Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
Instituto Nacional de Administración Pública
1
Módulo 03 / ¿Qué es la firma electrónica?
¿Qué es la
Firma
ELECTRÓNICA?
AVA...
Instituto Nacional de Administración Pública
2
Módulo 03 / ¿Qué es la firma electrónica?
ÍNDICE
FIRMA ELECTRÓNICA AVANZADA...
Instituto Nacional de Administración Pública
3
Módulo 03 / ¿Qué es la firma electrónica?
¿QUÉ ES?
FIRMA ELECTRÓNICA AVANZA...
Instituto Nacional de Administración Pública
4
Módulo 03 / ¿Qué es la firma electrónica?
La clave privada debe permanecer ...
Instituto Nacional de Administración Pública
5
Módulo 03 / ¿Qué es la firma electrónica?
4. El destinatario recibe el mens...
Instituto Nacional de Administración Pública
6
Módulo 03 / ¿Qué es la firma electrónica?
E n u n r i n c ó n d e
69 110 32...
Instituto Nacional de Administración Pública
7
Módulo 03 / ¿Qué es la firma electrónica?
Por su parte, la clave pública de...
Instituto Nacional de Administración Pública
8
Módulo 03 / ¿Qué es la firma electrónica?
¿QUÉ ES UN?
CERTIFICADO DIGITAL Y...
Instituto Nacional de Administración Pública
9
Módulo 03 / ¿Qué es la firma electrónica?
¿QUÉ NO ES?
FIRMA ELECTRÓNICA AVA...
Instituto Nacional de Administración Pública
10
Módulo 03 / ¿Qué es la firma electrónica?
PARA LA FIRMA ELECTRÓNICA AVANZA...
Instituto Nacional de Administración Pública
11
Módulo 03 / ¿Qué es la firma electrónica?
¿HACIA DÓNDE PODEMOS LLEGAR?
E-s...
Instituto Nacional de Administración Pública
12
Módulo 03 / ¿Qué es la firma electrónica?
BENEFICIOS DEL USO DE LA FIRMA E...
Instituto Nacional de Administración Pública
13
Módulo 03 / ¿Qué es la firma electrónica?
PKI= INFRAESTRUCTURA DE LLAVE PÚ...
Instituto Nacional de Administración Pública
14
Módulo 03 / ¿Qué es la firma electrónica?
ESTAMPADO CRONOLÓGICO O TIME STA...
Instituto Nacional de Administración Pública
15
Módulo 03 / ¿Qué es la firma electrónica?
APLICANDO PKI A GUATEMALA
ESTRUC...
Instituto Nacional de Administración Pública
16
Módulo 03 / ¿Qué es la firma electrónica?
REQUISITOS TECNICOS DE UN –PSC-
...
Instituto Nacional de Administración Pública
17
Módulo 03 / ¿Qué es la firma electrónica?
COMO SE GENERAN LOS CERTIFICADOS...
Instituto Nacional de Administración Pública
18
Módulo 03 / ¿Qué es la firma electrónica?
SSPP
PPSSCC
SOPKI (SELF-OPERATIN...
Instituto Nacional de Administración Pública
19
Módulo 03 / ¿Qué es la firma electrónica?
1. Tanto la RA como la CA son ex...
Instituto Nacional de Administración Pública
20
Módulo 03 / ¿Qué es la firma electrónica?
ACTIVIDADES DE LA SEMANA
ACTIVID...
Instituto Nacional de Administración Pública
21
Módulo 03 / ¿Qué es la firma electrónica?
BIBLIOGRAFIA
“LA LEY PARA EL REC...
Instituto Nacional de Administración Pública
22
Módulo 03 / ¿Qué es la firma electrónica?
INSTITUTO NACIONAL
DE ADMINSITRA...
Instituto Nacional de Administración Pública
23
Módulo 03 / ¿Qué es la firma electrónica?
Prochain SlideShare
Chargement dans…5
×

Mod03 firmae-final

Documento del Módulo 3

  • Identifiez-vous pour voir les commentaires

  • Soyez le premier à aimer ceci

Mod03 firmae-final

  1. 1. Instituto Nacional de Administración Pública 1 Módulo 03 / ¿Qué es la firma electrónica? ¿Qué es la Firma ELECTRÓNICA? AVANZADA
  2. 2. Instituto Nacional de Administración Pública 2 Módulo 03 / ¿Qué es la firma electrónica? ÍNDICE FIRMA ELECTRÓNICA AVANZADA ………………………………………………………………………………………………………¡ERROR! MARCADOR NO DEFINIDO. ¿Que es la Firma Electrónica Avanzada?............................................................¡Error! Marcador no definido. ¿Qué es un certificado Digital y que debe de contener?................................................................................8 ¿Qué no es Firma Electrónica Avanzada? ......................................................................................................9 Para la firma electrónica avanzada se utilizan los siguientes dispositivos criptográficos: .............................9 ¿ Hacia donde podemos llegar ? ..................................................................................................................11 Beneficios del uso de la firma electronica avanzada....................................................................................12 PKI PASO A PASO .........................................................................................................................................12 PKI= Infraestructura de Llave Pública (Public Key Infraestructure)..............................................................13 Estampado Cronológico o Time Stamping ...................................................................................................14 Sistema Online Certificate Status Protocol –OCSP- (Protocolo del estado del certificado en linea) ...........14 APLICANDO PKI A GUATEMALA ...................................................................................................................15 ESTRUCTURA ACTUAL FIRMA-E...................................................................................................................15 REQUISITOS TECNICOS DE UN –PSC-............................................................................................................16 COMO SE GENERAN LOS CERTIFICADOS DIGITALES.....................................................................................17 ESQUEMAS DE PKI .......................................................................................................................................17 SOPKI (Self-Operating PKI) – creando PKI propia:........................................................................................18 EXPKI (Existing PKI) – Implementando PKI ya Existente: .............................................................................18 OSPKI (Outsourcing PKI) – PKI Externa: .......................................................................................................19 ACTIVIDADES DE LA SEMANA ......................................................................................................................20 BIBLIOGRAFIA ..............................................................................................................................................21
  3. 3. Instituto Nacional de Administración Pública 3 Módulo 03 / ¿Qué es la firma electrónica? ¿QUÉ ES? FIRMA ELECTRÓNICA AVANZADA Es la que cumple con estos cuatro requisitos: 1. La confidencialidad o secreto de la información enviada. 2. La integridad de dicha información, avalando que no ha sido manipulada, o falsificada y que ha permanecido inalterable en el envío. 3. La autenticidad, que asegura que los datos provienen de una determinada persona. 4. El no repudio, de modo que la persona emisora reconoce la transmisión y no puede negar ante terceros el envío de dichos datos en un momento concreto. Hoy en día, los sistemas basados en la firma electrónica garantizan la seguridad en las comunicaciones. ¿En qué consiste la firma electrónica? Es obvio que no podemos conocer personalmente a todas las personas con las que intercambiamos información por Internet. Entonces, surge el problema ¿cómo podemos estar seguros de la identidad de las personas con las que nos comunicamos y realizamos transacciones? Esta cuestión se resuelve a través de la firma electrónica avanzada que nos identifica en Internet de manera unívoca. Los mecanismos de firma electrónica permiten a la persona que recibe una información: • Tener plena certeza de quién es el autor del mensaje. • Verificar que el mensaje no ha sido modificado desde su creación. ¿Qué es la Clave Pública y la Privada? En el sistema de firma electrónica, cada persona dispone de un par de claves: • La clave privada que únicamente el propietario conoce. • La clave pública que es conocida por las demás personas.
  4. 4. Instituto Nacional de Administración Pública 4 Módulo 03 / ¿Qué es la firma electrónica? La clave privada debe permanecer bajo el exclusivo control de su propietario. Esta característica permite que una firma digital identifique en forma unívoca al firmante. La clave pública, por su parte, es la que le posibilita al destinatario verificar quien es el autor del mensaje y la integridad de los datos enviados. Estas claves actúan de forma complementaria: lo que cifra la primera clave, sólo puede ser descifrado por la otra. ¿Qué es la clave pública y la privada? Un mensaje cifrado con la clave privada de una persona sólo puede ser descifrado utilizando la clave pública asociada. Por tanto, podemos tener plena seguridad de que el mensaje descifrado con esa clave pública solamente pudo cifrarse utilizando la privada, es decir, proviene de la persona a quien está asociada esa clave, o lo que es lo mismo, podemos saber sin lugar a dudas quién es el emisor de ese El proceso de firma electrónica: 1. El emisor va a enviar un mensaje firmado electrónicamente, para que el destinatario pueda verificar que realmente ha sido enviado por él. 2. Para ello aplica al mensaje original una función hash, que es una operación que da como resultado otro conjunto de datos, denominado resumen, que tiene la propiedad de estar asociado unívocamente a los datos de origen. 3. El emisor cifra el resumen con su clave privada. Ésta es la firma electrónica avanzada que se añade al mensaje original. y envía el mensaje junto con su firma electrónica.
  5. 5. Instituto Nacional de Administración Pública 5 Módulo 03 / ¿Qué es la firma electrónica? 4. El destinatario recibe el mensaje. Para comprobar la autoría del mensaje y cerciorarse de que quien se lo envía es quien dice ser, descifra el resumen del mensaje con la clave pública del emisor. 5. Después aplica nuevamente la función hash al mensaje recibido para obtener el resumen. 6. Si ambos resúmenes (el obtenido al descifrar la firma del mensaje y el obtenido al hacer el resumen del mensaje) coinciden, la firma es válida y cumple los requisitos de autenticidad, integridad y no repudio en origen. 7. Si no coinciden podría deberse a varias causas: alguien ha modificado el mensaje antes de recibirlo o la clave pública no corresponde con la privada utilizada en la firma. 8. El emisor no puede negar haber enviado el mensaje y el receptor puede estar seguro de la autoría de ese mensaje y de su inalterabilidad. Función HASH: Función o Método para generar claves o llaves que representen de forma única a Documentos, Registros Archivos, etc. Detalla o identifica probabilísticamente un gran conjunto de información.
  6. 6. Instituto Nacional de Administración Pública 6 Módulo 03 / ¿Qué es la firma electrónica? E n u n r i n c ó n d e 69 110 32 117 110 32 114 105 110 99 243 110 32 100 101 l a M a n c h a d e c 32 108 97 32 77 97 110 99 104 97 32 100 101 32 99 u y o n o m b r e n o q 117 121 111 32 110 111 109 98 114 101 32 110 111 32 113 8927-444 -8658 1254 7590 2738 8669 -1312 224 990 -15840 -6868 -22806 -7372 -4365 1144 6500 -11399 6831 Función HASH: Aquí, cada tres caracteres, con sus códigos ASCII, se opera (1º-2º)*3º. La suma de los resultados es una función HASH que identifica perfectamente el texto. ¿Dónde se guardan las claves? La clave privada, empleada para firmar mensajes, debe estar exclusivamente bajo el poder del firmante. Para ello, dicha clave se guarda en un dispositivo seguro, como el token o en una tarjeta criptográfica, que no se pueden duplicar y que están protegidos por un número de identificación personal (PIN).
  7. 7. Instituto Nacional de Administración Pública 7 Módulo 03 / ¿Qué es la firma electrónica? Por su parte, la clave pública debe ser conocida por el resto de personas. Para ello, se incluye en un certificado digital, público y accesible. Este certificado avala que la clave contenida en él pertenece a la persona indicada en el mismo. Por lo cual se identifica plenamente. Tarjeta criptográfica TOKEN Por su parte, la clave pública debe ser conocida por el resto de personas. Para ello, se incluye en un certificado digital, público y accesible. Este certificado avala que la clave contenida en él pertenece a la persona indicada en el mismo, esto es, le identifica indubitablemente.
  8. 8. Instituto Nacional de Administración Pública 8 Módulo 03 / ¿Qué es la firma electrónica? ¿QUÉ ES UN? CERTIFICADO DIGITAL Y QUE DEBE DE CONTENER • Un certificado digital es un documento electrónico firmado electrónicamente por un Prestador de Servicios de Certificación, que asocia una clave pública con su Propietario
  9. 9. Instituto Nacional de Administración Pública 9 Módulo 03 / ¿Qué es la firma electrónica? ¿QUÉ NO ES? FIRMA ELECTRÓNICA AVANZADA La firma en Pads o huella digital, No es firma electrónica avanzada tampoco los Tokens otp.
  10. 10. Instituto Nacional de Administración Pública 10 Módulo 03 / ¿Qué es la firma electrónica? PARA LA FIRMA ELECTRÓNICA AVANZADA SE UTILIZAN LOS SIGUIENTES DISPOSITIVOS CRIPTOGRÁFICOS:
  11. 11. Instituto Nacional de Administración Pública 11 Módulo 03 / ¿Qué es la firma electrónica? ¿HACIA DÓNDE PODEMOS LLEGAR? E-servicios y trámites Móviles Slim SIM Sticker • Llegar a toda gama de celulares • Tramites a través de SMS firmados digitalmente • Servicios online 24X7X365 • No Dispositivos adicionales Contact & NCF Secure Micro SD • Estándares FIPS 140-2-3 • Participación Ciudadana • Plataformas Web 2.0 • PKI en el celular
  12. 12. Instituto Nacional de Administración Pública 12 Módulo 03 / ¿Qué es la firma electrónica? BENEFICIOS DEL USO DE LA FIRMA ELECTRÓNICA AVANZADA • Sustitución de firma manuscrita por la firma electrónica avanzada • Comunicación Oficial Electrónica de manera segura • Eliminación de impresiones y copias (no papel) • Resguardo de Información de manera digital con validez legal • Eficiencia de la gestión • Reducción de burocracia • Mayores beneficios y con menores costos • Transparencia en las operaciones • Agilidad en la resolución de trámites • Combate a la corrupción • Modernización de los procesos administrativos • Resultados rápidos en beneficio del ciudadano PKI PASO A PASO
  13. 13. Instituto Nacional de Administración Pública 13 Módulo 03 / ¿Qué es la firma electrónica? PKI= INFRAESTRUCTURA DE LLAVE PÚBLICA (PUBLIC KEY INFRAESTRUCTURE) Es una combinación de hardware y software, políticas y procedimientos de seguridad que permiten la ejecución con garantías de operaciones criptográficas como el cifrado, la firma digital o el no repudio de transacciones electrónicas. Los componentes más habituales de una infraestructura de clave pública son: • La autoridad de certificación (o, en inglés, CA, Certificate Authority): Es la encargada de emitir y revocar certificados. Es la entidad de confianza que da legitimidad a la relación de una clave pública con la identidad de un usuario o servicio. • La autoridad de registro (o, en inglés, RA, Registration Authority): Es la responsable de verificar el enlace entre los certificados (concretamente, entre la clave pública del certificado) y la identidad de sus titulares. • Los repositorios: son las estructuras encargadas de almacenar la información relativa a la PKI. Los dos repositorios más importantes son el repositorio de certificados y el repositorio de listas de revocación de certificados. En una lista de revocación de certificados (o, en inglés, CRL, Certificate Revocation List) se incluyen todos aquellos certificados que por algún motivo han dejado de ser válidos antes de la fecha establecida dentro del mismo certificado. • La autoridad de validación (o, en inglés, VA, Validation Authority): es la encargada de comprobar la validez de los certificados digitales. PKI= Infraestructura de Llave Pública (Public Key Infraestructure) La autoridad de sellado de tiempo(o, en inglés, TSA, TimeStamp Authority): Es la encargada de firmar documentos con la finalidad de probar la hora y fecha exacta en que se realizó o efectuó un documento o transaccion. Los usuarios y entidades finales son aquellos que poseen un par de claves (pública y privada) y un certificado asociado a su clave pública. Utilizan un conjunto de aplicaciones que hacen uso de la tecnología PKI (para validar firmas digitales, cifrar documentos para otros usuarios, etc.)
  14. 14. Instituto Nacional de Administración Pública 14 Módulo 03 / ¿Qué es la firma electrónica? ESTAMPADO CRONOLÓGICO O TIME STAMPING Es un servicio mediante el cual se puede garantizar la existencia de un documento o mensaje de datos en general en un determinado instante de tiempo, el cual se realiza mediante la emisión de una estampa de tiempo que es posible garantizar en el instante de la creación, modificación, recepción de un determinado mensaje de datos impidiendo su posterior alteración. Proporciona 3 Datos: tiempo del día/expresado en hora, minuto y segundo (hh:mm:ss); fecha expresada en día, mes, año; (dd:mm:aaaa) y la firma de los datos realizados con certificado digital. Estos valores se basan en relojes atómicos u hora legal del país que puede ser dictaminada generalmente por el centro nacional de metrología que en Guatemala se conoce como CENAME. Los valores asignados al tiempo del día y la fecha de una estampa cronológica certificada no tiene en cuenta ni aplican en ningún caso los valores que el sistema informático del solicitante señale y ningún tercero puede cambiar o sustituir la aplicación de valores distintos de tiempo del día y fecha que este asignada mediante por la estampa, con ello se garantiza el principio de prelación primero en el tiempo primero en derecho lo cual es importante aplicar en contratos y subastas electrónicas entre otros medios importantes para su verificación. SISTEMA ONLINE CERTIFICATE STATUS PROTOCOL –OCSP- (PROTOCOLO DEL ESTADO DEL CERTIFICADO EN LÍNEA) El objetivo es dotar al servidor la capacidad de realizar consultas en línea OCSP para validar el estado de los certificados de los usuarios, en vez de recurrir al sistema de Listas de Certificados Revocados, ya que es menos eficiente y obliga al administrador del servidor a realizar cargas periódicas de la CRL. En cuanto al OCSP (Online Certificate Status Protocol), es un protocolo estandar (RFC2560) que permite realizar consultas a un servidor predeterminado sobre el estado de un certificado, en base al número de serie y el firmante del mismo.
  15. 15. Instituto Nacional de Administración Pública 15 Módulo 03 / ¿Qué es la firma electrónica? APLICANDO PKI A GUATEMALA ESTRUCTURA ACTUAL FIRMA-E
  16. 16. Instituto Nacional de Administración Pública 16 Módulo 03 / ¿Qué es la firma electrónica? REQUISITOS TECNICOS DE UN –PSC- Autoridad certificadora y de estampado cronológico: Operación: ISO/IEC 27001 o WebTrust. Hardware criptográfico: FIPS PUB 140-1 Nivel 3 o FIPS PUB 140-2 Nivel 3 Autoridad de registro (AR): Operación: Provisoriamente: ISO 9001 con apego a ISO/IEC 27001 A partir de marzo 2014: ISO 9001 y ISO/IEC 27001 Para dispositivo de certificados: FIPS PUB 140-1 Nivel 3 o FIPS PUB 140-2 Nivel 3 Autoridad de registro (y todas las delegadas): Provisoriamente: ISO 9001 con apego a ISO/IEC 27001 A partir de marzo 2014: ISO 9001 y ISO/IEC 27001 Para dispositivo de almacenamiento de certificados: -FIPS PUB 140-1 Nivel 2 ó 3, o FIPS PUB 140-2 Nivel 2 ó 3 Registro público en línea: -RFC 2560 (OCSP) Servicio de estampado cronológico: -ISO/IEC 27001 con apego a ETSI TS 102 023, ISO/IEC 18014, -RFC 3161 Almacenamiento de comunicaciones electrónicas: -ISO/IEC 27001 con apego a TIA-942 en TIER 3 ó 4
  17. 17. Instituto Nacional de Administración Pública 17 Módulo 03 / ¿Qué es la firma electrónica? COMO SE GENERAN LOS CERTIFICADOS DIGITALES ESQUEMAS DE PKI Roles en PKI: 1. Autoridad de Certificación (CA): Responsable de emitir y revocar los certificados digitales o certificados, utilizados en la firma electrónica. 2. Autoridad de Registro (RA): Responsable de identificar y autenticar a los solicitantes de certificados digitales, utilizados en la firma electrónica. 3. Proveedor del Servicio / Aplicación (SP): Responsable de publicar el servicio / aplicación que utilizará certificados digitales para firmas electrónicas, y que confía en las mismas. 4. Usuario del Servicio / Aplicación: Al que se le emite un certificado digital para firma electrónica, lo posee y hace uso de él en los servicios / aplicaciones disponibles.
  18. 18. Instituto Nacional de Administración Pública 18 Módulo 03 / ¿Qué es la firma electrónica? SSPP PPSSCC SOPKI (SELF-OPERATING PKI) – CREANDO PKI PROPIA: 1. El Proveedor del Servicio es dueño de la CA y la RA. 2. Los usuarios deben confiar totalmente en el SP, ya que es el que administra la PKI. 3. Costos altos de implementación para el SP. 4. Como no existe la participación de un tercero, es más difícil de detectar fallas de seguridad. EXPKI (EXISTING PKI) – IMPLEMENTANDO PKI YA EXISTENTE:
  19. 19. Instituto Nacional de Administración Pública 19 Módulo 03 / ¿Qué es la firma electrónica? 1. Tanto la RA como la CA son externas (Proveedor de Servicios de Certificación – PSC). 2. Los usuarios y el SP deben confiar totalmente en el PSC, ya que es el que administra la PKI. 3. Provee mayor seguridad. 4. Para mantener los servicios activos, los usuarios o el SP deben de pagar una cuota por Certificado. OSPKI (OUTSOURCING PKI) – PKI EXTERNA: 1. Los certificados digitales son emitidos por una CA independiente, pero la RA es operada por el SP quien se asegura de la consistencia y la correcta información de los usuarios. 2. Los usuarios y el SP deben confiar en la CA. 3. La CA debe proporcionar seguridad, y proveer asistencia para adaptar el sistema a cambios. SSPP
  20. 20. Instituto Nacional de Administración Pública 20 Módulo 03 / ¿Qué es la firma electrónica? ACTIVIDADES DE LA SEMANA ACTIVIDAD DURACION FECHA PUNTEO Foro Temático Módulo III 30 Minutos Martes - Jueves 5 puntos Elaborar un ensayo indicando “Investigar que tecnología se utiliza en otros países para el voto electrónico” 2 Horas Jueves 5 puntos Cuestionario 30 Minutos Viernes 5 Puntos Proyecto Final Llenar la parte 3 del proyecto Final (documento a descargar) 30 Minutos Viernes 5 puntos
  21. 21. Instituto Nacional de Administración Pública 21 Módulo 03 / ¿Qué es la firma electrónica? BIBLIOGRAFIA “LA LEY PARA EL RECONOCIMIENTO DE LAS COMUNICACIONES Y FIRMAS ELECTRÓNICAS” Decreto No. 47-2008 del Congreso de la República REGLAMENTO DE LA LEY Acuerdo Gubernativo No. 135-2009 y su reforma en Acuerdo Gubernativo No. 262-2009 INTYPEDIA http://www.intypedia.com/
  22. 22. Instituto Nacional de Administración Pública 22 Módulo 03 / ¿Qué es la firma electrónica? INSTITUTO NACIONAL DE ADMINSITRACIÓN PÚBLICA Boulevard Los Próceres 16-40, zona 10 Ciudad de Guatemala PBX: (502) 2419-8181 www.inap.gob.gt
  23. 23. Instituto Nacional de Administración Pública 23 Módulo 03 / ¿Qué es la firma electrónica?

×