tema 20 5. sociedad de la información y firma electrónica

Anuncio
TEMA 20
5. SOCIEDAD DE LA
INFORMACIÓN Y FIRMA
ELECTRÓNICA
El desarrollo de la sociedad de la información y la difusión de los efectos positivos
que de ella se derivan exige la generalización de la confianza de la ciudadanía en
las comunicaciones telemáticas.
No obstante, los datos más recientes señalan que aún existe desconfianza por parte
de los intervinientes en las transacciones telemáticas y, en general, en las
comunicaciones que las nuevas tecnologías permiten a la hora de transmitir
información, constituyendo esta falta de confianza un freno para el desarrollo de la
sociedad de la información, en particular, la Administración y el comercio
electrónicos.
Como respuesta a esta necesidad de conferir seguridad a las comunicaciones por
internet surge, entre otros, la firma electrónica. La firma electrónica constituye un
instrumento capaz de permitir una comprobación de la procedencia y de la
integridad
de
los
mensajes
intercambiados
a
través
de
redes
de
telecomunicaciones, ofreciendo las bases para evitar el repudio, si se adoptan las
medidas oportunas basándose en fechas electrónicas.
5.1. Introducción
Tres problemas aquejan a los documentos electrónicos:
•
La confidencialidad se refiere a la capacidad de mantener un documento
electrónico inaccesible a todos, excepto a una lista determinada de
personas.
•
La integridad garantiza que el documento recibido coincide con el
documento emitido sin posibilidad alguna de cambio.
•
La autenticidad se refiere a la capacidad de determinar si una lista
determinada de personas ha establecido su reconocimiento y/o compromiso
sobre el contenido del documento electrónico.
El problema de la autenticidad en un documento tradicional se soluciona
mediante la firma autógrafa. Así un individuo, o varios, manifiestan su
voluntad de reconocer el contenido de un documento, y en su caso, a
cumplir con los compromisos que el documento establezca para con el
individuo.
Estos problemas, confidencialidad, integridad y autenticidad se resuelven mediante
la tecnología llamada criptografía. La criptografía es una rama de las matemáticas
que al aplicarse a mensajes digitales proporciona las herramientas idóneas para
solucionar los problemas antes mencionados.
Al problema de la confidencialidad se le relaciona comúnmente con técnicas
denominadas de cifrado y a los problemas de la integridad y la autenticidad con
técnicas denominadas de firma digital, aunque ambos en realidad se reducen a
procedimientos criptográficos de cifrado y descifrado.
Todos estos procesos definidos de firma y cifrado se basan en el uso de criptografía
asimétrica.
5.2. Conceptos Básicos
5.2.1. Identidad Personal
Como declara el Art. 6 Declaración Universal de Derechos Humanos, “Todo ser
humano
tiene
derecho,
en
todas
partes,
al
reconocimiento
de
su
personalidad jurídica”. Por tanto la identidad personal es un derecho de todo
ciudadano y los Estados tienen la obligación de establecer los mecanismos
adecuados para facilitársela.
Según la definición de la Real Academia Española de la Lengua, “La identidad es
el conjunto de rasgos propios de un individuo o de una colectividad que los
caracterizan frente a los demás”, y también “Conciencia que una persona
tiene de ser ella misma y distinta a las demás”.
Como se puede apreciar, la identidad personal es un concepto importante que toma
aún más valor en la actual Sociedad de la Información. De esta forma se entiende
la necesidad de establecer los medios y mecanismos más adecuados para que el
Estado otorgue esta identidad personal a sus ciudadanos.
Otorgar identidad personal a los ciudadanos adquiere una nueva dimensión cuando
se trata de establecerla para un uso no presencial en medios telemáticos. Y aunque
la
identidad
siempre
es
física,
es
necesario
establecer
mecanismos
y
procedimientos electrónicos para verificarla en estos nuevos ámbitos.
5.2.2. Criptografía Asimétrica
La criptografía asimétrica utiliza dos claves complementarias llamadas clave
privada y clave pública. Lo que está codificado con una clave privada necesita su
correspondiente clave pública para ser descodificado. Y viceversa, lo codificado con
una clave pública sólo puede ser descodificado con su clave privada.
La clave privada debe ser conocida únicamente por su propietario, mientras que la
correspondiente clave pública puede ser dada a conocer abiertamente. El hecho de
que la clave privada sólo sea conocida por su propietario nos permite conseguir dos
cosas importantes:
•
Cualquier documento generado a partir de esta clave necesariamente tiene
que haber sido generado por el propietario de la clave (firma electrónica).
•
Un documento al que se aplica la clave pública sólo podrá ser abierto por el
propietario de la correspondiente clave privada (cifrado electrónico).
5.2.3. Certificado Digital
Un certificado digital es un documento digital que identifica a una persona (física o
jurídica) con un par de claves. Un certificado contiene la siguiente información:
•
Identificación del titular del certificado (Nombre del titular, NIF, e-mail…).
•
Distintivos del certificado: número de serie, entidad que lo emitió, fecha de
emisión, periodo de validez del certificado, etc.
•
Una pareja de claves: pública y privada.
•
La firma electrónica del certificado con la clave de la autoridad de
certificación que lo emitió.
Esquema del contenido de un certificado digital.
Toda esta información puede dividirse en dos partes:
•
Parte privada del certificado: clave privada.
•
Parte pública del certificado: resto de datos del certificado, incluida la
firma electrónica de la autoridad de certificación que lo emitió.
La parte privada nunca es cedida por su propietario. Esta es la base de la
seguridad. Con la pareja de claves se pueden realizar funciones de cifrado con la
peculiaridad de que lo que se cifra con la privada sólo se puede verificar con la
pública y viceversa.
5.2.4. Firma Electrónica
La firma electrónica es un sistema de acreditación que permite verificar la
identidad de las personas con el mismo valor que la firma manuscrita,
autentificando las comunicaciones generadas por el firmante.
La Ley 59/2003, de 19 de diciembre, de firma electrónica define la firma electrónica
de la siguiente manera:
(Art. 3.1) La firma electrónica es el conjunto de datos en forma
electrónica, consignados junto a otros o asociados con ellos, que pueden
ser utilizados como medio de identificación del firmante.
Asimismo la Ley distingue entre firma electrónica avanzada y firma electrónica
reconocida:
•
(Art. 3.2) La firma electrónica avanzada es la firma electrónica que
permite identificar al firmante y detectar cualquier cambio ulterior de los
datos firmados, que está vinculada al firmante de manera única y a los
datos a que se refiere y que ha sido creada por medios que el firmante
puede mantener bajo su exclusivo control.
•
(Art. 3.3) Se considera firma electrónica reconocida la firma electrónica
avanzada basada en un certificado reconocido y generada mediante un
dispositivo seguro de creación de firma.
•
(Art. 3.4) La firma electrónica reconocida tendrá respecto de los datos
consignados en forma electrónica el mismo valor que la firma manuscrita en
relación con los consignados en papel.
Desde un punto de vista más técnico, podemos definir una firma electrónica
como una huella digital de un documento cifrado con una clave.
La huella digital se obtiene aplicando un algoritmo a un mensaje.
Este algoritmo tiene dos características fundamentales:
•
No existe la posibilidad de volver a obtener el mensaje partiendo de la huella
digital generada.
•
Si se cambia el mensaje, la huella digital que se obtiene es diferente.
Estas dos características garantizan la integridad del mensaje. Si se cambia el
contenido del mensaje, el que verifica la firma lo va a saber.
La huella digital se cifra con la clave privada del certificado de la persona que firma.
Aplicando los mecanismos de verificación, el receptor va a conocer quién firmó y
esa persona no puede repudiar la autoría del mensaje.
5.3. Procedimientos
5.3.1. Funcionamiento de la Firma
Electrónica
1. Cada parte tiene un par de claves, una se usa para cifrar y la otra para
descifrar.
2. Cada parte mantiene en secreto una de las claves (clave privada) y pone a
disposición del público la otra (clave pública).
3. El emisor obtiene un resumen del mensaje (huella digital) a firmar con una
función llamada hash (resumen). El resumen es una operación que se
realiza sobre un conjunto de datos, de forma que el resultado obtenido es
otro conjunto de datos de tamaño fijo, independientemente del tamaño
original, y que tiene la propiedad de estar asociado unívocamente a los
datos iniciales, es decir, es imposible encontrar dos mensajes distintos
que generen el mismo resultado al aplicar la función hash.
4. Se realiza el cifrado (mediante algoritmos matemáticos) de la huella digital
con la clave privada del certificado. Ésta es la firma electrónica que se
añade al mensaje original. De esta forma se garantiza la autenticidad ya que
es el propietario del certificado el único que ha podido realizar este cifrado.
5. Se encapsula toda la documentación en un documento firmado que incluye:
ƒ
Documento original (opcional).
ƒ
Huella digital cifrada con la clave privada.
ƒ
Parte pública del certificado.
6. El receptor, al recibir el mensaje, obtiene de nuevo su resumen mediante la
función hash. Además descifra la firma utilizando la clave pública del emisor
obteniendo el resumen que el emisor calculó. Si ambos coinciden la firma es
válida por lo que cumple los criterios ya vistos de autenticidad e integridad
además del de no repudio ya que el emisor no puede negar haber enviado el
mensaje que lleva su firma.
5.3.2. Obtener un Certificado Digital
El proceso de obtención de un certificado digital varía en función de la autoridad de
certificación emisora del certificado aunque principalmente se compone de los
siguientes pasos:
1. Generación de la solicitud del certificado digital: Generalmente a
través de una página web se realiza la solicitud del certificado introduciendo
una serie de datos personales. De esta solicitud el usuario obtendrá un
código de solicitud.
2. Acreditación de la identidad: En una oficina de registro el usuario debe
acreditarse y además identificar la solicitud realizada de forma telemática.
3. Obtención del certificado telemático: El procedimiento de obtención del
certificado telemático también varía en función de la autoridad de
certificación emisora. Puede ser remitido telemáticamente o entregado en
mano.
3.3. Instalar un Certificado Digital
Como paso previo a instalar un certificado digital necesario registrar en el
navegador el certificado de la autoridad de certificación emisora del certificado.
Para ello, hay que abrir la URL del certificado raíz en el navegador y aparecerá una
ventana como la siguiente (ejemplo para sistema operativo Windows):
Ventana de descarga del certificado digital. Será necesario pulsar en el botón
“Abrir” para efectuarla. Se accederá a continuación a una ventana como la
siguiente...:
... sobre la cual debemos pulsar en “Instalar certificado …” y seguir los pasos de
instalación.
Una vez instalado el certificado de la autoridad de certificación emisora, se puede
instalar en el navegador el certificado personal. La instalación se realizará de una
forma u otra dependiendo del navegador en uso, por ejemplo, para Internet
Explorer:
Herramientas / Opciones de Internet / Contenido / Certificados… / Importar
Asistente para la importación de certificados de Internet Explorer.
5.3.4. Revocación de un Certificado
Revocar un certificado supone cancelar la validez del certificado de forma
independiente del intervalo de validez del certificado.
Los motivos para revocar un certificado son variados. El más habitual es la
posibilidad de que haya visto comprometida la clave privada del certificado y que
por lo tanto exista otra persona que pueda realizar firmas en nombre de otras. Otro
posible motivo es que algún dato de los contenidos en el certificado deje de ser
válido.
Para revocar un certificado es necesario comunicárselo a la autoridad de
certificación por uno de los medios facilitados para ello (internet, telefónico…).
Una vez que un certificado está revocado, ninguna firma realizada con el certificado
tendrá validez legal.
5.3.5. Renovación de un Certificado
La renovación de un certificado tiene sentido cuando éste está próximo a su fecha
de expiración. En este caso, es necesario ponerse en contacto con la autoridad de
certificación emisora a través de los medios que ésta habilite para solicitar la
emisión de otro certificado con un nuevo periodo de validez.
5.3.6. Certificados y Navegadores
A continuación relacionamos algunas cuestiones relacionadas con el uso de un
certificado digital desde un navegador de internet:
•
El navegador, para poder utilizar un certificado, debe ser capaz de ejecutar
javascript además de componentes cliente (ActiveX o Applet).
•
No hay ningún problema para tener más de un certificado en un ordenador;
en el momento oportuno se preguntará cuál de los certificados es el que se
quiere utilizar.
•
Se puede proteger un certificado de dos formas. La primera consiste en
almacenar el certificado en una tarjeta criptográfica (el certificado del DNI
electrónico estará almacenado en una). La otra posibilidad consiste en
almacenar el certificado en el navegador protegido por una contraseña
especificándolo durante su instalación.
•
Se puede utilizar un certificado instalado en otro ordenador. En el caso de
tener el certificado almacenado en una tarjeta criptográfica es suficiente con
insertar la tarjeta en el otro ordenador. Si el certificado está almacenado en
el
navegador,
es
necesario
exportar
el
certificado
a
un
fichero
y
posteriormente importar el certificado en el navegador del nuevo ordenador.
5.4. DNI Electrónico (DNIe)
5.4.1. Introducción
El Documento Nacional de Identidad es un documento con una antigüedad de más
de 50 años, y está presente en la mayoría de las relaciones comerciales y
administrativas, y su número figura en un altísimo porcentaje de las bases de datos
de entidades y organismos públicos y privados.
El Documento Nacional de Identidad es el único documento de uso generalizado en
todos los ámbitos a nivel nacional y referente obligado para la expedición de otros
documentos (pasaporte, permiso de conducir, seguridad social, NIF, etc.).
De esta forma se puede afirmar que el Documento Nacional de Identidad goza de
una plena aceptación en la sociedad española.
El nacimiento del Documento Nacional de Identidad electrónico (DNIe)
viene a cubrir la necesidad de otorgar identidad personal a los ciudadanos
para su uso en la nueva Sociedad de la Información, además de servir de
dinamizador de la misma.
5.4.2. El DNIe
Con la Ley 59/2003, de 19 de diciembre, de firma electrónica el DNI electrónico
(DNIe) se convierte en una realidad. Con él se persigue conseguir:
•
Crear un documento que certifique la identidad del ciudadano no sólo en el
mundo físico, sino también ante transacciones telemáticas, permitiendo
firmar todo tipo de documentos electrónicos. Usando un dispositivo seguro
de creación de firma, la firma electrónica que se efectúe mediante el DNI
electrónico tendrá efectos equivalentes a los de una firma manuscrita.
•
Expedir el DNI electrónico en un solo acto administrativo, reduciendo así el
tiempo empleado para su obtención.
•
Interoperabilidad con los proyectos europeos de identificación digital.
•
Fomentar la confianza en las transacciones electrónicas.
•
Aceptación por parte de todas las Administraciones Públicas y Entidades de
Derecho Público vinculadas o dependientes de las mismas del uso del DNI
electrónico. (por ejemplo, para hacer la declaración de la renta, pedir un
certificado de empadronamiento, dar de alta en el registro de nacimientos o
reclamar el derecho a la pensión).
El DNIe electrónico tendrá un aspecto similar al de una tarjeta de crédito, y lo que
le dará la capacidad de identificar al ciudadano, así como ofrecerle la posibilidad de
firmar documentos electrónicos, será lo que se ha denominado Certificado de
Identidad Pública.
Este certificado irá incorporado en el DNI, y además de identificar al ciudadano
(autenticación), garantizará que la información no ha sido alterada (integridad)
y que el ciudadano ha realizado la transacción (no repudio).
5.4.3. Ventajas
•
En las relaciones entre ciudadanos: La firma electrónica del DNI
electrónico permite garantizar la identidad de la persona que realiza una
gestión, así como la integridad del contenido de los mensajes que envía. Por
tanto, los ciudadanos podrán consultar datos de carácter personal, realizar
trámites u otras gestiones o acceder a diferentes servicios públicos y
privados.
•
Proporciona el máximo grado de confidencialidad y seguridad en Internet.
•
Identifica a las partes que se conectan telemáticamente.
•
Da acceso a una inmejorable oferta de servicios en el ámbito de la gestión
de los derechos de autor.
•
En las relaciones con las Administraciones Públicas: El Art. 16.2 de la
Ley 59/2003 de Firma Electrónica indica que: “La Administración General del
Estado empleará, en la medida de lo posible, sistemas que garanticen la
compatibilidad de los instrumentos de firma electrónica incluidos en el
documento nacional de identidad electrónico con los distintos dispositivos y
productos de firma electrónica generalmente aceptados”.
La
Administración
General
del
Estado
será
uno
de
los
principales
proveedores de servicios que se podrán utilizar con el DNI electrónico, de
esta forma su utilización supone una ventaja en los trámites con la
Administración Pública, en la que ya no sería necesario la presencia
física para garantizar la identidad.
•
En las relaciones con las empresas: Las empresas deberán desarrollar
diferentes servicios basados en la identificación y firma electrónica, de forma
que dinamicen la relación comercial con sus clientes. Estos servicios podrán
ser ofrecidos con la máxima seguridad.
•
Desde el punto de vista empresarial y comercial el DNI electrónico se
convierte en una herramienta fundamental en las relaciones en el sector
privado.
5.4.4. Información Contenida
El DNI electrónico contiene la siguiente información:
•
Certificados X509v3 de ciudadano (autenticación y firma) y claves privadas
asociadas, que se generarán e insertarán durante el proceso de expedición
del DNI electrónico:
ƒ
Certificado de autenticación: El Ciudadano podrá, a través de su
Certificado de Autenticación, certificar su identidad frente a terceros,
demostrando la posesión y el acceso a la clave privada asociada a
dicho certificado y que acredita su identidad.
ƒ
Certificado de firma electrónica reconocida: Permitirá realizar y
firmar
acciones
y
asumir
compromisos
de
forma
electrónica,
pudiéndose comprobar la integridad de los documentos firmados por
el ciudadano haciendo uso de los instrumentos de firma incluidos en
él.
En el anverso de la tarjeta se encuentran los siguientes elementos:
•
•
En el cuerpo central de la tarjeta:
ƒ
Primer apellido
ƒ
Segundo apellido
ƒ
Nombre
ƒ
Sexo
ƒ
Nacionalidad
ƒ
Fecha de nacimiento
ƒ
Número de serie del soporte físico de la tarjeta (IDESP)
ƒ
Fecha de fin de validez
ƒ
Fecha de validez del documento
En la esquina inferior izquierda:
ƒ
•
Número del Documento Nacional de Identidad del Ciudadano
En el espacio destinado a la impresión de imagen láser cambiante (CLI):
ƒ
La fecha de expedición en formato DDMMAA
ƒ
La primera consonante del primer apellido + primera consonante del
segundo apellido + primera consonante del nombre (del primer
nombre en caso de ser compuesto)
El reverso de la tarjeta contiene los siguientes elementos:
•
•
En la parte superior:
ƒ
Lugar de nacimiento
ƒ
Provincia-País
ƒ
Nombre de los padres
ƒ
Domicilio
ƒ
Lugar de domicilio
ƒ
Provincia-país del domicilio
ƒ
Número de la oficina de expedición del DNIe
Información impresa OCR-B para lectura mecanizada sobre la identidad del
ciudadano según normativa OACI para documentos de viaje.
El DNI electrónico no contiene ninguna otra información relativa a datos
personales ni de cualquier otro tipo (sanitarios, fiscales, tráfico, etc.).
5. Marco Legal
COMUNITARIO:
•
Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13
de diciembre de 1999, por la que se establece un marco comunitario para la
firma electrónica.
•
Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de
junio de 2000, que regula algunos aspectos jurídicos del comercio
electrónico en el mercado interior.
ESTATAL:
•
Real Decreto-ley 14/1999, de 17 de septiembre, sobre firma electrónica
aprobado con el objetivo de fomentar la rápida incorporación de las nuevas
tecnologías de seguridad de las comunicaciones electrónicas en la actividad
de las empresas, los ciudadanos y las Administraciones públicas.
De este modo, se coadyuvaba a potenciar el crecimiento y la competitividad
de la economía española mediante el rápido establecimiento de un marco
jurídico para la utilización de una herramienta que aporta confianza en la
realización de transacciones electrónicas en redes abiertas como es el caso
de Internet.
El citado Real Decreto-ley incorporó al ordenamiento público español la
Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de
diciembre de 1999, por la que se establece un marco comunitario para la
firma electrónica, incluso antes de su promulgación y publicación en el Diario
Oficial de las Comunidades Europeas.
•
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal.
•
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información
y de comercio electrónico.
•
Ley 59/2003, de 19 de diciembre, de firma electrónica, tras cuya entrada
en vigor en marzo de 2004 quedó derogada el antiguo Real Decreto Ley
14/1999 de 17 de septiembre.
Esta Ley, es el resultado del compromiso asumido en la VI Legislatura,
actualizando a la vez el marco establecido en el Real Decreto-ley 14/1999
mediante la incorporación de las modificaciones que aconseja la experiencia
acumulada desde su entrada en vigor tanto en nuestro país como en el
ámbito internacional.
Esta Ley se promulga para reforzar el marco jurídico existente incorporando
a su texto algunas novedades respecto del Real Decreto-ley 14/1999 que
contribuirán a dinamizar el mercado de la prestación de servicios de
certificación.
Así, se revisa la terminología, se modifica la sistemática y se simplifica el
texto facilitando su comprensión y dotándolo de una estructura más acorde
con nuestra técnica legislativa.
Por otra parte, la Ley contiene las garantías que deben ser cumplidas por los
dispositivos de creación de firma para que puedan ser considerados como
dispositivos seguros y conformar así una firma electrónica reconocida.
La Ley consta de 36 artículos agrupados en seis títulos, 10 disposiciones
adicionales, dos disposiciones transitorias, una disposición derogatoria y tres
disposiciones finales.
El título I contiene los principios generales que delimitan los ámbitos
subjetivo y objetivo de aplicación de la ley, los efectos de la firma
electrónica y el régimen de empleo ante las Administraciones públicas y de
acceso a la actividad de prestación de servicios de certificación.
El régimen aplicable a los certificados electrónicos se contiene en el título
II, que dedica su primer capítulo a determinar quiénes pueden ser sus
titulares y a regular las vicisitudes que afectan a su vigencia. El capítulo II
regula los certificados reconocidos y el tercero el documento nacional de
identidad electrónico.
El título III regula la actividad de prestación de servicios de certificación
estableciendo
las
obligaciones
a
que
están
sujetos
los
prestadores
(distinguiendo con nitidez las que solamente afectan a los que expiden
certificados reconocidos), y el régimen de responsabilidad aplicable.
El título IV establece los requisitos que deben reunir los dispositivos de
verificación y creación de firma electrónica y el procedimiento que ha de
seguirse para obtener sellos de calidad en la actividad de prestación de
servicios de certificación.
Los títulos V y VI dedican su contenido, respectivamente, a fijar los
regímenes de supervisión y sanción de los prestadores de servicios de
certificación.
Por último, cierran el texto las disposiciones adicionales -que aluden a los
regímenes
especiales
que
resultan
de
aplicación
preferente-,
las
disposiciones transitorias -que incorporan seguridad jurídica a la actividad
desplegada al amparo de la normativa anterior-, la disposición derogatoria y
las
disposiciones
finales
relativas
al
fundamento
constitucional,
la
habilitación para el desarrollo reglamentario y la entrada en vigor.
•
Real Decreto 1553/2005, de 23 de diciembre, por el que se regula
documento nacional de identidad y sus certificados de firma electrónica.
5.6. Seguridad
En
base
a
los
principios
de
integridad,
autenticidad,
no
repudio
y
confidencialidad se ha construido una importante infraestructura consiguiendo
proveer todos estos valores añadidos a las comunicaciones telemáticas mediante la
firma electrónica.
Gracias a esta tecnología es posible el comercio electrónico en todas sus versiones;
en el caso del Ministerio de Fomento es de importancia el comercio electrónico
entre el ciudadano y la administración y el comercio electrónico entre las empresas
y la administración.
Así pues, la seguridad vista desde un plano técnico viene dada por la
criptografía de clave asimétrica aplicada a la firma electrónica de
documentos.
Existe otro plano en el que se hace necesaria la seguridad, este es el plano jurídico
y en el caso de España está garantizada a través de la Ley de Firma Electrónica.
Desde septiembre de 1999 es posible el uso de la firma electrónica en España en
documentos electrónicos. Y ello es debido al Real Decreto-Ley 14/1999, de 17 de
diciembre, sobre firma electrónica.
La certificación técnica de los dispositivos seguros de creación de firma electrónica
se basa en el marco establecido por la Ley 21/1992, de 16 de julio, de Industria y
en sus disposiciones de desarrollo. Para esta certificación se utilizarán las normas
técnicas publicadas a tales efectos en el Diario Oficial de las Comunidades Europeas
o, excepcionalmente, las aprobadas por el Ministerio de Ciencia y Tecnología.
Adicionalmente, la Ley establece un marco de obligaciones aplicables a los
prestadores de servicios de certificación, en función de si éstos emiten certificados
reconocidos o no, y determina su régimen de responsabilidad, teniendo en cuenta
los deberes de diligencia que incumben a los firmantes y a los terceros
destinatarios de documentos firmados electrónicamente.
5.7. Servicios de Certificación
Los sujetos que hacen posible el empleo de la firma electrónica son los
denominados prestadores de servicios de certificación. Para ello expiden
certificados electrónicos, que son documentos electrónicos que relacionan las
herramientas de firma electrónica en poder de cada usuario con su identidad
personal, dándole así a conocer en el ámbito telemático como firmante.
La Ley obliga a los prestadores de servicios de certificación a efectuar una
tutela y gestión permanente de los certificados electrónicos que expiden.
Los detalles de esta gestión deben recogerse en la llamada declaración de prácticas
de certificación, donde se especifican las condiciones aplicables a la solicitud,
expedición, uso, suspensión y extinción de la vigencia de los certificados
electrónicos. Además, estos prestadores están obligados a mantener accesible un
servicio de consulta sobre el estado de vigencia de los certificados en el que debe
indicarse de manera actualizada si éstos están vigentes o si su vigencia ha sido
suspendida o extinguida.
Asimismo, debe destacarse que la Ley define una clase particular de certificados
electrónicos denominados certificados reconocidos, que son los certificados
electrónicos que se han expedido cumpliendo requisitos cualificados en lo que se
refiere a su contenido, a los procedimientos de comprobación de la identidad del
firmante y a la fiabilidad y garantías de la actividad de certificación electrónica.
Los certificados reconocidos constituyen una pieza fundamental de la llamada firma
electrónica reconocida, que se define siguiendo las pautas impuestas en la
Directiva 1999/93/CE como la firma electrónica avanzada basada en un certificado
reconocido y generada mediante un dispositivo seguro de creación de firma. A la
firma electrónica reconocida le otorga la Ley la equivalencia funcional con la firma
manuscrita respecto de los datos consignados en forma electrónica.
El Portal de Fomento admite certificados de las siguientes entidades certificadoras:
•
Dirección General de la Policía
•
Fábrica Nacional de Moneda y Timbre (FNMT)
•
Autoridad de Certificación de la Comunidad Valenciana (ACCV)
•
CATCert
•
Ziurtapen eta serbitzu enpresa, IZENPE S.A.
•
Agencia Notarial de Certificación S.L. Unipersonal (ANCERT)
•
ANF Autoridad de Certificación
•
Banco Español de Crédito, S.A. (BANESTO)
•
Camerfirma
•
Colegio de Ingenieros de Caminos, Canales y Puertos (CICCP)
•
Consejo General de la Abogacía (ACA)
•
Firmaprofesional, S.A.
•
Servicio de Certificación del Colegio de Registradores (SCR)
Por otra parte, Fábrica Nacional de Moneda y Timbre (FNMT), ofrece los siguientes
servicios relacionados:
•
Servicio de Validación de Certificados para la comprobación de
certificados de ciudadano. Este servicio en se encuentra disponible en la
siguiente URL:
http://av-dnie.cert.fnmt.es/validayfirma/validar_cert.jsp
•
Servicio de Verificación de Firmas mediante el que un ciudadano podrá
verificar firmas en varios formatos. Este servicio se encuentra disponible en
la siguiente URL:
http://av-dnie.cert.fnmt.es/validayfirma/verificar_firma.jsp
•
Servicio OCSP: Comprobación del estado de un certificado mediante
consultas OCSP (Online Certificate Status Protocol) que cumplan el formato
propuesto en IETF RFC 2560. Disponible en:
http://av-dnie.cert.fnmt.es/ocsp-a/OCSPServlet
Descargar