Eje temático No. 3Certificado electrónico y firma electrónica

Presentado por:Lina María Restrepo Suaza

Milena Cristina Marín BarrosGloria Cecilia Medina Martínez

Ingrid Judith SuarezLiliana Melo Mérida

Carolina Díaz Ramírez

Docente:Jorge Mario Zuluaga Campuzano

Universidad del QuindíoCiencia de la información y la documentación: bibliotecología y

archivística2012

Certificado Electrónico

Son documentos digitales de identidad emitidos a unindividuo. La emisión está bajo la responsabilidad poruna entidad de certificación debidamente autorizada.Esta entidad garantiza los datos contenidos en elcitado documento relativos a una persona, ya seanatural o jurídica (empresas).

Este documento digital vendría a ser el equivalente aun Documento de Identidad, Licencia, pasaporte ocarné de empresa. Mediante un conjunto de clavesasociadas a una identidad.

Un Certificado sirve para identificarse ante terceros, ypreviene suplantación de la identidad en Internet. Estehecho lo convierte en herramienta clave para laidentificación de las partes contratantes en elcomercio electrónico.

1. Datos que identifiquen al suscriptor.2. Datos que identifiquen a la Entidad de Certificación.3. La clave pública.4. La metodología para verificar la firma digital del suscriptor impuesta a un mensaje de datos.5. Número de serie del certificado.6. Vigencia del certificado.7. Firma digital de la Entidad de

Certificación

Elementos que debe tener un certificado…

La identidad del emisor y del receptor de lainformación (autenticación de las partes).

Que el mensaje no ha sido manipulado por el camino(integridad de la transacción).

Que sólo el emisor y receptor vean la información(confidencialidad).

Que una vez aceptada la comunicación, ésta nopueda ser negada de haber sido emitida (no repudio).

Funciones de los certificados electrónicos

Las firmas electrónicas cumplen la función de sus análogasmanuscritas, pero con la diferencia que son digitales, es decirestán realizadas con el propósito de identificar a alguien en lared. Es decir crean un medio seguro de identificaciónlogrando con esto un ambiente de seguridad para quienesreciben información, sin dudar de su procedencia. La firmadigital tiene la misma validez que la firma manuscrita, siendomas segura porque es muy difícil de falsificar.

Firma Electrónica

Es una huella digital de un documentocifrado con una clave.

Viene a solventar tres importantesproblemas asociados a ladocumentación electrónica:

• confidencialidad

• integridad

• autenticidad.

FIRMA ELECTRÓNICA

¿Qué es?

Para poder utilizar la firma electrónica es necesariohaber obtenido previamente un certificado digital.

El funcionamiento de la firma electrónica se basaen un par de números: la clave privada y la clavepública; con una relación matemática entre ellos.Estos números o claves se generan a partir de unnavegador de Internet y del certificado digitalemitido por la entidad certificadora.

La clave privada se almacena en un dispositivo deuso privado: una tarjeta criptográfica onormalmente el disco duro de un ordenador.La clave pública, en cambio, se distribuye junto conel mensaje firmado, fichero, etc.

Sobre la firma electrónica recibida, el receptoraplicará la clave pública del emisor a fin dedescifrarla. El resultado será una huella que debecoincidir con la huella del mensaje. Si esto seproduce, hay garantía de que el mensaje no ha sidomodificado y de que ha sido emitido por el titularde la firma.

FIRMA ELECTRÓNICA

¿Cómo funciona?

Cuando se firma electrónicamente un mensaje o fichero para enviar, seaplica una función denominada hash.

Esta función genera un dato llamado huella digital, que cambia en cadafichero o mensaje. Así, dos mensajes diferentes generarán huellasradicalmente diferentes.

Por su parte, y mediante la aplicación de una segunda función, la huella secifrará con la clave privada. El resultado será la firma electrónica.

¿Cómo se firma electrónicamente un documento?

El receptor de un mensaje que incluya firma electrónica puede comprobarque el mensaje no ha sido modificado aplicando la función hash sobre elmensaje recibido. El resultado será la huella del mensaje.

Sobre la firma electrónica recibida, el receptor aplicará la clave pública delemisor a fin de descifrarla. El resultado será una huella que debe coincidircon la huella del mensaje. Si esto se produce, existe la garantía de que elmensaje no ha sido modificado y de que ha sido emitido por el titular de lafirma.

¿Cómo se verifica la firma electrónica?

La Ley 59/2003, de 19 dediciembre, de firma electrónicadefine la firma electrónicadistinguiendo tres tipos:

¿Qué tipos de firmas existen?

La firma electrónica general, que equivaldría a una firma manuscrita digitalizada. "La firma electrónica es el conjunto de datos en forma

electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante".

La firma electrónica avanzada. "(...) es la firma electrónica que permite identificar al

firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al

firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo

control".

La firma electrónica reconocida. "Se considera firma electrónica reconocida la firma electrónica avanzada basada en un

certificado reconocido y generada mediante un dispositivo seguro de creación de firma. La firma electrónica reconocida tendrá respecto

de los datos consignados en forma electrónica el mismo valor que la firma manuscrita.

Aplicaciones de la firma digital:

Mensajes con autenticidad aseguradaMensajes sin posibilidad de repudioContratos comerciales electrónicosFactura ElectrónicaDesmaterialización de documentosTransacciones comerciales electrónicasInvitación electrónica

Dinero electrónico

Notificaciones judiciales electrónicas

Voto electrónico

Decretos ejecutivos (gobierno)

Créditos de seguridad social

Contratación pública

Sellado de tiempo

Nadie tiene una seguridad absolutaen Internet, tanto los proveedorescomo los compradores tienen unriesgo Sin embargo, la tecnologíaofrece medios de transaccionescada vez más seguros. Las técnicasde encriptación de datos puedenconvertir el comercio electrónicoen más seguro que el comerciotradicional basado en tarjetas decrédito.

Beneficios de las firmas y certificados electrónicos

Garantizar la confidencialidad de latransacción de tal forma que la informacióntransferida solo sea accesible por las partesque intervienen. (Encriptación)

Garantizar la integridad de la transacción,de forma que no pueda ser alterado porterceras partes sin saberlo. (Firma Digital)

Garantizar la autenticidad de las partes. Lafirma digital garantiza la integridad de latransacción y el certificado digital (emitidopor un tercero) garantiza la identidad de laspartes.

El comercio electrónico necesita de un sistema de transacción seguro que permita:

La firma electrónica proporciona un amplio abanico de servicios de seguridad, que superan con creces a los ofrecidos

en un contexto físico por el DNI o pasaporte y las firmas manuscritas:

1. AutenticaciónPermite identificar unívocamente alsignatario, al verificar la identidad delfirmante, bien como signatario dedocumentos en transaccionestelemáticas, bien para garantizar elacceso a servicios distribuidos en red.En este último caso, la utilización defirmas digitales para acceder aservicios de red o autenticarse anteservidores web evita ataquescomunes de captación decontraseñas mediante el uso deanalizadores de protocolos (sniffers)o la ejecución de reventadores decontraseñas.

2. Imposibilidad de suplantación

El hecho de que la firma haya sidocreada por el signatario mediantemedios que mantiene bajo su propiocontrol (su clave privada protegida, porejemplo, por una contraseña, controlbiométrico, una tarjeta inteligente, etc.)asegura, además, la imposibilidad de susuplantación por otro individuo.

3. IntegridadPermite que sea detectada cualquiermodificación por pequeña que sea delos datos firmados, proporcionando asíuna garantía ante alteraciones fortuitaso deliberadas durante el transporte,almacenamiento o manipulacióntelemática del documento o datosfirmados.

4. No repudioOfrece seguridad inquebrantable de queel autor del documento no puederetractarse en el futuro de las opinioneso acciones consignadas en él ni dehaberlo enviado. La firma electrónicaadjunta a los datos, debido a laimposibilidad de ser falsificada,testimonia que él, y solamente él, pudohaberlo firmado.

5. Audibilidadpermite identificar y rastrear lasoperaciones llevadas a cabo por elusuario dentro de un sistemainformático cuyo acceso se realizamediante la presentación decertificados, especialmente cuando seincorpora el estampillado de tiempo,que añade de forma totalmente fiable lafecha y hora a las acciones realizadaspor el usuario.

Son entes autorizados, conforme a laLey, que están facultados para emitircertificados, por medio de unestampado cronológico y demásfunciones relativas al intercambio demensajes de datos y firmasdigitales, generando confianza sobre elproceso de autorización, el cual serealizará de acuerdo con las actividadesque vaya a ofrecer.

¿Qué son esas entidades de certificación?

Según la ley 527, pueden ser personas jurídicas, públicas oprivadas, nacionales o extranjeras y las cámaras de comercio. la ley 588, ensu parágrafo primero le agregó dos entidades: notarias yconsulados, quienes también deben ser autorizadas por lasuperintendencia de industria y comercio, según la reglamentación delgobierno.

¿Quiénes pueden ser entidades de certificación?

Tener siempre parámetrospara certificar

Capacidad económica.

Capacidad financiera

Capacidad técnica suficientepara prestar el servicio

Que los representanteslegales o administrativos noestén incursos en ningunainhabilidad.

¿Que requisitos deben cumplir las entidades de certificación?

1. Amonestaciones.2. Suspenderle todas las

actividades.3. Multas personales hasta por

trescientos salarios mínimos.4. Multas institucionales hasta por

dos mil salarios mínimosvigentes.

5. Prohibición de prestar directa oindirectamente el servicio hastapor cinco años.

6. Perdida de la renovación de laautorización.

¿Que sanciones se le pueden imponer a las entidades de certificación?

Emitir certificados en relación con las firmas digitales de personasnaturales o jurídicas.Emitir certificados sobre la verificación respecto de la alteraciónentre el envío y recepción del mensaje de datos.Emitir certificados en relación con la persona que posea un derechou obligación con respecto a los documentos enunciados en losliterales f) y g) del artículo 26 de la presente ley.Ofrecer o facilitar los servicios de creación de firmas digitalescertificadas.Ofrecer o facilitar los servicios de registro y estampado cronológicoen la generación, transmisión y recepción de mensajes de datos.Ofrecer los servicios de archivo y conservación de mensajes dedatos.

En el ARTÍCULO 30. Actividades de las entidades de certificación. Modificado por el art. 161, Decreto Nacional 019 de

2012.Las Entidades de Certificación autorizadas por la Superintendencia de Industria y Comercio podrán realizar,

entre otras, las siguientes actividades:

En la Ley 527 de 1999, "Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras

disposiciones", estableció en el artículo 41 las funciones a cargo de la Superintendencia de Industria y Comercio, relacionadas con las Entidades de

Certificación:

Autorizar la actividad de las entidades de certificación en el territorio nacional.Velar por el funcionamiento y la eficiente prestación del servicio por parte de lasentidades de certificación.Realizar visitas de auditoría a las entidades de certificación.Revocar o suspender la autorización para operar como entidad de certificación.Solicitar la información pertinente para el ejercicio de sus funciones.Imponer sanciones a las entidades de certificación en caso de incumplimiento de lasobligaciones derivadas de la prestación del servicio.Ordenar la revocación de certificados cuando la entidad de certificación los emita sin elcumplimiento de las formalidades legales.Designar los repositorios y entidades de certificación en los eventos previstos en la ley.Emitir certificados en relación con las firmas digitales de las entidades de certificación.Velar por la observancia de las disposiciones constitucionales y legales sobre lapromoción de la competencia y prácticas comerciales restrictivas, competencia desleal yprotección del consumidor, en los mercados atendidos por las entidades de certificación.Impartir instrucciones sobre el adecuado cumplimiento de las normas a las cuales debensujetarse las entidades de certificación.

¿Que facultades tiene la superintendencia de industria y comercio frente a las entidades de

certificación?

La Superintendencia de Industriay Comercio, autoriza la actividadde las entidades de certificaciónen el territorio nacional y debevelar por su buen funcionamientoy porque éstas cumplan con lasnormas relativas a competencia.Además la Superintendenciadebe cumplir con las funcionestradicionales, vigilar por laprotección al consumidor.

1. Suspender o revocar la autorización.2. Solicitar información, que es una característica

tradicional de los organismos de vigilancia y control.3. Imponer sanciones en caso de incumplimiento.4. Ordenar la revocación de los certificados en el caso

de que no cumplan las exigencias del GobiernoNacional.

5. Designar los repositorios de las entidades decertificación en caso de que alguna entidad de ellasdeje de funcionar y la información que conservabantenga que pasar a otra entidad.

6. Realizar visitas de auditorías.7. Emitir certificados en relación con firmas digitales.8. Impartir las instrucciones del caso y adicionalmente a

esa las contempladas en el Decreto 2153 en cuanto avigilancias y control

La ley 527 le permite a la superintendencia de industria y comercio frente a las entidades de

certificación lo siguiente :

En Colombia existen dos tipos de Entidades de Certificación:

Entidad de certificación cerrada

Es la entidad que ofrece serviciospropios de las entidades decertificación sólo para elintercambio de mensajes entre laentidad y el suscriptor, sin exigirremuneración por ello.

Entidad de certificación abierta

Es la entidad que ofrece serviciospropios de las entidades decertificación, tales que:

a) Su uso no se limita alintercambio de mensajes entre laentidad y el suscriptor, o

b) Recibe remuneración poréstos.

Las siguientes son las entidades de certificación autorizadas por esta

Superintendencia, en los términos de la ley 527 de 1999, del decreto 1747 de 2000 y del Capítulo VIII del Título V de la Circula Única de la Superintendencia

de Industria y Comercio.

SOCIEDAD CAMERAL DE CERTIFICACION DIGITAL CERTICÁMARA, S.A.

Dirección: Carrera 7 No. 26 – 20 Piso 18 Edificio Seguros Tequendama –Bogotá D.C., Colombia

Teléfonos: +57 (1) 3790300

E-mail: info@certicamara.com

Página web: www.certicamara.com

Autorizada mediante resolución No. 1007 del 24 de enero de 2002

Autorización de nuevos servicios –Ampliación de la Autorización:

Resolución No. 22456 (10/09/2004)

Resolución No. 28012 (12/11/2004)

Resolución No. 9887 (13/04/2007)

Resolución No. 3816 (30/01/2009)

Algunas entidades de certificación abierta

GESTIÓN DE SEGURIDAD ELECTRÓNICA S.A. - GSE S.A.

Dirección: Calle 103B No. 50 – 50. Piso 2. Bogotá, D.C. Colombia

Teléfono: +57 (1) 7051888

Fax: +57 (1) 7081881

E-mail: info@gse.com.co

Página web: www.gse.com.co

Autorizada mediante resolución No. 23344 del 12 de mayo de 2009

Autorización de nuevos servicios –Ampliación de la Autorización:

Resolución No. 1194 (21/01/2010)

Algunas entidades de certificación cerrada

INSTITUTO COLOMBIANO DE CODIFICACIÓN Y AUTOMATIZACIÓN

COMERCIAL

Dirección: Av. El Dorado No. 70 -16, Bogotá D.C., Colombia

Teléfono: +57 (1) 4270999

Fax: +57 (1) 4254700

E-mail: web@gs1co@org

Página web: www.gs1co.org

Autorizada mediante resolución No. 25352 del 31 de agosto de 2002.

BANCO DE LA REPÚBLICA

Dirección: Carrera 7 No. 14-78, Bogotá D.C., Colombia

Teléfono: +57 (1) 3431111

Fax: +57 (1) 2861686

Página web: www.banrep.gov.co

Autorizada mediante resolución No. 6372 del 28 de Febrero de 2003.

A TODA HORA S.A. - ATHDirección: Calle 100 No. 13 - 21 Piso12, Bogotá D.C., ColombiaTeléfono: +57 (1) 6422000E-mail: lgalindo@ath.com.coAutorizada mediante resolución No.29844 del 22 de octubre de 2003.

NOTA: Mediante resolución 43730 del 28de agosto de 2009 la SuperintendenteDelegada para la Protección delConsumidor y Metrología, suspendiótemporalmente la autorización otorgadaa ATH, decisión que fue confirmada por laresolución 47773 del 8 de septiembre de2010 de ese mismo Despacho.

UAE DIRECCIÓN DE IMPUESTOS Y ADUANAS NACIONALES – DIAN

Dirección: Carrera 8 No. 6 - 64 Piso5, Bogotá D.C., Colombia

Teléfono: +57 (1) 6079999

Página web: www.dian.gov.co

Autorizada mediante resolución No.36119 del 30 de diciembre de 2005.

ECOPETROL S.A.

Dirección: Carrera 7 No. 37 – 69, Piso Primero, Bogotá D.C., Colombia

Teléfono: +57 (1) 2344000

Fax: +57 (1) 2343352

Página web: www.ecopetrol.com.co

Autorizada mediante resolución No. 9886 del 13 de abril de 2007.

Certicamara es una entidad que en Colombia es responsable de emitir, concalidad técnica y de manera segura e irrepetible por otros medios o enotras circunstancias, el par de claves, pública y privada, que constituye eleje del certificado, así como de poner a salvo su propia clave privada, ygarantizar la calidad técnica del sistema informático, y el libre y fácil accesoa las listas y directorios de claves públicas para la verificación de firmasemitidas por la misma.

Es responsable de realizar una identificación consistente y completa, seguirlos trámites con fidelidad, y realizar las labores de revocación, modificacióny renovación de manera correcta y fiel, siendo responsable directa de losdatos que certifica.

Un ejemplo de estas entidades en Colombia es…

Permite “ocultar” o “codificar” el contenido delmensaje, son cifrados por el remitente y descifradospor el destinatario. Es el sistema informático queutiliza un sistema de encriptación. La palabraCriptografía viene del griego “Kryptos”, escondido, y“graphos”, escritura, se trata de escribir algo demanera que el destinatario final pueda leerlo.Se utiliza para asegurar laconfidencialidad, protección de la informaciónintercambiada entre personas u organizaciones y nosean violadas por terceros. Se asegura así tanto laautenticidad de los contenidos enviados como suexclusividad; tanto el emisor como el receptor debentener instalados programas de cifrado.El proceso utiliza algoritmos matemáticos complejospara codificar información digital. Solamentepersonas o equipos con la “clave” de softwarecorrecta pueden descifrar la información y volver aponerla en el orden correcto.

Cifrado Electrónico

Los sistemas de cifrado se basan en dos claves parael envío de la información, una pública y otraprivada:

• Clave pública: se la enviaremos a todo elmundo que la quiera, la subiremos a unservidor, o a nuestra web... Esta clave permitiráa la gente verificar nuestra firma y crearmensajes cifrados para nosotros.

• Clave privada: no se la daremos a nadie, ya quenos permitirá firmar y descifrar correo.

Es importante darse cuenta de que estas clavesson dos archivos que se generarán en nuestro PCy que están íntimamente ligadas, pero no sepuede averiguar una a través de la otra.

Cifrado Electrónico¿Cómo funciona?

• Para almacenar archivos en el equipoy proteger los más confidenciales,como los registros médicos y losdocumentos financieros.

• Para codificar la información que seenvía en un correo electrónico o undocumento.

• Para proteger la red domésticainalámbrica de Internet; y así losvecinos no puedan intervenir la red nilas sesiones online ni robar suinformación personal.

Cifrado Electrónico¿Para que puede

ser utilizado?

• Para hacer compras en Internet demanera segura. Los bancos, lastiendas y otras empresas que vendenproductos o realizan transaccionesfinancieras en Internet utilizan unaforma de cifrado más potentedenominada Secure Sockets Layer(SSL). Este tipo de cifrado protege eltrayecto electrónico que conecta sunavegador web con los equipos quealojan sitios web de comercioelectrónico.

Ejemplo de Cifrado Electrónico

Supondremos que queremosmandar a Pepe un mensaje cifradopara que sólo él pueda ver elcontenido. Paraello, previamente, dispondremosde la clave pública de Pepe.

• Con la clave pública de Pepecifraremos el mensaje.

• Pepe recibirá un mensaje cifrado.

• Pepe usará su clave privada paraver el contenido del mismo.

Legislación

Ley 59 de 2003http://online.lexnova.es/servicesLXOL/visordoc?signatura=98B5E0E1AA75C9CA09FFA

0F48FA54515&titulacion=

Por medio de la cual los datos ydocumentos transmitidos con lafirma electrónica ofrecen plenavalidez y disponen de todas lasgarantías y seguridad jurídicasegún queda recogido en la Ley59/2003 de 19 de diciembre defirma electrónica.

Ley 527 de 1999http://www.ocyt.org.co/leg/Ley%205

27.pdf

Por medio de la cual se define yreglamenta el acceso y uso de losmensajes de datos, del comercioelectrónico y de las firmasdigitales, y se establecen lasentidades de certificación y sedictan otras disposiciones.

Ley 11 de 2007http://www.boe.es/boe/dias/200

7/06/23/pdfs/A27150-27166.pdf

Decreto 2150 de 1995http://wlserver.unab.edu.co/admisi

ones/Decreto1995no2150.pdf

Art. 26. Determina que lasentidades de AdministraciónPública, deberán habilitarsistemas de transmisiónelectrónica de datos para que losusuarios envíen o recibaninformación requerida en susactuaciones frente a laadministración.

De acceso electrónico de losciudadanos a los ServiciosPúblicos.

Decreto 1747 de 2000http://securedata.com.co/files/dec

reto1747.pdf

Por el cual se reglamentaparcialmente la Ley 527 de 1999,en lo relacionadocon las entidades de certificación,los certificados y las firmasdigitales.

Resolución 26930 de 2000

http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=5793

Referencia los requisitos quedeben cumplir las entidades decertificación abiertas o cerradaspara solicitar su autorización yfuncionamiento, clasificación quedepende de los servicios queprestan y finalmente se desarrollael tema de las firmas auditoraspara las entidades de certificacióny el contenido del informe deauditoría necesario para laautorización, el cual debe seractualizado por lo menosanualmente.

Decreto 127 de 2001http://programa.gobiernoenlinea.gov.

co/apc-aa-files/5686d2a87532a21a70ead773ed713

53b/Decreto127de2001.pdf

Crea el Programa Presidencialpara el desarrollo de lastecnologías de la información ycomunicación

Decreto 3107 de 2003http://programa.gobiernoenlinea.gov.co/index.shtml?apc=a1d-22-22&x=22

Suprime funciones y las trasladaal Ministerio de Comunicaciones.

Directiva Presidencial 02 del 2000http://programa.gobiernoenlinea.gov.co/a

pc-aa-files/5686d2a87532a21a70ead773ed71353b/

Directiva_02_2000.PDF

Suprime funciones y las trasladaal Ministerio de Comunicaciones.

Decreto 1151 de 2008

http://hermesoft.esap.edu.co/esap/hermesoft/portal/home_1/rec/Normatividad/D

ecreto%201151%20de%202008.pdf

Por el cual se establecen loslineamientos generales de laEstrategia de Gobierno en Línea dela República de Colombia, sereglamenta parcialmente la Ley962 de 2005, y se dictan otrasdisposiciones.

Constitución Política de Colombia

http://www.banrep.gov.co/regimen/resoluciones/cp91.pdf

Art. 113 y 209 Los cuales señalanque “los diferentes órganos delEstado tienen funciones separadaspero colaboran armónicamentepara la realización de sus fines.