 |
||
 |
|
NORMATIVA SOBRE FIRMA DIGITAL OBJETIVOS 1. Normar la equiparación de la firma digital a la firma ológrafa para permitir la digitalización y despapelización de los circuitos administrativos del Estado. . 2. Crear las condiciones para el uso confiable del documento digital suscripto digitalmente en el ámbito del Sector Público. 3. Reducir el riesgo de fraude en la utilización de documentos digitales al suscribirlos digitalmente. . INTRODUCCION La necesidad de elevar la productividad del Estado, simplificando sus sistemas administrativos y de gestión y mejorando su transparencia, propicia la introducción de mecanismos informáticos a tal fin. Estos mecanismos informáticos, como por ejemplo el correo electrónico y la gestión de formularios electrónicos (workflow) utilizan al documento digital (mensaje, registro o archivo informático) como principal medio de almacenamiento y transporte de la información. . Ciertos procedimientos administrativos manejan documentos cuya información debe ser oponible a terceros. Al informatizar dichos procedimientos, se impone a su vez que los documentos digitales producidos en consecuencia, sean también oponibles a terceros. Esto sólo puede lograrse mediante el empleo de la firma digital sustentada por un marco normativo apropiado que equipare la firma digital a la firma ológrafa. . REQUISITOS DE LA NORMATIVA De los documentos digitales oponibles a terceros La oponibilidad frente a terceros de un documento digital requiere simultáneamente de la identificación del autor y la garantía de integridad de su contenido, lo cual únicamente puede lograrse mediante la firma digital y según mecanismos apropiados. . Consecuencias de la omisión en la normativa del requisito de utilización de firma digital a través de mecanismos apropiados: La ausencia de esta precisión acarreará la falta de garantía suficiente de la identificación del autor y la integridad del contenido del documento, por lo que la utilización de otros mecanismos que no brinden la misma garantía, imposibilitarían que la documentación fuera oponible a terceros. . De la equiparación de la firma digital a la firma ológrafa Este punto constituye la esencia de la normativa, al permitir que quienes opten por utilizar documentos digitales suscriptos digitalmente obtengan garantías legales similares a las que brinda la firma ológrafa sobre el soporte papel. . La firma ológrafa permite simultáneamente identificar a su autor así como imputarle la autoría del texto que precede a la misma. Por ello, el mecanismo de firma digital a ser utilizado deberá cumplir con estos requisitos básicos de, simultáneamente identificar al autor, y asegurar la integridad del contenido. . Consecuencias de la omisión de equiparar la firma digital a la firma ológrafa: Sin esta equiparación en la normativa, el documento digital suscripto digitalmente no sería oponible a terceros, imposibilitándose así las iniciativas de modernización tecnológica, informatización y despapelización del Estado. . De la elección de la criptografía asimétrica como medio para instrumentar la firma digital La criptografía asimétrica (también denominada de clave pública) constituye el único método actualmente capaz de implementar la firma digital, pues cumple con las características esenciales de la firma ológrafa, es decir que permite simultáneamente identificar en forma inequívoca al autor y verificar indubitablemente que el mensaje no ha sido alterado desde el momento de su firma (integridad), en la medida en que se hayan tomado todos los recaudos necesarios para una buena implementación. El mecanismo de clave pública es el único que no requiere la divulgación de la clave privada (secreta) utilizada por el firmante para suscribir o comprobar la firma digital de un documento, por lo que constituye el único sistema capaz de dar lugar a una firma digital que, en el marco de una adecuada normativa, sea oponible a terceros. Consecuencias de la omisión del requerimiento de criptografía de clave pública en la normativa: En la actualidad, para documentos digitales, ningún otro mecanismo permite simultáneamente identificar en forma inequívoca al autor y verificar que el mensaje no ha sido alterado desde el momento de su firma (integridad), con lo cual la firma digital no podría equipararse con la ológrafa y el documento digital no sería oponible a terceros de omitirse la metodología de criptografía de clave pública (asimétrica) en la regulación legal. De las autoridades certificantes de claves públicas y de los certificados de clave pública La autoridad certificante de claves públicas certifica la correspondencia entre una clave pública y la persona física o jurídica titular de la misma, mediante la emisión de un certificado de clave pública. Este certificado permite identificar inequívocamente al firmante del documento digital, evitando así la posibilidad del repudio. . Consecuencias de la omisión del requerimiento de autoridades certificantes de claves públicas y de certificados de clave pública: Al no poder asociar una clave pública con su titular, no sería posible identificar inequívocamente al firmante de un documento digital, por lo que el documento sería repudiable y el sistema carecería de confiabilidad. . Aspectos a tener en cuenta para elaborar la normativa: En cuanto a las autoridades certificantes: · Enunciar los requisitos que debe reunir una entidad para actuar como autoridad certificante. . · Establecer las causales de revocación o suspensión de la licencia de una autoridad certificante. . · Establecer en todos los casos la publicidad de sus procedimientos de modo de permitir su conocimiento por terceros. . · Establecer las bases de control a través de auditorías, a fin de evaluar la gestión de las autoridades certificantes. . · Determinar los alcances de la responsabilidad por la actuación de las partes involucradas (autoridades certificantes, titulares de pares de claves, y organismos de contralor). En cuanto a los certificados de clave pública: · Enunciar los requisitos de normalización de acuerdo a estándares internacionales. · Determinar las condiciones de vigencia de los certificados de clave pública (emisión, aceptación, revocación, suspensión y expiración). · Establecer los derechos y obligaciones del suscriptor y de la autoridad certificante emisora. · Establecer los requisitos de publicación de los certificados y las listas de certificados revocados o suspendidos. . Justificación de mencionar en la normativa a un único mecanismo de firma digital: El objetivo en la redacción de una normativa de esta especie debe ser el contemplar estándares tecnológicos de mínima que aseguren la determinación de la autoría de la firma digital y la inalterabilidad del contenido del documento digital así suscripto. La propuesta de utilizar criptografía de clave pública no es restrictiva por las siguientes razones: · Aunque en el futuro se desarrollen otros mecanismos para implementar firmas digitales, las futuras normativas que los implementen no tienen necesariamente que invalidar el de clave pública, de la misma manera que la normativa que se propone no invalidará la utilización de la firma ológrafa. · Una normativa de este alcance no debe hacer referencia a una tecnología en particular. El mecanismo de clave pública no es una tecnología, sino una familia de métodos matemáticos (algoritmos) que admiten distintas implementaciones tanto en hardware como en software. De la misma manera, la implementación de la firma ológrafa no se relaciona con el tipo de papel utilizado. · El requerimiento de clave pública no es restrictivo puesto que especifica a una familia de algoritmos criptográficos y no a uno en particular, permitiendo la utilización posterior de nuevos algoritmos mas eficientes a medida que sean descubiertos y probados. · Los mecanismos criptográficos simétricos por su naturaleza, requieren que la misma clave secreta sea utilizada para encriptar como para desencriptar un documento. Al necesariamente tener que compartir la clave secreta, la misma deja de serlo por lo que cualquier documento digital, "firmado" digitalmente por medio de un mecanismo criptográfico simétrico, sería pasible de repudio. De hecho no existe ninguna posibilidad lógica de implementar la firma digital basada en mecanismos criptográficos simétiricos. Como consecuencia, para evitar el problema del repudio, en 1977 se idearon los mecanismos criptográficos asimétricos (también denominados "de clave pública") que emplean DOS (2) claves distintas pero íntimamente relacionadas: la clave privada, que se mantiene secreta, nunca se divulga y se utiliza para firmar documentos digitales, y la clave pública que se publica y se utiliza para verificar las firmas basadas en la correspondiente clave privada. · El Comité de Seguridad de la Información de la Sección de Ciencia y Tecnología de la Asociación de Abogados de los E.E.U.U. ("Information Security Committee, Science & Technology Section, American Bar Association") en su Normativa de Firma Digital recomienda la utilización del mecanismo de clave pública como única alternativa para otorgarle a la firma digital el tratamiento de la firma ológrafa. Dicho Comité está integrado por representantes de los siguientes organismos gubernamentales : o Canada Department of Justice (Departamento de Justicia de Canadá) Justice o Commonwealth of Massachusetts (Estado de Massachusetts, EE.UU:) Justice o Georgia Secretary of State Office (Secretaría de Estado de Georgia, EE.UU.) Justice o Government of Quebec (Gobierno de Quebec, Canadá) Justice o Los Angeles County (Condado de Los Angeles, California, EE.UU.) Justice o NASA North American Space Administration (Administración Norteamericana del Espacio) Justice o NSA National Security Agency (Administración Nacional de Seguridad, EE.UU.) Justice o State of Utah (Estado de Utah, EE.UU.) Justice o U.S. Department of State (Departamento de Estado EE.UU.) Justice o U.S. Postal Inspection Service (Servicio de Inspección Postal, EE.UU.) Justice o U.S. Social Security Administration (Administración de la Seguridad Social de los EE.UU.) Justice o Utah Attorney General´s Office (Fiscalía del Estado de Utah, EE.UU.) Justice y de las siguientes instituciones:. o American Society of Notaries Public (Sociedad Americana de Notarios Públicos) o Chambres des Notaries du Quebec (Cámaras de Comercio de Quebec, Canadá) o Fedération Nationale des Chambres de Commerce et d'Industrie de Belgique (Federación Nacional de Cámaras de Comercio y de Industria de Bélgica) o International Law Institute (Instituto Internacional de Leyes) o International Union of Latin Notaries- Italy (Unión Internacional de Notarios Latinos - Italia) o National Notary Association (Asociación Nacional de Notarios, EE.UU.) o Notaries Society of England (Asociación de Notarios de Inglaterra) Society of Public Notaries of london (Asociación de Notarios Públicos de Londres, Inglaterra) o U.S. Council for International Business (Consejo de Comercio Internacional de los EE.UU.) o Université de Montréal (Universidad de Montreal, Canadá). o University of Miami Law School (Universidad de Derecho de Miami, Florida, EE.UU.) o Múltiples estándares internacionales de firma digital requieren el mecanismo de clave pública. o El mecanismo de clave pública tiene amplia difusión y no está relacionado con ningún proveedor o país en particular. CONCLUSIONES La normativa sobre firma digital permitirá: · la digitalización de cualquier circuito de información, · la generalización de la utilización de firma digital a través de la adopción de pautas uniformes que permitan verificar la autenticidad e integridad de los documentos digitales que requieran firma para su validez, y · un menor riesgo de fraude en los documentos digitales suscriptos digitalmente. Anexo - Firma Digital - Aspectos Técnicos Relevantes (Fuente: Adaptación de http://www.verisign.com/faqs/nota_faq.html - Appendix 1 La criptografía de clave pública utiliza un par de claves. Cada clave efectúa una transformación unívoca sobre los datos y es función inversa de la otra clave: sólo una clave puede "deshacer" lo que su par ha "hecho". El poseedor de una clave pública la da a conocer, manteniendo secreta su clave privada. Para enviar un mensaje confidencial, el autor lo codifica (encripta) con la clave pública del receptor. El mensaje encriptado de esa manera sólo puede ser decodificado (desencriptado) con la clave privada del receptor. En sentido inverso, el emisor puede codificar sus datos con su clave privada, o sea que la clave puede ser utilizada en ambas direcciones. Esta es la base de la "firma digital", ya que si un usuario puede desencriptar un mensaje con la clave pública de una persona, sólo esta última pudo haber usado su clave privada inicialmente para encriptarlo. Partiendo de que sólo el poseedor de la clave privada puede utilizarla, el mensaje encriptado se transforma en una firma digital, es decir un documento que ninguna otra persona pudo haber generado. Una firma digital se crea aplicando un algoritmo de "hash" (proceso que permite obtener un mensaje de longitud menor a partir de un documento, siendo prácticamente imposible encontrar otro mensaje que genere el mismo resumen) sobre un mensaje de texto. El resultado de este proceso es un digesto o resumen. Luego se encripta el digesto con la clave privada del individuo que envía el mensaje, transformándolo en una firma digital. Esta firma sólo puede ser desencriptada con la clave pública del mismo individuo. El receptor del mensaje desencripta la firma digital y luego recalcula el digesto. Luego éste nuevo digesto es comparado con el digesto del mensaje contenido en la firma. Si ambos coinciden, se concluye que el mensaje no ha sido alterado. Al utilizar la clave pública del emisor para verificar la firma, se comprueba que el texto tiene que haber sido firmado con la clave privada conocida únicamente por el emisor. Este proceso de autenticación se incorporará en todas las aplicaciones consideradas seguras. Los usuarios de estas tecnologías de firma digital generalmente anexan su clave pública al documento enviado, de manera tal que el receptor no necesita localizar dicha clave en un repositorio de claves públicas. Pero ¿cómo puede el receptor asegurarse de que esa clave pública, o inclusive del directorio público, pertenece realmente a la persona que dice poseerla? ¿Puede un tercero ingresar en la red como un usuario legítimo, esperando y observando como otros, sin saberlo, envían documentos sensibles y/o secretos a una cuenta falsa creada por ese impostor?. La solución es el certificado de clave pública, una especie de "pasaporte" o identificador digital. El certificado (que contiene la clave pública del usuario) ha sido firmado por alguien confiable: una Autoridad Certificante. El notario público da sustento al proceso de claves públicas dando fe de la identidad del poseedor de la clave pública en la solicitud de aprobación del firmante. . .
|
RESOLUCIÓN SFP 45-97. ANEXO