1 tecnología y mercados de valores cifrado y firma electrónica: la implantación en españa celia...
TRANSCRIPT
1
Tecnología y Mercados de ValoresTecnología y Mercados de Valores
Cifrado y Firma Electrónica: la Cifrado y Firma Electrónica: la Implantación en EspañaImplantación en España
Celia Tenés García
Dirección General del Tesoro y Política Financiera
2
Indice
ENTORNO TECNÓLÓGICO ENTIDADES DE CERTIFICACIÓN ESPAÑOLAS MARCO JURÍDICO APLICACIÓN DE LA FIRMA ELECTRÓNICA INICIATIVAS ACTUALES
3
Entorno Tecnológico
Comunicación: puntos débiles
Línea: lectura/modific.
Extremo 2: suplantación
Extremo 1: suplantación
Cifrado: datos ininteligibles
4$%&32!”·$%%&
Firma electrónica: solo
un poseedor
Clave privada
Firma electrónica: solo
un poseedor
Clave privada
Claves públicas E1 y E2
4
Entorno Tecnológico Firma electrónica Firma manuscrita
formato electrónico formato papel asociado a datos electrónicos asociada a datos en papel autenticación autenticidad
Protocolos: SSL, X.509, S/MIME
Clave privada
Clave pública
cifrado
Clave pública
firmado
Clave privada
$%&/
$”/() $%&/
$”/() $%&/
$”/()
Texto cifrado
Texto en claro
Texto originalFirma digital del documento
154782
248759
5
Entorno Tecnológico
Certificado digital Una o más parejas de claves que autentican la relación de una clave pública con un
participante objetivos
• garantizar la identidad de una persona cuando actúa a través de una red y no hay presencia física características
• emisor del certificado
• receptor
• fecha emisión
• caducidad
• fin para el que se genera el certificado soporte
• disco duro
• diskette
• tarjeta inteligente
• tarjeta inteligente con características biométricas
6
Entorno Tecnológico
Entidad de certificación: organización que expide el certificado Política de certificación
• definición del tipo de certificados: personales, empresa, …• distribución del certificado: mano, correo, sw..• gestión interna: entorno tecnológico, almacenamiento, acceso• revocación: caducidad, anulación,..• conservación de los certificados: forma y tiempo• procedimientos de renovación: personal, sw,...• acuerdos con otras CA
Entidad de registro: recoge la solicitud Política de registro
• forma de solicitud• presencia física• horarios
7
Entorno Tecnológico
Requerimientos técnicos para la emisión del certificado Sw RA: recoger datos personales y generar la petición en el sistema informático: ftp,
Internet, etc. Sw CA: gestión de los certificados: librerías claves, caducidad, renovación, etc. Sw API con las aplicaciones que harán uso de los certificados
Alternativas Misma organización Organizaciones separadas
• delegación del registro• delegación de la certificación• delegación de la gestión de los SI
Combinaciones de ambas
Cómo Adquisición a externos <-> Desarrollo propio
8
InternetFireWall
Navegadorsw certificaciónLectorTarjeta i.
Servidor web
Servidor CA-RA
Servidores aplicaciones y BD
Entorno tecnológico
Infraestructura
9
Entidades de Certificación Españolas
Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda y Correos y Telégrafos: proyecto CERES
RD 1290/1999 de 23 de Julio desarrolla la Ley 66/1997 artículo 81 RDL 14/1999 de 17 de septiembre sobre firma electrónica Ley 55/99 de 29 de diciembre sobre medidas fiscales, administrativas y del orden
social. Artículo 51.• Establecer una entidad pública de certificación que permita autentificar y garantizar la
confidencialidad de las comunicaciones entre los ciudadanos y la Administración Pública a través de las redes abiertas de comunicaciones. Para OOPP con medios de comunicación electrónicos o telemáticos
Registro: Correos y Telégrafos CA FNMT-RCM : totalmente operativa Desarrollo: “time-stamping”
www.cert.fnmt.es
10
ADMINISTRACIÓN PÚBLICA
PIN
tarjeta
UNIDAD DE REGISTRO
Cobertura legal: Real Decreto-Ley 14/1999, de 17 de diciembre, sobre firma electrónica. El artículo 3.1 de este texto legal afirma que “la firma electrónica avanzada, siempre que esté basada en un certificado reconocido y que haya sido producida por un dispositivo seguro de creación de firma tendrá, respecto de los datos consignados en forma electrónica, el mismo valor jurídico que la firma manuscrita en relación con los consignados en papel y será admisible como prueba en juicio…”
UNIDAD DE CERTIFICACIÓN
FNMT
Entidades de Certificación Españolas. CERES
11
Entidades de Certificación Españolas
ACE Creada en Mayo-97
– Telefónica 40%– CECA 20%– 4B 20%– Sermepa 20%
• www.ace.es
FESTE Fundación para el Estudio de la Seguridad de las Telecomunicaciones
– Consejo General del Notariado de España– Consejo General de los Colegios Corredores de Comercio de España– Universidad de Zaragoza– Intercomputer SA
• www.feste.org
12
Entidades de Certificación Españolas
Colegio de Registradores Mercantiles y de la Propiedad– Acuerdo con FNMT-RCM
– Para usuarios en representación de una empresa
– Conexión de la CA con los Registros
– Operaciones referentes a los Registros de forma remota
Camerfirma– servicio de certificación digital de las Cámaras de Comercio
– promoción comercio en general, incluido e-c
– solo empresas: valor añadido
– tarjeta física
– RA: Cámaras 85 Cámaras y 150 puntos de atención
– CA: Consejo Superior de Cámaras
– 2 tipos certificados: con poderes y sin poderes
– certificados de servidor seguro
– 3 fase: fines enero; fines marzo resto 2000
– acuerdos internacionales
– www.camerfirma.es
13
Marco Jurídico
Real Decreto-Ley 14/1999, de 17 de septiembre, sobre firma electrónica
firma electrónica avanzada -> mismo valor jurídico que la firma manuscrita firma electrónica no avanzada -> no se le negarán efectos no será excluida
como prueba en juicio Distinción: en base al soporte: tarjeta inteligente claves + algoritmo registro de prestadores de servicios validez 4 años garantías
Directiva 1999/93/CE del Parlamento Europeo y del Consejo de 13 de diciembre de 1999 por la que se establece un marco comunitario para la firma electrónica
14
Marco jurídico
Real Decreto-Ley 14/1999, de 17 de septiembre, sobre firma electrónica Artículo 2.b.- firma electrónica avanzada. Es la firma electrónica que permite la
identificación del signatario y ha sido creada por medios que éste mantienen bajo su exclusivo control, de manera que está vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación de estos
Artículo 2.f.- dispositivo seguro de creación de firma. Artículo 19.exige:
• 1. que los datos puedan producirse solo una vez y que se asegure razonablemente su secreto
• 2. seguridad razonable de que dichos datos no pueden ser derivados de los de verificación de firma
• 3. los datos de la firma puedan ser razonablemente protegidos por el signatario
• 4. el dispositivo no altere los datos o el documento a firmar ni impida que el documento se muestre al signatario
15
Marco Jurídico
Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal
RD 994/1999 de 11 de junio por el que se aprueba el reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal
artículo 4• nivel básico: datos carácter personal• nivel medio: c p + infracciones adtvas., penales, Hac. Pública, etc.• nivel alto: ideología, creencias, origen racial, etc.• básico + medio: identificación y autentificación de usuario con acceso a
los ficheros• alto: además, cifrado de datos en transmisión telemática
16
Marco Jurídico
Orden de 21 de Febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica
Solicitud a la Secretaría General de Comunicaciones. Ministerio de Fomento
Solicitud a la entidad de evaluación de informe preceptivo• Entidad Nacional de Acreditación autoriza a las entidades de evaluación
6 meses con silencio positivo La entidad de certificación está obligada a mantener en todo momento el
nivel de seguridad por el que obtuvo el certificado 4 años exige renovación con nuevo informe ent. ev. Extinción: fin plazo, renuncia, cese actividad CA
17
Marco Jurídico
Real decreto 1906/1999, de 17 de diciembre, por el que se regula la contratación telefónica o electrónica con condiciones generales en desarrollo del artículo 5.3 de la Ley 7/1998, de 13 de abril, de condiciones generales de contratación.
18
Aplicación de la firma electrónica
Objetivos de negocio: siempre presentes mejora competitividad frente a competidores aumenta el servicio ofrecido a clientes: plazos y calidad disminuye costes mejora los intercambios business-to-business: intercambios normalizados de
documentos con proveedores o entidades financieras aprovecha conexiones tecnológicas existentes operativas: integración instantánea en aplicaciones contables, financieras, etc.
Objetivos de seguridad esencial en el e-commerce mercado avanza hacia entornos más seguros problema: confianza de los clientes, freno avance protección de movimientos de capitales elevados por la red
19
Aplicación de la firma electrónica
Características seguridad: razones para cifrar y firmar Autentificación o identificación: clave privada Integridad: firma con clave privada Confidencialidad: cifrado No repudio: garantiza la identidad
Usuario + clave: insuficiente no
identifican plenamente al usuario
Certificado y firma electrónica
Incorporación caract. biométricas
20
Aplicación de la firma electrónica
Areas pedidos: ahorro 10%-50% gestión; 50%-95% tiempo procesos almacén: 25% costes de almacenaje distribución: 50% costes distribución hasta el 90% sw por la red gestión interna: 60% inversión en inmovilizado AAPP: tasas, impuestos, certificados, notas oficiales, renovación de documentos, correo
oficial, expedientes,... seguridad en Intranet e-mail seguro: identidad en integridad, confidencialidad transacciones comerciales: firma y cifrado de contratos on-line
• empresa-cliente• empresa-empresa
protección de ficheros: cifrado y firma firma de sw para distribución autenticación servidores web
21
Iniciativas actuales
Informaket• Generalitat Valenciana + Consejo Superior Cámaras de Comercio valencianas• dirigido a empresas para e-comerce o e-business to business• servidor e-mail seguro• transacciones electrónicas• telefinanzas• tarjeta inteligente• www.informaket.org
ADRIANO• securización de procesos judiciales• jueces y secretarios de juzgado• intercambio de información entre juzgados con la máxima seguridad• jueces y secretarios: firman doc judiciales; cifran doc. confidenciales
22
Iniciativas actuales
Banca Gran número ofrecen Banca on-line: Banesto, Bankinter, BBA,... Banco Sabadell: InfoBancNet
• banca virtual para empresas• realización de transacciones entre empresas en Internet• servicios de Banca:
– consulta de saldo
– movimientos, transferencias en tiempo real
– líneas de descuento
– créditos, financiación, etc.
– compra/venta de Bolsa y fondos de inversión y pensiones
• certificado X.509 + tarjeta• www.bancsabadell.com/empresa• solicita en las oficinas BS: entrega tarjeta y contrato
23
Iniciativas actuales CERES
AYUNTAMIENTOS• Ayuntamiento de Sabadell: Pago del padrón de vehículo y vados,
conjuntamente con el Banco de Sabadell.
• Ayuntamiento de Gijón: Remisión de escritos o solicitudes para registro de entrada. Correo electrónico, interno y externo. Solicitud de volantes/certificados del Padrón de Habitantes.
COMUNIDADES AUTÓNOMAS• Xunta de Galicia: Tramitación de expedientes de casas regionales para
petición de subvenciones. Licencias de caza y pesca. Tramitación de los partes de accidentes que remiten las mutuas patronales. Consulta on-line de las empresas que colaboran con la Xunta para ver su situación en el registro.
• Gobierno Canario: Solicitud de licencias de explotación de máquinas recreativas a través de Web.
24
Iniciativas actuales CERES
DIPUTACIONES PROVINCIALES• Diputación de A Coruña: Acceso seguro al Registro Oficial de
documentación de Contratistas. Mensajería electrónica segura.
MINISTERIOS• Ministerio de Economía y Hacienda: • Agencia Tributaria para declaración de la renta a través de Internet. Solicitado
certificados y presentado declaraciones desde todos los puntos de España, y los más diversos colectivos.– 1999 se solicitaron más de 30.000 certificados
– se utilizaron de forma efectiva más de 15.000,
– entregándose más de 21.000 declaraciones
– Abril-Mayo1999 más de 140.000 accesos a la página web que la FNMT-RCM para obtener el certificado necesario para la entrega de la declaración, contestándose más de 2.200 correos electrónicos.
25
Iniciativas actuales CERES
MINISTERIOS
• Ministerio de Economía y Hacienda:
• Dirección General del Tesoro: Compra/Venta de Deuda Pública a través de la web.
• Ministerio de Industria y Energía: Securización del correo electrónico y web para la relación con los proveedores.
• Oficina Española de Patentes y Marcas: Presentación electrónica de órdenes de pago. Securización del acceso al registro de usuarios de la OEPM.
26
Tecnología y Mercados de ValoresTecnología y Mercados de Valores
Cifrado y Firma Electrónica: la Cifrado y Firma Electrónica: la Implantación en EspañaImplantación en España
Celia Tenés García
Dirección General del Tesoro y Política Financiera