LABORATORIO JURÍDICO-EMPRESARIALLABORATORIO JURÍDICO-EMPRESARIAL
Parque Tecnológico
Parque Tecnológico
FIRMA ELECTRÓNICA José Félix Muñoz
Asignatura “Economia del comercio electrónico”
9 diciembre 2003
Universidad de Zaragoza
LABORATORIO JURÍDICO-EMPRESARIALLABORATORIO JURÍDICO-EMPRESARIAL
Parque Tecnológico
Parque Tecnológico
CONTENIDO
• Introducción
• Generaciones de los sistemas de información
• Los documentos electrónicos
• La identidad digital
• Firma electrónica
• Normativa
• Firma no avanzada y firma avanzada
• Los certificados y los Servicios de Certificación
• Problemas pendientes
• Ejemplos•En uso: la factura digital y la presentación de documentos ante los Registros
• En proyecto: las notificaciones administrativas y el documento público electrónico
LABORATORIO JURÍDICO-EMPRESARIALLABORATORIO JURÍDICO-EMPRESARIAL
Parque Tecnológico
Parque Tecnológico
• 1951: Censo de los EE UU de América
• Los ordenadores tratan datos
• cadenas de caracteres y números
• Características
• Formularios
• Contabilidad: Estado del Bienestar
• Mainframes y redes jerárquicas
• Protección de datos de carácter personal
1ª generación: LOS DATOS
LABORATORIO JURÍDICO-EMPRESARIALLABORATORIO JURÍDICO-EMPRESARIAL
Parque Tecnológico
Parque Tecnológico
2ª generación: LOS DOCUMENTOS
• Los ordenadores tratan documentos
• correo electrónico
• bases documentales: normativa, jurisprudencia
• Características
• Captura de datos en pantalla
• Procedimientos: Workflow
• Ordenadores personales e Internet (TCP/IP)
• Documento y firma electrónicos
LABORATORIO JURÍDICO-EMPRESARIALLABORATORIO JURÍDICO-EMPRESARIAL
Parque Tecnológico
Parque Tecnológico
3ª generación: EL CONOCIMIENTO
• Los ordenadores adquieren conocimiento
• explicitado en reglas: sistemas expertos
• mediante entrenamiento: redes neuronales
• Decisión automatizada
• Directiva 1995/46, de 23 de octubre, sobre tratamiento de datos personales
• Se admite cuando existe una relación contractual
• Se utilizan en decisiones bancarias y en sistemas de vigilancia ( tarjetas de crédito, blanqueo de dinero)
LABORATORIO JURÍDICO-EMPRESARIALLABORATORIO JURÍDICO-EMPRESARIAL
Parque Tecnológico
Parque Tecnológico
LOS DOCUMENTOS ELECTRONICOS
• Cualquier combinación de
• texto, imagen, voz y video
• Interoperabilidad
• precisa de estándares
• XML -> dialectos
• LegalXML: OASIS (U.S.A)
• LEXML: Europa
• MetaLex: Holanda
• crXML: registradores europeos
LABORATORIO JURÍDICO-EMPRESARIALLABORATORIO JURÍDICO-EMPRESARIAL
Parque Tecnológico
Parque Tecnológico • La autenticación de los usuarios debe resolver el problema
de como acreditar la identidad de la persona física que realiza una acción en el sistema
• En “medidas de seguridad” se distinguen tres niveles:
• algo que se sabe: contraseña (password) o PIN
• algo que se tiene: una tarjeta
• algo que se es: medidas biométricas
• La firma manual es una acción consciente y característica de cada individuo
• no es posible encontrar un mecanismo técnico que resulte totalmente equivalente
• la firma electrónica de una persona y la de una maquina son indistinguibles
LA IDENTIDAD DIGITAL
LABORATORIO JURÍDICO-EMPRESARIALLABORATORIO JURÍDICO-EMPRESARIAL
Parque Tecnológico
Parque Tecnológico • Directiva 1999/93, de 13 de diciembre, por la que se
establece un marco comunitario para la firma electrónica
• Real Decreto Ley 14/1999, de 17 de septiembre, sobre firma electrónica
• el RDL tiene graves carencias
• se encuentra en fase avanzada de elaboración un proyecto de ley sobre firma electrónica
• Estándares técnicos
• X-509, Unión Internacional de Telecomunicaciones
• normas ETSII de la Unión Europea
NORMATIVA
LABORATORIO JURÍDICO-EMPRESARIALLABORATORIO JURÍDICO-EMPRESARIAL
Parque Tecnológico
Parque Tecnológico
• Es “el conjunto de datos, en forma electrónica, anejos a otros datos electrónicos o asociados funcionalmente con ellos, utilizados como medio para identificar formalmente al autor o a los autores del documento que la recoge”
• Se corresponde con el PIN o la contraseña
• En ella se basan la práctica totalidad de los sistemas de banca y comercio electrónico existentes
• la experiencia ha demostrado que ofrece un nivel de seguridad suficiente para estas aplicaciones
• una ventaja importante es su bajo coste y su facilidad de implementación y uso
• en general, no se considera suficiente para la realización de trámites administrativos (e-government )
FIRMA NO AVANZADA
LABORATORIO JURÍDICO-EMPRESARIALLABORATORIO JURÍDICO-EMPRESARIAL
Parque Tecnológico
Parque Tecnológico
• Es “la firma electrónica que permite la identificación del signatario y ha sido creada por medios que éste mantiene bajo su exclusivo control, de manera que está vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de éstos ”
• La definen dos características:
• los datos de generación de firma son conocidos únicamente por el firmante
• suelen conservarse en un dispositivo criptográfico
• está asociada unívocamente con los datos firmados
• La Ley equipara su eficacia a la de la firma manual
FIRMA AVANZADA: definición
LABORATORIO JURÍDICO-EMPRESARIALLABORATORIO JURÍDICO-EMPRESARIAL
Parque Tecnológico
Parque Tecnológico • Se basa en la criptografía de
claves asimétricas
• clave privada
• sólo la conoce el titular
• clave pública
• se difunde de forma pública
•Generación de la firma:
• Se genera un resumen del documento (función hash)
• El resumen cifrado con la clave privada del firmante constituye la firma electrónica de este
FIRMA AVANZADA: generación
Función resumen(hash)
Resum en deldocumento delongitud fija
Claveprivada
Resum encifradocon laclave privada
Docum ento
Docum entofirmado
LABORATORIO JURÍDICO-EMPRESARIALLABORATORIO JURÍDICO-EMPRESARIAL
Parque Tecnológico
Parque Tecnológico • Por una parte se calcula el
resumen del documento
• Por otra, se descrifa la firma utilizando la clave pública del firmante, obteniéndose también el resumen del documento
• Si ambos resúmenes coinciden la firma es correcta y, por tanto, sabemos
• que la firma corresponde al documento (autenticidad)
• que el documento no ha sido modificado (integridad)
FIRMA AVANZADA: comprobación
Función resumen(hash)
Si los resúm enesno coinciden lafirma no esválida
Clavepública
Resum encontenido enla firm a
Si los resúm enescoinciden la firm aes válida
LABORATORIO JURÍDICO-EMPRESARIALLABORATORIO JURÍDICO-EMPRESARIAL
Parque Tecnológico
Parque Tecnológico• La clave pública es, por tanto, el mecanismo de
comprobación de las firmas electrónicas. Pero, ¿cómo podemos saber que una clave pública pertenece a una persona dada?
• Para ello se crean Servicios de Certificación o CAs
• las CAs emiten certificados electrónicos que asocian una identidad con una clave pública
• los certificados están firmados por la CA
• esta debe difundir sus claves
• la CA debe disponer de un directorio para publicar las revocaciones de certificados (CRLs, OCSP)
• En el trámite de registro se comprueba la identidad del signatario y se recoge su compromiso con las claves certificadas
• es un aspecto clave para la confiabilidad del certificado
LOS SERVICIOS DE CERTIFICACION: definición
LABORATORIO JURÍDICO-EMPRESARIALLABORATORIO JURÍDICO-EMPRESARIAL
Parque Tecnológico
Parque Tecnológico
• Ámbito internacional: Verisign
• España
• FNMT – Real Casa de la Moneda
• es la CA de la administración del Estado
• proyecto CERES
• proyecto DNI digital
• SCR: Servicio de Certificación de los Registradores
• Camerfirma
• Desarrollo más lento y difícil de lo previsto, ejemplo: ACE
LOS SERVICIOS DE CERTIFICACION: ejemplos
LABORATORIO JURÍDICO-EMPRESARIALLABORATORIO JURÍDICO-EMPRESARIAL
Parque Tecnológico
Parque Tecnológico • Los atributos
• Normalmente no basta con conocer la identidad de una persona sino que es preciso conocer también algunos datos sobre ella
• por ejemplo, su profesión o su condición de representante de una compañía mercantil
• El sello de tiempo (time-stamping)
• En algunos casos es preciso conocer con seguridad el momento en el que se generó la firma para comprobar su validez
• Las firmas de personas jurídicas
• No están previstas en la Ley, si en el Proyecto
• La finalidad de los sistemas telemáticos es la automatización de procedimientos
PROBLEMAS PENDIENTES
LABORATORIO JURÍDICO-EMPRESARIALLABORATORIO JURÍDICO-EMPRESARIAL
Parque Tecnológico
Parque Tecnológico
LAS FACTURAS
• EDI: normas UN-EDIFACT
• universalidad -> excesiva complejidad
• Orden del Mº de Ec. y H. de 22 de marzo de 1996
• Centros Servidores EDI
• Directiva 2001/115, 20 de diciembre, I.V.A.
• factura electrónica: autenticada con firma electrónica
• Orden del Mº de Ec. y H. de 5 de diciembre de 2002
• Ley 34/2002, 11 de julio, servicios de la SI
• contratos privados
LABORATORIO JURÍDICO-EMPRESARIALLABORATORIO JURÍDICO-EMPRESARIAL
Parque Tecnológico
Parque Tecnológico
LOS REGISTROS
• Presentación de
• deposito anual de cuentas
• libros contables
• Sello de tiempo de la firma
• vigencia de los poderes
• Reg. Hipotecario, art. 332.2• R.D. 1867/1998, 4 de septiembre
• Instrucción de 10 de abril de 2000
LABORATORIO JURÍDICO-EMPRESARIALLABORATORIO JURÍDICO-EMPRESARIAL
Parque Tecnológico
Parque Tecnológico
servidor STFICUsuarios
usuarios
Usuarrios
servidor STFIC
servidor STFIC
usuarios
servidor STFIC
servidor STFIC
directorio LDAP
directorio LDAP
directorio LDAP
directorio LDAP
Asociación
comunicaciones internasPuden canalizarse a traves delservidor STFIC. Las funciones desellado de tiempo y registro serealizan por el servidor, bajoresponsabilidad de la propiaorganización
comunicaciones entremiembros de la AsociaciónEs el punto central del proyecto. LaAsociación realiza las funciones desellado de tiempo y registro sobre losresumenes (hash) y los documentos setransmiten directamente entre lasorganizaciones.
2) trasmisión del documento
1) comprobación de firmas y sellado de tiempo
3) emisión del acuse de recibo
Organización externa
la Asociación actua como interface
estandard
Ciudadanos
comunicaciones conotras organizacionesla Asociación recomiendaestandards y tambien puedeactuar como "interface" cuandoun servicio deba ofrecerse aciudadanos de distintos paises
comunicaciones con losciudadanosel proyecto debe considerareste aspecto, aunque no incideen él directamente.
la Asociación confia en los directorios LDAP de los socios
LAS NOTIFICACIONES TELEMATICAS
• Gobierno electrónico
• son el sentido inverso a la presentación
• problemas
• colaboración
• prueba
• “Domicilio digital”
• buzón de correo
• Ley Gral. Tributaria, art. 105• R. D. 209/2003, 21 de febrero
LABORATORIO JURÍDICO-EMPRESARIALLABORATORIO JURÍDICO-EMPRESARIAL
Parque Tecnológico
Parque Tecnológico
EL DOCUMENTO PUBLICO ELECTRONICO
• Es clave para la interoperabilidad
• múltiples interesados
• Posesión
• problema de la copia única
• Formato: PDF, XML
• Ley del Notariado, art. 17 bis
• Instrucción de 18 de marzo de 2003