POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
Firma digital en el peru
1. EL SISTEMA DE FIRMA DIGITAL Y SU APLICACIÓN EN EL PERÚ
ANÁLIS Y PERSPECTIVAS
Gerber Incacari Sancho
Tomado de : www.diplomado.org/ij/firmadigital.doc
Podemos empezar diciendo que la firma digital garantiza la seguridad técnica y jurídica en las transacciones
comerciales (comercio electrónico) y no comerciales (gobierno electrónico)
Antes de analizar la firma digital o electrónica, debemos analizar la firma.
FIRMA
Según la real academia española vigésima tercera edición la firma es “Nombre y apellido, o título, que una
persona escribe de su propia mano en un documento, para darle autenticidad o para expresar que aprueba su
contenido.”[1]
Según esta definición restrictiva y no acorde a los últimos avances técnicos y científicos, la firma solo es aquella
manuscrita, cuando debemos tener en cuenta que lo principal no es la forma como se manifiesta la firma sino que
cumpla su función que básicamente es la de acreditar la identidad del firmante.
La firma manuscrita es un símbolo puesta sobre un documento. Cabría preguntarse si el solo símbolo constituye
una firma, creemos que si por cuanto ese símbolo es el que utilizo, cuando es puesta sobre un documento, para
acreditar mi identidad y dar conformidad del contenido del documento. Para la validez de la firma el documento
no debe haber sido alterado.
Otra definición restrictiva y parcial nos da la enciclopedia wikipedia que nos dice: La firma es una palabra, o
pequeño mensaje o dibujo, que tiene como fin identificar y asegurar o autentificar la identidad de un autor o
remitente, o como una prueba del consentimiento y/o de verificación de la integridad y aprobación de la
información contenida en un documento o similar.[2]
VERIFICACIÓN DE LA FIRMA
En el caso de la firma manuscrita la verificación se realiza a través de un grafólogo o perito grafotécnico además
postula que puede analizar determinados rasgos de la personalidad de un individuo.
En el caso de la firma digital la verificación se realiza a través de los certificados digitales, específicamente con la
clave pública del firmante; también se verifica la inalterabilidad del documento.
2. FIRMA ELECTRÓNICA
Antes de analizar la firma digital (especie) debemos analizar el género que es la firma electrónica. La firma
electrónica es el conjunto de datos en forma electrónica, consignados junto a otros asociados con ellos, que
pueden ser utilizados como medio de identificación del firmante. [3]
Tipos de firma electrónica:
a) Que básicamente identifican al firmante: PIN y Biométrica
b) Firma Digital, que identifican al firmante y garantizan la integridad del mensaje.
PIN, Personal Identification Number , Número de Identificación Personal, consiste en el uso de una contraseña
(que puede ser número, letras o una combinación de éstas). Utilizado en los correos electrónicos, en los cajeros,
etc.
Cumple la función de una firma que es identificar al firmante, aunque no garantiza la integridad del mensaje. Por
ejemplo si recibo un correo de Juan Pérez, tengo “seguridad” de que es él quien me ha enviado dicho mensaje,
lógicamente la autenticidad de la identidad de Juan Pérez es no es tan segura. Asimismo tampoco tengo garantía
de que el mensaje no ha sido modificado.
Cabe resaltar que dicha seguridad básicamente se basa en la confianza. En caso de los Bancos el tema es más
delicado ya que mi contraseña puede ser conocida por los empleados del Banco quienes podrían suplantar
indebidamente mi identidad.
FIRMA BIOMÉTRICA
Es aquella firma que identifica a una persona a través de rasgos de la persona como su huella dactilar, el iris, su
voz, etc. Estos deben haber sido previamente digitalizados es decir convertidos en 0 y 1.
FIRMA DIGITAL
Es aquella firma electrónica que utiliza la criptografía asimétrica. En la firma digital intervienen una serie de
factores técnicos y jurídicos, tales como la versión de criptografía, entidad de certificación, hardware de firma,
medio donde se almacena el certificado digital, validez, duración de la firma, entre otros factores por lo que cabría
llamar sistema de firma digital.
Por otro lado el mismo diccionario nos dice que firma digital es la Información cifrada que identifica al autor de
un documento electrónico.[4]
Asimismo la enciclopedia wikipedia nos dice que: Firma digital es una tecnología que produce los mismos efectos
jurídicos que la "firma autógrafa" de un documento físico, siendo también admisible como prueba en juicio, en
función de la legislación de cada país. Esta tecnología se basa en la criptografía. Mediante unos mecanismos
criptográficos, se lleva a cabo la firma y la posterior confirmación y validación de dicha firma. [5]
3. LEGISLACIÓN
La Ley Modelo sobre las Firmas electrónicas, de la comisión de las naciones unidas para el Derecho Mercantil
Internacional – UNCITRAL [6] nos brinda unas definiciones que han sido tomadas por muchas legislaciones.
Artículo 2. Definiciones
Para los fines de la presente Ley:
a) Por “firma electrónica” se entenderán los datos en forma electrónica consignados en un mensaje de datos, o
adjuntados o lógicamente asociados al mismo que puedan ser utilizados para identificar al firmante en relación
con el mensaje de datos e indicar que el firmante aprueba la información contenida en el mensaje de datos;
Aquí se puede apreciar dos funciones básicas de la firma: identificar al firmante y que éste apruebe el contenido
del documento firmado.
b) Por “certificado” se entenderá todo mensaje de datos u otro registro que confirme el vínculo entre un firmante
y los datos de creación de la firma;
El certificado, relacionado a la firma digital sirve para verificar la autenticidad de la firma.
c) Por “mensaje de datos” se entenderá la información generada, enviada, recibida o archivada por medios
electrónicos, ópticos o similares, como pudieran ser, entre otros, el intercambio electrónico de datos (EDI), el
correo electrónico, el telegrama, el télex o el telefax;
Cabe resaltar que la ley modelo incluye como mensaje de datos al telefax, en el que no interviene un medio
informático.
d) Por “firmante” se entenderá la persona que posee los datos de creación de la firma y que actúa en nombre
propio o de la persona a la que representa;
El firmante puede actuar en representación de una persona jurídica.
e) Por “prestador de servicios de certificación” se entenderá la persona que expide certificados y puede prestar
otros servicios relacionados con las firmas electrónicas;
La ley en este caso se refiere a las entidades o autoridades de certificación.
f) Por “parte que confía” se entenderá la persona que pueda actuar sobre la base de un certificado o de una firma
electrónica.
Se refiere a la alta seguridad que ofrece la firma digital por lo que los terceros pueden confiar en dicho medio.
4. Un aspecto muy importante de esta directiva es el art. 6 que dice:
Artículo 6. Cumplimiento del requisito de firma
1) Cuando la ley exija la firma de una persona, ese requisito quedará cumplido en relación con un mensaje de
datos si se utiliza una firma electrónica que, a la luz de todas las circunstancias del caso, incluido cualquier acuerdo
aplicable, sea tan fiable como resulte apropiado a los fines para los cuales se generó o comunicó ese mensaje.
Este artículo es importante por cuanto nos dice que ante cualquier ley
[7]
(ya que no hace distinción) podemos
donde se exija la firma (se entiende manuscrita) se puede utilizar en su reemplazo la firma electrónica.
PERÚ
Ley 27269 http://www2.congreso.gob.pe/ccd/leyes/cronos/2000/ley27269.htm
DECRETO SUPREMO N° 052-2008-PCM 18 AGOSTO DE 2008, Reglamento de la Ley de Firmas y
Certificados Digitales, http://www.scribd.com/doc/4022337/DS-0522008PCM
Modifican el art. 11 de la ley 27269
http://www.hfernandezdelpech.com.ar/LegislacionYproExtIPERULey27310.htm
Indecopi nos dice que la firma digital es:
"una herramienta tecnológica que permite garantizar la autoría e integridad de los documentos digitales,
posibilitando que éstos gocen de una característica que únicamente era propia de los documentos en papel.Una
firma digital es un conjunto de datos asociados a un mensaje digital que permite garantizar la identidad del
firmante y la integridad del mensaje". http://www.indecopi.gob.pe/servicios-FirmaCerDigital-que-es.jsp
Al respecto podemos deducir que la firma tiene dos funciones básicas las cuales son:
- Otorgar certeza a los terceros sobre la autenticidad de la identidad del firmante, es decir existe seguridad de que
el autor apatente (quien dice ser) es realmente el autor del documento firmado.
- Garantizar la integridad del mensaje firmado, es decir que exista certeza de que el documento no ha sido
modificado. Aquí cabe aclarar que en realidad el documento podría ser modificado por un Hacker, pero el sistema
de firma digital alertará de que el documento ha sido modificado, aun dicha modificación sea insignificante (por
ejmplo una coma, un espacio, una tilde, etc) invalidando la validez y eficacia de la firma.
Más adelante Indecopi refiere: "La firma digital no implica asegurar la confidencialidad del mensaje; un
documento firmado digitalmente puede ser visualizado por otras personas, al igual que cuando se firma
holográficamente" ibidem
5. Este aspecto es muy importante por cuanto se decía que la firma digital garantizaba la confidencialidad, cuando
como podemos analizar la firma en general tiene como función básica otorgar certeza de la autenticidad del
firmante y garantizar que el documento no ha haya sido alterado; pero no es función de la firma garantizar la
confidencialidad; por ejmplo yo podría firmar un documento independeinte si icho documento lo va a leer una
persona o varias, la confidencialidad entra en el camp de la privacidad y de las medidas de seguridad que se
otorguen.
Por último la definción de Indecopi nos dice: "La firma digital es un instrumento con características técnicas y
normativas, ésto significa que existen procedimientos técnicos que permiten la creación y verificación de firmas
digitales, y existen documentos normativos que respaldan el valor legal que dichas firmas poseen". ibidem
Asi es existe con respecto al sistema de firma digital dos aspectos o caratcterísitcas muy importes.
Aspecto Técnico - Que incluye básicamente el uso de la criptografía asimétrica, es decir el uso de dos claves muy
complejas y seguras relacionadas matemáticamente entre sí.
Aspecto Jurídico - Es muy importante por cuanto a través de la ley la firma digital va a tener la misma validez y la
eficacia jurídica que la firma manuscrita.
Para firmar digitalmente se requiere:
1 - Tener un certificado digital, ello es fundamentel por cuanto en el certificado digital está incorporado la clave
secreta que se utiliza para firmar digitalmente. Esta clave es completamente segura (aunque nada es ciento por
ciento seguro) sin embargo ofrece un alto grado de seguridad. El certificado digital es un documento electrónico
que contiene la clave privada, la clave pública, datos personales, la firma digital de la entidad que otorga los
certificados digitales, la videncia del certificado, entre otros datos relevantes almacenados en soporte electrónico
tal como un USB, un chip etc.
Analizaremos las definiciones que Indecopi publica en su página web: http://www.indecopi.gob.pe/destacadoreglamentos-firmaDigital-preg-frec.jsp
¿Qué es, pues, la criptografía asimétrica?
6. La criptografía es un arte mediante el cual un mensaje legible es convertido en un texto incomprensible y después
devuelto a su forma original.
Al respecto podemos deicr que la criptografía es parte de la criptología
Criptología:
- Criptografía, disciplina que estudia el cifrado y descifrado de mensajes utilizando claves simétrica o asimétricas
- Criptoanálisis, estudia el descifrado de mensajes sin conocer la clave de encriptación, esta ténica es utilizada por
los llamados hacker o crakers, a través de lo que se denomina la fuerza bruta. Así por ejemplo cuando deseamos
abrir un candado que tiene un sistema de seguridad con claves de dos cifras: Si no conocemos la clave no
podemos abrir el candado, entonces empezamos a utilizar la "fuerza bruta", tanteamos con todas las posibilidades,
empezamos con el 00, 01, 02... y asi sucesivamente hasta dar con la clave de acceso.
La Criptografía se divide a su vez en:
Criptografía Simétrica
Es aquella que se utiliza cuando un mensaje ha sido ocultado, cifrado o encriptado (palabras que podemos
considerlas con el mismo significado) utilizando una determinada clave y utilizando la misma clave podemos
abrir, descifrar o desencriptar un mensaje.
Criptografía Asimétrica
Es aquella que se utiliza para cifrar el mensaje con una clave pública o privada y descifrar el mismo mensaje con
una clave privada o publica respectivamente. Es decir con una clave pública puedo descifrar un mensaje que ha
sido encriptado con una clave privada y viciversa, con una clave privada puedo descifrar un mensaje que ha sido
encriptado con una clave pública.
El secreto está en que estas claves publicas y privadas están matemáticamente realacionadas entre si, de tal manera
que forman una pareja única que se utiliza para cifrar y descifrar mensajes.
La firma digital utiliza la criptografía asimétrica.
Indecopi nos da el ejemplo siguiente sobre criptografía simétrica:
Consideremos, por ejemplo, el texto siguiente, redactado (ficticiamente) por el general Wellesley: “Blucher,
mañana al alba atacaremos a Bonaparte en Waterloo” A este texto le aplicaremos una clave muy sencilla: cada
letra será reemplazada por la letra que le precede en el abecedario (y la “a” por la “z”). El resultado es: “Aktbgdq,
lznzmz zk zkaz zszbzqdlñr z Añmzozqsd dm Vzsdqkññ”
7. Obviamente esta clave es un mero juguete, pues si Napoleón (el enemigo) capturase al mensajero y leyera el
mensaje, una de las primeras ideas que le vendría a la mente sería la de reemplazar cada letra por la que le sigue en
el abecedario y obtendría el texto legible original. Sin embargo, una clave mucho más complicada y previamente
elaborada entre Blucher y Wellesley podría resistir el análisis de Napoleón, sobre todo teniendo en cuenta que
(aunque no lo sepa) sólo dispone de una noche para poder descifrarla antes que los ejércitos aliados le caigan
encima.
Este que dimos es un ejemplo de “criptografía simétrica”. Aplicando una clave sobre un texto, se le convierte en
incomprensible, y volviendo a aplicarla (pero en sentido simétricamente inverso) el texto incomprensible recupera
su legibilidad.
Pero, naturalmente, Wellesley y Blucher necesitan haber convenido previamente la clave común. ¿Qué sucede
cuando las circunstancias no permiten eso?
La respuesta es la “criptografía asimétrica”. Es una modalidad del arte criptográfico que, a diferencia del método
simétrico tradicional, no utiliza la misma clave para cifrar y descifrar un mensaje sino que utiliza dos claves
diferentes: una para cifrar el mensaje y otra (que no es la “inversión” de la primera) para descifrarlo.
También se le llama “criptografía de clave pública” porque sólo una de estas claves es privada y secreta. La otra es
necesariamente de conocimiento público. La explicación de por qué las cosas son así la daremos más adelante.
Otro ejemplo de criptografía simétrica es la utilización de la clave por ejemplo quinceaños
Asi:
Clave simétrica: quinceaños=0123456789
quinceaños=
0123456789
8. Es decir q=0, u=1, i=2 , etc.
Texto el texto claro
: Quiero comprar un kilo de chuño
El texto cifrado con la clave sería : 0125r8 48mpr6r 13 k2l8 d5 4h178
Para descifrar este texto debemos : Quiero comprar un kilo de chuño
Emplear la misma clave y obtendríamos
lo siguiente:
Podemos emplear otros tipos de claves
VENTAJAS Y DESVENTAJAS DE LA CRIPTOGRAFÍA SIMÉTRICA
VENTAJAS
La criptografía simétrica es rápida
Su uso es sencillo y facil de utilizar
No se requiere programas informáticos
DESVENTAJAS
No es segura
Se debe compratir la clave
Para enviar mensaje con clave privada se requiere poseer muchas claves.
Asi por ejemplo:
A desea enviar un mensaje a B usando la criptografía simétrica.
a y B deben compartir la misma clave.
Si A desea enviar otro documento a C, entonces A debería emplear otra clave de cifrado ya que su clave solo
puede compartirla con una persona. Tendría que tener tantas claves como personas a quienes desea
enviar mensajes.
El hecho de compartir contraseñas hace inseguro el sistema
9. Las claves o contraseñas pueden ser interceptadas y conocidas por terceros con cierta facilidad.
Podemos referirnos a la inseguridad que presentan los Bancos con sus sistema de contraseñas, la contraseña que
utilizamos de hecho es conocida por ciertos empleados del Banco, que podrían utilizar la misma haciendose pasar
por nosotros. La seguridad de los Bancos es la utilización de certificados digitales de servidor, paa dotar de
seguridad a la web de los Bancos.
DESVENTAJAS DE LA CRIPTOGRAFÍA ASIMÉTRICA
Es más lenta que la criptografía simétrica
Requiere el uso de hardware y software, aunque ahora el sistema se ve facilitado por el uso del DNI electrónico e
incluso de los teléfonos celulares.
Es un dispositivo que puede perderse y ser utuilizado por otro persona, para evitar ello debe utilizarse un PIN
cada vez que deseo activar el sistema de frima digital
VENTAJAS
Es muy seguro
Brinda seguridad técnica y por ende jurídica
La persona no requiere compartir su clave privada con nadie
Basta que cada persona tenga dos claves (una pública y otra privada)
CERTIFICADO DIGITAL
Un Certificado Digital es el equivalente electrónico a un Documento de Identidad. El Certificado Digital asocia
una clave criptografica a una identidad, de tal forma que esta quede feacientemente ligada a los documentos
electronicos sobre la que se aplica.
Un Certificado sirve para:
Autentificar la identidad del usuario, de forma electrónica, ante terceros.
Firmar digitalmente de forma que se garantice la integridad de los datos trasmitidos y su procedencia.
10. Cifrar datos para que sólo el destinatario del documento pueda acceder a su contenido.
El uso de un certificado nos garantiza:
1) La identidad del emisor y del receptor de la información (autentificación de las partes)
2) Que el mensaje no ha sido manipulado durante el envío (integridad de la transacción)
3) Que sólo emisor y receptor vean la información (confidencialidad)
4) Que el titular de un mensaje no pueda negar que efectivamente lo firmó (no-repudio)
¿Qué elementos contiene un Certificado Digital?
- La identidad del titular.
- La clave publica del titular.
- Datos propios del certificado: número de serie, fecha de caducidad…
- La identidad de la autoridad de certificación que lo ha emitido
- La firma de la autoridad de certificación.
¿Quién interviene en el proceso de la emisión de un certificado?
FIRMA DIGITAL A TRAVÉS DEL MÓVIL
Se
muestra
como
se
puede
irma
digitalmente
usando
el
DNI
electrónico
y
el
celular.
http://www.youtube.com/watch?v=h1QCvoeP2ck
Sobre los 4 aspectos que garantiza la criptografía asimétrica
Autenticidad de la autoriía del mensaje, integridad del mensaje, no repudio y la confidencialidad, esta última se
logra cuando ambos (emisor y receptor) utilizan clave pública y privada. Cabe resaltar que en el caso de la firma
digital, basta con que uno de ellos tenga clave pública y privada, el receptor puede no tener dichas claves, pero si
podrá saber. la autenticidad de la firma, la integridad del mesnaje y la garantía que el emisor no repudio el
mensaje.http://www.youtube.com/watch?v=MMStHT82cyI
11. [1]
Disponible en www.rae.es
[2]
Disponible en http://es.wikipedia.org/wiki/Firma
[3]
García Más , Francisco Javier, Comercio y firma electrónicos: análisis jurídico de los servicios de la sociedad de
la información, 2da edición, autor, 2004 pág.32
Libro disponible a texto completo
en http://books.google.com.pe/books?id=1JtU5F025IYC&printsec=frontcover&source=gbs_summary_r&cad
=0
[4]
Disponible en http://ww.rae.es
[5]
Disponible en http://es.wikipedia.org/wiki/Firma
[6]
Disponible
en http://www.uncitral.org/uncitral/es/uncitral_texts/electronic_commerce/2001Model_signatures.
html
[7]
Debemos entender en principio de carácter comercial, pudiendo ampliarse a una de carácter civil patrimonial e
incluso consideramos que no hay razón, dado los avances de la tecnología, a ampliar su aplicación a otros ámbitos
civiles no patrimoniales e incluso administrativos, lo que desarrollaría en gobierno electrónico.