HFD> Publicaciones Trabajos

Master en Dirección de Empresas
Universidad del Salvador (ARGENTINA) - Universidad de Deusto (ESPAÑA)
Cátedra Marco Legal
Año 2002

"Firma Digital - Infraestructura PKI"

Trabajo preparado por los siguientes cursantes del Postgrado

CAVALLI, José Ignacio
GUANCA, David Alejandro
JUNCOS PEREZ, Jorge Ricardo
LENA, Pablo Alejandro
LERNER, Myrian Edith
LOPEZ, Ana María

Profesor: Dr. Horacio Fernández Delpech

ÍNDICE DEL TRABAJO

1.- Objetivo

2.- Introducción

3.- Las ventajas de la firma digital

4.- Que es la firma digital

5.- Como funcionan las firmas digitales

6.- Gestión de Claves

7.- Seguridad de la firma digital

8.- Aplicación de la firma digital

9.- Entidades de Certificación - Ejemplo de Verisign

10.- Infraestructura de Firma Digital

11.- Marco Legal

12.- Conclusiones

13.- Glosario de Términos

14.- Bibliografía

1.- Objetivo

El presente trabajo tiene como objetivo dar a lector una idea de los componentes de una infraestructura de clave pública (PKI) con todos los conceptos que definen la misma.

Lo elaborado en el presente ensayo, está basado en un vocabulario que intenta reducir su complejidad en su lectura; de manera tal que el mismo sirva como u documento académico de fácil comprensión para grupos de trabajo multidisciplinarios .

Por lo tanto, dada la especialización de los facilitadores de la presente compilación, esperamos haber cumplido con la propuesta.

2.- Introducción

La difusión masiva de mecanismos que procuran brindar seguridad a la transmisión de información entre computadoras surge fundamentalmente a partir del desarrollo del comercio electrónico en redes abiertas como Internet.

El éxito del comercio electrónico se basa en la aparición de un mercado global (la red), en el que el contacto físico ha sido relegado y reducido a su mínima expresión.

El comercio electrónico o digital consiste en la transformación de las transacciones y procesos basados en papel en un proceso digital en que la palabra impresa en papel es reemplazada por el lenguaje de las computadoras (unos y ceros, números binarios). Para que dicho mercado global se convierta en un medio apropiado para el comercio debe existir una forma de asegurar que los emisores y receptores de dichos ceros y unos puedan ser identificados con cierto grado de certeza y que la información transmitida no sufra alteraciones.

Para comprender el tipo de solución que se necesita a efectos de implementar una infraestructura global de información es indispensable entender el tipo de tráfico comercial que desea transportarse por las redes. El comercio minorista es una pequeña parte del futuro del comercio digital. Existe un espectro de servicios (legales, financieros, de salud) que pueden ser ofrecidos más eficientemente con la ayuda de las redes abiertas.

Internet constituye el ejemplo predominante y más importante en el mundo de una red abierta, existiendo gran cantidad de negocios que se realizan sin mayores complicaciones por su intermedio. Incluso se ha dicho que este tipo de comercio florecerá en redes abiertas sin necesidad de grandes inversiones en tecnología para proveer un alto grado de certeza en la integridad de los mensajes transmitidos, seguridad y autenticación. Pero estos argumentos sólo son válidos para este pequeño sector del comercio, y no para otros sectores, como el de salud, el sector financiero y el legal, en los que la información que se almacena o se transmite tiene una importancia tal que requieren un mayor grado de cuidado.

A efectos de que los sistemas abiertos puedan ser utilizados para transportar este tipo de información, es indispensable poder identificar las personas que participan en las comunicaciones, independientemente del lugar físico utilizado.

La tecnología requerida para lograr la seguridad a que se ha hecho referencia ya existe en la forma de la firma digital, basada en la criptografía de clave pública.

Otro de los aspectos decisivos para afianzar el comercio electrónico en Internet está constituido por el entorno jurídico, es decir, las leyes y decretos que sirven de soporte para las transacciones, e introducen el concepto de seguridad jurídica en el mercado digital.

Hay una opinión generalizada de que, si ya es complicado, en la vida real, demostrar la existencia de una deuda que no se a formalizado en un título ejecutivo, la dificultad probatoria será mayor en una plataforma contractual en la que el consentimiento se transmite en forma de bits.

Es evidente que la eficacia del marco jurídico radica en su uniformidad, ya que si su contenido difiere en cada provincia, será difícil su aplicación a un entorno global como Internet. Por ello, el esfuerzo a realizar a partir de ahora deberá centrarse en la consecución de un modelo supraprovincial, que pueda ser implantado de manera uniforme en legislación nacional.

Existen varios métodos para firmar documentos electrónicamente, variando desde los simples ( por Ej. Insertar una imagen scaneada de una firma escrita a mano en un documento) hasta los avanzados (por ej. Utilizando criptografía).Las firmas electrónicas basadas en criptografías de clave pública son llamadas FIRMAS DIGITALES.

El Objetivo del presente trabajo es exponer una idea acabada del funcionamiento de las nombradas FIRMAS DIGITALES desde el punto de vista de su infraestructura PKI (Public Key Infraestructure), que paulatinamente , se estandarizará como una Herramienta de validación entre corresponsales.

3.- Las ventajas de la firma digital

Gracias a la firma digital, los ciudadanos podrán realizar transacciones de comercio electrónico seguras y relacionarse con la Administración con la máxima eficacia jurídica, abriéndose por fin las puertas a la posibilidad de obtener documentos como la cédula de identidad, carnet de conducir, pasaporte, certificados de nacimiento, o votar en los próximos comicios cómodamente desde su casa.

En la vida cotidiana se presentan muchas situaciones en las que los ciudadanos deben acreditar fehacientemente su identidad, por ejemplo, a la hora de pagar las compras con una tarjeta de crédito en un establecimiento comercial, para votar en los colegios electorales, con el fin de identificarse en el mostrador de una empresa, al firmar documentos notariales, etc.

En estos casos, la identificación se realiza fundamentalmente mediante la presentación de documentos acreditativos como el DNI, el pasaporte o el carnet de conducir, que contienen una serie de datos significativos vinculados al individuo que los presenta, como:

- Nombre del titular del documento.

- Número de serie que identifica el documento.

- Período de validez: fecha de expedición y de caducidad del documento, más allá de cuyos límites éste pierde validez.

- Fotografía del titular.

- Firma manuscrita del titular.

-Otros datos demográficos, como sexo, dirección, etc.

En algunos casos en los que la autenticación de la persona resulta importante, como en el pago con tarjeta de crédito, se puede exigir incluso que estampe una firma, que será comparada con la que aparece en la tarjeta y sobre su documento de identificación. En el mundo físico se produce la verificación de la identidad de la persona comparando la fotografía del documento con su propia fisonomía y en casos especialmente delicados incluso comparando su firma manuscrita con la estampada en el documento acreditativo que porta. En otras situaciones, no se requiere el DNI o pasaporte, pero sí la firma, para que el documento goce de la validez legal (cheques, cartas, etc.), ya que ésta vincula al signatario con el documento por él firmado.

Ahora bien, en un contexto electrónico, en el que no existe contacto directo entre las partes, ¿resulta posible que los usuarios de un servicio puedan presentar un documento digital que ofrezca las mismas funcionalidades que los documentos físicos, pero sin perder la seguridad y confianza de que estos últimos están dotados? La respuesta, por fortuna, es afirmativa. Se verá a continuación que el trasunto electrónico del DNI o pasaporte es el certificado digital y que el mecanismo que permite atestiguar la identidad de su portador es la firma digital.

4.- Que es la firma digital

La firma digital es el instrumento que permitirá, entre otras cosas, determinar de forma fiable si las partes que intervienen en una transacción son realmente las que dicen ser, y si el contenido del contrato ha sido alterado o no posteriormente. También es un conjunto de datos asociados a un mensaje que permite asegurar la identidad del firmante y la integridad del mensaje. La firma digital no implica que el mensaje esté encriptado, es decir, que este no pueda ser leído por otras personas; al igual que cuando se firma un documento holográficamente este puede ser visto por otras personas.

La aplicación más inmediata que encontrarán las firmas digitales, tanto en Europa como en América, será potenciar dos importantes actividades amparadas en el seno de Internet, debido a la relación de confianza que se establece entre las partes implicadas:

En jurisdicciones de todo el mundo, las firmas digitales ganan gradualmente el mismo peso legal que la firma manuscrita. La Firma Digital es una manera segura de firmar un documento electrónico como cartas, contratos o trabajos. Brinda la garantía de que el mensaje procede en realidad del remitente, que no ha sido intervenido y que aquél es quien dice ser.

No es una firma escrita, sino un software. Se basa en algoritmos que trabajan con números de hasta 2048 bits. La parte visible de la rúbrica es el nombre del firmante, pero también puede incluir el nombre de una compañía y el cargo.

El comercio electrónico, que no termina de despegar, entre otras razones, debido al desamparo de comerciantes y consumidores ante el fraude en los modelos actuales de compra a través de Internet basados únicamente en SSL (Secure Socket Layer). Gracias a las firmas digitales se puede identificar a los participantes en las transacciones a través de Internet.

El proyecto de ventanilla única (conocido como tele administración) que pretende acercar la Administración al ciudadano, de modo que desde su propio hogar, con absoluta autonomía, utilizando su PC y conectándose a Internet, tenga la posibilidad de obtener absolutamente toda la información necesaria para la realización de cualquier trámite ofertado por las Unidades de las Administraciones Públicas; pueda igualmente descargar e imprimir cualquier tipo de formulario para iniciar la tramitación de procedimientos y expedientes administrativos; o pueda, en determinados casos elegidos, enviar los formularios correspondientes a la Administración tramitante, que le informará del estado en que se encuentra su tramitación.

5.- Cómo funcionan las firmas digitales

Los primeros algoritmos fueron desarrollados por Whitfield Diffie y Martin Hellman en 1976. Los más populares son el RSA, de 1977 (por las iniciales de Ron Rivest, Adi Shamir y Leonard Adleman, sus inventores), incluido en el Internet Explorer y el Netscape Navigator; el DSA (por Digital Signature Algorithm, algoritmo de firma digital) del Departamento de Comercio de los Estados Unidos, y el PGP (por Pretty Good Privacy, privacidad bastante buena, en inglés), creado en 1991 por Philip Zimmermann y usado sólo para el e-mail.

El fundamento de las firmas digitales es la criptografía, disciplina matemática que no sólo se encarga del cifrado de textos para lograr su confidencialidad, protegiéndolos de ojos indiscretos, sino que también proporciona mecanismos para asegurar la integridad de los datos y la identidad de los participantes en una transacción.

Todos los algoritmos se basan en un mismo método: en vez de usar una misma clave (simétrica) para encriptar y desencriptar datos (como la contraseña en un documento Word), usan dos: una privada y una pública. La primera es la que el usuario guarda; la segunda se publica en el sitio de una autoridad certificante (una entidad confiable que da fe de que la clave pública pertenece a una persona o entidad).

El cifrado consiste en transformar un texto en claro mediante un algoritmo en un texto cifrado, gracias a una clave de cifrado, que resulta ininteligible para todos excepto para el legítimo destinatario del mismo.

Cada clave es el resultado de hacer ciertas operaciones matemáticas sobre dos números primos (divisibles sólo por sí mismos y por uno) muy grandes, de entre 512 y 2048 bits: los resultados son las dos claves. La importancia de usar números primos es que es extremadamente difícil factorizar las claves para recuperar los primos originales.

5.1.- Métodos Criptográficos

El mecanismo más básico es el denominado criptosistema o algoritmo de encriptación, que define dos transformaciones:

La encriptación: conversión el texto en claro (plaintext) en el texto cifrado o criptograma (ciphertext) mediante el empleo de la denominada clave de encriptación; y

La desencriptación: proceso inverso que se emplea la llamada clave de desencriptación.

La aplicación más inmediata de un algoritmo de encriptación (aunque no la única) es asegurar el servicio de confidencialidad: la información transmitida no se podrá desencriptar sin el conocimiento de la clave de desencriptación.

La seguridad de un sistema de cifrado radica casi totalmente en la privacidad de las claves secretas. Por ello, los ataques que puede realizar un criptoanalista enemigo están orientados a descubrir dichas claves.

La principal diferencia de los sistemas criptográficos modernos respecto a los clásicos está en que su seguridad no se basa en el secreto del sistema, sino en la robustez de sus operadores (algoritmos empleados) y sus protocolos (forma de usar los operadores), siendo el único secreto la clave (los operadores y protocolos son públicos).

El cifrado es, en su forma más simple, hacer ininteligible un mensaje de modo que no pueda leerse hasta que el receptor lo descifre. El emisor utiliza un patrón algorítmico o clave, para cifrar el mensaje. El receptor tiene la clave de descifrado.

Existen dos tipos de clave que pueden utilizarse para el cifrado (así como para la firma digital y autenticación):

· Claves simétricas

· Claves asimétricas

Las claves simétricas siguen un modelo antiguo en que el emisor y el receptor comparten algún tipo de patrón. Por lo tanto, el mismo patrón lo utilizan el emisor para cifrar el mensaje y el receptor para descifrarlo.

El riesgo que implican las claves simétricas es que deberá buscar un método de transporte seguro para utilizarlo cuando comparta su clave secreta con las personas con las que desea comunicarse.

Con las claves asimétricas se crea una pareja de claves. La pareja de claves está compuesta de una clave pública y una clave privada, que son distintas entre sí. La clave privada contiene una parte mayor del patrón cifrado secreto de la clave pública.

Como emisor, podrá difundir su clave pública a cualquier persona con la que desee comunicarse de forma segura. De este modo, conserva la clave privada y la protege con una contraseña.

A diferencia de las claves simétricas, la clave privada y la clave pública no son iguales. Como resultado, el mensaje que se ha cifrado con una clave pública sólo puede ser descifrado por la persona que lo ha cifrado, ya que dicha persona es el único propietario de la clave privada.

Un protocolo como el protocolo SSL (Secure Sockets Layer) utiliza tanto el cifrado de claves públicas como el cifrado de claves simétricas. El cifrado de claves públicas se utiliza para el protocolo de conexión TCP/IP. Durante el protocolo de conexión, la clave maestra se pasa del cliente al servidor. El cliente y el servidor crean sus propias claves de sesión utilizando la clave maestra. Las claves de sesión se utilizan para cifrar y descifrar los datos del resto de la sesión.

Para enviar un mensaje con firma digital, por ejemplo, al texto se le hace un hashing: de un texto se genera un número más chico con un algoritmo, de tal forma que es casi imposible que de otro texto se cree el mismo número. Al resultado se lo encripta usando la clave privada: ésa es la firma digital, que se envía con el mensaje original.

El destinatario recibe el texto y la firma: primero hace su propio hashing del mensaje y luego, con la clave pública del emisor, desencripta la firma: si ambos mensajes son iguales, significa que el remitente es válido y que el mensaje no sufrió alteraciones en el trayecto de un lugar al otro. Todo este proceso es invisible para el usuario; la firma digital aparece como una cadena de caracteres.

5.2.- Cifrado simétrico o de secreto compartido

Cuando se emplea la misma clave en las operaciones de cifrado y descifrado, se dice que el criptosistema es simétrico o de clave secreta. Estos sistemas son mucho más rápidos que los de clave pública, y resultan apropiados para el cifrado de grandes volúmenes de datos.

Su principal desventaja es que hace falta que el emisor y el receptor compartan la clave, razón por la cual se hace inseguro el envío de la clave, ya que de cualquier forma que ésta se envíe, es posible que alguien la intercepte.

Este tipo de cifrado se utiliza para encriptar el cuerpo de los mensajes en el correo electrónico o los datos intercambiados en las comunicaciones digitales.

Para ello se emplean algoritmos como:

· DES (block, clave de 56 bits)

· 3xDES (block, clave de 112/168 bits)

· RC2 (block, Ron Rivest, reemplazo para DES, clave de tamaño variable)

· RC4 (stream, Ron Rivest)

· RC5 (block, Ron Rivest, clave arbitraria)

· IDEA (block, international data encryption algorithm. clave de 128 bits)

· NCT (block, non-linear curves traveller, clave arbitraria)

Criptografía simétrica.

Data Encryption Standard (DES)

DES fue el primer algoritmo desarrollado comercialmente y surgió como resultado de la petición del Departamento de Defensa de EE.UU. a IBM.

Es un cifrador en bloque que utiliza una clave de 64 bits de longitud (de los cuales 8 son de paridad) para encriptar bloques de 64 bits de datos. Debido al actual desarrollo tecnológico, la seguridad proporcionada por una clave de sólo 56 bits de longitud está siendo cuestionada, lo que ha llevado a la búsqueda de otros sistemas simétricos alternativos como el Triple-DES que utiliza una clave de 168 bits o el IDEA que usa una clave de 128 bits.

Métodos asimétricos o de clave pública

La criptografía asimétrica usa dos claves, una para encriptar y otra para desencriptar, relacionadas matemáticamente de tal forma que los datos encriptados por una de las dos sólo pueden ser desencriptados por la otra. Cada usuario tiene dos claves, la pública y la privada, y distribuye la primera.

La desventaja de este método es su lentitud para encriptar grandes volúmenes de información. En comparación con los métodos simétricos es 100 veces más lento.

Estos algoritmos se pueden utilizar de dos formas, dependiendo de sí la clave pública se emplea como clave de encriptación o de desencriptación.

Algunos algoritmos de encriptación asimétrica son:

- RSA (RIVEST-Shamir-Adelman)

- DSA (Digital Signature Algorithm)

RSA

Este algoritmo fue inventado por R. Rivest, A. Shamir y L. Adleman (de sus iniciales proviene el nombre del algoritmo) en el Massachusetts Institute of Technology (MIT).

RSA emplea las ventajas proporcionadas por las propiedades de los números primos cuando se aplican sobre ellos operaciones matemáticas basadas en la función módulo.

La robustez del algoritmo se basa en la facilidad para encontrar dos números primos grandes frente a la enorme dificultad que presenta la factorización de su producto. Aunque el avance tecnológico hace que cada vez sea más rápido un posible ataque por fuerza bruta, el simple hecho de aumentar la longitud de las claves empleadas supone un incremento en la carga computacional lo suficientemente grande para que este tipo de ataque sea inviable. Sin embargo, se ha de notar que, aunque el hecho de aumentar la longitud de las claves RSA no supone ninguna dificultad tecnológica, las leyes de exportación de criptografía de EE.UU. imponen un límite a dicha longitud.

Digital Signature Algorithm (DSA)

Un algoritmo muy extendido es el Digital Signature Algorithm (DSA) definido en el Digital Signature Standard (DSS), el cual fue propuesto por el U.S. National Institute of Standards and Technology (NIST). Este algoritmo se basa en la función exponencial discreta en un campo de elementos finito, la cual tiene la característica de ser difícilmente reversible (logaritmo discreto).

5.4 Planteamiento de Casos

1º caso cuando un usuario, A, quiere enviar información a otro usuario, B, utiliza la clave pública de B (KpuB ) para encriptar los datos. El usuario B utilizará su clave privada (que sólo él conoce)( KprB) para obtener el texto en claro a partir de la información (encriptada) recibida. Si otro usuario, C, quiere enviar información al usuario B, también empleará la clave pública (KpuB) .Este modo se puede emplear para proporcionar el servicio de confidencialidad, pues sólo el usuario B es capaz de descifrar los mensajes que los usuarios A y C le han enviado.

2º caso es el usuario B quien encripta la información utilizando su clave privada, (KprB )de forma que cualquiera que conozca (KpuB )podrá descifrar la información transmitida. Este modo se puede emplear para proporcionar el servicio de autenticación, ya que la obtención del texto en claro a partir del texto cifrado es una garantía de que el emisor del mensaje es el propietario de (KpuB ) (lógicamente, para saber que el mensaje obtenido de la desencriptación del texto cifrado es el texto en claro original, éste se ha de obtener por otros medios para realizar la comparación). Esto es la base de las firmas digitales.

Desde el punto de vista de la confidencialidad, los algoritmos asimétricos proporcionan una mayor seguridad que los simétricos a costa de una mayor carga computacional. Es por esta razón que generalmente se emplea una combinación de ambos.

En la práctica, debido a que los algoritmos de clave pública requieren mucho tiempo para cifrar documentos largos, los protocolos de firma digital se implementan junto con funciones unidireccionales de resumen (funciones hash), de manera que en vez de firmar un documento, se firma un resumen del mismo.

Este mecanismo implica el cifrado, mediante la clave privada del emisor, del resumen de los datos, que serán transferidos junto con el mensaje. Una vez en el receptor, éste se procesa debidamente para verificar su integridad. Por lo tanto, los pasos del protocolo son:

1. Juana genera un resumen del documento.

2. Juana cifra el resumen con su clave privada, firmando por tanto el documento. Este resumen es su firma digital.

3. Juana envía el documento junto con el resumen firmado (la firma digital) a David.
4. David genera un resumen del documento recibido de Juana, usando la misma función unidireccional de resumen.

5. Después David descifra con la clave pública de Juana, que es conocida, el resumen firmado (firma digital de Juana).

6. Si el resumen firmado coincide con el resumen que él ha generado, la
firma digital es válida.

De esta forma se ofrecen conjuntamente los servicios de no repudio, ya que nadie excepto Juana podría haber firmado el documento, y de autenticación, ya que si el documento viene firmado por Juana, podemos estar seguros de su identidad. En último lugar, mediante la firma digital se garantiza además la integridad del documento, ya que en caso de ser modificado, resultaría imposible hacerlo de forma tal que se generase la misma función de resumen.

5.5 Funciones hash

Como mencionamos anteriormente, el último problema que se suscita en el "viaje" de los datos, es la integridad. Si bien alguien no podrá leer lo que está viajando, ya que está encriptado, si puede modificarlo, quitándole o agregándole algunos bits, lo que puede provocar serios problemas si la información que viaja es de vital importancia.

Una Firma digital, asegura la autentificación de quien envía el mensaje, así como la integridad el mismo, ya que junto con la firma, se envía un código computado por las llamadas funciones Hash

Una Función Hash, "comprime" el mensaje, de modo de producir una especie de "resumen", el cual será comprobado, para asegurar que se mantenga la integridad del mismo.

Se puede definir una Función Hash (función de comprobación aleatoria) como aquella que reduce el mensaje a un conjunto de datos, denominado resumen, de longitud mucho menor que el mensaje, usualmente 128 ó 254 bits y que viaja junto con el mensaje original.

La idea es que aunque obviamente hay otros mensajes que producen el mismo hash es extremadamente difícil encontrarlos y aún más difícil que tengan un significado en nuestra lengua.

Los principales Algoritmos son:

· MD2 (Message Digest-2, Ron Rivest, 128 bits, más lento, menos seguro que MD4)

· MD4 (Message Digest-4, Ron Rivest, 128 bits, muy usado)

· MD5 (Message Digest-5, Ron Rivest, 128 bits, MD4 con mejoras, muy usado, usado en SSL)

· SHA/SHA-1 (secure hash algorithm, 160 bits, usado en DSS, SSL)

MD5 (massage digest 5)

Es un algoritmo hash que toma como entrada un mensaje de una longitud arbitraria y produce un mensaje o huella digital como salida. EL MD5 es usado en firma digital cuando un gran archivo debe comprimirse en una forma segura antes de comenzar a encriptarse con una clave privada (secreta) bajo un criptosistema de clave publica como RSA.

El MD5 crea una representación numérica del contenido de un mensaje y la visualiza como valor del hexadecimal de 16 caracteres.

SHA1 (secure hash algorithm 1)

Toma un mensaje de menos de 264 bits de longitud y produce una huella digital de 160 bits.

Fue desarrollado por la Agencia de Seguridad Norteamericana y se considera un sistema seguro y sin fisuras.

6.- Gestión de Claves

Todas las técnicas criptográficas dependen en última instancia de una o varias claves, por lo que su gestión es de vital importancia. Esta tarea incluye básicamente:

- La generación de las claves de forma que cumplan una serie de requisitos. Este proceso es dependiente del algoritmo en el que se va utilizar la clave en cuestión, aunque generalmente se emplea una fuente generadora de números pseudo-aleatorios como base para la creación de la clave (la clave debe ser lo más aleatoria posible).

- Registro. Las claves se han de vincular a la entidad que las usará.

- Su distribución a todas las entidades que las puedan necesitar.

- Su protección contra la revelación o sustitución no autorizadas.

- El suministro de mecanismos para informar a las entidades que las conocen en caso de que la seguridad de dichas claves haya sido comprometida (revocación).

- El tipo de método empleado para llevar a cabo la gestión de las claves es diferente según el tipo de criptografía utilizada (simétrica o asimétrica).

- Todas las claves tienen un tiempo determinado de vida, el criptoperiodo, para evitar que las técnicas de criptoanálisis tengan el suficiente tiempo e información para "romper" el algoritmo criptográfico asociado.

6.1 Distribución simétrica de claves simétricas

Estos métodos suelen tener tres tipos de claves:

- de sesión, empleadas para encriptar los datos de usuario y que son actualizadas frecuentemente,

- de encriptación de claves, para proteger las claves de sesión, y

- maestras, que son distribuidas manualmente y se utilizan para proteger las de encriptación de claves cuando son intercambiadas.

La distribución manual de las claves maestras es el principal inconveniente de la gestión mediante técnicas simétricas, por lo que la mayoría de los sistemas utilizan métodos asimétricos para llevar a cabo dicha distribución.

El acuerdo de distribución de claves Diffie-Hellman


Este método, creado por W. Diffie y M. Hellman, permite que dos entidades acuerden una clave simétrica sin necesidad de comunicación previa. El algoritmo propuesto se basa en emplear una función unidireccional con trampa (trapdoor one-way function).

Una función y = f(x) se denomina unidireccional con trampa si:

- A cada valor de x le corresponde una y.

- Dado un valor de x es fácil hallar y.

- Dado un valor de y es fácil calcular x si se dispone de una cierta información (clave) y difícil sin el conocimiento de dicha información.

La función empleada por Diffie-Hellman es la exponencial discreta, cuya inversa, el algoritmo discreto es difícil de calcular.

6.2 Distribución asimétrica de claves simétricas

Como ya se ha comentado en capítulos anteriores, el servicio de confidencialidad se puede proporcionar utilizando técnicas simétricas o asimétricas, pero estas últimas suponen una mayor carga computacional. Por ello, los métodos que se emplean comúnmente son una combinación de ambas categorías criptográficas.

Generalmente, el proceso se realiza en los siguientes pasos :

- Se encripta el texto en claro con una clave simétrica para obtener el texto cifrado.

- La clave simétrica sé encripta con la clave pública del receptor obteniendo así el denominado sobre digital.

- Se envía el texto cifrado y el sobre digital.

- En recepción, se desencripta la clave simétrica con la clave privada del receptor

- Sé desencripta el texto cifrado con la clave simétrica obtenida en el paso anterior para obtener el texto claro original.

7.- Seguridad de la firma digital

La firma digital proporciona un amplio abanico de servicios de seguridad:

• Autenticación: permite identificar unívocamente al signatario, al verificar la identidad del firmante, bien como signatario de documentos en transacciones telemáticas, bien para garantizar el acceso a servicios distribuidos en red.

• Imposibilidad de suplantación: el hecho de que la firma haya sido creada por el signatario mediante medios que mantiene bajo su propio control (su clave privada protegida, por ejemplo, por una contraseña, una tarjeta inteligente, etc.) asegura, además, la imposibilidad de su suplantación por otro individuo.

• Integridad: permite que sea detectada cualquier modificación por pequeña que sea de los datos firmados, proporcionando así una garantía ante alteraciones fortuitas o deliberadas durante el transporte, almacenamiento o manipulación telemática del documento o datos firmados.

• No repudio: ofrece seguridad inquebrantable de que el autor del documento no puede retractarse en el futuro de las opiniones o acciones consignadas en él ni de haberlo enviado. La firma digital adjunta a los datos un timestamp, debido a la imposibilidad de ser falsificada, testimonia que él, y solamente él, pudo haberlo firmado.

• Auditabilidad: permite identificar y rastrear las operaciones llevadas a cabo por el usuario dentro de un sistema informático cuyo acceso se realiza mediante la presentación de certificados,

• El acuerdo de claves secretas: garantiza la confidencialidad de la información intercambiada ente las partes, esté firmada o no, como por ejemplo en las transacciones seguras realizadas a través de SSL.

8.- Aplicación de la firma digital

La firma digital se puede aplicar en las siguientes situaciones:

- E-mail.

- Contratos electrónicos

- Procesos de aplicaciones electrónicos

- Formas de procesamiento automatizado

- Transacciones realizadas desde financieras alejadas

- Transferencia en sistemas electrónicos, por ejemplo si se quiere enviar un mensaje para transferir $100,000 de una cuenta a otra. Si el mensaje se quiere pasar sobre una red no protegida, es muy posible que algún adversario quiera alterar el mensaje tratando de cambiar los $100,000 por 1000,000 ,con esta información adicional no se podrá verificar la firma lo cual indicará que ha sido alterada y por lo tanto se denegará la transacción

- En aplicaciones de negocios, un ejemplo es el Electronic Data Interchange (EDI) intercambio electrónico de datos de computadora a computadora intercambiando mensajes que representan documentos de negocios

- En sistemas legislativos, es a menudo necesario poner un grupo fecha / hora a un documento para indicar la fecha y la hora en las cuales el documento fue ejecutado o llegó a ser eficaz. Un grupo fecha / hora electrónico se podría poner a los documentos en forma electrónica y entonces firmado usando al DSA o al RSA. Aplicando cualquiera de los dos algoritmos al documento protegería y verificaría la integridad del documento y de su grupo fecha / hora.

9.- Entidades de Certificación - Ejemplo de Verisign

En los métodos asimétricos, cada entidad sólo ha de poseer un par de claves (privada y pública) independientemente del número de sistemas con los que se comunique. El único requisito que se ha de cumplir es la integridad de la clave, para así evitar que un posible atacante sustituya una clave pública y suplante a su usuario legítimo (ataque man-in-the-middle). Para evitar esto se recurre a lo que se denominan los certificados de clave pública, que son emitidos por unas entidades de confianza llamadas Autoridades Certificadoras (CAs, Certification Authorities) y que garantizan que una determina clave pública pertenece a su verdadero poseedor.

Estas entidades permiten garantizar los servicios de confidencialidad e integridad de los datos y el no repudio de origen y destino.

Una arquitectura de gestión de certificados (Public Key Infrastructure) ha de proporcionar un conjunto de mecanismos para que la autenticación de emisores y recipientes sea simple, automática y uniforme, independientemente de las políticas de certificación empleadas.

Las CAs tienen como misión la gestión de los denominados certificados (de clave pública). Un certificado está compuesto básicamente por la identidad de un usuario (subject), su clave pública, la identidad y la clave pública de la CA emisora (issuer) del certificado en cuestión, su periodo de validez y la firma digital del propio certificado. Esta firma, realizada por la CA emisora, permite que aquellas entidades que deseen realizar comunicaciones con la persona poseedora del certificado, puedan comprobar que la información que éste contiene es auténtica (suponiendo que confíen en la CA emisora). Una vez que los certificados han sido firmados, se pueden almacenar en servidores de directorios o transmitidos por cualquier medio (seguro o no) para que estén disponibles públicamente.

Antes de enviar un mensaje encriptado mediante un método asimétrico, el emisor ha de obtener y verificar los certificados de los receptores de dicho mensaje. La validación de un certificado se realiza verificando la firma digital en él incluida mediante el empleo de la clave pública de su signatario, que a su vez ha de ser validada usando el certificado correspondiente, y así sucesivamente hasta llegar a la raíz de la jerarquía de certificación.

Por lo tanto los usuarios pueden chequear la autenticidad de las claves públicas de otros usuarios verificando la firma de la CA en el certificado usando la clave pública del CA.

En el proceso de verificación se ha de comprobar el periodo de validez de cada certificado y que ninguno de los certificados de la cadena haya sido revocado.

VeriSign es una de las empresas que brinda servicios de certificación. Estos servicios han sido diseñados básicamente para brindar seguridad al comercio electrónico y a la utilización de la firma digital. Para el logro de este objetivo, las autoridades de emisión (Issuing Authorities, "IA") autorizadas por VeriSign funcionan como trusted third partie (o “garantes”), emitiendo, administrando, suspendiendo o revocando certificados de acuerdo con la práctica pública de la empresa.

Las IA facilitan la confirmación de la relación existente entre una clave pública y una persona o nombre determinado. Dicha confirmación es representada por un certificado: un mensaje firmado digitalmente y emitido por una IA.

Esta empresa ofrece tres niveles de servicios de certificación. Cada nivel o clase de certificados provee servicios específicos en cuanto a funcionalidad y seguridad. Los interesados eligen entre estos grupos de servicios el que más le conviene según sus necesidades. Cumplidos los requisitos exigidos se emite el certificado.

Los Certificados Clase 1 son emitidos y comunicados electrónicamente a personas físicas, y relacionan en forma indubitable el nombre del usuario o su "alias" y su dirección de E-mail con el registro llevado por VeriSign. No autentican la identidad del usuario. Son utilizados fundamentalmente para Web Browsing e E-mail, afianzando la seguridad de sus entornos. En general, no son utilizados para uso comercial, donde se exige la prueba de identidad de las partes.

Los Certificados Clase 2 son emitidos a personas físicas, y confirman la veracidad de la información aportada en el acto de presentar la aplicación y que ella no difiere de la que surge de alguna base de datos de usuarios reconocida. Es utilizado para comunicaciones intra-inter organizaciones vía E-mail; transacciones comerciales de bajo riesgo; validación de software y suscripciones online. Debido a las limitaciones de las referidas bases de datos, esta clase de certificados está reservada a residentes en los Estados Unidos y Canadá.

Los Certificados Clase 3 son emitidos a personas físicas y organizaciones públicas y privadas. En el primer caso, asegura la identidad del suscriptor, requiriendo su presencia física ante un notario. En el caso de organizaciones, asegura la existencia y nombre mediante el cotejo de los registros denunciados con los contenidos en bases de datos independientes. Son utilizados para determinadas aplicaciones de comercio electrónico como electronic banking y Electronic Data Interchange (EDI).

Como las IAs. autorizadas por VERISIGN firman digitalmente los certificados que emiten, la empresa asegura a los usuarios que la clave privada utilizada no está comprometida, valiéndose para ello de productos de hardware. Asimismo, recomiendan que las claves privadas de los usuarios sean encriptadas vía software o conservadas en un medio físico (smart cards o PC cards).

Software de firma digital Easy Sign

Las firmas digitales son generadas (a partir de claves asignadas a los usuarios) y verificadas por Easy*Sign, comprobando de esta manera la autenticidad e integridad del mensaje recibido y el no repudio por parte del emisor. AT&T Networked Commerce Services proveerá el Easy*Sign con funcionalidad de seguridad que estará integrado al aplicativo EDI en forma transparente para el usuario final.

Easy*Sign es un conjunto de herramientas que permiten implementar servicios de seguridad para las transacciones comerciales realizadas bajo el estándar EDIFACT de las Naciones Unidas.

Su función es la de generar los segmentos de seguridad de la firma digital y adicionarlos a la transacción que se está firmando (mediante el pedido de un password que habilita al usuario a firmar con la clave privada), además de controlar que las transacciones recibidas contengan segmentos de seguridad validadas contra la llave pública del firmante.

Las principales funciones de la firma son:

- Autenticación del originador del mensaje. RSA permite "firmar" los documentos escritos en formato "EDIFACT" de manera tal que el destinatario pueda validar que la información que él recibe del originador es auténtica y no la pueda negar, lográndose con esto la confianza de quien recibe el mensaje

- Autenticación del mensaje. Cuando se realiza la firma digital, previamente se calcula un valor de 160 bits (mediante el algoritmo SHA), el cual asegura al originador que si el documento sufre alguna alteración, esta va a ser detectada durante el proceso de validación de la firma.

10.- Infraestructura de Firma Digital


Esta clase de Infraestructura es también conocida como de "clave pública" o por su equivalente en inglés (Public Key Infrastructure, PKI). La normativa crea el marco regulatorio para el empleo de la Firma Digital en la instrumentación de los actos internos del Sector Público Nacional que no produzcan efectos jurídicos individuales en forma directa, otorgándole a esta nueva tecnología similares efectos que a la firma ológrafa.

La disposición establece la configuración de la siguiente estructura:

· Organismo Licenciante (OL)

· Organismo Auditante (OA)

· Autoridad Certificada Licenciada (ACL)

· Suscriptores

Organismo Licenciante

Es la Autoridad Certificante Raíz que emite certificados de clave pública a favor de aquellos organismos o dependencias del Sector Público Nacional que deseen actuar como Autoridades Certificantes Licenciadas, es decir como emisores de certificados de clave pública para sus funcionarios y agentes.

Dentro del marco creado por el Decreto Nº 427/98 , las funciones de Autoridad de Aplicación y de Organismo Licenciante son asumidas por la Subsecretaría de la Gestión Pública, SGP.

En cumplimiento de esa responsabilidad, se ha dispuesto la asignación de los recursos materiales y humanos, incluyendo la adquisición de equipamiento de última generación. Además, se ha elaborado una serie de documentos disponibles en este sitio - que se encuentran en proceso permanente de revisión - y que servirán como base para el funcionamiento de Autoridades Certificantes que se licencien.

La Infraestructura del Organismo Licenciante ha sido instalada en la sede de la Subsecretaría de la Gestión Pública (Roque Sáenz Peña 511 - 5º piso - Buenos Aires - Argentina). Para cualquier información adicional se puede concurrir personalmente, o bien comunicarse a: E-mail: consulta@pki.gov.ar - TE: 54-11-4343-9001

Organismo Auditante

Es el órgano de control, tanto para el Organismo Licenciante como para las Autoridades Certificantes Licenciadas. Según lo establecido por el artículo 61 de la Ley Nº 25.237, el rol de Organismo Auditante dentro de la Infraestructura de Firma Digital para el Sector Público Nacional es cumplido por la Sindicatura General de la Nación (SIGEN).

Autoridades Certificantes Licenciadas

Son aquellos organismos o dependencias del Sector Público Nacional que soliciten y obtengan la autorización, por parte del Organismo Licenciante, para actuar como Autoridades Certificantes de sus propios agentes. Es decir que, cumplidos los recaudos exigidos por el Decreto mencionado, podrán emitir certificados de clave pública a favor de sus dependientes.

Procedimientos

1) Licenciamiento

El licenciamiento es el procedimiento por el cual el Organismo Licenciante emite un certificado de clave pública a favor de un organismo público (quien adquiere la calidad de Autoridad Certificante Licenciada), quedando éste habilitado para emitir certificados a favor de sus dependientes.

Para obtener dicha licencia, el postulante debe completar un formulario de solicitud y adjuntar un requerimiento de certificado PKCS#10 en formato PEM.

2) Revocación

La revocación es el procedimiento por el cual el Organismo Licenciante cancela la autorización otorgada a la Autoridad Certificante Licenciada para emitir certificados.

Esta cancelación puede efectuarse a solicitud de esta última o bien por decisión del Organismo Licenciante, según las pautas establecidas en la Política de Certificación.

Si una Autoridad Certificante Licenciada desea pedir al Organismo Licenciante la revocación de su certificado, puede utilizar un formulario de solicitud de revocación.

Laboratorio de firma digital.

Para optimizar el proceso de difusión de la tecnología de Firma Digital, se ha implementado un Laboratorio, donde el público en general, y particularmente los funcionarios y agentes de la Administración Pública Nacional, experimenten la generación de un par de claves, la gestión de su propio certificado y el envío de correo electrónico firmado, al tiempo de ofrecerse información diversa sobre esta tecnología.

Actualmente el Laboratorio cuenta con un nuevo circuito de certificados personales con validación a través de Autoridades de Registro.

El laboratorio funciona en el Aula 1 del Subsuelo de la Subsecretaría de la Gestión Pública, Av. Roque Sáenz Peña 511, en los horarios de 11 a 13 y de 16 a 18 horas.

Si se está interesado en visitar el laboratorio, puede completarse el formulario en la pagina de pki.gov.ar

La información suministrada será confidencial, y luego se recibirá un mail indicándole un turno de prueba.

Comprobación la identidad del firmante y la integridad del mensaje

En primer término el receptor generará la huella digital del mensaje recibido, luego desencriptará la firma digital del mensaje utilizando la clave pública del firmante y obtendrá de esa forma la huella digital del mensaje original; si ambas huellas digitales coinciden, significa que el mensaje no fue alterado y que el firmante es quien dice serlo.

Tras bastidores, las firmas digitales dependen de un par de algoritmos matemáticos, denominados clave, que utilizan el remitente y el destinatario del mensaje. Estas claves se encargan de establecer la correspondencia que permite a la computadora del destinatario reconocer la computadora del remitente y certificar la autenticidad de un mensaje.

Una de las claves, la clave privada de la persona, está alojada en la PC o registrada en una tarjeta inteligente, e identifica que un mensaje ha sido enviado por la persona. La segunda es una clave pública, que puede ser empleada por cualquiera que desee autenticar documentos que la persona firme. La clave pública 'lee' la firma digital creada por la clave privada de la persona y verifica la autenticidad de los documentos creados con la misma.

La clave privada de la persona se desbloquea mediante una contraseña. En el futuro, para mayor seguridad aún, este sistema de clave y contraseña podría ser reemplazado por tecnologías biométricas, que miden características del cuerpo humano, como la retina, una huella digital o un rostro asociado con un registro de identidad.

Certificado Digital Propio

En nuestro país, la Infraestructura de Firma Digital del Sector Público Nacional pone a su disposición una Autoridad Certificante gratuita a través de la cual podrá obtener su propio certificado digital.

Utilizando este certificado usted podrá asegurar todas sus comunicaciones de correo electrónico, garantizando su autoría y la integridad del mensaje.

Obtención una firma digital

Para enviar una firma digital, se requiere en primer lugar registrarse en una autoridad de certificados y solicitar el certificado de identidad digital, que hace de la firma un instrumento único. La mayoría de las autoridades de certificados también proporciona el software necesario y ofrece asesoría al usuario en el proceso de obtención, instalación y utilización de la firma digital.

La persona debe llenar un formulario de solicitud y suministrar pruebas de identidad para obtener el certificado. La firma digital se anexa a un mensaje de e-mail de manera muy similar al de los archivos.

Autoridad Certificante Licenciada

Subsecretaría de la Gestión Pública.

A la fecha, se han otorgado licencias a favor de las siguientes Autoridades Certificantes en el marco del Decreto 427/98:

Autoridad Certificante Licenciada del Ministerio de Economía

Este es el certificado Raíz de la Infraestructura de Firma Digital del Sector Público Nacional. Su instalación implica la aceptación de los términos y políticas establecidos por el Organismo Licenciante.

Este certificado fue publicado en le Boletín Oficial del día 21 de diciembre de 1999

Organismos que Utilizan Firma Digital

-Subsecretaría de Gestión Pública:

ArCert, Coordinación reemergencias en Redes Teleinformáticas

Descripción: Autenticación del ingreso a bases de datos de la Coordinación de Emergencias en Redes Teleinformáticas para la Administración Pública Nacional.

Usuarios: Organismos Públicos

Inicio de Operaciones: 08/1999

-Ministerio de Economía

Circuito Interno de Correo Electrónico firmado digitalmente

Descripción: Circuito interno de comunicación de textos de resoluciones firmadas dentro del ministerio y áreas dependientes.

Cantidad de Usuarios: 150 aprox.

Inicio de Operaciones: 01/1998

Intercambio de Información con la Oficina Nacional de Contrataciones

Descripción: Incorpora la firma digital en el intercambio de información entre las Unidades Operativas de Compras de los organismos y la Oficina Nacional de Contrataciones.

Cantidad de Usuarios: 300 aprox.

Inicio de Operaciones: 03/2001

- Comisión Nacional de Valores

Autopista de la Información Financiera (AIF)

Descripción: Proyecto desarrollado con el objetivo de recibir y publicar por Internet, a beneficio del público inversor nacional e internacional, la información financiera de las principales empresas del país que cotizan sus acciones y obligaciones negociables en el ámbito bursátil. Algunos ejemplos de información firmada digitalmente recibida por la AIF son: estados contables, prospectos informativos de emisión de acciones y de obligaciones negociables, estatutos, actas de asamblea, calificaciones de riesgo de títulos valores, notificaciones de eventos económicos significativos.

Usuarios: 120 Agentes CNV; 200 Empresas Cotizantes; 12 Calificadores de Riesgo; 200 Fondos Comunes de Inversión.

Inicio de Operaciones: 04/1999



-Comisión Nacional de Energía Atómica



Circuito Interno de Correo Electrónico firmado digitalmente.

Descripción: Circuito de comunicaciones a través de correo electrónico firmado dentro del organismo.

Cantidad de Usuarios: 50 aprox.

Inicio de Operaciones: 11/1998

-Poderes Judiciales Provinciales

Convenios de Comunicación Electrónica Interjurisdiccional y Sistema de Información para la Justicia Argentina.

Descripción: Los Convenios fueron firmados en la sede del Ministerio de Justicia y Derechos Humanos el 6 de Septiembre de 2001 por la casi totalidad de los Poderes Judiciales del país, la Procuración General de la Nación y la Defensoría General de la Nación. Promueven la utilización del correo electrónico firmado digitalmente en las comunicaciones entre organismos judiciales de distinta jurisdicción territorial. El artículo 5° del Protocolo Técnico establece que, hasta tanto las Partes organicen su propia Autoridad Certificante, los certificados digitales serán emitidos por alguna de las partes o por la AC de la Subsecretaría de la Gestión Pública, y los firmantes se constituirán como Autoridades de Registración.

Resumen de Actividades principales
Actividades del Organismo Auditante

· Auditar periódicamente al Organismo Licenciante y a las Autoridades Certificadoras Licenciadas.

· Realizar los informes correspondientes.

Actividades del Organismo Licitante

· Otorgar las licencias que acreditan a las AC

· Denegar solicitudes

· Revocar licencias

· Verificar que las Autoridades Certificadas Licenciantes utilicen sistemas técnicamente confiables

· Aprobar el manual de procedimientos

· Preparar el Plan de Auditoría junto con el Organismo Auditante

· Resolver conflictos entre el/los suscriptor/es de un/unos certificado/s y la Autoridad Certificante Licenciada

· Publicar su propio certificado de clave pública.

Actividades de las Autoridades Certificante Licenciada


· Emitir certificados de clave pública, para lo cual debe recibir del requeriente una solicitud de emisión del certificado firmado con la correspondiente clave privada

. Ofrecer o facilitar los servicios de registro y estampado cronológico en la transmisión y recepción de mensajes de datos

. Ofrecer los servicios de archivo y conservación de mensajes de datos

. Emitir certificados en relación con la persona que posea un derecho con respecto a los documentos

. Revocación de certificados

. Suspensión de certificados

. Renovación de certificados

Actividades del Suscriptor

· Proveer todos los datos a la Autoridad Certificante Licenciada

· Mantener el control de su clave privada

· Informar cambios de datos

Marco legal

Ley de Firma Digital en Argentina

El Poder Ejecutivo Nacional ha promulgado la Ley 25.506 de Firma Digital (Boletín Oficial del 14/12/2001).

Normativa Específica sobre Firma Digital

Resolución JGM
Nº 176/2002

Habilita en Mesa de Entradas de la Subsecretaría de la Gestión Pública el Sistema de Tramitación Electrónica para la recepción, emisión y archivo de documentación digital firmada digitalmente.

Resolución SGP
Nº 17/2002

Establece el procedimiento para solicitar la certificación exigida al Registro del Personal acogido al Sistema de Retiro Voluntario, habilitando la modalidad de tramitación mediante el empleo de documentación digital firmada digitalmente.

Ley
Nº 25.506

Ley de de Firma Digital - Boletín Oficial del 14/12/2001

Decreto Nº 1023/2001

En su artículo 21 permite la realización de las contrataciones comprendidas en el Régimen en formato digital firmado digitalmente.

Decreto
Nº 889/2001

Aprueba la estructura organizativa de la Secretaría para la Modernización del Estado en el ámbito de la Subsecretaría de la Gestión Pública, creando la Oficina Nacional de Tecnologías de la Información y otorgándole competencias en materia de firma digital.

Decreto
Nº 677/2001

Otorga a los documentos digitales firmados digitalmente remitidos a la Comisión Nacional de Valores de acuerdo a las reglamentaciones dictadas por ese organismo, similar validez y eficacia que los firmados en soporte papel.

Decreto
Nº 673/2001

Crea la Secretaría para la Modernización del Estado en el ámbito de la Jefatura de Gabinete de Ministros, asignándole competencia para actuar como Autoridad de Aplicación del régimen normativo que establece la Infraestructura de Firma Digital para el Sector Público Nacional y para la aplicación de nuevas tecnologías informáticas en la Administración Pública Nacional.

Decisión JGM
Nº 102/00

Prorroga por DOS (2) años a partir del 31 de diciembre de 2000 el plazo establecido en el artículo 1° del Decreto N° 427/98.

LEY Nº 25.237

Establece en el artículo 61 que la SINDICATURA GENERAL DE LA NACION ejercerá las funciones de Organismo Auditante en el régimen de empleo de la firma digital en la instrumentación de los actos internos del Sector Público Nacional.

Resolución SFP
Nº 212/98

Establece la Política de Certificación del Organismo Licenciante, en la cual se fijan los criterios para el licenciamiento de las Autoridades Certificantes de la Administración Pública Nacional

Resolución SFP
Nº 194/98

Establece los estándares sobre tecnología de Firma Digital para la Administración Pública Nacional.


Decreto
Nº 427/98

Autoriza la utilización de la firma digital en la instrumentación de los actos internos del Sector Público Nacional, otorgándole los mismos efectos que la firma ológrafa y estableciendo las bases para la creación de la Infraestructura de Firma Digital para el Sector Público Nacional.

Resolución SFP
Nº 45/97

Establece pautas técnicas para elaborar una normativa sobre firma digital que permita la difusión de esta tecnología en el ámbito de la Administración Pública Nacional.

Normativa sobre Aplicaciones

Resolución
SAFJP Nº 293/97

Implementa en el ámbito de la Superintendencia de Administradoras de Fondos de Jubilaciones y Pensiones el sistema de Telecomunicaciones de la SAFJP con el fin de establecer un correo electrónico entre las Administradoras de Fondos de Jubilaciones y Pensiones y este Organismo

Resolución General
CNV Nº 345/99

Incorpora al Libro VIII Otras Disposiciones de las Normas (T.O. 1997) el Capítulo XXIII Autopista de la Información Financiera.

Decreto
Nº 1347/99

Regula sobre el Servicio de Conciliación Laboral Obligatoria (SECLO) del M. de Trabajo y Seguridad Social.

Decreto
Nº 103/2001

Aprueba el Plan Nacional de Modernización de la Administración Pública Nacional

Decreto
Nº 677/2001

Otorga a los documentos digitales firmados digitalmente remitidos a la CNV de acuerdo a las reglamentaciones dictadas por ese organismo, similar validez y eficacia que los firmados en papel.

Normativa Específica sobre Tecnología

Competencia de la Secretaría para la Modernización del Estado

Resolución
Nº 178/2001

Aprueba las aperturas inferiores del primer nivel operativo de la estructura organizativa de la Secretaría para la Modernización del Estado de la Jefatura de Gabinete de Ministros.

Decreto
Nº 889/2001

Aprueba la estructura organizativa de la Secretaría para la Modernización del Estado en el ámbito de la Subsecretaría de la Gestión Pública, creando la Oficina Nacional de Tecnologías de la Información y otorgándole competencias en materia de firma digital.

Decreto
Nº 673/2001

Crea la Secretaría para la Modernización del Estado en el ámbito de la Jefatura de Gabinete de Ministros, asignándole competencia para actuar como Autoridad de Aplicación del régimen normativo que establece la Infraestructura de Firma Digital para el Sector Público Nacional y para la aplicación de nuevas tecnologías informáticas en la Administración Pública Nacional.



Normativa sobre Firma Digital



Resolución JGM
Nº 176/2002

Habilita en Mesa de Entradas de la Subsecretaría de la Gestión Pública el Sistema de Tramitación Electrónica para la recepción, emisión y archivo de documentación digital firmada digitalmente.




Resolución SGP
Nº 17/2002

Establece el procedimiento para solicitar la certificación exigida al Registro del Personal acogido al Sistema de Retiro Voluntario, habilitando la modalidad de tramitación mediante el empleo de documentación digital firmada digitalmente.



Ley
Nº 25.506

Ley de de Firma Digital - Boletín Oficial del 14/12/2000




Decreto
Nº 1023/2001

En su artículo 21 permite la realización de las contrataciones comprendidas en el Régimen en formato digital firmado digitalmente.




Decreto
Nº 677/2001

Otorga a los documentos digitales firmados digitalmente remitidos a la Comisión Nacional de Valores de acuerdo a las reglamentaciones dictadas por ese organismo, similar validez y eficacia que los firmados en soporte papel.




Decisión JGM
Nº 102/00

Prorroga por DOS (2) años a partir del 31 de diciembre de 2000 el plazo establecido en el artículo 1° del Decreto Nº 427/98.




LEY Nº 25.237

Establece en el artículo 61 que la SINDICATURA GENERAL DE LA NACION ejercerá las funciones de Organismo Auditante en el régimen de empleo de la firma digital en la instrumentación de los actos internos del Sector Público Nacional.




Resolución SFP
Nº 212/98

Establece la Política de Certificación del Organismo Licenciante, en la cual se fijan los criterios para el licenciamiento de las Autoridades Certificantes de la Administración Pública Nacional.




Resolución SFP
Nº 194/98

Establece los estándares sobre tecnología de Firma Digital para la Administración Pública Nacional.




Decreto
Nº 427/98

Autoriza la utilización de la firma digital en la instrumentación de los actos internos del Sector Público Nacional , otorgándole los mismos efectos que la firma ológrafa y estableciendo las bases para la creación de la Infraestructura de Firma Digital para el Sector Público Nacional.




Resolución SFP
Nº 45/97

Establece pautas técnicas para elaborar una normativa sobre firma digital que permita la difusión de esta tecnología en el ámbito de la Administración Pública Nacional.



Pautas para páginas web del Estado



Resolución SFP
Nº 97/97

Pautas de integración para las páginas web de la Administración Pública Nacional.




Procedimientos Administrativos



Decisión Administrativa
N° 118/2001

Crea el Proyecto de Simplificación e Informatización de Procedimientos Administrativos (PRO-SIPA), en el contexto del Plan Nacional de Modernización y en el ámbito de la Jefatura de Gabinete de Ministros.




Seguridad en Redes




Resolución SFP
Nº 81/99

Creación del ArCERT, Coordinación de Emergencias en Redes Teleinformáticas de la Administración Pública Argentina.



Normas generales en materia de Tecnología

Propiedad Intelectual




Ley Nº 25.326

Protección de Datos Personales. Regula sobre principios generales relativos a la protección de datos, derechos de los titulares de dato de usuarios y responsables de archivos, registros y bancos de datos.




Ley Nº 25.036

Modifica la ley 11.723, incluye la protección de la propiedad intelectual sobre programas de computación fuente y objeto, las compilaciones de datos o de otros materiales. Penaliza la defraudación de derechos de propiedad intelectual.




Decreto
Nº 165/94

Reglamenta la ley 11.723




Ley Nº 25.326

Protección de Datos Personales. Regula sobre principios generales relativos a la protección de datos, derechos de los titulares de dato de usuarios y responsables de archivos, registros y bancos de datos.



Confidencialidad



Ley Nº 24.766

Establece la obligación de abstenerse de usar y revelar la información sobre cuya confidencialidad se hubiera prevenido.



Archivos Digitales



Decisión JGM
Nº 43/96

Reglamenta los archivos digitales. Establece como órgano rector a la Contaduría Gral. de la Nación.




Ley Nº 24.624
artículo 30

Autoriza el archivo y conservación en soporte electrónico u óptico indeleble de la documentación financiera, de personal y de control de la Administración Pública Nacional.



Normativa vigente

Resolución SFP
Nº 194/98
Fija los estándares sobre tecnología de Firma Digital para la Administración Pública Nacional.

Resolución SFP
Nº 212/98
Establece la Política de Certificación del Organismo Licenciante, en el cual se fijan los criterios para el licenciamiento de las Autoridades Certificantes de la Administración Pública Nacional.

Documentación técnica

Manual de procedimientos
Describe el conjunto de procedimientos utilizados por el Organismo Licenciante en el cumplimiento de sus responsabilidades de emisión y administración de certificados de clave pública en el ámbito del Sector Público Nacional.

Plan de seguridad
Establece los niveles de seguridad referidos a los mecanismos de operación y funcionamiento del Organismo Licenciante en cuanto a sus componentes de hardware, software y servicios relacionados.

Plan de cese de actividad
Establece las acciones que se adoptarán ante el cese de actividades del Organismo Licenciante. Este hecho tiene efectos que involucrarán a toda la Infraestructura de Firma Digital del Sector Público Nacional, incluyendo a las Autoridades Certificantes Licenciadas y a los certificados que estas hubieran emitido a favor de sus suscriptores.

Plan de contingencias
Establece las pautas a seguir en casos de emergencia con el propósito de asegurar el mantenimiento de la operatoria mínima del Organismo Licenciante y la recuperación de los recursos que fueran comprometidos en un plazo adecuado.

Iniciativas en otros países

Australia:

Government Public Key Infrastructure

Bélgica:

Service public fédéral Technologie de l'Information et de la Communication (FEDICT)

Centre d'Information sur la Signature Electronique

Canadá:

GOC Public Key Infrastructure

EEUU:

Federal Public Key Infrastructure Steering Committee

NIST PKI Program

Department Of Defense PKI

España:

Fábrica Nacional de Moneda y Timbre - Proyecto CERES

Francia:

Le site du programme d'action gouvernemental pour la société de l'information

Agence pour les Technologies de l'Information et de la Communication dans l'Administration

Hong Kong:

Digital Certificate and Public Key Infrastructure

Italia:

Autorità per l'informatica nella Pubblica Amministrazione

Nueva Zelanda:

Secure Electronic Environment PKI

Reino Unido:

HMG public key infrastructure (PKI)

Government Gateway

Singapur:

Controller of Certification Authorities

Panamá:

Proyecto Firma Digital y Comercio Electrónico (SENACYT)

Brasil:

ICP-Brasil - Infra-estrutura de Chaves Públicas Brasileira

Buenos Aires, 16 abril de 1998.

VISTO los Decretos Nros.: 660 del 24 de junio de 1996 y 998 del 30 de agosto de 1996, la Resolución Nº 45 del 17 de marzo de 1997 de la SECRETARIA DE LA FUNCION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS, y CONSIDERANDO:

Que la necesidad de optimizar la actividad de la Administración Pública Nacional adecuando sus sistemas de registración de datos, tendiendo a eliminar el uso del papel y automatizando sus circuitos administrativos, amerita la introducción de tecnología de última generación, entre las cuales se destacan aquellas relativas al uso de la firma digital, susceptible de la misma o superior garantía de confianza que la firma ológrafa.

Que la resolución Nº 45 del 17 de marzo de 1997 de la SECRETARIA DE LA FUNCION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS ha constituido un hito importante en tal dirección, al autorizar su empleo en todo el ámbito del Sector Público Nacional.

Que se considera necesario estimular la difusión de las citadas tecnologías a través del dictado de una norma de jerarquía superior, que promueva la extensión del uso de la firma digital a todo el ámbito del Sector Público Nacional.

Que la tecnología aquí propuesta ya ha sido incorporada en la legislación de otros países, con positiva repercusión tanto en el ámbito privado como público.

Que el mecanismo de la firma digital cumple con la condición de no repudio, por la cual resulta posible probar inequívocamente que una persona firmó efectivamente un documento digital y que dicho documento no fue alterado desde el momento de su firma, siempre que su implementación se ajuste a los procedimientos aquí descriptos.

Que es indispensable establecer una Infraestructura de firma digital para el Sector Público Nacional con el fin de crear las condiciones de un uso confiable del documento suscripto digitalmente.

Que la presente normativa fue concebida con el propósito de crear una alternativa válida a la firma ológrafa para el Sector Público Nacional.

Que resulta conveniente, en virtud del grado de especialidad alcanzado con la puesta en práctica de la reglamentación del Artículo 49 de la Ley 11.672 (t.o. 1997), que las funciones del Órgano Auditante recaigan en la CONTADURIA GENERAL DE LA NACION, dependiente de la SUBSECRETARIA DE PRESUPUESTO de la SECRETARIA DE HACIENDA DEL MINISTERIO DE ECONOMIA Y OBRAS Y SERVICIOS PUBLICOS.

Que las disposiciones de la presente normativa complementan las disposiciones del Decreto Nº 333 del 19 de febrero de 1985 y sus modificatorios.

Que dada su índole, se ha considerado conveniente y necesario que la autorización del empleo de la tecnología de la firma digital en el ámbito del Sector Público Nacional se sujete a un término de vigencia, que permita evaluar, a partir de su efectiva utilización, tanto su funcionamiento en las diferentes jurisdicciones cuanto el grado de confiabilidad y seguridad del sistema.

Que en mérito a tales circunstancias se prevé expresamente en la presente normativa la elaboración, por la Autoridad de Aplicación, de un informe acerca de los resultados del empleo de la firma digital a fin de que, sobre la base de las conclusiones emergentes, la JEFATURA DE GABINETE DE MINISTROS proponga al PODER EJECUTIVO NACIONAL las medidas tendientes a fijar un régimen definitivo en la materia.

Que asimismo y con idéntico fundamento, se delega en la JEFATURA DE GABINETE DE MINISTROS la facultad de prorrogar, por una única vez, el plazo del Artículo 1º del presente Decreto.

Que la presente medida se dicta en uso de las facultades conferidas por el Artículo 99 inciso 1º de la CONSTITUCION NACIONAL.

Por ello, EL PRESIDENTE DE LA NACION ARGENTINA, DECRETA:

ARTÍCULO 1º.- Autorízase por el plazo de dos años, a contar del dictado de los manuales de procedimiento y de los estándares aludidos en el artículo 6° del presente Decreto, el empleo de la firma digital en la instrumentación de los actos internos del Sector Público Nacional, que no produzcan efectos jurídicos individuales en forma directa, en las condiciones definidas en la Infraestructura de firma digital para el Sector Público Nacional que como Anexo I integra el presente Decreto. En el régimen del presente Decreto la firma digital tendrá los mismos efectos de la firma ológrafa, siempre que se hayan cumplido los recaudos establecidos en el Anexo I y dentro del ámbito de aplicación definido en el artículo 3.

ARTÍCULO 2°- Los términos del este reglamento tendrán los alcances definidos en el Glosario que como Anexo II integra el presente Decreto.

ARTÍCULO 3º.- Las disposiciones del presente Decreto serán de aplicación en todo el ámbito del Sector Público Nacional, dentro del cual se comprende la administración centralizada y la descentralizada, los entes autárquicos, las empresas del Estado, Sociedades del Estado, Sociedades Anónimas con participación estatal mayoritaria, los bancos y entidades financieras oficiales y todo otro ente, cualquiera que sea su denominación o naturaleza jurídica, en el que el Estado Nacional o sus organismos descentralizados tengan participación suficiente para la formación de sus decisiones.

ARTÍCULO 4º.- Los organismos del Sector Público Nacional deberán arbitrar los medios que resulten adecuados para extender el empleo de la tecnología de la firma digital, en función de los recursos con los que cuenten y en el más corto plazo posible.

ARTÍCULO 5º - La correspondencia entre una clave pública, elemento del par de claves que permite verificar una firma digital, y el agente titular de la misma, será acreditado mediante un certificado de clave pública emitido por una Autoridad Certificante Licenciada. Los requisitos y condiciones para la vigencia y validez de los certificados de clave pública (emisión, aceptación, revocación, expiración y demás contingencias del procedimiento), así como las condiciones bajo las cuales deben operar las Autoridades Certificantes Licenciadas integrantes de la Infraestructura de firma digital para el Sector Público Nacional, quedan establecidas en el citado Anexo I.

ARTÍCULO 6º.- Dispónese que la Secretaría de la Función Pública, dependiente de la Jefatura de Gabinete de Ministros, sea la Autoridad de Aplicación del presente Decreto, estando facultada, además, para dictar los manuales de procedimiento de las Autoridades Certificantes Licenciadas y de los Organismos Auditante y Licenciante, y los estándares tecnológicos aplicables a las claves, los que deberán ser definidos en un plazo no mayor de CIENTO OCHENTA (180) DIAS corridos, y cuyos contenidos deberán reflejar el último estado del arte. Los organismos del Sector Público Nacional deberán informar a la Autoridad de Aplicación, con la periodicidad que ésta establezca, las aplicaciones que concreten de la tecnología autorizada por el presente Decreto.

ARTÍCULO 7º - Dispónese que el presente Decreto establece una alternativa a las estipulaciones pertinentes del Decreto Nº 333 del 19 de febrero de 1985 y sus modificatorios, respecto de los actos alcanzados por el artículo 1°.

ARTÍCULO 8º - La Secretaría de la Función Pública de la Jefatura de Gabinete de Ministros cumplirá las funciones de Organismo Licenciante con los alcances definidos en el Anexo I del presente Decreto.

ARTÍCULO 9º - La Contaduría General de la Nación, dependiente de la Subsecretaría de Presupuesto de la Secretaría de Hacienda del Ministerio de Economía y Obras y Servicios Públicos, cumplirá las funciones de Organismo Auditante en los términos de lo establecido en el Anexo I del presente Decreto.

ARTÍCULO 10° - Ciento ochenta (180) días corridos antes de la finalización del plazo establecido en el artículo 1°, la autoridad de aplicación definida en el artículo 6 del presente Decreto deberá elaborar y remitir a la Jefatura de Gabinete de Ministros un informe acerca de los resultados que la aplicación del sistema autorizado hubiere tenido en las respectivas jurisdicciones. La Jefatura de Gabinete de Ministros examinará dicho informe y propondrá al Poder Ejecutivo el régimen definitivo a adoptar en la materia.

ARTÍCULO 11º - Deléguese en la Jefatura de Gabinete de Ministros la facultad de prorrogar, por una única vez, el plazo establecido en el Artículo 1º del presente Decreto.

ARTÍCULO 12º.- Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.

DECRETO Nº 427 - ANEXO I: INFRAESTRUCTURA DE FIRMA DIGITAL PARA EL SECTOR PÚBLICO NACIONAL

ORGANISMO LICENCIANTE

Funciones:

1. Otorga las licencias habilitantes para acreditar a las autoridades certificantes y emite los correspondientes CERTIFICADOS DE CLAVE PUBLICA, que permiten VERIFICAR LAS FIRMAS DIGITALES de los CERTIFICADOS que éstas emitan;

2. Deniega las solicitudes de licencias a las autoridades certificantes que no cumplan con los requisitos establecidos para su autorización;

3. Revoca las licencias otorgadas a las AUTORIDADES CERTIFICANTES LICENCIADAS que dejan de cumplir con los requisitos establecidos para su autorización;

4. Verifica que las AUTORIDADES CERTIFICANTES LICENCIADAS utilicen sistemas TECNICAMENTE CONFIABLES;

5. Considera para su aprobación el manual de procedimientos, el plan de seguridad y el de cese de actividades presentados por las autoridades certificantes;

6. Acuerda con el ORGANISMO AUDITANTE el plan de auditoría para las AUTORIDADES CERTIFICANTES LICENCIADAS;

7. Dispone la realización de auditorías de oficio;

8. Resuelve los conflictos individuales que se susciten entre el SUSCRIPTOR de un CERTIFICADO y la AUTORIDAD CERTIFICANTE LICENCIADA emisora del mismo;

9. Resuelve todas aquellas contingencias respecto a la Infraestructura de firma digital.

Obligaciones:

En su calidad de SUSCRIPTOR de CERTIFICADO y de autoridad certificante, el ORGANISMO LICENCIANTE tiene idénticas obligaciones que las AUTORIDADES CERTIFICANTES LICENCIADAS, y además debe:

1. Abstenerse de generar, exigir, o por cualquier otro medio tomar conocimiento o acceder bajo ninguna circunstancia, a la CLAVE PRIVADA de cualquier SUSCRIPTOR de los CERTIFICADOS que emita;

2. Mantener el control de su propia CLAVE PRIVADA e impedir su divulgación;

3. Revocar su propio CERTIFICADO DE CLAVE PUBLICA frente al compromiso de su CLAVE PRIVADA;

4. Permitir el acceso público permanente a los CERTIFICADOS DE CLAVE PUBLICA que ha emitido en favor de las AUTORIDADES CERTIFICANTES LICENCIADAS, y a la LISTA DE CERTIFICADOS REVOCADOS, por medio de conexiones de telecomunicaciones públicamente accesibles. Esto también se aplica a la información sobre direcciones y números telefónicos de las AUTORIDADES CERTIFICANTES LICENCIADAS;

5. Permitir el ingreso de los funcionarios autorizados del ORGANISMO AUDITANTE a su local operativo, poner a su disposición toda la información necesaria, y proveer la asistencia del caso;

6. Publicar su propio CERTIFICADO DE CLAVE PUBLICA en el Boletín Oficial, y en DOS (2) diarios de difusión nacional, durante TRES (3) días consecutivos a partir del día de su emisión;

7. Revocar los CERTIFICADOS emitidos en favor de las AUTORIDADES CERTIFICANTES LICENCIADAS incursas en causales de revocación de licencia, o que han cesado sus actividades;

8. Revocar los CERTIFICADOS emitidos en favor de las AUTORIDADES CERTIFICANTES LICENCIADAS, cuando las CLAVES PUBLICAS que en ellos figuran dejan de ser TECNICAMENTE CONFIABLES;

9. Supervisar la ejecución del plan de cese de actividades de las AUTORIDADES CERTIFICANTES LICENCIADAS que discontinúan sus funciones;

10. Registrar las presentaciones que le sean formuladas, así como el trámite conferido a cada una de ellas.

ORGANISMO AUDITANTE

Funciones:

1. Audita periódicamente al ORGANISMO LICENCIANTE y a las AUTORIDADES CERTIFICANTES LICENCIADAS;

2. Audita a las autoridades certificantes previo a la obtención de sus licencias;

3. Acuerda con el ORGANISMO LICENCIANTE el plan de auditoría para las AUTORIDADES CERTIFICANTES LICENCIADAS;

4. Audita a las AUTORIDADES CERTIFICANTES LICENCIADAS a solicitud del ORGANISMO LICENCIANTE;

5. Efectúa las revisiones de cumplimiento de las recomendaciones formuladas en las auditorías.

Obligaciones:

El ORGANISMO AUDITANTE debe:

1. Utilizar técnicas de auditoría apropiadas en sus evaluaciones;

2. Evaluar la confiabilidad y calidad de los sistemas utilizados, la integridad, confidencialidad y disponibilidad de los datos, como así también el cumplimiento con las especificaciones del mnual de procedimientos y el plan de seguridad aprobados por el ORGANISMO LICENCIANTE;

3. Verificar que se utilicen sistemas TECNICAMENTE CONFIABLES;

4. Emitir informes de auditoría con los hallazgos, conclusiones y recomendaciones en cada caso;

5. Realizar revisiones de seguimiento de las auditorías, para determinar si el organismo auditado ha tomado las acciones correctivas que surjan de las recomendaciones;

6. Emitir informes con las conclusiones de las revisiones de seguimiento de auditorías;

7. Intervenir en los simulacros de planes de contingencia;

8. Dar copia de todos los informes de auditoría por él emitidos al ORGANISMO LICENCIANTE.

AUTORIDAD CERTIFICANTE LICENCIADA

Funciones:

1. Emite CERTIFICADOS DE CLAVE PÚBLICA;

Para emitir CERTIFICADOS DE CLAVE PUBLICA, la AUTORIDAD CERTIFICANTE LICENCIADA debe:

A) recibir del agente requirente una solicitud de EMISION DE CERTIFICADO DE CLAVE PUBLICA, la cual deberá estar firmada digitalmente con la correspondiente CLAVE PRIVADA;

B) verificar fehacientemente la información identificatoria del solicitante, la cual deberá estar siempre incluida en el CERTIFICADO, y toda otra información que según lo dispuesto en el manual de procedimientos de la AUTORIDAD CERTIFICANTE LICENCIADA, deba ser objeto de verificación, lo cual deberá realizarse de acuerdo a lo dispuesto en el citado manual;

C) numerar correlativamente los CERTIFICADOS emitidos;

D) mantener copia de todos los CERTIFICADOS emitidos, consignando su fecha de emisión.

La AUTORIDAD CERTIFICANTE LICENCIADA puede, opcionalmente, incluir en un CERTIFICADO información no verificada, debiendo indicar claramente tal cualidad.

2. Revoca CERTIFICADOS DE CLAVE PÚBLICA;

La AUTORIDAD CERTIFICANTE LICENCIADA revocará los CERTIFICADOS DE CLAVE PUBLICA por ella emitidos:

A) por solicitud de su SUSCRIPTOR; o

B) por solicitud de un TERCERO; o

C) si llegara a determinar que un CERTIFICADO fue emitido en base a una información falsa, que en el momento de la EMISION hubiera sido objeto de verificación; o

D) si llegara a determinar que las CLAVES PUBLICAS contenidas en los CERTIFICADOS dejan de ser TECNICAMENTE CONFIABLES; o

E) si cesa en sus actividades y no transfiere los CERTIFICADOS emitidos por ella a otra AUTORIDAD CERTIFICANTE LICENCIADA;

La solicitud de REVOCACION DE UN CERTIFICADO debe hacerse en forma personal o por medio de un DOCUMENTO DIGITAL FIRMADO. Si la revocación es solicitada por el SUSCRIPTOR, ésta deberá concretarse de inmediato. Si la revocación es solicitada por un TERCERO, tendrá lugar dentro de los plazos mínimos necesarios para realizar las verificaciones del caso.

La revocación debe indicar el momento desde el cual se aplica y no puede ser retroactiva o a futuro. El CERTIFICADO revocado deberá incluirse inmediatamente en la LISTA DE CERTIFICADOS REVOCADOS, y la lista debe estar firmada por la AUTORIDAD CERTIFICANTE LICENCIADA. Dicha lista debe hacerse pública en forma permanente, por medio de conexiones de telecomunicaciones públicamente accesibles.

La AUTORIDAD CERTIFICANTE LICENCIADA debe emitir una constancia de la revocación para el solicitante.

3. Provee, opcionalmente, el servicio de SELLADO DIGITAL DE FECHA Y HORA.

Obligaciones:

Adicionalmente a sus obligaciones emergentes como SUSCRIPTORA de su CERTIFICADO emitido por el ORGANISMO LICENCIANTE, la AUTORIDAD CERTIFICANTE LICENCIADA debe:

1. Abstenerse de generar, exigir, o por cualquier otro medio tomar conocimiento o acceder bajo ninguna circunstancia, a la CLAVE PRIVADA del SUSCRIPTOR;

2. Mantener el control de su CLAVE PRIVADA e impedir su divulgación;

3. Solicitar inmediatamente la REVOCACION DE SU CERTIFICADO, cuando tuviera sospechas fundadas de que su CLAVE PRIVADA ha sido comprometida;

4. Solicitar al ORGANISMO LICENCIANTE la revocación de su CERTIFICADO cuando la CLAVE PUBLICA en él contenida deje de ser TECNICAMENTE CONFIABLE;

5. Informar inmediatamente al ORGANISMO LICENCIANTE sobre cualquier cambio en los datos contenidos en su CERTIFICADO, o sobre cualquier hecho significativo que pueda afectar la información contenida en el mismo;

6. Operar utilizando un sistema TECNICAMENTE CONFIABLE;

7. Notificar al solicitante sobre las medidas necesarias que éste está obligado a adoptar para crear FIRMAS DIGITALES seguras y para su VERIFICACION confiable; y de las obligaciones que éste asume por el sólo hecho de ser SUSCRIPTOR de un CERTIFICADO DE CLAVE PUBLICA;

8. Recabar únicamente aquellos datos personales del SUSCRIPTOR del CERTIFICADO que sean necesarios y de utilidad para la emisión del mismo, quedando el solicitante en libertad de proveer información adicional. Toda información así recabada, pero que no figure en el CERTIFICADO, será de trato confidencial por parte de la AUTORIDAD CERTIFICANTE LICENCIADA;

9. Poner a disposición del SUSCRIPTOR de un CERTIFICADO emitido por ésta AUTORIDAD CERTIFICANTE LICENCIADA, toda la información relativa a la tramitación del CERTIFICADO;

10. Mantener la documentación respaldatoria de los CERTIFICADOS emitidos por DIEZ (10) años a partir de su fecha de vencimiento o revocación;

11. Permitir el acceso público permanente a los CERTIFICADOS que ha emitido, y a la LISTA DE CERTIFICADOS REVOCADOS, por medio de conexiones de telecomunicaciones públicamente accesibles;

12. Publicar su dirección y sus números telefónicos;

13. Permitir el ingreso de los funcionarios autorizados del ORGANISMO LICENCIANTE o del ORGANISMO AUDITANTE a su local operativo, poner a su disposición toda la información necesaria, y proveer la asistencia del caso;

14. Registrar las presentaciones que le sean formuladas, así como el trámite conferido a cada una de ellas.

Cese de Actividades:

Los CERTIFICADOS emitidos por una AUTORIDAD CERTIFICANTE LICENCIADA que cesa en sus funciones se revocarán a partir del día y la hora en que cesa su actividad, a menos que sean transferidos a otra AUTORIDAD CERTIFICANTE LICENCIADA. La AUTORIDAD CERTIFICANTE LICENCIADA notificará mediante la publicación por TRES (3) días consecutivos en el Boletín Oficial, la fecha y hora de cese de sus actividades, que no podrá ser anterior a los NOVENTA (90) días corridos contados desde la fecha de la última publicación. La notificación también deberá hacerse individualmente al ORGANISMO LICENCIANTE.

Cuando se hayan emitido CERTIFICADOS a personas ajenas al Sector Público Nacional, la AUTORIDAD CERTIFICANTE LICENCIADA publicará durante TRES (3) días consecutivos en uno o más diarios de difusión nacional, el cese de sus actividades.

La AUTORIDAD CERTIFICANTE LICENCIADA podrá disponer de medios adicionales de comunicación del cese de sus actividades a los SUSCRIPTORES de CERTIFICADOS que son ajenos al Sector Público Nacional.

Si los CERTIFICADOS son transferidos a otra AUTORIDAD CERTIFICANTE LICENCIADA, toda la documentación pertinente también deberá ser transferida a ella.

Requisitos para obtener la licencia de autoridad certificante:

La autoridad certificante que desee obtener una licencia deberá:

1. Presentar una solicitud;

2. Contar con un dictamen favorable emitido por el ORGANISMO AUDITANTE;

3. Someter a aprobación del ORGANISMO LICENCIANTE el manual de procedimientos, el plan de

Seguridad y el de cese de actividades, así como el detalle de los componentes técnicos a utilizar;

4. Emplear para el ejercicio de las actividades de certificación, personal técnicamente idóneo y que no se encuentre incurso en los supuestos de inhabilitación para desempeñar funciones dentro del Sector Público Nacional;

5. Presentar toda otra información relevante al proceso de otorgamiento de licencias que sea exigida por el ORGANISMO LICENCIANTE.

SUSCRIPTOR DE CERTIFICADO DE CLAVE PÚBLICA

Obligaciones del SUSCRIPTOR:

El SUSCRIPTOR de un CERTIFICADO DE CLAVE PUBLICA debe:

1. Proveer todos los datos requeridos por la AUTORIDAD CERTIFICANTE LICENCIADA bajo declaración jurada;

2. Mantener el control de su CLAVE PRIVADA e impedir su divulgación;

3. Informar inmediatamente a la AUTORIDAD CERTIFICANTE LICENCIADA, sobre cualquier circunstancia que pueda haber comprometido su CLAVE PRIVADA;

4. Informar inmediatamente a la AUTORIDAD CERTIFICANTE LICENCIADA cuando cambie alguno de los datos contenidos en el CERTIFICADO que hubieran sido objeto de verificación.

CERTIFICADOS DE CLAVE PÚBLICA

Contenido del CERTIFICADO DE CLAVE PUBLICA:

El CERTIFICADO DE CLAVE PUBLICA contendrá, como mínimo, los siguientes datos:

1. Nombre del SUSCRIPTOR del CERTIFICADO;

2. Tipo y número de documento del SUSCRIPTOR del CERTIFICADO, o número de licencia, en el caso de CERTIFICADOS emitidos para AUTORIDADES CERTIFICANTES LICENCIADAS;

3. CLAVE PUBLICA utilizada por el SUSCRIPTOR;

4. Nombre del algoritmo que debe utilizarse con la CLAVE PUBLICA en él contenida ;

5. Número de serie del CERTIFICADO;

6. PERIODO DE VIGENCIA del CERTIFICADO;

7. Nombre de la AUTORIDAD CERTIFICANTE LICENCIADA emisora del CERTIFICADO;

8. Firma digital de la AUTORIDAD CERTIFICANTE LICENCIADA que emite el CERTIFICADO, identificando los algoritmos utilizados.

9. Todo otro dato relevante para la utilización del CERTIFICADO, se explicitará en el manual de procedimientos de la AUTORIDAD CERTIFICANTE LICENCIADA emisora.

Condiciones de Validez del CERTIFICADO DE CLAVE PÚBLICA:

El CERTIFICADO DE CLAVE PUBLICA es válido únicamente si:

1. Ha sido emitido por una AUTORIDAD CERTIFICANTE LICENCIADA;

2. No ha sido revocado;

3. No ha expirado.

ANEXO II – GLOSARIO

AUTORIDAD CERTIFICANTE LICENCIADALICENCIADA: órgano administrativo que emite que emite CERTIFICADOS DE CLAVE PUBLICA.

CERTIFICADO o CERTIFICADO DE CLAVE PÚBLICA o CERTIFICADOS: DOCUMENTO DIGITAL emitido y firmado digitalmente por una AUTORIDAD CERTIFICANTE LICENCIADA, que asocia una CLAVE PUBLICA con su SUSCRIPTOR durante el dentro del PERIODO DE VIGENCIA del CERTIFICADO, y que asimismo hace plena prueba dentro de la Administración Sector Público Nacional, de la veracidad de su contenido.

CLAVE PRIVADA: En un CRIPTOSISTEMA ASIMETRICO, es aquella que se utiliza para firmar digitalmente crear una firma digital.

CLAVE PÚBLICA: En un CRIPTOSISTEMA ASIMETRICO, es aquella que se utiliza para verificar una firma digital.

COMPUTACIONALMENTE NO FACTIBLE: Dícese de aquellos cálculos matemáticos asistidos por computadora que para ser llevados a cabo requieren de tiempo y recursos informáticos que superan ampliamente a los disponibles en la actualidad.

CORRESPONDER: Con referencia a un cierto PAR DE CLAVES, significa pertenecer a dicho par.

CRIPTOSISTEMA ASIMETRICO: Algoritmo que utiliza un PAR DE CLAVES, una CLAVE PRIVADA para firmar digitalmente y su correspondiente CLAVE PUBLICA para verificar esa firma digital, cuya CLAVE PRIVADA crea una firma digital, y cuya correspondiente CLAVE PÚBLICA se utiliza para VERIFICAR esa firma digital. A efectos de este Decreto, se entiende que el CRIPTOSISTEMA ASIMETRICO deberá ser

TECNICAMENTE CONFIABLE.

DIGESTO SEGURO (Hash Result): La secuencia de bits de longitud fija resultado producido por una FUNCION DE DIGESTO SEGURO luego de procesar un DOCUMENTO DIGITAL.

DOCUMENTO DIGITAL: Representación digital de actos, hechos o datos jurídicamente relevantes.

DOCUMENTO DIGITAL FIRMADO: DOCUMENTO DIGITAL al cual se le ha aplicado una firma digital.

EMISION DE UN CERTIFICADO: La creación de un CERTIFICADO por parte de una AUTORIDAD CERTIFICANTE LICENCIADA.

ORGANISMO AUDITANTE: órgano administrativo encargado de auditar la actividad del ORGANISMO LICENCIANTE y de las AUTORIDADES CERTIFICANTES LICENCIADAS.

ORGANISMO LICENCIANTE: órgano administrativo encargado de otorgar las licencias a las autoridades certificantes y de supervisar la actividad de las AUTORIDADES CERTIFICANTES LICENCIADAS.

FIRMA DIGITAL: Resultado de una transformación de un DOCUMENTO DIGITAL empleando un CRIPTOSISTEMA ASIMETRICO y un DIGESTO SEGURO, de forma tal que una persona que posea el DOCUMENTO DIGITAL inicial y la CLAVE PUBLICA del firmante pueda determinar con certeza:

1. Si la transformación se llevó a cabo utilizando usando la CLAVE PRIVADA que corresponde a la CLAVE PUBLICA del firmante, lo que impide su repudio.

2. Si el DOCUMENTO DIGITAL ha sido modificado desde que se efectuó la transformación, lo que garantiza su integridad.

La conjunción de los dos requisitos anteriores garantiza su NO REPUDIO y su INTEGRIDAD.

FUNCION DE DIGESTO SEGURO:

Es una función matemática que transforma un DOCUMENTO DIGITAL en una secuencia de bits de longitud fija, llamada DIGESTO SEGURO, de forma tal que:

Se obtiene la misma secuencia de bits de longitud fija cada vez que se calcula esta función respecto del mismo DOCUMENTO DIGITAL;

Es COMPUTACIONALMENTE NO FACTIBLE inferir o reconstituir un DOCUMENTO DIGITAL a partir de su DIGESTO SEGURO;

Es COMPUTACIONALMENTE NO FACTIBLE encontrar dos DOCUMENTOS DIGITALES diferentes que produzcan el mismo DIGESTO SEGURO.

INTEGRIDAD: Condición de no alteración de un DOCUMENTO DIGITAL.

LISTA DE CERTIFICADOS REVOCADOS: Es la lista publicada por la AUTORIDAD CERTIFICANTE LICENCIADA, de los CERTIFICADOS DE CLAVE PUBLICA por ella emitidos cuya vigencia ha cesado antes de su fecha de vencimiento, por acto revocatorio.

NO REPUDIO: Cualidad de la firma digital, por la cual su autor no puede desconocer un DOCUMENTO DIGITAL que él ha firmado digitalmente.

PAR DE CLAVES: CLAVE PRIVADA y su correspondiente CLAVE PUBLICA en un CRIPTOSISTEMA ASIMETRICO, tal que la CLAVE PÚBLICA puede verificar una firma digital creada por la CLAVE PRIVADA.

PERIODO DE VIGENCIA (de un CERTIFICADO): Período durante el cual el SUSCRIPTOR puede firmar DOCUMENTOS DIGITALES utilizando la CLAVE PRIVADA correspondiente a la CLAVE PUBLICA contenida en el CERTIFICADO, de modo tal que la firma digital no sea repudiable.

El PERIODO DE VIGENCIA de un CERTIFICADO comienza en la fecha y hora en que fue emitido por la AUTORIDAD CERTIFICANTE LICENCIADA, o en una fecha y hora posterior si así lo especifica el CERTIFICADO, y termina en la fecha y hora de su vencimiento o revocación.

REVOCACION DE UN CERTIFICADO: Acción de dejar sin efecto en forma permanente un CERTIFICADO a partir de una fecha cierta, incluyéndolo en la LISTA DE CERTIFICADOS REVOCADOS dándolo a publicidad.

SELLADO DIGITAL DE FECHA Y HORA: Acción mediante la cual la AUTORIDAD CERTIFICANTE LICENCIADA adiciona la fecha, hora, minutos y segundos (como mínimo) de su intervención, a un DOCUMENTO DIGITAL o a su DIGESTO SEGURO. La información resultante del proceso antes descrito será firmada digitalmente por la AUTORIDAD CERTIFICANTE LICENCIADA.

SISTEMA CONFIABLE (Analizar junto con Técnicamente CONFIABLE): Equipos de computación, software y procedimientos relacionados que:

1. Sean razonablemente confiables para resguardar contra la posibilidad de intrusión o de uso indebido;

2. Brinden un grado razonable de disponibilidad, confiabilidad, confidencialidad y correcto funcionamiento;

3. Sean razonablemente aptos para el desempeño de sus funciones específicas;

4. Cumplan con los requisitos de seguridad generalmente aceptados.

SUSCRIPTOR: Persona a cuyo nombre se emite un CERTIFICADO, y que es titular de la CLAVE PRIVADA correspondiente a la CLAVE PUBLICA incluida en dicho CERTIFICADO.

TECNICAMENTE CONFIABLE: dícese de los SISTEMAS CONFIABLES que cumplen con los estándares tecnológicos que al efecto dicte la Secretaría de la Función Pública de la Jefatura de Gabinete de Ministros.

Respecto de las longitudes de claves a utilizar, se requerirá como mínimo una cantidad de bits igual o superior al doble de la longitud de las claves que se puedan quebrar al momento de (generar el PAR DE CLAVES, o crear la firma digital, o VERIFICAR la firma digital).

Respecto de las longitudes de digestos de DOCUMENTO DIGITAL a utilizar, se requerirá como mínimo una cantidad de bits igual o superior al doble de la longitud de digestos de DOCUMENTO DIGITAL que se puedan quebrar al momento de (generar el PAR DE CLAVES, o crear la firma digital, o VERIFICAR la firma digital).

TERCERO: El que ostenta un derecho subjetivo o interés legítimo.

VERIFICACION DE UNA firma digital: En relación a un DOCUMENTO DIGITAL, una firma digital, el correspondiente CERTIFICADO DE CLAVE PUBLICA y una LISTA DE CERTIFICADOS REVOCADOS, es la determinación fehaciente de que:

El DOCUMENTO DIGITAL fue firmado digitalmente con la firma digital fue creada en base por la CLAVE PRIVADA correspondiente a la CLAVE PUBLICA incluida en el CERTIFICADO;

El DOCUMENTO DIGITAL no fue alterado desde que fue firmado digitalmente.

Para aquel documento cuya naturaleza pudiera exigir la necesidad de certificación de fecha cierta, o bien ésta fuere conveniente dado sus efectos, deberá determinarse adicionalmente que el mismo fue firmado digitalmente durante el PERIODO DE VIGENCIA del correspondiente CERTIFICADO.

Conclusión

La comunidad legal mundial se ha visto sacudida en los últimos tiempos por el desarrollo de distintas soluciones informáticas que procuran brindar seguridad a la transmisión y/o almacenamiento electrónico de información. La utilización de medios digitales como canal de transmisión y modo de conservación de la información siempre ha planteado interrogantes en cuanto a la identificación del originador y receptor de la información y la integridad y confidencialidad de la misma.

Sin embargo, estas inquietudes no resultan novedosas en la vida cotidiana, en el ámbito de la transmisión y conservación tradicional de la información. Mucho antes que el mundo digital estuviere preparado para receptar interrogantes relacionados con la identificación del originador y receptor de la información y la integridad y confidencialidad de la misma, estos mismos interrogantes se planteaban en la vida de todos los días.

Este método en general, provee una alta seguridad al intercambio de información validada, sobre un medio inseguro, como es Internet. Esta operatoria permite a receptor y remitente confirmar la identidad de ambos y la integridad de sus intercambios.

En la Argentina se utiliza firma digital desde hace 3 años en circuitos cerrados, como Interbankig (call money bancario) ,PAMI y Banco Nación (transferencias de presupuesto), Ministerio de Economía, Banco Hipotecario, Comisión Nacional de Valores , Provincanje y otros.

La fortaleza del método radica, en la imposibilidad de desencriptar la información en un tiempo determinado, que permita calificar a la información como oportuna para su uso.

Si bien todo es desencriptable, lo problemático de realizarlo se manifiesta en el tiempo y la capacidad de procesamiento necesaria a nivel de Supercomputación.

El uso de estas capacidades, se encuentran muy controladas y muy reducidas en el ámbito informático mundial. La misma hasta el momento, no están disponible para los agentes ilegales en la red, que deseen realizar este hurto o violación atentando contra la Seguridad en la Información.

La criptografía de clave pública produjo un avance muy importante al incorporar la idea del secreto no compartido.

Mientras el mundo de la seguridad informática y el mundo de los sistemas legales vivieron en forma independiente no hubo conflictos. La denominada "network security" ofrecía soluciones para los interrogantes planteados en el mundo de la informática (identidad de las personas, confidencialidad e inalterabilidad de los mensajes), mientras los sistemas o estructuras legales de los distintos países hacían otro tanto en el mundo tangible

La convergencia y la revolución digital hicieron de ambos mundos uno solo, y la compleja red de seguridad informática que hasta ahora se mantenía circunscripta al ámbito de las soluciones informáticas, emerge triunfante como panacea frente al desafío que el nuevo medio implica para la comunidad legal.

Según los técnicos, bastaría con incorporar esta infraestructura informática de seguridad y darle sustento jurídico. Sin embargo, la adecuación de las soluciones del mundo digital al mundo papel no resulta ser tan simple como parecería en un principio.

En primer lugar, como ya se ha dicho, no existe uniformidad terminológica: muchas veces coincide la denominación de los servicios que los sistemas (mundo digital - mundo papel) ofrecen ("trust", "security", "non-repudiation", "signature", "integrity"), pero su significado y la forma de obtenerlos y/o satisfacerlos, lógicamente son totalmente distintos.

Por otro lado, las soluciones del mundo papel varían según el sistema jurídico imperante en cada país. Ello conduce a que la transición del mundo papel al mundo digital en los países donde rige el "common law" no pueda ser encarada de la misma forma ni con las mismas estructuras que en los países donde rige el "civil law".

Por lo tanto , se prevé un crecimiento sostenido en el uso de este método , tanto en usuarios como en materia de autoridades certificantes o certificadores de clave pública.

Esto permitirá su aplicación en los innumerables usos antes nombrados , sobre cualquier infraestructura de comunicaciones y especialmente sobre la red Internet, proveyendo una alta seguridad que motivará el crecimiento de la operatoria sobre la misma . Para el caso de la organizaciones, un medio más de validación de corresponsales e integridad, que junto con las redes privadas virtuales, darán lugar a reducir los abultados costos de los canales de comunicación dedicados y la digitalización segura de muchas operaciones realizadas anteriormente en otros soportes.

Glosario de Términos

· Criptografía: es el arte de transformar mensajes de modo tal que sean ilegibles para todos aquellos a los que no se les confiere el modo de acceder a los mismos.



· Criptoanálisis: es el estudio de las técnicas para quebrar mensajes criptografiados.

· Criptología: es el estudio de la Criptografía y el Criptoanálisis

· Texto plano: es un mensaje original.

· Texto cifrado: es el resultado de criptografiar un texto plano.

· Encripción: es cualquier procedimiento para transformar un texto plano en un texto cifrado.

· Desencripción: es el procedimiento de transformar un texto cifrado en el correspondiente texto plano.

· Llave: es la clave - normalmente alfanumérica - para el proceso de encripción.

· Método simétrico: es un algoritmo de encripción tal que la clave para encriptar es la misma que para desencriptar. Ejemplo: DES (Data Encryption Standard).

· Método asimétrico: es un algoritmo que utiliza claves distintas para encriptar y para desencriptar. Son los únicos métodos que permiten identificar al emisor de un mensaje, y por lo tanto los únicos que permiten implementar la firma digital. Ejemplo: RSA.

· Ataque por fuerza bruta: consiste en probar todas las claves posibles para desencriptar un mensaje cifrado. Por ejemplo el DES de 56 bits requiere intentos (el criptoanálisis diferencial es un método que permite reducir esta complejidad).

· Métodos de cifrado en bloques (block ciphers): en este método los caracteres sucesivos son encriptados usando la misma clave.

· Métodos de cifrado de flujo de claves (stream ciphers): la idea esencial es un flujo de claves cambiantes que dependen de la clave inicial fijada, y de los caracteres anteriores. Por ello, un cifrado de bloques es un caso especial de un cifrado de flujo donde la clave es siempre la misma.

· Firma digital: la firma digital que permite la identificación del signatario y ha sido creada por medios que éste mantiene bajo su exclusivo control (su clave privada, protegida por contraseña o almacenada en una tarjeta inteligente), de manera que está vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de éstos. Básicamente, se trata del resumen criptográfico de los datos firmado con la clave privada del signatario, que asegura por tanto la autenticación, la integridad y el no repudio.

· Signatario: la persona física que cuenta con un dispositivo de creación de firma (véase siguiente definición) y que actúa en nombre propio o en el de una persona física o jurídica a la que representa.

· Dispositivo de creación de firma: es un programa o un aparato informático que sirve para aplicar los datos de creación de firma o, en otras palabras, para crear resúmenes digitales de los datos y cifrarlos con su clave privada. Los navegadores como Internet Explorer o Netscape Navigator y clientes de correo como Outlook Express o Netscape Messenger incorporan esta funcionalidad,

· Datos de verificación de firma: son los datos que se utilizan para verificar la firma digital. Se trata en definitiva de la clave pública del signatario que permite comprobar la veracidad de los datos mediante el descifrado del resumen criptográfico recibido.

· Certificado: Un conjunto de información que se encuentra firmado digitalmente por una AC de tal manera que pueda ser reconocido por la comunidad de usuarios.

· Certificado de Clave Pública: Un certificado firmado digitalmente por una Autoridad Certificante que confirma la correspondencia entre la identidad y otros datos de la persona titular de la clave privada correspondiente a la clave pública que se encuentra en el certificado.

· Lista de Certificados Revocados: Lista de los certificados que han sido revocados, que se encuentra firmada digitalmente por una ACL o el OL. Esta lista tiene una fecha segura de creación y es actualizada periódicamente.

· Prestador de servicios de certificación: persona física o jurídica, pública o privada, que expide, renueva y revoca certificados, pudiendo prestar, además, otros servicios en relación con la firma digital, como la validación de certificados.

Bibliografía

Seguridad Digital

www.digitel.es/digitel/seguridad.htm

Glosario de firma digital

Versión en inglés Glossary Digital Signature

www.certco.com/resource/wpidsleg.htm

Banca, comercio, moneda electrónica y la firma digital

www.it-cenit.org.ar/Publicac/BancaMD/BanCom5

Firmas digitales

Criptografía, tipos de firma, elementos.

http://www.penta.ufrgs.br/gereseg/unlp/t9pgp4-2.htm

Informatión digital signature.

www.commerce.state.ut.us/web/commerce/digsig/digsig2a/tsld001.htm.

Creación digital signature.

www.commerce.state.ut.us/web/commerce/digsig/digsig2a/tsld012.htm.

verificación digital signature.

www.commerce.state.ut.us/web/commerce/digsig/digsig2a/tsld013.htm.

Azar y Firmas Digitales, Introducción a las Firmas Digitales

www.kryptopolys.com

Sistemas de cifrado

www.gnup.org/gph/manual

Seguridad en Internet

www.seguridadeninternet.com.cl

Criptografía

www.maite199up.es/cgel/crypto/doc_1

Biblioteca de la UP: ProQuest

Orders: 220264021, 220264010, 220264023, 220264022, 220264013.

Biblioteca de la UNIVERSIDAD DE PALERMO : Revista del Colegio Público de Abogados, Temas de Derecho Procesal (páginas 63 a 91)

Estándares sobre tecnología de firma digital para la Administración Pública. Resolución SFP 194/98 B.O 4/14/98.

Understanding Digital Signatures –

Gail L. Grant

Mc Graw-Hill

Understanding Public Key Infrastructure.

Carlisle Adams – Steve Loyds

New Riders