Escolar Documentos
Profissional Documentos
Cultura Documentos
Reporte Tcnico:
Miguel Morales Sandoval, Arturo Daz Prez y Luis Julin Domnguez Prez
Junio, 2013
Resumen:
En este documento se describe el concepto de la firma electrnica, desde el punto de vista terico
y prctico. Se presenta una panorama mundial de su aplicacin y particularmente cmo se ha
implementado en Mxico. As mismo, se presenta una descripcin de la infraestructura necesaria y
del proceso para la puesta en operacin de esta tecnologa. Se describe la propuesta de una estrategia
general para la implementacin de la firma electrnica avanzada.
PALABRAS CLAVE: Firma electrnica, Firma digital, Firma electrnica avanzada, PKI, certificado digital
Contenido
Contents
1
Qu es la firma electrnica? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.1
1.2
1.3
1.4
2.1
2.2
2.3
2.4
Certificados digitales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.5
3.2
3.3
. . . . . . . . . . . . . . . . . . . . . . . . . . . 19
4.1
Componentes bsicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
4.2
Estndares . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Conclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Bibliografa
23
Qu es la firma electrnica?
1.1
El trmino firma electrnica (o firma electrnica simple) implica el uso de cualquier medio electrnico para
firmar un documento. Es este sentido, el simple escaneo de una firma autgrafa y su insercin como
imagen en un documento digital puede considerarse como firma electrnica. Sin embargo, este tipo de
firma electrnica no garantiza los servicios de no repudio, por ejemplo. Otro ejemplo es el uso de un lpiz
electrnico para recabar la firma autgrafa (comn para expedir credenciales) o mediante la seleccin de
algo en una pantalla tctil por parte del firmante. De igual forma, este tipo de firma no provee los servicios
de integridad y no-repudio.
1.2
La firma digital o firma electrnica avanzada (FEA) establece que se entiende como tal, aquella firma, que
a travs de un certificado digital emitido por una entidad de certificacin acreditada, incorpore una serie de
datos electrnicos que identifican y autentifican al firmante a travs de la asignacin de una llave pblica
y otra privada en base a los parmetros de la criptografa asimtrica (o tambin conocida como de llave
pblica). Mediante este proceso, se garantiza que en el caso de sufrir variaciones en la firma y/o gestin
de documentacin electrnica, la responsabilidad es del usuario, ya que al tener esta firma bajo su control
exclusivo, el usuario es por tanto el responsable ltimo de todos los procesos asociados a la misma.
La firma digital es un concepto que nace con la criptografa de llave pblica [Menezes et al., 1996]
propuesta por W. Diffie y M. Hellman en 1976 [Diffie and Hellman, 1976]. Este concepto permite la
provisin de los servicios de seguridad informtica de autenticacin y principalmente, no repudio, los cuales
no podan garantizarse con la criptografa simtrica existente en ese tiempo. Para implementar este concepto
se hace uso de la teora de nmeros del lgebra abstracta, en lo que respecta a la teora de grupos y campos
finitos [Lidl and Niederreiter, 1986].
1. Qu es la firma electrnica?
1.3
Una firma digital es una firma electrnica que se puede usar para autenticar la identidad de quien enva
un mensaje o quien firma un documento electrnico, as como asegurar que el contenido original del
mensaje o del documento electrnico que ha sido enviado no ha sido modificado. Las firmas digitales
son fcilmente transportables y no pueden imitarse. La firma digital puede aplicarse a cualquier tipo de
informacin electrnica, ya sea que se encuentre cifrada o en texto claro. En la tabla 1 se muestra una
comparacin entre la firma digital y la firma autgrafa. En la tabla 2 se muestra una comparacin entre la
firma digital y otros mecanismos de autenticacin [Gupta et al., 2004], de donde se puede observar que la
firma digital es un mecanismo eficaz, equiparable al ADN como medio de autenticacin.
En trminos prcticos y desde el punto de vista legal, una firma digital provee una solucin viable para
contar con documentos electrnicos con validez jurdica. Parecido al mtodo de firma basada en papel y
tinta, la firma digital agrega al documento digital la identidad del firmante. Sin embargo, a diferencia de la
firma autgrafa, es considerado imposible falsificar una firma digital en la forma en que si se podra falsificar
una firma autgrafa. Adems, la firma digital asegura que cualquier cambio realizado a los datos firmados
no puede ser indetectable.
Con ello, es posible eliminar la necesidad de contar con documentos impresos firmados. Adems de
los ahorros en consumo de papel, la firma digital permite automatizar los procesos de manipulacin de
los documentos, tales como su distribucin y almacenamiento. La implementacin de la firma digital esta
regulada de acuerdo a los leyes de cada pas. La aceptacin y uso de la firma electrnica en el mundo se
Propiedad
Se puede aplicar a documentos
electrnicos y transacciones
El proceso de verificacin de firma
digital puede automatizarse
La firma permite detectar
alteraciones en el documento
Est reconocida por la leya
Firma autgrafa
Firma digital
No
Si
No
Si
No
Si
Si
Si
Tabla 1: Ventajas de la firma electrnica avanzada (firma digital) frente a la firma autgrafa.
a
Firma electrnica
Mdio de autenticacin
Firma digital
Tarjeta inteligente
Passwords
Firma escrita
Voz
Huella dactilar
Geometra de la mano
Reconocimiento de rostro
Patrn de Retina
Escaneo de Iris
ADN
3
Fallas en la
autenticacin
Tasa de falsos
rechazos
Tasa de falsos
aceptados
Fcil de
usar
Altamente
seguro
1.4
A pesar de las ventajas que ofrece el uso de la firma electrnica, sta no se ha desarrollado ampliamente tal
como se observa en la figura 1, an en pases desarrollados como Alemania, Suiza o Italia. En la misma
figura se aprecia a Mxico clasificado en la categora 3, es decir, dentro de los pases en una situacin poco
clara respecto al uso de la firma electrnica.
En la siguiente seccin se describe el concepto de la firma digital desde el punto de vista terico. En la
seccin 3 se describe el panorama de la firma digital en Mxico. En la seccin 4 se presenta un sumario de
la infraestructura necesaria para la puesta en prctica de la firma electrnica y un diagrama a bloques de
una estrategia general para implementar un sistema de firma digital.
La criptografa [Menezes et al., 1996] es un conjunto de tcnicas que tratan sobre la proteccin de la
informacin. El cifrado consiste en aplicar una serie de operaciones a informacin legible para convertirla en
algo totalmente ininteligible. El proceso de cifrado requiere de una llave (cadena de bits de una longitud
dada) que se emplea para realizar la transformacin de los datos originales. La llave es el nico medio para
recuperar la informacin original mediante un proceso de descifrado.
1
Category 1: Pases donde bajo la ley, la firma electrnica en los negocios es considerada como igual a la firma autgrafa. Pases: Australia,
Canada, Chile, Colombia, Finlandia, India, Irlanda, Japn, Nueva Zelanda, Per, Filipinas, Portugal, Singapur, Sudfrica, Corea del Sur,
Espaa, Suiza, Inglaterra, Estados Unidos.
Category 2: Pases donde la firma electrnica para las empresas se considera aplicable, pero no necesariamente igual a la firma autgrafa.
Pases: Blgica, China, Repblica Checa, Francia, Polonia, Rumania, Rusia, Taiwn.
Category 3: Los pases con una situacin poco clara en la prctica sobre el uso de firma electrnica. Pases: Argentina, Austria, Brasil,
Dinamarca, Alemania, Hungra, Hong Kong, Indonesia, Israel, Italia, Macao, Malasia, Mxico, Noruega, Suecia, Tailandia, Turqua, EAU,
Uruguay.
Category 4: Pases no considerados en el estudio.
Figura 1: Panorama mundial de la aplicacin de la firma digital (estudio realizado por Adobe Inc.).
Un criptosistema consiste de una 5-tupla (M, C, K, E, D), donde:
M representa el conjunto de todos los mensajes sin cifrar (plaintext).
C representa el conjunto de todos los posibles mensajes cifrados.
K representa el conjunto de claves que se pueden emplear en el criptosistema.
Firma electrnica
2.1
Con la criptografa de llave pblica es posible implementar el concepto de firma digital. En lugar de usar
tinta y papel para firmar un documento, la firma digital usa "llaves" digitales generadas de acuerdo a la
teora de la criptografa de llave pblica. El esquema de operacin de firma digital es similar al proceso de
cifrado solo que las llaves pblica y privada son invertidas, es decir, la llave privada se emplea para generar la
firma del mensaje o documento electrnico y la llave pblica se utiliza para verificar dicha firma. El diagrama
general de la firma digital se muestra en la figura 2.
Para generar la firma digital primero se obtiene un resumen de la informacin electrnica que se firmar
usando un algoritmo hash, el cual aplica una funcin unidireccional a cada bit del mensaje o documento
electrnico y produce como salida una cadena binaria, que puede interpretarse como la huella digital del de los
bits de entrada. La funcin hash es tal que a partir del resumen o huella digital es prcticamente imposible
poder deducir el mensaje o documento electrnico que lo produce. Esta ltima aseveracin depende del
Verificacin de firma
electrnica avanzada
Mensaje o
documento
electrnico
Funcin
HASH
Funcin
HASH
Generacin de firma
electrnica avanzada
Huella
Digital
Huella
Digital
Son iguales?
SI
FIRMA
VLIDA
NO
Lk$4h>mh=754#1jkm
FIRMA DIGITAL
Huella
Digital
Cifrado con
llave privada
del emisor (firmante)
FIRMA
INVLIDA
Descifrado con
llave pblica
del emisor (firmante)
2.2
En el esquema de firma digital, el firmante posee dos llaves, una pblica y una privada, adems se
requiere de dos procesos uno de cifrado y otro de descifrado as como de la aplicacin de una funcin
Firma electrnica
hash. Existen diversos criptosistemas que se han propuesto para llevar a cabo el proceso de generacin
y verificacin de firma digital, en los que se definen los algoritmos para generar las llaves pblica y
privada y los algoritmos de cifrado/descifrado. La seguridad de estos algoritmos se basa en la dificultad
para resolver computacionalmente problemas en el dominio del lgebra abstracta.
En particular, los
problemas en los que los esquemas de firma digital basan su seguridad son el problema de la factorizacin
de nmeros enteros grandes
discreto, en grupo multiplicativo [Gal, 2000] (Criptosistema DSA) o en grupo abeliano de curvas elpticas
[Johnson et al., 2001] (Criptosistema ECC).
En general, cualquier esquema de firma digital resulta ser lento, ya que los algoritmos de cifrado,
descifrado y generacin de llaves pblica y privada realizan diversas operaciones en campos finitos con
nmeros de 512, 1024 o 2048 bits, dependiendo del nivel de seguridad que se maneje y del algoritmo usado.
Actualmente, existen APIs para la incorporacin de estos algoritmos en aplicaciones para distintas tecnologas
(Java, .NET, Web, etc.), pero es necesario un claro entendimiento de como operan los esquemas de firma
digital a fin de conseguir no solo implementaciones eficientes sino tambin implementaciones seguras.
2.3
llaves
En enero de 2011, el NIST (National Institute of Standards and Technology) emiti el documento SP800131A2 donde recomienda algoritmos criptogrficos usados para firma electrnica as como las longitudes de
llaves recomendadas para uso prctico en los prximos aos. En la tabla 3 muestra esta informacin.
Para la generacin de la firma digital, el uso de llaves con una longitud equivalente a 80 bits de seguridad
es aceptable hasta el ao 2010. A partir del ao 2011 y hasta el ao 2013, el uso de longitudes de llaves
con un nivel de seguridad de 80 bits es arriesgado, sobre todo entre ms se acerque la fecha lmite que
es diciembre de 2013. Despus del ao 2013, un nivel de seguridad de 80 bits ya no es permitido. La
recomendacin es utilizar un nivel de seguridad igual o mayor a 112 bits, lo que equivales a usar llaves para
DSA y RSA de ms de 2048 bits y para ECC, usar llaves de longitud mayor a 224 bits.
2
http://csrc.nist.gov/publications/nistpubs/800-131A/sp800-131A.pdf
8
Generacin
de
firma digital
Verificacin
de
firma digital
Aceptables hasta
el ao 2010
En desuso de 2011 a 2013
No permitido depus de 2013
Aceptable
Aceptables hasta
el ao 2010
En desuso despus de 2010
Aceptable
Tabla 3: Algoritmos criptogrficos y sus respectivos tamaos de llave recomendados por NIST. Para
DSA, |p| es el nmero de bits de la llave pblica y privada mientras que |q| indica el nmero de bits
de la firma digital. En el caso de RSA |n| representa el tamao de la llave pblica y para ECC, |n|
representa el tamao de la llave pblica y privada.
2.4
Certificados digitales
Firma electrnica
Versin
Nmero de serie
ID del algoritmo
Emisor
Validez
No antes de
No despus de
Sujeto
Informacin de clave pblica del sujeto
Algoritmo de clave pblica
Clave pblica del sujeto
Identificador nico de emisor (opcional)
Identificador nico de sujeto (opcional)
Extensiones (opcional)
...
Algoritmo usado para firmar el certificado
Firma digital del certificado
Una parte importante de los certificados digitales es el campo "Extensions", en el cual se puede agregar
informacin propia de la aplicacin de firma electrnica que se desarrolla, por ejemplo, el ID de empleado,
ID de funcionario o Matricula de estudiante.
2.5
Los certificados digitales son emitidos por una autoridad certificadora, en la cual se confa y es ella quin
verifica que una llave pblica particular est asociada con un individuo especfico, quin posee la llave
privada con la que ste genera las firmas digitales. Los certificados digitales tienen un periodo de validez
10
aunque tambin pueden revocarse. Cuando se verifica una firma digital, se debe garantizar que el certificado
usado en el proceso de verificacin es autntico (est firmado digitalmente por la autoridad certificadora
que lo emite) y no ha sido revocado. La creacin y administracin de certificados digitales requiere de una
infraestructura, que se conoce como PKI (Public Key Infraestructure). Una PKI es el conjunto del hardware,
software, recursos humanos, polticas y procedimientos que se necesitan para crear, administrar, distribuir,
usar, almacenar y revocar certificados digitales.
Generalmente, la implementacin de la firma digital se regula en cada pas, mismo que define las
autoridades certificadoras y PKI que las aplicaciones deben usar, apegndose a la normatividad vigente
en esos pases. Cada pas regula qu entidades certificadoras operan, niveles de seguridad y vigencia de los
certificados, as como las CAs subordinadas. En la siguiente seccin se presenta el panorama de la firma
digital en Mxico.
En Mxico, la firma electrnica avanzada usada por el SAT (Secretara de Administracin Tributaria) se
conoce como FIEL y est basada en certificados digitales, PKI, y criptografa de llave pblica.
Esta
firma fue propuesta inicialmente para usarse en todos los procesos del SAT. Actualmente se usa tambin
mayoritariamente para implementar trmites burocrticos en gobiernos municipales, estatales y gobierno
federal. Como resultado de ello, en trminos legales, la validez de la firma, su seguridad y garantas pasan a
ser las mismas que tendra una firma autgrafa en papel, pero con el consecuente ahorro en gastos por uso
de papel, tiempo y recursos, a la vez que se contribuye a favorecer el desarrollo social y medioambiental.
A pesar de sus ventajas, en muchos pases incluidos Mxico, queda un amplio camino por recorrer en lo
referente al estmulo, aceptacin y aplicacin de la firma digital y es preciso que para divulgar y extender
su usabilidad se realice un mayor esfuerzo desde las instituciones para que tanto los ciudadanos como las
empresas puedan aprovechar las ventajas de la innovadora firma digital [Enciso, 2011]. Es por ello que es
necesario fomentar la utilizacin de las aplicaciones relacionadas con la identidad y la firma digital, impulsar
la administracin electrnica y fomentar la confianza en el entorno digital.
En Mxico, el uso de la firma electrnica ha sido un problema esencialmente de confianza y credibilidad
ms que un tema de utilidad y accesibilidad de los medios tecnolgicos. Es un aspecto cultural de respaldo
Firma electrnica
11
impreso, o de documentacin en papel que acredite lo pactado, lo que ha frenado el uso de este mecanismo
de autenticacin electrnica [Enciso, 2011].
3.1
En el diario oficial de la federacin, el 11 de enero del ao 2012 se public el decreto por el que se expide la
Ley de Firma Electrnica Avanzada3 . En dicho decreto se menciona (indirectamente) que la firma electrnica
estar basada en el uso de certificados digitales por lo que la criptografa de llave pblica y el uso de PKIs es
requerida. Tambin indica los campos que debe contener el certificado digital y las entidades certificadoras
recomendadas4 para emitir los certificados digitales5 .
3.2
A partir de este decreto, varios estados de la repblica mexicana han emitido leyes para el uso de la firma
electrnica, principalmente en trmites y servicios gubernamentales. Algunos estados emitieron dichas leyes
y pusieron en marcha aplicaciones de firma electrnica antes del decreto presidencial. En la figura 3 se
muestra la situacin del uso de la firma electrnica en los estados de la repblica mexicana.
Solo algunos estados como Guerrero, Guanajuato, Sonora, Chiapas, Jalisco y Yucatn cuentan con
infraestructura de llave pblica a cargo del gobierno estatal y con un portal en Internet para que los ciudadanos
puedan realizar algunos trmites en lnea. Otros estados como Puebla, Durango y Morelos cuentan con una
ley sobre uso de firma electrnica sin embargo no cuentan con una PKI ni con herramientas de software.
En estados como Nuevo Len, Coahuila, Veracruz y Tamaulipas, a pesar de no contar con una ley estatal
en materia de firma electrnica, ya incorporan esta tecnologa en algunos trmites gubernamentales, como
la emisin de actas de nacimiento, libertad de gravamn, emisin de actas apostilladas, promociones en
juzgados, etc.
3
http://dof.gob.mx/nota_detalle.php?codigo=5228864&fecha=11/01/2012
http://www.firmadigital.gob.mx
5
http://www.agn.gob.mx/menuprincipal/archivistica/reuniones/2009/rna/pdf/05_b.pdf
4
12
Categora 1
Categora 2
Categora 3
Estados que no cuentan
con una Ley sobre uso de
firma electrnica
avanzada, pero ya la usan
o planean hacerlo
(aplicaciones para
gobierno). Estados:
Coahuila, Nuevo Len,
Tamaulipas,
Zacatecas,Veracruz,
Tlaxcala, Aguascalientes.
Categora 4
Estados que no cuentan
con una Ley sobre uso de
firma electrnica
avanzada ni tampoco con
aplicaciones. Estados: Baja
California, Chihuahua,
Sinaloa, Nayarit,
Quertaro, Guanajuato,
Oaxaca, Tabasco,
Campeche.
3.3
Uno de los principales problemas que se perciben en la implementacin de FEA en Mxico es que actualmente
los sistemas de la Administracin Pblica Federal que utilizan firma electrnica, emplean componentes
criptogrficos personalizados al 100% con la aplicacin, por lo que no pueden ser reutilizados para otros
Firma electrnica
13
servicios.
Las aplicaciones de la FEA han sido principalmente para el gobierno (e-governance), a nivel municipal,
estatal y federal. La empresa Seguridata es quien mayormente a provisto las soluciones en cuanto a firma
electrnica se refiere para el gobierno6 . Con los sistemas que se han implementado, en la mayora de los
casos el objetivo ha sido reducir costos de papel y administracin de archivos en papel, as como recursos
humanos y gastos de operacin para el traslado y administracin de los archivos en papel. Para Mxico, la
principal motivacin para incorporar la firma electrnica avanzada en procesos gubernamentales han sido:
i) la efectividad en los trmites que los ciudadanos realizan con el gobierno, ii) reduccin de costos, y iii)
combate a la corrupcin.
Fue el gobierno del estado de Guanajuato la primera administracin pblica en implementar el mecanismo
de firma electrnica para la prestacin de servicios pblicos, obteniendo muy buenos resultados en la gestin
de dicho proyecto. En 2008, el estado de Mxico contaba con alrededor de 20 procesos con firma digital. En
Zacatecas, el 10 de diciembre de 2012 se public la noticia de la implementacin de la firma electrnica para
realizar trmites burocrticos. Se remarc que se invertiran cerca de 3 millones de pesos con este objetivo,
para que desde Internet puedan realizarse trmites como impresin de actas de nacimiento, certificados de
libertad de gravamen y constancias de inhabilitacin, entre otros. Con este proyecto, Zacatecas se coloc
en ese tiempo entre los tres primeros Estados de la Repblica en tener disponible la firma electrnica en sus
administraciones.
El 13 de enero de 2012, en el diario Milenio se public la noticia de que con el nuevo esquema de la firma
electrnica avanzada se podrn dinamizar hasta 230 trmites burocrticos por medio de Internet, adems
de concretar ahorros considerables en regulacin hasta por 100 millones de pesos anuales, en dependencias
del sector pblico, segn el entonces secretario de la Funcin Pblica. El funcionario indic que el nuevo
mecanismo garantizara no slo la rapidez de respuesta de la administracin federal, sino tambin mantendra
una total confidencialidad y evitara la falsificacin de documentos oficiales. El titular de la SFP dijo que
hasta el momento 85 trmites ya usaban la firma electrnica avanzada, y en el periodo 2009-2010 se
documentaron 66 mil millones de pesos en ahorros dentro de la administracin pblica federal, gracias a la
simplificacin de trmites y mejoras procesos de gestin. El funcionario indic que ahora se podr hacer con
la firma electrnica avanzada el envo de documentacin oficial para licitaciones pblicas, que convocan las
6
http://www.seguridata.com/casos.htm
14
dependencias de gobierno. Agreg que incluso se estaba buscando la inclusin de Estados y municipios para
que esta misma firma sirva para trmites locales relacionados con el pago de impuestos. Asever que con la
ley de firma electrnica la Secretara de la Funcin Pblica ser la encargada de emitir las firmas electrnicas
tanto para personas fsicas, como para morales.
En el peridico la Jornada el 16 de enero de 2012 se public sobre los ahorros obtenidos en el Instituto
Mexicano del Seguro Social (IMSS), al generalizarse la firma digital entre empresarios y prestadores de
servicios que concursan por las licitaciones gubernamentales, se dijo que solo haber aplicado algunas de
estas novedades, bsicamente en la idea que trae la nueva Ley de Adquisiciones, de licitaciones en reversa,
se hablaba de que se haban ahorrado ms de 40 mil millones de pesos.
La Secretara de Gobernacin utiliza tecnologa .PDF con firma electrnica para emitir Apostillas,
Legalizacin de Firmas y Certificacin de Diarios Oficiales. El certificado de la firma electrnica se basa
en un certificado emitido por una Autoridad de Certificacin confiable (el SAT por ejemplo), no aparece
en la versin de papel pero s en la versin electrnica de los trmites y es archivada en un e-Registro.
Una vez que el destinatario accede al e-Registro e ingresa la fecha y el cdigo del documento, aparece la
versin electrnica completa y el destinatario puede verificar fcilmente el origen de la firma electrnica y la
veracidad del trmite realizado en el sitio web http://dicoppu.gobernacion.gob.mx/registro/.
Otro caso es en la misma SEGOB, con el trmite de solicitud de publicacin de documentos en el Diario
Oficial de la Federacin, a travs de medios remotos7 . Anteriormente, los documentos a publicar deban
presentarse por escrito y contar con la firma autgrafa de la autoridad emisora. Esta situacin provocaba
que el trmite de solicitud de publicacin se deba realizar de manera presencial o por mensajera, generando
gastos de recursos financieros y humanos en los usuarios. De los beneficios, se tienen los siguientes: reduccin
en el tiempo de gestin del trmite de publicacin de 15 a 3 minutos, sin contar el tiempo que requera
el pblico usuario para trasladarse a las oficinas del Diario Oficial de la Federacin. La utilizacin de la
herramienta por parte de la CFE, PEMEX y la SEGOB ha generado ahorros importantes en pago de viticos
para entrega de documentos, que en casos documentados se tienen ahorros programados de hasta un milln
de pesos mensuales en ese rubro.
Un ejemplo del desarrollo de aplicaciones para creacin de certificados digitales, firma, verificacin y
visualizacin de la firma electrnica en documentos digitales es la que provee el estado de Guerrero8 . En
7
8
http://oic.segob.gob.mx/work/models/OIC/Resource/25/1/images/firma-electronica-caso-de-exito-2010.pdf
http://autoridadcertificadora.guerrero.gob.mx/descargas/GuiaUsuario-GeneradorRequerimiento.pdf.
Firma electrnica
15
1
Datos
personales
(nombre,
RFC, CURP,
etc.)
Contrasea
para acceso a
llave privada
El ususario descarga
e instala software
para generacin de
llaves y generar el
archivo .req de
solicitud de
certificado digital.
Se asigna frase de
seguridad para la
llave privada.
.req
CA
El usuario lleva el archivo
.req a la CA en medio
extraible para solicitar su
certificado digital. La CA le
entregara su certificado
digital con extensin .cer
3
Certificado
.cer
.key
EL usuario instala
software para
exportar su
certificado .cer al
formato
pfx(PKC#12)
El archivo pfx
agrupa tanto la llave
pblica en el
certificado como la
llave privada, ya que
ambas se necesitan
en el proceso de
firma digital.
4
Archivo a
firmar (.doc,
pdf, etc)
Archivo
.pfx
EL usuario instala
software
para firma digital.
Al ingresar el
archivo .pfx, el
usuario est
ingresando tanto su
llave pblica como
su llave privada.
Internamente se
hace una
verificacin del
certificado y a
continuacin se
procede a realizar la
firma con la llave
privada
Archivo
firmado
.p7m
El usuario instala
software Visor de
archivos firmados
(despliega la firma
asociada al archivo
firmado y si sta es
correcta o no)
16
Solicitud de firma electronica avanzada (FIEL) en el SAT
1
Datos personales
(nombre, RFC, CURP,
etc.)
Contrasea para
accesoa llave privada
El ususario descarga
e instala la
aplicacin Solicitud
de certificados
digitales (Solcedi)
desde la pgina del
SAT
Llave privada
reguardada por el
usuario
Uso de la FIEL
2
.req
.key
CA
El usuario lleva el archivo
.req al SAT en medio
extraible para solicitar su
certificado digital (adems
de presentar otra
documentacin). El SAT
entrega al usuario su
certificado digital con
extensin .cer, mismo que
puede descargarse desde
la pgina del SAT
Certificado
digital
.cer
APLICACIN
- PROVISTA POR EL SAT (DeclarNet, CompraNet, etc)
- POR LA SFP
-PROVISTA POR UN TERCERO.
EN EL CASO DE LOS MDULOS DE FIRMA ELECTRONICA DEL SAT Y LA
SFP, ESTOS ESTN INTEGRADOS DESDE LAS APLICACIONES QUE
COLECTAN LOS DATOS A FIRMAR (en caso de una declaracin o una
licitacin). EL MDULO DE FIRMA SE INVOCA DESDE LA MISMA
APLICACIN Y LA FIRMA GENERADA ES UN ARCHIVO QUE SE
ALMACENA LOCALMENTE (extensin p7m) O SE ENVA A LA
DEPENDENCIA CORRESPONDIENTE.
PARA COMPRANET COMO PARA DECLARANET, SE REQUIERE DE JAVA
6, EL MDULO DE FIRMA ELECTRNICA USA EL API OPENSSL PARA
IMPLEMETAR LOS ALGORITMOS CRIPTOGRFICOS REQUERIDOS.
aplicaciones que requieran usar este mdulo deben registrarse primero. Al hacerlo, se les asigna un ID de
aplicacin, mismo que la aplicacin usa para invocar al mdulo de firma electrnica. Al invocar la aplicacin
al mdulo de firmado, se carga un applet de Java en el que el usuario debe proporcionar su certificado
digital (archivo con extensin .cer), su llave privada (archivo con extensin .key) y la clave de acceso a
la llave privada. Tras realizar la operacin de firma, el mdulo regresa el control a la aplicacin del usuario
retornando un nmero de folio o acuse de recibo. En este caso, se supone que el usuario ya cuenta con los
archivos .cer y .key, tal vez tramitados con el SAT o con otra autoridad certificadora.
Finalmente, en la figura 7 se muestra como se realiza la firma electrnica desde la aplicacin CompraNet.
Dentro de la aplicacin del usuario, ste puede seleccionar la opcin Firma Electrnica de Documentos.
Al hacer esto, se invoca a un applet de Java para arrancar el mdulo de firma, tal como se muestra a
la derecha de la figura 7. En este caso los archivos a firmar son archivos PDF generados por la misma
aplicacin, almacenados localmente en la computadora del usuario. El usuario elige estos archivos a firmar,
as como su certificado, llave privada y clave de acceso. El resultado es el archivo PDF firmado, ahora con
la extensin .p7m (como en el caso de la aplicacin del gobierno de Guerrero). Este archivo se almacena
localmente y debe enviarse como archivo adjunto para los tramites que el mismo usuario realiza con la
aplicacin CompraNet.
Firma electrnica
17
Informacin del
usuario a incluir en
la
Declaracin
Aplicacin tipo
formulario para
recabar la
informacin de
la declaracin
Al solicitar la firma
de la declaracin, el
navegador CARGA LA
APLICACIN DE
FIRMA
ELECTRNICA, para
ello, es necesario
tener instalado JAVA
1.5u6 o superior.
Solicitud de
firma
elctrnica
Contrasea para
acceso a llave
privada
Acuse de confirmacin, el usuario lo
guarda o imprime
Tambin se genera el archivo PDF de la
declaracin, el cual ya estar firmado.
Los acuses de confirmacin contienen
elementos de seguridad que permiten
identificar falsificaciones.
Certificado
.cer
llave privada
.key
La aplicacin de firma
tarda en cargar de 5 a 15
segs. Aparece en la
pantalla los recuadros para
seleccionar el certificado,
la llave
privada y la contrasea.
(a)
(b)
Figura 6: Mdulo de firma electrnica provisto por la SFP y usada en la aplicacin DeclaraNet.
18
Firma electrnica
19
4.1
Componentes bsicos
Cabe resaltar que es necesario contar con el marco legal para poder operar un sistema de firma electrnica
avanzada. Es la misma ley sobre uso de firma electrnica avanzada la que suele determinar los requerimientos
sobre los certificados digitales y regula las funciones y operacin de las autoridades de certificacin. De igual
forma, esas leyes regulan la forma en la que se deben implementar cada uno de los mdulos que conforman
una aplicacin de firma electrnica, la cual se compone de tres mdulos bsicos:
1. PKI: La infraestructura de llave pblica para la creacin y administracin de los certificados digitales.
Esta PKI puede ser la que provee el SAT, la secretara de economa, la Secretara de la Funcin Pblica
o la PKI provista por el gobierno estatal.
2. Mdulo de firma electrnica avanzada: Este mdulo puede ser el provisto por el SAT o la SFP. Tambin
es posible escribir un mdulo propio, ya que es en este mdulo donde se realizan las operaciones de
cifrado/descifrado usando APIs de criptografa disponibles como OpenSSL, la API de Java JCE (Java
Cryptographic Extension), o las bibliotecas disponibles para otras tecnologas como .Net Framework
a travs de la biblioteca System.Security.Cryptography. Se requiere contar con mdulos para la
generacin, verificacin y visualizacin de firmas digitales.
3. Dependiendo de la aplicacin, se requiere de un repositorio para almacenamiento de los documentos
firmados y el correspondiente software para administrar dicho repositorio, permitiendo entre otras
cosas accesos mediante bsquedas con indexacin y proporcionando medidas de control de acceso.
En una aplicacin de firma electrnica avanzada, los tres elementos anteriores interactan continuamente
tal como se ilustra en la figura 8. La secuencia de operaciones y mensajes entre estas entidades se muestra
en la figura 9.
En otro camino muy distinto, se puede explorar el uso de criptografa basada en identidad o criptografa
basada en atributos [Goyal et al., 2006, Mitsunari et al., 2002, Sakai et al., 2000, Joux, 2000] para eliminar
20
Legislacin
Usuario
Agencia
central
Mdulo de firma electrnica
Mdulo de firma
electrnica para
generacin de firma
Repostorio
De documentos
firmados
Agencia
certificadora
Agencia
registradora
Mdulo de firma
electronica para
verificacin de firma
4.2
Estndares
Firma electrnica
21
1
PKI
Solicitud de
Certificado digital
(creacin y
administracin de
certificados digitales)
Otorgamiento de
Certificado digital
11
Usuario verificador
10
Certificado
Validacin
.cer
de la firma
del firmante
Mdulo de firma
electronica para
verificacin de firma
ID usuario
Usuario firmante
ID usuario
3
Mdulo para
visualizar
documentos
firmados
Documento
firmado
digitalmente
6
Acuse
Contrasea
para acceso
a llave privada
12
Certificado
.cer
llave
privada
.key
Solicitud
De verificacin
de certificado
9
Documento
firmado
digitalmente
Repostorio
De documentos
firmados
Documento
firmado
digitalmente
Mdulo de firma
electrnica para
generacin de firma
Respuesta
Verificacin de certificado
Conclusiones
22
5. Conclusiones
de energa elctrica, el pago de las contribuciones, el pago de derechos por expedicin de documentos y
el pago por los servicio de agua. Con ello, el uso de la firma electrnica sera ms frecuente y cotidiano
permitiendo a la poblacin entender que este mecanismo de autenticacin es una realidad en el corto plazo,
construyendo paso a paso los mecanismos de confianza. La seguridad de la informacin y la proteccin de los
datos personales contenidos en el uso de la firma electrnica son dos factores fundamentales que se deben
garantizar como condicin indispensable para extender el uso de la autenticacin electrnica.
Bibliografa
[Gal, 2000] (2000). Digital signature standard (DSS). National Institute of Standards and Technology,
Washington.
Federal Information
23
BIBLIOGRAFA
24
[Mitsunari et al., 2002] Mitsunari, S., Sakai, R., and Kasahara, M. (2002). A new traitor tracing. IEICE
Trans. Fundamentals, 2:481484.
[Rivest et al., 1978] Rivest, R. L., Shamir, A., and Adleman, L. (1978). A method for obtaining digital
signatures and public-key cryptosystems. Commun. ACM, 21(2):120126.
[Sakai et al., 2000] Sakai, R., Ohgishi, K., and Kasahara, M. (2000). Cryptosystems based on pairing. In
Proc. 2000 Symp. Cryptography and Information Security), pages 2628.