Firma Electrónica Avanzada - Inicio · Definición A la firma electrónica que permite la...
Transcript of Firma Electrónica Avanzada - Inicio · Definición A la firma electrónica que permite la...
Firma Electrónica Avanzada
Firma Electrónica en la SFP
Firma Electrónica Simple
La firma electrónica simple NO proporciona los servicios de no repudio ni de integridad.
Definición
“Los datos en forma electrónica consignados en un mensaje de datos, o adjuntados
o lógicamente asociados al mismo, que puedan ser utilizados para identificar al
firmante en relación con el mensaje de datos e indicar que el firmante aprueba la
información recogida en el mensaje de datos” (UNCITRAL).
Técnicamente, una firma electrónica es un conjunto o bloque de caracteres que
viaja junto a un documento, archivo o mensaje y que puede identificar quién es el
presunto autor o emisor del mismo (autenticación) y crea una relación entre el
documento firmado y su autor (Identificación).
Definición
A la firma electrónica que permite la identificación del firmante y ha sido generada
bajo su exclusivo control, conocida también como firma digital, que vincula
exclusivamente al mismo con el mensaje de datos al que se adjunta o asocia, lo que
permite que sea detectable cualquier modificación ulterior a éste.
Firma Electrónica Avanzada
Integridad
No repudio
Confidencialidad
De acuerdo a la UNCITRAL para que una firma electrónica sea
considerada como avanzada:
a) Los datos de creación de la firma, en el contexto en el
que son utilizados, corresponden exclusivamente al
firmante.
b) Los datos de creación de la firma estaban, en el
momento de la firma, bajo el control exclusivo del
firmante.
c) Es posible detectar cualquier alteración de la firma
electrónica hecha después del momento de la firma; y
d) Es posible detectar cualquier alteración ulterior de la
información firmada.
Tanto la firma electrónica como la firma electrónica avanzada, cumplen con las
características de la firma autógrafa, pero permiten hacerlo en medios electrónicos
con seguridad técnica y jurídica.
Firma Electrónica Avanzada
Firma
Autógrafa
Firma
Electrónica
Simple
Firma
Electrónica
Avanzada
E l e m e n t o s f o r m a l e s
La firma como signo personal. El animus signandi
E l e m e n t o s f u n c i o n a l e s
Identificación Autentificación Confidencialidad X Integridad X X No repudio X X
Firmas Digitales
Esta es el equivalente a la firma autógrafa convencional, ya que un individuo
puede firmar datos y otras entidades pueden leer esta firma y verificar su exactitud.
Sin embargo la firma digital es más segura.
Mensaje en claro Valor hash
Función
HASH
Llave Privada
+
= FIRMA DIGITAL
Documento
firmado
Mensaje en claro
Firmas Digitales
Verificación de Firmas digitales
Valor hash
Función
HASH
=
Mensaje en claro
FIRMA DIGITAL
Llave Pública
Valor hash
Documento
firmado
Infraestructura de Llave Pública
Una Infraestructura de Llave Pública (o en inglés, PKI, Public Key Infrastructure)
es una combinación de hardware y software, tecnologías de cifrado, servicios,
políticas y procedimientos que permiten proteger la seguridad de las transacciones
de información en un sistema distribuido.
PKI integra certificados digitales, criptografía de llave pública y autoridades de
certificación en una arquitectura de seguridad unificada.
Los servicios de seguridad que puede proporcionar una PKI son:
Confidencialidad Notarización
Integridad No-repudio
Autenticidad No-repudio de origen
Comunicación segura No-repudio de recepción
Estampas de tiempo Administración de privilegios
Privacidad
Infraestructura de Llave Pública
Autoridad Certificadora (AC)
Suscriptor o Usuario final
Repositorio
Parte confiante
Autoridad Registradora (AR)
Solicita un certificado
Solicita un certificado
Emite un certificado
Mensaje firmado
Llave Pública
Entidades PKI
Ley Federal de
Procedimiento
Administrativo
Marco normativo – SFP
1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009
Acuerdo
CompraNET
Acuerdo
CompraNet
“Uso de medios
de identificación
electrónica”
Reformas
L.F.P.A
LFRASP
Acuerdo
DeclaraNet
“Dec Patrim
por medios de
comunicación
electrónica”
Acuerdo
DeclaraNet
FE-SFP
FEA
Acuerdo
SAT-SFP
Acuerdo
“Normas de
Operación”
RSPS
Acuerdo
“Expedición por
medios remotos de
comunicación
electrónica”
RSPS
Acuerdo
Declaranet
FEA
Acuerdo
CIDGE
Lineamientos
Subcomisión
FEA
Acuerdo
“Medios de
com elec”
L.F.P.A.
Nueva
LAASSP
Ley de
Adquisiciones
y Obras
Públicas
Homologación de la operación de la FEA en la APF
Código Fiscal
Federal
Ley Federal de Procedimiento
Administrativo
Código de Comercio
SFP SAT
Subcomisión de la FEA
SE
Lineamientos de la FEA
• Procedimiento de certificación
de la Identidad
• Estructura del Certificado
Digital
• Funciones y Procedimientos
de una Autoridad Certificadora
• Interoperabilidad entre
Autoridades Certificadoras
Dependencias y
Entidades
APF
Subcomisión de FEA
Implementación y uso de
certificados digitales
“Módulo para la Firma Electrónica
de Documentos”
Antecedentes
Actualmente los sistemas de la APF que utilizan firma electrónica, emplean componentes criptográficos personalizados al 100% con la aplicación, por lo que no pueden ser reutilizados para otros servicios.
Derivado de lo anterior, la implementación de la firma electrónica ha sido paulatina, por lo que la gran mayoría de los servicios electrónicos en la Administración Pública Federal hasta el día de hoy no cuentan con una firma electrónica, por ello la SFP desarrollo en el 2008 el Módulo para la Firma Electrónica de Documentos.
TramitaNet
E-5cinco RUPA
DeclaraNet
CompraNet
Infraestructura
Tecnológica
Integral
Desde 1995…
Objetivo, Misión y Visión
OBJETIVO
Dar a conocer las alternativas de implementación del proyecto de
Módulo para la Firma Electrónica de Documentos, a los
usuarios de la Secretaría de la Función Pública y de la
Administración Pública Federal, con la finalidad de reducir los
gastos y de poder contar con la interoperabilidad de distintas
aplicaciones.
MISIÓN
Simplificar los procesos con el
Módulo para la Firma
Electrónica de Documentos
en las aplicaciones y trámites
sin tener que gastar recursos
propios para su implementación
en toda la Administración
Pública Federal.
VISIÓN
Proporcionar y/o dar un
servicio a toda la
Administración Publica
Federal para que cualquier
aplicación que requiera del
uso de la Firma Electrónica
Avanzada pueda hacerlo con
un solo componente
criptográfico.
Servicios de Firmado Electrónico 2008
Tecnología orientada a Servicio
In
teg
ració
n y
Po
rta
bil
ida
d
+
-
+ -
RENAT
Servicios de Firmado
Uso de tecnología de firmado exclusiva de cada aplicación.
Inversión de recursos para el desarrollo de la solución de firmado en cada aplicación.
Sin integración de todos los servicios de una PKI (OCSP, estampillas de tiempo, registros de auditoría, etc.)
Soluciones no portables.
Servicios de Firmado Electrónico
RENAT
Situación 2008
RENAT
FEU
Visión 2012
Modelo de Servicio para las Dependencias
La SFP pone a disposición de la APF el Módulo para la Firma
Electrónica de Documentos la cual les permitirá mejorar sus
trámites y servicios
Dependencia
Firma Electrónica
Auditorias
Aplicaciones de la
dependencia
Servicios proporcionados
Modelo de servicio
Mecanismo basado en un modelo de servicio que promueve la
interoperabilidad entre las aplicaciones, autoridades
certificadoras y certificados digitales.
Autoridades Certificadoras Aplicaciones
Servicios Usuarios
FEU OCSP
Firma de
Documentos
Verifica
Firma
MIFE Módulo de Firma
Electrónica de
Documentos
Modelos de servicio de firmado electrónico
Transferencia a dependencia Servicio proporcionado por la SFP
Aplicación
FEU
Paquete
FEU
Reutilización de recursos a través un mecanismo orientado a un modelo de servicio.
Logra la interoperabilidad entre las entidades y sistemas.
Modelo replicable a otras dependencias.
Aprovechamiento de servicios PKI (OCSP, estampillas de tiempo, notaria electrónica, etc.)
Solución altamente portable.
Independencia de plataforma.
Ahorro en la adquisición de licencias de software por cada aplicación que utilice un componente de firmado electrónico.
Rápida integración a diversos procesos y servicios conforme a requerimientos.
BENEFICIOS
Servicios de Firmado Electrónico 2009
Tecnología orientada a Servicio
In
teg
ració
n y
Po
rta
bil
ida
d
+
-
+ -
RENAT
Proyecto 2012
Integración de procesos de la SFP.
Integración de procesos de otras dependencias de la APF.
Modelo de servicio
Los pasos para implementar el servicio de la Firma Electrónica de Documentos
son:
CD con manuales de
uso
Formato de
Condiciones de Uso
Id de conexión
Usuario Datos de
aplicación
1. Realizar el registro del responsable y de la aplicación que
utilizará el servicio de Firma Electrónica Avanzada. La salida de
este proceso es de forma manual y se firma el formato de
condiciones de uso y un identificador de la aplicación registrada.
Registro en el Módulo de
Firma Electrónica de
Documentos
Solicitud de Servicio
Utilización del Servicio por una Aplicación
2. Solicitud del servicio mediante un Identificador de aplicación previamente
registrado, con el cual se configura y personaliza el componente de firma
electrónica.
Archivo
Firmado
Folio
Id de conexión
Continuar
con flujo de
la
aplicación
(Acuse)
Aplicación
Módulo de Firma
Electrónica de
Documentos
Implementación
Una vez que identifique y decida el punto en donde la aplicación integrará el Módulo de
Firma Electrónica de Documentos, esta deberá invocar el componente esperando
como resultado el número de folio correspondiente a la transacción: Como parte de la
información que se debe de tomar en cuenta al momento de registrarse en el módulo
de enrolamiento es la URL que tomará el control del flujo original del proceso, después
de efectuar la Firma Electrónica, por ejemplo ,un acuse, Como se muestra en la figura
el componente acuse es llamado por el componente de Firma Electrónica de
Documentos el cual le dará la continuidad al flujo de la aplicación que estará
implementando la Firma Electrónica.
Módulo de
Firma
Electrónica
Documentos
Invocar Módulo
De Firma
Electrónica
de Documentos
SFP
Dependencia
Implementación
Al invocar el servicio de Firma Electrónica de Documentos se presentara la siguiente pantalla
Una vez que el usuario firma la transacción al oprimir el botón “Siguiente”, el módulo de Firma Electrónica
de Documentos le devolverá el control a la aplicación solicitante del servicio para continuar con el proceso
(ej. Generación de acuse de recibo de la transacción)
Siguientes acciones…
Identificar trámites o servicios que requieran implementar firma electrónica
Análisis de factibilidad de implementación
¿Cuál es el objetivo de implementar firma electrónica en el trámite o servicio electrónico?
- Cifrado/Descifrado - Medio de autenticación - Firmas digitales (equivalencia a firma autógrafa)
Estimación de número de usuarios involucrados
Estimación del número de transacciones de firmado
Identificación de recursos disponibles para la implementación de firma electrónica
- Recursos humanos para desarrollo - Recursos financieros para adquisición de infraestructura tecnológica
Elementos PKI a utilizar (Certificados digitales, validaciones a certificados digitales, OCSP)
Modelado de proceso del trámite o servicio electrónico
Identificación de casos de uso en el que se requiera firma electrónica
Pruebas piloto / Implementación
Aseguramiento de sustento normativo para la firma electrónica
Publicación en Diario Oficial de la Federación de las reglas de operación