HFD> Publicaciones
Trabajos
Postgrado en E-Business Management
Universidad del Salvador (ARGENTINA) - Georgetown University
(USA)
Catedra Marco legal
Año 2001
"Firma y Certificado Digital"
Trabajo preparado por
los siguientes cursantes del Postgrado
Walter Felix
Pablo Panella
Pablo Hait
Graciela Hodari
Adrian Felicitato
Barbara Hodak
Profesor: Dr. Horacio Fernández Delpech
Preliminar
El presente trabajo pretende analizar la
problemática de la firma digital y certificado digital
en el comercio electrónico en Argentina.
Al mismo tiempo tratamos de analizar las
similitudes con la firma electrónica y oleográfica
y relacionarla a los documentos utilizados en el comercio
electrónico, enfocando nuestro análisis a la
forma de obtener el no repudio, integridad y veracidad de
la información recibida o enviada así como también
la autenticidad del emisor del emisor y receptor.
Sumario
1. Introducción
2. Organización del trabajo
3. Antecedentes y avances en infraestructura tecnológica
4. Definiciones básicas
5. El modelo de las Naciones Unidas
6. Análisis comparativo - Otros países
que intentan regular el comercio electrónico
7. Estado de situación en la Argentina
8. Recomendaciones
Introducción
Internet ha resultado ser el fenómeno
social y económico más importante de los últimos
tiempos, un fenómeno capaz de cambiarlo todo.
Tanto la tecnología como las comunicaciones
han avanzado provocando grandes cambios en la forma de hacer
los negocios, haciendo cada vez más natural las denominadas
B2B, B2C, etc que más adelante definiremos para acordar
los términos con los que desarrollaremos el presente
trabajo.
Hasta hace muy pocos años atrás
las compañías comenzaron a incluir su alternativa
".com" como diferencial frente a la competencia
incrementando sustancialmente el valor de la acción
de la misma en términos de inversiones.
Poco a poco este concepto fue cambiando de
rumbo llegando hoy en día a ser un requisito imprescindible
como carta de presentación de la empresa "ninguna
empresa de envergadura se puede dar el lujo de no estar en
el ambiente Internet o de no incluir una dirección
de correo electrónico como medio de comunicación
con ella", este concepto fue empujado por la importante
aparición de empresas denominadas "Click",
es decir que su único ámbito de funcionamiento
u operación es a través de Internet.
Este concepto siguió madurando y la
estrategia actual parece perseguir el aprovechamiento total
de éste medio que posee tantos atractivos como incertidumbres
a la vez para efectuar negocios en forma completamente on
line, en los casos que la industria lo permita.
Internet se muestra como un medio flexible,
dado que permite acceder a cualquier sitio las 24 horas del
día los 365 días del año, y parece no
tener fronteras, porque una persona puede acceder a una dirección
de Internet desde cualquier lugar del mundo. A estos beneficios
debemos agregarle el bajo costo de utilización del
canal y las amplias posibilidades de desarrollo aplicables
a todos los ámbitos; así como también
los avances tecnológicos que año a año
van ocurriendo en esta materia.
Todos estos beneficios hacen que pensemos
cada vez más en las posibilidades de establecer nuevos
patrones de comportamiento que nos permitan interactuar y
desarrollar nuestra actividad a través de Internet
de manera segura, confiable y comprobable.
Aquí es donde cobra especial importancia
un nuevo concepto de firma o manifestación de voluntad
de aceptación de un determinado negocio, que es el
concepto de Firma Digital.
Este ultimo párrafo es el que nos
ocupa en el presente trabajo, quisiéramos encontrar
la forma de hacer nuestros negocios a través de Internet
logrando el compromiso entre las partes que intervienen en
el negocio.
Para esto analizamos la validez de la firma
digital en este ámbito, tratando de encontrar la similitud
con la firma de puño y letra, las implicancias de no
tener una frontera definida, la forma de efectuar una verificación
de la autenticidad de las personas que intervienen en el negocio,
la veracidad e integridad de la información intercambiada
a raíz del negocio y el no repudio de lo pactado por
esta vía.
Organización del trabajo
En primer lugar nos ubicaremos en el marco
actual de internet, destacando la situación en la que
nos encontramos y las proyecciones a futuro determinadas por
importantes consultoras líderes en estrategias de negocios
y comercio electrónico tanto desde el punto de vista
económico como social.
Luego enunciaremos los conceptos que harán
de pilares en el desarrollo de este trabajo y que evitaran
confusiones conceptuales sobre el punto en discusión.
Mas adelante examinaremos en detalle el modelo
de las Naciones Unidas para la firma electrónica, para
centrarnos luego en el análisis y recopilación
comparando las distintas reglamentaciones existentes incluyendo
países como Chile, Perú y España haciendo
un paralelo con la Argentina.
Para finalizar el trabajo efectuaremos el análisis
de la situación actual y brindaremos nuestras recomendaciones
en el tema.
Antecedentes y generalidades sobre internet
Según la consultora IDC Latin América, la mitad
de los negocios que se desarrollan a lo largo del mundo tienen
su propio web site.
La misma consultora estima que durante el
año 2001 las empresas invertirán cerca de 700
billones en en el desarrollo de sus actividades on line, incrementando
tanto la infraestructura tecnológica como la estrategia
de negocios.
Esto implica que estos negocios que ya se
encuentran en línea, están compitiendo globalmente,
dado que internet permite que sea accesible desde cualquier
lugar del mundo y esto nos agrega un nuevo concepto en términos
de competencia y nos hace suponer que se incrementará
fuertemente en un corto plazo.
Pero también se considera que los
gastos de mantenimiento de esta actividad es superior a la
inversión por la construcción original, por
lo que suponemos que muchas empresas se incorporaran a esta
compentencia al mismo tiempo que otras quedarán en
el camino.
La utilización del correo
electrónico como medio de comunicación:
Estudios efectuados por Júpiter Comminications,
nos muestran una interesante proyección para los Estados
Unidos en cuanto al volumen de emails recibidos, se espera
que la cantidad de mensajes recibidos por un consumidor tipo
pase de 40, observados en el año 1999 a 1600 al mes
en el año 2005, esto implica que una persona en el
año 2005estaría recibiendo en promedio 53 mensajes
al día. Al mismo tiempo se estima que para el año
2004 las empresas envíen al año 200.000 millones
de mensajes.
Esto nos lleva a reflexionar sobre las alternativas
que deberían tener a las personas/empresas para seleccionar
aquellos mensajes que desean recibir y al mismo tiempo, la
forma en que habilitarán su dirección de correo
electrónico para el envío de correspondencia
por terceras personas.
En cuanto al crecimiento de las casillas
de email, la consultora Messaging On line, proyecta un crecimiento
del 95% respecto de la cantidad observada en el año
1999, de este modo se estima que a fines de este año
(2001) la cantidad de casillas ascienda a 1.000 millones.
Grado
de informatización:
A mediados del año 2000, la consultora
Forrester Research, emitió un informe donde detallaba
el siguiente grado de penetración informática:
|
Equipos |
EEUU |
159 * |
Europa |
135 * |
Asia |
116 * |
* Datos expresados en millones de computadoras
Ranking de países
por cantidad de personas On Line:
A fines del año 2000 la cantidad de personas con acceso
a internet en el mundo llegaba a 375 millones de personas.
(Forrester )
|
Porcentaje respecto del total mundial
|
EEUU
|
36% |
Japon |
7% |
Reino Unido |
5% |
China |
4% |
Canadá
|
4% |
Corea del sur
|
4% |
Italia |
5% |
Brasil |
5% |
Francia |
5% |
Enfoque en Latinoamérica:
Se estima que para fines del año 2003
habría 38 millones de personas on line en todo latinoamérica,
que legarían a consumir en forma online aproximadamente
8.000 millones de dólares en ese mismo año.
(IDC) Particularmente en Argentina las cuentas de internet
aumentaron un 50% en el ultimo semestre de 1999 y se proyecta
fuertes crecimientos a raíz de una reducción
e ingreso de nuevos competidores en el mercado de las comunicaciones.
(Prince &Cooke)
Percepción pública
de Internet:
El 87% de las personas que viven en EEUU
aseguran que las computadoras han mejorado la calidad de vida,
y 7 de cada 10 personas consultas afirma que Internet también
lo ha hecho.
El 78% de los estadounidenses opina positivamente
sobre la cantidad de información que proporciona Internet.
Cuando se consultó a los padres de
familia, el 70% afirma que Internet es un lugar donde sus
hijos pueden descubrir "Cosas fascinantes y útiles",
afirmando que los chicos que no tienen acceso a internet están
en desventaja frente a los chicos que si lo tienen. (Annenberg
National Survey on the Internet and the Family, may. 1999).
Esto nos muestra una realidad que creemos,
pronto se irá distribuyendo por el resto del mundo
y que nos hace replantear nuestra forma de vida, nuestro comportamiento
frente a determinados eventos, nuestra forma de relacionarnos
y proceder ampliando nuestros paradigmas actuales.
· Definiciones
Básicas
La noción de firma digital nace asociada con la de
firma de puño y letra, y por ende en la perspectiva
jurídica no es absolutamente disociable de la noción
de impresión digital. En este comienzo que cuando la
firma se materializa en un acto que es personal, la signatura
adquiere el carácter de manuscrita, es acuñada
por el agente, y se caracteriza por ser obra directa del autor,
o con otras palabras, es de su puño y letra.
Por otra parte, La impresión digital
es de una enorme significación para el desenvolvimiento
de las sociedades y por lo mismo tiene un valor probatorio
que es indisputable. Sin embargo, dicho criterio es resistido
en el ámbito del derecho privado civil, donde sólo
para una corriente de pensamiento aún no predominante,
la impresión digital es firma.
Sobre el concepto de firma
El vocablo firma significa el nombre de una persona que pone
esta, con rúbrica, al pié de un escrito, de
lo cual se extrae que para que estemos frente a una firma
necesitamos la ineludible intervención directa del
agente, o sea de su puño y de su letra. Vélez
Sarsfield a este respecto dejó anotado que la firma,
no es la simple escritura que una persona hace de su nombre
o apellido; es el nombre escrito de una manera particular,
según el modo habitual seguido por la persona en diversos
actos sometidos a esta formalidad. Regularmente la firma lleva
el apellido de la familia; pero esto no es de rigor si el
hábito constante de la persona no era firmar de esta
manera.
Por su parte, la doctrina enlazó acertadamente,
al concepto de firma, la voluntad jurídica del agente
signante, afirmando que es el trazo peculiar mediante el cual
el sujeto consigna habitualmente su nombre y apellido, o sólo
su apellido, a fin de hacer constar las manifestaciones de
su voluntad.
Sobre sustitución de la firma
de puño y letra
La cuestión de la sustitución de la firma no
es nueva en el derecho argentino. Fue materia de preocupación
de los autores, de la jurisprudencia y del legislador, quien
propensos a la aceptación de la sustitución
de la firma, legaron precedentes en esa dirección.
No obstante es indispensable una mayor flexibilización,
en el sentido de que la firma ológrafa no es irreemplazable.
No significa que asistimos a una disminución del sentido
de la firma de puño y letra, y a cambio, puede inferirse
que el sistema normativo debe adaptarse a los profundos cambios
que exigen los progresos tecnológicos informáticos,
y que en punto a la cuestión, lo correcto es la aceptación
legal expresa, junto a la ológrafa, de la firma digital
informática. Según opinión del autor,
el hecho de la informatización del planeta es una causa
más que atendible para admitir la recepción
legal de la firma digital informática, porque significa
el acompañamiento desde el derecho, a una gran conquista
tecnológica para provecho de la humanidad de fin de
siglo XX, a la que no podrá ni debe –lógicamente-
sustraerse nuestro país.
Función de la firma
Sabido es que la importancia de la firma en el ordenamiento
normativo argentino está notablemente acentuada por
constituir el eje de muchas de las disposiciones vigentes,
tanto las de Velez Sarfield –y sus notas -, como las
que sobrevinieron después, en una sucesión de
leyes difícil de agotar. Hugo Alsina afirma que no
tiene otro objeto, que el de individualizar a su autor. Por
la firma se identifica al agente que la estampó, se
establece su autoría, se atribuye el escrito donde
la misma está, al agente signante. Asimismo, con ella
se autentica el contenido de la exteriorización de
la voluntad, retenido en dicho escrito. En el mundo jurídico
se le otorga, entonces, una función de suma trascendencia
lo que por otra parte es evidente dado el uso extenso que
de la misma consta, por ejemplo, en actos jurídicos
de diversos tipos.
La firma de puño y letra, en lo que
concierne al modo de emitirla, es claramente distinto de la
firma electrónica. De allí que sus conceptos
sean también diferentes. La firma manuscrita emana
necesaria y exclusivamente del agente, y la signatura electrónica
no consiste en el nombre escrito de una manera particular
por el propio agente interesado, ya vimos – y se trata
de una cardinal desemejanza- que unas veces es un texto, y
otras una "clave" o un "código"
idóneo para activar un "sistema" a instancias
de la voluntad de quien lo conoce, o sea, normalmente del
autor del documento electrónico, en su caso, creado.
Sin embargo, no obstante la notable disimilitud
expuesta que media entre firma electrónica y firma
de puño y letra, en el mundo jurídico es muy
fuerte su equivalencia. La última, es completa, cuando
la firma electrónica resulta autorizada por el ordenamiento
con los mismos efectos otorgados a la primera. La firma electrónica
es usada cuantiosamente cada día, por ejemplo, desde
cajas recaudadoras digitalizadas de empresas u organismos
oficiales, o empleando cajeros automáticos, o emplazándola
al pié de escritos electrónicos que viajan a
través del correo universal que nos trajeron las redes
como Internet, Con otras pocas palabras, jurídicamente
la firma electrónica equivale, en sus casos, a la de
puño y letra, en tanto y en cuanto resulte que estén
cumpliendo la misma función.
Opinión básica
La expresión, firma electrónica, descargada
dentro del mundo jurídico, según el autor, es
un término teórico, que indica tanto un texto
como las huellas digitales exportadas al pié de un
escrito, y asimismo al código o clave –sine quanon-
de acceso a un sistema informático, dentro del cual
el agente titular de los mismos exterioriza su voluntad, firmas
que, dentro del contexto de los sistemas informáticos
al que se conectan, líganse a disímiles mecanismos
técnicos de identificación.
Considerando tanto la apuntada existencia
de distintos tipos de signaturas electrónicas, como
la variedad de documentos y actos a los que se las enlaza
en el mundo jurídico, la firma de puño y letra,
es perfectamente sustituible, por la firma electrónica.
Es decir, que, la analogía entre ambas, no es absoluta.
Entretanto, admito que resultan, en sus casos, suficientemente
equivalentes, porque tienen un común denominador que
es la función que las mismas cumplen. Y justamente,
es ese denominador, materializa la condición necesaria
de su equiparación jurídica.
Noción de firma electrónica
o firma digital informática
Es indistintamente que suele utilizarse la misma terminología
para indicar realidades disímiles, multivocidad a la
que se agrega el hecho de que, cuando se habla de la firma
que tiene que ver con los sistemas informáticos, no
siempre estaremos significando un mismo tipo de firma electrónica.
De acuerdo con una primera acepción,
la firma electrónica es un texto escrito por el usuario
de una computadora o sistema informático, que puede
ponerse al pié de un escrito electrónico, o
de un correo. Pero la firma electrónica o firma digital
informática también significa la "clave"
o el "código" idóneo para operar un
"sistema" a instancias de la voluntad del agente
–titular de dicha clave- que lo activa.
LA FIRMA DIGITAL
Que es una firma
digital?
Una firma digital, es un bloque de caracteres que acompaña
a un documento (o archivo) acreditando quién es su
autor (autenticación) y que no ha existido ninguna
manipulación posterior de los datos (integridad).
Para firmar un documento digital, su autor
utiliza su propia clave secreta (sistema criptográfico
asimétrica), a la que sólo él tiene acceso,
lo que impide que pueda después negar su autoría
(no revocación). De esta forma, el autor queda vinculado
al documento de la firma. Por último la validez de
dicha firma podrá ser comprobada por cualquier persona
que disponga de la clave pública del autor.
Cómo se realiza
una firma digital?.
El software del firmante aplica un algoritmo hash sobre el
texto a firmar, obteniendo un extracto de longitud fija, y
absolutamente específico para ese mensaje. Un mínimo
cambio en el mensaje produciría un extracto completamente
diferente, y por tanto no correspondería con el que
originalmente firmó el autor.
Los algoritmos hash más utilizados
son el MD5 ó SHA-1. El extracto conseguido, cuya longitud
oscila entre 128 y 160 bits (según el algoritmo utilizado),
se somete a continuación a cifrado mediante la clave
secreta del autor. El algoritmo más utilizado en este
procedimiento de encriptación asimétrica es
el RSA. De esta forma obtenemos un extracto final cifrado
con la clave privada del autor el cual se añadirá
al final del texto o mensaje para que se pueda verificar la
autoría e integridad del documento por aquella persona
interesada que disponga de la clave pública del autor.
Cómo se comprueba
la validez de la firma digital?
Es necesario la clave pública del autor para poder
verificar la validez del documento o archivo. El procedimiento
sería el siguiente:
1. El software del receptor previa introducción
en el mismo de la clave pública del remitente (obtenida
a través de una autoridad de certificación),
descifraría el extracto cifrado del autor
2. A continuación calcularía
el extracto hash que le correspondería al texto del
mensaje,
3. Y si el resultado coincide con el extracto
anteriormente descifrado se consideraría válida,
en caso contrarío significaría que el documento
ha sufrido una modificación posterior y por tanto no
es válido.
Hasta este momento hemos conseguido la autenticación
del documento, su integridad y la imposibilidad de repudio
del mismo por parte del autor. A través de otros mecanismos
como por ejemplo los que utiliza el SET (Secure Electronic
Transfer protocol) se conseguiría obtener los servicios
de seguridad que la ISO destaca como primordiales para la
seguridad en las redes informáticas. Sin embargo existe
un punto débil que ya he destacado anteriormente. Si
todos estos medios de seguridad están utilizando el
procedimiento de encriptación asimétrico, habrá
que garantizar tanto al emisor como al receptor la autenticación
de las partes, es decir que estas son quienes dicen ser, y
sólo a través de autoridad de certificación
(CA Certification Authority) podrá corregirse dicho
error, certificando e identificando a una persona con una
determinada clave pública. Estas autoridades emiten
certificados de claves públicas de los usuarios firmando
con su clave secreta un documento, valido por un período
determinado de tiempo, que asocia el nombre distintivo de
un usuario con su clave pública.
LAS AUTORIDADES DE CERTIFICACIÓN
Que es una Autoridad de
Certificación?
Es esa tercera parte fiable que acredita
la ligazón entre una determinada clave y su propietario
real. Actuaría como una especie de notario electrónico
que extiende un certificado de claves el cual está
firmado con su propia clave, para así garantizar la
autenticidad de dicha información. Sin embargo ¿quién
autoriza a dicha autoridad?, Es decir, ¿cómo
sé que la autoridad es quién dice ser?, ¿Deberá
existir una autoridad en la cúspide de la pirámide
de autoridades certificadoras que posibilite la autenticación
de las demás?.
En USA la ley de Utah sobre firma digital
da una importancia fundamental a las Autoridades Certificantes,
definidas como las personas facultadas para emitir certificados.
Pueden ser personas físicas o empresas o instituciones
públicas o privadas y deberán obtener una licencia
de la Division of Corporations and Commercial Code. Están
encargadas de mantener los registros directamente en línea
(on-line) de claves públicas.
Para evitar que se falsifiquen los certificados, la clave
pública de la CA debe ser fiable: una CA debe publicar
su clave pública o proporcionar un certificado de una
autoridad mayor que certifique la validez de su clave. Esta
solución da origen a diferentes niveles o jerarquías
de CAs.
En cuanto a los Certificados, son registros
electrónicos que atestiguan que una clave pública
pertenece a determinado individuo o entidad. Permiten verificar
que una clave pública pertenece a una determinada persona.
Los certificados intentan evitar que alguien utilice una clave
falsa haciéndose pasar por otro.
Contienen una clave pública y un nombre,
la fecha de vencimiento de la clave, el nombre de la autoridad
certificante, el número de serie del certificado y
la firma digital del que otorga el certificado. Los certificados
se inscriben en un Registro (repository), considerado como
una base de datos a la que el público puede acceder
directamente en línea (on-line) para conocer acerca
de la validez de los mismos. Los usuarios o firmantes son
aquellas personas que detentan la clave privada que corresponde
a la clave pública identificada en el certificado.
Por lo tanto, la principal función del certificado
es identificar el par de claves con el usuario o firmante,
de forma tal que quien pretende verificar una firma digital
con la clave pública que surge de un certificado tenga
la seguridad que la correspondiente clave privada es detentada
por el firmante.
La Autoridad Certificante puede emitir distintos
tipos de certificados:
1. Certificados
de identificación: identifican y conectan un
nombre a una clave pública.
2. Certificados
de autorización: ofrecen otro tipo de información
correspondiente al usuario, como por ejemplo la dirección
comercial, antecedentes, catálogos de productos, etc.
3. Otros
certificados colocan a la Autoridad
Certificante en el rol de notario, pudiendo ser utilizados
para dar fe de la validez de un determinado hecho o que un
hecho efectivamente ha ocurrido.
4. Otros
certificados permiten determinar
día y hora en que el documento fue digitalmente
firmado (Digital time-stamp certificates).
El interesado en operar dentro del esquema
establecido por la ley, deberá, una vez creado el par
de claves, presentarse ante la autoridad certificante (o funcionario
que ella determine) a efectos de registrar su clave pública,
acreditando su identidad o cualquier otra circunstancia que
le sea requerida para obtener el certificado que le permita
'firmar' el documento de que se trate. Por ejemplo, para realizar
una operación financiera de importancia con un banco,
éste puede requerir al interesado un certificado del
que surja, además de la constatación de su identidad,
el análisis de sus antecedentes criminales o financieros.
Esto quiere decir que la firma digital del interesado sólo
será aceptada por la otra parte si cuenta con el certificado
apropiado para la operación a realizar.
Los Repository o Registros son la base de
datos a la que el público puede acceder on-line para
conocer la validez de los certificados, su vigencia o cualquier
otra circunstancia que se relacione con los mismos. Dicha
base de datos debe incluir, entre otras cosas, los certificados
publicados en el repositorio, las notificaciones de certificados
suspendidos o revocados publicadas por las autoridades certificantes
acreditadas, los archivos de autoridades certificantes autorizadas
y todo otro requisito exigido por la División. Para
ser reconocido, el repositorio debe operar bajo la dirección
de una autoridad certificante acreditada.
¿Que son los Servidores
de Certificados?
Son aplicaciones destinadas a crear, firmar
y administrar certificados de claves, y que permiten a una
empresa u organización constituirse en autoridad de
certificación para subvenir sus propias necesidades.
Los productos más famosos son Netscape Certificate
Server y OpenSoft.
Verisign – Ejemplo
de Entidad de Certificación
VeriSign es una de las empresas que brinda
servicios de certificación. Estos servicios han sido
diseñados básicamente para brindar seguridad
al comercio electrónico y a la utilización de
la firma digital. Para el logro de este objetivo, las autoridades
de emisión (Issuing Authorities, "IA") autorizadas
por VeriSign funcionan como terceras partes confiables, emitiendo,
administrando, suspendiendo o revocando certificados de acuerdo
con la práctica pública de la empresa.
Las IA facilitan la confirmación de
la relación existente entre una clave pública
y una persona o nombre determinado. Dicha confirmación
es representada por un certificado: un mensaje firmado digitalmente
y emitido por una IA.
El proceso de certificación incluye
servicios de registro, "naming", autenticación,
emisión, revocación y suspensión de los
certificados. Esta empresa ofrece tres niveles de servicios
de certificación. Cada nivel o clase de certificados
ofrece servicios específicos en cuanto a funcionalidad
y seguridad. Los interesados eligen entre estos grupos de
servicios el que más le conviene según sus necesidades,
debiendo especificar qué clase de certificado desean.
Dependiendo de la clase de certificado requerido, los interesados
pueden solicitarlos y obtenerlos electrónicamente siguiendo
las instrucciones detalladamente indicadas, o deberán
concurrir personalmente a una Autoridad de Registro Local
o LOCAL REGISTRATION AUTHORITY (LRA), o a un delegado, que
puede ser un notario. Pueden existir varias "IA"
para cada uno de los distintos niveles. Cumplidos los requisitos
exigidos se emite el certificado o se envía un borrador
para su aceptación por el interesado, según
el caso.
Tipos de certificados:
a) Certificados
Clase 1: son emitidos y comunicados electrónicamente
a personas físicas, y relacionan en forma indubitable
el nombre del usuario o su "alias" y su dirección
de E-mail con el registro llevado por VeriSign. No autentican
la identidad del usuario. Son utilizados fundamentalmente
para Web Browsing y E-mail, afianzando la seguridad de sus
entornos.
En general, no son utilizados para uso comercial, donde se
exige la prueba de identidad de las partes.
b) Certificados
Clase 2: son emitidos a personas físicas, y
confirman la veracidad de la información aportada en
el acto de presentar la aplicación y que ella no difiere
de la que surge de alguna base de datos de usuarios reconocida.
Es utilizado para comunicaciones intra-inter organizaciones
vía E-mail; transacciones comerciales de bajo riesgo;
validación de software y suscripciones on line. Después
del acuerdo del usuario, realizado on line ante una LRA, los
datos contenidos en la aplicación son confirmados comparándolos
con una base de datos reconocida. Teniendo en cuenta dicha
confirmación la LRA puede aprobar o rechazar la aplicación.
En caso de aprobación, la conformación es enviada
por correo. Debido a las limitaciones de las referidas bases
de datos, esta clase de certificados está reservada
a residentes en los Estados Unidos y Canadá.
c) Los Certificados
Clase 3: son emitidos a personas físicas y organizaciones
públicas y privadas. En el primer caso, asegura la
identidad del suscriptor, requiriendo su presencia física
ante una LRA o un notario. En el caso de organizaciones asegura
la existencia y nombre mediante el cotejo de los registros
denunciados con los contenidos en bases de datos independientes.
Son utilizados para determinadas aplicaciones de comercio
electrónico como 'electronic banking' y ELECTRONIC
DATA INTERCHANGE (EDI). Como las autorizadas por VERISIGN
firman digitalmente los certificados que emiten, la empresa
asegura a los usuarios que la clave privada utilizada no está
comprometida, valiéndose para ello de productos de
hardware. Asimismo, recomiendan que las claves privadas de
los usuarios sean encriptadas vía software o conservadas
en un medio físico (smart cards o PC cards).
Fuente:
Fernando Ramos Suárez - Departamento
Comercio Electrónico - Anguiano&Asociados.
Pedro M González Gómez - Firma
Digital y Certificado Digital
COMPARATIVO
DE LEGISLACIONES SOBRE FIRMA Y CERTIFICADO DIGITAL
Generales - Ley Peruana - Proyecto Ley Chilena - Real Decreto
- Ley de España
| Modelo |
Estado fija entidad gubernamental competente |
Democratico, usuario opta entre sistema publico de acreditacion,
el privado o no escoge ningun sistema |
Democrático, con regulaciones. Cualquier persona
física o jurídica puede prestar servicios
de certificación pero sólo aquellas certificaciones
realizadas por proveedores acreditados otorgan efectos
jurídicos plenos a la firma electrónica.
Si bien mantiene su independencia jurídica, opera
dentro del marco legal de la Directiva de la Unión
Europea.
|
| Objeto |
Igualar validez y juridica con manuscrita |
Idem anterior, excepto para actos que exigen solemnidad,
los personalisimos y del derecho de familia |
Otorgar al usuario la necesaria confianza en la realización
de transacciones electrónicas |
| Ambito de aplicación |
Firmas sobre mensajes que permitan vincular e identificar
al firmante |
Regular en general la firma digital |
Idem |
Firma Digital
Definición
|
Es aquella que utiliza tecnica de criptografia
asimetrica basada en par de claves unico una publica y
una privada |
Firma Electronica Avanzada: aquella creada
usando medios bajo exclusivo control del titular, garantizando
su identidad y autoria e integridad del documento.
Firma Electronica Simple: aquella que no reune alguno
de los requisitos. |
Es el conjunto de datos, en forma electrónica,
anexos a otros datos electrónicos o asociados funcionalmente
con ellos, utilizados como medios para identificar formalmente
al autor o autores del documento que la recoge. Dentro
del concepto general de firma electrónica, se menciona
como categoría particular el de firma digital ,
que es aquella basada en la criptografía asimétrica.
Al igual que la ley chilena, plantea el concepto de
firma electrónica avanzada a aquella que permite
la identificación del signatario y ha sido creada
por medios que éste mantiene bajo su exclusivo
control, de manera que está vinculada únicamente
al mismo y a los datos a los que se refiere, lo que
permite que sea detectable cualquier modificación
ulterior a ésto. |
Titular |
Persona a la que se atribuye de manera exclusiva un
Certificado Digital |
|
Denominado signatario. |
Obligaciones |
Brindar declaraciones /manifestaciones materiales exactas
y completas. |
|
|
Efectos jurídicos |
No aclara, pero se entiende iguales a la manuscrita |
Plena prueba si constan FEA certificada por prestador
acreditado. Si firma no certificada por entidad acreditada,
solo presuncion. |
Plenos e igualables a la firma manuscrita siempre y
cuando,
a) se trate de una firma electrónica avanzada
b) esté respaldada por un certificado reconocido
c) el mismo haya sido expedido por un prestador certificado
d) haya sido producida por un dispositivo seguro de
creación de firma
A efectos de facilitar el proceso de prueba - y a diferencia
de la Directiva Europea - presume la validez plena de
la firma siempre que se den los tres primeros requisitos
y que el cuarto se realice mediante un dispositivo de
acuerdo a determinadas normas técnicas especificadas
en la ley. |
Certificado Digital
Definición |
Documento electronico generado y firmado
digitalmente por entidad de certificacion y vincula par
de claves con persona confirmando su identidad. |
Certificacion electronica que da fe sobre
los datos referidos a firma electronica simple o avanzada. |
Denominado certificado electrónico,
es la certificación electrónica que vincula
datos de verificación de firma a un signatario
y confirma su identidad |
Contenido/ requisitos |
1. Datos suscriptor
2. Datos Entidad de Certificacion
3. Clave publica
4. Metodologia verificacion
5. Nro. serie certificado
6. Vigencia
7 Firma Digital de Entidad de Certificacion
|
1. Identificador de Autoridad de Certificacion
2. Nombre del titular con su Rol Unico Tributario
3. Dispositivo de verificacion de firma
4. Periodo de validez
5. Codigo identificativo unico del Certificado
6. FE de Autoridad de Certificacion
7. Limites uso del Certificado
8. Un atributo especifico del titular (ej. Direccion)
|
Como subespecie a la que se refiere el Real decreto-
ley se encuentra el certificado electrónico reconocido,
que es aquél que:
a) contiene:
· la identificación de que se expiden
como tal
· identificador del prestador de servicio de
certificación (nombre, razón social, domicilio,
número de identificación fiscal, etc.)
· firma electrónica avanzada del prestador
de servicios
· identificación del signatario por su
nombre y apellidos o a través de un pseudónimo
inequívoco
· la indicación en el documento que acredite
la facultad del signatario de actuar por sí o
en nombre de otra persona física o jurídica
· los datos de verificación de la firma
que correspondan a los datos de creación de la
misma y que se encuentren bajo el control del signatario
· el comienzo y el fin del período de
validez del certificado
· sus límites de uso
· si existen límites en el valor de las
transacciones para las que puede utilizarse el certificado
b) es expedido por un prestador de servicios de certificación
que cumple determinados requisitos |
Confidencialidad |
Entidad Certificante recaba datos directo del solicitante.
Solo puede revelar clave privada por orden judicial o
pedido del suscriptor. |
|
|
Extinción |
|
Por expiracion plazo convencional o maximo legal de
3 anos. |
El plazo de validez está definido en el mismo
certificado y sus plazos de validez regulados por la entidad
de registro. |
Cancelación |
1. Solicitud del titular
2. Revocacion de E.C.
3. Expiracion plazo
4. Cese de operaciones del E.C. |
Generalmente como sancion: se elimina la inscripcion
del prestador en el registro de prestadores acreditados. |
|
Revocación |
-Informacion certi- ficado inexacta o ha sido modifi-
cada
-Muerte del titular
-Incumplimiento relacion contractual
|
· Solicitud del suscriptor
· Muerte del titular / disolucion entidad juridica
· Resolucion judicial, quiebra.
|
|
Certificado digital
extranjero |
Misma validez y eficacia juridica del de Ley Peruana
solo si reconocido por entidad de certificacion nacional
del pais de origen |
|
No prevee restricciones para los estados miembros de
la Unión Europea (sin referencia a otros países) |
Entidad de certificación
Definición
|
Emite / cancela cetificados digitales mas
otros servicios |
Entidad Certificadora Acreditada: aquéllas
que se sujetan voluntariamente al procedimiento establecido
por ley. |
Es toda persona física o jurídica
(pública o privada) que expide certificados, pudiendo
prestar, además, otros servicios en relación
con la firma electrónica. |
| Modelo |
|
Deben actuar como Entidad de Registro (ER). Deben inscribirse
en ente estatal. Pueden ser nacionales o extranjeras,
publicas o privadas. Deben establecer residencia en Chile
Entidad Certificadora NO Acreditada:
Puede realizar libremente su actividad solo sujeta
a ciertas obligaciones comunes |
Abierto, con regulación. La prestación
de servicios de certificación no está sujeta
a autorización previa y se realiza en régimen
de libre competencia.
Sin embargo, para otorgar efectos jurídicos
plenos a la firma que certifica, el prestador debe estar
acreditado. A tales efectos el prestador deberá
inscribirse en un registro común y estará
sujeto a inspecciones por parte de la autoridad registral.
|
Entidad de registro
| Registro |
Debe estar disponible en forma permanente
para constatar clave publica |
Debe ser publico y es la obligacion mas
importante de los certificadores |
Exige el registro para tornar a los prestadores
del servicio de certificación en acreditados. |
| Entidad acreditadora |
El Poder Ejecutivo determinara autoridad administrativa
competente. Se identificara EC / ER |
Subsecretaria de Economia, Fomento y Reconstruccion.
Sistema de acreditacion voluntaria de los certificadores
de firma electronica avanzada. Existen redes de confianza
privada. |
|
| Otros aspectos |
|
· Neutralidad Tecnologica
· Capitulo de Derechos de los Usuarios
· Define al Usuario
· Uso por la Administracion del Estado (vigente
el DS Nro. 81 de 1999)
|
El Real decreto- ley no especifica en su texto los sistemas
de acreditación, los cuales deberán ser
reglamentados a posteriori.
|
|
