Día Mundial de la Seguridad y Salud en el Trabajo 2024, 28 de abril - Cambio ...
Mod03 firmae-final
1. Instituto Nacional de Administración Pública
1
Módulo 03 / ¿Qué es la firma electrónica?
¿Qué es la
Firma
ELECTRÓNICA?
AVANZADA
2. Instituto Nacional de Administración Pública
2
Módulo 03 / ¿Qué es la firma electrónica?
ÍNDICE
FIRMA ELECTRÓNICA AVANZADA
………………………………………………………………………………………………………¡ERROR! MARCADOR NO DEFINIDO.
¿Que es la Firma Electrónica Avanzada?............................................................¡Error! Marcador no definido.
¿Qué es un certificado Digital y que debe de contener?................................................................................8
¿Qué no es Firma Electrónica Avanzada? ......................................................................................................9
Para la firma electrónica avanzada se utilizan los siguientes dispositivos criptográficos: .............................9
¿ Hacia donde podemos llegar ? ..................................................................................................................11
Beneficios del uso de la firma electronica avanzada....................................................................................12
PKI PASO A PASO .........................................................................................................................................12
PKI= Infraestructura de Llave Pública (Public Key Infraestructure)..............................................................13
Estampado Cronológico o Time Stamping ...................................................................................................14
Sistema Online Certificate Status Protocol –OCSP- (Protocolo del estado del certificado en linea) ...........14
APLICANDO PKI A GUATEMALA ...................................................................................................................15
ESTRUCTURA ACTUAL FIRMA-E...................................................................................................................15
REQUISITOS TECNICOS DE UN –PSC-............................................................................................................16
COMO SE GENERAN LOS CERTIFICADOS DIGITALES.....................................................................................17
ESQUEMAS DE PKI .......................................................................................................................................17
SOPKI (Self-Operating PKI) – creando PKI propia:........................................................................................18
EXPKI (Existing PKI) – Implementando PKI ya Existente: .............................................................................18
OSPKI (Outsourcing PKI) – PKI Externa: .......................................................................................................19
ACTIVIDADES DE LA SEMANA ......................................................................................................................20
BIBLIOGRAFIA ..............................................................................................................................................21
3. Instituto Nacional de Administración Pública
3
Módulo 03 / ¿Qué es la firma electrónica?
¿QUÉ ES?
FIRMA ELECTRÓNICA AVANZADA
Es la que cumple con estos cuatro requisitos:
1. La confidencialidad o secreto de la información enviada.
2. La integridad de dicha información, avalando que no ha sido
manipulada, o falsificada y que ha permanecido inalterable en el envío.
3. La autenticidad, que asegura que los datos provienen de una
determinada persona.
4. El no repudio, de modo que la persona emisora reconoce la
transmisión y no puede negar ante terceros el envío de dichos datos en un
momento concreto.
Hoy en día, los sistemas basados en la firma electrónica garantizan la
seguridad en las comunicaciones.
¿En qué consiste la firma electrónica?
Es obvio que no podemos conocer personalmente a todas las personas
con las que intercambiamos información por Internet.
Entonces, surge el problema ¿cómo podemos estar seguros de la
identidad de las personas con las que nos comunicamos y realizamos
transacciones? Esta cuestión se resuelve a través de la firma electrónica
avanzada que nos identifica en Internet de manera unívoca.
Los mecanismos de firma electrónica permiten a la persona que recibe
una información:
• Tener plena certeza de quién es el autor del mensaje.
• Verificar que el mensaje no ha sido modificado desde su creación.
¿Qué es la Clave Pública y la Privada?
En el sistema de firma electrónica, cada persona dispone de un par de
claves:
• La clave privada que únicamente el propietario conoce.
• La clave pública que es conocida por las demás personas.
4. Instituto Nacional de Administración Pública
4
Módulo 03 / ¿Qué es la firma electrónica?
La clave privada debe permanecer bajo el exclusivo control de su
propietario.
Esta característica permite que una firma digital identifique en forma
unívoca al firmante.
La clave pública, por su parte, es la que le posibilita al destinatario verificar
quien es el autor del mensaje y la integridad de los datos enviados.
Estas claves actúan de forma complementaria: lo que cifra la primera
clave, sólo puede ser descifrado por la otra.
¿Qué es la clave pública y la privada?
Un mensaje cifrado con la clave privada de una persona sólo puede ser
descifrado utilizando la clave pública asociada.
Por tanto, podemos tener plena seguridad de que el mensaje descifrado
con esa clave pública solamente pudo cifrarse utilizando la privada, es
decir, proviene de la persona a quien está asociada esa clave, o lo que es
lo mismo, podemos saber sin lugar a dudas quién es el emisor de ese
El proceso de firma electrónica:
1. El emisor va a enviar un mensaje firmado electrónicamente, para
que el destinatario pueda verificar que realmente ha sido enviado
por él.
2. Para ello aplica al mensaje original una función hash, que es una
operación que da como resultado otro conjunto de datos,
denominado resumen, que tiene la propiedad de estar asociado
unívocamente a los datos de origen.
3. El emisor cifra el resumen con su clave privada. Ésta es la firma
electrónica avanzada que se añade al mensaje original. y envía el
mensaje junto con su firma electrónica.
5. Instituto Nacional de Administración Pública
5
Módulo 03 / ¿Qué es la firma electrónica?
4. El destinatario recibe el mensaje. Para comprobar la autoría del
mensaje y cerciorarse de que quien se lo envía es quien dice ser,
descifra el resumen del mensaje con la clave pública del emisor.
5. Después aplica nuevamente la función hash al mensaje recibido
para obtener el resumen.
6. Si ambos resúmenes (el obtenido al descifrar la firma del mensaje y
el obtenido al hacer el resumen del mensaje) coinciden, la firma es
válida y cumple los requisitos de autenticidad, integridad y no
repudio en origen.
7. Si no coinciden podría deberse a varias causas: alguien ha
modificado el mensaje antes de recibirlo o la clave pública no
corresponde con la privada utilizada en la firma.
8. El emisor no puede negar haber enviado el mensaje y el receptor
puede estar seguro de la autoría de ese mensaje y de su
inalterabilidad.
Función HASH:
Función o Método para generar claves o llaves que representen de forma
única a Documentos, Registros Archivos, etc. Detalla o identifica
probabilísticamente un gran conjunto de información.
6. Instituto Nacional de Administración Pública
6
Módulo 03 / ¿Qué es la firma electrónica?
E n u n r i n c ó n d e
69 110 32 117 110 32 114 105 110 99 243 110 32 100 101
l a M a n c h a d e c
32 108 97 32 77 97 110 99 104 97 32 100 101 32 99
u y o n o m b r e n o q
117 121 111 32 110 111 109 98 114 101 32 110 111 32 113
8927-444 -8658 1254 7590
2738
8669
-1312 224 990 -15840 -6868 -22806
-7372 -4365 1144 6500
-11399
6831
Función HASH:
Aquí, cada tres caracteres, con sus códigos ASCII, se opera (1º-2º)*3º. La
suma de los resultados es una función HASH que identifica perfectamente
el texto.
¿Dónde se guardan las claves?
La clave privada, empleada para firmar mensajes, debe estar
exclusivamente bajo el poder del firmante. Para ello, dicha clave se guarda
en un dispositivo seguro, como el token o en una tarjeta criptográfica, que
no se pueden duplicar y que están protegidos por un número de
identificación personal (PIN).
7. Instituto Nacional de Administración Pública
7
Módulo 03 / ¿Qué es la firma electrónica?
Por su parte, la clave pública debe ser conocida por el resto de personas.
Para ello, se incluye en un certificado digital, público y accesible. Este
certificado avala que la clave contenida en él pertenece a la persona
indicada en el mismo. Por lo cual se identifica plenamente.
Tarjeta criptográfica
TOKEN
Por su parte, la clave pública debe ser conocida por el resto de personas.
Para ello, se incluye en un certificado digital, público y accesible.
Este certificado avala que la clave contenida en él pertenece a la persona
indicada en el mismo, esto es, le identifica indubitablemente.
8. Instituto Nacional de Administración Pública
8
Módulo 03 / ¿Qué es la firma electrónica?
¿QUÉ ES UN?
CERTIFICADO DIGITAL Y QUE DEBE DE CONTENER
• Un certificado digital es un documento electrónico firmado
electrónicamente por un Prestador de Servicios de Certificación,
que asocia una clave pública con su Propietario
9. Instituto Nacional de Administración Pública
9
Módulo 03 / ¿Qué es la firma electrónica?
¿QUÉ NO ES?
FIRMA ELECTRÓNICA AVANZADA
La firma en Pads o huella digital, No es firma electrónica avanzada
tampoco los Tokens otp.
10. Instituto Nacional de Administración Pública
10
Módulo 03 / ¿Qué es la firma electrónica?
PARA LA FIRMA ELECTRÓNICA AVANZADA
SE UTILIZAN LOS SIGUIENTES DISPOSITIVOS CRIPTOGRÁFICOS:
11. Instituto Nacional de Administración Pública
11
Módulo 03 / ¿Qué es la firma electrónica?
¿HACIA DÓNDE PODEMOS LLEGAR?
E-servicios y trámites Móviles
Slim SIM Sticker
• Llegar a toda gama de celulares
• Tramites a través de SMS firmados digitalmente
• Servicios online 24X7X365
• No Dispositivos adicionales
Contact & NCF Secure Micro SD
• Estándares FIPS 140-2-3
• Participación Ciudadana
• Plataformas Web 2.0
• PKI en el celular
12. Instituto Nacional de Administración Pública
12
Módulo 03 / ¿Qué es la firma electrónica?
BENEFICIOS DEL USO DE LA FIRMA ELECTRÓNICA AVANZADA
• Sustitución de firma manuscrita por la firma electrónica avanzada
• Comunicación Oficial Electrónica de manera segura
• Eliminación de impresiones y copias (no papel)
• Resguardo de Información de manera digital con validez legal
• Eficiencia de la gestión
• Reducción de burocracia
• Mayores beneficios y con menores costos
• Transparencia en las operaciones
• Agilidad en la resolución de trámites
• Combate a la corrupción
• Modernización de los procesos administrativos
• Resultados rápidos en beneficio del ciudadano
PKI PASO A PASO
13. Instituto Nacional de Administración Pública
13
Módulo 03 / ¿Qué es la firma electrónica?
PKI= INFRAESTRUCTURA DE LLAVE PÚBLICA
(PUBLIC KEY INFRAESTRUCTURE)
Es una combinación de hardware y software, políticas y procedimientos
de seguridad que permiten la ejecución con garantías de operaciones
criptográficas como el cifrado, la firma digital o el no repudio de
transacciones electrónicas.
Los componentes más habituales de una infraestructura de clave pública
son:
• La autoridad de certificación (o, en inglés, CA, Certificate
Authority): Es la encargada de emitir y revocar certificados. Es la
entidad de confianza que da legitimidad a la relación de una clave
pública con la identidad de un usuario o servicio.
• La autoridad de registro (o, en inglés, RA, Registration Authority):
Es la responsable de verificar el enlace entre los certificados
(concretamente, entre la clave pública del certificado) y la
identidad de sus titulares.
• Los repositorios: son las estructuras encargadas de almacenar la
información relativa a la PKI. Los dos repositorios más importantes
son el repositorio de certificados y el repositorio de listas de
revocación de certificados. En una lista de revocación de
certificados (o, en inglés, CRL, Certificate Revocation List) se
incluyen todos aquellos certificados que por algún motivo han
dejado de ser válidos antes de la fecha establecida dentro del
mismo certificado.
• La autoridad de validación (o, en inglés, VA, Validation Authority):
es la encargada de comprobar la validez de los certificados
digitales.
PKI= Infraestructura de Llave Pública (Public Key Infraestructure)
La autoridad de sellado de tiempo(o, en inglés, TSA, TimeStamp
Authority): Es la encargada de firmar documentos con la finalidad de
probar la hora y fecha exacta en que se realizó o efectuó un documento o
transaccion.
Los usuarios y entidades finales son aquellos que poseen un par de claves
(pública y privada) y un certificado asociado a su clave pública. Utilizan un
conjunto de aplicaciones que hacen uso de la tecnología PKI (para validar
firmas digitales, cifrar documentos para otros usuarios, etc.)
14. Instituto Nacional de Administración Pública
14
Módulo 03 / ¿Qué es la firma electrónica?
ESTAMPADO CRONOLÓGICO O TIME STAMPING
Es un servicio mediante el cual se puede garantizar la existencia de un
documento o mensaje de datos en general en un determinado instante de
tiempo, el cual se realiza mediante la emisión de una estampa de tiempo
que es posible garantizar en el instante de la creación, modificación,
recepción de un determinado mensaje de datos impidiendo su posterior
alteración.
Proporciona 3 Datos: tiempo del día/expresado en hora, minuto y
segundo (hh:mm:ss); fecha expresada en día, mes, año; (dd:mm:aaaa) y la
firma de los datos realizados con certificado digital.
Estos valores se basan en relojes atómicos u hora legal del país que puede
ser dictaminada generalmente por el centro nacional de metrología que
en Guatemala se conoce como CENAME.
Los valores asignados al tiempo del día y la fecha de una estampa
cronológica certificada no tiene en cuenta ni aplican en ningún caso los
valores que el sistema informático del solicitante señale y ningún tercero
puede cambiar o sustituir la aplicación de valores distintos de tiempo del
día y fecha que este asignada mediante por la estampa, con ello se
garantiza el principio de prelación primero en el tiempo primero en
derecho lo cual es importante aplicar en contratos y subastas electrónicas
entre otros medios importantes para su verificación.
SISTEMA ONLINE CERTIFICATE STATUS PROTOCOL –OCSP-
(PROTOCOLO DEL ESTADO DEL CERTIFICADO EN LÍNEA)
El objetivo es dotar al servidor la capacidad de realizar consultas en línea
OCSP para validar el estado de los certificados de los usuarios, en vez de
recurrir al sistema de Listas de Certificados Revocados, ya que es menos
eficiente y obliga al administrador del servidor a realizar cargas periódicas
de la CRL.
En cuanto al OCSP (Online Certificate Status Protocol), es un protocolo
estandar (RFC2560) que permite realizar consultas a un servidor
predeterminado sobre el estado de un certificado, en base al número de
serie y el firmante del mismo.
15. Instituto Nacional de Administración Pública
15
Módulo 03 / ¿Qué es la firma electrónica?
APLICANDO PKI A GUATEMALA
ESTRUCTURA ACTUAL FIRMA-E
16. Instituto Nacional de Administración Pública
16
Módulo 03 / ¿Qué es la firma electrónica?
REQUISITOS TECNICOS DE UN –PSC-
Autoridad certificadora y de estampado cronológico:
Operación: ISO/IEC 27001 o WebTrust.
Hardware criptográfico: FIPS PUB 140-1 Nivel 3 o FIPS PUB 140-2 Nivel 3
Autoridad de registro (AR):
Operación: Provisoriamente: ISO 9001 con apego a ISO/IEC 27001
A partir de marzo 2014: ISO 9001 y ISO/IEC 27001
Para dispositivo de certificados: FIPS PUB 140-1 Nivel 3 o FIPS PUB 140-2
Nivel 3
Autoridad de registro (y todas las delegadas):
Provisoriamente: ISO 9001 con apego a ISO/IEC 27001
A partir de marzo 2014: ISO 9001 y ISO/IEC 27001
Para dispositivo de almacenamiento de certificados:
-FIPS PUB 140-1 Nivel 2 ó 3, o FIPS PUB 140-2 Nivel 2 ó 3
Registro público en línea:
-RFC 2560 (OCSP)
Servicio de estampado cronológico:
-ISO/IEC 27001 con apego a ETSI TS 102 023, ISO/IEC 18014, -RFC 3161
Almacenamiento de comunicaciones electrónicas:
-ISO/IEC 27001 con apego a TIA-942 en TIER 3 ó 4
17. Instituto Nacional de Administración Pública
17
Módulo 03 / ¿Qué es la firma electrónica?
COMO SE GENERAN LOS CERTIFICADOS DIGITALES
ESQUEMAS DE PKI
Roles en PKI:
1. Autoridad de Certificación (CA): Responsable de emitir y revocar
los certificados digitales o certificados, utilizados en la firma
electrónica.
2. Autoridad de Registro (RA): Responsable de identificar y
autenticar a los solicitantes de certificados digitales, utilizados en la
firma electrónica.
3. Proveedor del Servicio / Aplicación (SP): Responsable de publicar
el servicio / aplicación que utilizará certificados digitales para
firmas electrónicas, y que confía en las mismas.
4. Usuario del Servicio / Aplicación: Al que se le emite un certificado
digital para firma electrónica, lo posee y hace uso de él en los
servicios / aplicaciones disponibles.
18. Instituto Nacional de Administración Pública
18
Módulo 03 / ¿Qué es la firma electrónica?
SSPP
PPSSCC
SOPKI (SELF-OPERATING PKI) – CREANDO PKI PROPIA:
1. El Proveedor del Servicio es dueño de la CA y la RA.
2. Los usuarios deben confiar totalmente en el SP, ya que es el que
administra la PKI.
3. Costos altos de implementación para el SP.
4. Como no existe la participación de un tercero, es más difícil de
detectar fallas de seguridad.
EXPKI (EXISTING PKI) – IMPLEMENTANDO PKI YA EXISTENTE:
19. Instituto Nacional de Administración Pública
19
Módulo 03 / ¿Qué es la firma electrónica?
1. Tanto la RA como la CA son externas (Proveedor de Servicios de Certificación –
PSC).
2. Los usuarios y el SP deben confiar totalmente en el PSC, ya que es el que
administra la PKI.
3. Provee mayor seguridad.
4. Para mantener los servicios activos, los usuarios o el SP deben de pagar una
cuota por Certificado.
OSPKI (OUTSOURCING PKI) – PKI EXTERNA:
1. Los certificados digitales son emitidos por una CA independiente, pero la RA es
operada por el SP quien se asegura de la consistencia y la correcta información de los
usuarios.
2. Los usuarios y el SP deben confiar en la CA.
3. La CA debe proporcionar seguridad, y proveer asistencia para adaptar el sistema a
cambios.
SSPP
20. Instituto Nacional de Administración Pública
20
Módulo 03 / ¿Qué es la firma electrónica?
ACTIVIDADES DE LA SEMANA
ACTIVIDAD DURACION FECHA PUNTEO
Foro Temático Módulo III 30 Minutos Martes -
Jueves
5 puntos
Elaborar un ensayo indicando
“Investigar que tecnología se
utiliza en otros países para el
voto electrónico” 2 Horas Jueves 5 puntos
Cuestionario 30 Minutos Viernes 5 Puntos
Proyecto Final
Llenar la parte 3 del proyecto
Final
(documento a descargar)
30 Minutos Viernes 5 puntos
21. Instituto Nacional de Administración Pública
21
Módulo 03 / ¿Qué es la firma electrónica?
BIBLIOGRAFIA
“LA LEY PARA EL RECONOCIMIENTO
DE LAS COMUNICACIONES Y FIRMAS ELECTRÓNICAS”
Decreto No. 47-2008 del Congreso de la República
REGLAMENTO DE LA LEY
Acuerdo Gubernativo No. 135-2009
y su reforma en Acuerdo Gubernativo No. 262-2009
INTYPEDIA
http://www.intypedia.com/
22. Instituto Nacional de Administración Pública
22
Módulo 03 / ¿Qué es la firma electrónica?
INSTITUTO NACIONAL
DE ADMINSITRACIÓN PÚBLICA
Boulevard Los Próceres 16-40, zona 10
Ciudad de Guatemala
PBX: (502) 2419-8181
www.inap.gob.gt
23. Instituto Nacional de Administración Pública
23
Módulo 03 / ¿Qué es la firma electrónica?