HFD> Publicaciones
Trabajos
Master en Dirección
de Empresas
Universidad del Salvador (ARGENTINA) - Universidad de Deusto
(ESPAÑA)
Cátedra Marco Legal
Año 2004
"Firma Digital"
Realizado por
· Carlos Fernando Barberán.
· Luis Alberto Barberán.
· Vilma Bontempo.
· Sergio Adrián Lens.
· Alejandro Perez Wiliams.
· Andrés Scattolin
INDICE
I – INTRODUCCIÓN
1. Firma digital
2. Beneficios de la firma digital
3. El documento y la firma.
3.1 El Documento en Soporte Papel y la Firma
Ológrafa.
3.2 La Integridad, inalterabilidad y perdurabilidad
de la información
3.2.1 Integridad
3.2.2 Inalterabilidad
3.2.3 Perdurabilidad
3.3 El Documento Digital
3.4 El Digesto del Mensaje
3.5. La implementación de la Firma
Digital
4. Tecnologías a utilizar
4.1. Firmas digitales y estándares
5. La infraestructura de clave pública
5.1 Los Certificados de Clave Pública
5.2 Los Certificadores de Clave Pública
5.3 Ente Licenciante o Certificador Raíz
II –ANTECEDENTES
1. Antecedentes Nacionales.
2. Antecedentes internacionales.
III - LEGISLACIÓN ARGENTINA
1. La Ley. 14 1.1. La firma digital
1.2 Ámbito de validez de la ley
1.3 Incorporación de la firma digital
al derecho de fondo:
1.4. La firma electrónica
1.5. Documento digital y firma digital:
1.6. Aplicación del concepto a las
normas de nuestro Código Civil
1.7. Implicancias legales: firma manuscrita
sobre un papel vs. firma digital
1.8. Otras acepciones
la firma digital certificada por escribano
público
las escrituras públicas
1.9. Protección penal
1.10. La despapelización en el Estado
1.11. La situación en la Justicia
2. La Infraestructura
2.1. El certificado digital
2.2. El certificador licenciado
2.3. Del titular de un certificado digital
2.4. De la organización institucional
2.5. Autoridad de Aplicación
2.6. Régimen de auditoría
2.7. Responsabilidad.
2.8. Régimen sancionatorio y jurisdicción
2.9. Disposiciones finales
IV. MARCO NORMATIVO SOBRE FIRMA DIGITAL
1. Enfoque General del Marco Normativo
1.1. Autoridad de Aplicación
1.2. Comisión Asesora para la Infraestructura
de Firma Digital
1.3. Ente Licenciante
1.4. Certificadores licenciados
1.5. Autoridades de Registro
1.6. Sistema de Auditoría:
2. Enfoque Particular del Marco Normativo
2.1. Listado Completo de la Normativa Vigente
3. Normativa Específica para el Sector
Público
4. Normativa sobre Aplicaciones en el Sector
Público
5. Normativa Generales relacionada con Tecnología
6. Propiedad Intelectual
7. Confidencialidad
8. Competencia de la Subsecretaria de la
Gestión Pública
V – BALANCE FINAL
VI – LEGISLACIÓN EN OTROS PAÍSES
República Oriental del Uruguay
España
Alemania
Australia
Bélgica
Brasil
Chile
Colombia
Dinamarca
Finlandia
Francia
Estados Unidos
Italia
Malasia
Países Bajos
Reino Unido
ANEXO I
SISTEMAS CRIPTOGRÁFICOS
1. El Sistema de Criptografía RSA
2. Estructura de una Función Hash
2.1. Algoritmo MD5
2.2. Algoritmo básico MD5
2.2.1. Algoritmo MD5 en detalle
ANEXO II
Ley 25.506
BIBLIOGRAFÍA
I – INTRODUCCIÓN
1. Firma digital
Las redes abiertas como Internet revisten
cada vez mayor importancia para la comunicación mundial.
Esas redes permiten una comunicación interactiva entre
interlocutores que no necesariamente han entablado previamente
relación alguna. Ofrecen asimismo nuevas posibilidades
empresariales, creando herramientas que mejoran la productividad
y reducen los costos, así como nuevas formas de llegar
al cliente. Las redes están siendo utilizadas por empresas
que desean aprovechar los nuevos tipos de actividad y nuevas
formas de trabajo, como el tele trabajo y los entornos virtuales
compartidos. También las administraciones públicas
las utilizan en su gestión interna y en su interacción
con empresas y ciudadanos. El comercio electrónico
brinda al país una excelente oportunidad para avanzar
en su interacción económica con las naciones
del resto del mundo.
Para aprovechar todas las posibilidades
resulta indispensable un mecanismo que permita asegurar con
un alto grado de probabilidad la identidad del autor de un
documento (autenticación de la autoría) así
como comprobar que dichos datos no han sufrido alteración
desde que fueron firmados (integridad). Para ello han sido
diseñados distintos tipos de soluciones, que van desde
algunos muy sencillos como la inserción de la imagen
escaneada de una firma manuscrita en un documento creado con
un procesador de texto, a otros muy avanzados como la firma
digital que utiliza la “criptografía de clave
pública”.
Existe acuerdo a nivel mundial de que la
firma digital basada en la criptografía de clave pública
constituye en la actualidad el único mecanismo que
permite resolver las cuestiones planteadas. En este sentido,
se coincide en forma casi unánime que el término
firma digital debe reservarse para aquel mecanismo que se
basa en la criptografía y en la clave pública.
2. Beneficios de la firma digital
Al facilitar la autenticación a distancia
entre partes que no necesariamente se conocen previamente,
las firmas digitales constituyen el mecanismo esencial para
proveer seguridad y desarrollar confianza en las redes abiertas.
Por ello constituyen un elemento clave para el desarrollo
del comercio electrónico en Internet.
En el ámbito nacional el comercio
electrónico ya se esta manifestando, existiendo supermercados,
aerolíneas, agentes bursátiles y bancos que
ofrecen sus productos y servicios por Internet permitiendo
así la compra de alimentos y artículos del hogar,
de pasajes aéreos, de títulos valores bursátiles
y de transferencias de fondos entre cuentas bancarias y el
pago de facturas de servicios.
A título de ejemplo puede mencionarse
el efecto del comercio electrónico en Internet respecto
del ámbito bursátil, para el cual el valor monetario
de las transacciones de compra-venta de títulos valores
iniciadas desde Internet en los EEUU en 1997 ascendió
a 120 mil millones de dólares, estimándose que
tal cifra se triplicaba para 1998 y se quintuplicará
para el 2005.
El comercio electrónico no es el
único beneficiario de la firma digital: actualmente
las empresas y los organismos públicos de nuestro país
están atorados de grandes cantidades de documentos
en soporte papel que ocupan un significativo y costoso espacio
de archivo en sus oficinas y que dificultan su informatización
resultando en un acceso a la información más
lento y costoso. Los requerimientos legales que exigen la
utilización del papel con firma manuscrita impiden
la implementación de modernos sistemas informáticos
mediante los cuales se podría exceder a documentos
a distancia y a la información en forma inmediata,
dando lugar a nuevas modalidades de desempeño laboral
como ser el tele-trabajo (“tele-commuting”).
Y es así donde se produce el mayor
beneficio de la utilización de la firma digital: tanto
estas nuevas modalidades de trabajo como el incremento en
la velocidad de circulación de la información
que hace factible el documento digital permitirían
que las organizaciones de nuestro país ofrezcan un
mejor nivel de servicios a sus administrados y simultáneamente
reduzcan sus costos, aumentando su productividad y su competitividad
en lo que hoy son mercados cada vez más globalizados
y competitivos.
3. El documento y la firma.
3.1 El Documento en Soporte Papel y la Firma Ológrafa.
La firma manuscrita tiene efectos jurídicos
en nuestra sociedad y cultura pues en la tradición
de su uso la ley considera aceptable para identificar al autor
de un documento y simultáneamente asegurar la integridad
del contenido de dicho documento, en tanto se cumplen las
siguientes condiciones:
1.El documento está escrito con tinta
indeleble y en soporte papel absorbente, tal que una enmienda
o raspadura que altere la información escrita sea visible
y evidente;
2.El documento posee márgenes razonables que contienen
los renglones escritos, tal que cualquier escritura adicional
sea visible y evidente;
3.La firma manuscrita se coloque delimitando la información
escrita, tal que no sea posible agregar texto escrito excepto
a continuación de la firma manuscrita;
4.El firmante siempre utiliza la misma o similar firma manuscrita
para firmar los documentos de su autoría;
5.La firma manuscrita es suficientemente compleja tal que
su falsificación deviene no trivial, y
6.Existen peritos caligráficos que pueden detectar
las falsificaciones con un razonable grado de certeza.
Cabe aclarar que en la referida enumeración
no se consideran los requisitos impuestos por las leyes y
reglamentaciones para las escrituras públicas.
Es importante destacar que la falta de cualquiera
de los seis puntos especificados tornaría inseguro
al mecanismo de firma manuscrita para documentos en soporte
papel, permitiendo así a su autor repudiar la autoría
de los documentos que le podrían ser atribuidos y en
tanto no se recurra a un mecanismo adicional como podría
ser la certificación notarial de la firma.
En el mecanismo de Firma Digital propuesto,
estos puntos se implementan generando un digesto o resumen
criptográfico del mensaje, creado por una función
de digesto de mensaje, el cual a su vez es encriptado con
la clave privada del firmante (que solo el firmante conoce),
y un certificador de clave pública confiable que certifica
cual es la clave pública utilizada por el firmante.
3.2 La Integridad, inalterabilidad y perdurabilidad de la
información
Vale la pena explorar cuidadosamente las
diferencias en los conceptos de integridad, inalterabilidad
y perdurabilidad de la información y de cómo
estos se relacionan con los conceptos de la firma digital,
del archivo de la información y de los distintos medios
de almacenamiento.
3.2.1 Integridad
Significa que la información no carece
de ninguna de sus partes, que no ha sido modificada. La integridad
es una cualidad imprescindible para otorgarle efectos jurídicos
a la información. La firma digital detecta la integridad
de la información que fuera firmada, en forma independiente
al medio de su almacenamiento.
3.2.2 Inalterabilidad
Significa que la información no se
puede alterar. Ya que la información siempre puede
ser alterada, la inalterabilidad no se refiere a la información
en sí, sino a su medio de almacenamiento. La firma
digital no impide que la información sea alterada,
sino que detecta si se ha producido alguna alteración.
La inalterabilidad del medio de almacenamiento no asegura
la integridad de la información: El disco digital “CD
– ROM”, por ejemplo es un medio de almacenamiento
gravable una sola vez, por lo que impide que se altere la
información que en él ha sido grabada, pero
no impide que esa información sea alterada y copiada
a un segundo CD – ROM que luego sustituya a su original.
3.2.3 Perdurabilidad
Significa que la información perdura
en el tiempo y es una cualidad del medio de almacenamiento.
La información que debe perdurar en el tiempo debe
ser archivada en un medio perdurable. La inalterabilidad del
medio de almacenamiento es ortogonal a (desconexa de) la perdurabilidad
de la información: por ejemplo en la antigua informática,
la “tarjeta perforada” de cartón es un
medio inalterable porque no es reperforable, pero no demuestra
buenas características de perdurabilidad por su sensibilidad
a la humedad y a los roedores. Por otro lado, el disco rígido
de una computadora no es un medio inalterable de almacenamiento,
pero demuestra excelentes características de perdurabilidad
cuando opera como parte de un banco de discos, si la información
se almacena con suficiente redundancia y si los disco tienen
un tiempo promedio entre fallas del orden de 350.000 horas
(40 años).
3.3 El Documento Digital
El documento digital es simplemente una
secuencia informática de bits (unos y ceros) que puede
representar cualquier tipo de información. Esta representación
de la información en base a dígitos implica
en el ámbito informático una representación
“binaria”.
Todo tipo de información es apta
para ser representada digitalmente: mediante el escaneo, la
imagen de una fotografía o la imagen de un documento
en soporte papel; mediante un procesador de palabras, la información
escrita; mediante una plaqueta digitalizadora, la voz, la
música y el video; mediante hojas de cálculo,
la información numérica y financiera; y mediante
base de datos, la información estadística y
de diversos bancos de información.
Todo tipo de información representada
digitalmente constituye un documento digital y es susceptible
de ser firmada digitalmente. Es por ello que la firma digital
puede utilizarse para otorgar efectos jurídicos o eficacia
probatoria a toda declaración de voluntad o de conocimiento,
con independencia de su extensión o de su medio de
almacenamiento, sin limitación alguna.
3.4 El Digesto del Mensaje
El digesto del mensaje es una secuencia
de bits de longitud corta y fija, producida por una función
de digesto (resumen) luego de procesar un documento digital.
La función de digesto es un algoritmo criptográfico
que forma un documento digital de forma tal que siempre se
obtenga el mismo digesto de mensaje cada vez que se calcule
esta función respecto del mismo documento digital,
y sea computacionalmente no factible encontrar dos documentos
digitales diferentes que produzcan el mismo digesto de mensaje.
La firma digital respecto de un documento
digital es el digesto de mensaje de ese documento encriptado
mediante la clave privada del firmante.
La verificación de una firma digital
consiste en volver a calcular el digesto de mensaje para compararlo
con el digesto de mensaje original que se obtiene desencriptando
la firma digital con la clave pública del firmante.
Aunque sería factible encriptar el
documento digital directamente, se encripta en vez el digesto
del documento pues este es más corto, con lo cual los
procedimientos de encriptado y desencriptado son sustancialmente
más veloces.
3.5. La implementación de la Firma Digital
Para esclarecer ciertas cuestiones relativas
a la terminología de la tecnología de firma
digital, se incluyen los siguientes conceptos:
En primer lugar corresponde hablar de firma
digital y no de firma electrónica.
También corresponde explicar que
la firma digital sub-examine nada tiene que ver con la firma
escaneada.
Aunque parezca superfluo, conviene también
explicar que la firma digital nada tiene que ver con la utilización
de la impresión dactilar.
Establecido ya que la información
a la cual se le desea otorgar valor jurídico es digital,
o sea numérica (binaria), conviene explicar la naturaleza
de los posibles mecanismos disponibles para otorgarle efectos
jurídicos a esa información numérica.
En este sentido cabe aseverar en forma axiomática
que el mecanismo de firma digital debe ser criptográfico,
pues si lo que se desea es proteger la información,
o sea los dígitos, se incursiona necesariamente en
el campo de la criptografía, la que se define como
el arte de proteger la información (tanto como para
proteger su privacidad como para proteger su integridad).
El término criptografía proviene
del griego (cripto: oculto) y es definido por el diccionario
de la Real Academia Española como el “arte de
escribir con clave secreta o de un modo enigmático”.
4. Tecnologías a utilizar
Se ha prestado eventual atención
a que las tecnologías a utilizar en el eventual desarrollo
del sistema reúnan las más completas garantías
en los aspectos de seguridad, de acuerdo con el estado del
arte actual en el campo de la criptografía civil.
Los métodos y algoritmos usados más
importantes son los siguientes:
-Algoritmo de firma digital: se adopta el
algoritmo RSA, por su compatibilidad con los estándares
internacionales y porque ha resistido exitosamente los intentos
de criptoanálisis desde su invención. Se desconoce
una forma de ataque mas sencilla que la factorización
del módulo.
-Algoritmo de hashing: se adopta el algoritmo
MD5, para el que se desconocen modos de ataque más
simple que el de “fuerza bruta”. Hallar un mensaje
que arroje un valor dado requiere 2128 intentos (3.428 x 1038
), en tanto que hallar dos mensajes al azar que arrojen un
mismo valor de hash requiere 264 intentos (1.8447 x 1019).
-Generación de números al
azar: se utiliza el generador de residuos cuadráticos
o BBS, que tiene la especial fortaleza de ser impredecible
“a derecha e izquierda”.
-Algoritmo de encriptación simétrica:
se adopta el algoritmo IDEA. Aunque de reciente invención
este algoritmo ha demostrado ser resistente a diferentes formas
de ataque por fuerza bruta. Un ataque de fuerza bruta requiere
2128 intentos, este algoritmo esta registrado en el ISO Register
of Cryptographic Algoritmhs”, ISO 9979/0002.
-Algoritmo de determinación de números
primos: se adopta un algoritmo probabilístico de alta
convergencia, procurando asegurar que la probabilidad de generar
un falso número primo sea inferior a 1 en 232 ( 1 en
4 000 000 000).
-Protección de claves: las claves
para encriptación (simétricas) se utilizan en
una sola sesión de comunicación, por consiguiente,
no quedan almacenadas en modo accesible en ningún archivo,
su uso es transitorio y luego de utilizadas se descartan,
las claves públicas, como es evidente no necesitan
protección, los datos que necesitan un fuerte esquema
de protección son las claves privadas y las “semillas”
generadoras de números primos y números al azar,
para ello, se preveen diversos esquemas de protección:
en la aplicación “cliente”, los datos sensitivos
se alojan en archivos encriptados; en lugar de utilizar contraseñas
convencionales, el usuario accede a través de una “frase-contraseña”;
ésta no es almacenada en ningún lugar del sistema,
sino que en función de ella, en cada acceso, un algoritmo
de hashing calcula un valor que sirve de índice.
4.1. Firmas digitales y estándares
Los algoritmos han sido escogidos tomando
en cuenta no sólo su seguridad sino también
su compatibilidad con normas internacionales, en particular
con las normas ISO y las del CCITT:
-Las firmas digitales que utilizan algoritmos
de clase pública están reguladas por la norma
ISO 9796 y el estándar de seguridad de la norma CCITT
X.509.
-Los modos de operación de los algoritmos
de encriptación están regulados por las normas
ISO 8372 e ISO 10116.
-Los procedimientos de hashing están
regulados por la norma ISO 10118-2.
Adicionalmente, el algoritmo RSA es parte
de las normas de seguridad estándar de la “Society
for Worldwide Interbank Financial Telecomunications s.c.”,
de la norma francesa ETEBAC 5 para el sector financiero, de
la propuesta de norma estadounidense ANSI X9.31 y de la norma
australiana AS2805.6.5.3. Este algoritmo esta también
incorporado a diversas funciones de sistemas operativos de
Microsoft, Apple, Sun y Novell.
5. La infraestructura de clave pública
La persona que recibe un documento digital
firmado digitalmente no sólo necesita verificar la
integridad de dicho documento, sino también la identidad
del suscriptor. Esta identificación del suscriptor
requiere de ciertos componentes adicionales que conforman
la denominada Infraestructura de Clave Pública (PKI
– “Public Key Infrastucture”). Los componentes
esenciales de dicha infraestructura son:
5.1 Los Certificados de Clave Pública
La firma digital permite identificar la
clave pública correspondiente a la clave privada utilizada
para firmar un documento, pero aún resta identificar
quién es el titular de esa clave pública. Para
ello se requiere de un tercero confiable que identifique a
ese titular, identificación que se lleva a cabo mediante
el denominado certificado de clave pública (“public
key certificate”).
Los certificados de clave pública
son documentos digitales firmados digitalmente por un tercero
confiable que contienen una clave pública con los datos
identificatorios de su titular.
5.2 Los Certificadores de Clave Pública
Los certificadores de clave pública
(“certification authorities”) son los terceros
confiables que emiten certificados de clave pública
que asocian una determinada clave pública con los datos
identificatorios de su suscriptor, y como tales se constituyen
quizás en el elemento más importante de esta
infraestructura. Por ello, el marco legal que le otorgue efectos
jurídicos a la firma digital debe complementar por
medio del licenciamiento los estándares y requisitos
mínimos aceptables de operación de los certificadores.
5.3 Ente Licenciante o Certificador Raíz
El ente licenciante, también denominado
certificador raíz (“root certification authority”)
otorga las licencias operativas a los certificadores de clave
pública y monitorea el funcionamiento de los mismos.
Como parte del proceso de licenciamiento, el ente licenciante
emite certificados de clave pública a favor de cada
certificador licenciado, formando así un esquema jerárquico
de certificación.
II –ANTECEDENTES
1. Antecedentes Nacionales.
En nuestro país la iniciativa nace
en el seno del Estado Nacional, aproximadamente en 1996. A
partir de entonces se ha sucedido un trabajo admirable en
la Secretaría de la Función Pública,
que se refleja en las numerosas disposiciones y estructuras
que se han creado. Gracias a ello es que en el ámbito
de la administración pública nacional desde
hace tiempo se utiliza la firma digital. Y debe destacarse
el esfuerzo realizado por el Ministerio de Justicia, la Jefatura
de Gabinete y, en el ámbito privado, la colaboración
del Consejo Federal de Notariado Argentino y del Colegio de
Escribanos de la Capital Federal.
La Comisión Nacional de Valores (CNV),
desde hace tiempo está aplicando tanto las disposiciones
de la firma digital como la presentación de documentación
en forma digital.
Ha habido por un lado experiencias prácticas
en el Estado en el seno de la Secretaría de la Función
Pública, y por el otro, numerosas iniciativas, entre
ellas, el proyecto elaborado por el PEN, proyecto que puede
considerarse como la base de las iniciativas legislativas
mencionadas en la ley mencionada.
Finalmente el proyecto del nuevo Código
Civil prevé tanto el documento digital como la firma
digital. El artículo 264°, trata de los instrumentos
particulares, donde los describe e incluye el escrito si no
está firmado pues si lo está, lo denomina instrumento
privado (art. 265°).
En cuanto a la firma expresa en su artículo
266° lo siguiente: la firma prueba la declaración
de voluntad expresada en el texto al cual corresponde. Debe
ser manuscrita y consistir en el nombre del firmante o en
un signo. Escritos del modo en que habitualmente lo hace a
tal efecto. En los instrumentos generados por medios electrónicos,
el requisito de la firma de una persona queda satisfecho si
se utiliza un método para identificarla y ese método
asegura razonablemente la autoría e inalterabilidad
del instrumento.
2. Antecedentes internacionales.
Con mayor o menor grado de avance. la mayoría
de los países del primer mundo tienen una normativa,
y también algunos países en desarrollo que intentan
progresar.
En el ámbito mundial, las tendencias
de las legislaciones que se han ido dictando presentan las
siguientes características:
· Se produce una evolución
desde las primeras legislaciones eminentemente reglamentarias
y completas como la ley del Estado de Utah en Estados Unidos,
pasando por legislaciones técnicas como la Ley de Alemania,
hacia legislaciones más flexibles como el Real Decreto
Español, la Ley de Portugal, la Ley de Colombia y las
minimalista Ley de Perú.
· La tendencia mundial es el dictado
de leyes de articulado breve, delegando en el Reglamento de
la Ley, la tarea de establecer en firma exhaustiva los derechos,
deberes y obligaciones de los sujetos que participan de la
actividad.
· La tendencia indica también,
que las leyes se estructuran sobre cuatro conceptos fundamentales:
firma electrónica o digital, documento electrónico,
certificados digitales y prestadores de servicio de certificación.
· Sobre esta materia, la Comunidad
Europea promueve el libre acceso para quien quiera prestar
servicios de Certificación, estableciendo cada país
en particular las normas mínimas que regirán
la actividad. Además, en algunos países como
España por ejemplo, se establece un sistema libre de
Acreditación frente al Estado, premiando esa adhesión
voluntaria con el otorgamiento de mayor valor legal a los
certificados emitidos por organismos acreditados.
· La legislación sudamericana
en cambio, se inclina por el sistema de autorización
previa por el organismos estatal competente.
· Las legislaciones más modernas,
establecen requisitos de forma y fondo, llámase técnicos,
financieros y de personal, relativamente importantes para
el desarrollo de la actividad de certificación, ya
sea estableciéndolos directamente en la ley o encomendado
esa tarea al Reglamento.
· En cuanto a responsabilidades,
la situación no es del todo clara. Legislaciones como
la española y la doctrina en general, obligan al Prestador
de Servicios de Certificación a probar la diligencia
con que actuó, y lo hacen responsable de los errores
y consecuencialmente de los daños que su negligencia
produzcan. Las legislaciones de Colombia, Perú y la
Ley Modelo de la CNUDMI nada dicen al respecto. En el dictado
de la Ley Alemana, el parlamento discutió largamente
sobre la inclusión o no de normas sobre responsabilidad,
optando por la última de las alternativas.
Es interesante analizar el caso de Francia
por la similitud de la estructura legal. Este país,
que había quedado retrasado en relación con
las primeras economías del mundo, a partir de 1997
y luego de un período de estudio por una Comisión,
el 29 de febrero de 2000 la Cámara de Diputados transformó
en Ley el “Proyecto de adaptación del derecho
de la prueba con las nuevas tecnologías de la información
en relación con la firma electrónica”,
introduciendo una trascendente reforma a los principios sobre
prueba escrita y firma en el Código Civil Francés,
incorporando en estricto pie de igualdad con sus pares analógicos
al documento electrónico y a la firma digital.
Posteriormente el Gobierno dictó
el Decreto Nro. 2001-272 del 30 de marzo de 2001, de aplicación
del nuevo artículo 1316-4 generando el sistema de firma
digital en Francia.
III - LEGISLACIÓN ARGENTINA
La ley 25.506 crea una nueva forma de interactuar
entre las personas privadas, y entre éstas y la Administración
Pública, al reconocer validez y valor probatorio al
documento digital y autorizar el uso de la firma digital –diseñando
una infraestructura que la hace posible- al tiempo que, bajo
ciertas condiciones, reconoce la firma digital y certificado
digital extranjeros. Regula también el uso de la firma
electrónica, una acepción más amplia
que la digital.
Esta norma no sustituye las formas tradicionales,
por el contrario, se proclama un respeto a las formas documentales
existentes, agregando, al documento escrito, el documento
digital, y a la firma, la firma electrónica y la firma
digital.
Esto ya estaba incorporado en el ámbito
de la Administración Pública y ahora se extiende
a todos los actos jurídicos.
A partir de ésta se podrán
firmar contratos, en un documento de word, o en un e-mail,
con plena validez.
La firma digital requiere una infraestructura
compleja para funcionar, razón por la cual un alto
porcentaje de la ley está dedicado a su organización.
Es fundamental para el desarrollo del comercio
electrónico, el reconocimiento legal del documento
electrónico, su equivalencia con el documento impreso
en papel y su admisibilidad como prueba en juicio. No parece
ser razonable actualmente la existencia de diferencias entre
el valor jurídico de un documento impreso en papel
a un documento otorgado electrónicamente, salvo por
supuesto por aquellos documentos que requieren ser otorgados
cumpliendo ciertas solemnidades, como la concurrencia de un
notario público, mientras éstos no tengan facultades
en el mundo electrónico.
La firma digital tiene algunas ventajas
sobre la firma manuscrita como la inalterabilidad del mensaje,
la fecha y hora de la firma.
La finalidad de la ley al admitir el documento
digital y difundir el uso de la firma digital en la Argentina,
es colocar al país en sintonía con el resto
de los países más avanzados en el mundo, facilitando
el comercio exterior, la contratación a distancia,
y bajando el costo argentino, haciendo más eficiente
el país. La trascendencia de la norma, por lo expuesto,
es notable.
1. La Ley.
1.1. La firma digital:
Recordemos qué es la firma en su
acepción clásica. Una definición dice:
“Nombre y apellido, o título de una persona,
que ésta pone con rúbrica al pie de un documento
escrito de mano propia o ajena, para darle autenticidad, para
expresar que se aprueba su contenido, o para obligarse a lo
que en él se dice.”. Otra, comentando la nueva
ley de Francia, habla de un grafismo, por el cual una persona
se identifica en un acto y asiente sobre el contenido del
documento, acordándole fuerza probatoria. Estas definiciones
incorporan dos cuestiones, la intención y la fuerza
probatoria.
¿Y qué es la firma digital?.
En su artículo 1° referido al Objeto, nuestra ley
dice que:
Se reconoce el empleo de la firma electrónica
y de la firma digital y su eficacia jurídica en las
condiciones que establece la presente ley.
Se advierte que comienza hablando de firma
electrónica, antes que de la firma digital. Aunque
la firma electrónica es el género, y la firma
digital es la especie, tratándose de una “Ley
de Firma Digital” no parece razonable comenzar con una
referencia a aquélla (firma electrónica), máxime,
cuando más adelante lo habrá de considerar en
especial.
La firma digital específicamente
está definida en el artículo 2°:
Se entiende por firma digital al resultado
de aplicar a un documento digital un procedimiento matemático
que requiere información de exclusivo conocimiento
del firmante, encontrándose ésta bajo su absoluto
control. La firma digital debe ser susceptible de verificación
por terceras partes, tal que dicha verificación simultáneamente
permita identificar cualquier alteración del documento
digital posterior a su firma.
Vemos así que la firma digital requiere
determinadas condiciones, que luego complementa con otras
disposiciones.
Aplicar a un documento digital: de acuerdo
con esta definición la firma digital no existe, no
tiene vida ni virtualidad, sin un documento digital. Esto
es equivalente a la firma manuscrita, ésta no puede
existir sin un soporte material (generalmente papel o equivalente).
Un procedimiento matemático: la firma
digital es un procedimiento matemático realizado automáticamente
por un computador, generando un par de claves.
Información de exclusivo conocimiento
del firmante: aquí la ley incorpora conceptos equívocos
para lo que debe ser una clara definición conceptual,
más propios de recomendaciones que de la naturaleza
de un instituto. Requiere información que en la generalidad
de los casos supone que sólo pertenece a la esfera
del exclusivo conocimiento de quien quiere firmar. ¿Significa
esto acaso que si la información no es del exclusivo
conocimiento del firmante no hay firma digital?. Se entiende
que no es así y sólo debe ser susceptible de
conocimiento exclusivo, pero el que lo comparta no le quita
ese carácter.
Encontrándose ésta bajo su
absoluto control: aquí cabe la misma observación
del anterior, esto es una recomendación, pero no integra
la definición. Debe ser de conocimiento exclusivo y
estar bajo su absoluto control. Esto supone tener en todo
momento la posibilidad de su utilización, sin depender
de terceras personas, pero el que el firmante resuelva compartirlo,
nuevamente, no quita el carácter de firma digital.
Susceptible de verificación: ésta
es una de las más importantes características,
de una importancia tal que –en el esquema de la ley-
si ello no se verifica no estamos ante una firma digital (aunque
podría ser una firma electrónica).
Posibilidad de identificar al firmante:
la firma digital debe permitir la identificación del
firmante en forma indubitable. En verdad, estamos aquí
ante una ventaja sobre la simple firma la cual, prima facie,
no identifica necesariamente al firmante, y donde podríamos
decir que “parece ser la firma de Juan Pérez”,
pero nada más.
No alteración del documento digital:
Finalmente la firma digital debe proteger la inalterabilidad
del documento digital con lo cual –asegurada la identidad
de quien la firma y la autenticidad del documento digital-
sería imposible que el firmante niegue o repudie el
documento digital. En otras palabras, está introduciendo
el concepto del ‘no repudio’ que requieren otras
legislaciones.
En esto es superior a la simple firma, que
no garantiza la inalterabilidad del documento, es una ventaja
sobre la firma común.
El artículo 7° de la ley trata
sobre la Presunción de autoría: se presume,
salvo prueba en contrario, que toda firma digital pertenece
al titular del certificado digital que permite la verificación
de dicha firma.
Este artículo introduce el concepto
del certificado digital de donde resulta que no hay firma
digital sin un certificado digital.
El artículo 8° introduce otra
presunción esencial, es decir, que el documento digital
no ha sido modificado.
Presunción de integridad - Si el
resultado de un procedimiento de verificación de una
firma digital aplicado a un documento digital es verdadero,
se presume, salvo prueba en contrario, que este documento
digital no ha sido modificado desde el momento de su firma.
Entonces de acuerdo a los artículos
7° y 8° la firma digital goza de presunción
de autoría y de integridad, es decir que la carga de
la prueba (onus probandi) recaerá sobre la persona
que alega la falsedad de un documento firmado digitalmente,
o que el mismo ha sido firmado por interpósita persona.
Por el contrario, cuando se desconoce la firma electrónica
la carga de la prueba sobre su validez, recaerá sobre
quien la alega.
Y el artículo 10° suma otra presunción
importante:
Remitente. Presunción – Cuando
un documento digital sea enviado en forma automática
por un procedimiento programado y lleve la firma digital del
remitente, se presumirá, salvo prueba en contrario,
que el documento firmado proviene del remitente.
En este caso la presunción se refiere
a determinar de quién proviene y parecería una
repetición del artículo 7° que establece
la presunción de autoría. En este caso queda
la sensación de que se reafirma un concepto desde un
diferente ángulo.
Si, como se ha visto, no existe firma digital
sin un certificado digital, todos los recaudos referidos a
éste cumplimentan aquél concepto. Tales son
los artículos 9° y 10°. El primero dice:
Validez – Una firma digital es válida
si cumple con los siguientes requisitos:
a) Haber sido creada durante el período
de vigencia del certificado digital válido del firmante;
b) Ser debidamente verificada por la referencia
a los datos de verificación de firma digital indicados
en dicho certificado, según el procedimiento de verificación
correspondiente;
c) Que dicho certificado haya sido emitido
o reconocido, según artículo 16° de la presente,
por un certificador licenciado.
No sólo tiene que haber un certificado
digital, sino que la firma digital que haya sido estampada
durante su período de vigencia pues en caso contrario
no vale como tal. El inciso c) requiere, además, que
dicho certificado digital haya sido emitido o reconocido por
un certificador licenciado. Al terminar esta disposición
se consigna que una autoridad de aplicación regulará
todo lo referido a cuestiones tecnológicas. Esto nos
está introduciendo en el tema de la infraestructura,
no puede haber firma digital sin un certificado digital y
éste sólo puede ser válido si ha intervenido
un certificador licenciado y los procedimientos sólo
podrán ser los determinados por la autoridad de aplicación.
Todo aquello es lo que se conoce como infraestructura de firma
digital.
Y culminando con esta definición
de firma digital cuya validez depende de un certificado digital,
es conveniente considerar el art. 23° sobre cuándo
este certificado no es válido:
Desconocimiento de la validez de un certificado
digital – Un certificado digital no es válido
si es utilizado:
a) para alguna finalidad diferente a los
fines para los cuales fue extendido;
b) para operaciones que superen el valor
máximo autorizado cuando corresponda;
c) una vez revocado.
1.2 Ambito de validez de la ley:
Completando este panorama tenemos las excepciones
que delimitan el campo de la validez de la firma digital (y
de la firma electrónica y del documento digital). El
artículo 4° que las establece, indirectamente,
viene a reforzar el principio general pues sólo no
son válidas en las situaciones taxativamente enumeradas.
Exclusiones: las disposiciones de esta ley
no son aplicables:
a) a las disposiciones por causa de muerte;
b) a los actos jurídicos del derecho
de familia;
c) a los actos personalísimos en
general;
d) a los actos que deban ser instrumentados
bajo exigencias o formalidades incompatibles con la utilización
de la firma digital, ya sea como consecuencia de disposiciones
legales o acuerdos de partes.
Aunque estas excepciones debieran haberse
limitado, a la firma digital, en verdad, abarcan a todo lo
reglado en la ley, de donde no podrían existir documento
digital en relación con tales excepciones.
1.3 Incorporación de la firma digital al derecho de
fondo:
Estas normas, se incorporan a nuestro derecho
de fondo, en el artículo 3° establece:
Del requerimiento de firma. Cuando la ley
requiera una firma manuscrita, esa exigencia también
queda satisfecha por una firma digital. Este principio es
aplicable a los casos en que la ley establece la obligación
de firmar o prescribe consecuencia para su ausencia.
A partir de esta ley, cada vez que en los
códigos y leyes de fondo se lea la palabra firma y
documento o instrumento puede ser reemplazado por firma digital
o documento digital. Indirectamente como hemos visto queda
reforzada por las únicas excepciones previstas por
el artículo 4°.
1.4. La firma electrónica:
Se mencionó ya que la firma electrónica
sería el nombre genérico de una forma de expresar
en el mundo digital todo lo que implica la firma en el mundo
real. La firma digital sería una variedad –la
más conocida, segura y recomendable- de la firma electrónica.
Además de mencionarla en el primer artículo,
en el artículo 5° se define a la firma electrónica:
Se entiende por firma electrónica
el conjunto de datos electrónicos integrados, ligados
o asociados de manera lógica a otros datos electrónicos,
utilizado por el signatario como su medio de identificación,
que carezca de alguno de los requisitos legales para ser considerada
firma digital. En caso de ser desconocida la firma electrónica
corresponde a quién la invoca acreditar su validez.
Hay diferencias notables entre la firma
electrónica y la firma digital, lo sustancial son las
presunciones, pues en tanto en el caso de firma digital se
presume que, cumplidas ciertas condiciones, el firmante no
puede desconocerlo y se invierte la carga de la prueba (iuris
et de iure), en el caso de la firma electrónica, corresponde
a quién la invoca acreditar su validez.
El legislador utiliza una técnica
diferente en la definición de firma electrónica:
“se entiende por firma electrónica al conjunto
de datos electrónicos integrados, ligados o asociados
de manera lógica a otros datos electrónicos,
utilizado por el signatario como su medio de identificación”.
Deja de lado aquí los conceptos de reserva y exclusivo
control, para ir hacia algo más simple.
Hacia el final marca el elemento diferenciante
más importante “que carezca de alguno de los
requisitos legales para ser considerada firma digital”.
Todos los sistemas de identificación digital que expresen
asentimiento e identificación y que carezcan de alguna
de las características de la firma digital serán
firma electrónica.
1.5. Documento digital y firma digital:
Una definición de documento escrito
dice que es una “expresión en soporte escrito
de un acto o hecho con repercusión jurídica,
a la cual el Derecho confiere valor probatorio. Así,
la prueba documental o prueba de documentos es la constituida
por material documental, bien de naturaleza pública
o bien de carácter privado”. En este caso vemos
que cuando habla de soporte escrito se está refiriendo
a papel.
La ley define al documento digital en su
artículo 6°:
Se entiende por documento digital a la representación
digital de actos o hechos, con independencia del soporte utilizado
para su fijación, almacenamiento o archivo. Un documento
digital también satisface el requerimiento de escritura.
Vemos también aquí, aunque
sin el énfasis y claridad como en el caso de la firma
digital, se está modificando la legislación
de fondo. ¿El documento digital reemplaza al instrumento,
al documento escrito?. El artículo 3° lo dice respecto
de la firma, y la frase final de que el documento digital
también satisface el requerimiento de escritura, deja
en claro que cuando el derecho común requiere actos
por escrito pueden suplirse con el documento digital. Pero
¿reemplaza al documento escrito, a la prueba documental
a los efectos probatorios?. La normativa del documento digital
es muy concisa en la ley.
Otra disposición tiende a determinar
cuál sería el documento original en el caso
de un documento digital. Debe recordarse que en el mundo digital
un documento es exactamente igual a otro, no se trata de algo
muy parecido, sino lo mismo, a tal punto que no se podrían
establecerse técnicamente las diferencias entre uno
y otro. La ley lo resuelve de esta forma en el artículo
11°:
Original. Los documentos electrónicos
firmados digitalmente y los reproducidos en formato digital
firmados digitalmente a partir de originales de primera generación
en cualquier otro soporte, también serán considerados
originales y poseen, como consecuencia de ello, valor probatorio
como tales, según los procedimientos que determine
la reglamentación.
Por su parte, en lo referido a la obligación
de conservar los documentos existente en algunos regímenes
dice el artículo 12°:
Conservación. La exigencia legal
de conservar documentos, registros o datos, también
queda satisfecha con la conservación de los correspondientes
documentos digitales firmados digitalmente, según los
procedimientos que determine la reglamentación, siempre
que sean accesibles para su posterior consulta y permitan
determinar fehacientemente el origen, destino, fecha y hora
de su generación, envío y/o recepción.
Este artículo posibilita cumplir
con las exigencias legales de conservación de documentos,
registros o datos, como por ejemplo: notificaciones, balances
de empresas, libros de actas de asambleas societarias, libros
de accionistas, etc., en soporte digital y firmados digitalmente
de forma tal que puedan ser accedidos para su posterior consulta
y permitan determinar fehacientemente el origen, destino,
fecha y hora de su generación, envío y/o recepción.
Un reciente informe se pregunta si la firma
digital establece la confidencialidad del contenido de un
documento firmado digitalmente, contestando negativamente:
la confidencialidad del contenido no es una prescripción
legal ni una finalidad de la firma digital (como sí
lo son la identidad del autor y la integridad del contenido).
Al igual que un documento con firma hológrafa, el documento
con firma digital puede ser leído por cualquier persona.
En caso que se desee la confidencialidad del contenido se
deberá encriptar el documento, pero esto no es algo
regulado por la ley.
1.6. Aplicación del concepto a las normas de nuestro
Código Civil:
Los artículos 3° y 6° sobre
el documento digital y la firma digital, dejan claro que se
han incorporado en el derecho argentino estas modalidades
de contratación.
Se puede concluir que en general las disposiciones
del código son compatibles con la utilización
de la firma digital.
Aparecen algunas dificultades, por ejemplo,
en relación con firma en blanco (1016 CC) que es dada
antes de la redacción por escrito y hace fe después
de llenado el acto por la parte a la cual se ha confiado,
siempre que el firmante haya reconocido la firma. Implica
una autorización por parte del firmante a otra persona
para llenar el documento firmado en blanco. Aquí entran
en juego algunos conceptos técnicos, en tanto la firma
digital se integra inescindiblemente, se forma en una combinación
con el texto del documento digital que firma, en consecuencia
sería prácticamente imposible pensar en una
firma digital absolutamente en blanco, exigiría que
se dijera algo, por ejemplo, ‘Firma digital en blanco’.
Y habría que pensar en el concepto
de la firma en blanco y correlacionarla con la definición
de firma digital que analizamos al comienzo (información
de exclusivo conocimiento del firmante, encontrándose
ésta bajo su absoluto control). La firma en blanco
es una autorización dada en blanco para llenarla ¿podría
cederse a un tercero los elementos como para que este firme
digitalmente en nombre de quien lo cede?, y ¿sería
esto equivalente a la firma en blanco?, y también ¿qué
tan imperativa es la exigencia de la definición como
para decir que en este caso no hay firma digital, porque no
ha quedado absolutamente reservada?
1.7. Implicancias legales: firma manuscrita sobre un papel
vs. firma digital:
La firma manuscrita tiene validez jurídica
en nuestra sociedad y cultura pues en la tradición
de su uso se la considera segura para identificar aceptablemente
(aunque no inequívocamente) el autor de un documento.
Además se dice que asegura la integridad
del contenido de ese documento. Esto es cierto parcialmente.
Algunas normas del Código Civil atribuyen el reconocimiento
de la firma, el del documento en el que está inserta,
pero en verdad, se podría reconocer la firma desconociendo
el texto, esto ocurre a menudo cuando han existido alteraciones.
El informe de la Comisión Redactora
del anteproyecto de Ley de firma digital, dice que ello es
así sólo cuando se cumplen las siguientes condiciones:
v el documento está escrito con tinta
indeleble y en soporte papel absorbente, tal que una enmienda
o raspadura que altere la información escrita sea visible
y evidente.
v el documento posee márgenes razonables
que contienen los renglones escritos, tal que cualquier escritura
adicional sea visible y evidente.
v la firma manuscrita se coloque delimitando
la información escrita, tal que no sea posible agregar
texto escrito a continuación de la firma manuscrita.
v el firmante utiliza siempre la misma o
similar firma manuscrita para firmar los documentos de su
autoría.
v la firma manuscrita es suficientemente
compleja tal que su falsificación deviene no trivial.
v existen peritos calígrafos que
pueden detectarlas falsificaciones con un razonable grado
de certeza.
Es importante destacar –agrega–
que la falla de cualquiera de los seis puntos especificados
tornaría inseguro el mecanismo de firma manuscrita
para documentos en soporte papel permitiendo así a
su autor repudiar la autoría de los documentos que
le son atribuidos.
Continúa el informe comentando que
en el mecanismo de firma digital propuesto, estos puntos se
implementan generando un digesto o resumen criptográfico
del mensaje, creado por una función de digesto de mensaje,
el cual a su vez es encriptado con la clave privada del firmante
(que solo el firmante conoce), y un certificador de clave
pública que certifica cuál es la clave pública
utilizada por el firmante.
También el informe compara la seguridad
entre la firma ológrafa y de la firma digital.
La tecnología propuesta de firma
digital no es perfecta ni infalible. Los dispositivos de hardware
y software de creación y verificación de firmas
digitales deben ser homologados previa auditoría de
su funcionamiento para poder ser utilizados para crear firmas
y verificar firmas digitales con plena eficacia jurídica.
Por otro lado, es importante destacar que la firma manuscrita
tampoco es perfecta e infalible, puesto que es decididamente
posible en ciertos casos alterar de forma indetectable el
contenido de un documento en soporte papel o falsificar una
firma manuscrita. Adicionalmente, debe considerarse que siempre
existe un margen de error en la labor de los peritos calígrafos,
con lo cual una firma apócrifa puede darse por auténtica
y viceversa. Es usual, por ejemplo, que importantes contratos
de compraventa entre empresas en soporte papel sean firmados
por las partes sólo en su última página,
contando solamente con iniciales en las restantes, lo que
a simple vista resulta riesgoso considerando que generalmente
el precio establecido en el contrato tiende a no figurar en
la última página, sino en alguna página
anterior. Sin embargo, las aludidas imperfecciones de los
mecanismos de firma manuscrita en documentos soporte papel
no impiden los actos jurídicos, ni gubernamentales
ni comerciales que se basan en ella, ni que la firma manuscrita
figure como requisito en las leyes y reglamentos de este país
o otros, por lo que es de inferir que la alternativa propuesta
de firma digital de documentos digitales tampoco precisa ser
perfecta e infalible para ser de gran utilidad.
La preocupación por seguridad es
loable, pero, en el mundo real la seguridad tampoco depende
tanto de los instrumentos como de la confianza, del conocimiento
entre las partes, del prestigio e imagen de los contratantes,
del saber con quién se trata, y otras cuestiones.
1.8. Otras acepciones: la firma digital certificada por escribano
público,
las escrituras públicas.
Debe pensarse asimismo en la posibilidad
de firmar digitalmente frente a un escribano, quien también
firmaría de la misma forma con lo cual el instrumento
así compuesto tendría todas las ventajas con
que hoy cuenta la firma certificada por escribano en lo que
hace a las posibilidades de ejecución.
En nuestra ley se pueden firmar digitalmente
instrumentos públicos. En la administración
pública su uso es admitido y difundido. Distinto es
el caso de las escrituras públicas, respecto de las
cuales no hay modificaciones.
1.9. Protección penal
La preocupación por la seguridad
se extiende al ámbito de protección penal, por
lo que la ley en su artículo 51° ha equiparado
los términos de firma con firma digital y de documento
o instrumento con el de documento digital.
Equiparación a los efectos del derecho
penal. Incorpórase el siguiente texto como art. 78°
(bis) del Código Penal. Los términos firma y
suscripción comprenden la firma digital, la creación
de una firma digital o firmar digitalmente. Los términos
documento, instrumento privado y certificado comprenden el
documento digital firmado digitalmente.
Pero debe señalarse que se omite
el instrumento público cuando, como se ha visto, la
firma digital se aplica hoy a instrumentos públicos
en el ámbito de la administración nacional.
1.10. La despapelización en el Estado
La ley hace un esfuerzo por instar a la
necesaria despapelización del Estado. Dice, por ejemplo,
que “el Estado Nacional utilizará las tecnologías
y previsiones de la presente ley en el ámbito interno
y en relación con los administrados. (art. 47°)
y también que “... promoverá el uso masivo
de la firma digital que posibilite el trámite de los
expedientes por vías simultáneas, búsquedas
automáticas de la información y seguimiento
y control por parte del interesado, propendiendo a la progresiva
despapelización. En un plazo máximo de 5 (cinco)
años contados a partir de la entrada en vigencia de
la presente ley, se aplicará la tecnología de
firma digital a la totalidad de las leyes, decretos, decisiones
administrativas, resoluciones, sentencias. (art. 48°).
En este sentido no puede menos que compartirse los propósitos
que inspiran vastas disposiciones, pero una vez más,
habrá de concluirse que estas cuestiones no se logran
por puro voluntarismo, sino que dependen de un cambio estructural
en nuestra burocracia.
1.11. La situación en la Justicia
Tanto el documento digital como la firma
digital tendrán un gran impacto en la actividad judicial,
o los propósitos de despapelización, encontraría
aquí un campo fértil de aplicación. Esta
ley servirá para concretar la informatización
de la Justicia. Se destaca la importancia que reviste el convenio
de Comunicación Electrónica Interjurisdiccional
suscripto entre las Cortes y Superiores Tribunales del país,
mediante el cual, con la asistencia técnica del grupo
de trabajo de las Jefatura de Gabinete están implementando
un sistema de enlace entre los diferentes poderes judiciales
que permitirá la comunicación electrónica
entre los mismos.
2. La Infraestructura.
La firma digital requiere de una infraestructura
que sirva para la emisión de los certificados digitales,
establezca estándares tecnológicos y los actualice,
supervise la emisión de certificado digital y que hasta
aplique sanciones. Básicamente la estructura está
constituída por un certificador licenciado, de una
Autoridad de Aplicación (Jefatura de Gabinete), y sometido
a un régimen de auditoría y sanciones. Una Comisión
Asesora asistirá a la Autoridad de Aplicación
en todo lo relativo a la aplicación de la ley.
2.1. El certificado digital.
El certificado digital es el recaudo ineludible
de la firma digital. No es esta una cuestión menor,
desde que no puede existir una firma digital sin el certificado
digital.
Dice el Informe de Comisión Redactora
de Anteproyecto de ley del PEN: los certificados digitales:
son documentos digitales que dan fe de la vinculación
entre una clave pública y un individuo o entidad. Permiten
verificar que una clave pública específica pertenece,
efectivamente, a un individuo determinado (también
se puede utilizar un certificado ajeno para extraer la clave
pública de alguien y poder utilizarla para enviarle
un mensaje encriptado a esa persona).
Cómo son: en su forma más
simple, los certificados digitales contienen una clave pública
y un nombre, una fecha de expiración, el nombre de
la Autoridad Certificante que emite ese certificado digital,
un número de serie y alguna otra información.
Cómo se hacen: lo más importante
es que el certificado digital propiamente dicho está
firmado digitalmente por el emisor del certificado. Para hacer
un certificado digital se debe generar un par de claves, porque
es propio, personal y no se puede repetir para ninguna otra
persona. La persona resguarda uno de esos números (que
llaman clave privada) y revela el otro al público en
general (la clave que se revela es la que llamamos la clave
pública). La generación del par de claves se
hace de una sola vez. Con un par de claves se puede firmar
y verificar tantos documentos como se desee. La vida útil
se extiende en general por varios meses o años, según
sus características particulares. Conociendo esa clave
pública, la Autoridad Certificante, luego de identificar
a la persona o entidad, emite un certificado de clave pública
a su favor.
Los pasos a realizar para obtener un certificado
digital: típicamente, los certificados se usan para
generar confianza en la legitimidad de una clave pública.
Esencialmente, son documentos digitales que protegen a las
claves públicas del fraude, de la falsa representación
o de la alteración. En consecuencia, la verificación
de una firma incluye el chequeo de la validez del certificado
de la clave pública en cuestión. Un uso seguro
de la autenticación implica adjuntar uno o más
certificados con cada mensaje firmado. El receptor del mensaje
verificará el certificado usando la clave pública
de la Autoridad Certificante, y a continuación teniendo
confianza en la clave pública del remitente, verificará
la firma del mensaje. Puede haber más de certificado
con el mensaje formando una cadena jerárquica de certificados,
donde cada uno da fe de la autenticidad del certificado previo.
Al final de una jerarquía de certificados, se tiene
a una Autoridad Certificante de más alto nivel, en
la que se confía sin un certificado de ninguna otra
Autoridad Certificante. La clave pública de una Autoridad
Certificante raíz debe ser conocida independientemente,
por ejemplo, publicitándola ampliamente. Cuanto mayor
sea la confianza que el receptor tenga de que la clave pública
es realmente del emisor, menor es la necesidad de adjuntar
y verificar certificados.
Revocación:
Si en algún momento se desea que
el certificado no siga vigente, el interesado debe revocarlo,
esto es, anular su validez antes de la fecha de caducidad
que consta en el mismo, solicitada a la Autoridad Certificante
que emitió el certificado en cualquier momento y en
especial, cuando el titular considere que su clave privada
ha sido conocida por otro. Tiene efectos a partir de la fecha
de revocación que consta junto al número de
serie del certificado revocado, en un documento firmado y
publicado por la Autoridad Certificante que se denomina Lista
de Certificados Revocados (CRL). Cualquier firma digital realizada
con la clave privada asociada a ese certificado con posterioridad
a la fecha efectiva de revocación no tendrá
validez.
Hasta aquí la explicación
técnica de lo que es un certificado digital. Y en este
sentido, la ley en su artículo 13° dispone que:
Se entiende por certificado digital al documento
digital firmado digitalmente por un certificador, que vincula
los datos de verificación de firma a su titular.
2.2. El certificador licenciado.
El certificador licenciado es la persona
física o jurídica que expide los certificados
digitales. Se menciona que lo autoriza el Ente Licenciante
pero la ley ha omitido organizar esta figura por lo que deberá
ser suplido por la reglamentación.
Se autoriza a las autoridades profesionales
a emitir los certificados digitales de sus matriculados (art.
18°)
En el artículo 19° se establecen
detalladamente las funciones:
a) Recibir una solicitud de emisión
de certificado digital, firmada digitalmente con los correspondientes
datos de verificación de firma digital del solicitante;
b) Emitir certificados digitales de acuerdo
a lo establecido en sus políticas de certificación,
y a las condiciones que la autoridad de aplicación
indique en la reglamentación de la presente ley;
c) Identificar inequívocamente los
certificados digitales emitidos;
d) Mantener copia de todos los certificados
digitales emitidos, consignando su fecha de emisión
y de vencimiento si correspondiere, y de sus correspondientes
solicitudes de emisión;
e) Revocar los certificados digitales por
él emitidos en los siguientes casos, entre otros que
serán determinados por la reglamentación:
1) A solicitud del titular del certificado
digital.
2) Si determinara que un certificado digital
fue emitido en base a una información falsa, que en
el momento de la emisión hubiera sido objeto de verificación.
3) Si determinara que los procedimientos
de emisión y/o verificación han dejado de ser
seguros.
4) Por condiciones especiales definidas
en su política de certificación.
5) Por resolución judicial o de la
autoridad de aplicación.
f) Informar públicamente el estado
de los certificados digitales por él emitidos. Los
certificados digitales revocados deben ser incluidos en una
lista de certificados revocados indicando fecha y hora de
la revocación. La validez y autoría de dicha
lista de certificados revocados deben ser garantizadas.
El artículo 20° regula cómo
se obtiene la licencia, con nuevas referencias al Ente Licenciante,
y continúan las obligaciones del certificador licenciante
(art. 21°) en forma muy minuciosa.
Con respecto a la seguridad y privacidad
de los ciudadanos, el inciso b) del artículo 21°
y el artículo 31°, establecen la obligatoriedad
para la Autoridad de Aplicación (Jefatura de Gabinete
de Ministros de la Nación) y para los Certificadores
Licenciados, abstenerse de generar, exigir, o por cualquier
otro medio tomar conocimiento o acceder bajo ninguna circunstancia,
a los datos de creación de la firma digital de los
certificadores licenciados y de los titulares de certificados
digitales emitidos por estos últimos, respectivamente.
En consecuencia toda actividad tendiente
a crear un depósito de claves privadas de los usuarios
(Private Key Escrow), y/o todo mecanismo mediante el cual
pueden obtenerse las claves privadas de los usuarios sin orden
judicial previa, o subclaves que permitan reconstruir las
mismas, será contrario a derecho.
Una cuestión muy importante no resuelta
por la ley para el cumplimiento efectivo de los derechos a
la privacidad e intimidad de los usuarios mediante la prohibición
del depósito de claves mencionada, es quién
será el Organismo Auditor de la infraestructura de
Firma Digital.
2.3. Del titular de un certificado digital.
El artículo 24° y 25° establecen
los derechos y obligaciones del titular de un certificado
digital. Aquí también debe observarse la minuciosidad
de la regulación, más propia de un reglamento
o de las normas de una ley de Defensa al Consumidor. Entre
los derechos figuran el de recibir información amplia
en forma clara (art. 24°) y entre las obligaciones, cómo
mantener los datos en resguardo, informar cambios o revocar
cuando sospeche que se ha violado la privacidad (art. 25°).
2.4. De la organización institucional.
Aunque pareciera que en este caso la ley
aborda un tema importante, el artículo 26° no hace
más que repetir normas anteriores. Establece un sistema
de auditoría (art. 27°) y anticipa la creación
de una Comisión Asesora (art. 28°).
La Autoridad de Aplicación y un nuevo
organismo denominado Comisión Asesora para la Infraestructura
de la Firma Digital, serán quienes diseñarán
un Sistema de Auditoría para evaluar la confiabilidad
y calidad de los sistemas utilizados, la integridad, confidencialidad
y disponibilidad de los datos, así como también
el cumplimiento de las especificaciones del manual de procedimientos
y los planes de seguridad y de contingencia aprobados por
el ente licenciante.
Debería haberse precisado por ley
quién será el Órgano Auditor, debiéndose
tener en cuenta que el ámbito de aplicación
comprende tanto a la actividad pública como privada.
2.5. Autoridad de Aplicación.
La autoridad de aplicación es la
Jefatura de Gabinete de Ministros (art. 29°). Sus funciones
son las de supervisar o fiscalizar el sistema, establecer
estándares, promover el uso, y en general el régimen
sancionatorio. Tiene previsto la posibilidad de arancelar
el servicio de mantener el funcionamiento del sistema (art.
32°).
2.6. Régimen de auditoría.
Se establece que tanto el Ente Licenciante
como los Certificadores licenciados deben ser auditados periódicamente.
2.7. Responsabilidad.
En este capítulo se trata de la responsabilidad
que le cabe al certificador licenciante. Nuevamente con el
afán reglamentarista, la ley incurre en redundancias
como las del artículo 37°.
Convenio de partes. La relación entre
el certificador licenciado que emita un certificado digital
y el titular de ese certificado se rige por el contrato que
celebren entre ellos, sin perjuicio de las previsiones de
la presente ley y demás legislación vigente.
Lo mismo puede decirse del artículo
38° donde hace responsable al certificador ante terceros
por los errores u omisiones que cometiera en el ejercicio
de sus funciones. Se incluye al término de este capítulo
una limitación de responsabilidad que debe ser revisada
a la luz de las normas de la Ley de Defensa al Consumidor
pero que dependen básicamente de lo que consignen en
sus condiciones de emisión y aún por inexactitudes
de la información suministrada por el titular, siempre
que haya adoptado los recaudos razonables.
2.8. Régimen sancionatorio y jurisdicción.
El capítulo X, en su artículos
40 al 46 establece un régimen de sanciones vinculado
a las infracciones a la ley. La instrucción sumarial
y la aplicación de sanciones por violación a
disposiciones de la presente ley será realizada por
el Ente Licenciante. Es aplicable la Ley de Procedimientos
Administrativos Nro. 19.549 y sus normas reglamentarias. Finalmente,
en lo referido a la recurribilidad de las sanciones y la jurisdicción
competentes se dispone que “...podrán ser recurridas
ante los tribunales federales con competencia en lo Contencioso
Administrativo correspondiente al domicilio de la entidad,
una vez agotada la vía administrativa pertinente. La
interposición de los recursos previstos en este capítulo
tendrá efecto devolutivo (art. 45°) en tanto que
“En los conflictos entre particulares y certificadores
licenciados es competente la Justicia en lo Civil y Comercial
Federal. En los conflictos en que sea parte un organismo público
certificador licenciado, es competente la Justicia en lo Contencioso
Administrativo Federal (art. 46°).
2.9. Disposiciones finales.
Las disposiciones finales contienen normas
que, en verdad, son expresiones de deseos referidas al uso
de la firma digital en el ámbito del Estado y propender
a una progresiva despapelización, estableciendo un
máximo de cinco años para concretarlo (artículos
47° y 48°).
El artículo 48° establece que
“... el Estado Nacional ... promoverá el uso
masivo de la firma digital de tal forma que posibilite el
trámite de los expedientes por vías simultáneas,
búsquedas automáticas de la información
y seguimiento y control por parte del interesado, propendiendo
a la progresiva despapelización. En un plazo máximo
de 5 (cinco) años contados a partir de la entrada en
vigencia de la presente ley, se aplicará la tecnología
de firma digital a la totalidad de las leyes, decretos, decisiones
administrativas, resoluciones, sentencias .....”.
Las tecnologías, algoritmos y productos
de aplicación para dichas tareas son producidos por
empresas que pertenecen a países desarrollados y que
no forman parte de la región. Por lo tanto, lo que
está en juego ante el desarrollo de las infraestructuras
de Clave Pública (PKI), no sólo es la intimidad
y privacidad de los usuarios individuales, sino también
la vulnerabilidad de la seguridad nacional y regional frente
a los países no productores de hardware, algoritmos,
y software de encriptación y cifrado.
IV. MARCO NORMATIVO SOBRE FIRMA DIGITAL
1. Enfoque General del Marco Normativo
El marco normativo de la República
Argentina en materia de Firma Digital está constituido
por la Ley Nº 25.506 (B.O. 14/12/2001), el Decreto Nº
2628/02 (B.O. 20/12/2002) y un conjunto de normas complementarias
que fijan o modifican competencias y establecen procedimientos.
Para la Legislación Argentina los
términos "Firma Digital" y "Firma Electrónica"
no poseen el mismo significado. La diferencia radica en el
valor probatorio atribuido a cada uno de ellos, dado que en
el caso de la "Firma Digital" existe una presunción
"iuris tantum" en su favor; esto significa que si
un documento firmado digitalmente es verificado correctamente,
se presume salvo prueba en contrario que proviene del suscriptor
del certificado asociado y que no fue modificado. Por el contrario,
en el caso de la firma electrónica, en caso de ser
desconocida la firma por su titular corresponde a quien la
invoca acreditar su validez.
La legislación argentina emplea el
término "Firma Digital" en equivalencia al
término "Firma Electrónica Avanzada"
o "Firma Electrónica Reconocida" utilizado
por la Comunidad Europea o "Firma Electrónica"
utilizado en otros países como Brasil o Chile.
Este conjunto normativo conforma una Infraestructura
de Firma Digital de alcance federal integrada por:
1.1. Autoridad de Aplicación:
Es la Jefatura de Gabinete de Ministros,
quien está facultada a establecer las normas y procedimientos
técnicos necesarios para la efectiva implementación
de la ley.
Por medio del Decreto Nº 1028/03 la
Oficina Nacional de Tecnologías de Información
(ONTI) también está facultada para definir las
normas y procedimientos reglamentarios del régimen
de Firma Digital.
1.2. Comisión Asesora para la Infraestructura de Firma
Digital:
Funciona en el ámbito de la Subsecretaría
de la Gestión Pública, emitiendo recomendaciones
sobre los aspectos técnicos referidos al funcionamiento
de la Infraestructura de Firma Digital.
A través del Decreto N° 160/2004,
el Poder Ejecutivo Nacional ha designado a los integrantes
de la Comisión Asesora para la Infraestructura Nacional
de Firma Digital, en cumplimiento de lo dispuesto en la Ley
N° 25.506.
1.3. Ente Licenciante:
Es el órgano técnico-administrativo
encargado de otorgar las licencias a los certificadores y
de supervisar su actividad. Funciona en el ámbito de
la Oficina Nacional de Tecnologías de Información
(ONTI).
1.4. Certificadores licenciados:
Son aquellas personas de existencia ideal,
registro público de contratos u organismo público
que obtengan una licencia emitida por el ente administrador
para actuar como proveedores de servicios de certificación
en los términos de la Ley Nº 25.506 y su Normativa
Complementaria (detallada a párrafos posteriores).
1.5. Autoridades de Registro:
Son entidades que tienen a su cargo las
funciones de validación de la identidad y otros datos
de los suscriptores de certificados. Dichas funciones son
delegadas por el certificador licenciado.
1.6. Sistema de Auditoría:
Será establecido por la autoridad
de aplicación, a fin de evaluar la confiabilidad y
calidad de los sistemas utilizados por los certificadores
licenciados.
Este marco normativo deroga el Decreto Nº
427/98, cuya aplicación era específica para
el Sector Público, por cuanto cubre sus objetivos y
alcance.
Consideramos apropiado mencionar aquí
que las siguientes provincias poseen iniciativas de adhesión
y puesta en operatividad del régimen establecido por
la Ley N° 25.506 de firma digital:
La Pampa - Ley N° 2073 – B.O.
31/10/2003
Tucumán - Ley N° 7291 –
B.O. 07/11/2003
Mendoza - Ley Nº 7234
Tierra del Fuego - Ley de adhesión
a la Ley 25.506, aún no publicada
2. Enfoque Particular del Marco Normativo
Ahora que se ha explicado y comprendido
la normativa general más importante, presentamos en
forma de lista, para lograr una visión global más
ordenada y una compresión más sencilla, el conjunto
de normas que abordaremos con mayor detalle:
Listado completo de la normativa vigente
Normativa específica para el Sector
Público
Normativa sobre aplicaciones en el Sector
Público
Normativa relacionada con tecnología
2.1. Listado Completo de la Normativa Vigente
A continuación se detallan las normas
que constituyen el régimen normativo vigente en materia
de Firma Digital en la República Argentina.
Resolución JGM Nº 435/2004
Aprueba el Reglamento de funcionamiento
de la Comisión Asesora para la Infraestructura de Firma
Digital, que fuera creada por la Ley N° 25.506 y cuyos
miembros fueran designados por Decreto N° 160/04 del Poder
Ejecutivo Nacional.
Decreto Nº 160/2004
Designa a los integrantes de la Comisión
Asesora para la Infraestructura Nacional de Firma Digital,
en cumplimiento de lo dispuesto en la Ley N° 25.506.
Decreto Nº 1028/2003
Disuelve el Ente Administrador de Firma
Digital, creado por el artículo 11° del Decreto
N° 2628/02, cuyo accionar será llevado a cabo por
la Oficina Nacional de Tecnologías de Información
de la Subsecretaría de la Gestión Pública.
Decreto Nº 152/2003
Otorga competencia a la Subsecretaría
de la Gestión Pública para licenciar a los certificadores,
supervisar su actividad y dictar normas tendientes a asegurar
el régimen de libre competencia en el mercado de los
prestadores y protección de los usuarios de firma digital.
Decreto Nº 283/2003
Autoriza con carácter transitorio
a la Oficina Nacional de Tecnologías de Información
a proveer certificados digitales para su utilización
en aquellos circuitos de la Administración Pública
Nacional que requieran firma digital, de acuerdo a la Política
de Certificación vigente.
Establece además un puente entre
el marco normativo creado por el Decreto Nº 427/98 (derogado
por el Decreto Nº 2628/02) y el marco normativo establecido
por la Ley Nº 25.506.
Decreto Nº 2628/2002
Reglamenta la Ley N° 25.506 de firma
digital y crea el Ente Administrador de Firmas Digitales.
También deroga el Decreto N° 427/98 del 16 de abril
de 1998 que ha sido una de las normas pioneras a nivel nacional
e internacional en reconocer la validez jurídica de
la firma digital.
Se detallan cuestiones sobre: Autoridad
de Aplicación, Comisión Asesora para la Infraestructura
de Firma Digital, Ente Administrador de Firma Digital, Sistema
de Auditoría, Estándares Tecnológicos,
Revocación de Certificados Digitales, Certificadores
Licenciados, Autoridades de Registro y Disposiciones para
la Administración Pública Nacional.
Ley Nº 25.506
Ley de Firma Digital - Boletín Oficial
del 14/12/2001.
Ya explicada en el Capítulo III.
Decreto Nº 1023/2001
Régimen de contrataciones de la Administración
Nacional. Régimen General, Contrataciones Públicas
Electrónicas, Contrataciones de Bienes y Servicios
y Obras Públicas.
En su Objeto (artículo 1º),
se detalla que el Régimen de Contrataciones de la Administración
Nacional, tendrá por objeto que las obras, bienes y
servicios sean obtenidos con la mejor tecnología proporcionada
a las necesidades, en el momento oportuno y al menor costo
posible, como así también la venta de bienes
al mejor postor, coadyuvando al desempeño eficiente
de la Administración y al logro de los resultados requeridos
por la sociedad. Toda contratación de la Administración
Nacional se presumirá de índole administrativa,
salvo que de ella o de sus antecedentes surja que está
sometida a un régimen jurídico de derecho privado.
En su artículo 21º permite la
realización de las contrataciones comprendidas en el
Régimen en formato digital firmado digitalmente.
Resolución SFP Nº 194/98
Establece los estándares sobre tecnología,
aplicables a la "Infraestructura de Firma Digital para
el Sector Público Nacional" a que alude el Artículo
6° del Decreto N° 427/98 y Anexo I.
3. Normativa Específica para
el Sector Público
A continuación se detallan las normas
que constituyen el régimen normativo vigente para el
Sector Público. En este caso, además de las
Leyes, Decretos y Resoluciones citados y explicados previamente,
se añade el siguiente decreto:
Decreto Nº 624/2003
Aprueba la estructura organizativa de primer
nivel operativo de la Jefatura de Gabinete de Ministros.
Estable en su artículo 8°, que
la Comisión Asesora para la Infraestructura de Firma
Digital creada por el artículo 28° de la Ley N°
25.506 actuará en la órbita de la Subsecretaria
de la Gestión Publica de la Jefatura del Gabinete de
Ministros.
También define los Objetivos de la
Subsecretaria de la Gestión Publica, y entre ellos
menciona en décimo punto: “Actuar como autoridad
de aplicación del Régimen Normativo que establece
la Infraestructura de Firma Digital para el Sector Público
Nacional, como así también en las funciones
de organismo licenciante en la materia, supervisando su accionar”.
Finalmente, define los Objetivos de la Oficina
Nacional de Tecnologías de Información promoviendo
la estandarización tecnológica en materia informática,
teleinformática o telemática, telecomunicaciones,
ofimática o burótica. Entre otras Acciones se
mencionan:
1. Entender en la elaboración del
marco regulatorio del régimen relativo a la validez
legal del documento y firma digital, así como intervenir
en aquellos aspectos vinculados con la incorporación
de estos últimos a los circuitos de información
del sector público y con su archivo en medios alternativos
al papel.
2. Ejercer las funciones de Autoridad Certificante de Firma
Digital para el Sector Público Nacional.
4. Normativa sobre Aplicaciones
en el Sector Público
Independientemente del marco normativo general
existente para el Sector Público, distintos organismos
han establecidos procedimientos o aplicaciones específicas
para sus operaciones internas, o para las comunicaciones que
establecen con sus administrados que habilitan el uso de documentos
electrónicos y firmas digitales.
A continuación se detallan algunas
normas relacionadas con la utilización de Documentos
Electrónicos y Firma Digital en el Sector Público:Disposición
ONTI Nº 5/02
Documentación técnica de la
Autoridad Certificante de la Oficina Nacional de Tecnologías
de Información.
Resolución JGM Nº 176/2002
Habilita en Mesa de Entradas de la Subsecretaría
de la Gestión Pública el Sistema de Tramitación
Electrónica para la recepción, emisión
y archivo de documentación digital firmada digitalmente.
Resolución SGP Nº 17/2002
Establece el procedimiento para solicitar
la certificación exigida al Registro del Personal acogido
al Sistema de Retiro Voluntario, habilitando la modalidad
de tramitación mediante el empleo de documentación
digital firmada digitalmente.
Decreto Nº 1023/2001
En su artículo 21 permite la realización
de las contrataciones comprendidas en el Régimen de
Contrataciones del Estado en formato digital firmado digitalmente.
Decreto Nº 677/2001
Otorga a los documentos digitales firmados
digitalmente remitidos a la Comisión Nacional de Valores,
de acuerdo a las reglamentaciones dictadas por ese organismo,
similar validez y eficacia que los firmados en soporte papel.
Decreto Nº 103/2001
Aprueba el Plan Nacional de Modernización
de la Administración Pública Nacional.
Resolución general N°345/99
Incorpora al Libro VIII Otras Disposiciones
de las Normas (T.O. 1997) el Capítulo XXIII Autopista
de la Información Financiera.
Resolución SAFJP N°293/97
Implementa, en el ámbito de la Superintendencia
de Administradoras de Fondos de Jubilaciones y Pensiones,
el sistema de Telecomunicaciones de la SAFJP con el fin de
establecer un correo electrónico entre las Administradoras
de Fondos de Jubilaciones y Pensiones y este organismo.
5. Normativa Generales relacionada
con Tecnología
Archivos Digitales
Dec. Administrativa Nº 43/96 - JGM
Reglamenta los archivos digitales. Establece
como órgano rector a la Contaduría Gral. de
la Nación.
Ley Nº 24.624 (Art.30)
Autoriza el archivo y conservación
en soporte electrónico u óptico indeleble de
la documentación financiera, de personal y de control
de la Administración Pública Nacional.
6. Propiedad Intelectual
Ley N° 11.723
Propiedad Intelectual. Régimen legal.
Decreto N° 165/94
Precisase un marco legal de protección
para las diferentes expresiones de las obras de software y
base de datos, así como sus diversos medios de reproducción.
Ley N° 25.036
Modifica la ley 11.723, incluye la protección
de la propiedad intelectual sobre programas de computación
fuente y objeto, las compilaciones de datos o de otros materiales.
Penaliza la defraudación de derechos de propiedad intelectual.
Ley N° 25.326
Protección de Datos Personales. Regula
sobre principios generales relativos a la protección
de datos, derechos de los titulares de dato de usuarios y
responsables de archivos, registros y bancos de datos.
7. Confidencialidad
Ley Nº 24.766
Establece la obligación de abstenerse
de usar y revelar la información sobre cuya confidencialidad
se hubiera prevenido.
8. Competencia de la Subsecretaria
de la Gestión Pública
Decreto Nº 889/01
Aprueba la estructura organizativa de la
Secretaría para la Modernización del Estado
en el ámbito de la Subsecretaría de la Gestión
Pública, creando la Oficina Nacional de Tecnologías
de la Información y otorgándole competencias
en materia de firma digital.
Decreto Nº 673/01
Crea la Secretaría para la Modernización
del Estado en el ámbito de la Jefatura de Gabinete
de Ministros, asignándole competencia para actuar como
Autoridad de Aplicación del régimen normativo
que establece la Infraestructura de Firma Digital para el
Sector Público Nacional y para la aplicación
de nuevas tecnologías informáticas en la Administración
Pública Nacional.
V – BALANCE FINAL
La ley adolece de defectos de técnica
legislativa que se hubieran evitado de haber encargado la
redacción a un especialista.
También de excesivo reglamentarismo
y detallismo, repeticiones, poca claridad, en fin, una ley
desbalanceada.
Y en cuanto al título, esta ley debería
llamarse ley de firma y documento digital, y no sólo
de firma digital.
El esfuerzo en la preparación y sanción
de la ley ha puesto un fuerte acento en la seguridad. Esto
es muy destacable, pero hay que recordar que tampoco en el
mundo real la seguridad es óptima, más en nuestro
país. En un momento en que los documentos de identidad
falsificados se compran por muy poca plata, dónde se
falsifican y hasta se inscriben escrituras públicas
y sentencias judiciales, donde el drama no está en
la seguridad del ‘pin’ del cajero automático,
sino en no ser asaltado al cobrar, tampoco podría pretenderse
mucho más.
El tipo de delitos que se pueden cometer
en Argentina no están en relación con los algoritmos
‘fuertes’ en los sistemas informáticos,
sino con otro tipo de problemas. Debería existir una
correlación entre el mundo real y el mundo digital.
El documento papel y la firma manuscrita
que lo avala están enraizados en las más entrañables
tradiciones de nuestra herencia hispánica, con un sesgo
más fuerte aún que el que exhiben en el mundo
anglosajón. Pero tanto en una cultura como en la otra,
el universo del derecho estuvo conectado, durante varios siglos,
a la letra escrita sobre papel. Ahora, hay que enfrentarse
con una realidad distinta, el valor jurídico de un
documento se sustenta en los destellos parpadeantes de una
computadora, lo que implica cambios y consecuencias de incuestionable
magnitud.
Se requiere de una plataforma legal necesaria
para cualquier país que aspire a ingresar de lleno
en las nuevas tecnologías de la información
y de las comunicaciones, infraestructura de la cual la firma
electrónica, o más propiamente dicho, la firma
digital, es una de sus consecuencias. Se trata de un avance
tecnológico esencial, que permitirá –se
supone- consolidar la actividad comercial en la red mundial
de Internet, a la vez que facilitará la interacción
de personas, instituciones, la administración pública
o la Justicia. El tráfico comercial e institucional
y las relaciones personales adquieren una nueva dimensión.
No se trata de un simple ahorro de papeles, aún con
la importancia que eso podría tener, constituye un
cambio en los conceptos.
Finalmente, si se pretende no abdicar la
soberanía, y al mismo tiempo, se considere esencial
los derechos a la privacidad e intimidad de los habitantes
del país, en los próximos años se deberá
destinar esfuerzos a desarrollar empresas productoras de aplicaciones
de encriptación y cifrado, y deberán adaptarse
las legislaciones para permitir que los servicios de inteligencia,
fuerzas armadas y habitantes en general, estén facultados
para realizar actividades de ingeniería inversa con
fines de protección de la seguridad de la información,
como por ejemplo se ha establecido en los Estados Unidos de
Norteamérica en su Digital Millenium Act (octubre de
1998).
VI – LEGISLACIÓN EN
OTROS PAISES
República Oriental del Uruguay
Uruguay fue el primer país del Mercosur
que ha creado un sistema completo de firma digital y autenticación,
habiendo autorizado al efecto al organismo de Correos (Administración
Nacional de Correos), que se halla en pleno funcionamiento
y que ofrece los siguientes servicios, entre otros: generación
de claves, generación de certificados, firma de certificados,
emisión de certificados, revocación de certificados,
archivo de los certificados emitidos.
El Decreto del Poder Ejecutivo del Uruguay
sobre Firma Digital y Expediente Electrónico, de marzo
de 1998, autoriza en su artículo 1º del Capítulo
I, a realizar por medios informáticos la sustanciación
de actuaciones en la Administración Pública
y los actos administrativos que se dicten en ellas, en cuyo
caso las firmas autógrafas podrán ser sustituidas
por contraseñas o signos informáticas adecuados.
Asimismo, señala que constituirán instrumentos
públicos aquellos creados por medios informáticos
que aseguren su inalterabilidad.
El artículo 3 ordena que el expediente
electrónico gozará de la misma validez jurídica
y probatoria que el expediente tradicional.
En el Capítulo III se establece que
la firma digital debe utilizar sistemas criptográficos
de clave pública o asimétricos, otorgando la
responsabilidad de determinar y documentar la forma de administración
de las claves a cada organismo que utilice dicha tecnología.
Por otra parte basándose en la Directiva
1999/93/CE del Parlamento Europeo y del Consejo del 13 de
diciembre de 1999, en la que crea un marco jurídico
para la firma electrónica y para determinados servicios
de certificación y en su definición de firma
electrónica avanzada (firma digital), establece como
requisitos que la misma esté vinculada al firmante
de manera única, que permita la identificación
del mismo, que los medios de creación estén
bajo exclusivo control del firmante y que sea posible detectar
cualquier alteración de los datos, en el artículo
5º, señala que la firma electrónica avanzada
deberá satisfacer los requisitos jurídicos con
respecto a datos electrónicos de igual modo en que
lo hace la firma manuscrita en relación a datos en
papel, y establece que podrá ser admisible como prueba
en procedimientos judiciales.
España
La situación legislativa en torno
a la firma electrónica (firma digital, en Argentina)
ha estado marcada inevitablemente por el Real Decreto Ley
14/99 de 17 de septiembre, sobre Firma Electrónica.
Con la promulgación de esta norma, España se
convirtió en uno de los primeros países en regular
la materia, adelantándose incluso a la entonces inminente
Directiva sobre firma electrónica, materializada finalmente
en la Directiva 1999/93 CE de 13 de diciembre de 1999.
Esta regulación, tal vez, apresurada
no fue sin duda la mejor manera de acabar con la posible incertidumbre
que pudiera generar la utilización de la firma electrónica
y los certificados digitales, ni por la técnica legislativa
empleada (el real Decreto), ni por el contenido del texto
en sí mismo, plagado de imprecisiones. Además,
la ausencia del desarrollo reglamentario que la norma requiere
para su efectiva aplicación tampoco contribuyó
a potenciar el crecimiento del sector.
El 19 de diciembre de 2003 fue aprobada la
tan esperada Ley de Firma Electrónica, cuya entrada
en vigor fue el 20 de marzo de 2004. (B.O.E. número
304, de 20 de diciembre de 2003).
Es éste un aclamado proyecto, loado
por haber “seguido, con buen criterio, una línea
continuista” en relación con la legislación
anterior, pero que sin embargo trae pareja grandes dosis de
innovación y buenas ideas.
Cabe destacar la acertada revisión
terminológica y sistemática que sobre el texto
legal se ha realizado. A lo largo de sus 36 artículos,
la nueva Ley posibilita una mejor comprensión del texto
legal, proporcionando a su vez una estructura “más
acorde con nuestra técnica legislativa”.
El artículo 3 de la nueva Ley diferencia
entre tres clases de firma electrónica, avanzada y
reconocida, como ya venían haciendo el Proyecto de
Ley de firma de 20 de junio de 2003 y los anteriores Borradores
de Anteproyectos y a diferencia de lo que dispone el real
Decreto 14/1999, de 17 de septiembre, que distinguía
únicamente entre firma electrónica simple y
firma electrónica avanzada.
Para la Ley Firma Electrónica, la
firma electrónica simple es el conjunto de datos en
forma electrónica, consignados junto a otros asociados
con ellos, que pueden ser utilizados como medio de identificación
del firmante.
Por su parte, entiende por firma electrónica
avanzada la firma que permite identificar al firmante y comprobar
la integridad de los datos firmados, por estar vinculada al
firmante de manera exclusiva y a los datos a que se refiere
y por haber sido creada por medios que éste puede mantener
bajo su exclusivo control.
En tercer lugar se considera firma electrónica
reconocida la firma electrónica avanzada basada en
un certificado reconocido y generada mediante un dispositivo
seguro de creación de firma que es a la que se reconoce
igual valor jurídico que a la firma manuscrita.
El artículo 2 de la Ley, siguiendo
el criterio establecido por la Ley 34/2002 de 11 de julio,
de servicios de la sociedad de la información y de
comercio electrónico, se incluye dentro de la modalidad
de prueba documental el soporte en el que figuran los datos
firmados electrónicamente, por tanto se concede mayor
seguridad jurídica al empleo de la firma electrónica
al someterla a las reglas de eficacia en juicio de la prueba
documental.
Otra novedad importante es la regulación
relativa a la emisión de certificados electrónicos
a nombre de personas jurídicas, recogida en el artículo
7 de la Ley. La llamada “rúbrica digital”
dota a las empresas de una mayor flexibilidad en su trato
con las Administraciones Públicas, así como
en la contratación de bienes o servicios propios de
su tráfico ordinario. Estos certificados podrán
ser solicitados por los administradores de las sociedades,
sus representantes legales y, en definitiva, por cualquiera
con poder suficiente para vincular a la misma a dichos efectos,
siendo además la persona física solicitante
la encargada de custodiar los datos de creación de
firma electrónica asociados a dichos certificados.
Si bien la regulación anterior permitía
a las personas jurídicas el uso de herramientas de
firma electrónica, esto era única y exclusivamente
en el ámbito relativo a la gestión de tributos.
Fue precisamente la gran acogida de dicha iniciativa lo que
propició la inclusión del mencionado artículo
7 en el nuevo texto legal, esto permitirá, entre otros,
usarse en procesos automatizados como la realización
de pedidos o la emisión de facturas.
Crea, además, un nuevo servicio de
difusión de información sobre los prestadores
de servicios de certificación que operan en el mercado.
Este servicio incluye la identificación y datos que
permitan establecer comunicación con el prestador,
incluidos el nombre del dominio de Internet, los datos para
atención al público y las características
de los servicios que vayan a prestar.
Promueve la autorregulación de la
industria, modificando el concepto de “certificación”
de prestadores de servicios de certificación para otorgar
mayor libertad y protagonismo al sector privado. Con esta
reforma, se facilita la obtención de sellos de calidad
que fortalezcan la confianza de los consumidores y usuarios
en los sistemas de firma digital.
Dado que la prestación de servicios
de certificación es ejercida en régimen de libre
competencia, sin necesidad de autorización previa alguna,
se ha procedido a reforzar las diferentes potestades “inspectoras”
y “sancionadoras”, a fin de ejercer un mayor control
sobre dichos servicios y garantizar así unos mínimos
de calidad y seguridad. El encargado de llevar a cabo dichas
actuaciones será el propio Ministerio de Ciencia y
Tecnología, quien podrá ser asistido en el ejercicio
de sus funciones supervisoras por entidades técnicamente
cualificadas.
Establece una garantía económica
(aval bancario o seguro de caución), por parte de los
prestadores se servicios de certificación, de 3 millones
de euros, de manera que dichas empresas puedan responder ante
los usuarios con garantías suficientes, en caso de
daños y perjuicios.
Pero sin duda alguna, la gran (y polémica)
novedad de este texto legal radica en al aparición
del “Documento Nacional de Identidad Electrónico”,
proyecto liderado por el Ministerio del Interior. Este “D.N.I.
virtual” hará más fácil la identificación
personal del ciudadano en el medio Internet, permitiéndole
además la realización de diversos trámites
(principalmente administrativos) y la firma digital de documentos
en transacciones telemáticas. La polémica surge
precisamente en torno a esta última aplicación,
por “la incidencia que ello tendría en la competencia
del mercado que forman las distintas entidades de firma electrónica,
ya que, si el ciudadano se fija en el D.N.I. ya no necesitará
ninguna entidad de firma electrónica” (según
manifestaciones del denominado “Foro de Firma Electrónica”).
Se argumenta que ello crearía un “monopolio de
facto” en el mercado que sin duda favorecería
a la Fábrica Nacional de Moneda y Timbre, quién
tendría asegurada la virtud del “no repudio”
de sus certificados.
La inclusión de regulación
sobre el D.N.I. electrónico en un texto relativo a
la firma electrónica se ha llegado a calificar de “incongruencia”
por parte de algunos sectores. La Ley se limita, no obstante,
a fijar un marco normativo básico, previniendo en su
Disposición Final Segunda un posterior desarrollo reglamentario
para regular aspectos tales como su renovación “on-line”,
o la posible incorporación en el mismo de una huella
digitalizada.
Alemania:
Ha legislado sobre la materia de la firma
digital y permite la validación documental mediante
instituciones de servicios de certificación. También
ha elaborado un catálogo de medidas de seguridad adecuados
y se prevé la consulta pública sobre los aspectos
de la firma digital y los documentos firmados digitalmente.
Australia:
Prevé la creación de una infraestructura
de firma digital que asegure la integridad y autenticidad
de las transacciones efectuadas en el ámbito gubernamental
y en su relación con el sector privado. Contempla también
la creación de una autoridad pública que administre
dicha infraestructura y acredite a los certificadores de clave
pública (Proyecto “Gatekeeper”).
Bélgica:
En su Ley de telecomunicaciones, regula el
régimen voluntario de declaración previa para
los certificadores de clave pública.
Existen proyectos de ley sobre los certificadores
de clave pública relacionados con la firma digital,
modificación del Código Civil en materia de
prueba digital y utilización de la firma digital en
los ámbitos de la seguridad social y la salud pública.
Brasil:
Ha elaborado un proyecto de ley sobre creación,
archivo y utilización de documentos electrónicos.
Chile:
El 25 de marzo de 2002 se promulgó
la ley de Firma Digital y Documento Electrónico, en
esa oportunidad el Presidente Lagos dijo: “esta Ley
crea las bases para que toda contratación se haga por
medios informáticos, permitiendo reducir los costos
de transacción con mayor eficiencia y productividad,
con los resguardos necesarios para evitar acciones que puedan
alterar la confianza pública”.
Esta Ley incentiva el comercio electrónico
al otorgar seguridad jurídica y técnica en la
celebración de transacciones telemáticas, al
resolver el principal obstáculo que presentan, cual
es la falta de certeza de la identidad de la contraparte y
de la posibilidad de repudio y de falta de integridad del
documento.
De esta manera, en cuanto a la seguridad
técnica, se establece requisitos para que se pueda
otorgar firma electrónica avanzada, se regula a los
prestadores de servicios de certificación acreditados
de dichos prestadores por parte de la Subsecretaría
de Economía.
En cuanto a la seguridad jurídica,
junto con reconocer la validez de los actos y contratos celebrados
por medio electrónicos así como su valor probatorio,
se establece normas especiales de responsabilidad de los certificadores
por el manejo de información que tienen.
La ley de firma digital nació como
un proyecto del Ministerio de economía, que contó
con el apoyo de todos los sectores políticos para su
perfeccionamiento, fue aprobada el 15 de enero de 2002 por
unanimidad en el Senado.
Colombia:
Proyecto de ley que define y reglamenta el
acceso y uso del comercio electrónico, firmas digitales
y autoriza los certificadores de clave pública.
Dinamarca:
Elaboró un proyecto de ley de utilización
segura y eficaz de la comunicación digital.
Finlandia:
Tiene elaborados dos proyectos de ley: uno
de intercambio electrónico de datos en la administración
y los procedimientos judiciales administrativos y otro que
establece a la Oficina del Censo como certificador de clave
pública.
Francia:
Ley de Telecomunicaciones (decretos de autorizaciones
y exenciones): - suministro de productos de firma digital
sujeto a procedimiento de información; - libertad de
uso, importación y exportación de productos
y servicios de firma digital.
Existe una normativa sobre utilización
de la firma digital en los ámbitos de la seguridad
social y la sanidad pública.
Respecto de la encriptación y firma
digital en Francia, al igual que en China, se prohibe el uso
de mensajes cifrados.
Estados Unidos:
En el ámbito del Gobierno Federal:
*Iniciativa sobre la creación de
una infraestructura de clave pública para el comercio
electrónico.
*Ley Gubernamental de Reducción de la Utilización
de Papel, que autoriza la utilización de documentación
electrónica en la comunicación entre las agencias
gubernamentales y los ciudadanos, otorgando a la firma digital
igual validez que la firma manuscrita.
*Ley que promueve la utilización de documentación
electrónica para la remisión de declaraciones
de impuesto a las ganancias.
*Proyecto piloto del IRS (Dirección de Rentas) para
promover la utilización de la firma digital en las
declaraciones impositivas.
*Proyecto de ley Firma Digital y Autenticación Electrónica
para instituciones financieras.
*Proyecto de ley que promueve el reconocimiento de técnicas
de autenticación electrónica como alternativa
válida en toda comunicación electrónica
en el ámbito público o privado.
*Resolución de la Reserva Federal regulando las transferencias
electrónicas de fondos.
*Resolución de la FDA (Administración de Alimentos
y Medicamentos) reconociendo la firma electrónica como
equivalente a la firma manuscrita.
*Iniciativa del Departamento de Salud proponiendo la utilización
de la firma digital en la transmisión electrónica
de datos de su jurisdicción.
*Iniciativa del Departamento del Tesoro aceptando la recepción
de solicitudes de compra de bonos del gobierno firmadas digitalmente.
En cuanto a la encriptación, está
fuertemente controlado y se impide la exportación de
programas cifradores, pues se los considera parte de la lista
contemplada en el Acta de Control de Exportación de
Armas (Arms Export Control Act).
En el ámbito de los Gobiernos Estatales:
*Casi todos los estados tienen legislación,
aprobada o en proyecto, referida a la firma digital. En algunos
casos, las regulaciones se extienden a cualquier comunicación
electrónica pública o privada. En otros, se
limitan a algunos actos internos de la administración
estatal o a algunas comunicaciones con los ciudadanos.
*Se destaca la Ley de Firma Digital del Estado de Utah, que
fue el primer estado en legislar el uso comercial de la firma
digital. Regula la utilización de criptografía
asimétrica y fue diseñada para ser compatible
con varios estándares internacionales. Prevé
la creación de Certificadores de clave pública
licenciados por el Departamento de Comercio del Estado. Además,
protege la propiedad exclusiva de la clave privada del suscriptor
del certificado, por lo que su uso no autorizado queda sujeto
a responsabilidades civiles y criminales.
Italia:
Su ley general de reforma de los servicios
públicos y simplificación administrativa contempla
al principio del reconocimiento legal de los documentos digitales.
Elaboró un decreto de creación,
archivo y transmisión de documentos y contratos digitales
e están en preparación un decreto regulador
de productos y servicios y otro sobre las obligaciones fiscales
derivadas de los documentos digitales.
Malasia:
Ha aprobado una ley de firma digital, que
otorga efecto legal a su utilización y regula el licenciamiento
de los certificadores de clave pública, y ha desarrollado
un proyecto piloto de desarrollo de infraestructura de firma
digital.
Países Bajos:
Se encuentra en preparación un régimen
voluntario de acreditación para los certificadores
de clave pública y un Proyecto de ley de modificación
del Código Civil.
También cuenta con una normativa fiscal
que prevé la presentación digital de la declaración
de ingresos.
Reino Unido:
Contempla la concesión de licencias
voluntarias a los certificadores de clave pública y
reconocimiento legal de la firma digital, en diversos proyectos
legislativos.
ANEXO I
SISTEMAS CRIPTOGRÁFICOS
1. El Sistema de Criptografía
RSA
En el año 1977 tres investigadores
del Instituto Tecnológico de Massachusetts, Ron Rives,
Adi Shamir y Len Adleman publicaron un sistema de clave pública
conocido generalmente como RSA.
Supongamos dos números enteros cualesquiera A y B.
Supongamos un algoritmo muy sencillo para multiplicarlos y
obtener su producto. Recordará que el número
de operaciones elementales que requiere dicho algoritmo no
depende directamente del valor de A y B, sino del número
de dígitos que éstos posean (o sea, de su logaritmo).
Esta propiedad permite que podamos multiplicar números
muy, muy grandes en un número de pasos razonablemente
pequeño. Por ejemplo, dos números de siete cifras
(del orden del millón) requieren menos de sesenta operaciones
elementales para ser multiplicados.
Pero analicemos ahora la operación inversa: supongamos
que tenemos un número N y queremos conocer sus dos
factores A y B. En la actualidad existen algoritmos relativamente
eficientes para llevar a cabo esta operación, pero
siguen requiriendo un número de operaciones que se
vuelve astronómico cuando A y B son lo suficientemente
grandes. Normalmente el caso más desfavorable se da
cuando A y B son números primos, puesto que entonces
son los únicos factores de N.
Ahora que ya conocemos la importancia de los números
primos, habrá que buscar un método para identificarlos.
Y aquí es donde surge la primera paradoja aparente:
un número es primo si no se puede factorizar, pero
intentar factorizarlo es una tarea impracticable si el número
es lo suficientemente grande. Por suerte, existen técnicas
probabilísticas para tener un grado de certeza aceptable
acerca de la primalidad de un número concreto. Las
técnicas mencionadas se basan en escoger un número
aleatorio X y efectuar una serie de operaciones entre X y
N. Si se cumplen ciertas propiedades, sabremos con un grado
de certeza determinado que N puede ser primo. Repitiendo este
test muchas veces con diferentes valores de X, podemos aumentar
nuestra confianza en la primalidad de N tanto como queramos.
En este sistema cada una de las claves se
componen de alrededor de 200 dígitos. Estas claves
han sido calculadas partiendo de dos números primos
secretos de 100 dígitos, aproximadamente, cada uno.
Observando la tabla siguiente se podrá tener una idea
del tiempo necesario para poder desencriptar, sin conocer
las claves, un mensaje, lo que implica un proceso de factoreo.
Los tiempos están calculados suponiendo que se trabaje
con una computadora que realice 100 millones de operaciones
de computadora por segundo. (Fuente original de estos datos:
Mr. John Smith, publicado originalmente en la revista BYTE,
© BYTE Publications Inc.)
Clave: cantidad de dígitos |
Tiempo de Factoreo (estimado) |
50 |
2 min. 20 seg. |
100 |
8 meses 26 días |
150 |
10,000 años |
200 |
3.8 x 10^7 años |
250 |
5.9 x 10^10 años |
Como se ve en la tabla, eligiendo una clave con una cantidad
suficiente de dígitos, el tiempo de factoreo es tan
grande que en la práctica se puede considerar que el
mensaje no puede ser desencriptado sin conocer la clave. Quizá
el problema consiste en obtener números primos con
una cantidad grande de dígitos. Pero esto se puede
solucionar usando el test probabilístico anteriormente
mencionado, que permite determinar qué números
son primos con una gran probabilidad de que realmente lo sean.
De todas formas un mensaje encriptado por
el sistema RSA suele ser más largo que el mismo mensaje
encriptado con un sistema simétrico. Por eso uno de
los usos del sistema RSA es encriptar la clave de un sistema
simétrico, o bien el digesto (hash) del mensaje, haciendo
así mucho más seguro su envío por un
canal público.
Vamos a dar un ejemplo completo de cómo
funciona el sistema. Lo vamos a hacer con una clave de solamente
ocho cifras, para que sea posible efectuarlo con una computadora
cualquiera, sin necesidad de programas que puedan manejar
números de 200 cifras. Por supuesto que una clave de
ocho cifras no tiene ninguna utilidad práctica, dado
que los números primos que se usaron como base para
el cálculo de las dos claves serían hallados,
con una computadora, en menos de un segundo. Pero usando una
clave de alrededor de 200 cifras el problema se vuelve enormemente
largo.
Para calcular las claves de encriptado y
desencriptado hacen falta 2 números primos. Las fórmulas
usadas para calcular esas claves son:
Llamando E a la clave de encriptado, D a
la clave de desencriptado, A a uno de los números primos
y B al otro
E = A x B
D = (2 x (A – 1) x (B – 1) +
1) / 3
Los números primos usados como base
deben cumplir algunas condiciones:
1. A – 1 y B – 1 no deben ser
divisible por 3, porque si así fuera la operación
de desencriptado no funcionaría correctamente.
2. A – 1 y B – 1 deben contener
un factor primo grande por lo menos.
3. A / B no debe dar como resultado una aproximación
a una fracción simple como 2/3, ¾ etc. ni que
A sea igual a B.
Estas restricciones hacen complicada la obtención
de los dos números primos usados como base, pero, como
ya dijimos, esto se puede solucionar usando un test probabilístico,
como el que describe Donald Knuth en su libro Seminumerical
Algorithms, 2ª edición, Editorial Addison-Wesley
(USA).
Encriptar:
Tomemos una frase como ejemplo de texto a
encriptar:
EL QUE NADA SABE DE NADA DUDA.
Y elijamos como números primos base:
5879 y 11069 lo cual nos da una clave de
encriptado:
E = 5879 x 11069 = 65074651 y una clave de
desencriptado:
D = (2 x (5879 – 1) x (11069 –
1) + 1) / 3 = 43371803
Transformemos el texto a encriptar en sus
valores de Código ASCII:
69 76 32 81 85 69 32 78 65 68 65 32 83 65
66 69 32 68 69 32 78 65 68 65 32 68 85 68 65 46
y formemos grupos de 3 caracteres, o sea
6 cifras:
697632 818569 327865 686532 836566 693268
693278 656865 326885 686546
(aclaramos que si hubieran faltado caracteres
para completar el último grupo de 6 cifras el programa
tendría que haber agregado caracteres ASCII 0 hasta
completar el grupo).
Puede ser útil en este momento recordar
la Aritmética de Módulo, ya que suele ser poco
usada. Si efectuamos la siguiente operación:
7 / 2 = 3 con un resto de 1
Ese resto es el Módulo, como respuesta
a esa operación. O sea:
7 Mod 2 = 1
Usando aritmética de Módulo:
(697632 ^ 3) MOD 65074651 = 13032059
El número obtenido corresponde al
encriptado del primer bloque. Si hacemos la misma operación
con todos los bloques obtenemos:
13032059 12431644 45619473 34540224 63519119
54168485 27023931 39763245 58742946 38796686
Estos números corresponden al encriptado
de todo el mensaje.
En este cálculo puede presentarse
un nuevo problema aritmético: que el bloque de Códigos
ASCII elevado al cubo sea un número muy grande. Podemos
usar un algoritmo, también basado el la Aritmética
de Módulo, que resuelve el problema:
Para calcular (M ^ 3) Mod E hacemos
M = bloque ASCII ^ 2
M = M – PARTE ENTERA(M / E) x E
M = M x bloque ASCII
M = M – PARTE ENTERA(M / E) x E
Siendo M el bloque encriptado buscado.
Desencriptar:
Comenzaremos a desencriptar el primer bloque
encriptado. El algoritmo a usar es:
(bloque encriptado) ^ D) MOD E = bloque desencriptado
Tomando valores, para el primer bloque es:
(13032059 ^ 43371803) MOD 65074651 = bloque
desencriptado
Convengamos que elevar un número de
8 cifras a una potencia de 8 cifras y después dividirlo
por un número de 8 cifras no es nada práctico.
Y si estuviéramos trabajando con una
clave real, por ejemplo de unas 200 cifras, ni hablar del
tema. Pero lo que nosotros necesitamos, como resultado final,
es el Resto, no el resultado de una operación aritmética
tan larga.
Usemos el siguiente algoritmo:
D1 = D (D1 es una variable auxiliar) M =
1
1) Si D1 es Par ir a 2
M = M x bloque encriptado
M = M – PARTE ENTERA (M / E) x E
2) bloque encriptado = bloque encriptado
^ 2 bloque encriptado = bloque encriptado – PARTE ENTERA(bloque
encriptado / E) x ED1 = PARTE ENTERA (D1 / 2)
Si D1 > 0 ir a 1
Imprimir M, siendo M el bloque desencriptado
buscado.
El valor del primer bloque desencriptado
nos habrá dado, en el presente ejemplo, 697632. Entonces,
sabiendo que cada dos cifras del bloque de 6 cifras corresponden
a un carácter ASCII, la traducción al mismo
es muy sencilla:
69 --- E 76 --- L 32 --- espacio con lo que
hemos logrado el desencriptado del primer bloque.
Luego, realizando el mismo procedimiento
con cada uno de los bloques encriptados, habremos desencriptado
todo el mensaje.
2. Estructura de una Función
Hash
En general, las funciones resumen se basan
en la idea de funciones de compresión, que dan como
resultado bloques de longitud n a partir de bloques de longitud
m. Estas funciones se encadenan de forma iterativa, haciendo
que la entrada en el paso i sea función del i-esimo
bloque del mensaje y de la salida del paso i - 1. En general,
se suele incluir en alguno de los bloques del mensaje m —al
principio o al final—, información sobre la longitud
total del mensaje. De esta forma se reducen las probabilidades
de que dos mensajes con diferentes longitudes den el mismo
valor en su resumen.
2.1. Algoritmo MD5
Se trata de uno de los más populares
algoritmos de generación de signaturas, debido en gran
parte a su inclusión en las primeras versiones de PGP.
Resultado de una serie de mejoras sobre el algoritmo MD4,
diseñado por Ron Rivest, procesa los mensajes de entrada
en bloques de 512 bits, y produce una salida de 128 bits.
2.2. Algoritmo básico MD5
a) Un mensaje M se convierte en un bloque
múltiplo de 512 bits, añadiendo bits si es necesario
al final del mismo.
b) Con los 128 bits de cuatro vectores iniciales
ABCD de 32 bits cada uno y el primer bloque del mensaje de
512 bits, se realizan diversas operaciones lógicas
entre ambos bloques.
c) La salida de esta operación (128
bits) se convierte en el nuevo conjunto de 4 vectores ABCD
y se realiza la misma función con el segundo bloque
de 512 bits del mensaje y así hasta el último
bloque del mensaje.
d) Al terminar, el algoritmo entrega un resumen
que corresponde a los últimos 128 bits de estas operaciones
2.2.1. Algoritmo MD5 en detalle
Siendo m un mensaje de b bits de longitud,
en primer lugar se alarga m hasta que su longitud sea exactamente
64 bits inferior a un múltiplo de 512. El alargamiento
se lleva a cabo añadiendo un 1 seguido de tantos ceros
como sea necesario. En segundo lugar, se añaden 64
bits con el valor de b, empezando por el byte menos significativo.
De esta forma tenemos el mensaje como un número entero
de bloques de 512 bits, y además le hemos añadido
información sobre su longitud.
Antes de procesar el primer bloque del mensaje,
se inicializan cuatro registros de 32 bits con los siguientes
valores hexadecimales, según el criterio “little
endian” el byte menos significativo queda en la dirección
de memoria más baja
A = 67452301 B = EFCDAB89 C = 98BADCFE D
= 10325476
Posteriormente comienza el lazo principal
del algoritmo, que se repetirá para cada bloque de
512 bits del mensaje. En primer lugar copiaremos los valores
de A,B,C y D en otras cuatro variables, a,b,c y d. Luego definiremos
las siguientes cuatro funciones:
F(X, Y,Z) = (X ^ Y ) _ ((¬X) ^ Z) G(X,
Y,Z) = (X ^ Z) _ ((Y ^ (¬Z)) H(X, Y,Z) = X _ Y _ Z
I(X, Y,Z) = Y _ (X _ (¬Z))
Ahora representaremos por mj el j-ésimo
bloque de 32 bits del mensaje m (de 0 a 15), y definiremos
otras cuatro funciones:
FF(a, b, c, d,mj , s, ti) representa a =
b + ((a + F(b, c, d) + mj + ti) / s)
GG(a, b, c, d,mj , s, ti) representa a =
b + ((a + G(b, c, d) + mj + ti) / s)
HH(a, b, c, d,mj , s, ti) representa a =
b + ((a + H(b, c, d) + mj + ti) / s)
II(a, b, c, d,mj , s, ti) representa a =
b + ((a + I(b, c, d) + mj + ti) / s)
donde la función a / s representa
desplazar circularmente la representación binaria del
valor a s bits a la izquierda, con reentrada.
Las 64 operaciones que se realizan en total
quedan agrupadas en cuatro rondas, es decir 16 funciones FF(),
16 funciones GG(), 16 funciones HH() y 16 funciones II().
Finalmente, los valores resultantes de a,b,c
y d son sumados con A,B,C y D, quedando listos para procesar
el siguiente bloque de datos. El resultado final del algoritmo
es la concatenación de A,B,C y D.
ANEXO II
Ley 25.506
Consideraciones generales. Certificados digitales.
Certificador licenciado. Titular de un certificado digital.
Organización institucional. Autoridad de aplicación.
Sistema de auditoría. Comisión Asesora para
la Infraestructura de Firma Digital. Responsabilidad. Sanciones.
Disposiciones Complementarias.
Sancionada: Noviembre 14 de 2001.
Promulgada de Hecho: Diciembre 11 de 2001.
El Senado y Cámara de Diputados de
la Nación Argentina reunidos en Congreso, etc. sancionan
con fuerza de Ley:
LEY DE FIRMA DIGITAL
CAPITULO I
Consideraciones generales
ARTICULO 1º
- Objeto. Se reconoce el empleo de la firma electrónica
y de la firma digital y su eficacia jurídica en las
condiciones que establece la presente ley.
ARTICULO 2º
- Firma Digital. Se entiende por firma digital al resultado
de aplicar a un documento digital un procedimiento matemático
que requiere información de exclusivo conocimiento
del firmante, encontrándose ésta bajo su absoluto
control. La firma digital debe ser susceptible de verificación
por terceras partes, tal que dicha verificación simultáneamente
permita identificar al firmante y detectar cualquier alteración
del documento digital posterior a su firma.
Los procedimientos de firma y verificación
a ser utilizados para tales fines serán los determinados
por la Autoridad de Aplicación en consonancia con estándares
tecnológicos internacionales vigentes.
ARTICULO 3º
- Del requerimiento de firma. Cuando la ley requiera una firma
manuscrita, esa exigencia también queda satisfecha
por una firma digital. Este principio es aplicable a los casos
en que la ley establece la obligación de firmar o prescribe
consecuencias para su ausencia.
ARTICULO 4º
- Exclusiones. Las disposiciones de esta ley no son aplicables:
a) A las disposiciones por causa de muerte;
b) A los actos jurídicos del derecho
de familia;
c) A los actos personalísimos en general;
d) A los actos que deban ser instrumentados
bajo exigencias o formalidades incompatibles con la utilización
de la firma digital, ya sea como consecuencia de disposiciones
legales o acuerdo de partes.
ARTICULO 5º
- Firma electrónica. Se entiende por firma electrónica
al conjunto de datos electrónicos integrados, ligados
o asociados de manera lógica a otros datos electrónicos,
utilizado por el signatario como su medio de identificación,
que carezca de alguno de los requisitos legales para ser considerada
firma digital. En caso de ser desconocida la firma electrónica
corresponde a quien la invoca acreditar su validez.
ARTICULO 6º
- Documento digital. Se entiende por documento digital a la
representación digital de actos o hechos, con independencia
del soporte utilizado para su fijación, almacenamiento
o archivo. Un documento digital también satisface el
requerimiento de escritura.
ARTICULO 7º
- Presunción de autoría. Se presume, salvo prueba
en contrario, que toda firma digital pertenece al titular
del certificado digital que permite la verificación
de dicha firma.
ARTICULO 8º
- Presunción de integridad. Si el resultado de un procedimiento
de verificación de una firma digital aplicado a un
documento digital es verdadero, se presume, salvo prueba en
contrario, que este documento digital no ha sido modificado
desde el momento de su firma.
ARTICULO 9º
- Validez. Una firma digital es válida si cumple con
los siguientes requisitos:
a) Haber sido creada durante el período
de vigencia del certificado digital válido del firmante;
b) Ser debidamente verificada por la referencia
a los datos de verificación de firma digital indicados
en dicho certificado según el procedimiento de verificación
correspondiente;
c) Que dicho certificado haya sido emitido
o reconocido, según el artículo 16 de la presente,
por un certificador licenciado.
ARTICULO 10º.
- Remitente. Presunción. Cuando un documento digital
sea enviado en forma automática por un dispositivo
programado y lleve la firma digital del remitente se presumirá,
salvo prueba en contrario, que el documento firmado proviene
del remitente.
ARTICULO 11º.
- Original. Los documentos electrónicos firmados digitalmente
y los reproducidos en formato digital firmados digitalmente
a partir de originales de primera generación en cualquier
otro soporte, también serán considerados originales
y poseen, como consecuencia de ello, valor probatorio como
tales, según los procedimientos que determine la reglamentación.
ARTICULO 12º.
- Conservación. La exigencia legal de conservar documentos,
registros o datos, también queda satisfecha con la
conservación de los correspondientes documentos digitales
firmados digitalmente, según los procedimientos que
determine la reglamentación, siempre que sean accesibles
para su posterior consulta y permitan determinar fehacientemente
el origen, destino, fecha y hora de su generación,
envío y/o recepción.
CAPITULO II
De los certificados digitales
ARTICULO 13º.
- Certificado digital. Se entiende por certificado digital
al documento digital firmado digitalmente por un certificador,
que vincula los datos de verificación de firma a su
titular.
ARTICULO 14º.
- Requisitos de validez de los certificados digitales. Los
certificados digitales para ser válidos deben:
a) Ser emitidos por un certificador licenciado
por el ente licenciante;
b) Responder a formatos estándares
reconocidos internacionalmente, fijados por la autoridad de
aplicación, y contener, como mínimo, los datos
que permitan:
1. Identificar indubitablemente a su titular
y al certificador licenciado que lo emitió, indicando
su período de vigencia y los datos que permitan su
identificación única;
2. Ser susceptible de verificación
respecto de su estado de revocación;
3. Diferenciar claramente la información
verificada de la no verificada incluidas en el certificado;
4. Contemplar la información necesaria
para la verificación de la firma;
5. Identificar la política de certificación
bajo la cual fue emitido.
ARTICULO 15º.
- Período de vigencia del certificado digital. A los
efectos de esta ley, el certificado digital es válido
únicamente dentro del período de vigencia, que
comienza en la fecha de inicio y finaliza en su fecha de vencimiento,
debiendo ambas ser indicadas en el certificado digital, o
su revocación si fuere revocado.
La fecha de vencimiento del certificado digital
referido en el párrafo anterior en ningún caso
puede ser posterior a la del vencimiento del certificado digital
del certificador licenciado que lo emitió.
La Autoridad de Aplicación podrá
establecer mayores exigencias respecto de la determinación
exacta del momento de emisión, revocación y
vencimiento de los certificados digitales.
ARTICULO 16º.
- Reconocimiento de certificados extranjeros. Los certificados
digitales emitidos por certificadores extranjeros podrán
ser reconocidos en los mismos términos y condiciones
exigidos en la ley y sus normas reglamentarias cuando:
a) Reúnan las condiciones que establece
la presente ley y la reglamentación correspondiente
para los certificados emitidos por certificadores nacionales
y se encuentre vigente un acuerdo de reciprocidad firmado
por la República Argentina y el país de origen
del certificador extranjero, o
b) Tales certificados sean reconocidos por
un certificador licenciado en el país, que garantice
su validez y vigencia conforme a la presente ley. A fin de
tener efectos, este reconocimiento deberá ser validado
por la autoridad de aplicación.
CAPITULO III
Del certificador licenciado
ARTICULO 17º.
- Del certificador licenciado. Se entiende por certificador
licenciado a toda persona de existencia ideal, registro público
de contratos u organismo público que expide certificados,
presta otros servicios en relación con la firma digital
y cuenta con una licencia para ello, otorgada por el ente
licenciante.
La actividad de los certificadores licenciados
no pertenecientes al sector público se prestará
en régimen de competencia. El arancel de los servicios
prestados por los certificadores licenciados será establecido
libremente por éstos.
ARTICULO 18º.
- Certificados por profesión. Las entidades que controlan
la matrícula, en relación a la prestación
de servicios profesionales, podrán emitir certificados
digitales en lo referido a esta función, con igual
validez y alcance jurídico que las firmas efectuadas
en forma manuscrita. A ese efecto deberán cumplir los
requisitos para ser certificador licenciado.
ARTICULO 19º.
- Funciones. El certificador licenciado tiene las siguientes
funciones:
a) Recibir una solicitud de emisión
de certificado digital, firmada digitalmente con los correspondientes
datos de verificación de firma digital del solicitante;
b) Emitir certificados digitales de acuerdo
a lo establecido en sus políticas de certificación,
y a las condiciones que la autoridad de aplicación
indique en la reglamentación de la presente ley;
c) Identificar inequívocamente los
certificados digitales emitidos;
d) Mantener copia de todos los certificados
digitales emitidos, consignando su fecha de emisión
y de vencimiento si correspondiere, y de sus correspondientes
solicitudes de emisión;
e) Revocar los certificados digitales por
él emitidos en los siguientes casos, entre otros que
serán determinados por la reglamentación:
1) A solicitud del titular del certificado
digital.
2) Si determinara que un certificado digital
fue emitido en base a una información falsa, que en
el momento de la emisión hubiera sido objeto de verificación.
3) Si determinara que los procedimientos
de emisión y/o verificación han dejado de ser
seguros.
4) Por condiciones especiales definidas en
su política de certificación.
5) Por resolución judicial o de la
autoridad de aplicación.
f) Informar públicamente el estado
de los certificados digitales por él emitidos. Los
certificados digitales revocados deben ser incluidos en una
lista de certificados revocados indicando fecha y hora de
la revocación. La validez y autoría de dicha
lista de certificados revocados deben ser garantizadas.
ARTICULO 20º.
- Licencia. Para obtener una licencia el certificador debe
cumplir con los requisitos establecidos por la ley y tramitar
la solicitud respectiva ante el ente licenciante, el que otorgará
la licencia previo dictamen legal y técnico que acredite
la aptitud para cumplir con sus funciones y obligaciones.
Estas licencias son intransferibles.
ARTICULO 21º.
- Obligaciones. Son obligaciones del certificador licenciado:
a) Informar a quien solicita un certificado
con carácter previo a su emisión y utilizando
un medio de comunicación las condiciones precisas de
utilización del certificado digital, sus características
y efectos, la existencia de un sistema de licenciamiento y
los procedimientos, forma que garantiza su posible responsabilidad
patrimonial y los efectos de la revocación de su propio
certificado digital y de la licencia que le otorga el ente
licenciante. Esa información deberá estar libremente
accesible en lenguaje fácilmente comprensible. La parte
pertinente de dicha información estará también
disponible para terceros;
b) Abstenerse de generar, exigir, o por cualquier
otro medio tomar conocimiento o acceder bajo ninguna circunstancia,
a los datos de creación de firma digital de los titulares
de certificados digitales por él emitidos;
c) Mantener el control exclusivo de sus propios
datos de creación de firma digital e impedir su divulgación;
d) Operar utilizando un sistema técnicamente
confiable de acuerdo con lo que determine la autoridad de
aplicación;
e) Notificar al solicitante las medidas que
está obligado a adoptar para crear firmas digitales
seguras y para su verificación confiable, y las obligaciones
que asume por el solo hecho de ser titular de un certificado
digital;
f) Recabar únicamente aquellos datos
personales del titular del certificado digital que sean necesarios
para su emisión, quedando el solicitante en libertad
de proveer información adicional;
g) Mantener la confidencialidad de toda información
que no figure en el certificado digital;
h) Poner a disposición del solicitante
de un certificado digital toda la información relativa
a su tramitación;
i) Mantener la documentación respaldatoria
de los certificados digitales emitidos, por diez (10) años
a partir de su fecha de vencimiento o revocación;
j) Incorporar en su política de certificación
los efectos de la revocación de su propio certificado
digital y/o de la licencia que le otorgara la autoridad de
aplicación;
k) Publicar en Internet o en la red de acceso
público de transmisión o difusión de
datos que la sustituya en el futuro, en forma permanente e
ininterrumpida, la lista de certificados digitales revocados,
las políticas de certificación, la información
relevante de los informes de la última auditoría
de que hubiera sido objeto, su manual de procedimientos y
toda información que determine la autoridad de aplicación;
l) Publicar en el Boletín Oficial
aquellos datos que la autoridad de aplicación determine;
m) Registrar las presentaciones que le sean
formuladas, así como el trámite conferido a
cada una de ellas;
n) Informar en las políticas de certificación
si los certificados digitales por él emitidos requieren
la verificación de la identidad del titular;
o) Verificar, de acuerdo con lo dispuesto
en su manual de procedimientos, toda otra información
que deba ser objeto de verificación, la que debe figurar
en las políticas de certificación y en los certificados
digitales;
p) Solicitar inmediatamente al ente licenciante
la revocación de su certificado, o informarle la revocación
del mismo, cuando existieren indicios de que los datos de
creación de firma digital que utiliza hubiesen sido
comprometidos o cuando el uso de los procedimientos de aplicación
de los datos de verificación de firma digital en él
contenidos hayan dejado de ser seguros;
q) Informar inmediatamente al ente licenciante
sobre cualquier cambio en los datos relativos a su licencia;
r) Permitir el ingreso de los funcionarios
autorizados de la autoridad de aplicación, del ente
licenciante o de los auditores a su local operativo, poner
a su disposición toda la información necesaria
y proveer la asistencia del caso;
s) Emplear personal idóneo que tenga
los conocimientos específicos, la experiencia necesaria
para proveer los servicios ofrecidos y en particular, competencia
en materia de gestión, conocimientos técnicos
en el ámbito de la firma digital y experiencia adecuada
en los procedimientos de seguridad pertinentes;
t) Someter a aprobación del ente licenciante
el manual de procedimientos, el plan de seguridad y el de
cese de actividades, así como el detalle de los componentes
técnicos a utilizar;
u) Constituir domicilio legal en la República
Argentina;
v) Disponer de recursos humanos y tecnológicos
suficientes para operar de acuerdo a las exigencias establecidas
en la presente ley y su reglamentación;
w) Cumplir con toda otra obligación
emergente de su calidad de titular de la licencia adjudicada
por el ente licenciante.
ARTICULO 22º.
- Cese del certificador. El certificador licenciado cesa en
tal calidad:
a) Por decisión unilateral comunicada
al ente licenciante;
b) Por cancelación de su personería
jurídica;
c) Por cancelación de su licencia
dispuesta por el ente licenciante.
La autoridad de aplicación determinará
los procedimientos de revocación aplicables en estos
casos.
ARTICULO 23º.
- Desconocimiento de la validez de un certificado digital.
Un certificado digital no es válido si es utilizado:
a) Para alguna finalidad diferente a los
fines para los cuales fue extendido;
b) Para operaciones que superen el valor
máximo autorizado cuando corresponda;
c) Una vez revocado.
CAPITULO IV
Del titular de un certificado
digital
ARTICULO 24º.
- Derechos del titular de un certificado digital. El titular
de un certificado digital tiene los siguientes derechos:
a) A ser informado por el certificador licenciado,
con carácter previo a la emisión del certificado
digital, y utilizando un medio de comunicación sobre
las condiciones precisas de utilización del certificado
digital, sus características y efectos, la existencia
de este sistema de licenciamiento y los procedimientos asociados.
Esa información deberá darse por escrito en
un lenguaje fácilmente comprensible. La parte pertinente
de dicha información estará también disponible
para terceros;
b) A que el certificador licenciado emplee
los elementos técnicos disponibles para brindar seguridad
y confidencialidad a la información proporcionada por
él, y a ser informado sobre ello;
c) A ser informado, previamente a la emisión
del certificado, del precio de los servicios de certificación,
incluyendo cargos adicionales y formas de pago;
d) A que el certificador licenciado le informe
sobre su domicilio en la República Argentina, y sobre
los medios a los que puede acudir para solicitar aclaraciones,
dar cuenta del mal funcionamiento del sistema, o presentar
sus reclamos;
e) A que el certificador licenciado proporcione
los servicios pactados, y a no recibir publicidad comercial
de ningún tipo por intermedio del certificador licenciado.
ARTICULO 25º.
- Obligaciones del titular del certificado digital. Son obligaciones
del titular de un certificado digital:
a) Mantener el control exclusivo de sus datos
de creación de firma digital, no compartirlos, e impedir
su divulgación;
b) Utilizar un dispositivo de creación
de firma digital técnicamente confiable;
c) Solicitar la revocación de su certificado
al certificador licenciado ante cualquier circunstancia que
pueda haber comprometido la privacidad de sus datos de creación
de firma;
d) Informar sin demora al certificador licenciado
el cambio de alguno de los datos contenidos en el certificado
digital que hubiera sido objeto de verificación.
CAPITULO V
De la organización
institucional
ARTICULO 26º.
- Infraestructura de Firma Digital. Los certificados digitales
regulados por esta ley deben ser emitidos o reconocidos, según
lo establecido por el artículo 16, por un certificador
licenciado.
ARTICULO 27º.
- Sistema de Auditoría. La autoridad de aplicación,
con el concurso de la Comisión Asesora para la Infraestructura
de Firma Digital, diseñará un sistema de auditoría
para evaluar la confiabilidad y calidad de los sistemas utilizados,
la integridad, confidencialidad y disponibilidad de los datos,
así como también el cumplimiento de las especificaciones
del manual de procedimientos y los planes de seguridad y de
contingencia aprobados por el ente licenciante.
ARTICULO 28º.
- Comisión Asesora para la Infraestructura de Firma
Digital. Créase en el ámbito jurisdiccional
de la Autoridad de Aplicación, la Comisión Asesora
para la Infraestructura de Firma Digital.
CAPITULO VI
De la autoridad de aplicación
ARTICULO 29º.
- Autoridad de Aplicación. La autoridad de aplicación
de la presente ley será la Jefatura de Gabinete de
Ministros.
ARTICULO 30º.
- Funciones. La autoridad de aplicación tiene las siguientes
funciones:
a) Dictar las normas reglamentarias y de
aplicación de la presente;
b) Establecer, previa recomendación
de la Comisión Asesora para la Infraestructura de la
Firma Digital, los estándares tecnológicos y
operativos de la Infraestructura de Firma Digital;
c) Determinar los efectos de la revocación
de los certificados de los certificadores licenciados o del
ente licenciante;
d) Instrumentar acuerdos nacionales e internacionales
a fin de otorgar validez jurídica a las firmas digitales
creadas sobre la base de certificados emitidos por certificadores
de otros países;
e) Determinar las pautas de auditoría,
incluyendo los dictámenes tipo que deban emitirse como
conclusión de las revisiones;
f) Actualizar los valores monetarios previstos
en el régimen de sanciones de la presente ley;
g) Determinar los niveles de licenciamiento;
h) Otorgar o revocar las licencias a los
certificadores licenciados y supervisar su actividad, según
las exigencias instituidas por la reglamentación;
i) Fiscalizar el cumplimiento de las normas
legales y reglamentarias en lo referente a la actividad de
los certificadores licenciados;
j) Homologar los dispositivos de creación
y verificación de firmas digitales, con ajuste a las
normas y procedimientos establecidos por la reglamentación;
k) Aplicar las sanciones previstas en la
presente ley.
ARTICULO 31º.
- Obligaciones. En su calidad de titular de certificado digital,
la autoridad de aplicación tiene las mismas obligaciones
que los titulares de certificados y que los certificadores
licenciados. En especial y en particular debe:
a) Abstenerse de generar, exigir, o por cualquier
otro medio tomar conocimiento o acceder, bajo ninguna circunstancia,
a los datos utilizados para generar la firma digital de los
certificadores licenciados;
b) Mantener el control exclusivo de los datos
utilizados para generar su propia firma digital e impedir
su divulgación;
c) Revocar su propio certificado frente al
compromiso de la privacidad de los datos de creación
de firma digital;
d) Publicar en Internet o en la red de acceso
público de transmisión o difusión de
datos que la sustituya en el futuro, en forma permanente e
ininterrumpida, los domicilios, números telefónicos
y direcciones de Internet tanto de los certificadores licenciados
como los propios y su certificado digital;
e) Supervisar la ejecución del plan
de cese de actividades de los certificadores licenciados que
discontinúan sus funciones.
ARTICULO 32º.
- Arancelamiento. La autoridad de aplicación podrá
cobrar un arancel de licenciamiento para cubrir su costo operativo
y el de las auditorías realizadas por sí o por
terceros contratados a tal efecto.
CAPITULO VII
Del sistema de auditoría
ARTICULO 33º.
- Sujetos a auditar. El ente licenciante y los certificadores
licenciados, deben ser auditados periódicamente, de
acuerdo al sistema de auditoría que diseñe y
apruebe la autoridad de aplicación.
La autoridad de aplicación podrá
implementar el sistema de auditoría por sí o
por terceros habilitados a tal efecto. Las auditorías
deben como mínimo evaluar la confiabilidad y calidad
de los sistemas utilizados, la integridad, confidencialidad
y, disponibilidad de los datos, así como también
el cumplimiento de las especificaciones del manual de procedimientos
y los planes de seguridad y, de contingencia aprobados por
el ente licenciante.
ARTICULO 34º.
- Requisitos de habilitación. Podrán ser terceros
habilitados para efectuar las auditorías las Universidades
y organismos científicos y/o tecnológicos nacionales
o provinciales, los Colegios y Consejos profesionales que
acrediten experiencia profesional acorde en la materia.
CAPITULO VIII
De la Comisión
Asesora para la Infraestructura de Firma Digital
ARTICULO 35º.-
Integración y funcionamiento. La Comisión Asesora
para la Infraestructura de Firma Digital estará integrada
multidisciplinariamente por un máximo de 7 (siete)
profesionales de carreras afines a la actividad de reconocida
trayectoria y experiencia, provenientes de Organismos del
Estado nacional, Universidades Nacionales y Provinciales,
Cámaras, Colegios u otros entes representativos de
profesionales.
Los integrantes serán designados por
el Poder Ejecutivo por un período de cinco (5) años
renovables por única vez.
Se reunirá como mínimo trimestralmente.
Deberá expedirse prontamente a solicitud de la autoridad
de aplicación y sus recomendaciones y disidencias se
incluirán en las actas de la Comisión.
Consultará periódicamente mediante
audiencias públicas con las cámaras empresarias,
los usuarios y las asociaciones de consumidores y mantendrá
a la autoridad de aplicación regularmente informada
de los resultados de dichas consultas.
ARTICULO 36º.
- Funciones. La Comisión debe emitir recomendaciones
por iniciativa propia o a solicitud de la autoridad de aplicación,
sobre los siguientes aspectos:
a) Estándares tecnológicos;
b) Sistema de registro de toda la información
relativa a la emisión de certificados digitales;
c) Requisitos mínimos de información
que se debe suministrar a los potenciales titulares de certificados
digitales de los términos de las políticas de
certificación;
d) Metodología y requerimiento del
resguardo físico de la información;
e) Otros que le sean requeridos por la autoridad
de aplicación.
CAPITULO IX
Responsabilidad
ARTICULO 37º.
- Convenio de partes. La relación entre el certificador
licenciado que emita un certificado digital y el titular de
ese certificado se rige por el contrato que celebren entre
ellos, sin perjuicio de las previsiones de la presente ley,
y demás legislación vigente.
ARTICULO 38º.
- Responsabilidad de los certificadores licenciados ante terceros.
El certificador que emita un certificado
digital o lo reconozca en los términos del artículo
16 de la presente ley, es responsable por los daños
y perjuicios que provoque, por los incumplimientos a las previsiones
de ésta, por los errores u omisiones que presenten
los certificados digitales que expida, por no revocarlos,
en legal tiempo y forma cuando así correspondiere y
por las consecuencias imputables a la inobservancia de procedimientos
de certificación exigibles. Corresponderá al
prestador del servicio demostrar que actuó con la debida
diligencia.
ARTICULO 39º.
- Limitaciones de responsabilidad. Los certificadores licenciados
no son responsables en los siguientes casos:
a) Por los casos que se excluyan taxativamente
en las condiciones de emisión y utilización
de sus certificados y que no estén expresamente previstos
en la ley;
b) Por los daños y perjuicios que
resulten del uso no autorizado de un certificado digital,
si en las correspondientes condiciones de emisión y
utilización de sus certificados constan las restricciones
de su utilización;
c) Por eventuales inexactitudes en el certificado
que resulten de la información facilitada por el titular
que, según lo dispuesto en las normas y en los manuales
de procedimientos respectivos, deba ser objeto de verificación,
siempre que el certificador pueda demostrar que ha tomado
todas las medidas razonables.
CAPITULO X
Sanciones
ARTICULO 40º.
- Procedimiento. La instrucción sumarial y la aplicación
de sanciones por violación a disposiciones de la presente
ley serán realizadas por el ente licenciante. Es aplicable
la Ley de Procedimientos Administrativos 19.549 y sus normas
reglamentarias.
ARTICULO 41º.
- Sanciones. El incumplimiento de las obligaciones establecidas
en la presente ley para los certificadores licenciados dará
lugar a la aplicación de las siguientes sanciones:
a) Apercibimiento;
b) Multa de pesos diez mil ($ 10.000) a pesos
quinientos mil ($ 500.000);
c) Caducidad de la licencia.
Su gradación según reincidencia
y/u oportunidad serán establecidas por la reglamentación.
El pago de la sanción que aplique
el ente licenciante no relevará al certificador licenciado
de eventuales reclamos por daños y perjuicios causados
a terceros y/o bienes de propiedad de éstos, como consecuencia
de la ejecución del contrato que celebren y/o por el
incumplimiento de las obligaciones asumidas conforme al mismo
y/o la prestación del servicio.
ARTICULO 42º.
- Apercibimiento. Podrá aplicarse sanción de
apercibimiento en los siguientes casos:
a) Emisión de certificados sin contar
con la totalidad de los datos requeridos, cuando su omisión
no invalidare el certificado;
b) No facilitar los datos requeridos por
el ente licenciante en ejercicio de sus funciones;
c) Cualquier otra infracción a la
presente ley que no tenga una sanción mayor.
ARTICULO 43º.
- Multa. Podrá aplicarse sanción de multa en
los siguientes casos:
a) Incumplimiento de las obligaciones previstas
en el artículo 21;
b) Si la emisión de certificados se
realizare sin cumplimentar las políticas de certificación
comprometida y causare perjuicios a los usuarios, signatarios
o terceros, o se afectare gravemente la seguridad de los servicios
de certificación;
c) Omisión de llevar el registro de
los certificados expedidos;
d) Omisión de revocar en forma o tiempo
oportuno un certificado cuando así correspondiere;
e) Cualquier impedimento u obstrucción
a la realización de inspecciones o auditorías
por parte de la autoridad de aplicación y del ente
licenciante;
f) Incumplimiento de las normas dictadas
por la autoridad de aplicación;
g) Reincidencia en la comisión de
infracciones que dieran lugar a la sanción de apercibimiento.
ARTICULO 44º.
- Caducidad. Podrá aplicarse la sanción de caducidad
de la licencia en caso de:
a) No tomar los debidos recaudos de seguridad
en los servicios de certificación;
b) Expedición de certificados falsos;
c) Transferencia no autorizada o fraude en
la titularidad de la licencia;
d) Reincidencia en la comisión de
infracciones que dieran lugar a la sanción de multa;
e) Quiebra del titular.
La sanción de caducidad inhabilita
a la titular sancionada y a los integrantes de órganos
directivos por el término de 10 años para ser
titular de licencias.
ARTICULO 45º.
- Recurribilidad. Las sanciones aplicadas podrán ser
recurridas ante los Tribunales Federales con competencia en
lo Contencioso Administrativo correspondientes al domicilio
de la entidad, una vez agotada la vía administrativa
pertinente.
La interposición de los recursos previstos
en este capítulo tendrá efecto devolutivo.
ARTICULO 46º.
- Jurisdicción. En los conflictos entre particulares
y certificadores licenciados es competente la Justicia en
lo Civil y Comercial Federal. En los conflictos en que sea
parte un organismo público certificador licenciado,
es competente la Justicia en lo Contencioso-administrativo
Federal.
CAPITULO XI
Disposiciones Complementarias
ARTICULO 47º.
- Utilización por el Estado Nacional. El Estado nacional
utilizará las tecnologías y previsiones de la
presente ley en su ámbito interno y en relación
con los administrados de acuerdo con las condiciones que se
fijen reglamentariamente en cada uno de sus poderes.
ARTICULO 48º.
- Implementación. El Estado nacional, dentro de las
jurisdicciones y entidades comprendidas en el artículo
8º de la Ley 24.156, promoverá el uso masivo de
la firma digital de tal forma que posibilite el trámite
de los expedientes por vías simultáneas, búsquedas
automáticas de la información y seguimiento
y control por parte del interesado, propendiendo a la progresiva
despapelización.
En un plazo máximo de 5 (cinco) años
contados a partir de la entrada en vigencia de la presente
ley, se aplicará la tecnología de firma digital
a la totalidad de las leyes, decretos, decisiones administrativas,
resoluciones y sentencias emanados de las jurisdicciones y
entidades comprendidas en el artículo 8º de la
Ley 24.156.
ARTICULO 49º.
- Reglamentación. El Poder Ejecutivo deberá
reglamentar esta ley en un plazo no mayor a los 180 (ciento
ochenta) días de su publicación en el Boletín
Oficial de la Nación.
ARTICULO 50º.
- Invitación. Invítase a las jurisdicciones
provinciales a dictar los instrumentos legales pertinentes
para adherir a la presente ley.
ARTICULO 51º.
- Equiparación a los efectos del derecho penal. Incorpórase
el siguiente texto como artículo 78 (bis) del Código
Penal:
Los términos firma y suscripción
comprenden la firma digital, la creación de una firma
digital o firmar digitalmente. Los términos documento,
instrumento privado y certificado comprenden el documento
digital firmado digitalmente.
ARTICULO 52º. - Autorización
al Poder Ejecutivo. Autorízase al Poder Ejecutivo para
que por la vía del artículo 99, inciso 2, de
la Constitución Nacional actualice los contenidos del
Anexo de la presente ley a fin de evitar su obsolescencia.
ARTICULO 53º.
- Comuníquese al Poder Ejecutivo.
DADA EN LA SALA DE SESIONES DEL CONGRESO
ARGENTINO, EN BUENOS AIRES, A LOS CATORCE DIAS DEL MES DE
NOVIEMBRE DEL AÑO DOS MIL UNO.
- REGISTRADA BAJO EL Nº 25.506 -
RAFAEL PASCUAL. - EDUARDO MENEM. - Guillermo
Aramburu. - Juan C. Oyarzún.
ANEXO
Información: conocimiento
adquirido acerca de algo o alguien.
Procedimiento de verificación: proceso
utilizado para determinar la validez de una firma digital.
Dicho proceso debe considerar al menos:
a) que dicha firma digital ha sido creada
durante el período de validez del certificado digital
del firmante;
b) que dicha firma digital ha sido creada
utilizando los datos de creación de firma digital correspondientes
a los datos de verificación de firma digital indicados
en el certificado del firmante;
c) la verificación de la autenticidad
y la validez de los certificados involucrados.
Datos de creación de firma digital:
datos únicos, tales como códigos o claves criptográficas
privadas, que el firmante utiliza para crear su firma digital.
Datos de verificación de firma digital:
datos únicos, tales como códigos o claves criptográficas
públicas, que se utilizan para verificar la firma digital,
la integridad del documento digital y la identidad del firmante.
Dispositivo de creación de firma digital:
dispositivo de hardware o software técnicamente confiable
que permite firmar digitalmente.
Dispositivo de verificación de firma
digital: dispositivo de hardware o software técnicamente
confiable que permite verificar la integridad del documento
digital y la identidad del firmante.
Políticas de certificación:
reglas en las que se establecen los criterios de emisión
y utilización de los certificados digitales.
Técnicamente confiable: cualidad del
conjunto de equipos de computación, software, protocolos
de comunicación y de seguridad y procedimientos administrativos
relacionados que cumplan los siguientes requisitos:
1. Resguardar contra la posibilidad de intrusión
y/o uso no autorizado;
2. Asegurar la disponibilidad, confiabilidad,
confidencialidad y correcto funcionamiento;
3. Ser apto para el desempeño de sus
funciones específicas;
4. Cumplir las normas de seguridad apropiadas,
acordes a estándares internacionales en la materia;
5. Cumplir con los estándares técnicos
y de auditoría que establezca la Autoridad de Aplicación.
Clave criptográfica privada: En un
criptosistema asimétrico es aquella que se utiliza
para firmar digitalmente.
Clave criptográfica pública:
En un criptosistema asimétrico es aquella que se utiliza
para verificar una firma digital.
Integridad: Condición que permite
verificar que una información no ha sido alterada por
medios desconocidos o no autorizados.
Criptosistema asimétrico: Algoritmo
que utiliza un par de claves, una clave privada para firmar
digitalmente y su correspondiente clave pública para
verificar dicha firma digital.
BIBLIOGRAFIA
Ø “La Sociedad Digital”,
de Arnaldo Kleidermacher, publicación de junio de 2003.
Ø Artículo sobre la “nueva
ley 59/2003, de 19 de diciembre, de Firma Electrónica”
de Susana Linder, publicado por “Noticias.Jurídicas.com”.
Ø Comentarios a la Ley 25.506 de firma
y documento digital, por Horacio M. Lynch.
Ø Claves para el éxito de una
infraestructura de firma digital, por Mauricio Devoto.
Ø Web del Ministerio de Economía
y Energía, Gobierno de la República de Chile.
Ø Web “preguntas más
frecuentes sobre la firma electrónica”, publicado
por Davara & Davara Asesores Jurídicos.
Ø Web “ley 59/2003, de 19 de
diciembre, de firma electrónica” publicado por
Camerfirma, Certificado Digital.
Ø Web “ley 59/2003 de firma
electrónica” publicado por “lasasesorias.com”.
Ø Artículo sobre la “nueva
ley 59/2003, de 19 de diciembre, de Firma Electrónica”
de Susana Linder, publicado por “Noticias.Jurídicas.com”.
Ø ¿Qué es la Firma Digital?
Alberto Zimerman
Ø Consejo Profesional de Ciencias
Económicas de la Ciudad Autónoma de Buenos Aires
Ø Criptografía con Clave Pública
Ernesto Alejandro Galeano
Centro de Capacitación en Alta Tecnología
Ø Criptografía y Seguridad
en Computadores (Tercera Edición)
Manuel Lucena
Ø Seguridad Informática y Criptografía
(Cuarta Edición)
Jorge Ramió Aguirre
Ø Seguridad informática
Gustavo Aldegani
MP ediciones
Ø Se investigaron los contenidos de
las siguientes páginas:
http://infoleg.mecon.gov.ar/txtnorma/96477.htm
http://infoleg.mecon.gov.ar/txtnorma/92513.htm
http://infoleg.mecon.gov.ar/txtnorma/90082.htm
http://infoleg.mecon.gov.ar/txtnorma/86003.htm
http://infoleg.mecon.gov.ar/txtnorma/82362.htm
http://infoleg.mecon.gov.ar/txtnorma/80733.htm
http://infoleg.mecon.gov.ar/txtnorma/70749.htm
http://infoleg.mecon.gov.ar/txtnorma/68396.htm
http://infoleg.mecon.gov.ar/txtnorma/54714.htm
http://infoleg.mecon.gov.ar/txtnorma/87826.htm
http://infoleg.mecon.gov.ar/txtnorma/74056.htm
http://infoleg.mecon.gov.ar/normas/73524.htm
http://infoleg.mecon.gov.ar/normas/73525.htm
http://infoleg.mecon.gov.ar/txtnorma/67128.htm
http://infoleg.mecon.gov.ar/txtnorma/65950.htm
http://infoleg.mecon.gov.ar/txtnorma/61562.htm
http://infoleg.mecon.gov.ar/txtnorma/43569.htm
http://infoleg.mecon.gov.ar/basehome/areas_informaticas.htm
http://www.pki.gov.ar
http://www.pki.gov.ar/images/stories/documents/2073lapampa.pdf
http://www.pki.gov.ar/images/stories/documents/7291tucuman.pdf
http://www.firmadigital.mendoza.gov.ar/
|
