tendrá que hacer es codificar el mensaje con la clave pública de Ángel, porque sólo él tiene acceso a su clave privada. Con esto, Esmeralda se asegura de la identidad del destinatario. También es posible combinar ambos métodos, para lo que basta con codificar el mensaje dos veces, una con la clave privada de Esmeralda y otra con la clave pública de Ángel, con lo que se garantiza tanto la identidad del remitente del mensaje como la del destinatario.

4 CLASES DE TRANSFERENCIAS ELECTRÓNICAS
Seguridad física vs. Seguridad jurídica CLASES: De fondos De datos Desde el punto de vista legal, existe una gran inseguridad jurídica en torno a ambas formas de transferencias, lo que representa una rémora para su implantación efectiva y global en la sociedad. La respuesta que ha ofrecido el Derecho a uno y otro tipo de transferencia ha sido muy distinta: están reguladas las transferencias electrónicas de datos, pero no las de fondos.

5 Datos personales

6

7 TRANSFERENCIAS ELECTRÓNICAS DE DATOS
(Firma Electrónica)

8 Índice: Definiciones. Clases de FE y efectos que se desprenden de su uso. Certificados electrónicos Prestadores de servicios de certificación                

9 FIRMA ELECTRÓNICA La firma electrónica ofrece la solución a la autenticidad, integridad, confidencialidad y no rechazo del mensaje en las Transferencias Electrónicas de Datos. La regulación de la F.E. recae en la Ley 59/2003, de 19 de diciembre. Ley, a diferencia del pago electrónico. Objetivo: generar en el ámbito digital las condiciones de seguridad y confianza necesarias para estimular el desarrollo de los servicios de la Sociedad de la Información, en particular, de la Administración y del comercio electrónicos.

10 DEFINICIONES I a) "Firma electrónica": es el conjunto de datos, en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante (entorno internet). b) "Firma electrónica avanzada": es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante mantiene bajo su exclusivo control. c) “Firma electrónica reconocida”: es la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma. d) "Datos de creación de firma" (clave privada): son los datos únicos, como códigos o claves criptográficas privadas, que el firmante utiliza para crear la firma electrónica. e) "Datos de verificación de firma" (clave pública): son los datos, como códigos o claves criptográficas públicas, que se utilizan para verificar la firma electrónica.

11 DEFINICIONES II e) “Prestador de servicios de certificación”: es la persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica. f) “Certificado electrónico”: es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad. g) “Certificados reconocidos”: son los certificados electrónicos expedidos por un prestador de servicios de certificación que cumpla los requisitos establecidos en esta ley en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten.

12 CLASES DE FIRMA ELECTRÓNICA Y EFECTOS JURÍDICOS
* Firma electrónica (“simple o sencilla”) “el conjunto de datos, en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante”. * Firma electrónica avanzada, aquella “que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control”. * Firma electrónica reconocida, aquella “firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma”.

13 CLASES DE FIRMA ELECTRÓNICA Y EFECTOS JURÍDICOS
De estas definiciones pueden extraerse, al menos, estas tres conclusiones: - La FER debe cumplir dos requisitos para que sea tenida por tal (estar basada en un certificado reconocido y ser generada mediante un dispositivo seguro de creación de firma), que no se le exigen, ni a la firma electrónica simple, ni a la firma electrónica avanzada. Estos requisitos le añaden calidad y la hacen más segura. - Las FEA podrá pertenecer a una firma electrónica reconocida o no, dependiendo de que cumpla los requisitos exigidos a esta última. - La firma electrónica (simple) y la firma electrónica avanzada, a su vez, se distinguen porque la segunda puede identificar al firmante, detectar cualquier cambio que se realice en los mensajes, vincularse al firmante de manera única y a los datos a los que se refiere, y garantizar que ha sido creada por medios que el firmante puede mantener bajo su estricto control, mientras que la firma electrónica (simple) no.

14 CLASES DE FIRMA ELECTRÓNICA Y EFECTOS JURÍDICOS
La ley equipara los efectos de la firma electrónica RECONOCIDA a los de la firma manuscrita (art. 3.4 LFE). Así, todo se reduce a un problema de prueba: bastará con demostrar que se utilizó una FER para desplegar efectos. ¿Qué ocurre si la firma utilizada no es reconocida? (Art. 3.9) No se le negarán efectos jurídicos a una firma que no sea FER. La firma electrónica “sencilla” y la FEA no gozan de una equiparación “automática” a la manuscrita. Habrá que probar todos los extremos de la firma electrónica: seguridad, autenticidad, integridad datos.

15 CLASES DE FIRMA ELECTRÓNICA Y EFECTOS JURÍDICOS
El soporte en que se hallen los datos firmados electrónicamente será admisible como prueba en juicio. ¿Qué ocurre si en juicio se impugna la autenticidad de una f.e.? Si la f.e. es reconocida simplemente se comprobará que el prestador de servicios de certificación prestaba sus servicios de certificación cumpliendo con todas las garantías exigidas por la ley. Importancia de los “sellos de garantía” Si la f.e. no es reconocida, habrá que estar a lo que el artículo 326 LECv establece para los supuestos en que se impugnan documentos privados. Habrá que comprobar específicamente que cumple con la autenticidad, integridad, confidencialidad de datos.

16 CERTIFICADOS ELECTRÓNICOS
Problemas de las firmas electrónicas: la distribución segura de las claves públicas y asegurar que quien utiliza una FE es ciertamente quien dice ser que es. Para salvar esos problemas, Trusted Third Party o TTP. Es un tercero, el “Prestador de servicios de Certificación”, que expide un certificado, garantizando la autenticidad de las personas. DEFINICIÓN: “un documento firmado electrónicamente por un prestador de servicios de certificación que vincula una clave pública a un firmante y confirma su identidad”. CLASES: Certificado Electrónico “sencillo o simple” Certificado Electrónico reconocido. Su importancia es que son necesarios para las FER. Los certificados Electrónicos Reconocidos deben cumplir requisitos especiales establecidos en la ley. Debe indicar: que es reconocido, Código del certificado, FEA del prestador, identificación del firmante, clave pública del firmante, comienzo y fin de su validez, límites de uso del certificado, valor máximo de las transacciones.

17 CERTIFICADOS ELECTRÓNICOS Vigencia del certificado
Son causas de extinción del certificado (Art. 8): a) Expiración del período de validez que figura en el certificado. b) Revocación formulada por el firmante. c) Violación o puesta en peligro del secreto de los datos de creación de firma del firmante o del prestador de servicios de certificación o utilización indebida de dichos datos por un tercero. d) Resolución judicial o administrativa que lo ordene. f) Cese en la actividad del prestador de servicios de certificación salvo que, previo consentimiento expreso del firmante, la gestión de los certificados electrónicos expedidos por aquél sean transferidos a otro prestador de servicios de certificación. Etc. Son causas de suspensión temporal del certificado (Art. 9): La solicitud del firmante. Una resolución judicial, la existencia de dudas, etc.

18 CERTIFICADOS ELECTRÓNICOS Expedición a favor de personas jurídicas
Responsable del certificado y de la clave privada la personas física solicitante El nombre de la persona física aparece en el certificado El certificado debe utilizarse para todas las actuaciones propias del giro o tráfico ordinario de la persona jurídica solicitante No exceder los límites del certificado La persona jurídica actúa por sí misma en el mercado, sin representante legal de intermediario Cuando se excedan los límites del certificado, “la persona jurídica quedará vinculada frente a terceros sólo si los asume como propios o se hubiesen celebrado en su interés. En caso contrario, los efectos de dichos actos recaerán sobre la persona física responsable de la custodia de los datos de creación de firma, quien podrá repetir, en su caso, contra quien los hubiera utilizado”. Genera muchas dudas

19 PRESTADORES DE SERVICIOS DE CERTIFICACIÓN Actividad de Certificación
CONCEPTO: "...la persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica”. (Art. 2.2 LFE) Personas jurídicas privadas y también la Admón. (FNMT)=Renta. Actividad de Certificación No está sujeta a autorización previa No obstante, los prestadores que quieran pueden “acreditarse” Procedimiento totalmente voluntario (Art. 26 LFE). Conviven prestadores “acreditados” con “no acreditados” El procedimiento trata de favorecer los sellos de calidad La LFE ha eliminado el Registro de prestadores estableciendo un mero servicio de difusión de información sobre prestadores.

20 Servicio de información de prestadores (Mº. de Industria)

21 PRESTADORES DE SERVICIOS DE CERTIFICACIÓN Obligaciones del prestador
a) No almacenar ni copiar los datos de creación de firma de la persona a la que hayan prestado sus servicios. b) Mantener un directorio actualizado de certificados. c) Garantizar la disponibilidad de un servicio de consulta sobre la vigencia de los certificados rápido y seguro. OBLIG. PRESTADOR CERTIFICADOS RECONOCIDOS: a) Garantizar que pueda determinarse con precisión la fecha y la hora en las que se expidió un certificado o se extinguió o suspendió su vigencia. b) Emplear sistemas y productos fiables que garanticen la seguridad técnica. c) Tomar medidas contra la falsificación de certificados. d) Conservar registrada por cualquier medio seguro toda la información y documentación relativa a un certificado reconocido.

22 Cese de la actividad Responsabilidad de los prestadores
PRESTADORES DE SERVICIOS DE CERTIFICACIÓN Cese de la actividad Comunicación a los firmantes y al Ministerio de Ciencia y Tecnología. Plazo: 2 meses antes del cese. Podrá ceder la gestión de los certificados válidos a otro prestador con consentimiento de los titulares. Responsabilidad de los prestadores Exigible a todo tipo de prestador de certificación. Art. 22 LFE. Prestador responde de los daños causados “a cualquier persona”. Titular del certificado (quien tiene la clave privada) Usuario del certificado (quien usa la clave pública) Cualquier tercero (a quienes haya suplantado el titular del cert.) Resp. Contractual o extracontractual. La carga de la prueba de la diligencia debida recae sobre el prestador

23 Exención de Responsabilidad de los prestadores
PRESTADORES DE SERVICIOS DE CERTIFICACIÓN Exención de Responsabilidad de los prestadores a) los datos que deban consignarse en el certificado y que le haya facilitado el firmante no sean veraces. b) el firmante no notifique modificaciones importantes. c) el firmante no haya conservado con la diligencia debida los datos de creación de firma. d) el firmante no haya solicitado la suspensión o revocación del certificado, si tenía dudas razonables sobre la confidencialidad de su clave. e) el firmante utiliza los datos de creación de firma una vez expirado el período de validez del certificado.

24 Supervisión y control de la Admón. Pública Infracciones y sanciones
PRESTADORES DE SERVICIOS DE CERTIFICACIÓN Supervisión y control de la Admón. Pública La Admón. podrá controlar que el prestador cumple con la ley. Los prestadores deberán entregar a la Admón. la información que ésta pueda solicitarles. Infracciones y sanciones Muy graves: expedir certificados reconocidos sin comprobar, incumplir obligaciones causando daños a terceros €. Graves: incumplir obligaciones sin causar daños a tercero, resistirse a la inspección. De € a €. Leves: incumplir obligaciones sin dar lugar a infracciones graves o muy graves. Hasta €. Sanciones graves y muy graves public. en el BOE. Medidas Prov.


Descargar ppt "Seguridad y Firma electrónica Alfredo Batuecas Caletrío"

Presentaciones similares


Anuncios Google