1. EJE TEMATICO N° 3
FALLOM DE JESUS AMADOR OVALLE
EDGAR ADRIAN CABEZA PABON
ALEXIS SORAYA PARDO ODUBER
IVAN DARIO SABOYA BAUTISTA
Docente
JORGE MARIO ZULUAGA CAMPUZANO
UNIVERSIDAD DEL QUINDÍO
CIENCIA DE LA INFORMACIÓN Y LA DOCUMENTACIÓN,
BIBLIOTECOLOGÍA Y ARCHIVÍSTICA
GESTIÓN DE DOCUMENTOS ELECTRÓNICOS
GRUPO 2
V SEMESTRE
2014
2. EJE TEMATICO N° 3
Certificado Electrónico y la firma electrónica
Certificado electrónico
Firma Electrónica
Identificación y Autentificación
Legislación
Funcionamiento de la firma electrónica
Cifrado electrónico
Entidades Certificación
3. INTRODUCCION
En la era digital en la que nos encontramos, es necesario conocer,
crear, establecer, modelar, proyectar e implementar estrategias y
herramientas, que garanticen la seguridad, conservación y validez
de la información que emitimos y encontramos la red.
Es por esta razón que aparecen los certificados electrónicos, las
firmas digitales o electrónicas y el cifrado electrónico, entre otros
mecanismos de seguridad de la información electrónica, que
permiten avanzar en un inusitado camino hacia una era que
podríamos llamar de la archivística digital, en la cual se necesita,
tener bases e instrumentos que ayuden a conservar y garantizar la
veracidad de la información.
A continuación encontraremos un análisis de estas herramientas y
una descripción de las mismas, con el objeto de establecer la
importancia y relevancia que tendrán en un futuro no muy lejano.
4. EL CERTIFICADO ELECTRÓNICO
∗ Es
un
documento
firmado
electrónicamente por un prestador de
servicios de certificación que vincula
unos datos de verificación de firma a un
firmante y confirma su identidad.
∗ Es un documento que permite al
firmante identificarse en Internet. Es
necesario para realizar trámites, tanto
con las administraciones públicas como
con numerosas entidades privadas
5. EL CERTIFICADO ELECTRÓNICO
Quien lo emite?
Para qué sirve?
Contenido mínimo
Duración
Un prestador de servicios
-Identificar a un firmante
-Obtener contrastación de su
firma
-Comprobar que el mismo está
vigente.
-Identificación del prestador que
lo valida.
-Clave pública del prestador
-Identificación del firmante
-Clave pública del firmante.
-Según características y tecnología
empleada.
-Certificados reconocidos máximo
de 4 años desde su emisión
6. EL CERTIFICADO ELECTRÓNICO
Características
El certificado contiene usualmente:
∗Nombre, dirección y domicilio del suscriptor.
∗Identificación del suscriptor mencionado en el
certificado.
∗El nombre, la dirección y el lugar donde realiza las
actividades la entidad de certificación.
∗La clave pública del usuario.
∗La metodología para verificar la firma digital del
suscriptor impuesta en el mensaje de datos.
∗El número de serie del certificado.
∗Fecha de emisión y expiración del certificado.
7. EL CERTIFICADO ELECTRÓNICO
Según
la
Sede
Electrónica
del
Instituto Nacional de Estadística,
un
certificado
electrónico sirve para:
∗Autenticar la identidad del usuario, de forma
electrónica, ante terceros.
∗Firmar electrónicamente de forma que se garantice la
integridad de los datos trasmitidos y su procedencia. Un
documento firmado no puede ser manipulado, ya que la
firma está asociada matemáticamente tanto al
documento como al firmante
∗Cifrar datos para que sólo el destinatario del
documento pueda acceder a su contenido
8.
9. LA FIRMA ELECTRÓNICA
Definición:
La Ley 59/2003 define la firma electrónica como:
“conjunto de datos en forma electrónica, consignados
junto a otros o asociados con ellos, que pueden ser
utilizados como medio de identificación del firmante”.
Las firmas electrónicas nos permiten crear un marco
relevante de protección, capaz de repeler delitos
informáticos de copia, además da una importante
seguridad a aquellos que se benefician con este actual
marco de seguridad.
10. LA FIRMA ELECTRÓNICA
Esta seguridad permite que tanto comerciantes como
compradores estén seguros al realizar sus negocios por medio
de la Internet, las firmas electrónicas cuya función es identificar
a la persona para saber que realmente es esta con quien se
quiere negociar, es decir no permite usurpación.
Igualmente los documentos de identidad emitidos a un individuo
permite la seguridad de contar con los datos verdaderos, así
tampoco serán cambiados lo que en gran parte amplía la
seguridad de lo que se exponga por la red
11. LA FIRMA ELECTRÓNICA
Estos mecanismos hacen que cada vez
navegar en la red, comprar, vender, etc...
sea más seguro, gracias a los avances
tecnológicos a que puede llegar el hombre y
así mismo rechazar el mal manejo que
personas inescrupulosas puedan darle a
estos temas.
.
12. LA FIRMA ELECTRÓNICA
Qué ventajas me ofrece la firma electrónica
frente a la firma manuscrita?
∗ Mayor seguridad e integridad de los documentos. El
contenido del documento electrónico firmado no puede ser
alterado, por lo que se garantiza la autenticación del
mismo y la identidad del firmante.
∗ Se garantiza la confidencialidad, el contenido del mensaje
solo será conocido por quienes estén autorizados a ello.
∗ Eliminación del papel, lo que implica una disminución del
almacenamiento de datos (espacio físico) y reducción de
gastos en los procedimientos de administración de
archivos.
13. LA FIRMA ELECTRÓNICA
Qué ventajas me ofrece la firma electrónica
frente a la firma manuscrita?
∗ Se evitan desplazamientos y traslados.
∗ Disminución del tiempo en la ejecución
de procesos (se evitan colas y se
reducen
los
procedimientos
manuales).
∗ Aumento de la productividad y
competitividad de la Empresa.
14.
15. Autenticación
Prueba o garantía de la identidad de quien envía la
información, es decir que es el proceso en virtud del cual se
constata que una entidad es la que dice ser y que tal
situación es demostrable ante terceros.
Hace referencia a la utilización de la firma digital con el fin de
verificar la identidad del remitente del mensaje de datos.
Un procedimiento algo más complejo para autenticar la
identidad del emisor del mensaje de datos es la llamada
“función de hash” (resumen digital). El proceso de
autenticación se realiza de la siguiente manera: “el
verificador realizará dos operaciones: descifrará el hash
firmado con la clave privada del emisor aplicando la clave
pública del mismo; y aplicará la función de hash sobre el
mensaje completo que ha obtenido.
16. Si el hash recibido y descifrado y el segundo hash
obtenido coinciden, el destinatario tiene la seguridad de
que el mensaje recibido ha sido firmado por el emisor
con ese contenido.
Por el contrario, si uno u otro de los dos elementos ha
sido alterado en algún momento, no habrá coincidencia
de los dos hash, lo que querrá decir que el mensaje de
datos recibido no corresponde con el firmado por el
emisor”.
En algunos casos en los que la autenticación de la
persona resulta crítica, como en el pago con tarjeta de
crédito, se puede exigir incluso que estampe una firma,
que será comparada con la que aparece en la tarjeta y
sobre su documento de identificación.
17. LA FIRMA ELECTRÓNICA
Normatividad
La normatividad y legislación que regula el uso de la firma
electrónica y digital en nuestro país e internacionalmente, se
encuentra distribuida de la siguiente forma:
LEY 527 DE 1999 -El Congreso de Colombia
Por medio de la cual se define y reglamenta el
acceso y uso de los mensajes de datos, del
comercio electrónico y de las firmas digitales, y
se establecen las entidades de certificación y se
dictan otras disposiciones.
18. LA FIRMA ELECTRÓNICA
Normatividad
LEY 527 DE 1999 -El Congreso de Colombia
PARTE III
FIRMAS DIGITALES, CERTIFICADOS Y ENTIDADES DE CERTIFICACION
CAPITULO I
Firmas digitales
ARTÍCULO 28. Atributos jurídicos de una firma digital. Cuando una firma digital
haya sido fijada en un mensaje de datos se presume que el suscriptor de aquella
tenía la intención de acreditar ese mensaje de datos y de ser vinculado con el
contenido del mismo.
PARÁGRAFO. El uso de una firma digital tendrá la misma fuerza y efectos que el
uso de una firma manuscrita, si aquélla incorpora los siguientes atributos:
1. Es única a la persona que la usa.
2. Es susceptible de ser verificada.
3. Está bajo el control exclusivo de la persona que la usa.
4. Está ligada a la información o mensaje, de tal manera que si éstos son
cambiados, la firma digital es invalidada.
5. Está conforme a las reglamentaciones adoptadas por el Gobierno Nacional.
19. LA FIRMA ELECTRÓNICA
Normatividad
LEY 527 DE 1999 -El Congreso de Colombia
CAPITULO IV
Suscriptores de firmas digitales
ARTÍCULO 39. Deberes de los suscriptores. Son deberes de los
suscriptores:
1. Recibir la firma digital por parte de la entidad de certificación o
generarla, utilizando un método autorizado por ésta.
2. Suministrar la información que requiera la entidad de certificación.
3. Mantener el control de la firma digital.
4. Solicitar oportunamente la revocación de los certificados.
ARTÍCULO 40. Responsabilidad de los suscriptores. Los suscriptores
serán responsables por la falsedad, error u omisión en la información
suministrada a la entidad de certificación y por el incumplimiento de
sus deberes como suscriptor.
20. LA FIRMA ELECTRÓNICA
Normatividad
DECRETO 333 DE 2014
Por el cual se reglamenta el artículo 160 del Decreto-ley 19
de 2012.
ARTÍCULO 160. CARACTERÍSTICAS Y REQUERIMIENTOS DE
LAS ENTIDADES DE CERTIFICACIÓN.
DECRETO NUMERO 1747 DE 2000
Por el cual se reglamenta parcialmente la Ley 527 de 1999,
en lo relacionado con las entidades de certificación, los
certificados y las firmas digitales.
21. LA FIRMA ELECTRÓNICA
Normatividad
DECRETO 2364 DE 2012
Por medio del cual se reglamenta el artículo 7° de la Ley 527
de 1999, sobre la firma electrónica y se dictan otras
disposiciones
Artículo 2°. Neutralidad tecnológica e igualdad de
tratamiento de las tecnologías para la firma electrónica.
Artículo 3°. Cumplimiento del requisito de firma.
Artículo 4°. Confiabilidad de la firma electrónica.
Artículo 5°. Efectos jurídicos de la firma electrónica.
Artículo 6°. Obligaciones del firmante.
Artículo 7°. Firma electrónica pactada mediante acuerdo.
Artículo 8°. Criterios para establecer el grado de seguridad de
las firmas electrónicas.
22. LA FIRMA ELECTRÓNICA
Normatividad
SENTENCIA C-662/00
Referencia: expediente D-2693
Acción pública de inconstitucionalidad contra la Ley 527 de 1999 y,
particularmente sus artículos 10, 11, 12, 13, 14, 15, 27, 28, 29, 30, 32, 33, 34, 35,
36, 37, 38, 39, 40, 41, 42, 43, 44 y 45, "Por medio de la cual se define y
reglamenta el acceso y uso de los mensajes de datos, del comercio
electrónico y de las firmas digitales, y se establecen las entidades de
certificación y se dictan otras disposiciones".
Temas:
•El reconocimiento jurídico de la validez plena y del valor probatorio de los
mensajes de datos
•El Comercio Electrónico
•La firma digital
•Las entidades de certificación y la emisión de certificados sobre la
autenticidad de los mensajes de datos y las firmas digitales
La actividad de las entidades de certificación y la función notarial
23. LA FIRMA ELECTRÓNICA
Normatividad
RESOLUCIÓN 26930 DE 2000
"Por la cual se fijan los estándares para la autorización y funcionamiento de las
entidades de certificación y sus auditores"
SECCIÓN III
Firmas auditoras de entidades de certificación
ARTICULO 14°. Firmas auditoras. La firma auditora nacional que realice el
informe de auditoría referido en el artículo 12 del decreto 1747 de 2000, deberá
ser un organismo de inspección del sistema nacional de normalización,
certificación y metrología acreditada para realizar inspecciones en sistemas
informáticos de seguridad y contabilidad, de conformidad con lo señalado en el
decreto 2269 de 1993, la resolución 140 de 1994 de la Superintendencia de
Industria y Comercio y las disposiciones que los sustituyan o complementen.
Estas firmas deberán cumplir, además de lo requerido en el decreto 2269 de 1993,
lo siguiente:
1. Estar compuesta por un grupo interdisciplinario de profesionales que incluirá
por lo menos 1 ingeniero de sistemas especializado en sistemas de seguridad, 1
contador y 1 abogado con amplios conocimientos en el tema, quienes deberán
cumplir con las normas vigentes relacionadas con cada una de las profesiones.
2. Acreditar experiencia de la firma o de uno de sus socios o funcionarios, en
auditorías en sistemas informáticos de seguridad y contabilidad por lo menos de
3 años.
3. Acreditar capacidad para certificar el cumplimiento de los requisitos técnicos y
estándares exigidos en la ley 527 de 1999, el decreto 1747 de 2000 y esta
resolución.
24. LA FIRMA ELECTRÓNICA
Normatividad
Legislación de Firma Digital en España
La normativa más importante sobre firma
electrónica es:
Ley 59/2003 de 19 de diciembre de Firma
Electrónica: Equipara la validez legal de la firma
digital a la firma manuscrita. El Artículo 3 dice
textualmente: "La firma electrónica reconocida
tendrá respecto de los datos consignados en
forma electrónica el mismo valor que la firma
manuscrita en relación con los datos consignados
en papel".
La ORDEN HAC/1181/2003, de 12 de mayo:
establece normas específicas sobre el uso de la
firma electrónica en las relaciones tributarias por
medios electrónicos, informáticos y telemáticos
con la Agencia Estatal de Administración
Tributaria.
25. LA FIRMA ELECTRÓNICA
Funcionamiento
El proceso básico que se sigue para la firma electrónica es el siguiente:
El usuario dispone de un documento electrónico (una hoja de cálculo, un
pdf, una imagen, incluso un formulario en una página web) y de un
certificado que le pertenece y le identifica.
La aplicación o dispositivo digital utilizados para la firma realiza un
resumen del documento. El resumen de un documento de gran tamaño
puede llegar a ser tan solo de unas líneas. Este resumen es único y cualquier
modificación del documento implica también una modificación del resumen.
La aplicación utiliza la clave contenida en el certificado para codificar el
resumen.
La aplicación crea otro documento electrónico que contiene ese resumen
codificado. Este nuevo documento es la firma electrónica.
El resultado de todo este proceso es un documento electrónico obtenido a
partir del documento original y de las claves del firmante. La firma
electrónica, por tanto, es el mismo documento electrónico resultante.
26. LA FIRMA ELECTRÓNICA
Funcionamiento
En general la firma digital está
compuesta por una clave pública
y otra privada, donde la clave
pública se suele distribuir por una
autoridad de certificación que es
la entidad en la que todos
confían, receptor y emisor, y
genera el certificado digital.
Es decir que una firma electrónica
o digital es lo mas parecido a una
firma autografiada en un medio
electrónico.
27. LA FIRMA ELECTRÓNICA
Funcionamiento
Funcionamiento de la firma digital
El esquema de funcionamiento sería el siguiente:
El emisor genera un resumen del documento ya que la firma no se realiza
sobre el documento completo sino en un resumen del mismo o hash.
El emisor firma su resumen encriptándolo con la clave privada propia.
El emisor envía el documento y su resumen firmado al receptor.
El receptor genera también un resumen del documento que ha recibido
usando la misma función que el emisor. Al mismo tiempo descifra el
resumen recibido con la clave pública que el emisor ha publicado. Si los
resúmenes coinciden la firma será validada.
28. LA FIRMA ELECTRÓNICA
Funcionamiento
Funcionamiento de la firma digital
En este proceso se asegura la autenticidad de que la información es emitida
por quien dice, integridad donde asegura que la información no ha sido
alterada desde que se envía hasta que llegue al receptor, no repudio donde
no se puede negar la autoridad que ha certificado el proceso.
La firma electrónica es el archivo
o documento electrónico resultante. Este
es el documento válido a efectos legales y
el
que debes
conservar.
Cualquier
impresión o representación gráfica que se
haga de él solo es válido en los términos
que determine el destinatario de la firma.
En general, en este caso, la firma impresa
deberá contener un CSV o Código Seguro
de Verificación que permite contrastar la
copia impresa con la original electrónica.
29. CIFRADO ELECTRÓNICO
∗ Es un sistema de seguridad de los
mensajes electrónicos donde se identifica
el componente principal.
∗ Es decir es un mensaje electrónico al cual
se le aplica un algoritmo de cifrado, dando
como resultado mensaje cifrado que solo
podrá ser descifrado por aquellos que
conozca de algoritmo utilizado y la clave
que se ha empleado.
30. CIFRADO ELECTRÓNICO
¿ Cómo funciona?
∗Se captura el mensaje.
∗Se recupera la clave pública del
certificado digital del destinatario.
∗Se genera la clave de sección
simétrica de un único uso.
∗Se realiza la operación cifrado en el
mensaje mediante una clave de
sesión.
∗Se cifra la clave de sesión mediante
la clave pública del destinatario.
∗Se incluye la clave de sesión cifrada
en el mensaje cifrado.
∗Se envía mensaje.
31. CIFRADO ELECTRÓNICO
Tipos de Cifrado
Simétrica: Es aquella que emplea una
sola clave par cifrar y descifrar el
mensaje.
La ventaja es su velocidad, lo cual
hace que este tipo de algoritmos sean
los mas apropiados para grandes
cantidades de datos
Desventaja esta en la necesidad de
distribuir la clave en varios usuarios,
ya que si algún usuario ubica el
mensaje de algún destinatario podrá
descifrarlo.
32. CIFRADO ELECTRÓNICO
Tipos de Cifrado
Asimétrica: Es este caso el
usuario ha de poseer dos
parejas de claves:
Clave privada: Sera custodiada
por su propietario y no la dará
conocer a nadie.
Clave Pública: Sera conocida
por todos los usuarios.
Ventajas, en su uso lo que cifra
una solo lo podrá descifrar la
otra.
Desventaja . Lentitud de la
operación.
33. CIFRADO ELECTRÓNICO
¿ PARA QUÉ SE UTILIZA?
∗Almacenar archivos en el equipo
∗Codificar información que se envía en un correo
electrónico o un documento.
∗Hacer compras en internet de manera segura.
∗Proteger la red doméstica inalámbrica de Internet.
34. ENTIDADES DE CERTIFICACIÓN EN
COLOMBIA
∗ Sociedad Cameral de Certificación
Digital (Certicámara).
∗ Entidad de certificación digital
autorizada por la Superintendencia de
Industria y Comercio y constituida por
las Cámaras de Comercio, provee
seguridad jurídica y tecnologías en
entornos electrónicos. Útiles
35. ENTIDADES DE CERTIFICACIÓN EN
COLOMBIA
∗ Gestión de Seguridad Eletronics ( GSE)
∗ Gestión de Seguridad Electrónica S.A – GSE
S.A. ha sido autorizada como una nueva
Certificadora Digital en el país mediante la
Resolución No. 23344 de Mayo 12 de 2009
de la
Superintendencia de Industria y Comercio,
lo que garantiza la plena validez jurídica de
los certificados emitidos y de las firmas
digitales que se realicen con los mismos.