Este documento presenta información sobre certificados electrónicos, firmas electrónicas, entidades de certificación y su legislación. El objetivo es comprender el funcionamiento de estos servicios importantes que ofrece la tecnología y estar informados sobre ellos. Se explican conceptos como certificados electrónicos, firmas electrónicas, tipos de firmas, cómo funcionan, entidades de certificación y su normatividad en Colombia.
1. Eje temático No. 3
Certificado electrónico y firma electrónica
Presentado por:
Lina María Restrepo Suaza
Milena Cristina Marín Barros
Gloria Cecilia Medina Martínez
Ingrid Judith Suarez
Liliana Melo Mérida
Carolina Díaz Ramírez
Docente:
Jorge Mario Zuluaga Campuzano
Universidad del Quindío
Ciencia de la información y la documentación: bibliotecología y
archivística
2012
2. Introducción
La siguiente exposición tiene como objetivo
comprender los temas de certificados
electrónicos, firmas electrónicas, entidades de
certificación y su respectiva legislación con el fin de
conocer el funcionamiento de estos servicios tan
importantes que hoy por hoy nos ofrece la
tecnología; por lo tanto nosotros debemos estar lo
mas informados posible para ir a la vanguardia de la
información.
3. Objetivo General
Lograr que el alumno desarrolle conocimiento sobre los
Procesos de Archivo de manera Automatizada, así como
ofrecerle una orientación sobre las exigencias que se
derivan del trabajo en los entornos automatizados,
capacitándonos para evaluar los distintos programas
informáticos para la gestión electrónica de documentos
de archivo.
4. Objetivos Específicos
El estudiante estará en capacidad de:
Interiorizar y profundizar conceptos sobre Certificado
Electrónico y la firma electrónica.
Hacer que el estudiante apropie métodos de Identificación
y Autentificación de documentos electrónicos.
Identificar la normatividad y Legislación que aplica para los
documentos electrónicos de archivo.
Socializar cual es el funcionamiento de la firma electrónica.
Identificar como se hace el Cifrado electrónico.
Reconocer Entidades Certificación en nuestro país.
5. Certificado Electrónico
Son documentos digitales de
identidad emitidos a un individuo. La
emisión está bajo la responsabilidad
de una entidad de certificación
debidamente autorizada. Esta
entidad garantiza los datos
contenidos en el citado documento
relativos a una persona, ya sea
natural o jurídica (empresas).
6. Elementos que debe tener un
certificado…
1. Datos que identifiquen al suscriptor.
2. Datos que identifiquen a la Entidad de Certificación.
3. La clave pública.
4. La metodología para verificar la firma digital del
suscriptor impuesta a un mensaje de datos.
5. Número de serie del certificado.
6. Vigencia del certificado.
7. Firma digital de la Entidad de
Certificación
7. Funciones de los certificados
electrónicos
La identidad del emisor y del receptor de la
información (autenticación de las partes).
Que el mensaje no ha sido manipulado por el camino
(integridad de la transacción).
Que sólo el emisor y receptor vean la información
(confidencialidad).
Que una vez aceptada la comunicación, ésta no
pueda ser negada de haber sido emitida (no repudio).
8. Firma Electrónica
Las firmas electrónicas cumplen la función de sus análogas
manuscritas, pero con la diferencia que son digitales, es decir
están realizadas con el propósito de identificar a alguien en la
red. Es decir crean un medio seguro de identificación
logrando con esto un ambiente de seguridad para quienes
reciben información, sin dudar de su procedencia. La firma
digital tiene la misma validez que la firma manuscrita, siendo
mas segura porque es muy difícil de falsificar.
9. FIRMA
ELECTRÓNICA
¿Qué es?
Es una huella digital de un documento
cifrado con una clave.
Viene a solventar tres importantes
problemas asociados a la
documentación electrónica:
• confidencialidad
• integridad
• autenticidad.
10. FIRMA
ELECTRÓNICA
¿Cómo funciona? Para poder utilizar la firma electrónica
es necesario haber obtenido
previamente un certificado digital.
El funcionamiento de la firma
electrónica se basa en un par de
números: la clave privada y la clave
pública; con una relación matemática
entre ellos.
La clave privada se almacena en un
dispositivo de uso privado: una tarjeta
criptográfica o normalmente el disco
duro de un ordenador.
La clave pública, en cambio, se
distribuye junto con el mensaje
firmado, fichero, etc.
11. ¿Cómo se firma electrónicamente un
documento?
Cuando se firma electrónicamente un mensaje o fichero para enviar, se
aplica una función denominada hash.
Esta función genera un dato llamado huella digital, que cambia en cada
fichero o mensaje. Así, dos mensajes diferentes generarán huellas
radicalmente diferentes.
Por su parte, y mediante la aplicación de una segunda función, la huella se
cifrará con la clave privada. El resultado será la firma electrónica.
12. ¿Cómo se verifica la firma
electrónica?
El receptor de un mensaje que incluya firma electrónica puede comprobar
que el mensaje no ha sido modificado aplicando la función hash sobre el
mensaje recibido. El resultado será la huella del mensaje.
Sobre la firma electrónica recibida, el receptor aplicará la clave pública del
emisor a fin de descifrarla. El resultado será una huella que debe coincidir
con la huella del mensaje. Si esto se produce, existe la garantía de que el
mensaje no ha sido modificado y de que ha sido emitido por el titular de la
firma.
13. ¿Qué tipos de La firma electrónica general, que equivaldría
a una firma manuscrita digitalizada. "La firma
electrónica es el conjunto de datos en forma
firmas existen? electrónica, consignados junto a otros o
asociados con ellos, que pueden ser utilizados
como medio de identificación del firmante".
La Ley 59/2003, de 19 de
La firma electrónica avanzada. "(...) es la
diciembre, de firma electrónica firma electrónica que permite identificar al
firmante y detectar cualquier cambio ulterior
define la firma electrónica de los datos firmados, que está vinculada al
distinguiendo tres tipos: firmante de manera única y a los datos a que
se refiere y que ha sido creada por medios que
el firmante puede mantener bajo su exclusivo
control".
La firma electrónica reconocida. "Se
considera firma electrónica reconocida la
firma electrónica avanzada basada en un
certificado reconocido y generada mediante
un dispositivo seguro de creación de firma. La
firma electrónica reconocida tendrá respecto
de los datos consignados en forma electrónica
el mismo valor que la firma manuscrita.
14. Aplicaciones de la firma digital:
Mensajes con autenticidad
asegurada Dinero electrónico
Mensajes sin posibilidad de Notificaciones judiciales
repudio
electrónicas
Contratos comerciales
electrónicos Voto electrónico
Factura Electrónica Decretos ejecutivos
Desmaterialización de (gobierno)
documentos
Créditos de seguridad social
Transacciones comerciales
electrónicas Contratación pública
Invitación electrónica Sellado de tiempo
15. Beneficios de las firmas y
certificados electrónicos
Nadie tiene una seguridad absoluta
en Internet, tanto los proveedores
como los compradores tienen un
riesgo Sin embargo, la tecnología
ofrece medios de transacciones
cada vez más seguros. Las técnicas
de encriptación de datos pueden
convertir el comercio electrónico
en más seguro que el comercio
tradicional basado en tarjetas de
crédito.
16. El comercio electrónico necesita de un sistema
de transacción seguro que permita:
Garantizar la confidencialidad de la
transacción de tal forma que la información
transferida solo sea accesible por las partes
que intervienen. (Encriptación)
Garantizar la integridad de la
transacción, de forma que no pueda ser
alterado por terceras partes sin saberlo.
(Firma Digital)
Garantizar la autenticidad de las partes. La
firma digital garantiza la integridad de la
transacción y el certificado digital (emitido
por un tercero) garantiza la identidad de las
partes.
17. La firma electrónica proporciona un amplio abanico de
servicios de seguridad, que superan con creces a los ofrecidos
en un contexto físico por el DNI o pasaporte y las firmas
manuscritas:
1. Autenticación
2. Imposibilidad de
Permite identificar unívocamente suplantación
al signatario, al verificar la
identidad del firmante, como
El hecho de que la firma haya sido
signatario de documentos en
creada por el signatario mediante
transacciones telemáticas, para
medios que mantiene bajo su propio
garantizar el acceso a servicios
control (su clave privada protegida,
distribuidos en red.
por ejemplo, por una contraseña,
etc.) asegura, además, la
imposibilidad de su suplantación por
otro individuo.
18. 3. Integridad
Permite que sea detectada
cualquier modificación por 4. No repudio
pequeña que sea de los datos
firmados, proporcionando así una Ofrece seguridad inquebrantable de
garantía ante alteraciones fortuitas que el autor del documento no
o deliberadas durante el puede retractarse en el futuro de las
almacenamiento o manipulación opiniones o acciones consignadas
telemática. en él ni de haberlo enviado.
5. Audibilidad
Permite identificar y rastrear las
operaciones llevadas a cabo por el
usuario dentro de un sistema
informático cuyo acceso se realiza
mediante la presentación de
certificados.
19. ¿Qué son esas
entidades de
certificación?
Son entes autorizados, conforme a la
Ley, que están facultados para emitir
certificados, por medio de un
estampado cronológico y demás
funciones relativas al intercambio de
mensajes de datos y firmas
digitales, generando confianza sobre el
proceso de autorización, el cual se
realizará de acuerdo con las actividades
que vaya a ofrecer.
20. ¿Quiénes pueden ser entidades de
certificación?
Según la ley 527, pueden ser personas jurídicas, públicas o
privadas, nacionales o extranjeras y las cámaras de comercio. la ley 588, en
su parágrafo primero le agregó dos entidades: notarias y
consulados, quienes también deben ser autorizadas por la
superintendencia de industria y comercio, según la reglamentación del
gobierno.
21. ¿Que requisitos deben cumplir las
entidades de certificación?
Tener siempre parámetros
para certificar
Capacidad económica.
Capacidad financiera
Capacidad técnica suficiente
para prestar el servicio
Que los representantes
legales o administrativos no
estén incursos en ninguna
inhabilidad.
22. ¿Que sanciones se le pueden imponer a
las entidades de certificación?
1. Amonestaciones.
2. Suspenderle todas las
actividades.
3. Multas personales hasta por
trescientos salarios mínimos.
4. Multas institucionales hasta por
dos mil salarios mínimos
vigentes.
5. Prohibición de prestar directa o
indirectamente el servicio hasta
por cinco años.
6. Perdida de la renovación de la
autorización.
23. En el ARTÍCULO 30. Actividades de las entidades de
certificación. Modificado por el art. 161, Decreto Nacional 019 de 2012.Las
Entidades de Certificación autorizadas por la Superintendencia de
Industria y Comercio podrán realizar, entre otras, las siguientes
actividades:
Emitir certificados en relación con las
firmas digitales de personas naturales o
jurídicas.
Emitir certificados sobre la verificación
respecto de la alteración entre el envío
y recepción del mensaje de datos.
Ofrecer o facilitar los servicios de
creación de firmas digitales
certificadas.
24. En la Ley 527 de 1999, se estableció en el artículo 41 las funciones a
cargo de la Superintendencia de Industria y Comercio, relacionadas
con las Entidades de Certificación algunas de ellas son:
Velar por el funcionamiento y la eficiente
prestación del servicio por parte de las
entidades de certificación.
Realizar visitas de auditoría a las
entidades de certificación.
Imponer sanciones a las entidades de
certificación en caso de incumplimiento
de las obligaciones derivadas de la
prestación del servicio.
25. ¿Que facultades tiene la superintendencia de
industria y comercio frente a las entidades de
certificación?
La Superintendencia de Industria
y Comercio, autoriza la actividad
de las entidades de certificación
en el territorio nacional y debe
velar por su buen funcionamiento
y porque éstas cumplan con las
normas relativas a competencia.
Además la Superintendencia
debe cumplir con las funciones
tradicionales, vigilar por la
protección al consumidor.
26. La ley 527 le permite a la superintendencia de
industria y comercio frente a las entidades de
certificación lo siguiente :
1. Suspender o revocar la autorización.
2. Imponer sanciones en caso de
incumplimiento.
3. Ordenar la revocación de los certificados
en el caso de que no cumplan las
exigencias del Gobierno Nacional.
4. Realizar visitas de auditorías.
5. Emitir certificados en relación con firmas
digitales.
6. Impartir las instrucciones del caso y
adicionalmente a esa las contempladas en
el Decreto 2153 en cuanto a vigilancias y
control
27. En Colombia existen dos tipos de
Entidades de Certificación:
Entidad de certificación Entidad de certificación
cerrada abierta
Es la entidad que ofrece servicios Es la entidad que ofrece servicios
propios de las entidades de propios de las entidades de
certificación sólo para el certificación, tales que:
intercambio de mensajes entre la a) Su uso no se limita al
entidad y el suscriptor, sin exigir intercambio de mensajes entre la
remuneración por ello. entidad y el suscriptor, o
b) Recibe remuneración por
éstos.
28. Las siguientes son las entidades de
certificación autorizadas por esta
Superintendencia, en los términos de
la ley 527 de 1999, del decreto 1747 de
2000 y del Capítulo VIII del Título V de
la Circula Única de la Superintendencia
de Industria y Comercio.
29. Algunas entidades de certificación
abierta
SOCIEDAD CAMERAL DE
CERTIFICACION DIGITAL
CERTICÁMARA, S.A. GESTIÓN DE SEGURIDAD
Dirección: Carrera 7 No. 26 – 20 Piso ELECTRÓNICA S.A. - GSE S.A.
18 Edificio Seguros Tequendama – Dirección: Calle 103B No. 50 – 50.
Bogotá D.C., Colombia Piso 2. Bogotá, D.C. Colombia
Autorizada mediante resolución No. Autorizada mediante resolución No.
1007 del 24 de enero de 2002 23344 del 12 de mayo de 2009
Autorización de nuevos servicios – Autorización de nuevos servicios –
Ampliación de la Autorización: Ampliación de la Autorización:
Resolución No. 22456 (10/09/2004) Resolución No. 1194 (21/01/2010)
Resolución No. 28012 (12/11/2004)
30. Algunas entidades de certificación
cerrada
INSTITUTO COLOMBIANO DE
CODIFICACIÓN Y AUTOMATIZACIÓN
COMERCIAL BANCO DE LA REPÚBLICA
Dirección: Av. El Dorado No. 70 - Dirección: Carrera 7 No. 14-
16, Bogotá D.C., Colombia 78, Bogotá D.C., Colombia
Teléfono: +57 (1) 4270999 Teléfono: +57 (1) 3431111
Fax: +57 (1) 4254700 Fax: +57 (1) 2861686
E-mail: web@gs1co@org Página web: www.banrep.gov.co
Página web: www.gs1co.org Autorizada mediante resolución No.
6372 del 28 de Febrero de 2003.
Autorizada mediante resolución No.
25352 del 31 de agosto de 2002.
31. Un ejemplo de estas entidades en
Colombia es…
Certicamara es una entidad que en
Colombia es responsable de emitir, con
calidad técnica y de manera segura e
irrepetible por otros medios o en otras
circunstancias, el par de claves, pública
y privada, que constituye el eje del
certificado.
Debe realizar también una identificación
consistente y completa, hacer las
labores de revocación y modificación de
manera correcta y fiel, siendo
responsable directa de los datos que
certifica.
32. Cifrado Electrónico
Permite “ocultar” o “codificar” el
contenido del mensaje, son cifrados
por el remitente y descifrados por el
destinatario. Es el sistema
informático que utiliza un sistema de
encriptación el cual se trata de escribir
algo de manera que el destinatario
final pueda leerlo; para ello tanto el
emisor como el receptor deben tener
instalados programas de cifrado.
33. Cifrado Electrónico
¿Cómo funciona?
Los sistemas de cifrado se basan en dos claves
para el envío de la información, una pública y
otra privada:
• Clave pública: se la enviaremos a todo el
mundo que la quiera, la subiremos a un
servidor, o a nuestra web... Esta clave
permitirá a la gente verificar nuestra firma
y crear mensajes cifrados para nosotros.
• Clave privada: no se la daremos a nadie, ya
que nos permitirá firmar y descifrar correo.
34. Cifrado Electrónico
• Para hacer compras en Internet de
¿Para que puede manera segura. Los bancos, las
ser utilizado? tiendas y otras empresas que
venden productos o realizan
transacciones financieras en
• Para almacenar archivos en el Internet utilizan una forma de
equipo y proteger los más cifrado más potente.
confidenciales, como los registros
médicos y los documentos
financieros.
• Para proteger la red doméstica
inalámbrica de Internet; y así los
vecinos no puedan intervenir la red
ni las sesiones online ni robar su
información personal.
35. Ejemplo de Cifrado
Electrónico
Supondremos que queremos
mandar a Pepe un mensaje cifrado
para que sólo él pueda ver el
contenido. Para
ello, previamente, dispondremos
de la clave pública de Pepe.
• Con la clave pública de Pepe
cifraremos el mensaje.
• Pepe recibirá un mensaje cifrado.
• Pepe usará su clave privada para
ver el contenido del mismo.
36. Legislación
Ley 59 de 2003
http://online.lexnova.es/servicesLXOL/viso
rdoc?signatura=98B5E0E1AA75C9CA09FFA Ley 527 de 1999
0F48FA54515&titulacion=
http://www.ocyt.org.co/leg/Ley%205
27.pdf
Por medio de la cual los datos y
documentos transmitidos con la Por medio de la cual se define y
firma electrónica ofrecen plena reglamenta el acceso y uso de los
validez y disponen de todas las mensajes de datos, del comercio
garantías y seguridad jurídica. electrónico y de las firmas
digitales, y se establecen las
entidades de certificación y se
dictan otras disposiciones.
37. Ley 11 de 2007
http://www.boe.es/boe/dias/200 Decreto 2150 de 1995
7/06/23/pdfs/A27150-27166.pdf http://wlserver.unab.edu.co/admisi
ones/Decreto1995no2150.pdf
De acceso electrónico de los
ciudadanos a los Servicios
Públicos. Art. 26. Determina que las
entidades de Administración
Pública, deberán habilitar
sistemas de transmisión
electrónica de datos para que los
usuarios envíen o reciban
información requerida.
38. Resolución 26930 de 2000
http://www.alcaldiabogota.gov.co/
sisjur/normas/Norma1.jsp?i=5793
Referencia los requisitos que Decreto 1747 de 2000
deben cumplir las entidades de http://securedata.com.co/files/dec
certificación abiertas o cerradas reto1747.pdf
para solicitar su autorización y
funcionamiento, clasificación que Por el cual se reglamenta
depende de los servicios que parcialmente la Ley 527 de
prestan y finalmente se desarrolla 1999, en lo relacionado
el tema de las firmas auditoras con las entidades de
para las entidades de certificación, los certificados y las
certificación. firmas digitales.
39. Decreto 127 de 2001
http://programa.gobiernoenlinea.gov.
co/apc-aa-
files/5686d2a87532a21a70ead773ed713 Decreto 3107 de 2003
53b/Decreto127de2001.pdf http://programa.gobiernoenlinea.gov
.co/index.shtml?apc=a1d-22-22&x=22
Crea el Programa Presidencial
para el desarrollo de las Suprime funciones y las traslada
tecnologías de la información y al Ministerio de Comunicaciones.
comunicación
Directiva Presidencial 02 del 2000
http://programa.gobiernoenlinea.gov.co/a
pc-aa-
files/5686d2a87532a21a70ead773ed71353b/
Directiva_02_2000.PDF
Suprime funciones y las traslada
al Ministerio de Comunicaciones.
40. Decreto 1151 de 2008
http://hermesoft.esap.edu.co/esap/herm
esoft/portal/home_1/rec/Normatividad/D
ecreto%201151%20de%202008.pdf
Por el cual se establecen los Constitución Política de Colombia
lineamientos generales de la http://www.banrep.gov.co/regimen/r
Estrategia de Gobierno en Línea de esoluciones/cp91.pdf
la República de Colombia, se
Art. 113 y 209 Los cuales señalan
reglamenta parcialmente la Ley
que “los diferentes órganos del
962 de 2005, y se dictan otras
Estado tienen funciones separadas
disposiciones.
pero colaboran armónicamente
para la realización de sus fines.