“consideraciones legales y técnicas para el funcionamiento de las autoridades certificadoras”...
TRANSCRIPT
““Consideraciones legales y Consideraciones legales y técnicas para el técnicas para el funcionamiento de las funcionamiento de las Autoridades Certificadoras”Autoridades Certificadoras”
Identiga Karto S.A.15 de noviembre de 2005
¿Qué es una Autoridad de Certificación o
Certificador?
“Se entenderá como certificador la persona jurídica pública o privada, nacional o extranjera, que emite certificados digitales y está debidamente autorizada según esta Ley”
Artículo 18
Los Certificadores son un componentedel sistema de Firma Digital
Del mundo físico al mundo digital … y su impacto en el
sistema de firma.
¿Cuándo es que ustedes realizan una transacción?
¿Qué mecanismos se utilizan para garantizar esa transacción?
¿Qué se requiere para realizar una transacción?
¿Por qué se realiza una transacción en el mundo físico?
Algunos ejemplos del mundo físico:
Mayor validezFecha cierta o inscripción
Identificación
Cédula
Conoce una
persona
Documentosy requisitos
Copia del documentoO dos “originales”
Recibo
Algunos ejemplos del mundo físico:
IdentificaInstitución
Realiza una transacción
Se identifica
Verifica la firma
Usuario
Existe un nivel mínimo de confianza en las instituciones y las personas
Seguridad jurídica y técnica
…al momento de realizar todo tipo de transacciones.
Transacciones utilizando documentos
“Un documento es una información que ha sido
producida o recibida en la ejecución, realización o término de una actividad institucional o
personal y que engloba el contenido, el contexto y la
estructura permitiendo probar la existencia de esa actividad”*
*Directriz Archivo Nacional.
Virtud: Independiente del soporte
Pero…
“Documentos”
Mundo pensado en “soporte” papel
“Por escrito, original firmado, sellado y firmado” “Contrato, triplicado, para inscribir”
Legislación pensada en “soporte” papel
Documento electrónico/digital no es igual al documento físico
¿Cómo es posible trasladar las transacciones del mundo físico al mundo
digital…
…y que tengan la misma validez que las transacciones en papel?
Traslado del mundo físico al mundo digital
Legislación o contrato
Equivalencia funcional
Documento firmado de “puño y letra”
Documento firmado digitalmente
Equivalencia funcional*
“El criterio de la equivalencia funcional se basa en un análisis de los objetivos y funciones del requisito tradicional de la presentación de un escrito consignado sobre papel con miras a determinar la manera de satisfacer sus objetivos y funciones con técnicas del llamado comercio electrónico”
*Según Ley Modelo UNCITRAL
Se busca evitar que la validez de los documentos electrónicos se supedite a su
reproducción en un medio físico.
“En cualquier norma del ordenamiento jurídico en la que se haga referencia a un
documento o comunicación, se entenderán de igual manera tanto los
electrónicos como los físicos.”Artículo 3
Mundo Físico
Relación entre el mundo físico y el mundo digital en los documentos, la firma y los certificados.
Documento
No repudio
Soporte papel
Autor
Vinculación Jurídica
Integridad
Lapicero + “puño y letra”
Cédula de Identidad
“Firma”
Mundo Digital
No repudio
Soporte D
igital
Integridad
Certificado D
igital
Documento Autor
Vinculación Jurídica
“Firma”
Mecanismos CriptográficosLlave privadaLlave pública
Traslado al mundo digital (Internet)
¿Cómo sé que el mensaje proviene de quien dice enviarlo?
¿Cómo sé que el mensaje no ha sido alterado durante su
transmisión?
¿Cómo sé que la información no ha
sido leída por tercerosterceros?
¿Cómo determino la
identidad de una persona en Internet?
¿Cómo puedo asegurarmeasegurarme que la persona no pueda
negar una transacción?
¿Qué nivel de confianza puedo tener en el sistema en general?
Tanto en el mundo físico como en el digital, se debe garantizar:
CONFIANZA
No repudio
Integridad
Autenticidad
Privacidad
MINIMIZAR EL RIESGO
Base d
el sistema d
e firm
a digital
CR
IPT
OG
RA
FIA
Impedir que los datos sean vistos por usuarios
no autorizadosPrivacidad
Verificar la identidad de usuarios y sistemas
Autenticidad
Proteger los datos de cambios no autorizadosIntegridad
Excluir la posibilidad de negar una
transacción válidaNo repudio*
*Repudiar.(Del lat. repudiāre).1. tr. Rechazar algo, no aceptarlo.
¿Qué es firmar digitalmente?(parte 1 de 3)
Necesito identificar a la persona
Que liga una persona a una determinada información
Usuario
Mundo Digital
MundoFísico Tercero de
confianza
Tercero de confianza
Proceso de Registro Que liga la
información de una persona a un juego de llaves
Emite un certificado
Llave privada
Llave pública
Proceso de Registro Emite una
cédula
Rol del “Certificador”
Demostración
¿Cómo se ve un certificado digital?
(parte 2 de 3)
Algoritmo de Hash
Si Implica que el No ha sido alterado
Digesto o resumen
InternetDigesto o resumen
Algoritmo de Hash
Necesito garantizar integridad.
Demostración
¿Qué es un “HASH”?
Encripto
(parte 3 de 3)
HASH
Integridad
Internet
¿Qué envío?
Nombre: Felipe CorderoCédula: 4-908-485Vigencia: 10/7/05 al 10/7/06Serie: 030495ADEmisor: Identiga CA
¿Privacidad?
Necesito autenticidad del documento
Llave privada
Llave pública
Digesto
Llave privada (Felipe)
Llave pública (Felipe)
Demostración
• ¿Cómo se ve un documento firmado digitalmente?
Elementos Técnicos
• Privacidad
• Autenticidad
• Integridad
¿Y el no repudio?
Resulta que es un elemento jurídico (…)
¿Y cómo garantizo el no-repudio?
ARTÍCULO 8.- Alcance del concepto (Firma Digital)
que permita verificar su integridad,HASH
adjunto o lógicamente asociado a un documento electrónico, Proceso de
firma
Entiéndase por firma digital cualquier conjunto de datos
Juego deLlaves
(…) así como identificar en forma unívoca y vincular jurídicamente al autor con el
documento electrónico. Certificado Digital
¿Para que quiero “vincular jurídicamente”?
Por si surge un conflicto y tengo
que acudir al
Este no pueda
(…) evitando que la validez de losdocumentos electrónicos se supedite a su
reproducción a un medio físico.
¿Por qué es tan importante regular a los
Certificadores?
Usuario
La seguridad del sistema descansa (…)
Tercero de confianza
Seguridad de la Llave privada
Rigurosidad del proceso de registro de
suscriptores
Pérdida de la llave...Y emisión fraudulenta de
certificados
Confianza en los Certificadores
• Cumplir con requerimientos tecnológicos y de infraestructura
• Demostrar un alto nivel técnico
• Demostrar rigurosidad en el proceso de registro de los suscriptores
• Estándares internacionales
• ISO, ITU, FIPS (USA), ETSI (Europa)
• ECA (Ente Costarricense de Acreditación)
Archivo
Autoridad dePolíticas
Plan de Implementación
CAs Operacionales
CA Raíz
EstructuraDe Directorios
Manejo deTokens
Emisión deTarjetas
Proceso deValidación
Convención deNombres Regulación
Legal
Proceso derenovación
OCSP
Proceso deRevocación
Proceso de Registro
ResponsabilidadLegal
CP & CPS
Sistemas de Resplado
OIDs
Firewalls
Plan de ContinuidadDel Negocio
Políticas y procedimientos de
seguridad
Procedimientos yPolíticas de operación
Organización de soporte
Modelos deConfianza
Pruebas eIntegración
Pruebas de Operación
Pruebas del sistema
EntrenamientosPersonal
EntrenamientoUsuario Final
Operación plantaFísica
Auditoria
Manejo deLlaves
Manejo de Hardware
DiseñoConceptual
¿Qué se necesita para operar un Certificador?
AplicacionesSolo por mencionar
algunos..
De otra forma:
Sistema de Gestión de Calidad
Procesos y Procedimientos
TecnologíaHardware especializado
Personal especializadoLegal
Responsabilidad civil
Contratos de Servicio
Auditorias periódicas
OperativoPlanta Física
Ciclos de vidaPlaneamiento
Jerarquía de Certificadores
Tipos de Certificados
Acceder a las presunciones legales
Llave privada
Llave pública
Para demostrar la idoneidad…
Certificador
Confianza del usuario
en el sistema
Proceso defirma
ARTÍCULO 9.- Valor equivalenteLos documentos y las comunicaciones suscritos mediante firma digital,
tendrán el mismo valor y la eficacia probatoria de su equivalente firmado en manuscrito. En cualquier norma jurídica que se exija la presencia de una firma, se reconocerá de igual manera tanto la digital como la manuscrita.
Los documentos públicos electrónicos deberán llevar la firma digital certificada.
ARTÍCULO 10.- Presunción de autoría y responsabilidadTodo documento, mensaje electrónico o archivo digital asociado a una firma digital certificada se presumirá, salvo prueba en contrario, de la autoría y responsabilidad del titular del correspondiente certificado digital, vigente en el momento de su emisión.
¿Cuáles presunciones legales?
Vinculación jurídica
Porque si no…
• No podría acceder a la presunción de autoría • Habría que determinar la validez en general del
sistema de firma• Frente a un juez, podría decir que la firma es
“falsa” o no válida” cuando de la otra forma podría exigir directamente el cumplimiento de la obligación.
• No puedo utilizar documentos públicos ya que estos requieren de certificados acreeditados…
Beneficios de esta tecnología
Se plasma en las aplicaciones
• Firma y encripción de documentos
• Expediente judicial electrónico
• Trámites en el Registro Nacional
• Gobierno Digital en general (Permisos y autorizaciones, impuestos)
• ¿Notariado Digital?
¿Qué falta?
Reglamento y acreditaciones
Desarrollo de aplicaciones
Propuestas para cambios específicos en la legislación
(Ejemplo: Notariado Digital)
Repensar los procesos y procedimientos
• La firma digital es solo un medio tecnológico que habilita otros procesos.
• Es fundamental la calidad de los “Certificadores”• La firma digital se expresa en aplicaciones
concretas. • El “sistema” de firma digital permite rediseñar los
procesos del papel.• Son necesarias reformas legales para cierto tipo
de trámites (Notariado)
Resumen:
Existe un nivel mínimo de confianza en las instituciones y las personas
Seguridad jurídica y técnica
…al momento de realizar todo tipo de transacciones digitales.
¿Por qué es necesaria la firma digital?
¿Cómo me afecta?
¿Por qué son necesarias las Autoridades de Certificación?
¿Por qué es necesaria una ley?
¿Por qué se habla de documento electrónico/digital?
¿Para qué me sirve?