UNIVERSIDAD TECNOLGICA DEL PER FACULTAD DE INGENIERIA DE SISTEMAS Y ELECTRONICA
FIRMA DIGITAL CERTIFICADO DIGITAL
Presentado por:
L CUBAS NUEZ EDWARD, ISAIAS L LOZANO CASTILLO, JOSE LUIS L MENEJES BALDEON, VICTOR CARLOS L PALPAN CALLUPE, ELICA L ROSALES CRUZ, RUBEN
LIMA-PER 2014
COMERCIO ELECTRONICO
FIRMA DIGITAL - CERTIFICADO DIGITAL Pgina 2
Indice: Firma Digital 1.Concepto.......................................................................................................................3 Qu valor legal tiene la firma digital?.................................................................4 Qu es la Infraestructura Oficial de Firma Digital?.............................................4 2.Las Aplicaciones de Firma..............................................................................................4 Qu funciones principales ofrece la firma electrnica?......................................6 Cules son los fundamentos de la firma electrnica?.........................................6 Cmo funciona la firma electrnica?..................................................................6 Qu funciones principales ofrece la firma electrnica?......................................7 Cules son los fundamentos de la firma electrnica?.........................................7 Cmo funciona la firma electrnica?..................................................................7 3.Certificado Digital..........................................................................................................8 Qu es un certificado digital?.............................................................................8 Cules son los estados en los que se puede encontrar un certificado?.............9 Qu tipos de certificados existen?....................................................................9 Cmo se utiliza la firma electrnica?...........................................................................10 Qu utilidad prctica tiene la firma electrnica?.........................................................10 Cmo puedo conseguir mi certificado digital para firmar electrnicamente?.............11 No tengo un Certificado Electrnico..............................................................................13 Cmo lo solicito? ..............................................................................................13
COMERCIO ELECTRONICO
FIRMA DIGITAL - CERTIFICADO DIGITAL Pgina 3
Firma Digital 1. Concepto.- La Firma Digital es aquella firma electrnica que utiliza una tcnica de criptografa asimtrica y que tiene la finalidad de asegurar la integridad del mensaje de datos a travs de un cdigo de verificacin, as como la vinculacin entre el titular de la firma digital y el mensaje de datos remitido.
Presunciones legales de las que goza la Firma Digital: Autenticidad.- Caracterstica que permite determinar la identidad de la persona que firma electrnicamente, en funcin del mensaje firmado por sta y al cual se le vincula teniendo, de esta manera, la certeza que ha sido enviada por su emisor. Integridad.- Caracterstica que indica que un mensaje de datos o un documento electrnico no han sido alterados desde la transmisin por el emisor hasta su recepcin por el destinatario. No repudio.- Caracterstica que implica que el titular de la firma digital no pueda desconocer o repudiar que ha enviado o escrito un mensaje de datos o documento, firmado digitalmente usando su clave privada. Confidencialidad.- Caracterstica que indica que el mensaje de datos nicamente ser recibido y ledo nicamente por el destinatario.
COMERCIO ELECTRONICO
FIRMA DIGITAL - CERTIFICADO DIGITAL Pgina 4
Qu valor legal tiene la firma digital? De conformidad con la legislacin nacional sobre la materia y en virtud del principio de equivalencia funcional se entiende que la firma digital tiene la misma validez o eficacia jurdica que la firma manuscrita siempre y cuando sean acreditadas o reconocidas por la Autoridad Administrativa Competente. Es decir, que para que un documento firmado digitalmente goce de este principio de equivalencia funcional, se requiere que el certificado digital del firmante haya sido emitido por una entidad que cuente con acreditacin y reconocimiento como tal ante la Autoridad Administrativa Competente. Qu es la Infraestructura Oficial de Firma Digital? De acuerdo a lo que establece el Reglamento de la Ley de Firmas y Certificados Digitales, se denomina 'Infraestructura de Firma Digital' al sistema confiable, acreditado, regulado y supervisado por la Autoridad Administrativa Competente, conformado por un conjunto de leyes, normativa legal complementaria, equipos, hardware, software, bases de datos, redes, estndares tecnolgicos, procesos y procedimientos de seguridad que permiten que distintas entidades (individuos u organizaciones) se identifiquen entre s de manera segura al realizar transacciones en redes (por ejemplo, Internet). En trminos prcticos esta definicin es conocida mundialmente con las siglas PKI que significan Public Key Infraestructure o Infraestructura de Clave Pblica.
2. Las Aplicaciones de Firma Las aplicaciones de Firma son los programas que permiten firmar un documento electrnico. Existen algunos programas de uso cotidiano, por ejemplo, Adobe Acrobat o Microsoft Word, que permiten firmar el mismo documento que se genera. Sin embargo, este tipo de firma tiene dos inconvenientes:
o No todos los programas que generan documentos son capaces tambin de firmarlos. COMERCIO ELECTRONICO
FIRMA DIGITAL - CERTIFICADO DIGITAL Pgina 5
o En general, el destinatario del documento firmado deber tener la misma aplicacin para ser capaz de verificar la firma.
Las herramientas o aplicaciones especficas de firma electrnica son capaces de firmar cualquier tipo de documento electrnico y ayudan a superar los inconvenientes anteriores. Adems se pueden descargar gratuitamente. A continuacin podemos encontrar tres aplicaciones de firma ofrecidas por la Administracin Pblica que ayudarn a firmar documentos. FirmaFcil: es una aplicacin de firma realizada por el Ministerio de Hacienda y Administraciones Pblicas. Su principal objetivo es ofrecer al usuario un sistema de firma en el que ste pueda firmar cualquier tipo de documento de manera sencilla. El usuario indica qu fichero quiere firmar y la aplicacin escoge automticamente el formato de firma qu debe aplicar, liberando as, al usuario de cualquier duda tcnica.
@Firma: realizada por el Ministerio de Hacienda y Administraciones Pblicas, es una aplicacin java instalable en cualquier sistema operativo. El Cliente @Firma es una aplicacin avanzada de firma que soporta la firma en mltiples formatos y permite la firma mltiple mediante la co-firma y la contra- firma. Para mayor flexibilidad, @Firma permite al usuario elegir el formato en el que desea firmar.
COMERCIO ELECTRONICO
FIRMA DIGITAL - CERTIFICADO DIGITAL Pgina 6
ecoFirma: realizada por el Ministerio de Industria, es una aplicacin de firma que permite generar y validar firmas electrnicas en formato XML XAdES.
Qu funciones principales ofrece la firma electrnica? Identificacin del firmante: la firma identifica al firmante de forma nica igual que su firma manuscrita. Integridad del contenido firmado: es posible verificar que los documentos firmados no hayan sido alterados por terceras partes. No repudio del firmante: un documento firmado electrnicamente no puede repudiarse por parte de su firmante. Cules son los fundamentos de la firma electrnica? La firma electrnica est basada en algoritmos criptogrficos asimtricos en los que son necesarias un par de claves para el intercambio de la informacin: una clave pblica y una clave privada. La clave privada se almacena en el equipo del emisor y solamente es conocida por l. La clave pblica es distribuida entre todos los posibles destinatarios de nuestros mensajes o documentos firmados. La clave pblica y la privada estn relacionadas de modo que lo que cifra una lo puede descifrar la otra. La clave privada debe ser secreta, la pblica no es necesario que lo sea. Cmo funciona la firma electrnica? En el proceso de firma electrnica de un documento, el emisor obtiene un resumen del mismo a travs de una funcin de Hash. Estas funciones son unidireccionales, aplicables a bloques de cualquier tamao y que siempre originan un resultado fijo y muy pequeo. La propiedad ms importante de ese resumen o Hash es que dos documentos diferentes siempre producen resmenes diferentes. COMERCIO ELECTRONICO
FIRMA DIGITAL - CERTIFICADO DIGITAL Pgina 7
Es imposible encontrar un documento alternativo que genere el mismo Hash. El resumen obtenido se cifra con la clave privada del firmante y se obtiene la firma electrnica del documento. El receptor del mensaje firmado utiliza la clave pblica para descifrar la firma, obtiene el resumen del documento recibido y comprueba que es igual que el resumen que le ha llegado cifrado en la firma electrnica. De esta forma se garantiza que el contenido del mensaje no ha sido manipulado. La firma electrnica, por si misma, no aporta confidencialidad al mensaje pero es habitual que los mensajes firmados electrnicamente se suelan enviar cifrados con la misma clave privada utilizada para mayor seguridad. Qu funciones principales ofrece la firma electrnica? o Identificacin del firmante: la firma identifica al firmante de forma nica igual que su firma manuscrita. o Integridad del contenido firmado: es posible verificar que los documentos firmados no hayan sido alterados por terceras partes. o No repudio del firmante: un documento firmado electrnicamente no puede repudiarse por parte de su firmante. Cules son los fundamentos de la firma electrnica? o La firma electrnica est basada en algoritmos criptogrficos asimtricos en los que son necesarias un par de claves para el intercambio de la informacin: una clave pblica y una clave privada. o La clave privada se almacena en el equipo del emisor y solamente es conocida por l. o La clave pblica es distribuida entre todos los posibles destinatarios de nuestros mensajes o documentos firmados. o La clave pblica y la privada estn relacionadas de modo que lo que cifra una lo puede descifrar la otra. La clave privada debe ser secreta, la pblica no es necesario que lo sea. Cmo funciona la firma electrnica? o En el proceso de firma electrnica de un documento, el emisor obtiene un resumen del mismo a travs de una funcin de Hash. o Estas funciones son unidireccionales, aplicables a bloques de cualquier tamao y que siempre originan un resultado fijo y muy pequeo. o La propiedad ms importante de ese resumen o Hash es que dos documentos diferentes siempre producen resmenes diferentes. o Es imposible encontrar un documento alternativo que genere el mismo Hash. o El resumen obtenido se cifra con la clave privada del firmante y se obtiene la firma electrnica del documento. COMERCIO ELECTRONICO
FIRMA DIGITAL - CERTIFICADO DIGITAL Pgina 8
o El receptor del mensaje firmado utiliza la clave pblica para descifrar la firma, obtiene el resumen del documento recibido y comprueba que es igual que el resumen que le ha llegado cifrado en la firma electrnica. o De esta forma se garantiza que el contenido del mensaje no ha sido manipulado. La firma electrnica, por si misma, no aporta confidencialidad al mensaje pero es habitual que los mensajes firmados electrnicamente se suelan enviar cifrados con la misma clave privada utilizada para mayor seguridad.
Esquema: Proceso de la Firma Digital 3. Certificado Digital.- Qu es un certificado digital? En Internet los certificados se utilizan para garantizar la seguridad en bancos, tiendas virtuales y otros sitios web donde se mueve informacin sensible. Todos los certificados que muestran estn firmados por una Autoridad de Certificacin reconocida. Estos investigadores han conseguido crear certificados que simulan estar firmados por alguna de estas Autoridades, y por tanto los navegadores los aceptan como vlidos. Es decir, el usuario piensa que est en un sitio web seguro porque se muestran toda la informacin que as lo indica: Podemos ver que la conexin es https (http seguro):
COMERCIO ELECTRONICO
FIRMA DIGITAL - CERTIFICADO DIGITAL Pgina 9
Permite autentificar y garantizar la confidencialidad de las comunicaciones entre ciudadanos, empresas u otras instituciones pblicas a travs de las redes abiertas de comunicacin. Se garantiza que nicamente el ciudadano puede acceder a la informacin, evitando suplantaciones. Para poder firmar digitalmente documentos es necesario disponer de un certificado digital. Un certificado es un documento electrnico que es expedido por una Autoridad de Certificacin y que identifica a una persona (fsica o jurdica) con un par de claves. La misin del certificado es, como su nombre indica, validar y certificar que una firma electrnica se corresponde con una persona o entidad concreta. Contiene la informacin necesaria para firmar digitalmente e identificar a su propietario. Entre otros datos que se incluyen en el certificado de usuario estn: nombre, NIF, algoritmo y claves de firma, fecha de expiracin y organismo que lo expide. La misin de la Autoridad de Certificacin es dar fe de que la firma electrnica se corresponde con un usuario concreto. Con el fin de cumplir esto las Autoridades de Certificacin deben mantener y proteger todos los datos de los certificados que expiden. Cules son los estados en los que se puede encontrar un certificado? Un certificado digital puede estar activo, expirado o revocado. Los certificados tienen un periodo de validez que habitualmente suele ser de tres aos, pero puede variaren funcin del certificado Tras ese periodo el certificado habr expirado y deber renovarse. Un certificado tambin puede revocarse dejando de ser vlido desde ese momento. Los motivos ms comunes de revocacin pueden ser que la clave privada se haya visto comprometida o el cambio de datos del firmante que van asociados al certificado. Existen Listas de Revocacin de Certificados (CRLs), firmadas y gestionadas por las Autoridades de Certificacin, que incluyen certificados revocados por ellas. Qu tipos de certificados existen? Personales: para autenticacin, firma y/o cifrado. Tambin se puede certificar atributos de la persona (extensiones), tales como rangos, roles. Servidor: para autenticacin, confidencialidad, integridad y/o cifrado. (VPN, servidores SSL...) Software (firma de cdigo): para autenticacin y/o integridad. Entidad: para autenticacin.
COMERCIO ELECTRONICO
FIRMA DIGITAL - CERTIFICADO DIGITAL Pgina 10
Cmo se utiliza la firma electrnica? La utilizacin de la firma electrnica es algo sencillo que no requiere de conocimientos especiales. Principalmente se basa en la instalacin de los certificados digitales en las aplicaciones que los vayan a utilizar. Este proceso es bastante sencillo y consiste en la importacin a fichero de los datos del certificado. Las aplicaciones ms comunes que utilizan la firma electrnica son el navegador y el cliente de correo electrnico. El receptor de la informacin deber confiar en el certificado digital del emisor para que pueda disponer de los datos de este. El nico dato que no ser trasmitido ser la clave privada que es el nico dato que compromete la seguridad. Esta es la razn por la que se pueden intercambiar certificados exportados sin la clave privada. Qu utilidad prctica tiene la firma electrnica? Aporta tres caractersticas en la comunicacin por Internet: identificacin del firmante, integridad de los datos y no repudio. Pero aparte de eso, las aplicaciones prcticas de la misma son muchas y variadas. En general estn orientadas a realizar operaciones por Internet que en la vida cotidiana requieren de una firma para validarlas. Algunos ejemplos de operaciones que se pueden realizar actualmente haciendo uso de la firma digital son: Realizacin de la Declaracin de la Renta a travs de Internet Recepcin y envo de documentos con las Administraciones Central, Autonmica y Local.
COMERCIO ELECTRONICO
FIRMA DIGITAL - CERTIFICADO DIGITAL Pgina 11
Firma de correos electrnicos. Firma de facturas electrnicas.
Cmo puedo conseguir mi certificado digital para firmar electrnicamente? Los cuatro pasos a realizar para solicitar por primera vez el DNI electrnico y, por tanto los certificados digitales de usuario asociados, que entre otras cosas permiten firmar documentos electrnicamente, son los siguientes: El ciudadano que deber acudir a una Oficina de Expedicin del DNI. Ser imprescindible la presencia fsica de la persona a quien se haya de expedir, el abono de la tasa pertinente y la presentacin de los documentos necesarios. La entrega del DNI electrnico y de los certificados asociados se realizar personalmente a su titular en la misma jornada en que solicite su expedicin. Finalmente se realiza la personalizacin lgica con la carga de datos en el chip de la tarjeta soporte. La generacin de claves se realizar, en la tarjeta y en presencia del titular, tras la habilitacin de un PIN aleatorio que se entrega en un sobre ciego. Para ms informacin acerca del proceso de expedicin de DNI electrnico puede consultar:
Tambin la Fbrica Nacional de Moneda y Timbre (FNMT) pone a disposicin de todos los ciudadanos la posibilidad de solicitar un certificado de usuario.
La solicitud de este certificado se divide en tres pasos:
Solicitud del certificado a travs de Internet Acreditacin de la identidad en una Oficina de Registro Descarga del certificado de usuario desde el sitio Web de la FNMT
Todos estos pasos estn convenientemente detallados en el siguiente enlace de la FNMT:
La siguiente lista incluye los principales prestadores que emiten Certificados Digitales:
ENTIDADES PRESTADORAS DE CERTIFICADOS DIGITALES FNMT-Ceres
ACCV
ACA
ANCERT
ANF
CATCert
Camerfirma
EDICOM
Firma Profesional
GISS
IZENPE
SCR
COMERCIO ELECTRONICO
FIRMA DIGITAL - CERTIFICADO DIGITAL Pgina 13
No tengo un Certificado Electrnico Cmo lo solicito? Solicitar un Certificado El proceso es muy fcil. Slo tienes que seguir estos sencillos pasos en el orden indicado. Aunque debes tener en cuenta los pasos exigidos por cada Autoridad Certificadora, la solicitud del Certificado Digital consiste en estos sencillos pasos: Solicita online el Certificado Digital para empresa: Al final del proceso de solicitud, obtendrs un cdigo que debers presentar al acreditar tu identidad.
Visita presencial en una Oficina de Registro Debers presentarte fsicamente en una oficina de registro por razones de seguridad del sistema. Si has solicitado un Certificado para empresa (o de entidad sin personalidad jurdica) para el mbito tributario, debes dirigirte a las Oficinas de Registro de la Agencia Tributaria.
Descarga del Certificado de Usuario. Una vez realizado el registro presencial y con la ayuda del cdigo obtenido en el primer paso, podrs descargar el Certificado va Internet.
Es recomendable hacer una copia de seguridad del Certificado.