Infraestructura de Firma Digital del Sector Público Nacional Septiembre de 2001 1 Expositores C.P. M. Patricia Prandini pprandin@pki.gov.ar Subdirectora Nacional Oficina Nacional de Tecnologías de Información Dra. Mercedes Rivolta mrivolta@pki.gov.ar Administradora Gubernamental Oficina Nacional de Tecnologías de Información 2 Temario ! Problemática ! Conceptos generales ! Avances en la materia Normativa Aplicaciones ! Conclusión 3 Escenario Actual ! Un documento electrónico es fácilmente alterable ! No es posible determinar con certeza el autor No permite reemplazar el papel Es repudiable 4 Necesitamos ... ! Atribuir el documento a su autor ! Verificar la no alteración del contenido ! Garantizar el NO REPUDIO 5 Firma Digital ! Conjunto de datos expresados en formato digital, utilizados como método de identificación de un firmante y de verificación de la integridad del contenido de un documento digital, que cumpla con los siguientes requisitos: 6 Firma Digital - Requisitos ! pertenecer únicamente a su titular ! encontrarse bajo su absoluto y exclusivo control ! ser susceptible de verificación ! estar vinculada a los datos del documento digital, poniendo en evidencia su alteración 7 Firma Digital: ¿Cómo funciona? Cuando se Firma Cuando se Verifica Digesto Digesto ¿? Firma Firma Privada Nombre y Pública Apellido Nombre y Pública Apellido 8 Infraestructura de FD (PKI) ! Autoridades Certificantes: Terceras partes confiables que dan fe de la veracidad de la información incluida en los certificados digitales que emiten ! Certificado digital Documento electrónico firmado digitalmente que relaciona una entidad con una clave pública DNI digital 9 Infraestructura de FD (PKI) Sistema de hardware, software, personal, normas y procedimientos que proveen garantías de seguridad para los documentos, transacciones y comunicaciones electrónicas 10 Sistema de Firma Digital 4 actores principales: ! Quien firma (el suscriptor) ! Quien(es) necesita(n) verificar la firma ! Quien testimonia que una firma digital pertenece a una cierta persona ! Quien controla el sistema 11 Marco Normativo Escenario Internacional 12 Escenario Internet Transacciones en la Red Seguridad Objetivo Legal: Eliminar las barreras legales que impiden la aplicación del derecho interno de los países a esta nueva realidad del comercio electrónico. 13 Derecho Comparado: Aspectos relevantes ❖ Sistema de Acreditación ❖ Potestad del Estado ❖ Responsabilidad de AC ❖ Efectos jurídicos de la firma digital / electrónica ❖ Presunciones ❖ Alcances de las normas ❖ Neutralidad tecnológica pero no tanto ..... ❖ Reconocimiento de certificados extranjeros ❖ Protección del consumidor 14 Situación Internacional 1998 1997 1996 2000 2001 15 Marco Normativo Escenario Nacional 16 ARGENTINA Firma digital ! Resolución SFP Nº 45 del 17 de marzo de 1997 ! Decreto N° 427/98 ! Resolución N° 194/98 SFP ! Resolución N° 212/98 SFP ! Ley 25.237 Presupuesto Adm. Pca. Nac. año 2000 (Art. 61) SIGEN ! DA Nº 102/00 ! Decreto 673/01 - Secretaría para la Modernización del Estado ! Decreto 889/01 - Subsecretaría de la Gestión Pública Oficina Nacional de Tecnologías de Información 17 Decreto Nº 427/98 Infraestructura de Firma Digital para la APN Actos internos de la Administración Dos años, prorrogados Autoridad de Aplicación, dicta estándares tecnológicos, Organismo Licenciante Define las partes y sus funciones y obligaciones Define qué es una firma digital, basada en la criptografía asimétrica Obliga a mantener en secreto la clave privada 18 Composición de la Infraestructura Autoridad de Aplicación Secretaría para la Modernización del Estado JGM Organismo Licenciante: Oficina Nacional de Tecnologías de Información Autoridades Certificantes Licenciadas: Organismos de la APN que soliciten sus licencias Agentes Públicos: Solicitan sus certificados de clave pública a una Autoridad Certificante Licenciada Organismo Auditante: SIGEN 19 Argentina PROYECTOS DE LEY Código Unificado Civil y Comercial: En los instrumentos generados por medios electrónicos, el requisito de la firma de una persona queda satisfecho si se utiliza un método para identificarla, y ese método asegura razonablemente la autoría e ineralterabilidad del instrumento. 20 Argentina - Proyectos de ley Proyecto de ley PEN de firma digital julio 1999 Proyecto de ley Diputados Fontdevila y Parentella 15 junio 2000 Proyecto de ley Senadores Del Piero y Molinari Romero 20 de junio 2000 Proyecto de ley Diputado Corchuelo Blasco 10 julio 2000 Proyecto de ley Diputada Adriana Puiggros 4 de septiembre 2000 Proyecto de ley Diputado Cardesa Noviembre 2000 Proyecto de ley Diputado Atanasoff Noviembre 2000 21 Argentina - Estado actual Cámara Diputados - Sanción 15.08.01 Sistema de acreditación obligatorio Infraestructura de Firma Digital Autoridad de Aplicación Jefatura de Gabinete de Ministros Efectos jurídicos de la Firma digital: Presunciones iuris tantum de autoría e integridad Efectos jurídicos de la Firma electrónica Neutralidad Tecnológica Reconocimiento de certificados extranjeros Protección del consumidor 22 Proyecto de ley - Aspectos generales Objeto. Se reconoce el empleo de la firma electrónica y de la firma digital y su eficacia jurídica en las condiciones que establece la presente ley. Del requerimiento de firma. Cuando la ley requiera una firma manuscrita, esa exigencia también queda satisfecha por una firma digital. Este principio es aplicable a los casos en que la ley establece la obligación de firmar o prescribe consecuencias para su ausencia 23 Aspectos generales Exclusiones. Las disposiciones de esta ley no son aplicables: a) a las disposiciones por causa de muerte; b) a los actos jurídicos del derecho de familia; c) a los actos personalísimos en general; d) a los actos que deban ser instrumentados bajo exigencias o formalidades incompatibles con la utilización de la firma digital, ya sea como consecuencia de disposiciones legales o acuerdo de partes. 24 Aspectos generales Documento digital. Se entiende por documento digital a la representación digital de actos o hechos, con independencia del soporte utilizado para su fijación, almacenamiento o archivo. Un documento digital también satisface el requerimiento de escritura. 25 Aspectos generales Original. Los documentos electrónicos firmados digitalmente y los reproducidos en formato digital firmados digitalmente a partir de originales de primera generación en cualquier otro soporte, también serán considerados originales y poseen, como consecuencia de ello, valor probatorio como tales, según los procedimientos que determine la reglamentación. 26 Aspectos generales Conservación. La exigencia legal de conservar documentos, registros o datos, también queda satisfecha con la conservación de los correspondientes documentos digitales firmados digitalmente, según los procedimientos que determine la reglamentación, siempre que sean accesibles para su posterior consulta y permita determinar fehacientemente el origen, destino, fecha y hora de su generación, envío y/o recepción. 27 Aspectos generales Firma Digital. Se entiende por firma digital al resultado de aplicar a un documento digital un procedimiento matemático que requiere información de exclusivo conocimiento del firmante encontrándose esta bajo su absoluto control. La firma digital debe ser susceptible de verificación por terceras partes tal que dicha verificación simultáneamente permita identificar al firmante y detectar cualquier alteración del documento digital posterior a su firma. Los procedimientos de firma y verificación a ser utilizados para tales fines serán los determinados por la Autoridad de Aplicación en consonancia con estándares tecnológicos internacionales vigentes. 28 Aspectos generales Firma electrónica. Se entiende por firma electrónica al conjunto de datos electrónicos integrados, ligados o asociados de manera lógica a otros datos electrónicos, utilizado por el signatario como su medio de identificación, que carezca de alguno de los requisitos legales para ser considerada firma digital. En caso de ser desconocida la firma electrónica corresponde a quien la invoca acreditar su validez. 29 Aspectos generales Presunción de autoría. Se presume, salvo prueba en contrario, que toda firma digital pertenece al titular del certificado digital que permite la verificación de dicha firma. Presunción de integridad. Si el resultado de un procedimiento de verificación de una firma digital aplicado a un documento digital es verdadero, se presume, salvo prueba en contrario, que este documento digital no ha sido modificado desde el momento de su firma. 30 Aspectos generales Validez. Una firma digital es válida si cumple con los siguientes requisitos: • haber sido creada durante el periodo de vigencia del certificado digital válido del firmante; • ser debidamente verificada por la referencia a los datos de verificación de firma digital indicados en dicho certificado según el procedimiento de verificación correspondiente; • que dicho certificado haya sido emitido o reconocido, según el artículo 16 de la presente, por un certificador licenciado. 31 Aspectos generales Remitente. Presunción. Cuando un documento digital sea enviado en forma automática por un dispositivo programado y lleve la firma digital del remitente se presumirá, salvo prueba en contrario, que el documento firmado proviene del remitente. 32 Certificadores licenciados Del certificador licenciado. Se entiende por certificador licenciado a toda persona de existencia ideal, registro público de contratos u organismo público que expide certificados y presta otros servicios en relación con la firma digital y cuenta con una licencia para ello, otorgada por el Ente Licenciante. La actividad de los certificadores licenciados no pertenecientes al Sector Público se prestará en régimen de competencia. El arancel de los servicios prestados por los Certificadores Licenciados será establecido libremente por éstos. 33 Certificadores licenciados Certificados por profesión. Las entidades que controlan la matrícula, en relación a la prestación de servicios profesionales, podrán emitir certificados digitales en lo referido a esta función, con igual validez y alcance jurídico que las efectuadas en forma manuscrita. A ese efecto deberán cumplir los requisitos para ser certificador licenciado. 34 Certificadores licenciados Desconocimiento de la validez de un certificado digital. Un certificado digital no es válido si es utilizado: a) para alguna finalidad diferente a los fines para los cuales fue extendido; b) para operaciones que superen el valor máximo autorizado cuando corresponda; c) una vez revocado. 35 Organización institucional Infraestructura de firma digital Sistema de Auditoría Comisión Asesora para la Infraestructurade Firma Digital 36 Responsabilidad Convenio de partes. La relación entre el certificador licenciado que emita un certificado digital y el titular de ese certificado se rige por el contrato que celebren entre ellos, sin perjuicio de las previsiones de la presente ley y demás legislación vigente. 37 Responsabilidad Responsabilidad de los certificadores licenciados ante terceros. El Certificador que emita un Certificado Digital, o lo reconozca en los términos del art. 16 de la presente ley, es responsable por los daños y perjuicios que provoque, por los incumplimientos a las previsiones de la presente ley, por los errores u omisiones que presenten los certificados digitales que expida, por no revocarlos en legal tiempo y forma cuando así correspondiere y por las consecuencias imputables a la inobservancia de procedimientos de certificación exigibles. Corresponderá al prestador del servicio, demostrar que actuó con la debida diligencia. 38 Responsabilidad Limitaciones de responsabilidad. Los Certificadores Licenciados no son responsables en los siguientes casos: a) por los casos que se excluyan taxativamente en las condiciones de emisión y utilización de sus certificados y que no estén expresamente previstos en la ley; b) por los daños y perjuicios que resulten del uso no autorizado de un certificado digital, si en las correspondientes condiciones de emisión y utilización de sus certificados constan las restricciones de su utilización; 39 Contrataciones Públicas Decreto Nª 1023/01 Contrataciones públicas electrónicas 40 Aplicaciones 41 En el mundo ... ! Australia 275.000 certificados digitales emitidos para PyMES ! España y Brasil Presentación de Declaraciones Juradas Impositivas ! Arizona (EEUU) Primera experiencia internacional de voto electrónico ! Entidades Financieras Proyecto “Identrus”, solución de autenticación entre Empresas y Bancos 42 En el mundo ... ! EEUU Departamento de Veteranos de Guerra (10.000 CDs) y el FEMA (100.000 CDs) ! España Censo Nacional de Población usando Certificados Digitales ! Reino Unido Proyecto “Government Gateway” para presentaciones de impuesto al valor agregado, Solicitud de subsidios y presentaciones del sistema de impuestos internos ! Bélgica Documentos de identidad electrónico con Certificados digitales (en estudio) 43 En Argentina ... ! Infraestructura de Firma Digital Tecnología y marco tecnológico de autenticación para la Administración Pública ! Ministerio de Economía ComDoc - sistema de gestión de documentos ! CNV Remisión de información firmada digitalmente 44 En Argentina ... ! Ministerio de Justicia D.N.Reincidencia - Consulta de antecedentes Oficina Anticorrupción ! Secretaría para la Modernización del Estado ArCert – Cert. Digitales para autenticación Oficina Nacional de Contrataciones - Remisión de información de contrataciones ! Secretaría de Culto Remisión de información sobre entidades de culto a otros organismos 45 En Argentina ... ! Superiores Tribunales Provinciales Convenio de comunicación Interjurisdiccional ! CONICET Remisión de documentación mediante mail firmado ! Certificados para servidores 46 Infraestructura de Firma Digital del Sector Público Nacional ! 1996 Subcomité de Criptografía y FD ! 1998 Decreto Nº 427 ! 1998 Desarrollo de la IFD ! 1999 Firma digital de acuerdo por Presidentes de Argentina y Chile ! 1999 Primer Licenciamiento (M.E.) ! 2000 Prórroga del Decreto Nº 427 ! 2001 Proyecto de Ley con media sanción 47 Convenio de Comunicación Interjurisdiccional entre Superiores Tribunales Provinciales Poderes Judiciales Provinciales Convenio de Comunicación Electrónica Interjurisdiccional Protocolo Técnico - Art. 5to. SGP Sup. Trib. AC Autoridades de Registración 48 Sistema de Información de Contrataciones Problema Remisión de información sobre las distintas etapas de la contración a la ONC Solución Aproximadamente 100 UOC remiten información firmada digitalmente 49 Conclusión 50 Qué se necesita ! Contar con un marco legal adecuado ! Generar confianza en la firma digital ! Redefinir procesos de negocios y adminitrativos ! Desarrollar aplicaciones 51 Websites ! http://www.sgp.gov.ar ! Infraestructura de Firma Digital http://www.pki.gov.ar ! Autoridad Certificante http://ca.sgp.gov.ar ! Laboratorio de Firma Digital http://laboratorio.pki.gov.ar 52