Este documento presenta información sobre certificados y firmas electrónicas. Explica conceptos como encriptación, infraestructura de llave pública, certificados electrónicos y cómo funcionan las firmas electrónicas. También cubre la legislación colombiana relacionada y los tipos principales de entidades de certificación en Colombia.

1. EJE TEMATICO 3 CERTIFICADO Y FIRMA ELECTRÓNICAExpositores:Viviana María Moreno HolguínMigdonia Esmeralda Vidal RiveraPatricia Torrente MartínezOscar Pérez ContrerasTutor: Jorge Mario ZuluagaUNIVERSIDAD DEL QUINDIO PROGRAMA CIENCIA DE LA INFORMACIÓN Y LA DOCUMENTACIÓN BIBLIOTECOLOGÍA Y ARCHIVISTICA JULIO / 2010

2. ContenidoIntroducción.Computadores y seguridad.Encriptación .Definición de Cifrado.Necesidades de cifrado digital.Comprobación de la clave 1,2.Infraestructura de llave pública.Certificado electrónico.¿Cuándo necesito un certificado?.Firma Electrónica y Criptografía.Tipos de firma.¿Cómo funciona la firma electrónica?.13. ¿Cómo se firma electrónicamente un documento?14. ¿Cómo se verifica la firma?.¿Qué no es firma digital?. Autenticación e Identificación 1,2.Legislación Colombiana 1,2.Entidades de Certificación 1,2 .Anexos.Conclusiones.Web grafía.

3. INTRODUCCIÓNInternet no maneja protocolos seguros y sin embargo se usa para negocios y otras actividades importantes, y a veces surgen problemas de seguridad. Esto significa que se deben proteger los documentos por algún medio. De allí surge la encriptación que permite volver ilegible los documentos que se envían por Internet, y de los métodos de encriptación, surgen a su vez las firmas y certificados electrónicos; en general los algoritmos de encriptación que aseguran la información con una confiabilidad de casi cien por ciento.En este documento mostraremos las firmas digitales y los certificados electrónicos, asi como las entidades que prestan este servicio y las leyes vigentes.

4. Computadores y SeguridadLos protocolos que se utilizan en Internet no fueron creados para ser seguros. Las amenazas más comunes son la suplantación de identidad, el espionaje y el engaño, como el hackeo. Las claves publicas son un medio muy seguro de asegurar la autenticidad, confidencialidad e integridad de la información.ENCRIPTACIÓNSegún el diccionario Larousse (“Significa «escritura oculta») es la ciencia de cifrar y descifrar información mediante técnicas especiales y se emplea frecuentemente para permitir un intercambio de mensajes que sólo puedan ser leídos por personas a las que van dirigidos y que poseen los medios para descifrarlos.”

5. Definición de CifradoSegún el wikcionario “El cifrado es el proceso de convertir el texto plano en galimatías ilegible, denominado texto cifrado o criptograma. La aplicación concreta del algoritmo de cifrado, se base en la existencia de una clave: información secreta que adapta el algoritmo de cifrado para cada uso distinto”

6. Necesidades del cifrado digitalIdentificarse ante tercerosFirmar documentos electrónicamenteEvitar la suplantación de la identidadProteger la información transmitidaGarantizar la integridad de la comunicación entre las partes

7. PúblicaComprobación de la Clave 1CLAVE PRIVADAPara “firmar” un documento utilizaremos nuestra clave privada. Sólo el firmante posee la clave privada. El receptor accede al documento mediante la clave pública correspondiente y se evidencia quien es el firmante.

8. Comprobación de la Clave 2CLAVE PÚBLICAEn el caso anterior la clave pública ha servido para acceder a los documentos firmados electrónicamente con la correspondiente clave privada.La clave pública es útil además para “cifrar” los documentos. Un documento cifrado con la clave pública sólo podrá ser descifrado con la correspondiente clave privada.Mediante la utilización de la clave pública podemos asegurarnos de que sólo un determinado destinatario descifrará el documento.

9. Llave Pública del emisorDocumento fue firmado con llave privada del emisor (Sí, No)Algoritmo de verificación deFirmas DigitalesDocumento firmadoDocumento fue modificado durante el recorrido (Sí, No) Comprobación de la Clave

10. PúblicaPrivadaInfraestructura de Llave PúblicaDos llavesPública y Privada.Complementarias.no derivables.RSA y DSAAutenticación

11. Confidencialidad

12. Integridad

13. No repudioCertificado ElectrónicoEs un documento electrónico, emitido por una entidad de confianza, que nos identifica ante terceros evitando la suplantación de nuestra identidad en la red.

14. Formato del Certificado ElectrónicoUn certificado emitido por una entidad de certificación autorizada, además de estar firmado digitalmente por ésta, debe contener por lo menos lo siguiente:

15. Nombre, dirección y domicilio del suscriptor.

16. Identificación del suscriptor nombrado en el certificado.

17. El nombre, la dirección y el lugar donde realiza actividades la entidad de certificación.

18. La clave pública del usuario.

19. La metodología para verificar la firma digital del suscriptor impuesta en el mensaje de datos.

20. El número de serie del certificado.

21. Fecha de emisión y expiración del certificado.Certificado Electrónico

22. ¿Cuando necesito un Certificado Digital?El potencial de ocasiones de negocio y servicios comerciales a través de Internet es enorme. La preocupación por la seguridad en las compras y servicios en línea va en aumento. El control de acceso por el empleo de una simple contraseña noes del todo adecuado

23. Firma electrónica“Es el conjunto de datos en forma electrónica consignados junto a otros o asociados a ellos, deforma que identifican al firmante.”Artículo 3 Parrafo 1 Ley 59 /2003 de 19 de Diciembre

24. La firma electrónica y la CriptografíaLa firma electrónica se basa en un sistema decriptografía asimétrico. Es decir, el emisor delmensaje cifrado cuenta con una clave públicaasignada por un organismo autorizado para talfin, y por medio de dicha clave se cifra el mensaje,garantizando su integridad. El receptor delmensaje cifrado cuenta, asimismo, con otra.

25. Tipos de Firmas -1La firma electrónica puede ser de dos tipos:Firma electrónica simple: es el tipo básico de firma electrónica. Es un conjunto de datos electrónicos unido a un documento y utilizado cuando un emisor envía un mensaje al receptor, y dicho mensaje va cifrado, de manera que nadie pueda modificarlo ni alterarlo. Además, la firma identifica al sujeto que la utiliza.

26. Tipos de Firmas -2 Firma electrónica avanzada: al igual que la firma electrónica básica, este tipo de firma es un conjunto de datos electrónicos para identificar al emisor de un mensaje, al igual que la integridad del mismo

27. ¿Cómo funciona la firma electrónica? Para poder utilizar la firma electrónica es necesario haber obtenido previamente un certificado digital. El funcionamiento de la firma electrónica se basa en un par de números —la clave privada y la clave pública con una relación matemática entre ellos. Estos números o claves se generan a partir de un navegador de Internet y del certificado digital emitido por la entidad certificadora.

28. ¿Cómo se firma electrónicamente un documento?Cuando se firma electrónicamente un mensaje o fichero para enviar, se aplica una función denominada Hash. Esta función genera un dato llamado huella digital, que cambia en cada fichero o mensaje. Así, dos mensajes diferentes generarán huellas radicalmente diferentes.Por su parte, y mediante la aplicación de una segunda Función, la huella se cifrará con la clave privada. El resultado será la firma electrónica.

29. ¿Cómo se verifica la firma?El receptor de un mensaje que incluya firma electrónica puede comprobar que el mensaje no ha sido modificado aplicando la función hash sobre el mensaje recibido. El resultado será la huella del mensaje. Sobre la firma electrónica recibida, el receptor aplicará la clave pública del emisor a fin de descifrarla. El resultado será una huella que debe coincidir con la huella del mensaje. Si esto se produce, existe la garantía de que el mensaje no ha sido modificado y de que ha sido emitido por el titular de la firma.

30. ¿Qué no es firma digital?Las siguientes tecnologías no constituyen en sí una firma digital.Una firma manuscrita escaneada

31. Un password o contraseña

32. Un e-mail encriptado

33. Algún procedimiento biométrico que dote a un documento de autenticidad

34. Un documento digital que sólo garantice su integridad y no su autoría

35. Un documento digital que sólo garantice su autoría y no su integridadPrivadaPublicapubAutenticación e identificaciónJuan desea enviar a Pepe un documento firmado electrónicamente, como se trata de criptografíaasimétrica, tanto Juan como o Pepe poseen una pareja de claves; (cada uno su pública y su privada). Luego de aplicar al mensaje del documento la función hash y de obtenido el resumen del mismo,Juan deberá firmar dicho resumen con su clave privada (de manera que nadie más que Juan,que es el único conocedor de la clave privada, pudo haber firmado ese mensaje) y Pepe, al recibirel documento y con él la firma electrónica, deberá verificarla, utilizando la clave pública de Juany aplicando el mismo algoritmo utilizado por Juan, para comparar que el resumen del mensaje recibidoes el mismo del que fue enviado, garantizando así que el documento no ha sufrido ningunamodificación en la transmisión.

36. Autenticación e identificaciónLa identificación o autenticación de usuarios, posibilita garantizar laIdentidad del firmante de manera única. Existen dos tipos de finalidades de la autenticación una de las Finalidades es la identificación de origen de datos ( el identificado esta relacionado con ciertos datos que le son propios y que loVinculan con el mensaje enviado)¿Puede detectar cualquier manipulación del documento firmado y está asociada matemáticamente tanto al documento como al firmante

37. LEGISLACION COLOMBIANAToda actividad de Entidad de Certificación requiere autorizaciónEstatal.Es decir, cumplir estrictamente con la regulación colombiana:Ley 527 de 1999

38. Decreto 1747 de 2000

39. Resolución 26930 de 2000(de la Superintendencia de Industria y Comercio)

40. LEGISLACION COLOMBIANAREPÚBLICA DE COLOMBIA LEY 527 DE 1999 Agosto 18 de 1999 Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones.El Ministerio de Comercio exige la firma digital. A través de Circular Externa No. 038 de junio de 2005, impuso su obtención a las Sociedades de Intermediación Aduanera SIA-, a los Usuarios Aduaneros Permanentes UAP- y a los Usuarios Altamente Exportadores ALTEX-.

41. Entidades de Certificación 1Autoridad de certificación es una entidad de confianza, responsable de emitir y revocar los certificados digitales o certificados, utilizados en la firma electrónica, para lo cual se emplea la criptografía de clave pública. Jurídicamente es un caso particular de Prestador de Servicios de Certificación.

42. Entidades de Certificación 2Agencia de Protección de Datos La Comisión del Mercado de las Telecomunicaciones Consejo de Consumidores y UsuariosConsejo Asesor de las Telecomunicaciones y de la Sociedad de la InformaciónColegio de Registradores de la PropiedadConsejo General del Notariado.

43. ANEXOINSTALAREMOS COPIAS DE SEGURIDAD DE CERTIFICADOS DIGITALES EN INTERNET EXPLORER