Firma digital
Agenda
Modelo Conceptual Autenticación y Firma Digital con Certificados Digitales
Infraestructura de Llave Pública
Modelo Conceptual
Problemática
Internet = Ventajas, pero también Riesgos
Inseguridad en Internet • Suplantación de Identidad • Robo de información • Fraude
Usuario y Password es un mecanismo poco robusto
UsuarioPassword
Spoofing
?
Ciudadano
Phishing
Internet
Pharming
?
Banca Electrónica Gobierno Digital Comercio Electrónico
Keyloggers
Alternativa de Solución
Entregar a los usuarios mecanismos robustos de autenticación y firma Certificados Digitales y Firma Digital
Protección de la identidad Autenticación confiable Comunicación Segura
Usuario Password
InternetCiudadano
Banca Electrónica Gobierno Digital Comercio Electrónico
Fortalezas de la Solución
La seguridad esta basada en secretos (passwords, pins, llaves)
Problemas:
• Los secretos se exponen, la información sensible viaja • Secretos poco complejos pueden “adivinarse” (fuerza bruta, diccionarios) • Factor humano (ingeniería social, uso incorrecto de Passwords)
Certificados Digitales y FirmaDigital
El secreto nunca se expone, se protege en el dispositivo El secreto posee gran complejidad (computacionalmente inquebrable) Combinación de “algo que sé y algo que tengo” Posibilidad de revocación en línea
Sustento Legal
Ley 8454 Documento de Políticas
Declaración de Prácticas de Certificación
Reglamento
RFC’s
Normativa internacional
ISO 21188 ISO 17021 ISO 27001Ley: Alcance de la Firma Digital
Valor Equivalente (art. 9):
“Los documentos y las comunicaciones suscritos mediante firma digital, tendrán el mismo valor y la eficacia probatoria de su equivalente firmado en manuscrito.”
Presunción de autoría (art. 10)
“Todo documento […] asociado a una firma digital certificada se presumirá, salvo prueba en contrario, de la autoría y responsabilidad deltitular del correspondiente certificado digital […]”
Identificación unívoca Vinculación jurídica Validez y eficacia probatoria Presunción de autoría No Repudio
Llave Pública y Privada
Suponga la existencia de candados especiales que utilizan dos llaves.
Si una llave de ellas se utiliza para cerrarlos, solamente la llave correspondiente podrá ser usada para abrirlos.
LlavePrivada (Cerrar)
Llave Pública (Abrir)
La Llave Privada debe mantenerse secreta, mientras que la Llave Pública puede ser distribuida.
Llave Pública y Privada
Si una de estas llaves se utiliza para cerrar un candado, solamente la llave correspondiente puede ser usada para abrirlo.
Internet
Dispositivo Seguro
Mecanismo de Autenticación y Firma – sustituye los actuales
Utilizado parafirmar digitalmente y autenticarse en forma segura. Protege la Llave Privada.
Uso de PIN de Activación Las Llaves Privadas nunca son expuestas Protección física y lógica
También se utilizan Tokens USB
Documento de Identidad Electrónico
España Bélgica Finlandia
Estonia
Italia
Suecia
Costa Rica (mediano plazo)
Certificado Digital
El Certificado Digital es undocumento electrónico que relaciona una identidad con una Llave (Pública). Sus componentes principales son:
Titular Una Llave Pública Emisor Periodo de validez
Solamente contendrán información inherente a la persona
subject = Oscar Solís Solís serial number = 1-0967-0538 Mecanismo de Verificación Se entrega con el dispositivo
Tipos de Certificados Digitales
Certificado de PersonaFísica
Firma Digital y Autenticación de Personas Físicas Implementa Equivalencia Funcional con Firma Autógrafa
Certificado de Agente Electrónico
Firma Digital y Autenticación de Entidades Implementa Servicios Electrónicos Automatizados
Certificado de Sellado de Tiempo (TimeStamping)
Garantizar la existencia de una firma o un documento en el tiempo
Firma Digital
La firma...
Regístrate para leer el documento completo.