FIRMAS DIGITALES Y CERTIFICADOS DE SEGURIDAD
FIRMA DIGITA D IGITAL L 1.- ¿QUÉ ES LA FIRMA DIGITAL? La firma digital puede ser definida como una secuencia de datos electrónicos (bits) que se obtienen mediante la aplicación a un mensaje determinado de un algoritmo (fórmula matemática) de cifrado asimétricos o de clave pública, y que equivale funcionalmente a la firma autógrafa en orden a la identificación del autor del que procede el mensaje. esde un punto de vista material, la firma digital es una simple cadena o secuencia de caracteres que se adjunta al final del cuerpo del mensaje firmado digitalmente. !ste instrumento que permite, entre otras cosas, determinar de forma fiable si las partes que intervienen en una transacción son realmente las que dicen ser, y si el contenido del contrato "a sido alterado o no posteriormente. #ambién es un conj conjun unto to de dato datoss asoc asocia iado doss a un mens mensaj aje e que que perm permitite e aseg asegur urar ar la identidad del firmante y la integridad del mensaje. La firma digital no implica que el mensaje esté encriptado, encriptado, es decir, que que este no pueda ser le$do por otras personas% al igual que cuando se firma un documento "olográficamente este puede ser visto por otras personas. !n jurisdicciones de todo el mundo, las firmas digitales ganan gradualmente el mismo peso legal que la firma manuscrita. &o es una firma escrita, sino un soft'are. e basa en algoritmos que trabajan con números de "asta *+ bits. La parte visible de la rúbrica es el nombre del firmante, pero también puede incluir el nombre de una compa-$a y el cargo. arie /asoni, /asoni, enfati0a enfati0a el reconocim reconocimiento iento legal legal de la firma digital, digital, por la ley 123 de 4irmas y 5ertificados digitales publicado el de mayo del ***, para el desarrollo del comercio electrónico y as$ poder facilitar las compras por /nternet. La firma digital esta relacionada con la criptograf$a y la seguridad de datos. La ley de firmas y certificados digitales se encuentra complementada con el siguiente reglamento6
-1-
FIRMAS DIGITALES Y CERTIFICADOS DE SEGURIDAD
La firma electrónica6 es un firm'are, debido a que combina el uso de bienes materiales (7ard'are con determinada aplicación especifica) con bienes sin materiales (soft'are aplicativo), de tal forma que engloban un conjunto de elementos técnicos idóneos, que permiten la obtención de adecuadas medidas de segurid seguridad ad para para el entorn entorno o electr electrón ónico ico con con intera interacci cción ón o no con redes abiertas. !l articulo de las firmas y certificados digitales define a la firma electrónica como6 5ualquier s$mbolo basado en medios electrónicos utili0ado o adoptado por una part parte e con con la inte intenc nció ión n prec precis isa a de vinc vincul ular arse se o aute autent ntic icar ar un docu docume ment nto o cumpliendo todas o algunas de las funciones caracter$sticas de una firma manuscrita.
2.-FUNCIONAMIENTO La firma digital funciona utili0ando complejos procedimientos matemáticos que relacionan el documento firmado con información propia del firmante, y permiten que terceras partes puedan reconocer la identidad del firmante y asegurarse de que los contenidos no "an sido modificados. !l firmante genera, mediante una función matemática, una "uella digital del mensaje, la cual se cifra con la clave privada del firmante. !l resultado es lo que se denomina firma digital, que se enviará adjunta al mensaje original. e esta manera el firmante adjuntará al documento una marca que es única para dic"o documento y que sólo él es capa0 de producir. 8ara reali0ar la verificación del mensaje, en primer término el receptor generará la "uella digital del mensaje recibido, luego descifrará la firma digital del mensaje utili0ando la clave pública del firmante y obtendrá de esa forma for ma la "u "uell ella a dig digita itall del men mensaj saje e ori origin ginal% al% si amb ambas as "ue "uella llass dig digita itales les coinciden, significa que no "ubo alteración y que el firmante es quien dice serlo. La firma digital se compone de una clave privada y una pública. !stas claves son indisociables y están ligadas una a la otra. La clave privada solo es co cono noci cida da po porr el pr prop opiet ietar ario io y nu nunc nca a de debe be se serr co comu muni nica cada da a ot otro ross interlocutores. La clave pública es conocida por el resto de los interlocutores y generalmente es administrada por un tercer agente, la autoridad de certifi cer tifica cació ción. n. La aut autori oridad dad de cer certif tifica icació ción n es un age agente nte rec recono onocid cido o y autori0ado que genera una secuencia de datos (certificado digital) que vinculan la identidad de una persona o entidad jur$dica con su clave pública,
-2-
FIRMAS DIGITALES Y CERTIFICADOS DE SEGURIDAD
de forma que es posible garanti0ar la identidad del interlocutor a través de combinar la información presente en la firma digital y en el certificado. 8ara dar a conocer nuestra clave pública se la enviaremos a todos nuestros interlocutores mediante el env$o de nuestro certificado digital (que contiene la clave pública) y ello les permitirá que validen la firma.
9s$, lo que se "ace en el emisor es lo que muestra el cuadro anterior6 : !l emisor calcula un resumen del mensaje a firmar, llamado hash o digest . : 5on la clave privada se reali0a una operación sobre este "as". !l resultado de esta operación se conoce como Firma Digital. !l emisor env$a al destinatario el documento y la firma digital.
-3-
FIRMAS DIGITALES Y CERTIFICADOS DE SEGURIDAD
!l
;eceptor, por su parte, reali0a dos operaciones, como muestra el cuadro adjunto6 : 5on la clave pública (obtenida del certificado digital del emisor) comprueba que la firma digital es correcta. 8ara reali0ar esta comprobación utili0a la clave pública y la firma digital para obtener el "as" del documento y, a la ve0, vuelve a calcular el "as" sobre el documento recibido. i ambos son iguales, entonces la firma es válida y el receptor tiene certe0a absoluta que el documento no "a sido modificado (integridad).
-4-
FIRMAS DIGITALES Y CERTIFICADOS DE SEGURIDAD
: 9demás, mediante el certificado emitido por una 9utoridad de 5ertificación, el receptor sabe que quien envió el mensaje factura es quien dice ser (autenticidad). !s importante destacar que en ningún caso puede deducirse una clave de la otra, es decir, la clave pública (que se utili0a para validar la firma) no permite al receptor deducir la clave privada (que se utili0a para firmar), de forma que aunque nuestra clave publica sea conocida por todos nuestros interlocutores, ninguno de ellos podrá firmar en nuestro nombre, pues no conocerán nuestra clave privada.
.-ENCRI!TACI"N DE DATOS La firma digital no brinda confidencialidad en la transmisión ya que el documento se env$a sin encriptar. !sto significa que el mensaje es legible para cualquier persona, por dic"o motivo la información debe ser encriptada con la clave pública del destinatario. !sto significa que los caracteres de la información firmada se me0clan con los de la clave pública del destinatario, obteniéndose una combinación de caracteres ininteligibles.
La #$%ri&ta%i'$ e entiende por criptograf$a (rap"os = escritura) la rama matemática preocupada de transformar mensajes legibles, denominados ?te@to claroA, en otros que sólo puedan entender las personas autori0adas para ello, conocidos como ?criptogramaA o ?te@to cifradoA. !l método o sistema empleado para encriptar el te@to en claro se denomina algoritmo de encriptación. !l cifrado de te@tos es una actividad que "a sido ampliamente usada a lo largo de la "istoria "umana, sobre todo en el campo militar y en aquellos en los que es necesario enviar mensajes con información confidencial y sensible a través de medios no seguros. !l primer sistema criptográfico conocido como tal se debe a Bulio 5ésar. u sistema consist$a en reempla0ar cada letra en el mensaje a enviar por la letra situada tres posiciones por delante en el alfabeto latino. 8or ejemplo, aplicando dic"a metodolog$a a la frase C7DL9 E&DC, el mensaje cifrado dir$a C<;F DG8>;C. La criptograf$a provee múltiples beneficios que son requeridos para implementar un sistema de firma electrónica. !stos son6
-5-
FIRMAS DIGITALES Y CERTIFICADOS DE SEGURIDAD
A( C)$*i+#$%iali+a+, esto es asegurar que sólo la persona autori0ada tenga acceso a la información encriptada. ( I$t#gri+a+, asegurar que la información no "a sido alterada en su trayecto o almacenamiento. C( At#$ti%a%i'$, verificar la identidad de uno o ambos comunicantes. Los esquemas criptográficos usan algoritmos usualmente públicos (aunque algunos son secretos), y el conocer el algoritmo es condición necesaria :pero no suficiente: para desencriptar la información. !l valor secreto (llave o clave) para descifrar el mensaje es compartido sólo por los comunicantes, y es condición suficiente (pero no necesaria) para desencriptar la información. 8or ejemplo, en el algoritmo empleado por Bulio 5ésar, la clave era ?cambiar cada letra en el mensaje recibido por la letra situada tres posiciones por detrás en el alfabeto latinoA. !s as$ como según el uso y el tipo de clave que intervienen en este proceso, encontramos dos tipos de encriptación6
.1. E$%ri&ta%i'$ /im0tri%a !s el sistema criptográfico más simple y común. !n él se usa una única llave o clave matemática tanto para la encriptación del mensaje, como para su desencriptación.
Figra 1, E$%ri&ta%i'$ Sim0tri%a
La figura H describe el proceso de encriptación utili0ando una única clave secreta. !n este esquema se tiene que6
-6-
FIRMAS DIGITALES Y CERTIFICADOS DE SEGURIDAD
•
•
!l proceso de encriptación asegura confidencialidad, dado que el mensaje sólo puede ser descifrado por el destinatario que conoce la clave secreta. !l destinatario debe conocer, además de la llave simétrica, el algoritmo utili0ado y algunos parámetros que dependen del algoritmo utili0ado.
!l problema de este esquema está en que esa única clave debe ser transferida para todos los entes participantes que requieran decodificar el mensaje, y eso puede dificultar las transacciones por dic"o requerimiento de distribución. 9demás, no es posible asegurar la no:repudiación de una operación, ya que la clave es compartida.
.2. E$%ri&ta%i'$ a/im0tri%a 8or otra parte, también e@iste la llamada criptograf$a de clave pública, técnica que usa un par de claves que constituyen un par único y están indisolublemente relacionadas entre s$. 5ada participante de una comunicación posee uno de estos pares. Ena de las claves es mantenida en forma privada (de a"$ su nombre, clave privada) y la otra es "ec"a pública (clave pública). >eneralmente, cada participante utili0a dos pares6 uno para firma electrónica y autenticación y el segundo para encriptación. !n el caso de la encriptación de un mensaje determinado, la clave pública del destinatario del mensaje se usa para encriptar, y el destinatario usa su clave privada para desencriptar el mensaje.
Figra 2, E$%ri&ta%i'$ A/im0tri%a
La figura muestra el proceso de encriptación utili0ando un par de llaves6 la llave pública del destinatario con la cual se encripta (codifica) el mensaje, y la llave privada del destinatario con la cual se desencripta el mensaje. !n este sistema se tiene que6
-7-
FIRMAS DIGITALES Y CERTIFICADOS DE SEGURIDAD
I !l proceso de encriptación asegura la confidencialidad dado que el mensaje sólo puede ser descifrado por el destinatario con su clave privada. I !l emisor del mensaje debe conocer la llave pública del destinatario y el algoritmo y los parámetros de encriptación que son parte de los datos de creación de claves. I !l destinatario debe estar en posesión de su llave privada, y conocer el algoritmo y los parámetros utili0ados.
.-Cla# &rimaria 3 /#%$+aria El %)$%#&t) +# 4%la# &56li%a7 3 4%la# &ria+a7 !l concepto de criptograf$a de clave pública o ?asimétricaA fue introducido por J. iffie y . 7ellman en el a-o H312. !n este tipo de sistemas intervienen dos claves distintas6 Ena para encriptar y otra para desencriptar. La clave para encriptar es públicamente conocida y, por ende, se denomina Kclave públicaK. La clave para desencriptar solo es conocida por el receptor del mensaje, por lo que se denomina Kclave privadaK. La ventaja de estos sistemas criptográficos es que la denominada clave pública puede ser usada por cualquier persona para encriptar mensajes (transformarlos a te@to ininteligible) bajo la premisa que solo quien posea la clave privada podrá desencriptar (ver en forma legible) dic"os mensajes. e esta manera, por ejemplo, si dos personas se ponen de acuerdo en el valor de una clave secreta, y la mantienen privadamente sólo entre ambos, pueden intercambiar información cifrada. 8or tanto si un agente e@terno intercepta las comunicaciones, no podrá conocer el contenido original de los mensajes, pues sólo observara datos ininteligibles o cifrados. 8ara descifrarlo se necesita conocer la clave. 9 las claves usadas para encriptar también se les denominan comúnmente ?llaves criptográficasA. :!n el ejemplo anterior, se uso la misma clave para encriptar y desencriptar. 9 ésta técnica se le llama ?criptograf$a simétricaA. :
.1. E8#m&l) &r9%ti%) upóngase que dos personas deseasen intercambiar información confidencial% digamos, 9ntonio e /sidora. .1.1. D# &ria+a a &56li%a i 9ntonio env$a a /sidora un mensaje cifrado usando su propia llave privada, /sidora lo puede recuperar usando la llave pública de 9ntonio, la cual es conocida. /sidora esta segura que el mensaje ven$a de 9ntonio, pues solo él lo pudo cifrar usando su llave privada. !sto garanti0a la autenticidad. -8-
FIRMAS DIGITALES Y CERTIFICADOS DE SEGURIDAD
.1.2. D# &56li%a a &ria+a 9simismo, si 9ntonio enviase a /sidora un mensaje cifrado usando la llave pública de /sidora, esta seguro que sólo /sidora puede recuperar o leer el mensaje, pues solo ella tiene el otro par de la llave necesario para descifrar (la llave privada de /sidora). !sto garanti0a confidencialidad. La idea básica de un sistema de clave pública radica en que no es factible (o poco probable), que aun utili0ando el mejor computador disponible, determinar la clave privada a partir de la clave pública.
Figra
9demás, una ve0 encriptado un mensaje, para cualquier persona que no sea el emisor o el receptor es computacionalmente infactible encontrar el mensaje que lo generó. La criptograf$a de clave pública también permite disponer de una "erramienta análoga a las firmas convencionales6 las Kfirmas electrónicas o digitalesK. 9s$, de la misma manera en que una firma manuscrita KconvencionalK puede ser utili0ada en cartas o c"eques para especificar la persona responsable por el documento, una firma digital permite enla0ar un$vocamente a un documento almacenado digitalmente con una persona espec$fica y verificar la autenticidad del contenido del documento. !n particular, un sistema de firmas electrónicas establece un esquema por el cual un KfirmanteK puede acompa-ar un documento con cierta información (una Kfirma digitalK), generada a partir del contenido del documento y de la clave privada del firmante tal que permita al receptor comprobar que el autor del documento es quien dice ser y que el documento no "a sido alterado.
Figra
-9-
FIRMAS DIGITALES Y CERTIFICADOS DE SEGURIDAD
!n los ejemplos mencionados, un aspecto fundamental es poder garanti0ar que la llave pública de /sidora que tiene 9ntonio sea la que le corresponde a /sidora realmente, y no de una impostora (lo mismo para el caso de 9ntonio).
CERTIFICACI"N DIGITAL
8ara garanti0ar que una llave pública le pertenece a cierta entidad, una 9utoridad 5ertificadoraM (95) emite un documento
electrónico
denominado ?certificado digitalA en el cual aparecen una serie de datos de la entidad, como el nombre que la identifica, su llave pública, el periodo de valide0 de dic"o certificado, mas otros datos como el e:mail, restricciones de uso, etc. La autenticidad de estos datos es asegurada pues la 95 ane@a en el mismo certificado su propia ?firma digitalA, tal como se mencionó anteriormente.
La firma correspondiente luego se puede verificar usando la llave pública de la 9utoridad 5ertificadora, de manera que si alguno de los datos del certificado es alterado en lo más m$nimo, la firma se invalida automáticamente.
>aranti0adas la autenticidad, integridad y confidencialidad para la transmisión de información firmada digitalmente, se sientan las bases para la no:repudiabilidad, que quiere decir que el autor de un mensaje
-10-
FIRMAS DIGITALES Y CERTIFICADOS DE SEGURIDAD
as$ firmado no puede negar ni su autor$a ni el contenido del propio mensaje.
En 5ertificado igital es un documento digital mediante el cual un tercero confiable (una autoridad de certificación) garanti0a la vinculación entre la identidad de un sujeto o entidad y su clave pública ('iiNipedia, sOf).
!n resumen, podr$a decirse que el certificado digital es una especie de ?pasaporte electrónicoA, que luego puede utili0ar la entidad para identificarse (por ejemplo, en el conte@to de una transacción electrónica, envió de e:mail, env$o de documentos tributarios, etc.). 9s$, los certificados digitales permiten efectuar comunicaciones electrónicas seguras, proporcionando medios de autenticidad, confidencialidad, no: repudiación e integridad sobre la información transmitida.
9dicionalmente, cabe se-alar que la tecnolog$a de certificados de identidad digital ya viene incorporada en aplicaciones usadas en /nternet, como son el correo electrónico y los navegadores. 8or ejemplo, icrosoft DutlooN *** permite enviar e:mails firmados digitalmente, y transmitir e:mails encriptados. 8ara ello basta con tener previamente instalado un ?certificado digitalA de identidad. 9simismo, con los populares navegadores /nternet !@plorer o &etscape &avigator, reconocen
Los certificados digitales son peque-os documentos digitales que dan fe de la vinculación entre una clave pública y un individuo o entidad. e este modo, permiten verificar que una clave pública espec$fica pertenece, efectivamente, a un individuo determinado. Los certificados ayudan a prevenir que alguien utilice una clave para "acerse pasar por otra persona.
!n algunos casos, puede ser necesario crear una cadena de certificados, cada uno certificando el previo, para que las partes involucradas conf$en en la identidad en cuestión.
-11-
FIRMAS DIGITALES Y CERTIFICADOS DE SEGURIDAD
¿Q0 %)$ti#$# $ %#rti*i%a+) +igital?
!n su forma más simple, el certificado contiene una clave pública y un nombre. 7abitualmente, también contiene una fec"a de e@piración, el nombre de la 9utoridad 5ertificante que la emitió, un número de serie y alguna otra información. 8ero lo más importante es que el certificado propiamente dic"o está firmado digitalmente por el emisor del mismo.
u formato está definido por el estándar internacional /#E:# G.P*3. e esta forma, puede ser le$do o escrito por cualquier aplicación que cumpla con el mencionado estándar
-12-
FIRMAS DIGITALES Y CERTIFICADOS DE SEGURIDAD
AUTORIDAD ADMINISTRATI:A DE LA FIRMA DIGITAL-INDECO!I La firma digital es una "erramienta tecnológica que permite garanti0ar. la autor$a e integridad de los documentos digitales, posibilitando que éstos gocen de una caracter$stica que únicamente era propia de los documentos en papel. Ena firma digital es un conjunto de datos asociados a un mensaje digital que permite garanti0ar la identidad del firmante y la integridad del mensaje. La firma digital no implica asegurar la confidencialidad del mensaje% un documento firmado digitalmente puede ser visuali0ado por otras personas, al igual que cuando se firma "olográficamente. La firma digital es un instrumento con caracter$sticas técnicas y normativas, ésto significa que e@isten procedimientos técnicos que permiten la creación y verificación de firmas digitales, y e@isten documentos normativos que respaldan el valor legal que dic"as firmas poseen. LEGISLACION
R#gla%i'$ /)6r# Firma/ Digital#/ H. Ley &Q 123 Ley de 4irmas y 5ertificados igitales y su modificatoria Ley 1RH* . Ley &Q +*R que dispone la recaudación de un aporte por supervisión y control anual por parte del /ndecopi de las !ntidades de 5ertificación y de SerificaciónO;egistro de 4irmas igitales 9creditadas bajo su ámbito. R. .. &Q *H3:**:BE ;eglamento de la Ley de 4irmas y 5ertificados igitales y su modificatoria . &Q *+:**:BE +. ;es &Q *H*R:**RO5;#:/&!5D8/ que aprobó las isposiciones 5omplementarias al ;eglamento de la Ley de 4irmas y 5ertificados igitales.
-13-
FIRMAS DIGITALES Y CERTIFICADOS DE SEGURIDAD
L#3 +# Firma/ 3 C#rti*i%a+)/ Digital#/ - LE; N< 2=2> 5D&5D;9&5/96 .. &Q *H3:**:BE (;!>L9!D) ;.5D&9!S &Q **:**R:!4:3+.H* ;.B. &Q *:**R:/&!/ ;. &Q *H*R:**R:5;#:/&!5D8/ L!T &Q +*R L!T &Q 211, 9rt. H1 !L 8;!/!! ! L9 ;!8EUL/59 8D; 5E9D6 !l 5ongreso de la ;epública "a dado la Ley siguiente6
LE; DE FIRMAS ; CERTIFICADOS DIGITALES Art@%l) 1.: Dbjeto de la ley La presente ley tiene por objeto regular la utili0ación de la firma electrónica otorgándole la misma valide0 y eficacia jur$dica que el uso de una firma manuscrita u otra análoga que conlleve manifestación de voluntad. !ntiéndase por firma electrónica a cualquier s$mbolo basado en medios electrónicos utili0ado o adoptado por una parte con la intención precisa de vincularse o autenticar un documento cumpliendo todas o algunas de las funciones caracter$sticas de una firma manuscrita. Art@%l) 2.: Vmbito de aplicación La presente ley se aplica a aquellas firmas electrónicas que, puestas sobre un mensaje de datos o a-adidas o asociadas lógicamente a los mismos, puedan vincular e identificar al firmante, as$ como garanti0ar la autenticación e integridad de los documentos electrónicos. DE LA FIRMA DIGITAL Art@%l) .: 4irma digital La firma digital es aquella firma electrónica que utili0a una técnica de criptograf$a asimétrica, basada en el uso de un par de claves único% asociadas una clave privada y una clave pública relacionadas matemáticamente entre s$, de tal forma que las personas que conocen la clave pública no puedan derivar de ella la clave privada. DEL TITULAR DE LA FIRMA DIGITAL Art@%l) .: #itular de la firma digital
-14-
FIRMAS DIGITALES Y CERTIFICADOS DE SEGURIDAD
!l titular de la firma digital es la persona a la que se le atribuye de manera e@clusiva un certificado digital que contiene una firma digital, identificándolo objetivamente en relación con el mensaje de datos.
Art@%l) .: Dbligaciones del titular de la firma digital !l titular de la firma digital tiene la obligación de brindar a las entidades de certificación y a los terceros con quienes se relacione a través de la utili0ación de la firma digital, declaraciones o manifestaciones materiales e@actas y completas. DE LOS CERTIFICADOS DIGITALES Art@%l) >.: 5ertificado digital !l certificado digital es el documento electrónico generado y firmado digitalmente por una entidad de certificación, la cual vincula un par de claves con una persona determinada confirmando su identidad. Art@%l) =.: 5ontenido del certificado digital Los certificados digitales emitidos por las entidades de certificación deben contener al menos6 H. atos que identifiquen indubitablemente al suscriptor. . atos que identifiquen a la !ntidad de 5ertificación. R. La clave pública. +. La metodolog$a para verificar la firma digital del suscriptor impuesta a un mensaje de datos. P. &úmero de serie del certificado. 2. Sigencia del certificado. 1. 4irma digital de la !ntidad de 5ertificación. Art@%l) B.: 5onfidencialidad de la información La entidad de registro recabará los datos personales del solicitante de la firma digital directamente de éste y para los fines se-alados en la presente ley. 9simismo la información relativa a las claves privadas y datos que no sean materia de certificación se mantiene bajo la reserva correspondiente. ólo puede ser levantada por orden judicial o pedido e@preso del suscriptor de la firma digital. Art@%l) .: 5ancelación del certificado digital La cancelación del certificado digital puede darse6 H. 9 solicitud del titular de la firma digital. . 8or revocatoria de la entidad certificante. R. 8or e@piración del pla0o de vigencia. +. 8or cese de operaciones de la !ntidad de 5ertificación. Art@%l) 1.: ;evocación del certificado digital La !ntidad de 5ertificación revocará el certificado digital en los siguientes casos6 H. e determine que la información contenida en el certificado digital es ine@acta o "a sido modificada. . 8or muerte del titular de la firma digital.
-15-
FIRMAS DIGITALES Y CERTIFICADOS DE SEGURIDAD
R. 8or incumplimiento derivado de la relación contractual con la !ntidad de 5ertificación.
Art@%l) 11.: ;econocimiento de certificados emitidos por entidades e@tranjeras Los 5ertificados de 4irmas igitales emitidos por entidades e@tranjeras tendrán la misma valide0 y eficacia jur$dica reconocida en la presente ley, siempre y cuando tales certificados sean reconocidos por una entidad de certificación nacional que garantice, en la misma forma que lo "ace con sus propios certificados, el cumplimiento de los requisitos, del procedimiento, as$ como la valide0 y la vigencia del certificado. (I) (I) 9rt$culo modificado por el 9rt$culo Enico de la Ley &Q 1RH*, publicada el H1: *1:***, cuyo te@to es el siguiente6 ?9rt$culo HH.: Los 5ertificados de 4irmas igitales emitidos por !ntidades !@tranjeras tendrán la misma valide0 y eficacia jur$dica reconocidas en la presente Ley, siempre y cuando tales certificados sean reconocidos por la autoridad administrativa competente.A
DE LAS ENTIDADES DE CERTIFICACION ; DE REGISTRO Art@%l) 12.- !ntidad de 5ertificación La !ntidad de 5ertificación cumple con la función de emitir o cancelar certificados digitales, as$ como brindar otros servicios in"erentes al propio certificado o aquellos que brinden seguridad al sistema de certificados en particular o del comercio electrónico en general. Las !ntidades de 5ertificación podrán igualmente asumir las funciones de !ntidades de ;egistro o Serificación. Art@%l) 1.: !ntidad de ;egistro o Serificación La !ntidad de ;egistro o Serificación cumple con la función de levantamiento de datos y comprobación de la información de un solicitante de certificado digital% identificación y autenticación del suscriptor de firma digital% aceptación y autori0ación de solicitudes de emisión de certificados digitales% aceptación y autori0ación de las solicitudes de cancelación de certificados digitales. CONCORDANCIAS, LE; N 2B Art@%l) 1.: epósito de los 5ertificados igitales 5ada !ntidad de 5ertificación debe contar con un ;egistro disponible en forma permanente, que servirá para constatar la clave pública de determinado certificado y no podrá ser usado para fines distintos a los estipulados en la presente ley. !l ;egistro contará con una sección referida a los certificados digitales que "ayan sido emitidos y figurarán las circunstancias que afecten la cancelación o vigencia de los mismos, debiendo constar la fec"a y "ora de inicio y fec"a y "ora de finali0ación. 9 dic"o ;egistro podrá accederse por medios telemáticos y su contenido estará a disposición de las personas que lo soliciten.
-16-
FIRMAS DIGITALES Y CERTIFICADOS DE SEGURIDAD
Art@%l) 1.- /nscripción de !ntidades de 5ertificación y de ;egistro o Serificación !l 8oder !jecutivo, por ecreto upremo, determinará la autoridad administrativa competente y se-alará sus funciones y facultades. La autoridad competente se encargará del ;egistro de !ntidades de 5ertificación y !ntidades de ;egistro o Serificación, las mismas que deberán cumplir con los estándares técnicos internacionales. Los datos que contendrá el referido ;egistro deben cumplir principalmente con la función de identificar a las !ntidades de 5ertificación y !ntidades de ;egistro o Serificación. Art@%l) 1>.: ;eglamentación !l 8oder !jecutivo reglamentará la presente ley en un pla0o de 2* (sesenta) d$as calendario, contados a partir de la vigencia de la presente ley. 5D&5D;9&5/96 ;.. &Q *3:***:BE /8D/5/D&! 5D8L!! /9, #;9&/#D;/9 T 4/&9L! 8rimera.: ientras se cree el ;egistro se-alado en el 9rt$culo HP, la valide0 de los actos celebrados por !ntidades de 5ertificación y !ntidades de ;egistro o Serificación, en el ámbito de la presente ley, está condicionada a la inscripción respectiva dentro de los +P (cuarenta y cinco) d$as siguientes a la creación el (I) &D#9 8/B referido ;egistro. egunda.: !l ;eglamento de la presente ley incluirá un glosario de términos referidos a esta ley y a las firmas electrónicas en general, observando las definiciones establecidas por los organismos internacionales de los que el 8erú es parte. #ercera.: La autoridad competente podrá aprobar la utili0ación de otras tecnolog$as de firmas electrónicas siempre que cumplan con los requisitos establecidos en la presente ley, debiendo establecer el ;eglamento las disposiciones que sean necesarias para su adecuación. 5omun$quese al se-or 8residente de la ;epública para su promulgación. !n Lima, a los oc"o d$as del mes de mayo del dos mil. 9;#79 7/L!U;9&# 8W;!X #;!S/FD 8residenta del 5ongreso de la ;epública ;/59;D 9;5!&9;D 4;!; 8rimer Sicepresidente del 5ongreso de la ;epública 9L !FD; 8;!/!! 5D&#/#E5/D&9L ! L9 ;!8EUL/59 8D; #9D6 ando se publique y cumpla. ado en la 5asa de >obierno, en Lima, a los veintiséis d$as del mes de mayo del a-o dos mil. 9LU!;#D 4EB/D;/ 4EB/D;/ 8residente 5onstitucional de la ;epública 9LU!;#D UE#99! U!L9E&! 8residente del 5onsejo de inistros y inistro de Busticia
-17-
FIRMAS DIGITALES Y CERTIFICADOS DE SEGURIDAD
!RO!IEDADES
La firma es auténtica6 cuando un usuario usa una llave pública de 9 para
descifrar un mensaje, él confirma que fue 9 y solamente 9 quien envió el mensaje.
La firma no puede ser violada 6 solamente 9 conoce su llave secreta.
El documento firmado no puede ser alterado: si "ubiera cualquier
alteración en el te@to encriptado, éste no podr$a ser restaurado con el uso de la llave pública de 9.
La firma no es reutilizable: la firma es una función del documento y no
puede ser transferida para otro documento.
La asignación no puede ser rechazada: el usuario U no precisa de
ninguna ayuda de 9 para reconocer su firma y 9 no puede negar tener firmado dic"o documento.
:ENTAAS OFRECIDAS !OR LA FIRMA DIGITAL !l uso de la firma digital satisface los siguientes aspectos de seguridad6 o
/ntegridad de la información6 la integridad del documento es una protección contra la modificación de los datos en forma intencional o accidental. !l emisor protege el documento, incorporándole a ese un valor de control de integridad, que corresponde a un valor único, calculado a partir del contenido del mensaje al momento de su creación. !l receptor deberá efectuar el mismo cálculo sobre el documento recibido y comparar el valor calculado con el enviado por el emisor. e coincidir, se concluye que el documento no "a sido modificado durante la transferencia.
o
9utenticidad del origen del mensaje : este aspecto de seguridad protege al receptor del documento, garanti0ándole que dic"o mensaje "a sido
-18-
FIRMAS DIGITALES Y CERTIFICADOS DE SEGURIDAD
generado por la parte identificada en el documento como emisor del mismo, no pudiendo alguna otra entidad suplantar a un usuario del sistema. !sto se logra mediante la inclusión en el documento transmitido de un valor de autenticación (95, essage autentication code). !l valor depende tanto del contenido del documento como de la clave secreta en poder del emisor. &o repudio del origen : el no repudio de origen protege al receptor del
o
documento de la negación del emisor de "aberlo enviado. !ste aspecto de seguridad es más fuerte que los anteriores ya que el emisor no puede negar bajo ninguna circunstancia que "a generado dic"o mensaje, transformándose en un medio de prueba inequ$voco respecto de la responsabilidad del usuario del sistema. Imposibilidad de suplantación 6 el "ec"o de que la firma "aya sido creada
o
por el signatario mediante medios que mantiene bajo su propio control (su clave privada protegida, por ejemplo, por una contrase-a, una tarjeta inteligente, etc.) asegura, además, la imposibilidad de su suplantación por otro individuo. Auditabilidad 6 permite identificar y rastrear las operaciones llevadas a
o
cabo por el usuario dentro de un sistema informático cuyo acceso se reali0a mediante la presentación de certificados, El acuerdo de claves secretas6 garanti0a la confidencialidad de la
o
información intercambiada ente las partes, esté firmada o no, como por ejemplo en las transacciones seguras reali0adas a través de L. ILIOGRAFIA6 •
?erec"o /nformáticoA, Buan Bosé Ulossiers 7úme
•
"ttp6OO'''.universia.edu.peOportadaOactualidadOnoticiaYactualidad.jspZ noticia=+PR2
•
"ttp6OOca.sgp.gov.arOfaq."tml[\ue]*es]*una]*firma]*digital ^
-19-
FIRMAS DIGITALES Y CERTIFICADOS DE SEGURIDAD
•
"ttp6OO'''.indecopi.gob.peOuploadOcrtOfirmasigitalesOreglamentods*H3:**: jus.84
•
"ttp6OO'''.idea.edu.peOalegalesOcertifdigitles.84
•
"ttp6OO'''.idea.edu.peOalegalesOreglamenteodelaleydefirmas123.pdf
•
"ttp6OO'''.acepta.comOocO4irmaYigital.pdf
•
"ttp6OOingenieroseninformatica.orgOrecursosOtutorialesOfirmaelectronicaOcapR.p"p
•
"ttp6OO**.HH.2.*Oportal/ndecopiJeb9ppOservicios:4irma5erigital:que: es.jsp
•
"ttp6OO'''.mercadolibre.com.peOseguroYseguridad."tml
•
"ttp6OO'''.pcm.gob.peOportalYongeiOseguridadYarc"ivosOLibP*H*Ocap*P*1."tm l
-20-