Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Estudiantes:
2
Firmas digitales en el mundo físico......................................................................... 99
Aspectos técnicos .................................................................................................... 100
Estándares ........................................................................................................... 100
Arquitectura física y lógica de las soluciones con mecanismos de la firma .......... 104
Flujos de comunicación entre la aplicación y el dispositivo criptográfico .............. 104
Interoperabilidad en navegadores y sistemas operativos ..................................... 106
Uso de formatos avanzados ................................................................................. 107
Usos de los sellos de tiempo ................................................................................ 110
Verificación de la cadena de la certificación ......................................................... 115
Características específicas para la preservación en el tiempo de un documento
firmado digitalmente. ................................................................................................ 118
Gestión documental .............................................................................................. 118
Expediente electrónico ......................................................................................... 119
Custodia electrónica ............................................................................................. 120
Centros de Datos (Data Centers, bóvedas del siglo 21) ....................................... 123
Otros temas relacionados ........................................................................................ 125
PKI Nacional ......................................................................................................... 125
Interoperabilidad de las aplicaciones y los sistemas ............................................ 128
Comunicación segura de los sitios web vía SSL .................................................. 130
Gestión de documentos electrónicos en la organización ...................................... 136
Archivos digitales y preservación de los documentos electrónicos....................... 137
Creación del ecosistema para el uso de la firma electrónica en una organización
.............................................................................................................................. 145
Investigación en aplicaciones y librerías .................................................................. 147
Programación de la aplicación .............................................................................. 147
XML ...................................................................................................................... 148
Herramientas de XML ........................................................................................... 150
Funciones de la edición XML ................................................................................ 151
Definición de los algoritmos .................................................................................. 152
Marco metodológico .................................................................................................... 155
Recopilación y tratamiento de la información........................................................... 155
3
Fuentes de información ........................................................................................... 156
Método de investigación .......................................................................................... 158
Técnicas de Investigación ........................................................................................ 159
Herramientas de investigación, gestión, colaboración y comunicación ................... 159
Identificación y análisis de la firma digital en otros países .......................................... 161
Diagnóstico (Situación Actual) .................................................................................... 167
Propuesta de solución ................................................................................................. 178
Flujos de los procesos de la firma digital ................................................................. 180
Conclusiones ............................................................................................................... 188
Recomendaciones....................................................................................................... 189
Análisis retrospectivo .................................................................................................. 190
Lecciones aprendidas ................................................................................................. 191
Referencias Bibliográficas ........................................................................................... 192
Anexos ........................................................................................................................ 196
4
Índice de Figuras
5
Figura # 42: Formatos Avanzados .................................................................................................. 108
Figura # 43: Autoridad de sellado de tiempo del sistema nacional de certificación digital. ....... 111
Figura # 44: Proceso de sellado de tiempo de una Autoridad de Sellado de Tiempo (TSA). ... 114
Figura # 45: Proceso de verificación de un sello de tiempo (TSA) .............................................. 115
Figura # 46: Autoridad certificadora. ............................................................................................... 116
Figura # 47: Verificación de firma en el tiempo.............................................................................. 118
Figura # 48: Data Center. ................................................................................................................ 125
Figura # 50: Diagrama de la jerarquía nacional de certificadores registrados............................ 127
Figura # 49: Esquema PKI. .............................................................................................................. 128
Figura # 50: Tecnología M2M.......................................................................................................... 129
Figura # 51: Infraestructura de M2M............................................................................................... 130
Figura # 52: Certificado SSL. .......................................................................................................... 131
Figura # 53: Diagrama de comunicación SSL ............................................................................... 132
Figura # 54: Navegadores y uso de certificado SSL ..................................................................... 133
Figura # 55: Diagrama de pasos documentos electrónicos.......................................................... 139
Figura # 56: Medios de almacenamiento. ...................................................................................... 140
Figura # 57: Conservación de libros en el tiempo. ........................................................................ 142
Figura # 58: Estrategia de conservación digital. ............................................................................ 142
Figura # 60: Verificación de firma digital en procesos legales ..................................................... 146
Figura # 61: Proceso de verificación de la firma de un usuario. .................................................. 147
Figura # 62: El formato de firma XMLDSig y XADES.................................................................... 149
Figura # 63: Ejemplo de código fuente de VB. .............................................................................. 150
Figura # 64: Algoritmo hash............................................................................................................. 153
Figura # 65: Variación del algoritmo .............................................................................................. 153
Figura # 66: Algoritmo de cifrado .................................................................................................... 154
Figura # 67: Pautas generales para las autoridades..................................................................... 162
Figura # 68: Catálogo de algoritmos ............................................................................................... 163
Figura # 69: Catálogo de algoritmos ............................................................................................... 164
Figura # 70: Catálogo de algoritmos ............................................................................................... 164
Figura # 71: Pasos para firma electrónica...................................................................................... 165
Figura # 72: Certificado digital, beneficios, autoridades certificadoras........................................ 165
Figura # 73: Manual de beneficios y aplicaciones de la certificación digital. .............................. 166
Figura # 74: Jerarquía Nacional. ..................................................................................................... 169
Figura # 75: Modelo de implementación de mecanismos de firma digital ................................... 179
6
Índice de tablas
Índice de gráficos
Índice de Anexos
7
Introducción e importancia
Con este proyecto, la intención es construir un modelo que indique de manera detallada
los elementos que deben considerarse para la implementación de la firma digital en las
organizaciones. No se pretende llegar a nivel de metodología, esto con el fin de evitar
conflicto entre las diversas metodologías de desarrollo o arquitecturas que tengan las
instituciones interesadas. Este proyecto incluye construir un "marco de referencia"
(como el PMBoK), que sirva de punto de partida para que los responsables de los
desarrollos en las instituciones puedan tomarlo como referencia al implementar sus
servicios de firma digital.
8
Antecedentes
La firma digital en Costa Rica inicia a finales del mes de febrero del año 2002, cuando
el Poder Ejecutivo presentó un proyecto de ley a la Asamblea Legislativa, bajo el
expediente 14.276. Por la novedad y las características técnicas del mismo tuvo una
amplia discusión, y finalmente en agosto de 2005, fue firmada la Ley 8454.
9
Para el 2008 se consiguió poner en funcionamiento la Autoridad Certificadora Raíz del
Sistema de Certificación Nacional.
Dentro del esquema del BCCR, las entidades asociadas al SINPE ejecutan de manera
voluntaria, las labores de registro de los subscriptores de los certificados digitales así
como la entrega del certificado digital. Con ello se aprovecha la cultura de seguridad,
las políticas, la cobertura y la infraestructura física de las sucursales para lograr tener
puntos de entrega de certificados en todo el país.
La Autoridad Certificadora del SINPE (CA del SINPE), posee nueve entidades
financieras autorizadas por el BCCR para entregar los certificados digitales. Además,
se tienen operando treinta y una oficinas de registro distribuidas en todas las provincias
a lo largo del país.
10
Figura # 1: Historia.
Fuente: http://www.firmadigital.go.cr/historia.html
Problema
En nuestro país no hay un volumen alto de desarrollo en el uso de la firma digital, por lo
que muchas personas desconocen el procedimiento, lo que podría generar malas
implementaciones o usos y pérdida de confianza en la misma.
11
de vigencia de la firma, al vencerse, muestra que el documento no posee una firma
válida, causando entre sus problemas más comunes la falta de credibilidad y fiabilidad
de los mismos. Adicional, si el documento es procesado por sistemas de gestión
documental, sería causal de que el proceso no se complete.
Objetivo general
Objetivos específicos
12
o Construir, a partir de la investigación realizada, un modelo que permita informar
los pasos jurídicos y técnicos que se requieren para la implementación de
mecanismos de firma digital, con el fin de orientar al ciudadano y las
organizaciones.
Impacto y justificación
El modelo está orientado a satisfacer dudas a: los desarrolladores, los diseñadores, los
analistas, los arquitectos, los directores de TI, los analistas de negocio, los directores
de negocio, los encargados de archivo, los medios de comunicación y los tomadores de
decisiones en general, entre otros.
Todos estos elementos implican una elaboración de marco teórico con fundamento que
permita un esfuerzo considerable en sumarizar, hilar y tropicalizar de acuerdo con el
contexto nacional y con los objetivos que se buscan.
Además, por existir en el país la necesidad de una guía que indique paso a paso cómo
realizar la implementación y qué se debe saber sobre la firma digital, se entregará la
misma en PDF y XML. El XML va a contener una serie de metadatos como el título, las
referencias, la versión, breadcrumbs, las palabras claves y otros elementos que puedan
ser necesarios para que cualquier entidad pública o empresa privada tome estos XML y
13
los interprete con su herramienta para que les funcione como un manual interactivo
para las instituciones del país.
14
de datos de lecciones aprendidas y preguntas frecuentes que pueda reutilizarse
en otras organizaciones del país.
• Contar con un modelo que permita romper los paradigmas existentes sobre la
dificultad de la implementación de mecanismos de firma digital en las diferentes
instituciones públicas y privadas del país.
15
Marco teórico
Proyecto
Según el PMI (PMI, 2008), un proyecto se define como "un esfuerzo temporal que se
lleva a cabo para crear un producto, servicio o resultado único". Este principio es el que
rige todos los grupos de procesos recomendados en la guía del PMBOK.
Seguidamente se desglosa la teoría y los conceptos más relevantes de la
administración profesional de proyectos según el PMI.
Administración de proyectos
16
Modelo
Proceso
Subproceso
17
Modelo de implementación de mecanismos de firma digital
Criptografía
18
Figura # 2: Criptografía.
Fuente: es.kioskea.net
19
puede utilizar la firma digital. En otro contexto puede ocurrir lo contrario: negar que
se ha intervenido en la comunicación, se usan técnicas como el cifrado negable.
• Autenticación: provee los mecanismos que permiten verificar la identidad del
comunicante, se puede usar: función hash criptográfica MAC o protocolo de
conocimiento cero.
• Soluciones a problemas de la falta de simultaneidad en la telefirma digital de
contratos. Se pueden usar los protocolos de transferencia inconsistente.
Terminología
Criptografía simétrica: método criptográfico en el que se usa una misma llave para
cifrar y descifrar los mensajes. Las partes involucradas deben ponerse de acuerdo
sobre la llave por usar. Una vez que ambas partes tienen acceso a ésta, el remitente
cifra un mensaje usándola, lo envía al destinatario, y éste lo descifra con la misma
llave.
Fuente: www.educastur.princast.es
20
manera que no se repitan. Si el remitente usa la llave pública para cifrar el mensaje,
una vez cifrado, sólo la llave privada del destinatario podrá descifrarlo. Si el propietario
utiliza la llave privada para cifrarlo, cualquiera puede descifrarlo utilizando su llave
pública. Por lo tanto, se obtiene la identificación y la autentificación del remitente, ya
que sólo él pudo haber empleado su llave privada.
Fuente: www.educastur.princast.es
Cuando se describe un sistema criptográfico con umbral se suele usar la notación 't-
umbral' para indicar cuál es el valor umbral del sistema.
En los sistemas de firma digital con umbral sólo t o más miembros del grupo pueden
generar firmas del grupo con n miembros. Por otro lado t-1 o menos miembros no
pueden hacerlo. Cualquiera puede usar la llave pública para verificar la firma. Esta
clase de esquemas tiene mucho potencial para aplicaciones como la toma de
decisiones, el voto electrónico, entre otros.
21
El primer esquema de firma digital con umbral fue publicado por Yvo Desmedt y Yair
Frankel. Está basado en si un verificador puede rastrear los signatarios, se pueden
distinguir dos tipos de firmas con umbras:
22
Aunque la CA conozca el certificado no tiene la llave privada y no puede descifrar el
texto cifrado. No existe el inconveniente de mantener secreta la distribución de llaves,
ya que los certificados pueden ser públicos.
Además, las firmas digitales certificadas, a como están reconocidas en la ley, solo
aplican a partir de criptografía basada en certificados.
La llave pública del usuario es calculada a partir de parámetros públicos del KGC y el
valor secreto escogido. Por tanto, no se necesita un certificado adicional para publicar
la llave pública de los usuarios. La desventaja es que la información de la identidad ya
no forma parte de la pública. Para cifrar un mensaje a otro usuario se necesitan tres
informaciones: la llave pública del destinatario, la identidad y la información pública de
la KGC.
23
• La(s) llave(s) secreta(s) se almacena(n) de forma posiblemente insegura, pero
éstas son actualizadas en cada período.
• Para actualizar las llaves se realiza la interacción con un dispositivo físicamente
protegido, el cual mantiene una llave secreta maestra que mantiene fija entre
periodos.
• Todos los cálculos son hechos en el sistema inseguro.
• La llave pública se mantiene fija para todos los periodos.
Este tipo de criptografía ha sido usado con criptografía de llave pública para realizar las
funcionalidades de cifrado, se conoce como KIE o KIPE (key-insulated public key
encryption), y de firma.
Algoritmos criptográficos
Un algoritmo criptográfico modifica los datos de un documento con el fin de alcanzar las
características de seguridad como la autenticación, la integridad y la confidencialidad.
Algoritmos simétricos
DES (Data Encryption Standard): algoritmo de cifrado bajo el estándar FIPS (Federal
Information Processing Standard) en Estados Unidos en 1976. Fue sometido a análisis
y originó el término de cifrado por bloques y criptoanálisis. Actualmente, se considera
inseguro, ya que el tamaño de la clave de 56 bits es corto; las mismas se han roto en
24
menos de veinticuatro horas. El algoritmo puede ser seguro en la práctica en su
variante de Triple DES, aunque existan ataques teóricos.
3DES (Triple DES): hace triple cifrado del DES. También es conocido como TDES o
3DES, fue desarrollado por IBM en 1998. Se basa en que DES tiene la característica
matemática de no ser un grupo, lo que implica que si se cifra el mismo bloque dos
veces con dos llaves diferentes, se aumenta el tamaño efectivo de la llave.
Cuando se descubrió que una clave de 56 bits no era suficiente para evitar un ataque,
TDES fue elegido para aumentar el largo de la clave sin necesidad de cambiar de
algoritmo. Es preciso triplicar el número de operaciones de cifrado, haciendo este
método de cifrado más seguro que el DES. Por tanto, la longitud de la clave usada será
de 192 bits, aunque su eficacia solo sea de 112 bits.
RC2: también conocido como ARC2, es un cifrado de bloques diseñado por Ron Rivest
en 1987. "RC" significa "Código de Ron" o "Cifrado de Rivest";
RC4 o ARC4: sistema de cifrado de flujo más utilizado y además, se usa en varios
protocolos como: Transport Layer Security (TLS/SSL) para proteger el tráfico
de Internet y Wired Equivalen Privacy (WEP) para añadir seguridad en las redes
inalámbricas. RC4 fue excluido de los estándares de alta seguridad y modos como
25
WEB, lo han llevado a ser un sistema muy inseguro, sin embargo, algunos sistemas
basados en RC4 son lo suficientemente seguros para su uso común.
3
3
Fuente: http://es.wikipedia.org/wiki/RC4
RC5: es una unidad de cifrado simple por bloques. Fue diseñada por Ronald
Rivest en 1994. RC5 tiene un tamaño variable de bloques (32, 64 o 128 bits), con un
tamaño de clave (0 - 2040 bits) y número de vueltas (0 - 255). La combinación sugerida
originalmente era: bloques de 64 bits, claves de 128 bits y 12 vueltas.
26
IDEA (International Data Encryption Algorithm): es un cifrador por bloques diseñado
por Xuejia Lai y James L. Massey de la Escuela Politécnica Federal de Zúrich y
descrito en 1991. Fue propuesto como reemplazo de DES y fue una revisión menor
de PES (Proposed Encryption Standard). Originalmente IDEA había sido
llamado IPES (Improved PES).
IDEA fue diseñado con la Fundación Hasler. Es una marca registrada y está licenciado
mundialmente por MediaCrypt.
IDEA fue utilizado como cifrador simétrico en las primeras versiones de PGP (PGP
v2.0) y se incorporó luego de que el original usado en la v1.0 ("Bass-O-Matic") se
demostró inseguro. Es un algoritmo opcional en OpenPGP.
IDEA opera con bloques de 64 bits y clave de 128 bits. Consiste en ocho
transformaciones idénticas (cada una llamada ronda) y una transformación de salida
(media ronda). Gran parte de la seguridad deriva del intercalado de operaciones de
distintos grupos que son algebraicamente "incompatibles" en cierta forma.
Este algoritmo presenta algunas diferencias con el DES, que lo hacen más atractivo:
Es considerado por muchos como uno de los cifrados en bloque más seguros que
existen.
27
AES (Advanced Encryption Standard): también conocido como Rijndael, esquema
de cifrado por bloques, adoptado como estándar de cifrado por Estados Unidos. AES
fue anunciado por el Instituto Nacional de Estándares y Tecnología (NIST)
como FIPS PUB 197 el 26 de noviembre de 2001. Se transformó en un estándar el 26
de mayo de 2002. Desde 2006, es uno de los algoritmos más populares en criptografía
simétrica.
El cifrado fue desarrollado por dos criptólogos belgas, Joan Daemen y Vincent Rijmen,
ambos estudiantes de la Katholieke Universiteit Leuven.
Al contrario que su predecesor DES, Rijndael es una red de sustitución-permutación.
Es rápido tanto en software como en hardware, es fácil de implementar, y requiere
poca memoria.
28
Algoritmos asimétricos
Se emplea para acordar claves simétricas que serán utilizadas para el cifrado de una
sesión. Siendo no autenticado, sin embargo, provee las bases para varios protocolos
autenticados. Su seguridad radica en la dificultad de calcular logaritmos discretos en un
cuerpo finito.
Cada usuario posee dos llaves de cifrado: una pública y una privada. Cuando se quiere
enviar un mensaje, el emisor busca la llave pública del receptor, cifra su mensaje con
esa llave, y una vez que el mensaje cifrado llega al receptor, este se ocupa de
descifrarlo usando su llave privada.
29
Para la autenticación de mensajes, la seguridad de los padding-schemes como RSA-
PSS son esenciales tanto para la seguridad de la firma como para el cifrado de
mensajes, y no se debe usar la misma llave para cifrar y autenticar.
Las llaves RSA son de 1024-2048 bits de longitud. Expertos creen que las llaves de
1024 bits pueden comenzar a ser débiles; llaves de 4096 bits podrían ser rotas a futuro.
Por lo tanto, si n es suficientemente grande, el algoritmo RSA es seguro.
Fue definido por Taher Elgamal en 1984 y se usa en software GNU Privacy Guard,
versiones recientes de PGP, y otros sistemas criptográficos. No está bajo
ninguna patente lo que lo hace de uso libre.
30
La criptografía asimétrica o de llave pública utiliza dos llaves distintas: una puede ser
pública, la otra privada. La pública no proporciona suficiente información para
determinar cuál es la privada. Se basa en la dificultad de encontrar la solución a
problemas matemáticos.
La CCE ha sido reconocida como el algoritmo más fuerte para una determinada
longitud de llave, por lo que podría resultar útil sobre los enlaces que tengan requisitos
muy limitados de ancho de banda.
NIST y ANSI X9 han establecido requisitos mínimos de tamaño de llave de 1024 bits
para RSA y DSA y de 160 bits para ECC, el cual corresponde a un bloque simétrico de
llave de 80 bits. NIST publicó una lista de curvas elípticas recomendadas de cinco
tamaños distintos de llaves (80, 112, 128, 192, 256). En general, la CCE sobre un
grupo binario requiere una llave asimétrica del doble de tamaño que el correspondiente
a una llave simétrica.
Hash
31
MD5 se utiliza en software para proporcionar seguridad, de manera que al descargar
un archivo de Internet no se haya alterado. Comparando una suma MD5 publicada con
la suma de comprobación del archivo descargado, se puede comprobar que el archivo
es igual que el publicado. Esto protege al usuario contra los 'Caballos de Troya' y los
virus, así como los prepara para reconocer una descarga corrupta o incompleta.
En sistemas UNIX se utiliza para calcular el hash de las llaves de los usuarios. En el
disco se guarda el resultado del MD5 de la llave que se introduce y cuando éste desea
ingresar al sistema, se compara el hash MD5 de la llave introducida con el hash que
hay guardado en el disco duro. Si coinciden, es la misma llave y el usuario será
autenticado.
El MD5 también se puede usar para comprobar que los correos electrónicos no han
sido alterados usando llaves públicas y privadas.
MD6 (Message-Digest Algorithm): MD6 es una función hash criptográfica que utiliza
una estructura de árbol llamada Merkle, para permitir la computación paralela de los
hashes de entradas muy largas. Los autores reclaman un rendimiento de veintiocho
ciclos por byte para MD6-256 en un procesador Intel Core 2 Duo y resistencia
demostrable contra el criptoanálisis diferencial.
Las velocidades de más de 1 GB/s han sido notificadas como posibles para mensajes
largos en la arquitectura 16-core.
32
SHA-1 (Secure Hash Algorithm): es un sistema de funciones hash criptográficas de
la Agencia de Seguridad Nacional de los Estados Unidos y publicadas por el National
Institute of Standards and Technology (NIST).
SHA, fue la primera versión publicada en 1993, llamada como SHA-0 para evitar
confusiones con los sucesores. Dos años después se publicó la siguiente versión,
SHA-1. Existen cuatro variantes más, las diferencias se basan en un diseño algo
modificado y rangos de salida incrementados: SHA-224, SHA-256, SHA-384, y SHA-
512 (llamándose SHA-2 a todos ellos).
En 1998, un ataque a SHA-0 fue encontrado pero no fue reconocido para SHA-1, lo
aumentó la seguridad del SHA-1.
SHA-0 y SHA-1 producen una salida resumen de 160 bits (20 bytes) de un mensaje
que puede tener un tamaño máximo de 264 bits, y se basa en principios similares a los
usados por el profesor Ronald L. Rivest en el diseño de los algoritmos de resumen de
mensaje MD4 y MD5.
Una gran publicación del SHA fue el estándar de firma digital, en el cual es
incorporado.
33
Finalmente, es importante mencionar que este algoritmo cumple con los estándares
mínimos, recomendados por las políticas nacionales.
34
NIST seleccionó una nueva función hash SHA-3, en 2012.Este algoritmo no se deriva
de SHA-2.
35
También existen versiones de 128, 256 y 320 bits de este algoritmo, llamados:
RIPEMD-128, RIPEMD-256, y RIPEMD-320, respectivamente. La versión de 128 bits
fue pensada como un reemplazo para el RIPEMD original. Las versiones de 256 y 320
bits solamente disminuyen el riesgo de colisión accidental, y no tienen mayores niveles
de seguridad en comparación con RIPEMD-128 y 160-RIPEMD.
Whirlpool: es una función hash criptográfica. Fue diseñada por Vincent Rijmen (co-
creador de AES) y Paulo S. L. M. Barreto, quien lo describió por primera vez en el
2000. El hash ha sido recomendado por el proyecto NESSIE. También ha sido
adoptado por la Organización Internacional de Normalización (ISO) y la Comisión
Electrotécnica Internacional (IEC) como parte del estándar internacional ISO/IEC
10118-3.
36
Dispositivos criptográficos
Algunos de los tipos de dispositivos criptográficos que existen son: los dispositivos
USB, las tarjetas inteligentes, token de seguridad y HSM.
Tarjetas inteligentes
Fuente: www.soportefirmadigital.com
37
USB basados en certificados (PKI)
38
Los dispositivos HSM no sólo son periféricos locales, algunas empresas ofrecen este
tipo de hardware con conectividad de red para la protección de datos en múltiples
sistemas conectados.
En nuestro país, estos dispositivos deben cumplir con el estándar por FIPS 140-2 nivel
2 o superior (persona jurídica debe ser nivel 3). Adicional, únicamente los certificados
emitidos por una Autoridad Certificadora Registrada ante el MICITT son los únicos que
poseen equivalencia jurídica, ante el estado o terceros, según el MICITT en su página
web.
Certificados digitales
El certificado consta de dos llaves criptográficas, una pública y una privada, creadas a
partir de un algoritmo matemático, de manera que lo que se cifra con una de las llaves
sólo se puede descifrar con la otra llave. El dueño del certificado debe mantener bajo
su poder la llave privada, ya que si ésta es sustraída, se podría suplantar la identidad.
En este caso el titular debe revocar el certificado.
La Autoridad de Certificación es quien asegura que la llave pública corresponde con los
datos del titular, también se encarga de emitir los certificados después de comprobar su
identidad.
39
El formato de los certificados digitales está definido por el estándar X.509, y con ello
pueden ser leídos o escritos por cualquier aplicación que cumpla con el estándar.
X.509
• Certificado
• Versión
• Número de serie
• ID del algoritmo
• Emisor
• Validez
• No antes de
• No después de
• Sujeto
• Información de llave pública del sujeto
• Algoritmo de llave pública
• Llave pública del sujeto
• Identificador único de emisor (opcional)
• Identificador único de sujeto (opcional)
• Extensiones (opcional)
40
• Algoritmo usado para firmar el certificado
• Firma digital del certificado
Finalidad
41
Documentos electrónicos
Estándares e interoperabilidad
El formato Office Open XML (OOXML) es un formato de archivos creado por Microsoft
para representar los documentos de texto, las presentaciones y las hojas de cálculo.
Este formato es un estándar abierto, aprobado tanto por la Ecma (Ecma 376) como por
la ISO (ISO 29500) (Microsoft, 2010).
Desde que se aprobó el Office Open XML como estándar internacional en 2008,
muchos países y proveedores de software lo han adoptado. En cuanto a los
proveedores de software y plataformas que adoptaron el estándar, además de
Microsoft (quien lo utiliza en su suite Office desde la versión 2007), se pueden
mencionar Windows, Linux, Mac OS y Palm OS como plataformas y Apple, Corel,
Microsoft y Novell como proveedores de software (Microsoft, Open XML Adoption,
2010).
42
presentaciones, las bases de datos, las fórmulas matemáticas y los elementos gráficos
(OASIS, OpenDocument Version 1.2, 2011). El ODF se encuentra actualmente en su
versión 1.2, aprobada el 30 de setiembre de 2011 (OASIS, 2011).
43
PDF
En sus inicios fue un formato propietario, y para utilizarlo se requería comprar las
herramientas de Adobe (principalmente Acrobat), las cuales tenían un precio
considerable, por lo que no fue muy popular al principio. Sin embargo, al pasar el
tiempo Adobe decidió bajar el precio de sus herramientas para la creación de
documentos en formato PDF, y ofrecer el Acrobat Reader (para leer los documentos)
de forma gratuita (Leurs, 2011). La decisión de ofrecer el Acrobat Reader de forma
gratuita, así como la evolución del PDF para incluir más funciones como el soporte para
contenido multimedia, los formularios, la mejor compresión y las mejores funciones de
44
seguridad, de la mano con el surgimiento de Internet, contribuyeron para convertir a
PDF en el estándar de facto para el intercambio de la información (FLEX NEWS DESK,
2007).
Con la publicación de PDF como estándar ISO, se abrieron las puertas para que los
desarrolladores de software puedan crear productos de lectura y/o escritura de
documentos PDF que cumplan con el estándar (Lazarte, 2008). Además, con la
publicación de PDF como estándar, Adobe entregó el control de la publicación, la
revisión y el desarrollo de nuevas versiones del estándar a la ISO, con lo que reitera su
compromiso a la apertura (Lazarte, 2008). La apertura del estándar permitirá que PDF
tenga una fuerte presencia entre los formatos de intercambio de información a través
de Internet.
PDF/A
45
• PDF/E - PDF de Ingeniería (ISO 24517): Intercambio de documentos en flujos de
trabajo de procesos de ingeniería.
• PDF/X - PDF de Intercambio (ISO 15930): Impresión profesional de documentos
y diseño gráfico.
• PDF Healthcare - PDF de Cuidado de la Salud (Guía de buenas prácticas de la
AIIM): Captura, intercambio, preservación y protección de documentos
relacionados con la información del cuidado de la salud.
• PDF/UA - PDF de Acceso Universal (ISO 14289): Configuraciones de
accesibilidad de documentos para las personas con discapacidades.
• PDF/VT - PDF Variable y Transaccional (ISO 16612-2): Creación y visualización
de documentos variables transaccionales como los estados de cuenta y las
facturas electrónicas.
Para efectos de esta investigación solamente se verán con mayor detalle el estándar
PDF/A.
PDF/A se convirtió en estándar ISO en 2005. Para lo cual Adobe señala: “Fue
desarrollado para habilitar la preservación a largo plazo de documentos electrónicos y
proporciona especificaciones para la creación, visualización e impresión de
documentos PDF, con la intención de preservar los documentos de registro finales
como documentos auto-contenidos.” (Adobe Systems Incorporated, PDF/A archiving
standard, 2009).
Adobe menciona varias ventajas que PDF ofrece al almacenar los documentos en su
formato original, o utilizar otro formato de documento electrónico, como por ejemplo
TIFF (Formato de Archivo de Imagen Etiquetada). Estas ventajas se enumeran a
continuación (Adobe Systems Incorporated, 2010):
46
• PDF/A, al ser un formato estándar, ayuda a asegurar la compatibilidad del
documento cuando se somete a revisión por razones regulatorias o legales.
• PDF/A ayuda a evitar los costos relacionados con la restauración de
documentos antiguos que deben ser abiertos con versiones nuevas del software
con el que fueron creados y ajustados a mano para que se muestren igual que
cuando se escribieron.
• Los archivos PDF son más compactos que los archivos en otros formatos.
• El programa Reader de Adobe es gratuito y tiene una alta disponibilidad.
• Por la manera en que almacena los datos, PDF permite búsquedas más
eficientes dentro del contenido del documento.
• Los archivos PDF se pueden clasificar sin intervención humana utilizando los
metadatos que se pueden asociar al documento.
• El uso de PDF en los procesos de negocio se ha convertido en una práctica
común; la versión final de un documento interactivo utilizado en dicho proceso
puede ser almacenada en este formato como paso final.
El estándar PDF/A se puede ver como parte de PDF, en el cual se especifica el uso de
ciertas características de PDF, y se prohíbe el uso de otras, con el fin de que los
documentos que cumplan con el estándar se puedan visualizar de la misma forma que
cuando fueron creados, sin importar cuánto tiempo haya pasado. A continuación se
explican algunas características de PDF/A (Adobe Systems Incorporated, 2010):
47
• Cumplimiento del estándar a dos niveles: el básico asegura una reproducción
confiable del estilo visual del documento, mientras que el avanzado ofrece
funciones como búsquedas, conversiones del contenido a otros formatos y
funciones de accesibilidad para personas con discapacidad.
• Accesible: Los documentos PDF/A no se pueden bloquear con contraseñas, con
lo que se asegura el acceso universal al contenido del documento.
Desde su publicación como estándar en 2005, PDF/A ha sido adoptado como estándar
para el almacenamiento y la visualización de documentos a largo plazo por los
gobiernos y las autoridades archivísticas de varios países. En algunos de estas
naciones se acepta el uso del estándar, mientras que en otras es recomendado o
incluso, obligatorio. Algunos de los países que han adoptado PDF/A como parte de su
manejo documental son: Estados Unidos, Alemania, Francia, Holanda, Suecia, Austria,
Noruega, Brasil, Australia, Italia y Taiwán (Adobe Systems Incorporated, 2010).
48
custodiado en un dispositivo (por ejemplo: token o tarjetas inteligentes) que cumpla con
el estándar FIPS 140 nivel 2 o superior (persona física puede ser nivel 2 o superior,
persona jurídica debe ser nivel 3). Este dispositivo es muy importante ya que almacena
la llave privada que es utilizada para firmar los documentos. Además, requiere los
datos de activación: puede ser una palabra de paso, una frase clave o información
biométrica (huella digital).
La firma digital cumple una doble autenticación, es decir: primero debe autenticarse con
un elemento que sabe (la palabra o la frase clave) y luego con un componente que
tiene (la llave privada almacenada en el dispositivo criptográfico).
49
Figura # 9: Proceso de Firma Digital.
Fuente: http://www.firmadigital.go.cr/firma.html
Aplicaciones:
50
o Notificaciones judiciales electrónicas
o Voto electrónico
o Decretos ejecutivos (gobierno)
o Créditos de seguridad social
o Contratación pública
o Sellado de tiempo
51
52
53
54
55
Formatos de Firma Digital
Los formatos oficiales serán acogidos por cualquier entidad pública, privada o
particular, como el estándar para los documentos electrónicos firmados digitalmente,
mismos que se generan en los procesos de negocio a través de los sistemas de
información.
• CAdES-X-L
o Basado en la especificación ETSI TS 101 733, en su última versión oficial.
o Para documentos con información codificada en binario.
56
o Para su codificación en soluciones a la medida, se propone el perfil
CAdES Baseline Profile de la ETSI, el cual puede encontrarse en la
especificación ETSI TS 103 173, en su última versión oficial.
• XAdES-X-L
o Basado en la especificación ETSI TS 101 903, en su última versión oficial.
o Para documentos en formatos XML.
o Se recomienda para el desarrollo de soluciones informáticas en donde
sea necesaria la interoperabilidad con otras instituciones.
o Para su codificación en soluciones a la medida, se propone el perfil
XAdES Baseline Profile de la ETSI, el cual puede encontrarse en la
especificación ETSI TS 103 171, en su última versión oficial.
PAdES es un estándar que toma como base la especificación del ISO 32000-1, donde
se define la firma digital para documentos PDF y a partir de este le incorpora
características de la firma avanzada.
PAdES nace como una iniciativa de la ETSI para integrar las características de firma
avanzada al estándar ISO 32000-1. En julio de 2008 la ISO publica el ISO 3200-
1:2008, el cual convierte PDF 1.7 en estándar ISO y se titula Document management—
Portable document format—Part 1: PDF 1.7. (ISO 32000-1). Luego, en julio de 2009
57
ETSI publica la especificación TS 102 778-1 titulada PDF Advanced Electronic
Signature Profiles; Part 1: PAdES Overview - a framework document for PAdES (ETSI,
2009). Actualmente la ISO está desarrollando el 32000-2 para establecer el estándar
propuesto por ETSI TS 102 778-1 como estándar internacional. (ISO, Document
management -- Portable document format -- Part 2: PDF 2.0, 2011).
Al aplicar una firma PAdES a un documento PDF resulta un documento PDF firmado.
Ésta forma parte del documento PDF dentro de la estructura de datos llamada
diccionario de firma. Al igual que PDF 1.7, PAdES no soporta el uso de firmas paralelas
ya que debe existir un solo firmante, sin embargo, ofrece la posibilidad de realizarlas en
serie.
Características
58
Las características son las siguientes:
• PAdES LTV (validación a lo largo del tiempo): soporta la validación a lo largo del
tiempo de la firma en el documento PDF. Se puede usar en conjunto con
PAdES-CMS, PAdES-BES y PAdES-EPES.
59
o Nuevos datos de validación e información de sellado de tiempo se pueden
agregar al documento a través del tiempo para garantizar la integridad y
la autenticidad.
• PAdES para contenido XML: esta especificación se utiliza para XMLs que se
encuentran inmersos en el documento PDF con el fin de proveer integridad y
autenticidad. Se propone el uso de XAdES para firmar los XML que forman parte
del documento PDF.
Características
60
Cryptographic Message Syntax (CMS)
CMS es la base del formato CAdES. En la figura se muestra como CMS ha dado pie a
otros formatos en el tiempo y se muestran solo la última versión oficial de cada uno.
61
CMS describe la encapsulación para la protección de datos, soporta las firmas digitales
y el cifrado. Permite realizar múltiples encapsulamientos y un contenedor de éstos
puede estar anidado dentro de otro. De igual manera se puede firmar digitalmente
algún dato encapsulado anteriormente.
De las herramientas más populares, hay algunas que generan sus firmas digitales en
CMS. Las versiones de Microsoft Outlook a partir de la versión del año 2000
(incluyendo las versiones para Mac) utilizan el protocolo S/MIME (Secure/Multipurpose
Internet Mail Extensions) (Leblanc, 2011). Este protocolo es considerado el estándar a
nivel de Internet para la seguridad de los mensajes, y se ocupa de dos áreas: la
62
seguridad y el manejo de certificados (Microsoft TechNet, 2006). CMS es el formato
utilizado por el protocolo S/MIME y por Outlook de Microsoft para la firma digital de
correo electrónico.
63
CAdES amplía el estándar CMS al agregar perfiles adicionales para implementar la
firma electrónica avanzada. La principal razón fue la carencia que tenía CMS en
algunas áreas, principalmente la validación a largo plazo.
El sellado de tiempo se emplea para poder validar la firma digital incluso después de
que se cumpla el ciclo de vida de sus elementos. Además, se definen los mecanismos
para mantener la validez, incluso si los algoritmos que fueron utilizados han sido
quebrantados o si alguna de las llaves ha sido comprometida.
Un archivo CAdES, al igual que uno CMS, es un archivo en formato binario el cual tiene
que ser manipulado por una aplicación para poder extraer los elementos que se
encuentran dentro de él. Esto quiere decir que abrir el archivo en un visor de
documentos convencional, no va a ser suficiente para poder interpretar su contenido e
igualmente, para validar la firma digital se requiere de un procesamiento para extraer
su contenido (Adobe Systems Incorporated, 2009).
64
o Firma encapsuladora, el documento se encuentra dentro de un elemento de
ésta.
o Firma desacoplada, si la información firmada se encuentra en un documento
distinto al elemento de firma.
12
Figura # 12: Estructura de un documento CAdES
Este estándar tiene varios tipos de firmas, cada una de ellas le agrega a las anteriores
distintas características que robustecen la validez de la firma digital. Se usan de
acuerdo con la necesidad del usuario y su escenario de aplicación. A continuación se
detallan cada uno de ellos:
Es el formato más básico para una firma digital utilizando CAdES. No provee suficiente
información para verificar la firma a largo plazo y brinda protección básica para
asegurar la autenticación y la integridad.
65
Este formato contiene el documento que se está firmando, una colección de atributos
firmados que son obligatorios y el valor de la firma digital. Puede contener atributos
firmados adicionales y atributos no firmados opcionales.
Fuente: http://tools.ietf.org/html/rfc5126#appendix-B.1.1
2.4.2.3.4.
Este formato adiciona un atributo firmado que indica la política de la firma que se debe
utilizar para generar y validar la electrónica. No incluye información para validar la firma
en un futuro.
66
Figura # 14 CAdES-EPES.
Fuente: http://tools.ietf.org/html/rfc5126#appendix-B.1.1
Los siguientes formatos sí proveen información para validar la firma a largo plazo. Entre
los datos de validación están: los certificados digitales (de la CA o del firmante), los
datos de revocación de los certificados digitales (CRLs o respuestas OCSP), los sellos
de tiempo asociados a la firma digital (evidencia de que la firma digital fue creada antes
de un momento en el tiempo) y los datos de la política de firma utilizada para poder
verificar la firma. Estos atributos pueden ser incorporados al CAdES-BES o CAdES-
EPES para agregar la funcionalidad de validación en el largo plazo.
Se utiliza cuando existe un tiempo obtenido de una fuente confiable asociado a la firma.
Incluye el mismo contenido de los formatos anteriores y adicionalmente un atributo no
firmado, que incluye un token de sello de tiempo del valor de la firma digital.
Los tokens de sellado de tiempo pueden incluir atributos no firmados que sean
requeridos para validarlos, por ejemplo, las referencias de los certificados y las
referencias de la información de revocación.
67
Figura # 15: CAdES-T.
Fuente: http://tools.ietf.org/html/rfc5126#appendix-B.1.1.
Este formato contiene las referencias completas a los datos de validación. CAdES-C le
agrega al formato CAdES-T los atributos que contienen las referencias completas de
los certificados (todos los certificados de la jerarquía de certificación) y las referencias
de los datos de revocación (referencias a los CRLs y respuestas OCSP) utilizados para
verificar la firma.
El almacenar únicamente las referencias permite guardar los certificados, las CRLs y
las respuestas OCSP en otro lugar, reduciendo así el tamaño de la firma digital que se
va a almacenar.
68
Figura # 16: CAdES-C.
Fuente: http://tools.ietf.org/html/rfc5126#appendix-B.1.1.
Los siguientes formatos permiten validar a más largo plazo y previenen situaciones que
se podrían dar en caso de desastre. CAdES-C puede ser extendido agregándole
atributos no firmados a la firma digital. Éstos son los de la firma digital extendida.
69
Figura # 17: CAdES-X Long.
Fuente: (http://tools.ietf.org/html/rfc5126#appendix-B.1.1)
o CAdES-X Type 1
70
Figura # 18: CAdES-X Type 1.
Fuente: (http://tools.ietf.org/html/rfc5126#appendix-B.1.1)
o CAdES-X Type 2
Esto brinda protección para la integridad y el tiempo confiable sobre las referencias.
Protege los certificados, CRLs y las respuestas OCSP en caso de un posterior
compromiso de la llave de la CA, del CRL o del emisor de las respuestas de OCSP.
71
Figura # 19: CAdES-X Type 2.
Fuente: http://tools.ietf.org/html/rfc5126#appendix-B.1.1.
Extended Long with Time es una combinación entre el CAdES-X Long y uno de los dos:
CAdES-X Type 1 o CAdES-X Type 2. Incluye los valores de los datos de validación de
la firma, y un token de sellado de tiempo, ya sea sobre el contenido del CAdES-C o
sobre las referencias de los datos de validación de la firma.
72
Figura # 20: CAdES-X Long with Time.
Fuente: http://tools.ietf.org/html/rfc5126#appendix-B.1.1.
Este formato adiciona al CAdES-X Long with Time un atributo de sellado de tiempo
para el archivado. El sello de tiempo protege el material completo contra las
vulnerabilidades que se puedan dar en los algoritmos de hash o contra el rompimiento
del material criptográfico o de los algoritmos.
73
Figura # 21:CAdES-A.
Fuente: http://tools.ietf.org/html/rfc5126#appendix-B.1.1.
El formato CAdES puede ser utilizado para firmar digitalmente cualquier tipo de dato
digital incluyendo los archivos de texto, las imágenes, los videos, los archivos XML,
entre otros.
o Formato XMLDSig
74
XMLDSig (XML Digital Signature), es una recomendación del World Wide Web
Consortium (W3C). Esta describe un elemento XML utilizado para firmar digitalmente
los documentos electrónicos (Bartel, Boyer, Fox, LaMacchia, & Simon, XML-Signature
and Processing, 2002).
El formato surge por una iniciativa entre W3C y el IETF descrita en enero de 2000
(Bartel, Boyer, Fox, & Simon, 2000). El 20 de agosto de 2001, se convierte en una
propuesta de recomendación, la cual es aceptada el 12 de febrero de 2002. En este
mismo año se publica el RFC 3275: "(Extensible Markup Language) XML-Signature
Syntax and Processing" del IETF, en el cual se encuentran las especificaciones
técnicas y de uso acerca el formato XMLDSig (Bartel, Boyer, Fox, LaMacchia, & Simon,
2002).
En el año 2008 se hace una revisión del documento de especificación, dando como
resultado el formato que rige actualmente (Bartel, Boyer, Fox, LaMacchia, & Simon,
2008).
75
Figura # 22: Formatos derivados de XMLDSig
76
Figura # 23: Estructura de un documento XMLDSig
Al ser un XML al cual se le adjunta un elemento firmado, XMLDSig soporta las firmas
en paralelo almacenando múltiples de ellas en un mismo documento. Esto se logra
mediante la inserción de varios elementos de la firma dentro del mismo documento, los
cuales son diferenciados por medio de un atributo de identificación (Bartel, Boyer, Fox,
LaMacchia, & Simon, 2008). También se pueden realizar firmas en serie haciendo
referencia al elemento de la firma correspondiente.
Igualmente muchas compañías han optado por incluir el formato XMLDSig en sus
productos, entre ellas (World Wide Web Consortium, 2008):
o Microsoft.
o IBM.
o Verisign.
o Infomosaic.
o Ubisecure.
78
En la figura se muestran las distintas formas en que se puede firmar digitalmente un
documento con este formato (ETSI, 2002).
79
Al ser un XML al cual se le adjunta un elemento firmado, XAdES soporta firmas en
paralelo almacenando múltiples de ellas en un mismo documento. Esto se logra
mediante la inserción de varios elementos de firma dentro del mismo documento, los
cuales son diferenciados por medio de un atributo de identificación (ETSI, 2002).
También se pueden realizar las firmas en serie haciendo referencia al elemento de la
firma correspondiente.
El estándar XAdES define varios tipos de firmas. Cada uno agrega, a la anterior,
distintas características que robustecen la validez de la firma digital (Centner, 2003).
Estos tipos se utilizan de acuerdo con la necesidad del usuario y el escenario de
aplicación, y son los siguientes:
• XAdES BES (XAdES Basic Electronic Signature): contiene los elementos que
conforman a una firma en formato XMLDSig, pero además incorpora las
propiedades para calificar los datos firmados (hora y fecha). Estas deben ser
incluidas dentro de las propiedades firmadas del elemento de firma. La
estructura de XAdES BES se muestra en la figura (Centner, 2003):
80
Otra característica que incorpora XAdES BES es la obligación de firmar el
certificado digital con el que se firma el documento, con el fin de descartar la
suplantación del certificado.
81
OCSP, entre otros. Esto permite proteger a la firma del repudio y preservar su
validez a través del tiempo, siempre y cuando los certificados de las autoridades
certificadoras se mantengan vigentes. En la figura #27 se muestra la estructura
de esta especificación.
82
referencias añadidas en el formato anterior. Igualmente, queda registrado en el
tiempo, el momento en que se agregaron dichos datos de validación al
documento. La estructura del formato se puede visualizar en la figura:
• XAdES X-L (XAdES Extended Long signatures with time): incorpora toda la
información necesaria para la validación de la firma. Esto apoya la preservación
de la validez de la firma a través del tiempo, incluso si los datos de validación
actuales no se encontraran disponibles. La estructura se puede observar en la
figura:
83
Figura # 29: Estructura de XAdES X-L
84
Figura # 30: Estructura de XAdES A
XAdES es uno de los formatos estándares que utiliza la Unión Europea para firmar
documentos digitalmente, por lo cual se utiliza en una gran cantidad de servicios a
través de varios sectores de la industria electrónica.
85
Entre los usos más importantes están: la firma de documentos digitales a través de la
suite de herramientas de Microsoft, las cuales a partir de su versión 2010 soportan la
firma digital utilizando a XAdES como formato nativo (LeBlanc, Office 2010 Digital
Signatures and XAdES, 2010).
Así mismo, se están dando muchas iniciativas para firmar los documentos digitalmente
por medio de XAdES en distintas plataformas de programación, entre ellas:
PKCS#7
La publicación del estándar de PKCS#7, versión 1.5, fue en marzo de 1998, mediante
el RFC 2315 de la IETF, por parte del Network Working Group, una subdivisión de RSA
Laboratories.
86
Figura # 31: Formatos derivados de PCKS#7
o Datos (data), para el envío de datos sin cifrar. Es el único contenido de tipo
"base", ya que los demás se consideran mejorados (enhanced) al contener
complementos criptográficos.
o Datos firmados (signed data), para la autenticación del remitente. Datos
encapsulados (enveloped data), para un conjunto encapsulado de datos.
o Datos firmados y encapsulados (signed-and-enveloped data), para un conjunto
encapsulado de datos cuyo autor se encuentra autenticado. Esto además
permite la inclusión de otras firmas, ya sea de manera anidada o mancomunada.
o Datos resumidos (digested data), para comprobar la integridad de los datos.
o Datos cifrados (encrypted data), para manejar la confidencialidad.
Existe una serie de propiedades distintas para cada uno de ellos, que pueden
configurarse al firmar digitalmente un documento. Las propiedades respetan la sintaxis
de ASN.1 en alguna de sus reglas de codificación (DER, BER). Ejemplos de estas
propiedades son: "IssuerAndSerialNumber" la cual identifica a un certificado por el
nombre y el número de serie distintivo de su emisor, y "ContentType" donde se
determina a cuál de los tipos antes mencionados pertenece el documento generado.
87
El resultado podría ser un documento firmado PKCS#7 (extensiones más comunes:
.p7b o .p7c) que puede o no tener: el certificado de los firmantes, los certificados de la
cadena de CAs de la infraestructura de PKI a la que pertenece el certificado o los
CRLs, un resumen hash de los datos, e inclusive puede o no estar cifrado con la llave
privada del firmante. Los documentos generados son generalmente binarios
codificados ASCII 64 bits (Kaliski, 1998).
PKCS#7 sigue siendo uno de los más utilizados debido a la relativa facilidad de su
implementación, el tiempo de permanencia en el mercado, y a la gran cantidad de
ejemplos, las librerías de software y el soporte con el que cuenta en muchas
plataformas de desarrollo y sitios en línea. Su uso es característico en los componentes
de la autenticación y el control de acceso de diferentes plataformas de software,
especialmente en aplicaciones web (RSA Laboratories, 2011).
También se han creado gran cantidad de librerías de software, tanto abiertas como
propietarias, para desarrollar las soluciones que implementen PKCS#7 como formato
de documentos firmados. Los navegadores de mayor uso lo pueden emplear, ya sea
mediante applets (desarrollados en Java), u otras soluciones como: los componentes
de ActiveX en Internet Explorer o las librerías criptográficas de JavaScript en Firefox,
entre otras. (MDN, 2010) (Lambert, 2001).
En PDF 1.7 se detalla el formato de firma digital por utilizar en este tipo de documentos.
PDF 1.7 fue desarrollado por Adobe Acrobat y posteriormente fue convertido en
estándar por la Organización Internacional de Estándares (ISO) (ISO, 2008).
El formato de firma para PDF 1.7 consiste en agregar una estructura de datos llamada
diccionario de firma al documento PDF. El diccionario contiene la firma digital y la
información adicional de la misma. (Adobe Systems Incorporated, 2008).
88
El formato de firma para PDF 1.7 nace como una especificación de Adobe Acrobat.
Esta organización en enero de 2007 libera la especificación del formato PDF 1.7 con el
propósito de ser publicado como un estándar internacional. (Rozen & Fetty, 2007).
Posteriormente en julio del 2008 la Organización Internacional de Estándares publica el
ISO 3200-1:2008, el cual convierte PDF 1.7 en estándar ISO y se titula Document
management - Portable document format - Part 1: PDF 1.7. (Adobe Systems
Incorporated, 2008).
PDF 1.7 especifica una estructura de datos llamada diccionario de firma, en la que
existen campos como: content en este se almacena la firma digital, “ByteRange”,
“Filter” y “SubFilter”, los cuales proporcionan información adicional sobre la firma. En el
campo “Filter” se especifica el manejador utilizado para validar la firma y en el campo
“SubFilter” se almacena la codificación de la firma junto con la información de la llave.
En la especificación PDF 1.7 se sugiere el uso del formato PKCS#7 como manejador
para validar la firma digital configurando los campos “Filter” y “SubFilter”. En la figura se
muestra un ejemplo de la estructura de un documento firmado digitalmente según se
especifica en PDF 1.7:
89
Figura # 33: Estructura de documento PDF firmado digitalmente
PDF 1.7 no soporta el uso de firmas paralelas ya que debe existir un solo firmante, sin
embargo, ofrece la posibilidad de realizar firmas en serie. En éstas el rango de bytes se
calcula tomando el documento, el diccionario de firma anterior y el nuevo diccionario sin
la firma actual.
Este formato se implementa por medio de Adobe Acrobat, lo cual representa una gran
ventaja, ya que no requiere desarrollo tecnológico por parte del usuario para utilizarse
(Adobe Systems Incorporated, 2007). Adicionalmente, por medio de esta herramienta
se interpretan las firmas digitales y se puede observar una representación gráfica de la
misma al abrir el documento PDF.
90
Responsabilidades del suscriptor
91
Responsabilidades de CA
Para este caso en particular, se tomó como ejemplo la CA SINPE para la persona física
y sus responsabilidades son:
92
• Construir el documento firmado a partir del hash encriptado y el certificado del
firmante.
Aspectos legales
93
Autenticidad
Una firma sobre un documento físico o electrónico, debe garantizar que la persona a la
que está asociada se está comprometiendo con el documento. De esta manera, la
firma debe asegurar la autenticidad de éste, estableciendo la identidad del firmante y
funcionando como evidencia de su origen.
Integridad
94
No repudio
Manifestación de la voluntad
95
Neutralidad tecnológica
A las instituciones públicas del país al estar regidas por esta ley, les surge la necesidad
de que los formatos propuestos cumplan con lo estipulado por ella. Las instituciones
van a ir incorporando y modificando sus sistemas para utilizar la firma digital, por lo que
es importante tomar en cuenta este requerimiento. Caso contrario, la propuesta puede
no ser utilizada por la totalidad de las instituciones del país, ya que a nivel privado no
hay obligación de cumplir esta ley, sin embargo, con el fin de lograr la interoperabilidad,
el principio de la neutralidad tecnológica es relevante.
96
Para que un estándar de documento sea considerado abierto, sus especificaciones
técnicas deben ser de acceso público. Con ello, se eliminaría la dependencia hacia los
proveedores o los fabricantes específicos, ya que cualquier persona o institución con
los conocimientos técnicos necesarios podría realizar una implementación que cumpla
con el estándar.
Los formatos abiertos son, por lo general, estándares determinados por autoridades
públicas u organizaciones internacionales para las cuales uno de sus objetivos es el de
establecer las normas para la interoperabilidad del software. De igual manera, existen
formatos abiertos que son promovidos por compañías que optan por hacer de
conocimiento público la especificación de sus formatos. (Puigpinos, 2010).
Los elementos que deben considerarse para el uso adecuado de los tipos de
certificados de firma digital para persona física son:
Autenticación
97
electrónica se realiza con la persona que dice que es. El titular podrá a través de su
certificado acreditar su identidad ante un tercero, ya que se encuentra en posesión del
certificado de identidad y de la llave privada asociados al mismo.
El certificado debe ser utilizado única y exclusivamente para generar los mensajes de
autenticación (confirmación de la identidad) y de acceso seguro a los sistemas
informáticos (mediante el establecimiento de los canales privados y confidenciales con
los prestadores de servicio).
Firma
Con este certificado el usuario puede firmar los trámites o los documentos, y sustituir la
firma manuscrita por la digital en las relaciones de este con terceros.
En el mundo físico se han hecho esfuerzos para verificar, en cualquier momento del
tiempo, la validez de un documento archivado que se encuentra firmado. En el mundo
electrónico, es necesario considerar este mismo escenario.
98
La validación de un documento electrónico debe poder realizarse en cualquier
momento del tiempo, sin importar si el certificado digital que se utilizó para firmar el
documento ha vencido o ha sido revocado, si la autoridad certificadora que lo emitió ya
no existe o bien, si el algoritmo que se empleó para hacer la firma digital ha sido
quebrantado.
Ahora en este contexto, el mundo físico puede definirse como aquel en donde se
requiere presencia física de los usuarios, los documentos y las firmas en papel para
realizar un trámite o una gestión ante una entidad.
Esto en conjunto nos lleva a que no es válido tener un documento firmado digitalmente
en el mundo físico. Por ejemplo, si una persona después de haber firmado digitalmente
un documento lo imprime, éste no tiene validez jurídica en el ámbito físico, ya que con
ello perdió el enlace con las llaves públicas y privadas, los certificados de firma digital,
entre otros.
99
Aspectos técnicos
Estándares
X.509
100
PKCS#1
PKCS#11
Es decir, que las labores criptográficas se realizan dentro del propio chip, de manera
que las llaves implicadas en el proceso no salgan de este entorno seguro. El protocolo
establece las vías de comunicación para hacer las peticiones a la tarjeta.
101
la última actualización de la lista. Para mitigar este riesgo existe el Protocolo en Línea
de Estado de Certificado (OCSP, por sus siglas en inglés), el cual retorna el estado del
certificado en el momento que se solicita. Sin embargo, para utilizar este protocolo es
necesario establecer comunicación en línea con la CA.
Un certificado digital puede ser revocado por distintas razones: porque el usuario ya no
quiere hacer uso del mismo, porque la llave privada correspondiente fue extraviada o
comprometida, entre otras. La Lista de Revocación de Certificados (CRL por sus siglas
en inglés) mantiene un listado de todos los certificados que han sido revocados y del
momento en que se dio su revocación. De esta forma al verificar la validez de un
certificado, se debe consultar a la CRL para determinar si éste se encuentra vigente y
por ende, es válido (Kiran, Lareau, & Lloyd, 2002). La entidad certificadora define un
tiempo de validez para la CRL, de tal forma que una vez que caduque debe ser
actualizado.
Una Autoridad de Sellado de Tiempo (TSA por sus siglas en inglés) ofrece los servicios
de sellado de tiempo y puede operar como un servicio de un tercero de confianza o
como un servicio a lo interno de una organización.
102
de que el certificado digital correspondiente fuera revocado. Con esto, los certificados
digitales revocados podrían ser empleados para verificar las firmas digitales creadas
antes de la revocación del certificado digital, lo cual es una operación importante para
una PKI. Una TSA también puede ser usada para indicar el momento de entrega de un
documento o un trámite, o para revelar el momento en el que se realizó una
transacción dentro de una bitácora.
El sellado de tiempo resulta de la aplicación de una función hash, al dato que se quiere
sellar y luego enviarlo como entrada a la TSA. La TSA obtiene la hora oficial de una
fuente confiable de tiempo y adjunta un sello de tiempo al dato proporcionado. Luego
crea un hash del sello de tiempo y el dato proporcionado para crear un token de sellado
de tiempo. El token de sellado de tiempo junto con el sello de tiempo deben ser
firmados digitalmente con el certificado digital de la TSA y devueltos como respuesta.
En la figura se puede ver el proceso de sellado de tiempo:
103
Arquitectura física y lógica de las soluciones con mecanismos de la firma
La firma digital es utilizada para suplir las necesidades de Costa Rica en cuanto a la
firma de los documentos digitales, tomando como base la documentación de los
desarrollos y las aplicaciones existentes que puedan servir de guía, por ejemplo:
Bélgica, ya que es uno de los países con más avances en el tema de firma digital, lo
cual permite conocer con mayor amplitud, su estructura y proceso, y de esta manera
tomarlo como base para futuros desarrollos en nuestro país.
104
Una tarjeta inteligente es un dispositivo que posee un chip en su interior. Además
requiere de un lector para poder hacer uso de él.
Las tarjetas inteligentes son pequeñas, fáciles de transportar y difíciles de replicar. Las
aplicaciones que usan esta tecnología van desde la identificación de la telefonía móvil
hasta los controles de televisión por satélite. Éstas tienen sus desventajas como los
demás productos, por ejemplo: conectar los lectores a los sistemas puede consumir
mucho tiempo. Un estudio realizado por militares de Estados Unidos indica que
aproximadamente se instala y configura un lector en treinta minutos.
Otra opción para almacenar la llave privada pueden ser los tokens, ya que utilizan una
tecnología idéntica a las tarjetas inteligentes, con la diferencia de su forma e interface.
Los tokens son del tamaño de una llave de auto o de la casa y usan el Universal
Standard Bus (USB) como interface.
Los tokens basados en USB proveen ventajas a los escenarios de IT. Los lectores no
son necesarios dado que éstos se conectan directamente a los puertos USB que se
encuentran en la mayoría de los sistemas actuales de cómputo.
De todos los dispositivos de autenticación, los “smart” son los que son aceptados y
usados para su integración con aplicaciones PKI ya que pueden dar la autenticación
“siempre activa”.
En Costa Rica, las tarjetas que se utilizan para firma digital cumplen con el estándar
Federal de Proceso de Información (FIPS 140-1 Nivel 3), el cual elimina cualquier
información dentro de la tarjeta en caso de que se intente abrir para obtener el
certificado digital.
105
Figura # 38: Dispositivos criptográficos.
Fuente: http://www.methesis.fcs.ucr.ac.cr/blogs/rumana/wp-content/uploads/2009/09/firma-digital.
• Sistemas operativos
• Navegadores Web
106
o Internet Explorer 6 o superior.
o Compatible con Microsoft Internet Explorer 9 (Windows Internet Explorer
Platform Preview, versión 1.9.7766.6000, Internet Explorer versión
9.0.7766.6000).
o Google Chrome 3.0 o superior.
o Apple Safari 4.0 o superior.
107
Los formatos oficiales de los documentos electrónicos firmados digitalmente en Costa
Rica serán solo aquellos que la Dirección de Certificadores de Firma Digital determine.
Bajo esa premisa, se define que los formatos oficiales de los documentos electrónicos
firmados digitalmente en Costa Rica serán aquellos construidos con base en los
formatos avanzados emitidos como las normas técnicas y los estándares por la ETSI,
en un nivel de especificación que contemple la inclusión de todos los atributos
necesarios para garantizar la verificación de su validez en el tiempo de manera
irrefutable. Dichos formatos avanzados y la configuración de niveles son los que se
especifican a continuación:
El formato Extended Long Electronic Signature le agrega al CAdES-C los valores de los
certificados (todos los certificados de la jerarquía de certificación) y de los datos de
revocación (referencias a los CRLs y respuestas OCSP). Esto provee un repositorio
108
con la información requerida para validar la firma y evitar que esta información se
pierda.
CAdES-X-L
XAdES-X-L
109
• Son estándares abiertos.
• Pueden ser empleados en escenarios multiplataforma.
• No están sujetos a un determinado producto licenciado.
Cuentan con una adecuada documentación técnica.
Permiten la incorporación de múltiples firmas en un documento electrónico.
Implementan los principios de un mecanismo de firma confiable:
• Garantía de la autenticidad del documento electrónico.
• Garantía de la integridad del documento electrónico.
• Ubicación fehaciente del documento electrónico en el tiempo.
Especifican mecanismos estandarizados para garantizar la preservación y la
verificación de la validez de las firmas digitales del documento electrónico en el
tiempo:
• Inclusión de sellos de tiempo en el documento electrónico.
• Inclusión de la ruta de certificación en el documento electrónico.
• Inclusión de la información de revocación en el documento electrónico
Un sello de tiempo es un tipo de firma digital que garantiza que cierta información
existía antes de un momento determinado. Junto a la existencia del documento, un
sello de tiempo sirve para comprobar que éste no se ha modificado desde el momento
de la generación del sello.
110
Figura # 41: Autoridad de sellado de tiempo del sistema nacional de certificación digital.
Fuente: MICITT
• RFC 3161 “Internet X.509 Public Key Infrastructure Time Stamp Protocols (TSP),
estándar definido por la Internet Engineering Task Force (IETF) para el protocolo
Time Stamp.
• IETF RFC 3628 Policy Requirements for Time-Stamping Authorities (TSAs).
• ETSI TS 102 023 Policy requirements for time-stamping authorities.
• XML Timestamping Profile of the 2 OASIS Digital Signature Services (DSS) ver.
• ETSI TS 101 861 Time stamping profile.
111
¿Para qué sirve un servicio de sellado de tiempo? (TSS)
Un sello de tiempo sirve para obtener las evidencias, técnicas y jurídicas, de que un
objeto digital (documento, audio, video) existe y no ha sido modificado desde antes de
un instante determinado. Un servicio de sellado de tiempo es una tercera parte de
confianza, reconocida por las autoridades pertinentes, que emiten sellos de tiempo
verificables y que tienen valor probatorio. El Servicio de Sellado de Tiempo (TSS) se
encarga de recibir la solicitud de sellado de tiempo de un suscriptor, verifica los
parámetros de la solicitud y genera el token de sellado de tiempo, de acuerdo con las
políticas de estampado de tiempo.
Además, cuenta con los mecanismos de control para garantizar el acceso a las fuentes
de tiempo confiables, los servicios criptográficos y del sistema de validación.
112
Los servicios de la plataforma están disponibles para todo organismo o entidad pública
perteneciente a las diferentes administraciones públicas sea cual sea su ámbito: la
administración general del estado, las comunidades autónomas, las diputaciones
provinciales, los entes locales.
El subscriptor del servicio realiza una petición de sellado de tiempo para un dato
(hash), y para esto prepara la solicitud de acuerdo con el “Timestamp Request”
definido en el RFC 3161.
113
• Crea el token de sellado de tiempo que se devolverá al subscriptor del
servicio que realizó el pedido. En este momento se genera la firma
criptográfica del sello de tiempo.
Figura # 42: Proceso de sellado de tiempo de una Autoridad de Sellado de Tiempo (TSA).
114
Figura # 43: Proceso de verificación de un sello de tiempo (TSA)
Ejemplo:
115
El certificado para el ciudadano 1, lo emite B, si uno abre el certificado del ciudadano 1,
dice que lo emitió B y sale el certificado de B, si uno abre el certificado de B, dice que lo
emitió A entonces yo a través del certificado del Ciudadano 1, me puedo dar cuenta de
que la cadena de certificación existe entre Ciudadano 1 y A ,pasando por B y A le emite
a B, B le emite al Ciudadano 1, por ende, la firma del ciudadano 1 tiene valor legal.
Como se estructura en Costa Rica:
116
Algunos de los trámites más destacados son los procedimientos tributarios, las
transacciones electrónicas seguras a través de Internet con soporte legal, la consulta
del estado de tramitaciones, la presentación de documentos, las pruebas médicas,
entre otros.
¿Qué hay que tener en cuenta para asegurarse de que se está haciendo
correctamente? ¿Cómo protegernos ante esta posibilidad de impugnación futura de la
autenticidad de un documento electrónico?
La clave radica en que los documentos electrónicos tienen que ser preservados por
mucho tiempo y las tecnologías que empleamos pueden sufrir vulnerabilidades y
obsolescencias que pongan en duda su validez jurídica.
117
Figura # 45: Verificación de firma en el tiempo.
Fuente: http://www.micit.go.cr
Gestión documental
118
Clasificación ¿Cómo organizamos nuestros documentos? ¿Cómo aseguramos que los
documentos estén archivados siguiendo el sistema más apropiado?
Seguridad ¿Cómo evitamos la pérdida de documentos, evitar la violación de la
información o la destrucción no deseada de documentos? ¿Cómo
mantenemos la información crítica oculta a quién no debiera tener acceso a
ella?
Custodia ¿Cómo decidimos qué documentos conservar? ¿Por cuánto tiempo deben
ser guardados? ¿Cómo procedemos a su eliminación (expurgo de
documentos)?
Distribución ¿Cómo distribuimos documentos a la gente que la necesita? ¿Cuánto
podemos tardar para distribuir los documentos?
Workflow ¿Si los documentos necesitan pasar a partir de una persona a otra, cuáles
son las reglas para el flujo de estos documentos?
Creación ¿Si más de una persona está implicada en la creación o la modificación de
un documento, cómo se podrá colaborar en esas tareas?
Autenticación ¿Cómo proporcionamos los requisitos necesarios para la validación legal al
gobierno y a la industria privada acerca de la originalidad de los documentos
y cumplimos sus estándares para la autentificación?
Expediente electrónico
119
Ventajas
• Transparencia y acceso
• Eficiencia
• Fácil ubicación de los expedientes
• Seguridad
• Mayor dificultad de adulteración
• Calidad de la gestión
• Disminución de los costos
• Mantenimiento de la información
• Menor utilización del espacio físico
Custodia electrónica
120
Tecnologías relacionadas
o Integridad y autenticidad
o Control de acceso
o Trazabilidad
o Localización
121
Por lo tanto los sistemas de custodia electrónica necesitan más tecnologías como
Content Address Storage, que generan un localizador basado en el contenido y por
tanto, indisociable al mismo.
o Preservación
122
• Uso de los documentos precedentes para la reutilización.
• Distribución fácil, rápida y a costos muy reducidos de grandes cantidades de
información, grandes listas de distribución y sin límites de distancia.
• En caso de desastre, puede haber una recuperación rápida a través de
respaldos y los centros de almacenamiento de datos físicamente distantes.
• Uso de data centers con el objetivo de protección y/o la gestión.
• Eliminación efectiva de los costos de espacio y personal para su manejo y
almacenamiento.
• Una mayor seguridad de la información mediante la definición de reglas de
acceso a la documentación para los diferentes usuarios y dependiendo de su rol
en la organización.
La información es un bien valioso para las compañías, y los centros de datos son las
estaciones por donde pasan las nuevas autopistas digitales.
Un centro de datos es una instalación utilizada para alojar los sistemas informáticos y
los componentes asociados, como: las telecomunicaciones y los sistemas de
almacenamiento. Por lo general, incluye las fuentes de alimentación redundantes, las
conexiones redundantes de comunicaciones de datos, los controles ambientales (por
ejemplo: el aire acondicionado, la extinción de incendios) y los dispositivos de
seguridad.
Las tendencias del mercado y la industria están cambiando la forma en que las
empresas enfocan sus estrategias de centros de datos. Varios factores están
impulsándolas a buscar más allá de los tradicionales silos de infraestructura
123
tecnológica y transformar la manera en que ven su entorno de centro de datos y
procesos de negocio. Estos incluyen el envejecimiento de las infraestructuras de
centros de datos que están en riesgo de no cumplir con las necesidades futuras de
negocio, una constante conciencia de los costos y la necesidad de ser más eficientes
energéticamente.
Según Acensblog: “El crecimiento exponencial del número de usuarios de los servicios
online ha llevado a las empresas a subcontratar la gestión, el mantenimiento y la
administración de sus equipos informáticos y de comunicaciones en los data center.
Esto les permite centrarse en el desarrollo de su propio negocio y olvidarse de las
complejidades tecnológicas derivadas de las características anteriormente comentadas,
así como prestar el servicio sin la necesidad de realizar una inversión elevada en
equipamiento dedicado a este fin” (01/04/13, consultado).
Ventajas
124
• La necesidad de contar con la infraestructura física para soportar sistemas de
misión crítica, manteniendo las aplicaciones disponibles y resguardadas durante
las veinticuatro horas. (7x24x365).
• La necesidad de generar un ahorro de costos y esfuerzos.
PKI Nacional
¿Qué es un PKI?
125
prevenir la modificación deliberada o accidental de los datos firmados, durante su
transporte, almacenamiento o manipulación), y el acuerdo de llaves secretas para
garantizar la confidencialidad de la información intercambiada. PKI se puede utilizar
para:
• Gestión de llaves: nos permite crear, revisar o revocar llaves, así como
gestionar niveles de confianza.
• Publicación de llaves: una vez creadas las llaves, el PKI permite difundir nuestra
llave pública, así como localizar las públicas de otros usuarios, junto con su
estado (llave revocada, entre otras).
Utilización de llaves: una vez recuperada una llave, PKI facilita el uso de la misma.
o Política de seguridad
o Declaración de práctica de certificados
o Autoridad de Certificación (CA): son todas las entidades autorizadas para emitir
los certificados de llave pública dentro de la jerarquía nacional de certificadores
registrados, esto incluye:
o CA raíz
o CA de políticas
o CA emisoras
126
Figura # 47: Diagrama de la jerarquía nacional de certificadores registrados.
Fuente: http://www.firmadigital.go.cr
Autoridad de Registro (RA): es una entidad que ejecuta las labores de identificación y
autenticación de los solicitantes que aplican por un certificado. La RA debe validar los
requisitos de identificación del interesado, dependiendo del tipo de certificado y de la
especificación de la política pertinente. Además, tramita las solicitudes de revocación
para los certificados y valida la información contenida en éstas. Las Autoridades de
Registro se regulan en el documento de “Directrices para las Autoridades de Registro.
Características de cumplimiento de Autoridades de Registro (RA) de la jerarquía
nacional de certificadores registrados de Costa Rica” emitido por la DCFD para este
propósito.
127
Figura # 48: Esquema PKI.
Fuente:http://es.scribd.com/doc/11984317/Pki
Hoy en día la interoperabilidad de los sistemas y las aplicaciones han logrado una
revolución de las máquinas las cuales usan la tecnología M2M (Machine to Machine) la
cual se refiere a la comunicación y el intercambio de máquina a máquina (M2M), es
donde cualquier máquina controlada electrónicamente, habla e imparte la información
esencial más rápidamente, con mayor precisión y eficacia que cualquier otro dispositivo
entre el hábitat de la gente y los sistemas. Los dispositivos de M2M brindan soluciones
móviles en innumerables segmentos y ambientes por todo el mundo.
128
• El tipo de máquinas y dispositivos: Los dispositivos electrónicos conviven con
nosotros en nuestra vida diaria, dispositivos cada vez más pequeños, con
mayores presentaciones, más inteligentes y cada vez más económicos, que nos
permiten automatizar tareas que antes era imposibles.
Por lo tanto hablar de M2M es hablar de wireless, máquina y redes, tres factores que
están creciendo tanto y son accesibles, lo que hace que el mercado potencial para
M2M sea enorme.
129
Dispositivo a centro de control: para recopilar la información utiliza directamente el
centro de control al dispositivo: para enviar las instrucciones o las actualizaciones de
firmware a los dispositivos remotos.
Por lo tanto, una aplicación M2M wireless implica la interconexión de los diferentes
dispositivos inalámbricos que se encuentran en posiciones remotas y que necesitan
enviar o recibir información desde un centro de control, o dispositivos que se
encuentran conectados en la parte de transporte de una infraestructura de la red.
La misma puede utilizar los certificados de agente electrónico, lo cual le permite a las
entidades jurídicas implementar los sistemas informáticos u otros medios electrónicos
para realizar sus transacciones sin intervención humana, pero manteniendo su
relevancia jurídica al vincular a la empresa o la organización que firma a través de este
tipo de certificado digital.
130
protocolo abierto, por lo que puede ser empleado por cualquier fabricante de
aplicaciones para Internet, siendo una de sus grandes ventajas el hecho de que se
pueda utilizar con cualquiera de los protocolos de servicios más comunes del Internet
(HTTP, FTP, SMTP, entre otros), aunque lo más normal es que se use para el tráfico
de la web vía el protocolo HTTP.
Entonces, para utilizar el protocolo SSL dentro de una página web es necesario que el
web en cuestión se encuentre en posesión (tenga instalado) de un certificado digital de
seguridad conocido como SSL y que el mismo interactué con un navegador web que
tenga soporte para SSL (ya prácticamente todos los navegadores lo tienen).
131
Anexamos a continuación un diagrama que ejemplifica esta comunicación.
Los certificados SSL son expedidos por una autoridad de certificación (CA), quienes no
son sino proveedores autorizados. Los certificados SSL contienen datos como: el
nombre de la empresa cliente (para quien es generado el certificado en cuestión), un
número serial propio del certificado, la fecha de expiración (del certificado), y una llave
pública que permite encriptar la información.
¿Cómo sabemos si un web cuenta con protección bajo un certificado SSL? Esto puede
verse a simple vista en todos los principales navegadores. Lo primero es el
132
prefijo HTTP de la dirección URL de la página web, cambia a HTTPS (que
significa HTTP seguro), lo segundo es que en alguna parte de la ventana del
navegador (ello depende de que navegador utilice), se visualiza un icono con forma de
candado; el mismo al darle click abre una ventana con todos los datos del
certificado SSL en cuestión, y los datos de la entidad CA que generó este certificado. A
continuación mostramos una imagen representativa de esto.
133
Precisamente los certificados SSL se pagan bajo la misma modalidad que los hostings
web; es decir se paga una cantidad establecida por el CA y la misma corresponde a un
tiempo de vigencia del certificado SSL. Una vez que expira, este tiene que ser
renovado (vía otro pago), sino, el certificado pierde validez y no funciona para realizar
una conexión cifrada segura.
¿Si compré por mí mismo un certificado SSL, entonces como lo instalo? Una vez que
su certificado SSL se ha aprobado y emitido por un CA, su desarrollador web o el
administrador web debe dirigirse al sitio web del CA donde lo haya tramitado y
descargar la secuencia de comandos para el sello y añadir este en las páginas web
apropiadas (los accesos o los formularios donde se captura la información
confidencial). La persona que instale el sello tendrá que saber el nombre común
utilizado para la compra del certificado SSL y poder actualizar el HTML de las páginas
donde se añadirá el sello. El sello consiste en una línea pequeña de códigos que
enlaza con un ventana emergente generada por el CA que contiene información sobre
su certificado SSL.
El uso más común para los certificados digitales es verificar que un sitio en internet es
quien en realidad dice ser, y así proveer transferencia encriptada de datos entre el
usuario conectado y el servidor (web site con soporte SSL), para que el usuario realice
operaciones con completa seguridad al brindar sus datos confidenciales.
134
Internet, casi es seguro que en alguna de sus páginas web, requerirá el uso de un
certificado SSL.
Con SSL se pueden usar diversos algoritmos, por ejemplo: DES, TDES, RC2, RC4,
MD5, SHA-1, DH y RSA. Cuando una comunicación está bajo SSL la información que
es cifrada es:
135
Figura#: Protocolo SSL.
Fuente: www.tierradelazaro.com/public/libros/introduccionalacriptologia.doc
136
garantizada su autenticidad, integridad y conservación, y en su caso, la recepción del
interesado.
137
En la preservación digital, no actualizar constantemente la información, es sinónimo de
su destrucción. La preservación de un medio digital, en la actualidad parece no
depende de cuánto pueda durar el soporte en el que se encuentra, sino en la
capacidad del documento en ser transferido de un soporte a otro y de un formato a
otro, tanto como sea posible.
Los modos y las formas que se utilizan para el almacenamiento de los soportes
digitales y en papel son muy diversos, aunque ambos requieren de metodologías para
su preservación, algunos aspectos como podrían ser los desastres naturales afectarán
tanto a los electrónicos como en papel. Aunque en el caso de los formatos podríamos
apelar al cómputo distribuido y mantener las copias de seguridad en diversas
ubicaciones geográficas.
Para llegar al punto de utilizar recursos electrónicos debemos tener presente que para
la conservación de recursos en papel el espacio físico es vital y dado que las
bibliotecas y los centros de información en la actualidad, tienen problemas para lograr
el máximo aprovechamiento de espacios, en muchos casos existe una tendencia por
pasar a los formatos digitales, esto como parte de un proceso evolutivo que en
nuestros días se ha convertido en una situación completamente normal.
138
Figura # 54: Diagrama de pasos documentos electrónicos.
Fuente: www.slideshare.ne
La obsolescencia tecnológica: hay que tomar las medidas necesarias para mantener
actualizado tanto el software como hardware.
139
Tabla # 2: Ejemplos de formatos
140
Normalmente las instituciones suelen realizar copias de seguridad en todo tipo de
soportes: los magnéticos (discos, cintas) y los ópticos (CD y DVD).Los soportes
magnéticos sufren un doble deterioro: por un lado el agotamiento progresivo del campo
magnético que necesita una actualización periódica, y por otro, las condiciones
ambientales que contribuyen a su destrucción (humedad, temperatura, polución, entre
otros). Los soportes magnéticos, aunque más duraderos, también están sujetos al
deterioro causado por factores ambientales y a la durabilidad de los materiales
utilizados en su construcción. Los lugares destinados al almacenaje de estos
materiales deben tener una serie de características: Deben ser espacios bien
protegidos exentos de luz y polvo y con un campo magnético tan débil como sea
posible, evitando la proximidad de motores o transformadores eléctricos. Los controles
de la temperatura y de la humedad deben mantenerse a unos 20ºC y un 40% de
humedad. Los materiales deben estar almacenados en cajas para evitar cualquier tipo
de daño físico.
Desde los primeros tiempos de la evolución informática, los documentos digitales han
surgido como una solución económica que permite almacenar gran cantidad de
información en pequeños espacios, así como un soporte que permita la difusión masiva
con independencia del espacio y el tiempo. Así, desde su mismo inicio, la
documentación digital ha encontrado también dificultades para solucionar sus
problemas de soporte (tiene menos esperanza de vida y requiere de la existencia de
unas tecnologías para acceder a los mismos, que cambian a una velocidad incluso
mayor que los propios formatos, además de que se deteriora más fácilmente); (la
información digital es intrínsecamente más fácil de alterar que las tecnologías
tradicionales de papel o microfilm).
141
.
Figura # 56: Conservación de libros en el tiempo.
Fuente: www.slideshare.ne
En pocos años experiencia no es mucha para poder afirmar qué estrategias son las
más apropiadas y efectivas para la preservación a largo plazo, no obstante, estos años
sí han sido suficientes para poder asegurar que mientras antes se tomen las medidas,
mejor. Sabemos que ningún aporte de almacenamiento puede durar para siempre, por
lo que hay que ir constantemente buscando las mejores opciones para mantener la
legibilidad de los archivos. En los estudios que se han publicado, podemos observar
que las estrategias cambian de nombre o se agrupan de distinta manera. Algunas son
más desarrolladas que otras debido a su mayor envergadura, como es el caso de los
metadatos, la migración o la emulación, entre otras.
142
En la preservación digital, se hace estrictamente necesario agregar un valor de uso de
la información digital a los criterios de selección. Ninguna institución, por muy grande
que fuera la cantidad de recursos destinados a la conversión y la preservación digital
de sus colecciones, podría asumir el costo que representa la preservación de la
totalidad del patrimonio.
Los formatos en los cuales se tendrá que realizar el almacenamiento, mismo que al
paso del tiempo pueden cambiar y con base en esos aspectos se tendrá que tomar en
cuenta:
Además de los aspectos mencionados tendremos que verificar los administrativos que
se asocian a la selección, la conformación y la preservación de la información,
partiendo de la idea de su ciclo de vida y de los documentos, ya que para evaluar si
uno de ellos es migrado, se tendrá que sopesar si vale la pena hacerlo y en qué
plataforma se estará integrando para poder hacerlo accesible.
Así mismo el rápido crecimiento de las colecciones nos lleva a plantear las políticas
para lograr una preservación más adecuada, así como poder recuperar y leer
documentos pasado mucho tiempo. En el entorno tradicional, la información es
contenida en medios que son durables y pueden ser legibles con relativa simpleza, sin
embargo cabe la pregunta ¿Serán legibles en diez, veinte o cien años como lo son los
recursos que se encuentran en papel?
143
La accesibilidad será una pieza vital como parte de la preservación de los documentos
en formato digital, ya que si éstos logran sobrevivir al paso del tiempo (la continuidad –
por cuanto tiempos será un formato “válido”) podrán ser usables y accesibles. Si bien
es cierto que para que esto suceda, se requerirá hablar de la autenticidad y la
integridad de la información.
Algunas alternativas
Dentro de las posibles propuestas para evitar un poco las contrariedades o las
problemáticas mencionadas podríamos citar los siguientes aspectos:
144
que contienen. Se deberá tener en cuenta que en muchas migraciones se pueden
llegar a perder datos.
Interoperabilidad: La posibilidad de trabajar con sistemas que puedan interactuar
entre uno y otro para de algún modo y en ciertos grados, evitar el número de
migraciones.
Conversión a formatos estándar: Quizás esta sea una de las grandes opciones,
Aunque en la actualidad tenemos muchos estándares, sin embargo, en una visión
a futuro pudieran reducirse promoviendo la interoperabilidad.
Hablando de los costes de mantenimiento de un archivo digital, se puede decir que son
imprevisibles, puesto que dependen de factores externos al archivo, tanto de la
evolución tecnológica como de la estructura de las organizaciones que producen los
documentos.
Ahora que vemos una euforia por los libros electrónicos gracias a un ecosistema
tecnológico que se desarrolla más y más, sería bueno considerar de algún modo estos
aspectos o la conservación de documentos a largo plazo; para esto se deben,
conservar de manera segura los documentos electrónicos y a su vez asegurar la
validez de las firmas electrónicas que son incorporadas en los mismos documentos,
garantizando la utilización y recuperación inmediata.
145
También se tiene la cultura de tener grandes cantidades de expedientes o archivos
para realizar las revisiones de documentos importantes que incurren en aspectos
legales y a las personas que se involucran el proceso, les da miedo no tener acceso a
los que están en medio electrónico, por ello se pretende que al crear un ecosistema en
la organización del uso de la firma digital , se informe y se enseñe a los funcionarios de
qué forma se usa la firma digital en el ambiente de trabajo , que se cree una cultura de
uso de la firma digital en los documentos.
Además, dentro del ecosistema por crear, es de gran interés conocer cómo el usuario
se integra e interacciona en el entorno de las entidades de certificación y cómo
interactúa con otros usuarios del sistema en la creación y la comprobación de las
146
firmas digitales. De esta explicación se obtiene la posición que el usuario adquiere
respecto al sistema de la firma en la modalidad que se está estudiando.
Para interiorizar las relaciones que se establecen con el uso de los certificados
digitales, el funcionamiento del sistema es el que se describe a continuación:
Programación de la aplicación
Se deben conocer el tipo de librerías que se utilizarán para el desarrollo del verificador
de la firma digital y aclarar las posibles dudas que surjan de cómo se puede emplear de
manera adecuada. Por ello la investigación presenta los aspectos necesarios para el
desarrollo de una herramienta, que sea sencilla, versátil, con gran fiabilidad, que
147
permita generar documentos firmados electrónicamente y a su vez, seguir los
estándares nacionales e internacionales que se establecen en la utilización de la firma
digital, como los formatos XADES, que permiten la validación de la firma y que
contemplan todos los aspectos que requiere ésta en la actualidad.
XML
El XML es un formato de texto que intenta representar las estructuras de árbol (de la
misma manera que el CSV intenta representar las estructuras de tabla).
Por ello las aplicaciones y los servicios desarrollados permitirán generar documentos
en formato XML firmado tipo XADES. Dicho formato, al mostrar los datos estructurados
y con información de metadatos, permite además búsquedas avanzadas sobre los
documentos y los procesos automatizados sobre las mismas, sin perder las
funcionalidades de la firma digital avanzada.
148
El formato de firma XMLDSig y XADES se divide en diversas partes, como se refleja en
la siguiente imagen:
Ejemplo:
149
Figura # 61: Ejemplo de código fuente de VB.
Fuente: http://msdn.microsoft.com/es-es/library/ms229745(v=vs.80).aspx
Herramientas de XML
150
Editor XML
Procesadores XML
Editores de DTD
151
relacionados. A diferencia que en SGML, en XML no es obligatorio crearlos, aunque es
recomendable porque nos facilitará la validación de los documentos. Algunos ejemplos
de estos editores son el TDTD para Emacs o el EZDTD que también trabaja con
SGML.
• Ejemplos:
– Dividir
– Descomponer una fórmula notable
– Obtener el máximo común divisor (algoritmo de Euclides)
Los tipos de algoritmos que se requieren en la firma digital son los que se muestran a
continuación:
• Algoritmo Hash
152
Figura # 62: Algoritmo hash
153
Funcionamiento: cuando se requiere enviar un mensaje, el emisor busca la clave
pública de cifrado del receptor, cifra su mensaje con esa clave y cuando el
mensaje cifrado llega al receptor, este se ocupa de descifrarlo usando la clave
oculta.
154
Marco metodológico
Como parte de las estrategias de trabajo, se fijaron los lineamientos y las guías para la
recopilación y el tratamiento de la información, así como para la colaboración efectiva
de todos los miembros del equipo. A continuación se describe el marco metodológico
en donde se detallan dichos lineamientos.
Con el fin de llevar a cabo los objetivos definidos para el proyecto, se consideró
necesaria una labor de búsqueda, obtención, análisis, síntesis y documentación de
toda la información pertinente. Para la realización de estas labores, se ejecutaron las
tareas que se desglosan a continuación. Importante recordar que esta lista incluye solo
aquellos paquetes de trabajo donde la recopilación y el tratamiento de la información
resultó un componente primordial del desarrollo de cada paquete de trabajo:
Se realizó una búsqueda de todas las posibles fuentes bibliográficas que sirven
de literatura base y respaldo teórico para el desarrollo del proyecto. Una vez
revisadas y analizadas las fuentes, se procede a determinar junto al tutor, todas
aquellas particularidades que como mínimo deben ser contempladas en la
investigación.
Se revisó toda la información pertinente al tema que se maneja en el Banco
Central, entre lo que se incluye un análisis del origen, el desarrollo y el estado de
la firma digital en Costa Rica; una exploración de toda las referencias existentes
respecto a los desarrollos de la misma a nivel nacional como internacional, y
finalmente, una recopilación de contactos y referencias que sirvan de fuentes
primarias para el recabado de la información. Se desarrolla una estrategia de
comunicación que incluye: las plantillas para las diferentes solicitudes de
información que se enviaron, considerando posibles barreras de idioma
155
(versiones tanto en español como en inglés). Las plantillas contemplan
encuestas y correos de solicitud de información y se dividen como sigue:
Fuentes de información
Según Norton (1997), las fuentes de información son elementos origen de diversas
cualidades y de los cuales podemos obtener información. Las fuentes como origen de
la información pueden ser observaciones, personas, charlas, documentos, fotos, y
organizaciones, entre otras. De igual forma, pueden subdividirse en fuentes primarias,
secundarias y hasta terciarias, en caso de ser necesario.
156
Fuentes primarias
Las fuentes primarias son un recurso origen de información de primera mano, de mayor
cercanía a la persona, la información, el período o la idea objeto del estudio. Se
consultan y referencian directamente, tal y como lo dice Norton (1997). En el caso del
proyecto, las fuertes primarias que se consultan son las siguientes:
Fuentes secundarias
Según Norton (1997), las fuentes secundarias son recursos origen de información que
parten de una cita, un comentario o una construcción literal, y que son producto de una
fuente previa o primaria. Normalmente complementan sobre la idea original mediante el
desarrollo de procesos de generalización, análisis, síntesis, interpretación o evaluación
de la información origen.
157
Para el producto de este trabajo, se utilizan como fuentes secundarias de información
las siguientes:
Método de investigación
158
métodos, todos se utilizaron según se requirió en las distintas actividades de
investigación en el desarrollo del trabajo.
Técnicas de Investigación
El contexto del proyecto utilizó una mezcla de las distintas técnicas aquí observadas,
obteniendo los mejores datos para ser procesados y analizados en función de los
objetivos que se desean alcanzar.
Investigación
159
o Plantillas que faciliten el almacenamiento y la comparación de los datos
obtenidos de fuentes primarias y secundarias del proyecto.
Gestión
Colaboración
o Se utiliza google doc para compartir las minutas de trabajo y los documentos
del proyecto.
Comunicación
160
Identificación y análisis de la firma digital en otros países
Gran Bretaña
• Tienen una guía general sobre la firma digital dirigida a las autoridades,
especialmente a los directores de TI, los gerentes de proyecto y otros que
ayudan a gestionar la de una autoridad pública.
• Firma y pruebas del sistema: ilustra cómo el valor probatorio de las firmas
digitales se puede garantizar.
161
• Aspectos jurídicos de la utilización de la firma digital, se examinarán las
implicaciones jurídicas de su uso. El tema central es cómo la autoridad puede
garantizar el valor probatorio de los mensajes firmados.
Alemania
162
información que no se puede incluir en los certificados, cómo se genera y
comprueba la firma digital, el catálogo de algoritmos, entre otros.
Bélgica
• Software de comprobación.
163
Figura # 67: Catálogo de algoritmos
Fuente: http://www.test.eid.belgium.be/
España
164
• Pasos para la firma electrónica: cómo firmar un documento, confirmar, firmar en
cascada, validar y visualizar una firma, cifrar/descifrar.
Brasil
165
• Manual de beneficios y aplicaciones de la certificación digital.
Chile
Argentina
166
Diagnóstico (Situación Actual)
La firma digital en Costa Rica inicia a finales de febrero de 2002, cuando se presentó
un proyecto de ley bajo el expediente 14.276. Con él se buscaba legislar los temas
relacionados con la firma digital en Costa Rica. Debido a su novedad y características,
tuvo una amplia discusión y fue en agosto de 2005 que se creó la Ley 8454: Ley de
167
Certificados, Firmas Digitales y Documentos Electrónicos (Gobierno de Costa Rica,
2005).
Con esta ley se otorgó respaldo legal a las acciones realizadas mediante documentos o
transacciones electrónicas y permitió vincular jurídicamente a los actores que participan
en ellas. Esto permite efectuar transacciones que se efectúan físicamente, y por medio
de papel, al mundo virtual; conservando su validez jurídica.
168
Figura # 72: Jerarquía Nacional.
Fuente: http://www.firmadigital.go.cr/jerarquia.html
169
Contexto en el país de la gestión de documentos electrónicos
170
con la conservación por largos períodos debido a la obsolescencia informática. La
directriz exhorta a no aplicar la tecnología informática en las instituciones que no
cuenten con los recursos necesarios para garantizar la solución de los problemas de
gestión “informal”, la garantía de autenticidad y la garantía de permanencia, las que se
abstendrán de hacer gestión de documentos de valor científico-cultural en soporte
electrónico, hasta que se obtengan dichos recursos. Esta advertencia nos parece muy
acertada, debido a que la imprudencia por lo novedoso, podría poner en peligro la
seguridad de los documentos por medios electrónicos.
171
asegurar y regular la gestión debida y la conservación de los documentos, los
mensajes o los archivos electrónicos. Esta disposición es muy importante y a la vez
novedosa respecto de toda la legislación Latinoamericana, y se explica por la
permanente vigilancia del Archivo Nacional durante la dación de la ley, lo cual le
permitió una participación explícita al máximo organismo de la archivística
costarricense. Como en las legislaciones anteriores, la firma digital goza de valor y
eficacia probatoria, equivalente a los documentos firmados a manuscrito, además
precisa que los documentos públicos electrónicos deberán llevar la firma digital
certificada.
172
Resultados de la encuesta
173
o ¿Cuentan con normativas, políticas o reglamentos internos en la organización
para los procesos de firma digital?
174
• Desarrollo de las aplicaciones y su uso.
• Capacitación técnica para los usuarios.
• Capacitación legal sobre las implicaciones del uso de la firma digital.
• Uso adecuado de la firma digital.
• Derechos y obligaciones que se adquieren.
Entidad Proyecto
Entidades Púlicas
ARESEP Sistema de quejas
Casa Presidencial Leyes y decretos
CCSS SICERE: Asegurados y Patronos
Pago de incapacidades
Consulta de pago de proveedores
CGR Declaración Jurada
Planes y Presupuestos (SIPP)
CNFL Ventanilla única
Certificados de medidores
Programa empresarial de teletrabajo
COSEVI Registro dirección electrónica vial
Gobierno Digital Crear empresa
EnTiempo
Mer-Link
ICE Gestión documental
Web institucionales
INS Pago de pólizas e hipotecas
Expediente médico-SIMA
Imprenta Nacional Firma de textos por ser publicados
Gaceta digital
JPS Autenticación en sitios internos
Firma en sistemas internos
COMEX Correspondencia interna
MAG Registro de OVM
175
MICITT Evaluación de personal
MHDA TICA
CompraRed
Tributación Digital
MTSS Reglamos internos de trabajo
Municipalidad de San José Autenticación en web
Poder Judicial Expedientes Judiciales
Solicitud hoja de delincuencia
PROCOMER Registro a zonas francas
TSE Matrimonio Digital
BANCOS
Banco Central Central Directo
Correspondencia interna
Autenticación en estaciones
Banco de Costa Rica Autenticación en web
Firma de transacciones
Banco Popular Autenticación en web
Banco Lafise Autenticación en web
Firma de transacciones
Banco Promérica Autenticación en web
SUPERINTENDENCIAS
SUPEN Información de afiliados
Denuncias
SUGEF SICVECA
Consulta información crediticia
SUGEVAL Autenticación en web
Firma de transacciones
SUGESE Correspondencia interna y externa
176
OTRAS INSTITUCIONES
Colegio de Ingenieros Autenticación en web
Envíos de planos firmados
177
Propuesta de solución
El modelo contiene un manual en prosa (PDF o Word), y también una guía en XML con
una serie de metadatos como el título, las referencias, la versión, breadcrumbs, las
palabras claves y otros elementos que puedan ser necesarios para que a futuro una
empresa de desarrollo de software tome esos documentos XML y los interprete con su
herramienta para realizar un manual interactivo en línea para las instituciones del país.
Entre las herramientas que se pueden utilizar para el desarrollo del XML son:
Dreamweaver, Wysiwyg Web Builder, XML Editor.
El modelo de firma digital desarrollado está formado por dos procesos: la guía
interactiva de la firma digital y los flujos de los procesos de ésta. La guía interactiva por
su parte, está conformada por los aspectos técnicos y legales, los cuales explican los
pasos necesarios para la implementación de la firma digital en las organizaciones. Los
flujos de los procesos de la firma digital explican de manera interactiva los elementos
involucrados en cada uno de ellos, así como el procedimiento por seguir. Los flujos
son los siguientes:
178
o Flujo de firma digital avanzada.
o Flujo de firma digital de estampado de tiempo.
o Flujo de un sello electrónico.
o Flujo de verificación de firma digital básica.
o Flujo de verificación de firma digital avanzada.
o Flujo de verificación de un sello electrónico.
179
Flujos de los procesos de la firma digital
A continuación se describen los procesos y los subprocesos que componen los flujos
de los procesos de firma digital.
El siguiente proceso muestra los pasos que debe realizar el usuario desde su
computadora, al solicitar la firma digital para un documento. Al mismo se le realiza el
cálculo de la función hash y seguidamente se encripta el hash del documento en el
dispositivo criptográfico del usuario, finalmente se construye el documento firmado
digitalmente con estos elementos: documento + hash encriptado + certificado del
firmante.
180
Proceso de verificación de firma digital básica
Consiste en realizar la verificación del documento que se firmó digitalmente, para ello el
usuario solicita verificar la validez de la firma digital desde su computadora, se realiza
el cálculo de la función hash sobre el documento que envía el usuario, se compara si
las firmas son iguales, y se valida la certificación. También se revisa el estado de
revocación y se hace la validación de la vigencia del certificado (es decir, se verifica
que el certificado esté vigente al momento de firmar y que no haya expirado su tiempo
de validez en el momento que se firma el documento). La validación se revisa en la CA
emisora. Ya habiendo revisado que todo este correcto, se envía la respuesta al usuario
indicando que todo fue exitoso, o que por el contrario se revocó.
181
Proceso de flujo de la firma digital avanzada
182
Proceso de verificación de firma digital avanzada
183
Sellado de tiempo
184
Verificación de sellado de tiempo
185
Sello electrónico
El usuario desde su equipo solicita al sitio web una certificación, este la genera y
solicita al DSS su firma y se calcula el hash del documento. Luego se solicita al HSM
la encriptación del hash con la llave privada del certificado y se construye el documento
firmado digitalmente en formato avanzado (se agregan las estampas de tiempos, la
información de revocación, se verifica la validez del certificado, se adicionan las
cadenas). Finalmente, se habilita la descarga del documento al usuario.
186
Proceso de verificación de sello electrónico
La verificación de la validez del sello electrónico realiza el cálculo del hash del
documento y hace las validaciones y las comparaciones (calcula el hash del
documento, se desencripta la firma, compara el desencriptado con el generado, verifica
la información de la revocación, verifica las cadenas de certificados, verifica las
estampas de tiempo correspondiente al tiempo validado con respecto a la vigencia del
certificado y a la emisión de las CRL’S y OSP).
187
Conclusiones
o Bélgica y España han sido de los países con mayor auge en cuanto al tema de
firma digital. Como prueba de éxito del avance que han tenido es que la misma
tecnología está siendo emulada por otros países, por ejemplo Chile, Brasil y
Costa Rica, con el propósito de avanzar hacia un mundo más seguro y
transparente.
o A partir de los flujos de los procesos de firma digital (firma digital básica, firma
digital avanzada, firma digital de estampado de tiempo, verificación de firma
digital básica y avanzada, sello electrónico y verificación de un sello electrónico),
se describen dichos procesos de forma clara y concisa, con el fin de potenciar el
conocimiento y el aprendizaje de los ciudadanos.
188
Recomendaciones
189
Análisis retrospectivo
190
Lecciones aprendidas
191
Referencias Bibliográficas
192
o Universidad Politécnica de Valencia. ¿Qué es un Certificado Digital?
Recuperado el 06 de marzo de 2013, de
http://www.upv.es/contenidos/CD/info/711545normalc.html
193
o Gatner. Data Center. Recuperado el 02 de abril de 2013, de
http://www.gartner.com/it-glossary/data-center/.
o WSL. Para qué sirven los certificados ssl. Recuperado el 04 de abril de 2013, de
http://www.tecnologiapyme.com/servicios-web/para-que-sirven-los-certificados-
ssl
194
o Universidad Nacional de Colombia. Definición de modelo. Recuperado el 07 de
junio de 2013, de
http://www.virtual.unal.edu.co/cursos/sedes/manizales/4060010/lecciones/Capit
ulo1/modelo.htm
195
Anexos
196
Anexo # 2: Identificación de los principales riesgos del proyecto
Dificultad técnica y legal de los temas por Solicitar consultoría/guía por parte del sponsor
tratar. del proyecto.
Viajes al extranjero que puedan afectar el Coordinar previamente las actividades para
tiempo de ejecución del proyecto. adelantar el trabajo que deba efectuarse durante
ese tiempo.
Barrera del idioma para investigar sobre Buscar herramientas que nos permitan traducir
Firma Digital en otros países. los documentos o solicitar la información en un
idioma estandarizado como el inglés.
197
Anexo # 3: Descripción de las herramientas utilizadas para la guía interactiva de firma digital
Notepad XML
Es una herramienta que permite editar las páginas HTML a XML. Es gratuita, se le
puede instalar plugins para diversidad de formatos que se requieran.
Notepad
198
Anexo # 4: Plantilla de Encuesta
Preguntas Informativas
199
• ¿Qué desventajas tiene al utilizar firma digital?
o Costo
o Necesidad de contar con una autoridad certificadora
o Otras, mencione:
200
• ¿Se involucró al encargado del archivo institucional en la implementación de
firma digital?
o Sí
o No
• ¿Qué temas le gustarían que se impulsarán más, en relación con firma digital en
Costa Rica?
Preguntas Técnicas
201
o PAdES
o Otro, especifique:
202
• ¿Qué software se utiliza para la implementación del repositorio. ¿Es software
libre o licenciado?
• ¿Utilizan algún otro sistema para gestión de documentos como un archivo digital
o expediente digital?
o Sí
o No
203