Post on 23-Feb-2016
description
Formatos Oficiales de los Documentos Electrónicos Firmados Digitalmente
Alexander Barquero ElizondoDirector
Dirección de Certificadores de Firma DigitalMinisterio de Ciencia, Tecnología y Telecomunicaciones
Refrescando Conceptos
La firma digital es una solución tecnológica que permite autenticar el origen y verificar la integridad del contenido de un mensaje de manera tal que ambas características sean demostrables ante terceros.
Propiedades:
Autenticidad: El emisor es quien dice ser.Integridad: El documento no se ha modificadoNo Repudio: El emisor no puede negar la autoría
Firma Digital
Requisitos para una solución nacional de firma digital exitosa
• Infraestructura tecnológica robusta.• Marco jurídico claro.
= Confianza.
¿Qué es un documento firmado digitalmente?
• Mini-demo.
Documentos Firmados Digitalmente
ellzU11tlNvBHcjLv1O6OKvtV9xUxXNq/2RGvyq7VjQ=
Estimado Juan, espero que se encuentre muy bien. Por medio de la presente, quiero manifestarle mi deseo de que usted forme parte de la Junta Directiva de lpsofactus S.A.
Quedo a la espera de su respuesta.
Cordialmente, Jorge
METADATOS
DOCUMENTO=
¿Cuándo se adquiere el “combo” de firma digital, qué recibe un ciudadano?
• Lector– Vida útil depende de cuidado del cliente
• Tarjeta inteligente– Vida útil depende de cuidado del cliente
• Certificados digitales dentro de la tarjeta– Vigencia de dos años*
• Servicio de soporte– Durante toda la vigencia de los certificados
Política de Formatos Oficiales
www
www
Uso de Formatos Propietarios• Documentos firmados
en formatos no estándar.
• Dificultad para ser validados por otras instituciones o utilizados en procesos legales.
Sin Estampado de Tiempo• Documento firmado en
enero.• Certificado venció y fue
renovado en febrero.• Todos los documentos
firmados previamente aparecen inválidos.
Enero
FebreroMarzo
Sin Información de Revocación• Sin acceso a Internet,
los documentos no auto-contenidos podrían saler inválidos.
Poco conocimiento sobre Firma Digital
Malas implementaciones o usos de Firma Digital• A
plicaciones a la medida
• Paquetes ofimáticos
Desencanto de los usuarios de Firma Digital
Perdida de confianza en la Firma Digital
Consecuencias
Oportunidad
Objetivos
Normar el tipo de documentos electrónicos firmados digitalmente que se usan en el país.
Mejorar el conocimiento sobre la correcta implementación de la Firma Digital en el país.
Establecer mecanismos que permitan garantizar la buena implementación del documento electrónico firmado.
Proyecto: Definición del Formato Oficial de Documento Electrónico Firmado
Digitalmente
Formato Oficial• Permiten la utilización de algoritmos criptográficos robustos.
• Respetan el principio de neutralidad tecnológica:– Son estándares abiertos.– Pueden ser empleados en escenarios multiplataforma.– No están sujetos a un determinado producto licenciado.
• Cuentan con una adecuada documentación técnica.
• Permiten la incorporación de múltiples firmas en un documento electrónico.
Formato Oficial• Implementan los principios de un mecanismo de firma confiable:
– Garantía de la autenticidad del documento electrónico.– Garantía de la integridad del documento electrónico.– Ubicación fehaciente del documento electrónico en el tiempo.
• Especifican mecanismos estandarizados para garantizar la preservación y verificación de la validez de las firmas digitales del documento electrónico en el tiempo:– Inclusión de sellos de tiempo en el documento electrónico.– Inclusión de la ruta de certificación en el documento electrónico.– Inclusión de la información de revocación en el documento
electrónico.
CADES X-L
XADES X-L
PADES LTV
• Diseñado para documentos en formatos PDF
• Nivel LTV (validación a largo plazo)
• ETSI TS 102 778
• Diseñado para documentos en formatos binarios (ej.: fotos, programas)
• Nivel X-L (validación a largo plazo)
• ETSI TS 101 733
• Diseñado para documentos en formatos XML (ej.: soluciones a la medida, factura electrónica)
• Nivel X-L (validación a largo plazo)
• Formato ideal para escenarios de interoperabilidad.
• ETSI TS 101 903
CADES X-L
XADES X-L
PADES LTV
Política de Formatos Oficiales
Documento
Firma Digital + Certificado Digital
Sellos de TiempoRutas de Certificación
Info. de Revocación
DOCUMENTOS DE TEXTO DOCUMENTOS DE OFFICE* DOCUMENTOS DE LIBREOFFICE* PDF’S
XML’S TRANSACCIONES FACTURAS ELECTRÓNICAS
OTROS
INTEGRIDAD + AUTENTICIDAD + NO REPUDIO
VALIDEZ EN EL TIEMPO
VALIDEZ COMO FIRMA DIGITAL CERTIFICADA
VALIDEZ ANTE DESCONEXIÓN DE LA CA EMISORA
Política de Formatos Oficiales
• Rige a partir de publicación: 20 de Mayo, 2013
• Disposiciones:– Aplica para todo nuevos uso de FD.– Transitorio de 24 meses para cambios.
• Otros elementos:– Perfiles de construcción de documentos.– Guías de configuración de herramientas ofimáticas.– Guías de verificación de la validez.
Ideas y Comentarios
Correo Electrónico
• Es un documento electrónico.– “Cualquier manifestación con carácter representativo o
declarativo, expresada o transmitida por un medio electrónico.”
– Problema de la palabra “correo”.• Las fotos, los videos y los mp3, entre muchos otros,
también son documentos electrónicos.• No recomendamos firmar los correos electrónicos,
mejor adjuntar los documentos electrónicos firmados digitalmente.
Transición a Soportes Electrónicos• Artículo 6.- Gestión y conservación de documentos electrónicos
“Cuando legalmente se requiera que un documento sea conservado para futura referencia, se podrá optar por hacerlo en soporte electrónico (…)La transición o migración a soporte electrónico, cuando se trate de registros, archivos o respaldos que por ley deban ser conservados, deberá contar, previamente, con la autorización de la autoridad competente. (…)”
• Ejemplo: Conozca su cliente.
Copias de los Documentos
Migración de los Documentos
¿De que no se trata el uso de documentos electrónicos?
• NO se trata de satanizar ni eliminar el papel.– Reconocer el valor sentimental, histórico y cultural de gran
cantidad de documentos en soporte físico.
• NO se trata de digitalizarlo todo.– Digitalizar != escanear.
• NO se trata de destruir todo lo que se digitaliza.– ElActaDeLaIndependencia.pdf– La_Carta_de_Bonaparte.jpg
¿De que no se trata el uso de documentos electrónicos?
• NO se trata de pasar del papel a los documentos electrónicos de un día para otro.
• NO se trata de usar los documentos electrónicos y dejarlos en el escritorio de la computadora.
• NO se trata de firmar digitalmente documentos electrónicos para luego imprimirlos.
¿De que se trata el uso de documentos electrónicos?
• Se trata de analizar y determinar cuales procesos y documentos de la organización generan más valor en el mundo digital.
• Se trata de reducir gastos innecesarios en impresión, distribución y almacenamiento en papel operativo.
• Se trata de contar con herramientas que permitan BUSCAR contenido fácilmente.
• Se trata de estandarizar la producción documental de la institución para una mejor gestión del conocimiento.
¿De que se trata el uso de documentos electrónicos?
• Se trata de fomentar la interoperabilidad y el intercambio de información con nuestras sedes y con otras instituciones.
• Se trata de facilitar el proceso de transferencia de la información de una institución a otra.
• Se trata de incrementar la eficiencia del uso de los recursos públicos en la prestación de los servicios al ciudadano.
• Se trata de mejorar la calidad de vida de todas y todos nosotros.
¿Y si se pierde toda la información que tenemos en documentos electrónicos?
• Un ADECUADO diseño, implementación y administración de un sistema de gestión documental, GARANTIZA la conservación e interpretación en el tiempo de los documentos electrónicos que resguarda.– Personal capacitado.– Mantenimiento continuo.– Respaldos y soluciones contingentes.– Tecnologías abiertas.
Las 5 crudas verdades
1. Van a tener que leer, estudiar y aprender sobre nuevos temas que nunca les enseñaron en la U.
2. Nadie va a hacer su trabajo por ustedes. Tienen que arrollarse las mangas.
3. El trabajo no se va a realizar mágicamente en charlas ni reuniones.
4. Deben ponerse de acuerdo y trabajar en conjunto con los Informáticos.
5. Tienen que convencerse, y luego lograr convencer a sus superiores y a la gerencia de la necesidad de un uso adecuado de los documentos electrónicos y la firma digital.
Los 5 pasos para empezar a trabajar HOY
1. Perder el miedo.2. Leer, estudiar y aprender.3. Leer, estudiar y aprender.4. Diseñar un proyecto piloto con un proceso
pequeño y un grupo pequeño de la organización.
5. Tirarse al agua.
Cifras de emisión, Entidades que usan la Firma Digital, Espíritu de la DCFD
La Dirección de Certificadores de Firma Digital
Solicitudes de Firma Digital completadas 2009 - 2013
Solicitudes de Firma Digital completadas 2009 - 2013
113
555 909
716
2.298 2.291
2.973 2.891
2.681
1.972
3.914
4.650
4.312
6.251
5.679
5.918
-
1.000
2.000
3.000
4.000
5.000
6.000
7.000
Entidad ProyectoINSTITUCIONES PÚBLICASARESEP •Sistema de quejasCasa Presidencial •Leyes y decretos
CCSS
•SICERE: Asegurados / Patronos•Pago de incapacidades•Consulta pago de proveedores
CGR•Declaración jurada•Planes y Presupuestos (SIPP)
CNFL•Ventanilla única•Certificados de medidores•Programa empresarial de teletrabajo
COSEVI •Registro dirección electrónica vial
Gobierno Digital•CrearEmpresa•EnTiempo•Mer-Link
ICE •Gestión documental•Web institucionales
Entidades utilizando . Entidad Proyecto
INS •Pago de pólizas e hipotecas•Expediente médico –SIMA
Imprenta Nacional•Firma de textos a ser publicados •Gaceta Digital
JPS•Autenticación en sitios internos •Firma en sistemas internos
COMEX •Correspondencia internaMAG •Registro de OVMMICITT •Evaluación de personal
MHDA•TICA•CompraRed•Tributación Digital
MTSS •Reglamentos internos de trabajo
Municipalidad de San José •Autenticación en web
Poder Judicial•Expedientes Judiciales•Solicitud hoja de delincuencia
PROCOMER •Registro a Zonas FrancasTSE •Matrimonio Digital
Entidad Proyecto
SUGEVAL•Autenticación en web•Firma de transacciones
SUGESE •Correspondencia interna y externa
MUTUALES DE AHORRO Y PRESTAMO
Mutual Alajuela•Firma de transacciones•Actas de comités
COOPERATIVAS DE AHORRO Y PRESTAMO
Coopenae•Autenticación en web •Firma de transacciones
OTRAS INSTITUCIONES
Colegio de Ingenieros•Autenticación en web•Envío de planos firmados
Entidades utilizando .
Entidad ProyectoBANCOS
Banco Central
•Central Directo•Correspondencia interna•Autenticación en estaciones
Banco de Costa Rica •Autenticación en web•Firma de transacciones
Banco Popular •Autenticación en webBanco Lafise •Autenticación en web
•Firma de transaccionesBanco Promérica •Autenticación en webSUPERINTENDENCIAS
SUPEN•Información de afiliados•Denuncias
SUGEF•SICVECA•Consulta información crediticia
¿Qué es lo que buscamos?
Más y mejores servicios de gobierno electrónico.
Potenciar la simplificación de trámites.
Impulso al compromiso país de carbono neutralidad.
Mayor eficiencia y reducción de costos operativos de las instituciones.
Garantizar la seguridad y brindar confianza en los mecanismos electrónicos a los ciudadanos.
“¿Quieres decirme el camino que debo tomar para salir de aquí? – exclamó Alicia.Eso depende mucho del lugar al que quieras ir – dijo el Gato.Poco me preocupa a donde ir – dijo Alicia.Entonces poco importa el camino que tomes – replico el Gato.”
- Lewis Carroll
Muchas gracias por su atención.firmadigital@micit.go.cr
EntidadFinanciera X
EntidadFinanciera Y
Estrategia: Certificados emitidos con la más alta calidad a un costo que permita su masificación Sistema Nacional de Certificacion Digital
Empresas Certificadoras
(Públicas y Privadas)
…
Adhesión voluntaria Cumplimiento de normativaCerteza de identidad = NO REPUDIO
Sucursal
Sucursal
Sucursal
Sucursal
Oficina de Registro
Raíz Nacional(Políticas)
Convenio BCCR
Oficina de Registro
¿Qué es un algoritmo?
• Procedimiento paso a paso para realizar cálculos.
• Ejemplos:– Dividir– Descomponer una fórmula notable– Obtener el máximo común divisor (algoritmo de Euclídes)
• Por lo general necesitan una serie de parámetros de «entrada» para producir valores de «salida»
¿Qué es criptografía?
• Krypto (oculto/secreto) – graphos (escribir)• Parte de criptología.• Estudio de algoritmos y mecanismos que se
utilizan para proteger la información.
2 algoritmos clave en Firma Digital
• Algoritmo Hash
Algoritmo Hash
Hoy voy al cine a ver la nueva
película de Spider-man.
7d56c3b94e6e416aadb1f072a7077
286cfe00fef
Algoritmo Hash
Hoy voy al cine a ver la nueva
pelicula de Spider-man.
ef3dd91e9911a29ac76ddc6d9db6f8
decdd4a08e
SHA1
2 algoritmos clave en Firma Digital
• Algoritmo de Cifrado / Descifrado RSA
Hoy voy al cine a ver la nueva
película de Spider-man.
ellzU11tlNvBHcjLOKvtyq7VjQ=V9xUxXNq/2RG
clavespasswords
Algoritmo de Cifrado
Algoritmo de Descifrado
Autenticación
Firma
subject = Jorge Soto Ulloaserial number = 1-1250-0243
Generando una Firma DigitalEstimado Juan, espero que se encuentre muy bien. Por medio de la presente, quiero manifestarle mi deseo de que usted forme parte de la Junta Directiva de lpsofactus S.A.
Quedo a la espera de su respuesta.
Cordialmente, Jorge
Algoritmo Hash
7a5973535d6d94dbc11dc8cbbf53ba38abed57dc54c5736aff6446bf2abb5634
ellzU11tlNvBHcjLv1O6OKvtV9xUxXNq/2RGvyq7VjQ=
Algoritmo de Cifrado
Estimado Juan, espero que se encuentre muy bien. Por medio de la presente, quiero manifestarle mi deseo de que usted forme parte de la Junta Directiva de lpsofactus S.A.
Quedo a la espera de su respuesta.
Cordialmente, Jorge
ellzU11tlNvBHcjLv1O6OKvtV9xUxXNq/2RGvyq7VjQ=
Validando una Firma Digital
ellzU11tlNvBHcjLv1O6OKvtV9xUxXNq/2RGvyq7VjQ=
Estimado Juan, espero que se encuentre muy bien. Por medio de la presente, quiero manifestarle mi deseo de que usted forme parte de la Junta Directiva de lpsofactus S.A.
Quedo a la espera de su respuesta.
Cordialmente, Jorge
Estimado Juan, espero que se encuentre muy bien. Por medio de la presente, quiero manifestarle mi deseo de que usted forme parte de la Junta Directiva de lpsofactus S.A.
Quedo a la espera de su respuesta.
Cordialmente, Jorge
ellzU11tlNvBHcjLv1O6OKvtV9xUxXNq/2RGvyq7VjQ=
Algoritmo Hash
7a5973535d6d94dbc11dc8cbbf53ba38abed57dc54c5736aff6446bf2abb5634
Algoritmo de Descifrado
7a5973535d6d94dbc11dc8cbbf53ba38abed57dc54c5736aff6446bf2abb5634
Tipos de Certificados Digitales
Certificado de Persona Jurídica (en construcción)• Sello Electrónico y Agente Electrónico.• Implementa Servicios Electrónicos Automatizados.
Certificado de Persona Física • Firma Digital y Autenticación de Personas Físicas• Implementa Equivalencia Funcional con Firma Autógrafa• Costarricenses, Residentes Permanentes y Diplomáticos
Certificado de Sellado de Tiempo (Timestamping)• Garantizar la existencia de una firma o un documento en el
tiempo.
Internet
Servicio de listas de
revocación
Web Institución Pública
Sitio Web
Ciudadano
Persona Física
Persona Jurídica (Sello Electrónico)
Estampado de Tiempo
Servicio de Estampado de Tiempo
Costa Rica con Firma Digital
Colegio deIngenieros
Dirección deNotariado
RegistroNacional
Atributos de las personas (roles)
Transacción
Transacción Firmada
Comprobante Firmado
Internetwww
www wwwwwwwwwwwwwww
¿Qué puede hacer un ciudadano con la Firma Digital?
• Firmar todo tipo de documentos electrónicos.
• Presentar denuncias en la Superintendencia de Pensiones (SUPEN) o en la Autoridad Reguladora de Servicios Públicos (ARESEP).
• Solicitar la hoja de delincuencia en línea.
• Crear una sociedad y solicitar los libros legales de forma digital.
¿Qué puede hacer un ciudadano con la Firma Digital?
• Comprar y vender dólares en el mismo lugar donde negocian los Bancos (Mercado de Monedas Extranjeras del Banco Central de Costa Rica).
• Consultar el histórico de aportes laborales y el de incapacidades con la Caja Costarricense del Seguro Social (CCSS).
• Gestionar pólizas del Instituto Nacional de Seguros (INS).
• Reportar la dirección electrónica de notificaciones ante el Consejo de Seguridad Vial (COSEVI).
¿Qué puede hacer un ciudadano con la Firma Digital?
• Consultar su expediente de record crediticio en la Superintendencia General de Entidades Financieras (SUGEF).
• Emitir facturas electrónicas avaladas por el Ministerio de Hacienda.
• Aplicar el silencio positivo en procesos de instituciones del estado.
• Tramitar patentes y permisos municipales en la Municipalidad de las provincias de Alajuela y San José.
Uso o Servicio Nuevos Usuarios (aprox.) Consideraciones
CrearEmpresa 20mil notarios 2do. Semestre 2013
Factura Electrónica 60mil profesionales liberales 2do. Semestre 2013
Declaración Jurada 20mil funcionarios 2013 – 2014
Expediente Médico 5mil profesionales de salud 2013
Petroweb 3mil clientes 2013
... adicionalmente:• Universidades• Apostilla Electrónica
Nuevos usos o servicios masivos con _ _____
Entidades haciendo nuevos desarrollos
Ministerios (MEP, MJP, MHDA, MTSS, MICITT)
Otras entidades estatales (AyA, CONAVI, CCSS, RECOPE)
Universidades (ITCR, UCR) y Hospitales
Dispositivos para generación de Firma Digital
España Bélgica Suecia Costa Rica
Costos en las diferentes RAOficina de Registro
Atención Combo Completo(Certificados + Tarjeta + Lector)
Cambio de PIN / Desbloqueo
Solo Certificados (Renovación)
Tarjeta + Certificados
Solo Lector
BAC San José Clientes $35 - $20 $20 $35
Banco BCT Público en general
$95 $2 $42 $70 $30
BNCR Público en general
$79 $16 $52 $24 $39
BNCR Clientes $69 $14 $45 $21 $34
BCAC Público en general
$35 $2,5 - - -
Banco Popular
Público en general
$35 $10 $10 $15 $26
BCR Público en general
$35 $3 $15 $15 $17
Costos en las diferentes RAOficina de Registro
Atención Combo Completo(Certificados + Tarjeta + Lector)
Cambio de PIN / Desbloqueo
Solo Certificados (Renovación)
Tarjeta + Certificados
Solo Lector
INS Clientes Gratis* (discrecional)
Gratis* Gratis* Gratis* Gratis*
Mutual Alajuela
Clientes $35 $3 $3 $10 $25
LAFISE Clientes $39 $10 $10 $15 $30
Coopenae Clientes $35 $2 $2 $9 $24
Promérica Público en general
$45 $10 $20 $20 $35
Promérica Clientes $35 $5 $10 $15 $20