Universidad de Salamanca Veracruz, 24-28 marzo 2007 2 La seguridad en las comunicaciones preocupa al hombre desde antiguo. Su desarrollo ha venido propiciado por necesidades militares: Grecia: Guerra entre Esparta y Atenas, la esctala Carlomagno incrustaba signos falsos en sus mensajes Napolen asignaba nmeros a las letras o grupos de letras T. Jefferson utilizaba discos cilndricos en los que estaban impresas las letras del abecedario Mencin aparte merece Csar, uno de los primeros en utilizar de un modo til e inteligente la criptografa: sustitua cada letra por la que ocupaba tres puestos ms adelante en el abecedario
Cuanto ms se agravaba cada da la fiereza del asedio, principalmente por ser muy pocos los defensores, estando gran parte de los soldados postrados de las heridas, tanto ms se repetan correos a Csar, de los cules algunos eran cogidos y muertos a fuerza de tormentos a vista de los nuestros. (La Guerra de las Galias, Libro V, pargrafo XLV) 3 Hoy se utilizan mtodos ms sofisticados: SISTEMAS DE CLAVE SIMTRICA Mtodo de sustitucin Mtodo de permutacin Esteganografa SISTEMAS DE CLAVE ASIMTRICA Opera sobre una clave privada y una clave pblica Hoy ya no se envan los mensajes literalmente, sino resmenes para lo que se utilizan funciones resumen (Hash) As, si Esmeralda codifica sus mensajes con su clave privada, ngel tendr que utilizar la clave pblica de aqulla para poder leerlo. Con esto, se nos garantiza la identidad del remitente del mensaje. Si Esmeralda quiere que el mensaje slo lo pueda leer ngel lo que tendr que hacer es codificar el mensaje con la clave pblica de ngel, porque slo l tiene acceso a su clave privada. Con esto, Esmeralda se asegura de la identidad del destinatario. Tambin es posible combinar ambos mtodos, para lo que basta con codificar el mensaje dos veces, una con la clave privada de Esmeralda y otra con la clave pblica de ngel, con lo que se garantiza tanto la identidad del remitente del mensaje como la del destinatario. Mixtos: Mezcla sustitucin y permutacin. Mquina Enigma 4 CLASES: Seguridad fsica vs. Seguridad jurdica De fondos De datos Desde el punto de vista legal, existe una gran inseguridad jurdica en torno a ambas formas de transferencias, lo que representa una rmora para su implantacin efectiva y global en la sociedad. La respuesta que ha ofrecido el Derecho a uno y otro tipo de transferencia ha sido muy distinta: estn reguladas las transferencias electrnicas de datos, pero no las de fondos. CLASES DE TRANSFERENCIAS ELECTRNICAS 5 Datos personales 6 7 TRANSFERENCIAS ELECTRNICAS DE DATOS (Firma Electrnica) 8 ndice:
1. Definiciones. 2. Clases de FE y efectos que se desprenden de su uso. 3. Certificados electrnicos 4. Prestadores de servicios de certificacin 9 La firma electrnica ofrece la solucin a la autenticidad, integridad, confidencialidad y no rechazo del mensaje en las Transferencias Electrnicas de Datos. La regulacin de la F.E. recae en la Ley 59/2003, de 19 de diciembre. Ley, a diferencia del pago electrnico. Objetivo: generar en el mbito digital las condiciones de seguridad y confianza necesarias para estimular el desarrollo de los servicios de la Sociedad de la Informacin, en particular, de la Administracin y del comercio electrnicos. FIRMA ELECTRNICA 10 a) "Firma electrnica": es el conjunto de datos, en forma electrnica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificacin del firmante (entorno internet). b) "Firma electrnica avanzada": es la firma electrnica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que est vinculada al firmante de manera nica y a los datos a que se refiere y que ha sido creada por medios que el firmante mantiene bajo su exclusivo control. c) Firma electrnica reconocida: es la firma electrnica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creacin de firma. d) "Datos de creacin de firma" (clave privada): son los datos nicos, como cdigos o claves criptogrficas privadas, que el firmante utiliza para crear la firma electrnica. e) "Datos de verificacin de firma" (clave pblica): son los datos, como cdigos o claves criptogrficas pblicas, que se utilizan para verificar la firma electrnica. DEFINICIONES I 11 e) Prestador de servicios de certificacin: es la persona fsica o jurdica que expide certificados electrnicos o presta otros servicios en relacin con la firma electrnica.
f) Certificado electrnico: es un documento firmado electrnicamente por un prestador de servicios de certificacin que vincula unos datos de verificacin de firma a un firmante y confirma su identidad.
g) Certificados reconocidos: son los certificados electrnicos expedidos por un prestador de servicios de certificacin que cumpla los requisitos establecidos en esta ley en cuanto a la comprobacin de la identidad y dems circunstancias de los solicitantes y a la fiabilidad y las garantas de los servicios de certificacin que presten. DEFINICIONES II 12 CLASES DE FIRMA ELECTRNICA Y EFECTOS JURDICOS * Firma electrnica (simple o sencilla) el conjunto de datos, en forma electrnica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificacin del firmante.
* Firma electrnica avanzada, aquella que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que est vinculada al firmante de manera nica y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.
* Firma electrnica reconocida, aquella firma electrnica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creacin de firma. 13 De estas definiciones pueden extraerse, al menos, estas tres conclusiones: - La FER debe cumplir dos requisitos para que sea tenida por tal (estar basada en un certificado reconocido y ser generada mediante un dispositivo seguro de creacin de firma), que no se le exigen, ni a la firma electrnica simple, ni a la firma electrnica avanzada. Estos requisitos le aaden calidad y la hacen ms segura. - Las FEA podr pertenecer a una firma electrnica reconocida o no, dependiendo de que cumpla los requisitos exigidos a esta ltima. - La firma electrnica (simple) y la firma electrnica avanzada, a su vez, se distinguen porque la segunda puede identificar al firmante, detectar cualquier cambio que se realice en los mensajes, vincularse al firmante de manera nica y a los datos a los que se refiere, y garantizar que ha sido creada por medios que el firmante puede mantener bajo su estricto control, mientras que la firma electrnica (simple) no. CLASES DE FIRMA ELECTRNICA Y EFECTOS JURDICOS 14 CLASES DE FIRMA ELECTRNICA Y EFECTOS JURDICOS Efectos Jurdicos As, todo se reduce a un problema de prueba: bastar con demostrar que se utiliz una FER para desplegar efectos. Qu ocurre si la firma utilizada no es reconocida? (Art. 3.9) No se le negarn efectos jurdicos a una firma que no sea FER. La firma electrnica sencilla y la FEA no gozan de una equiparacin automtica a la manuscrita. Habr que probar todos los extremos de la firma electrnica: seguridad, autenticidad, integridad datos. La ley equipara los efectos de la firma electrnica RECONOCIDA a los de la firma manuscrita (art. 3.4 LFE). 15 CLASES DE FIRMA ELECTRNICA Y EFECTOS JURDICOS Efectos Jurdicos El soporte en que se hallen los datos firmados electrnicamente ser admisible como prueba en juicio. Si la f.e. es reconocida simplemente se comprobar que el prestador de servicios de certificacin prestaba sus servicios de certificacin cumpliendo con todas las garantas exigidas por la ley. Importancia de los sellos de garanta Qu ocurre si en juicio se impugna la autenticidad de una f.e.? Si la f.e. no es reconocida, habr que estar a lo que el artculo 326 LECv establece para los supuestos en que se impugnan documentos privados. Habr que comprobar especficamente que cumple con la autenticidad, integridad, confidencialidad de datos. 16 CERTIFICADOS ELECTRNICOS Problemas de las firmas electrnicas: la distribucin segura de las claves pblicas y asegurar que quien utiliza una FE es ciertamente quien dice ser que es. Para salvar esos problemas, Trusted Third Party o TTP. Es un tercero, el Prestador de servicios de Certificacin, que expide un certificado, garantizando la autenticidad de las personas. DEFINICIN: un documento firmado electrnicamente por un prestador de servicios de certificacin que vincula una clave pblica a un firmante y confirma su identidad. CLASES: Certificado Electrnico sencillo o simple Los certificados Electrnicos Reconocidos deben cumplir requisitos especiales establecidos en la ley. Debe indicar: que es reconocido, Cdigo del certificado, FEA del prestador, identificacin del firmante, clave pblica del firmante, comienzo y fin de su validez, lmites de uso del certificado, valor mximo de las transacciones. Certificado Electrnico reconocido. Su importancia es que son necesarios para las FER. 17 CERTIFICADOS ELECTRNICOS Vigencia del certificado Son causas de extincin del certificado (Art. 8): a) Expiracin del perodo de validez que figura en el certificado. b) Revocacin formulada por el firmante. c) Violacin o puesta en peligro del secreto de los datos de creacin de firma del firmante o del prestador de servicios de certificacin o utilizacin indebida de dichos datos por un tercero. d) Resolucin judicial o administrativa que lo ordene. f) Cese en la actividad del prestador de servicios de certificacin salvo que, previo consentimiento expreso del firmante, la gestin de los certificados electrnicos expedidos por aqul sean transferidos a otro prestador de servicios de certificacin. Etc. Son causas de suspensin temporal del certificado (Art. 9): La solicitud del firmante. Una resolucin judicial, la existencia de dudas, etc. 18 CERTIFICADOS ELECTRNICOS Expedicin a favor de personas jurdicas Responsable del certificado y de la clave privada la personas fsica solicitante La persona jurdica acta por s misma en el mercado, sin representante legal de intermediario Cuando se excedan los lmites del certificado, la persona jurdica quedar vinculada frente a terceros slo si los asume como propios o se hubiesen celebrado en su inters. En caso contrario, los efectos de dichos actos recaern sobre la persona fsica responsable de la custodia de los datos de creacin de firma, quien podr repetir, en su caso, contra quien los hubiera utilizado. Genera muchas dudas El nombre de la persona fsica aparece en el certificado El certificado debe utilizarse para todas las actuaciones propias del giro o trfico ordinario de la persona jurdica solicitante No exceder los lmites del certificado 19 PRESTADORES DE SERVICIOS DE CERTIFICACIN CONCEPTO: "...la persona fsica o jurdica que expide certificados electrnicos o presta otros servicios en relacin con la firma electrnica. (Art. 2.2 LFE) Personas jurdicas privadas y tambin la Admn. (FNMT)=Renta. Actividad de Certificacin No est sujeta a autorizacin previa No obstante, los prestadores que quieran pueden acreditarse Procedimiento totalmente voluntario (Art. 26 LFE). El procedimiento trata de favorecer los sellos de calidad La LFE ha eliminado el Registro de prestadores estableciendo un mero servicio de difusin de informacin sobre prestadores. Conviven prestadores acreditados con no acreditados 20 Servicio de informacin de prestadores (M. de Industria) 21 PRESTADORES DE SERVICIOS DE CERTIFICACIN Obligaciones del prestador c) Garantizar la disponibilidad de un servicio de consulta sobre la vigencia de los certificados rpido y seguro. a) No almacenar ni copiar los datos de creacin de firma de la persona a la que hayan prestado sus servicios. b) Mantener un directorio actualizado de certificados. OBLIG. PRESTADOR CERTIFICADOS RECONOCIDOS: a) Garantizar que pueda determinarse con precisin la fecha y la hora en las que se expidi un certificado o se extingui o suspendi su vigencia. b) Emplear sistemas y productos fiables que garanticen la seguridad tcnica. c) Tomar medidas contra la falsificacin de certificados. d) Conservar registrada por cualquier medio seguro toda la informacin y documentacin relativa a un certificado reconocido. 22 PRESTADORES DE SERVICIOS DE CERTIFICACIN Cese de la actividad Comunicacin a los firmantes y al Ministerio de Ciencia y Tecnologa. Plazo: 2 meses antes del cese. Podr ceder la gestin de los certificados vlidos a otro prestador con consentimiento de los titulares. Responsabilidad de los prestadores Exigible a todo tipo de prestador de certificacin. Art. 22 LFE. Prestador responde de los daos causados a cualquier persona. Resp. Contractual o extracontractual. Titular del certificado (quien tiene la clave privada) Usuario del certificado (quien usa la clave pblica) Cualquier tercero (a quienes haya suplantado el titular del cert.) La carga de la prueba de la diligencia debida recae sobre el prestador 23 PRESTADORES DE SERVICIOS DE CERTIFICACIN Exencin de Responsabilidad de los prestadores a) los datos que deban consignarse en el certificado y que le haya facilitado el firmante no sean veraces. b) el firmante no notifique modificaciones importantes. c) el firmante no haya conservado con la diligencia debida los datos de creacin de firma. d) el firmante no haya solicitado la suspensin o revocacin del certificado, si tena dudas razonables sobre la confidencialidad de su clave. e) el firmante utiliza los datos de creacin de firma una vez expirado el perodo de validez del certificado. 24 PRESTADORES DE SERVICIOS DE CERTIFICACIN Supervisin y control de la Admn. Pblica La Admn. podr controlar que el prestador cumple con la ley. Los prestadores debern entregar a la Admn. la informacin que sta pueda solicitarles. Infracciones y sanciones Muy graves: expedir certificados reconocidos sin comprobar, incumplir obligaciones causando daos a terceros. 600000 . Graves: incumplir obligaciones sin causar daos a tercero, resistirse a la inspeccin. De 150000 a 300000 . Leves: incumplir obligaciones sin dar lugar a infracciones graves o muy graves. Hasta 30000 . Sanciones graves y muy graves public. en el BOE. Medidas Prov.