Módulo 3 firma electrónica avanzada

Módulo3•Módulo3•Módulo3•Módulo3•Módulo3•
Guatemala, octubre 2016
Axiología de la Firma
Electrónica Avanzada
Dirección de Formación y Capacitación
Firma Electrónica Avanzada
CURSO VIRTUAL
INSTITUTO NACIONAL
DE ADMINISTRACIÓN PÚBLICA

Curso Virtual: Firma Electrónica2

Módulo 3: Axiología de la Firma Electrónica Avanzada 3
MÓDULO 3
Axiología de la
Firma Electrónica Avanzadaa

Índice
7 FIRMA ELECTRÓNICA AVANZADA
7 ¿Que es la Firma Electrónica
Avanzada?
12 ¿Qué es un certificado Digital y que
debe de contener?
13 ¿Qué no es Firma Electrónica
Avanzada?
14 Para la firma electrónica avanzada
se utilizan los siguientes dispositivos
criptográficos
15 ¿ Hacia donde podemos llegar ?
16 Beneficios del uso de la firma
electronica avanzada
16 PKI PASO A PASO
17 PKI= Infraestructura de Llave Pública
(Public Key Infraestructure)
18 Estampado Cronológico o Time
Stamping
18 Sistema Online Certificate Status
Protocol –OCSP- (Protocolo del
estado del certificado en linea)
19 APLICANDO PKI A GUATEMALA
19 ESTRUCTURA ACTUAL FIRMA-E
20 REQUISITOS TECNICOS DE UN –PSC-

21 COMO SE GENERAN LOS
CERTIFICADOS DIGITALES
22 ESQUEMAS DE PKI
22 SOPKI (Self-Operating PKI) – creando
PKI propia
23 EXPKI (Existing PKI) – Implementando
PKI ya Existente
24 OSPKI (Outsourcing PKI) – PKI Externa
25 ACTIVIDADES DE LA SEMANA
26 BIBLIOGRAFIA

FIRMA ELECTRÓNICA AVANZADA
¿Que es la Firma Electrónica Avanzada?
Es la que cumple con estos cuatro requisitos:
1. La confidencialidad o secreto de la información enviada.
2. La integridad de dicha información, avalando que no ha sido
manipulada, o falsificada y que ha permanecido inalterable en el envío.
3. La autenticidad, que asegura que los datos provienen de una
determinada persona.
4. El no repudio, de modo que la persona emisora reconoce la
transmisión y no puede negar ante terceros el envío de dichos datos en
un momento concreto.
Hoy en día, los sistemas basados en la firma electrónica garantizan la
seguridad en las comunicaciones.
¿En qué consiste la firma electrónica?
Es obvio que no podemos conocer personalmente a todas las personas
con las que intercambiamos información por Internet.
Entonces, surge el problema ¿cómo podemos estar seguros de la
identidad de las personas con las que nos comunicamos y realizamos
transacciones? Esta cuestión se resuelve a través de la firma electrónica
avanzada que nos identifica en Internet de manera unívoca.
Los mecanismos de firma electrónica permiten a la persona que recibe
una información:
• Tener plena certeza de quién es el autor del mensaje.
• Verificar que el mensaje no ha sido modificado desde su creación.

¿Qué es la Clave Pública y la Privada?
En el sistema de firma electrónica, cada persona dispone de un par de
claves:
• La clave privada que únicamente el propietario conoce.
• La clave pública que es conocida por las demás personas.
La clave privada debe permanecer bajo el exclusivo control de su
propietario.
Esta característica permite que una firma digital identifique en forma
unívoca al firmante.
La clave pública, por su parte, es la que le posibilita al destinatario
verificar quien es el autor del mensaje y la integridad de los datos
enviados.
Estas claves actúan de forma complementaria: lo que cifra la primera
clave, sólo puede ser descifrado por la otra.
¿Qué es la clave pública y la privada?
Un mensaje cifrado con la clave privada de una persona sólo puede ser
descifrado utilizando la clave pública asociada.
Por tanto, podemos tener plena seguridad de que el mensaje descifrado
con esa clave pública solamente pudo cifrarse utilizando la privada, es
decir, proviene de la persona a quien está asociada esa clave, o lo que
es lo mismo, podemos saber sin lugar a dudas quién es el emisor de ese
mensaje.

El proceso de firma electrónica:
1. El emisor va a enviar un mensaje firmado electrónicamente, para
que el destinatario pueda verificar que realmente ha sido enviado
por él.
2. Para ello aplica al mensaje original una función hash, que es
una operación que da como resultado otro conjunto de datos,
denominado resumen, que tiene la propiedad de estar asociado
unívocamente a los datos de origen.
3. El emisor cifra el resumen con su clave privada. Ésta es la firma
electrónica avanzada que se añade al mensaje original. y envía el
mensaje junto con su firma electrónica.
4. El destinatario recibe el mensaje. Para comprobar la autoría del
mensaje y cerciorarse de que quien se lo envía es quien dice ser,
descifra el resumen del mensaje con la clave pública del emisor.
5. Después aplica nuevamente la función hash al mensaje recibido
para obtener el resumen.
6. Si ambos resúmenes (el obtenido al descifrar la firma del mensaje
y el obtenido al hacer el resumen del mensaje) coinciden, la firma
es válida y cumple los requisitos de autenticidad, integridad y
no repudio en origen.
7. Si no coinciden podría deberse a varias causas: alguien ha
modificado el mensaje antes de recibirlo o la clave pública no
corresponde con la privada utilizada en la firma.
8. El emisor no puede negar haber enviado el mensaje y el receptor
puede estar seguro de la autoría de ese mensaje y de su
inalterabilidad.

Función HASH:
Función o Método para generar claves o llaves que representen de
forma única a Documentos, Registros Archivos, etc. detalla o identifica
probabilísticamente un gran conjunto de información.
Función HASH:
Aquí, cada tres caracteres, con sus códigos ASCII, se opera (1º-2º)*3º.
La suma de los resultados es una función HASH que identifica
perfectamente el texto.
E n u n r i n c ó n d e
69 110 32 117 110 32 114 105 110 99 243 110 32 100 101
l a M a n c h a d e c
32 108 97 32 77 97 110 99 104 97 32 100 101 32 99
u y o n o m b r e n o q
117 121 111 32 110 111 109 98 114 101 32 110 111 32 113
8927
- 4 4 4 - 8 6 5 8 1 2 5 4 7 5 9 0
2738
8 6 6 9
-1312
2 2 4 9 9 0 - 1 5 8 4 0 - 6 8 6 8
-22806
-7372
- 4 3 6 5 1 1 4 4 6 5 0 0
-11399
6831

¿Dónde se guardan las claves?
La clave privada, empleada para firmar mensajes, debe estar
exclusivamente bajo el poder del firmante. Para ello, dicha clave
se guarda en un dispositivo seguro, como el token o en una tarjeta
criptográfica, que no se pueden duplicar y que están protegidos por un
número de identificación personal (PIN).
Por su parte, la clave pública debe ser conocida por el resto de personas.
Para ello, se incluye en un certificado digital, público y accesible. Este
certificado avala que la clave contenida en él pertenece a la persona
indicada en el mismo. Por lo cual se identifica plenamente.
Tarjeta criptográfica
TOKEN
Por su parte, la clave pública debe ser conocida por el resto de personas.
Para ello, se incluye en un certificado digital, público y accesible.
Este certificado avala que la clave contenida en él pertenece a la persona
indicada en el mismo, esto es, le identifica indubitablemente.

¿Qué es un certificado Digital y que debe de
contener?
• Un certificado digital es un documento electrónico firmado
electrónicamente por un Prestador de Servicios de Certificación,
que asocia una clave pública con su Propietario

¿Qué no es Firma Electrónica Avanzada?
La firma en pads o huella digital, No es firma electrónica avanzada
tampoco los tokens otp.

Para la firma electrónica avanzada se utilizan los
siguientes dispositivos criptográficos:

¿ Hacia donde podemos llegar ?
E-servicios y tramites Móviles
Slim SIM Sticker
l Llegar a toda gama de celulares
l Tramites a través de SMS firmados digitalmente
l Servicios online 24X7X365
l No Dispositivos adicionales
Contact & NCF Secure Micro SD
l Estándares FIPS 140-2-3
l Participación Ciudadana
l Plataformas Web 2.0
l PKI en el celular

Beneficios del uso de la firma electronica
avanzada
• Sustitución de firma manuscrita por la firma electrónica avanzada
• Comunicación Oficial Electrónica de manera segura
• Eliminación de impresiones y copias (no papel)
• Resguardo de Información de manera digital con validez legal
• Eficiencia de la gestión
• Reducción de burocracia
• Mayores beneficios y con menores costos
• Transparencia en las operaciones
• Agilidad en la resolución de trámites
• Combate a la corrupción
• Modernización de los procesos administrativos
• Resultados rápidos en beneficio del ciudadano
PKI PASO A PASO

PKI= Infraestructura de Llave Pública (Public
Key Infraestructure)
Es una combinación de hardware y software, políticas y procedimientos
de seguridad que permiten la ejecución con garantías de operaciones
criptográficas como el cifrado, la firma digital o el no repudio de
transacciones electrónicas.
Los componentes más habituales de una infraestructura de clave
pública son:
• La autoridad de certificación (o, en inglés, CA, Certificate
Authority): Es la encargada de emitir y revocar certificados. Es
la entidad de confianza que da legitimidad a la relación de una
clave pública con la identidad de un usuario o servicio.
• La autoridad de registro (o, en inglés, RA, Registration Authority):
Es la responsable de verificar el enlace entre los certificados
(concretamente, entre la clave pública del certificado) y la
identidad de sus titulares.
• Los repositorios: son las estructuras encargadas de almacenar
la información relativa a la PKI. Los dos repositorios más
importantes son el repositorio de certificados y el repositorio de
listas de revocación de certificados. En una lista de revocación
de certificados (o, en inglés, CRL, Certificate Revocation List) se
incluyen todos aquellos certificados que por algún motivo han
dejado de ser válidos antes de la fecha establecida dentro del
mismo certificado.
• La autoridad de validación (o, en inglés, VA, Validation Authority):
es la encargada de comprobar la validez de los certificados
digitales.
PKI= Infraestructura de Llave Pública (Public Key Infraestructure)
La autoridad de sellado de tiempo(o, en inglés, TSA, TimeStamp
Authority): Es la encargada de firmar documentos con la finalidad de
probar la hora y fecha exacta en que se realizo o efectuó un documento
o transaccion.
Los usuarios y entidades finales son aquellos que poseen un par de
claves (pública y privada) y un certificado asociado a su clave pública.
Utilizan un conjunto de aplicaciones que hacen uso de la tecnología PKI
(para validar firmas digitales, cifrar documentos para otros usuarios,
etc.)

Estampado Cronológico o Time Stamping
Es un servicio mediante el cual se puede garantizar la existencia de un
documento o mensaje de datos en general en un determinado instante de
tiempo, el cual se realiza mediante la emisión de una estampa de tiempo
que es posible garantizar en el instante de la creación, modificación,
recepción de un determinado mensaje de datos impidiendo su posterior
alteración.
Proporciona 3 Datos: tiempo del día/expresado en hora, minuto y
segundo
(hh:mm:ss); fecha expresada en día, mes, año; (dd:mm:aaaa) y la firma
de los datos realizados con certificado digital.
Estos valores se basan en relojes atómicos u hora legal del país que puede
ser dictaminada generalmente por el centro nacional de metrología que
en Guatemala se conoce como CENAME.
Los valores asignados al tiempo del día y la fecha de una estampa
cronológica certificada no tiene en cuenta ni aplican en ningún caso
los valores que el sistema informático del solicitante señale y ningún
tercero puede cambiar o sustituir la aplicación de valores distintos de
tiempo del día y fecha que este asignada mediante por la estampa, con
ello se garantiza el principio de prelación primero en el tiempo primero
en derecho lo cual es importante aplicar en contratos y subastas
electronicas entre otros medios importantes para su verificación.
Sistema Online Certificate Status Protocol –OCSP-
(Protocolo del estado del certificado en linea)
El objetivo es dotar al servidor la capacidad de realizar consultas en
línea OCSP para validar el estado de los certificados de los usuarios,
en vez de recurrir al sistema de Listas de Certificados Revocados, ya
que es menos eficiente y obliga al administrador del servidor a realizar
cargas periódicas de la CRL.
En cuanto al OCSP (Online Certificate Status Protocol), es un protocolo
estandar (RFC2560) que permite realizar consultas a un servidor
predeterminado sobre el estado de un certificado, en base al numero
de serie y el firmante del mismo.

APLICANDO PKI A GUATEMALA
ESTRUCTURA ACTUAL FIRMA-E

REQUISITOS TECNICOS DE UN –PSC-
Autoridad certificadora y de estampado cronológico:
Operación: ISO/IEC 27001 o WebTrust.
Hardware criptográfico: FIPS PUB 140-1 Nivel 3 o FIPS PUB 140-2 Nivel 3
Autoridad de registro (AR):
Operación: Provisoriamente: ISO 9001 con apego a ISO/IEC 27001
A partir de marzo 2014: ISO 9001 y ISO/IEC 27001
Para dispositivo de certificados: FIPS PUB 140-1 Nivel 3 o FIPS PUB 140-
2 Nivel 3
Autoridad de registro (y todas las delegadas):
Provisoriamente: ISO 9001 con apego a ISO/IEC 27001
A partir de marzo 2014: ISO 9001 y ISO/IEC 27001
Para dispositivo de almacenamiento de certificados:
-FIPS PUB 140-1 Nivel 2 ó 3, o FIPS PUB 140-2 Nivel 2 ó 3
Registro público en línea:
-RFC 2560 (OCSP)
Servicio de estampado cronológico:
-ISO/IEC 27001 con apego a ETSI TS 102 023, ISO/IEC 18014, -RFC 3161
Almacenamiento de comunicaciones electrónicas:
-ISO/IEC 27001 con apego a TIA-942 en TIER 3 ó 4

COMO SE GENERAN LOS CERTIFICADOS
DIGITALES

ESQUEMAS DE PKI
Roles en PKI:
1. Autoridad de Certificación (CA): Responsable de emitir y
revocar los certificados digitales o certificados, utilizados en la
firma electrónica.
2. Autoridad de Registro (RA): Responsable de identificar y
autenticar a los solicitantes de certificados digitales, utilizados
en la firma electrónica.
3. Proveedor del Servicio / Aplicación (SP): Responsable de
publicar el servicio / aplicación que utilizará certificados digitales
para firmas electrónicas, y que confía en las mismas.
4. Usuario del Servicio / Aplicación: Al que se le emite un certificado
digital para firma electrónica, lo posee y hace uso de él en los
servicios / aplicaciones disponibles.
SOPKI(Self-OperatingPKI)–creandoPKIpropia:
1. El Proveedor del Servicio es dueño de la CA y la RA.
2. Los usuarios deben confiar totalmente en el SP, ya que es el que
administra la PKI.
3. Costos altos de implementación para el SP.
4. Como no existe la participación de un tercero, es más difícil de
detectar fallas de seguridad.
SP

EXPKI (Existing PKI) – Implementando PKI ya
Existente:
1. Tanto la RA como la CA son externas (Proveedor de Servicios de
Certificación – PSC).
2. Los usuarios y el SP deben confiar totalmente en el PSC, ya que
es el que administra la PKI.
3. Provee mayor seguridad.
4. Para mantener los servicios activos, los usuarios o el SP deben de
pagar una cuota por Certificado.
PSC

OSPKI (Outsourcing PKI) – PKI Externa:
1. Los certificados digitales son emitidos por una CA independiente,
pero la RA es operada por el SP quien se asegura de la consistencia
y la correcta información de los usuarios.
2. Los usuarios y el SP deben confiar en la CA.
3. La CA debe proporcionar seguridad, y proveer asistencia para
adaptar el sistema a cambios.
SP

ACTIVIDADES DE LA SEMANA
No. Actividades Recursos
Tiempo
estimado
Fecha Punteo
1 Foro Temático Módulo III
Foro del Aula
Virtual
30
minutos
Martes
a Jueves
5 puntos
2.
Elaborar un ensayo indicando
“Investigar que tecnología se
utiliza en otros países para el voto
electrónico”
Aula Virtual
2
Horas
Jueves 5 puntos
3. Cuestionario Aula Virtual
30
minutos
Viernes 5 puntos
4.
ProyectoFinal
Llenarlaparte3delproyectoFinal
(documentoadescargar)
Aula Virtual
30
minutos
Viernes 5 puntos

BIBLIOGRAFIA
- “LALEYPARAELRECONOCIMIENTODELASCOMUNICACIONES
Y FIRMAS ELECTRÓNICAS”
Decreto No. 47-2008 del Congreso de la República
- REGLAMENTO DE LA LEY
Acuerdo Gubernativo No. 135-2009 y su reforma en Acuerdo
Gubernativo No. 262-2009
- INTYPEDIA
http://www.intypedia.com/

Guatemala, octubre 2016
Axiología de la Firma
Electrónica Avanzada
Dirección de Formación y Capacitación
Firma Electrónica Avanzada
CURSO VIRTUAL

Módulo 3 firma electrónica avanzada

Más contenido relacionado

Destacado

Similar a Módulo 3 firma electrónica avanzada

Más de Instituto Nacional de Administración Pública

Módulo 3 firma electrónica avanzada