¿ES VIABLE LA UTILIZACIÓN DE CERTIFICADOS DIGITALES EN DOCUMENTOS DE IDENTIDAD NACIONALES ELECTRÓNICOS? INDICE CAPITULO 1 I.-INTRODUCCION Introducción a la temática de firma y certificación II.- AUTENTICACIÓN ELECTRÓNICA Autenticación electrónica-Autenticación en transacciones electrónicas. Elementos: Confianza. Entornos. Identificación de las personas y tratamiento de la documentación. Factores de Autenticación Métodos de Autenticación según etapa de implementación del sistema. III.- CERTIFICADOS DIGITALES Uso de certificados digitales para autenticarse Autoridad de Certificación Titular del certificado o suscriptor Usuario del certificado Verificación de firma digital CAPITULO 2 1
III.-TARJETAS INTELIGENTES Banda magnética vs. Tarjeta inteligente Ventajas de utilizar tarjetas inteligentes Capacidad de almacenamiento de información Flexibilidad Tarjeta de circuito integrado o tarjeta inteligente Clases de tarjetas inteligentes-Tarjeta inteligente de contacto o tarjetas de memoria.Tarjetas sincrónicas Tarjetas Asincrónicas Usos de las tarjetas inteligentes CONCLUSIONES CAPITULO 3 IV.- USO DE CERTIFICADOS Uso de certificados en una tarjeta inteligente o Documento Nacional de Identidad electrónico. Diferencia entre certificados incluidos en un DNI digital y certificados de firma digital. Marco Tecnológico 2
Generación de claves
DNI tradicional y DNI electrónico: diferencias CAPITULO 4 V.- DOCUMENTO NACIONAL DE IDENTIDAD ELECTRÓNICO. Antecedentes internacionales de las distintas experiencias España Síntesis de la experiencia-ventajas-información que contiene la tarjeta-función de los certificados-quien los emite-representación gráfica-Marco legal aplicable Uso de los certificados contenidos en el DNI electrónicos conforme ley de creación del DNIe en España.-
limitaciones y restricciones al uso de los
certificados-infraestructura de clave pública del DNIe-Análisis de la Política de Certificación del DNIe-entidades y personas intervinientes.Experiencia de Bélgica Objetivo del eID-formato de la tarjeta-detalle de la información contenida en el chip-uso de certificados digitales-aplicaciones del eID –Normativa aplicables Documento de Identidad Digital en Hong Kong Ejemplo y representación gráfica-descripción del chip-lectoras de documentosaplicaciones.El DNIe en cifras CAPITULO 5 VI-BENEFICIOS DEL DNI ELECTRÓNICO Comodidad y Seguridad Jurídica Inconvenientes del DNIe -incompatibilidad- Inconvenientes técnicos Limitaciones que implica el uso de esta tecnología-fallas de seguridad 3
El proyecto debe funcionar en el tiempo-independencia tecnológica.CAPITULO 6 VII- QUE SE NECESITARÍA PARA IMPLEMENTAR EL DNI ELECTRÓNICO EN ARGENTINA Marco Normativo aplicable Identificación y emisión del DNI en el entorno digital Normativa aplicable al DNI electrónico: Introducción al estudio de la Normativa de firma digital Concepto de documento digital Firma electrónica y Firma digital Infraestructura de firma digital de la República Argentina Conclusión. CAPITULO 7 VIII.- Es viable la utilización de certificados digitales en un Documento Nacional de Identidad electrónico? X BIBLIOGRAFÍA XI.-ACRONIMOS XII- GLOSARIO
CAPITULO 1 I.-INTRODUCCION Introducción a la temática de firma y certificación.La firma y la certificación son dos términos simétricos asociados a los modos en que las personas garantizan la autoría de documentos. Firmar implica identificarse y al mismo tiempo aprobar lo escrito en un documento, mientras que la certificación tiene que ver con la contrapartida, con el momento de dar fe
4
que una firma es válida y que la identidad del firmante se corresponde con la del autor del documento. Muchos han sido los controles de seguridad que el ser humano ha creado para comprobar en una transacción la identidad de las partes (como la firma o el carné de identificación), asegurarse de que sólo obtendrá la información el destinatario seleccionado (mediante el correo certificado por ejemplo), que además ésta no podrá ser modificada (ante un escribano) e incluso que ninguna de las dos partes podrá negar el hecho (firmas ante escribanos) ni cuándo se produjo (a través del fechado de documentos). En buena parte de los casos el sistema de seguridad se basa en la identificación física de la persona, información que se contrasta con el documento de identidad (DNI) expedido por la autoridad estatal. Aquí tenemos los tres actores
de una
comunicación segura: las dos partes que entran en contacto (emisor y receptor) y un tercero de confianza (en este caso el Estado) que garantiza que las personas que figuran en los documentos son quienes dicen ser. Hoy en día, cuando las redes abiertas como Internet revisten cada vez mayor importancia para la comunicación mundial,
se impone la digitalización de
muchos procesos asociados a la vida cotidiana, entre ellos la firma y la certificación. En la actualidad cada vez mayor número de actividades se están trasladando al mundo electrónico a través de Internet., por lo que también se hace necesario trasladar los sistemas de seguridad a este contexto. Al no existir un contacto directo entre las partes implicadas, necesitamos de un documento digital que ofrezca las mismas funcionalidades que los documentos físicos con el plus de ofrecer garantía de identidad aún sin contar con la presencia física del firmante. ¿Cómo se resuelve este problema?. Por medio de mecanismos criptográficos. Siendo los dos elementos fundamentales de la criptografía de clave pública el certificado y la firma digital.
II.-AUTENTICACIÓN ELECTRÓNICA Autenticación en transacciones electrónicas Para garantizar la seguridad de las operaciones electrónicas o transacciones electrónicas, las organizaciones tanto públicas como privadas, necesitan contar con procedimientos que identifiquen a los usuarios remotos. Este proceso de autenticación electrónica (e-authentication) puede ser implementado en forma 5
segura mediante el uso de una gran variedad de técnicas disponibles que brindan un nivel de confianza sobre la identidad del usuario. El concepto de “Autenticación” se refiere a la verificación de la autenticidad de las identificaciones realizadas o solicitadas por una persona física o entidad, o sobre los datos tales como un mensaje u otros medios de transmisión electrónica. El proceso de autenticación es el segundo de dos etapas que comprenden: 1) La presentación de una identificación ante el sistema de seguridad y 2) La presentación o generación de información que corrobora la relación entre la entidad y el identificado. Ejemplo: me identifico con CUIT y me autentico con clave fiscal conforme al sistema de identificación y autenticación de AFIP La Guía de Autenticación Electrónica para Agencias Federales del Gobierno de Estados Unidos, define a la Autenticación electrónica como “el proceso de establecer confianza en las identidades de los usuarios presentadas electrónicamente ante un sistema de información.” (NIST, Abril 2006). La autenticación electrónica presenta un desafío tecnológico cuando este proceso involucra la autenticación remota de personas individuales sobre una red informática. Se entiende por Autenticación al proceso mediante el cual se establece un grado de confianza en una afirmación. Elementos: Confianza. Entornos. Identificación de las personas y tratamiento de la documentación. Para entender el desafío de la autenticación en línea, es necesario apreciar las fuentes de confianza en las cuales descansa el entorno comercial actual. La gente no realiza negocios con personas en la cuales no confía. Pero esta confianza comercial no es materia de fe, regulación o tecnología, sino que es el resultado de la administración de una relación. El marco de seguridad y confianza del nuevo entorno electrónico se compone de distintos aspectos presentes en una situación dada: Entorno jurídico seguro y adecuado: que existan leyes reconociendo el valor legal de las transacciones electrónicas. En Argentina los avances han sido importantes, en procura de reconocer la validez legal de las transacciones realizadas por medios electrónicos. 6
Entorno tecnológico seguro y adecuado: que disponga de herramientas que garanticen la seguridad de la información, la confidencialidad de las comunicaciones, la conservación de los documentos electrónicos y la transmisión integra de documentos digitales. Respecto de los sistemas, se requieren políticas de seguridad informática adecuadas, con manuales de procedimientos, asignación de responsabilidades, y con herramientas que permitan garantizar las condiciones de seguridad necesarias. Entorno administrativo seguro y adecuado: que permita definir con claridad los procedimientos de autenticación, los procedimientos de verificación de la idoneidad de los participantes, el proceso de la transacción en sí misma, por ejemplo, de una licitación electrónica, y las personas competentes para participar en él, así como también las responsabilidades asociadas al procedimiento. Se trata de encontrar cuáles mecanismos pueden utilizarse para hacer más ágiles los procesos de autenticación electrónica sin pérdida de seguridad. Factores de autenticación Los mecanismos de autenticación electrónica remota que utilizan los sistemas de información tradicionalmente se describen de acuerdo con los factores de autenticación que usan. Los tres factores básicos de autenticación son: Algo que sé (por ejemplo, una palabra clave o password). Algo que tengo (por ejemplo, una credencial o un dispositivo criptográfico o token). Algo que soy (por ejemplo, el reconocimiento de voz, del iris o de la huella digital, u otra medida biométrica). Los sistemas de autenticación que contemplan los tres factores son los más fuertes en cuanto a seguridad, respecto de los que utilizan uno o dos de los factores descriptos. El sistema puede contemplar los tres factores para identificarse ante él, o bien, combinaciones entre factores para proteger un secreto que debe ser presentado para la verificación de la identidad. Por ejemplo, un sistema que utilice certificados de firma digital para presentar ofertas, puede contemplar el uso de dispositivos criptográficos para albergar la
7
clave privada, a las cuales se puede acceder mediante una password o contraseña. Certificados digitales Los certificados digitales son documentos digitales que dan fe de la vinculación entre una clave pública y un individuo o entidad. De este modo, permiten verificar que una clave pública específica pertenece, efectivamente, a un individuo determinado. Los certificados ayudan a prevenir que alguien utilice una clave para hacerse pasar por otra persona. En algunos casos, puede ser necesario crear una cadena de certificados, cada uno certificando el previo, para que las partes involucradas confíen en la identidad en cuestión. De forma genérica un certificado es un documento electrónico que contiene un conjunto de información firmada digitalmente por alguna entidad reconocida y en la que confía alguna comunidad de usuarios de certificados. Asimismo, existen distintos certificados para finalidades potencialmente distintas. El certificado de Clave Pública es aquel firmado digitalmente por un tercero de confianza o autoridad certificante, quien ha confirmado la identidad u otros atributos del titular de la clave privada., éstos también se llaman certificados identificativos porque vinculan un nombre a una clave pública. La aplicación y utilización del sistema de certificados de clave pública supone la participación de los siguientes actores: 1)
Autoridad de certificación
2)
Suscriptor o titular de un certificado
3)
Usuario o persona que confía en el certificado.
Los certificados de clave pública emitidos por autoridades de certificación son un elemento esencial para la aplicación de esta tecnología de forma segura. Cuando una parte desea verificar la firma digital generada por la otra parte, la parte verificadora necesita una copia de la clave pública de la firmante y necesita tener la certeza de la correspondencia entre la clave pública e indirectamente su correspondiente clave privada. La distribución fiable de las claves y el problema de la autenticación se resuelve mediante certificados de clave pública emitidos por una autoridad de 8
certificación que actúa como tercero de confianza de la parte firmante y de la parte verificadora. “Uncitral1” define el certificado como un archivo electrónico que indica una clave pública junto con el nombre del suscriptor del certificado como el “sujeto” del certificado y confirma que el firmante potencial identificado en el certificado posee la clave privada correspondiente. Asimismo, La Directiva Comunitaria, en clave tecnológicamente neutral, define el certificado, como aquella declaración digital que vincula unos datos de verificación de firma a una persona y confirma la identidad de ésta. La función básica de los certificados son: vincular una clave pública con una persona determinada autenticando la titularidad de la clave pública y comprobar la identidad del firmante Uso de certificados digitales para autenticarse Un uso posible de los certificados digitales, entonces, es la autenticación de la persona en el mundo digital. La posesión y uso de un certificado digital avanzado o bien en nuestra terminología, expedido por un certificador licenciado, permite identificar a una persona tal como si fuera un documento nacional de identidad en el mundo del papel. Esto se produce porque, además de la tecnología (generación de claves pública-privada), interviene un tercero de confianza – las Autoridades de Certificación, que mediante un procedimiento riguroso, verifican la identidad de la persona a la cual le van a emitir el certificado digital. Dichos procedimientos son los aprobados por la autoridad estatal regulatoria en materia de firma digital. Este procedimiento supone la constatación fehaciente de: - Documentación que acredite la identidad - Presencia física de la persona La Autoridad de Certificación efectúa dicha comprobación por sí o por medio de las Autoridades de Registro, requiriendo la comparecencia personal y
1
Uncitral: significa “Comisión de las Naciones Unidas para el Derecho Mercantil Internacional”
9
directa del solicitante o de su representante legal si se tratare de una persona jurídica. La comprobación de los datos de identidad de las personas que soliciten la emisión de un certificado digital seguro, se efectuará en base al número del documento nacional que acredite la identidad de las personas en cada país. Autoridad de Certificación Cuando hablamos de una AC, nos referimos a una Autoridad certificante perteneciente a un certificador licenciado o dicho de otro modo a una unidad técnica que depende de una persona de existencia ideal y que no tiene personalidad jurídica alguna. La ley 25.506 define al “certificador licenciado” como toda persona de existencia ideal, registro público de contratos u organismo público que expide certificados, presta otros servicios en relación con la firma digital y cuenta con una licencia para ello, otorgada por el ente licenciante2. La terminología relativa a el concepto de “Autoridad Certificante”, es diversa. Así por ejemplo las “ABA Guidelines”3 hablan de “Autoridad Emisora”. El grupo de trabajo sobre comercio electrónico de la “Uncitral”, en su artículo 31, criticó el uso del término “Autoridad” y propuso utilizar el de “Entidad”, dejando a cada Estado la decisión de someterlas o no a un régimen jurídico de autorización. Con ello se quería evitar la posible consecuencia de que las funciones de certificación fueran realizadas necesariamente por autoridades públicas (Comisión de las Naciones Unidas para el Derecho Mercantil Internacional, Informe del grupo de trabajo sobre comercio electrónico acerca de la labor 31, período de sesiones, Nueva York, 18 a 28 de febrero de 1997, A/CN.9/437, 12 de marzo de 1997,párrafo 90). El reglamento italiano relativo a la formación, archivo y transmisión de documentos con instrumentos informáticos o telemáticos, por otra parte, habla de “Certificador”, definido como el sujeto público o privado, que realiza la certificación, emite el certificado de clave pública, lo publica y actualiza el elenco de certificados suspendidos o revocados. 2
Ente licenciante: la Secretaría de la Gestión Pública es Autoridad de Aplicación de la Infraestructura de Firma digital de la República Argentina y hace las veces de ente licenciante 3
ABA guidelines: “American Bar Association” “Digital Signature Guidelines”
10
La Directiva de Comercio Electrónico habla de “Proveedor de Servicios de Certificación”, definido como aquella entidad o persona física o jurídica que expide certificados o presta otros servicios en relación con la firma electrónica, asimismo, el Real Decreto español utiliza el término “Prestador de Servicios de Certificación” La recomendación UIT-TX509 (1993 S), página 4, habla de “Autoridad de Certificación”, definida como aquella autoridad a la cual uno o más usuarios han confiado la creación y asignación de certificados; opcionalmente aunque no es recomendable, la autoridad de certificación puede crear las claves de los usuarios. Cualquiera que sea la forma en que se la denomine, es una entidad dedicada a la emisión de certificados que contienen información sobre algún hecho o circunstancia del sujeto del certificado, en el caso de los certificados de clave pública, vinculan un par de claves con una persona determinada en forma segura, cubriendo la necesidad de servicios de terceras partes de confianza en el comercio electrónico de los tenedores de pares de claves asimétricas. Sea cual fuere la naturaleza de las autoridades de certificación debe revestir fuerza, seguridad y garantías a la actividad que realizan: la emisión de certificados. La política de certificación o de actuación de una autoridad de certificación queda plasmada en las llamadas “prácticas de certificación” o “política de certificación”; estas políticas se refieren básicamente a las prácticas que se aplican a la emisión, distribución, suspensión, revocación y expiración de sus certificados, son declaraciones unilaterales elaboradas por
la autoridad de
certificación son útiles para ayudar a los suscriptores y terceros a determinar cuales son las
autoridades de certificación proporcionan certificados más
seguros, se incorporan por remisión al certificado ya que un tercero usuario que utiliza un certificado para verificar una firma digital no tiene relación contractual alguna con la autoridad. Todos los derechos y obligaciones que van surgiendo en las diversas fases del ciclo vital del certificado entre los diversos sujetos implicados se encuentran inmersos en la política o práctica de certificación. Básicamente, consisten en las obligaciones de la autoridad de certificación derivadas de la emisión de un certificado y contraídas frente a los suscriptores y terceros usuarios y, las obligaciones del suscriptor derivadas de la aceptación 11
del certificado y contraídas frente a la autoridad de certificación y frente a terceros, lo que incluye el régimen de responsabilidad de las partes. Titular del certificado o suscriptor El sujeto del certificado o suscriptor es la persona o entidad incluida, que acepta el certificado y tiene legítimamente la clave privada correspondiente a la clave pública que contiene el certificado. La Directiva Europea de firma electrónica al igual que el real decreto 14/1999 español, no establece el concepto de titular de un certificado sino de firmante o signatario como la persona que posee un dispositivo de creación de firma y que actúa en su propio nombre o en el de la entidad o persona física o jurídica a la que representa. Usuario del certificado El usuario de clave pública o también llamado tercero usuario, es la parte que confía en el certificado, es la persona que obtiene la clave pública del suscriptor a través de una copia del certificado que para ese suscriptor ha emitido una autoridad de certificación, de tal manera que actúa basándose en un certificado y la clave pública que contiene y vincula a su suscriptor. A diferencia del suscriptor, que realiza un acuerdo con la autoridad de certificación, el tercero usuario tiene una relación no contractual, depende de la autoridad de certificación para su seguridad, ya que la verificación de la firma del mensaje electrónico que ha recibido, la realizará basándose y confiando en el certificado emitido por la autoridad. Verificación de firma digital Generalmente los certificados se usan para generar confianza en la legitimidad de una clave pública. Esencialmente son documentos digitales que protegen a las claves públicas del fraude, de la falsa representación o de la alteración. En consecuencia, la verificación de una firma incluye el chequeo de la validez del certificado de clave pública en cuestión. Un uso seguro de la autenticación implica adjuntar uno o más certificados con cada mensaje firmado. El receptor 12
del mismo verificará el certificado usando la clave pública de la Autoridad Certificante, y a continuación, asegurada su confianza en la clave pública del remitente, verificará la firma del mensaje. Si se adjunta más de un certificado en cada mensaje, se forma una cadena jerárquica, donde cada uno da fe de la autenticidad del certificado previo. Finalmente, en la cúspide de una jerarquía de certificados, se tiene a una Autoridad Certificante de más alto nivel,- (en el caso de nuestra infraestructura de firma digital es la autoridad certificante raíz que es la de máxima jerarquía, en la que se confía sin necesidad de ninguna otra certificación probatoria)-; cuanto mayor sea la certeza que el receptor tenga que la clave pública es realmente del emisor, menor es la necesidad de adjuntar y verificar certificados.
CAPITULO 2 III.- TARJETAS INTELIGENTES Hasta ahora, la banda magnética de las tarjetas de crédito y de débito, ha sido la tecnología dominante en el mercado; sin embargo, en ellas sólo se puede almacenar una pequeña cantidad de información, de modo que la gran mayoría de los datos personales y de las operaciones de la tarjeta magnética, residen en servidores centrales de la compañía que las emite. Con una tarjeta inteligente, toda la información necesaria para las transacciones está alojada en el microprocesador, lo que significa que el tráfico de información es mucho menor con respecto al de las tarjetas de banda magnética, incrementándose así el nivel de seguridad de las operaciones. Con las tarjetas inteligentes se puede operar desde un simple control de acceso del personal a una empresa o escuela, hasta complejas combinaciones que pueden incluir la información personal del usuario, su historial clínico y algún sistema de cliente frecuente, incluyendo servicios financieros como monedero electrónico o tarjetas de débito y de crédito. Las tarjetas inteligentes cada vez son más utilizadas. Los niveles de seguridad y la capacidad de almacenamiento que manejan, han llevado a los bancos y a otras instituciones financieras a reemplazar poco a poco sus tarjetas convencionales de banda magnética por tarjetas de chip. La posibilidad de 13
almacenar y procesar información en este sofisticado y diminuto mecanismo, facilita la realización de procesos y permite administrar la información de mejor manera. Banda magnética vs. Tarjeta inteligente La tarjeta magnética convencional se desarrolló a finales de los 60 para satisfacer varias necesidades. Una de ellas es permitir a los clientes de los bancos y entidades de ahorro activar y operar de forma rápida y efectiva con los cajeros automáticos. También, para proporcionar un medio con el que operar en puntos de venta específicos. El objetivo de esta tarjeta es identificar a un cliente para acceder a una base de datos remota con la que se establece una conexión. La información que posee la base de datos permite aceptar o rechazar esa transacción. En la actualidad, la utilización de la tarjeta magnética se ha generalizado de tal forma que, al año, se producen y utilizan una media de 1400 millones de tarjetas magnéticas en el mundo. Las tarjetas magnéticas han producido importantes resultados en el mercado financiero pero no ofrecen soluciones para los nuevos mercados y servicios que aparecen: televisión interactiva, telefonía digital, etc. El problema se debe a que las tarjetas magnéticas actuales se han utilizado para dar solución a problemas que aparecieron hace 25 años y están ligados a esas tecnologías: dependencias de ordenadores centrales y grandes redes dedicadas, a diferencia de los sistemas distribuidos actuales y de las nuevas soluciones. Además, la tarjeta magnética ofrece muy baja densidad de datos, baja fiabilidad y poca o ninguna seguridad en la información que lleva. La tecnología de tarjetas inteligentes tiene su origen en la década del 70 cuando inventores de Alemania, Japón y Francia inscribieron las patentes originales. Debido a varios factores que se presentaron, y de los cuales la inmadura tecnología de semiconductores tuvo un mayor peso, muchos trabajos sobre tarjetas inteligentes (smart cards) estuvieron en investigación y desarrollo hasta la primera mitad de los años ochenta. La tecnología que está más extendida en la actualidad es la basada en banda magnética. Prácticamente todo el mundo dispone de alguna tarjeta, normalmente de uso financiero, que en su parte posterior tiene una banda de 14
color marrón oscuro. Esta banda magnética es similar a un pedazo de cinta magnética de una cassette musical. Su misión es almacenar cierta información, como el nombre del titular, el número de su cuenta, el tipo de tarjeta y el PIN (Personal Identification Number). Básicamente se puede decir que identifica al usuario con la máquina con la que se pone en contacto, y está máquina o dispositivo, sólo en ciertas operaciones, o conectándose on-line con otros dispositivos en otras, gestiona una serie de operaciones y guarda cierta información de cada transacción. Ventajas de utilizar tarjetas inteligentes Seguridad El contenido de la banda magnética, por la tecnología que implica, puede ser leído y, aunque no es sencillo, puede ser manipulado por personas con conocimiento y medios adecuados. El chip, sin embargo, contiene una tecnología interna mucho más sofisticada que hace que las posibilidades de manipulación física se reduzcan de forma muy sensible. Además, por su capacidad interna, es capaz de soportar procesos criptográficos muy complejos. Capacidad de almacenamiento de la información.La cantidad de información incorporable a una banda magnética es pequeña y, parcialmente modificable, por lo que la relación entre el usuario de la tarjeta y el emisor es unidimensional: únicamente se actualiza cuando se interactúa a través de hardware sofisticado. El chip, sin embargo, une a su mayor capacidad de recogida de información, la virtualidad de poder gestionar dicha información, con lo que se abren nuevas posibilidades para la relación usuarioemisor. Estas características diferenciales motivan que la difusión de la tecnología chip aplicada en tarjetas de plástico sea altamente deseable. Esta difusión pasa inevitablemente por la estandarización del producto. En el terreno estrictamente físico, la ubicación exacta del chip en la tarjeta de plástico y de los contactos a través de los que interactúa está consensuada a nivel mundial. Esto, además de otros efectos intrínsecamente más importantes, ha tenido 15
como efecto que su imagen se esté popularizando y sea cada vez más comúnmente reconocida. La parte más exterior de todo el mecanismo que soporta su operatoria no es el chip, sino un conjunto de zonas de contacto, cada una de las cuales tiene funciones predeterminadas. Flexibilidad La tecnología de Tarjetas Inteligentes es compatible con los principales tipos de sistemas operativos. También un entorno de programación que permite crear, almacenar o suprimir aplicaciones en las tarjetas, lo que significa que es posible hacer tarjetas "a medida" seleccionando para la tarjeta las aplicaciones que se adapten a las circunstancias y necesidades de cada persona. Tarjeta de circuito integrado o tarjeta inteligente.Es bastante frecuente denominar a todas las tarjetas que poseen contactos dorados o plateados sobre su superficie, como tarjetas inteligentes. Sin embargo, este término es bastante ambiguo y conviene hacer una clasificación más correcta. ISO4 prefiere usar el término "tarjeta de circuito integrado",5 para referirse a todas aquellas tarjetas que posean algún dispositivo electrónico. Este circuito contiene elementos para realizar transmisión, almacenamiento y procesamiento de datos. La transferencia de datos puede llevarse a cabo a través de los contactos, que se encuentran en la superficie de la tarjeta, o sin contactos por medio de campos electromagnéticos. Clases de tarjetas inteligentes.Tarjeta Inteligente de Contacto Estas tarjetas son las que necesitan ser insertadas en una terminal con lector inteligente para que por medio de contactos pueda ser leída. Existen dos tipos de tarjeta inteligente de contacto: Las sincrónicas y las asincrónicas.
4 5
ISO: International Standard Organization Tarjeta de circuito integrado: Integrated Circuit Card o ICC
16
Tarjetas Inteligentes Sincrónicas o Tarjetas de Memoria Los datos que se requieren para las aplicaciones con tarjetas de memoria son almacenados en una memoria. Estas tarjetas son desechables cargadas previamente con un monto o valor que va decreciendo a medida que se utiliza y una vez que se acaba el monto se vuelve desechable. Se utilizan para el pago de peajes, teléfonos públicos, maquinas dispensadoras y espectáculos. Tarjetas Asincrónicas Estas tarjetas poseen en su chip un microprocesador, en la memoria se encuentran datos del usuario o de la aplicación, así como el código de las instrucciones que están bajo el control del sistema operativo. También puede contener información como el nombre del usuario, número de identificación personal o PIN6 Las tarjetas con microprocesador son bastantes flexibles dado que, pueden realizar bastantes funciones. En el caso más simple, sólo contienen datos referentes a una aplicación específica, esto hace que dicha tarjeta sólo se pueda emplear para esa aplicación, sin embargo, los sistemas operativos de las tarjetas más modernas hacen posible que se puedan integrar programas para distintas aplicaciones en una sola tarjeta. Usos de las tarjetas inteligentes.Cada vez más programas de fidelización en sectores como líneas aéreas, hoteles, restaurantes de comida rápida y grandes almacenes, utilizan las tarjetas inteligentes, que registran los puntos y premios, y que ofrecen datos detallados sobre los hábitos y experiencias de los clientes a los operadores de dichos programas, a fin de elaborar sus campañas de marketing con mayor precisión.
6
PIN: Personal Identification Number
17
Los monederos electrónicos son tarjetas electrónicas de pago que permiten evitar los problemas de encontrar el cambio exacto, ya que cargan el efectivo en un monedero electrónico que puede usarse para las compras de todos los días en tiendas, kioscos, billetes de transporte, parquímetros, teléfonos, etc. Las tarjetas inteligentes están muy extendidas entre los grupos cerrados de usuarios (residentes de una ciudad, personal de una universidad, personal de una compañía, aficionados de un equipo deportivo, clientes de un parque de atracciones, etc.), los cuales pueden utilizar tarjetas con múltiples aplicaciones por ejemplo para pagar sus cuotas o acceder a servicios ( descuento en compras, entrada para partidos, máquinas expendedoras, credenciales de biblioteca, parques de atracciones, estacionamientos, etc.), de forma ilimitada de acuerdo con la autorización y circunstancias personales Las tarjetas inteligentes de asistencia médica o “smarts cards”, pueden almacenar expedientes médicos, información para casos de emergencia y situación en materia de seguros de enfermedad. Los gobiernos que deseen reducir costos y papeleo, utilizando las tarjetas inteligentes para emitir documentos y credenciales tales como, carnets de conducir, pasaportes y visas. Las “smart
cards” pueden programarse para
permitir el acceso a edificios o datos, dependiendo del cargo y del nivel de autorización. Conclusiones.Las tarjetas inteligentes presentan un coste por transacción que es menor que el de las tarjetas magnéticas convencionales. Esto es incluyendo los costos de la tarjeta, de las infraestructuras necesarias y de los elementos para realizar las transacciones. Ofrecen prestaciones muy superiores a las de una tarjeta magnética tradicional. Esta ventaja se explica por las configuraciones múltiples que puede tener, lo que permite utilizarla en distintas aplicaciones. Permiten realizar transacciones en entornos de comunicaciones móviles, en entornos de prepago y en nuevos entornos de comunicaciones. A estos entornos no puede acceder la tarjeta tradicional. Las mejoras en seguridad y funcionamiento permiten reducir los riesgos y costos del usuario. 18
Nuevos servicios y aplicaciones están surgiendo, y necesitan de esta tecnología, para los cuales las tarjetas de banda magnética no pueden brindar soluciones. Las tarjetas inteligentes son elementos que sin lugar a dudas, se convertirán en un algo cotidiano en nuestras vidas. La incursión de esta tarjeta en el continente europeo es cada día más grande. La tarjeta inteligente esta ganando terreno día a día sobre todo en Francia. En los Estados Unidos aún existe cierta resistencia pero poco a poco esta ganando aceptación. No seria extraño pensar que en nuestro país, comiencen a aparecer nuevas aplicaciones y/o servicios, en los que la tarjeta inteligente se torne un elemento fundamental. En un futuro próximo tal vez las computadoras de escritorio cuenten con un lector de tarjetas inteligentes integrado, al igual que hoy en día los ordenadores personales cuentan con una disquetera y con un lector de CDS. CAPITULO 3 IV.- USO DE CERTIFICADOS DIGITALES Uso de certificados en una tarjeta inteligente o Documento Nacional de Identidad electrónico. El marco tecnológico para el DNI electrónico se basa en el uso de tarjetas inteligentes, y en la inclusión de certificados dentro de la estructura de dicha tarjeta inteligente o Documento Nacional de Identidad electrónico. Para poder incorporar este chip, el Documento Nacional de Identidad cambia su soporte tradicional (cartulina plastificada) por una tarjeta de material plástico, dotada de nuevas y mayores medidas de seguridad. A esta nueva versión del Documento Nacional de Identidad, en adelante nos referimos como
DNI
electrónico o DNIe, el que nos permitirá, además de su uso tradicional, acceder a los nuevos servicios de la Sociedad de la Información, que ampliarán nuestras capacidades de actuar a distancia con las Administraciones Públicas, con las empresas y con otros ciudadanos. Los certificados incluidos en su estructura garantizan:
19
Identidad ya que ambas claves se encuentran almacenadas en el DNI, de tal forma que el ciudadano al momento de acreditar identidad electrónicamente activa su documento de identidad electrónica, contando para ello con un PIN de acceso a su clave privada. Luego el certificado será validado por una aplicación que puede ser la misma administración o bien un tercero proveedor de servicios de validación en línea. Una vez validado se hará lugar a la transacción electrónica No repudio de origen e integridad: se garantiza la integridad y no repudio del documento firmado digitalmente, puesto que se precede a firmar con la clave privada asociada al certificado de firma que consta en el DNI electrónico, y al igual que en el caso de uso de certificado de firma digital, se firma sólo un resumen del documento. Diferencia entre certificados de firma digital y certificados incluidos en un documento nacional de identidad electrónico. La principal diferencia de los certificados contenidos en un DNIe y los demás certificados digitales, es su condición de obligatorios, lo cual implica que los datos de identificación que contienen no son cedidos voluntariamente. Esto supone que a pesar de la capacidad técnica de archivar información en el DNI digital, la información realmente incorporada al chip deberá estar legislada y protegida. De hecho, los datos del DNI electrónico deberían ser los mismos que contiene el DNI actual y para cualquier ampliación será necesario legislar al respecto. El resto de los certificados, al ser solicitados en forma voluntaria por su titular, pueden tener una mayor capacidad de información y maniobra, añadiendo a los datos del DNIe otros de interés para la función que se pretenda realizar y que el portador autorice. Por ejemplo, los Colegios Profesionales pueden certificar tanto la identidad como la titulación y colegiación del profesional mediante el uso de un certificado de atributos7 y una tarjeta bancaria incluir datos económicos para garantizar una transacción.
7
Certificado de atributo: es el que certifica una determinada cualidad o atributo de su titular
20
Marco tecnológico Para el Uso de la tarjeta o DNIe8 se debe disponer de un interfaz de bajo coste, que permitirá su uso asociado a sistemas informáticos. Estas tarjetas pueden contener claves públicas y privadas, un sistema operativo de gestión, datos del usuario y un chip de detección remota. En estas tarjetas la autentificación del usuario se realiza sobre la misma tarjeta que contiene el sistema operativo y las claves de autentificación. Una vez autenticado por el sistema, el usuario puede generar una firma digital mediante la introducción de la contraseña correspondiente. Alternativamente, se pueden establecer jerarquías de claves, por ejemplo usando una clave para permitir el acceso a los datos del DNI y otra clave distinta, para la generación de la firma, o para la realización de otras operaciones. Generación de claves Para generar confianza en el sistema, hay que evitar que la generación de las claves pública y privada sea llevada a cabo por la Autoridad de certificación. Sería conveniente que fuera el usuario el que generase sus claves, y posteriormente fueran activadas y autenticadas, a petición del usuario. Es importante garantizar que no hay puertas traseras y que no se usan tecnologías de "key 9scrow" en torno a todo lo que rodea a un producto tan importante como el DNI electrónico. La seguridad del depósito de claves, se basa únicamente en la integridad de los funcionarios que las custodian, pero como personas humanas que son, no están exentas de defectos, errores y otras pasiones. DNI tradicional y DNI electrónico: diferencias Lo primero que debemos considerar es la enorme diferencia que hay entre un DNI electrónico y uno tradicional. Un DNI tradicional sirve para acreditar 8
DNIe una de las abreviaturas que se utiliza para denominar al Documento Nacional de Identidad electrónico 9 “key scrow” es la posibilidad del depósito de claves privadas en manos de un tercero que actúa como depositario.
21
nuestra identidad ante terceros, pero no es capaz de firmar por nosotros. Por su parte el DNIe, sin embargo, además de acreditarnos electrónicamente, es capaz de señalar nuestra presencia remotamente y puede firmar en nuestro nombre, si se introduce la clave adecuada. Este hecho tan trascendental se debe reflejar en toda la legislación asociada a su utilización, de tal forma que el usuario debe estar protegido ante los posibles malos usos de la tecnología, tanto por parte de los delincuentes como de la Administración, quedando bien claro lo que se puede y lo que no se puede hacer con el DNI digital. Por lo tanto, mientras que la pérdida o sustracción del DNI tradicional no supone un riesgo grave para el usuario ya que normalmente requiere la presencia
del
usuario
para
su
utilización,
el
que
es
autentificado
"biométricamente" por el interlocutor, mediante su firma y su fotografía; no es así con un DNI electrónico. En este caso, sí se ve comprometida su seguridad, ya que este artilugio electrónico puede obrar en nuestro nombre con total independencia y sin nuestro consentimiento, o conocimiento, con el riesgo que ello supone para nosotros y nuestros bienes. Además, debemos tener en cuenta que el DNIe, por su naturaleza intrínseca, tendrá muchos más usos y funciones que las que tiene ahora un DNI tradicional. Con ello aumentarán considerablemente los ámbitos de aplicación, el interés por el producto y sus funcionalidades y con ello, las áreas de riesgo potencial para los usuarios. CAPITULO 4 V. DOCUMENTO NACIONAL DE IDENTIDAD ELECTRÓNICO. Antecedentes internacionales de las distintas experiencias. España La principal novedad que aporta la Ley de firma electrónica en relación con la Administración Pública consiste en la creación de un Documento Nacional de Identidad electrónico, esto es, una tarjeta de identificación personal que lleva asociada funciones de certificación electrónica y que, por lo tanto, siempre que se disponga del oportuno lector, permite la identificación de su titular y asegura la integridad de los documentos firmados mediante la utilización del certificado alojado en dicha tarjeta. El artículo 16 de la Ley de firma electrónica exige que
22
el Ministerio del Interior, en tanto que encargado de la expedición del documento, cumpla con las obligaciones legalmente establecidas para los prestadores que expidan certificados reconocidos10 salvo la relativa a la constitución de la garantía económica, excepción plenamente justificada dada la solvencia que proporciona el Estado. Partiendo de esta consistencia tecnológica, el artículo 15 de LFe11 consagra el reconocimiento preceptivo de su eficacia por parte de todas las entidades públicas y privadas, tanto en lo que se refiere a la acreditación de su titular como a la integridad de los documentos firmados con los dispositivos en él incluidos. El DNIe es una oportunidad para acelerar la implantación de la Sociedad de la Información en España y situar a España entre los países más avanzados del mundo en la utilización de las tecnologías de la información y de las comunicaciones, lo que, sin duda, redundará en beneficio de todos los ciudadanos. Síntesis de la Experiencia en España El Documento Nacional de Identidad electrónico es el documento que acredita física y digitalmente la identidad personal de su titular y permite la firma electrónica de documentos. Su apariencia es similar al DNI actual, al que se incorpora un chip electrónico, que contiene la información básica que permita acreditar electrónicamente la identidad de su titular y la firma de documentos electrónicos con plena validez legal. Ventajas: La principal es que además de identificar al usuario ante terceros, permite la firma electrónica. El nuevo DNI aporta seguridad, rapidez, comodidad y la inmediata realización de trámites administrativos y comerciales a través de medios telemáticos. Información que contiene el chip de la tarjeta El chip electrónico contiene los mismos datos que aparecen impresos en la tarjeta (datos personales, fotografía, firma digitalizada, huella dactilar digitalizada) junto con los certificados de Autenticación y de Firma Electrónica. El nuevo DNI no contiene ningún otro dato del titular relativa a datos personales 10
Los certificados reconocidos son aquellos expedidos por un certificador licenciado conforme a los términos de nuestra normativa. 11 LFe abreviación de Ley de Firma electrónica de España
23
diferentes a los actuales ni de cualquier otro tipo (sanitarios, fiscales, de tráfico, etc.). Los certificados electrónicos están incluidos en el chip y permiten la identificación de su titular (Certificado de Autenticación) y la firma electrónica de documentos (Certificado de Firma). Los datos se alojan en dos partes del chip de la tarjeta: pública y privada. La primera contiene los datos básicos de los certificados y una clave pública, mientras que la parte privada contiene la clave privada de la tarjeta, sólo conocida por su titular. Función de los certificados. El certificado de Autenticación sirve para identificar al titular de la tarjeta en una comunicación telemática. El certificado de Firma garantiza la integridad del documento firmado, la procedencia del documento y la autenticidad de origen. Quien los emite La Dirección General de la Policía es el único organismo autorizado a emitir los certificados digitales para el DNIe. Los procedimientos de solicitud, revocación, renovación y período de vigencia de los certificados están regulados en su política de Certificación. Representación
24
Marco legal aplicable •
Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de
por la que se establece un marco comunitario para la firma electrónica. •
Ley 59/2003, de 19 de diciembre, de Firma Electrónica.
•
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal. •
Real Decreto 1553/2005, de 23 de diciembre, por el que se regula
documento nacional de identidad y sus certificados de firma electrónica. •
Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda, que
prestará sus servicios de validación con carácter universal a ciudadanos, empresas y Administraciones Públicas. •
Ministerio de Administraciones Públicas, que prestará los servicios de
validación al conjunto de las Administraciones Públicas. •
Adicionalmente, la Entidad Pública Empresarial “Red.es” podría
completar los servicios de validación en un futuro próximo. La prestación de estos servicios de validación se realiza en base a Online Certifícate Status Protocol (OCSP12), lo que, en esencia, supone que un cliente OCSP envía una petición sobre el estado del certificado a la Autoridad de Validación, la cual, tras consultar su base de datos, ofrece - vía http13, una respuesta sobre el estado del certificado. El servicio de validación está disponible de forma ininterrumpida todos los días del año.
Uso de los certificados contenidos en el DNIe. Usos apropiados de los certificados Los Certificados de Identidad Pública, emitidos por la Dirección General de la Policía (Ministerio del Interior) tendrán como finalidad: 12
OCSP on line certificate status protocol servicio de validación en línea a petición del que recibe un certificado (tercero usuario) a los fines de que la entidadad de validación informe sobre el estado de dicho certificado. 13 http: lenguaje o protocolo de comunicación utilizado en Internet.
25
• Certificado de Autenticación: Garantizar electrónicamente la identidad del ciudadano
al
realizar
una
transacción
telemática.
El
Certificado
de
Autenticación (Digital Signature) asegura que la comunicación electrónica se realiza con la persona que dice que es. El titular podrá a través de su certificado acreditar su identidad frente a cualquiera ya que se encuentra en posesión del certificado de identidad y de la clave privada asociada al mismo. Este certificado de autenticación confirma identidad y
acceso seguro a
sistemas informáticos (mediante establecimiento de canales privados y confidenciales con los prestadores de servicio telemáticos). Este certificado puede ser utilizado también como medio de identificación para la realización de un registro que permita la expedición de certificados reconocidos por parte de entidades privadas, sin verse estas obligadas a realizar una fuerte inversión en el despliegue y mantenimiento de una infraestructura de registro. Certificado de Firma: El propósito de este certificado es permitir al ciudadano firmar trámites o documentos. Este certificado (certificado cualificado según ETSI, la RFC3739 y la Directiva Europea 99/93/EC. y reconocido según la ley de Firma Electrónica) permite sustituir la firma manuscrita por la electrónica en las relaciones del ciudadano con terceros (LFE 59/2003 artículos 3.4 y 15.2). Los certificados de firma son certificados reconocidos de acuerdo con lo que se establece en el artículo 11.1, con el contenido prescripto por el artículo 11.2, y emitidos cumpliendo las obligaciones de los artículo 12, 13, y 17 a 20 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, y que dan cumplimiento a aquello dispuesto por la normativa técnica del Instituto Europeo de Normas de Telecomunicaciones, identificada con la referencia TS 101 456. Son certificados reconocidos que funcionan como dispositivo seguro de creación de firma electrónica, de acuerdo con el artículo 24.3, de la Ley 59/2003, de 19 de diciembre. Por este motivo, garantizan la identidad del ciudadano poseedor de la clave privada de identificación y firma, y permiten la generación de la “firma electrónica reconocida”; es decir, la firma electrónica avanzada que se basa en un certificado reconocido y que ha estado generada utilizando un dispositivo seguro, por lo cual, de acuerdo con lo que establece el artículo 3 de la Ley 59/2003, de 19 de diciembre, se equipara a la firma escrita para efecto legal, sin necesidad de cumplir ningún otro requerimiento adicional. Por lo anteriormente descripto, este certificado no deberá ser empleado para generar
26
mensajes de autenticación (confirmación de la identidad) y de acceso seguro a sistemas informáticos (mediante establecimiento de canales privados y confidenciales con los prestadores de servicio telemáticos). El uso conjunto de ambos certificados proporciona las siguientes garantías: • Autenticidad de origen El Ciudadano podrá, a través de su Certificado de Autenticación, acreditar su identidad frente a cualquiera, demostrando la posesión y el acceso a la clave privada asociada a la pública que se incluye en el certificado que acredita su identidad. Ambos clave privada y certificado, se encuentran almacenados en el Documento Nacional de Identidad, el cual dispone de un procesador con capacidades criptográficas. Esto permite garantizar que la clave privada del ciudadano (punto en el que se basa la credibilidad de su identidad) no abandona en ningún momento el soporte físico del Documento Nacional de Identidad. De este modo el ciudadano, en el momento de acreditar electrónicamente su identidad, deberá estar en posesión de su DNI y de la clave personal de acceso (PIN) a la clave privada del certificado. • No repudio de origen Asegura que el documento proviene del ciudadano de quien dice provenir. Esta característica se obtiene mediante la firma electrónica realizada por medio del Certificado de Firma. El receptor de un mensaje firmado electrónicamente podrá verificar el certificado empleado para esa firma, utilizando cualquiera de los Prestadores de Servicios de Validación del DNIe. De esta forma garantiza que el documento proviene de un determinado ciudadano. Dado que el DNIe es un dispositivo seguro de creación de firma y que las claves de firma permanecen desde el momento de su creación bajo el control del ciudadano titular, se garantiza el compromiso de lo firmado con dicho DNIe (garantía de “no repudio”). • Integridad Con el empleo del Certificado de Firma, se permite comprobar que el documento no ha sido modificado por ningún agente externo a la 27
comunicación. Para garantizar la integridad, la criptografía ofrece soluciones basadas en funciones de características especiales, denominadas funciones resumen, que se utilizan siempre que se realiza una firma electrónica. El uso de este sistema permite comprobar que un mensaje firmado no ha sido alterado entre el envío y la recepción. Para ello se firma con la clave privada un resumen único del documento de forma que cualquier alteración del mensaje revierte en una alteración de su resumen. Limitaciones y restricciones en el uso de los certificados Los certificados deben emplearse únicamente de acuerdo con la legislación que le sea aplicable, especialmente teniendo en cuenta las restricciones de importación y exportación en materia de criptografía existentes en cada momento. Los certificados emitidos por la Dirección General de la Policía (Ministerio del Interior) solamente podrán emplearse para autenticación (acreditación de identidad) y para firmar electrónicamente (no repudio y compromiso con lo firmado). El perfil de los certificados no contempla el uso de dichos certificados y sus claves asociadas para cifrar ningún tipo de información. Los certificados no pueden utilizarse para actuar ni como Autoridad de Registro ni como Autoridad de Certificación, firmando certificados de clave pública de ningún tipo ni Listas de Certificados Revocados (CRL14). Tal y como se recoge en el apartado anterior el certificado de autenticación no deberá emplearse para la firma de trámites y documentos en los que se precisa dejar constancia del compromiso del firmante con el contenido firmado. Igualmente el certificado de firma no deberá ser empleado para firmar mensajes de autenticación (confirmación de la identidad) y de acceso seguro a sistemas informáticos (mediante establecimiento de canales privados y confidenciales con los prestadores de servicio telemáticos). Infraestructura de Clave Pública del DNIe en España El órgano encargado de la expedición y gestión del DNI – La Dirección General de la Policía tal y como recoge el RD15 - implantará una Infraestructura de Clave Pública, que dotará al nuevo DNI de los certificados electrónicos 14 15
LCR (listas de certificados revocados) RD significa Real Decreto
28
necesarios para cumplir adecuadamente con los objetivos anteriores. La Declaración de Prácticas de Certificación o (DPC) rige el funcionamiento y operaciones de la Infraestructura de Clave Pública de los certificados de identidad y firma del DNI. El órgano encargado de la gestión y expedición del DNIe (Dirección General de la Policía) implantará una Infraestructura de Clave Pública que dotará al nuevo documento de los certificados electrónicos necesarios para cumplir con sus objetivos. Declaración de Practicas de Certificación de la Autoridad Certificante que expide los certificados del DNIe en España El referido documento recoge la Declaración de Prácticas y Políticas de Certificación (DPC) que rige el funcionamiento y operaciones de la Infraestructura de Clave Pública de los Certificados de identidad pública y firma electrónica del Documento Nacional de Identidad (desde ahora DNIe). Asimismo, recoge también las Políticas de Certificación que la Dirección General de la Policía (Ministerio del Interior) emplea en la gestión de certificados. Esta DPC se aplica a todos los intervinientes relacionados con la jerarquía del DNI Electrónico, incluyendo Autoridades de Certificación (AC), Autoridades de Registro, Ciudadanos y Terceros Aceptantes, entre otros. El REAL DECRETO 1553/2005, de 23 de diciembre, regula la expedición del documento nacional de identidad y sus certificados de firma electrónica. La
DPC rige la política de servicios, así como la declaración del nivel de
garantía ofrecido, mediante la descripción de las medidas técnicas y organizativas establecidas para garantizar el nivel de seguridad de la PKI , incluye todas las actividades encaminadas a la gestión de los certificados electrónicos en su ciclo de vida, y sirve de guía de la relación entre DNIe y sus usuarios. En consecuencia, todas las partes involucradas tienen la obligación de conocer la DPC y ajustar su actividad a lo dispuesto en la misma. Determina que los Certificados de Identidad Pública serán emitidos como Certificados Electrónicos Reconocidos cumpliendo los requisitos del anexo I de la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece la arquitectura general, a nivel jerárquico, de la PKI del DNI Electrónico de la siguiente forma:
Un primer nivel en el que se
ubica la AC raíz que representa el punto de confianza de todo el sistema y que
29
permitirá, tal y como recoge el artículo 15 de la Ley de Firma electrónica, que todas la personas físicas o jurídicas, públicas o privadas, reconozcan la eficacia del Documento Nacional de Identidad electrónico para acreditar la identidad. Un segundo nivel, constituido por las AC subordinadas de la AC Raíz que emitirán los certificados de identidad y firma del nuevo DNI.
Entidades y personas intervinientes.Las entidades y personas intervinientes son: • La Dirección General de la Policía como Órgano competente de la expedición y gestión del DNIe. • La Autoridad de Aprobación de Políticas. • Las Autoridades de Certificación. • Las Autoridades de Registro. • Las Autoridades de Validación. • Los ciudadanos como solicitantes del DNIe. • Los Terceros Aceptantes de los certificados emitidos por DNIe incluyendo Prestadores de Servicios telemáticos basados en la utilización del DNIe. Autoridades de certificación.La Dirección General de la Policía (Ministerio del Interior) actúa como Autoridad de Certificación (AC), relacionando dos pares de claves con un ciudadano concreto a través de la emisión de sendos Certificados de conformidad con los términos de esta DPC. Las Autoridades de Certificación que componen la PKI del DNIe son: “AC Raíz": Autoridad de Certificación de primer nivel. Esta AC sólo emite certificados para sí misma y sus AC Subordinadas. Únicamente estará en funcionamiento durante la realización de las operaciones para las que se 30
establece. “AC Subordinadas": Autoridades de Certificación subordinadas de “AC Raíz”. Su función es la emisión de certificados para los titulares de DNIe.
Autoridades de Registro La Autoridad de Registro está constituida por todas las oficinas de expedición del Documento Nacional de Identidad, y tienen por misión realizar las funciones de asistencia a la Autoridad de Certificación en los procedimiento y trámites relacionados con los ciudadanos para su identificación, registro y autenticación y de esta forma garantizar la asignación de las claves al solicitante. La situación geográfica serán las Oficinas de Documentación de la Dirección General de la Policía y las instalaciones habilitadas para los equipos móviles, en aquellos lugares donde no existe Comisaría de Policía, así como otros lugares que a tal efecto determine el Órgano encargado de la expedición y gestión del DNIe. Autoridad de Validación La(s) Autoridad(es) de Validación (AV) tienen como función la comprobación del estado de los certificados emitidos por DNIe, mediante el protocolo Online Certificate Status Protocol (OCSP), que determina el estado actual de un certificado electrónico a solicitud de un Tercero Aceptante sin requerir el acceso a listas de certificados revocados por éstas. Este servicio de consulta debe prestarse tal y como establece la Ley 59/2003, de firma electrónica, en su artículo 18 apartado d: garantizando “la disponibilidad de un servicio de consulta sobre la vigencia de los certificados rápido y seguro.” El escenario inicial de segmentación de Autoridades de Validación (que cumple con los objetivos de universalidad y redundancia) es el siguiente: • Ministerio de Administraciones Públicas, que prestaría los servicios de validación al conjunto de las Administraciones Públicas.
31
• Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda, que prestaría sus servicios de validación con carácter universal a: ciudadanos, empresas y Administraciones Públicas.
Ciudadano A los efectos de esta DPC, se entiende como ciudadano a toda persona física con nacionalidad española que en nombre propio, y previa identificación, solicita la expedición o renovación de un Documento Nacional de Identidad ante un funcionario de la Dirección General de la Policía habilitado para esta práctica. Usuario suscriptor (Ciudadano titular del DNIe) Se entiende por usuario de los certificados al ciudadano español, mayor de edad y con plena capacidad de obrar, que voluntariamente confía y hace uso de los certificados contenidos en su Documento Nacional de Identidad y emitidos por la Dirección General de la Policía (Ministerio del Interior), de los cuales es titular. Cuando un usuario decida voluntariamente confiar y hacer uso de alguno de sus certificados le será de aplicación la presente DPC. Terceros aceptantes Los Terceros Aceptantes son las personas o entidades diferentes del titular que deciden aceptar y confiar en un certificado emitido por DNIe. Tal y como recoge la Ley de Firma electrónica: “Todas la personas físicas o jurídicas, públicas o privadas, reconocerán la eficacia del documento nacional de identidad electrónico para acreditar la identidad y los demás datos personales del titular que consten en el mismo, y para acreditar la identidad del firmante y la integridad de los documentos firmados con los dispositivos de firma electrónica en él incluidos.” Asimismo, se entiende como prestador de servicios telemáticos a toda persona física o jurídica que ofrece al ciudadano la posibilidad de realizar transacciones telemáticas utilizando el DNIe.
32
Experiencia de Bélgica (eID) Bélgica fue el primer país de la Unión Europea en implantar esta nueva forma de identificación, que ya usan, según datos del Ministerio Interior de ese país, más de 200.000 ciudadanos. Fuentes de la empresa “Steria”, que desarrolló el proyecto belga, apuntaron que la elección de policarbonato se debe a motivos de seguridad ya que, a través de una impresora láser, es posible grabar de manera indeleble tanto la foto, como la firma del usuario "sin que nadie pueda manipularlo". El carné belga es del tamaño de una tarjeta de crédito y tiene grabados los datos habituales en estos documentos, como nombre o fecha de expedición, además de un chip donde de nuevo se repiten esos datos y se alojan los denominados certificados de identificación y de firma electrónica. Para usarlos es preciso que el ordenador disponga de un lector de tarjetas, que suelen incorporar ahora los teclados y que cuesta una media de 20 euros, y son las propias páginas 'web' las que los piden. La diferencia del chip del DNI con otros, como el de las tarjetas telefónicas, es que incorporan un criptoprocesador, un pequeño ordenador para autentificar al dueño y la firma. En el caso de la firma digital, nunca se realiza en el ordenador, sino que éste envía un breve resumen del documento hasta el chip, donde se firma y vuelve a enviarse a la computadora, un sistema que impide que los datos salgan de la tarjeta. De hecho, el chip belga, incluido en una tarjeta “Javacard cryptoflex”, incorpora cinco dispositivos de seguridad, que pueden incluso destruir los datos que contiene si se intenta manipular desde el exterior. El sistema de DNI electrónico se está implantando poco a poco en Europa. Bélgica se ha lanzado a expedirlo en forma oficial con anterioridad a España, contando Finlandia con este avanzado sistema de identificación desde el año 1999.
Se ve como se muestra en la figura siguiente:
33
En Bélgica, ha sido la firma francesa “Steria” la que ha proporcionado a 589 municipios belgas los servicios y la infraestructura tecnológica necesarios para desplegar
el
sistema
de
DNI
electrónico,
denominado
”BELPIC”.
El nuevo DNIe será utilizado por 8,5 millones de ciudadanos belgas a finales de 2006. Según la empresa, la nueva tarjeta, "muy segura y con datos biométricos,
permitirá,
además,
la
identificación
remota
del
titular".
El titular puede incluso incorporar una firma electrónica para certificar la autenticidad
de
los
datos
transmitidos
al
usar
la
tarjeta.
Por tanto, el DNI electrónico servirá para fomentar intercambios electrónicos de naturaleza comercial y/o administrativa. De hecho, los documentos firmados electrónicamente mediante el uso de la tarjeta tendrán el mismo valor legal que aquellos que ahora son firmados a mano, desde la devolución de impuestos hasta cualquier contrato mercantil. Este proyecto comenzó a fraguarse en 2001, cuando el Gobierno belga tomó la decisión de introducir un sistema de DNI electrónico. En una experiencia piloto desarrollada en 11 enclaves del país, se distribuyeron entonces 70.000 tarjetas. Gracias a los resultados positivos alcanzados en esta primera fase del proyecto, el Gobierno ha decidido expedir DNIe para todos los ciudadanos belgas y los restantes 578 municipios, en un proceso que durará hasta finales del año 2006. A fines del año 2002 se puso en marcha el proyecto de documento de identidad electrónico (eID) y en julio de 2004 se comenzó la generalización del proceso En todos los municipios del país. Según datos del mes de septiembre de 2006 más de 3,5 millones de DNIe se emitieron en Bélgica y se espera que todos los ciudadanos belgas, que viven en el país, utilicen eID16 tal como allí se lo designa a fines de 2009. Objetivo del documento de identidad electrónico La implementación del documento de identidad electrónico (eID) es parte de un proyecto de e-Government (Gobierno Electrónico) para poder simplificar la gestión y modernizar los servicios públicos. El documento de identidad electrónico permite a los cuidadanos identificarse electrónicamente a distancia y tiene como resultado un servicio rápido y orientado al cliente que garantiza la 16
eID abreviación de DNI electrónico en Bélgica
34
seguridad de los datos privados del propietario. La aparición de aplicaciones, combinada con el reconocimiento legal de la firma electrónica, rápidamente reemplazará una gran parte de los documentos en papel por su equivalente en electrónico. Un número significante de compañias están beneficiándose de las posibilidades ofrecidas por el eID para proveer nuevos servicios tanto a empleados como clientes. Las funcionalidades ofrecidas por el documento de identidad inteligente generarán nuevas oportunidades para las empresas. Estas oportunidades permitirán
economizar en los procesos, reconsiderar los
servicios que brindan y crear nuevos servicios o nuevos modelos de trabajo. todo lo que se podía realizar con el antiguo documento de identidad es legalmente posible con el eID: Probar la identidad Viajar en Bélgica y en los países de la Comunidad Europea
Pero también ofrece otras posibilidades: Probar la identidad vía Internet Firmar electrónicamente Completar formularios de documentos oficiales Formato de la tarjeta El eID tiene el mismo tamaño que una tarjeta de crédito y funciona con un código (PIN), tiene una validez de 5 años y contiene los mismos datos que el antiguo documento de identidad en papel. Las informaciones básicas de identidad de la persona se encuentran visibles en la tarjeta (nombre y apellido, sexo, nacionalidad, lugar y fecha de nacimiento, firma, período de validez del documento) y también se encuentra una foto de la persona. Sólo contiene 4 diferencias para reportar en comparación con el antiguo documento sobre papel:
35
Se menciona siempre el número de Registro Nacional Contiene un chip electrónico La dirección no está visible en la tarjeta pero está contenida en el chip (no es necesario renovar la tarjeta en caso de cambio de domicilio simplemente adaptar la información del chip). Todas
las
informaciones
visibles
(foto
incluída)
están
contenidas
electrónicamente en la tarjeta, a través del chip, junto con la dirección de la persona y 2 certificados electrónicos que completan la información que está encriptada en el mismo. Detalle de las informaciones contenidas en el chip Las informaciones que contiene el chip son: Las mismas informaciones que se encuentran visibles en la tarjeta La dirección postal 2 Certificados Digitales (confirman la identidad cuando se inserta el eID en un lector de tarjeta y confirman que es la persona que firma un documento por vía electrónica) Usos de los Certificados Digitales Los certificados digitales permiten a los ciudadanos realizar firmas electrónicas e identificarse cuando realizan transacciones electrónicas. Los mismos son también válidos para diferentes aplicaciones de e-Goverment17 y para usos privados, como por ejemplo: Envio de e-mails electrónicos registrados e-mails firmados Firma online de contratos
17
e-goverment con esta expresión se hace referencia a todo lo que se conoce como gobierno electrónico
36
Autenticación vía web browsers (e-Banking, e-Contracting)
Aplicaciones del eID.A continuación se detallan algunas aplicaciones en las cuales se muestra el uso del eID: En el escritorio. En numerosos escritorios, se debe verificar la identidad de la persona antes de ingresarla manualmente en la computadora. Gracias al eID, todo esto se realizará automáticamente y sin errores. En contratos “on-line” En cualquier momento del día y desde el hogar, la persona puede completar y firmar formularios, contratos y documentos on-line. El tratamiento automático de los formularios simplifica el proceso manual y permiten el diseño de nuevas informaciones y oportunidades gracias a que la información es operada electrónicamente. Control de acceso físico La autenticación basada en eID ofrece un acceso de mayor seguridad sin generar problemas de compatibilidad suplementarios y permite el uso de una web, websites, etc. para el intercambio de archivos, correo electrónico, grupo de usuarios limitado, teletrabajo, programas de fidelidad, comercio electrónico, venta de tickets, etc. En el protocolo SSL18, el eID puede ser utilizado inmediatamente sin ningún desarrollo suplementario. Normativa que lo sustenta El nuevo documento de identidad electrónico se encuadra en el marco de la política global en materia de «gobierno electrónico» o «administración electrónica». Esta última comprende el desarrollo de una infraestructura informática y la toma de iniciativas a fin de permitir a las administraciones y a los ciudadanos el uso de las tecnologías de información y de las comunicaciones para los actos administrativos 24x24 horas. La utilización 18
SSL hace referencia a un protocolo de seguridad
37
generalizada de las nuevas tecnologías permite al ciudadano evitar largas y fastidiosas búsquedas en el laberinto de los servicios públicos y de las administraciones. Leyes y Decretos Ley del 25 de marzo de 2003 modificatoria de la ley del 8 de agosto de 1983 que organiza un Registro Nacional de personas físicas. Ley del 19 de julio de 1991 relativa a los registros de población y a los documentos de identidad y modificatoria de la ley del 8 de agosto de 1983 que organiza un Registro Nacional de personas físicas. Real decreto del 25 de marzo de 2003 relativo a documentos de identidad y medidas
transitorias
relativas
al
documento
de
identidad
electrónico.
Orden ministerial del 26 de marzo de 2003 determinando el modelo de documento base para desarrollar el documento de identidad electrónico. Real decreto del 30 de noviembre de 2003 modificando el real decreto del 25 de marzo de 2003 estableciendo medidas transitorias relativas al eID. Real decreto del 5 de junio de 2004 estableciendo el régimen de derechos de consulta y de rectificación de los datos electrónicos inscriptos en el documento de identidad y de las informaciones recogidas en los registros de población o en el Registro Nacional de personas físicas. Real decreto del 1° de septiembre de 2004 modificando el real decreto del 25 de marzo de 2003 estableciendo medidas transitorias relativas al eID. Real decreto del 1° de septiembre de 2004 estableciendo la decisión de proceder a la introducción generalizada del documento de identidad electrónico Documento de Identidad Digital en Hong Kong A partir del 23 de junio de 2003, el gobierno de Hong Kong comenzó a emitir una nueva generación de documentos de identidad en la forma de tarjetas inteligentes.
Esta
nueva
tarjeta
inteligente
contiene
las
siguientes
características: •
El nuevo documento de identidad digital toma la forma de una tarjeta inteligente con el tamaño de una tarjeta de crédito estándar;
38
•
La tarjeta está fabricada en policarbonato, un material durable y seguro con alta resistencia a influencias ambientales y mecánicas, estrés térmico y químico;
•
La tarjeta contiene un circuito integrado o "chip" que tiene la capacidad de almacenar y procesar datos.
Ejemplo de un documento de identidad digital
Frente del documento
Dorso del documento
Información visible en el documento de identidad digital
Símbolo Descripción ***
El titular tiene 18 años o más y tiene permiso de entrada en Hong Kong.
*
El titular tiene entre 11 y 17 años y tiene permiso de entrada en Hong Kong.
39
A
El titular tiene permiso para permanecer en HKSAR.
C
La permanencia del titular en HKSAR está limitada por Inmigraciones a partir del registro de su tarjeta.
R
El titular tiene permiso para aterrizar en HKSAR.
U
La permanencia del titular en HKSAR no está limitada por Inmigraciones a partir del registro de su tarjeta.
Z
El lugar de nacimiento del titular es Hong Kong.
X
El lugar de nacimiento del titular es Mainland.
W
El lugar de nacimiento del titular es la región de Macau.
O
El lugar de nacimiento del titular es en otro país.
B
El lugar o fecha de nacimiento del titular cambió desde su primer registro.
N
El nombre del titular cambió desde su primer registro.
Note:
El dígito entre paréntesis no es parte del número de documento de identidad. Solamente se utiliza para facilitar el procesamiento de datos.
Descripción del chip El chip que se encuentra en el documento de identidad fue diseñado con diferentes compartimientos separados para poder almacenar en ellos las aplicaciones de Inmigración y otras aplicaciones de valor agregado no relacionadas con inmigraciones. El chip soporta el registro, almacenamiento y procesamiento de datos así como también transmisión o recepción de datos desde un dispositivo electrónico. A continuación se muestran los diferentes compartimientos que se encuentran en el mismo.
40
# Los titulares del documento tienen la libertad de elegir si desean incluir alguna de las aplicaciones no relacionadas con inmigraciones en el chip inteligente. ** Espacio reservado para posibles expansiones en otras aplicaciones Como puede observarse en la figura, el chip ofrece diferentes compartimientos, los que se encuentran en azul son obligatorios y son los siguientes: •
Datos que figuran en el frente del documento de identidad digital (nombre, fecha de nacimiento, sexo, etc.),
•
Foto de la persona y los templates de las huellas dactilares de ambos pulgares,
•
Condición de permanencia para residentes no permanentes.
Los que se encuentran en rojo son opcionales y son: •
Certificado digital,
•
Otras aplicaciones no relacionadas con inmigraciones.
41
Lectoras de documentos de identidad digital instaladas en los puestos de inmigraciones Las lectoras de los documentos de identidad digital son estaciones de computadoras diseñadas especialmente para que los titulares puedan: •
Ver los datos personales almacenados en el chip de la tarjeta
•
Ver el contenido y modificar el PIN del certificado digital del Hong Kong Post (si se ha optado por uno)
•
Actualizar la condición de permanencia o el límite de permanencia (si se es un residente de Hong Kong con condiciones de permanencia)
El uso de las lectoras instaladas en los puestos de inmigraciones es gratuito. Aplicaciones Las siguientes aplicaciones están provistas en el documento de identidad digital: •
Aplicaciones para Inmigraciones
•
Aplicaciones no relacionadas con Inmigraciones
o
Certificados digitales
o
Tarjeta para bibliotecas
o
Licencia de conducir
o
Donación de órganos
La inclusión de aplicaciones no relacionadas con Inmigraciones es opcional. Los propietarios pueden elegir libremente si desean incluir o no las aplicaciones en sus documentos de identidad digital.
42
Aplicaciones para Inmigraciones Desde diciembre de 2004, se puede utilizar el documento de identidad digital y disfrutar de los beneficios en los puntos de control de inmigración a través de las facilidades en los despachos automatizados para pasajeros. El documento de identidad digital provee una comprobación de identidad o procedimiento de autenticación de una forma más segura. A través de los datos personales básicos y los templates19 de las huellas dactilares de los pulgares almacenadas en el chip. Los residentes permanentes de Hong Kong (excepto aquellos de menos de 11 años), los residentes de Hong Kong que portan documento de identidad con propósitos de visas, las personas que tienen derecho de aterrizar o permanencia incondicional en Hong Kong y residentes no permanentes, todos ellos pueden utilizar su documento de identidad digital para realizar inmigraciones de forma automática a través de los puntos de control instalados con canales electrónicos. Aplicaciones no relacionadas con Inmigraciones Certificados digitales Además de ser un documento utilizado para la identificación, el documento digital de identidad ofrece la opción de incorporar un certificado digital. Los titulares de documentos de identidad digital pueden almacenar en su tarjeta un certificado digital emitido por “Hong Kong Post” que es gratis durante el primer año. El certificado digital incorporado en el documento de identidad digital puede utilizarse en cualquier computadora pública o privada que esté equipada con una lectora para tarjeta inteligente. Con el certificado digital pueden realizarse varias transacciones electrónicas como encripción de correo electrónico; entretenimiento on-line, comercialización de stock, pagos; o home banking, entre otras. Para iniciar una sesión de una transacción electrónica todo lo que se necesita hacer es insertar el documento digital de identidad en una lectora de tarjeta e ingresar el PIN del certificado digital de manera de activarlo. 19
Templates: es una plantilla de diseño
43
Cada documento de identidad digital puede almacenar un certificado digital activo con su correspondiente par de claves. Sin embargo, se puede cargar un certificado digital nuevo al documento, el certificado digital existente en el documento
de
identidad
digital
será
reemplazado
mientras
que
su
correspondiente clave privada puede mantenerse en la tarjeta. Tarjeta de Biblioteca El certificado puede utilizarse para acceder a servicios ofrecidos por las bibliotecas públicas. Los titulares de documentos de identidad digital pueden elegir usar su tarjeta como una tarjeta de biblioteca. Para habilitar dicha función en la tarjeta, el propietario del documento debe realizar un simple proceso de registro en una de las bibliotecas públicas. Con la función de tarjeta para biblioteca habilitada, el titular podrá disfrutar de varios de los servicios provistos por las bibliotecas públicas usando su documento de identidad digital. Licencia de conducir En el año 2007, los titulares de documentos de identidad digital podrán elegir no llevar consigo su licencia de conducir al manejar, facilidad a ser incorporada en el transcurso de este año. Donación de órganos Los municipios han cuestionado la incorporación de información sobre la donación de órganos en el documento de identidad digital. El Gobierno ha informado acerca de su viabilidad técnica y administrativa puesto que es considerada en términos de su efectividad para promover la donación de órganos. Las aplicaciones con certificados digitales y el certificado gratis generarán una masa crítica de usuarios de Infraestructura de Clave Pública, que favorecerán el desarrollo de más aplicaciones on-line lo cual fomentará el comercio electrónico en Hong Kong. Además su utilización brinda:
44
Alta seguridad – Los datos al estar grabados en la tarjeta y mantenidos en el chip previenen que los mismos puedan ser alterados o utilizados por otra persona ante la pérdida o robo del documento de identidad digital. Mayor comodidad – debido a la capacidad de soportar multi-aplicaciones, como certificados digitales y funciones como tarjeta de bibliotecas, el propietario del documento de identidad digital se beneficia con la comodidad de usar una misma tarjeta para varias funciones. Calidad de servicio – el documento de identidad digital ayuda en el establecimiento de la creación de servicios electrónicos por parte del Estado. En un futuro cercano, los titulares de documentos digitales de identidad podrán acceder a varios tipos de servicios públicos simplemente desde una conexión en el hogar o a través de las lectoras públicas disponibles sin tener que dirigirse en persona hacia las oficinas gubernamentales. Viajes más cómodos, con las huellas digitales almacenadas en el chip del documento digital, los propietarios podrán disfrutar de beneficios al momento de realizar inmigraciones a través de su utilización en el Sistema Automatizado para Pasajeros y también para Vehículos. En términos generales, para los titulares de documento digital de identidad los beneficios que ofrece esta nueva tecnología son muchos, entre ellos a modo de resumen podemos citar: •
Comodidad en los arribos y partidas, con la posibilidad de realizar
inmigraciones de una forma automatizada, •
Acceso instantáneo a las facilidades de las bibliotecas públicas,
•
Transacciones electrónicas seguras en Internet,
•
Utilización de servicios gubernamentales de alta calidad planeados para
el futuro. El Documento Nacional de Identidad electrónico en cifras.Uno de los países que ha logrado un alto desarrollo en la materia es Estonia, donde se han confeccionado más de un millón de DNIe, sobre una población
45
de 1,4 millones de habitantes, habiendo implementado la votación electrónica en las elecciones de octubre del 2005. Asimismo, en Finlandia se utilizan certificados PKI para la identificación en servicios on line, tanto privados como públicos, existiendo cerca de un centenar de procesos disponibles con el uso de dichos certificados. El DNI electrónico no es obligatorio y a finales del pasado mes de octubre se habían elaborado 123.000 documentos. Cabe destacar que los certificados, además de estar en el DNIe, también se pueden registrar en algunas tarjetas de crédito. Por otro lado, países como Reino Unido, Alemania o Francia aún no han implementado el DNIe, a pesar que, en este último, el Ministerio del Interior inició foros de participación ciudadana sobre su dentro del programa INES (Identidad Nacional Electrónica Segura). Cabe señalar que en Francia se ha implementado el pasaporte electrónico, que contiene los datos de la persona, pero no la firma digital. El principal obstáculo para la introducción de certificados PKI es el problema relacionado con la revisión preliminar de la identidad, porque actualmente no existe una base de datos de todos los ciudadanos. En general, los países de la Unión Europea (UE), como parte de la política del gobierno electrónico vienen acometiendo proyectos que llevarán al desarrollo de la sociedad de la información, donde el uso del DNIe será pieza fundamental. Por otro lado, en Asia se puede destacar el caso de Malasia, donde el documento de identidad electrónico, “MyKad”, además de contener los certificados de autenticidad y firma electrónica, reemplaza dos documentos oficiales: la tarjeta de identificación tradicional y la licencia de conducir. Además, en el chip del “MyKad” se almacena información del pasaporte que facilita la entrada y salida desde los puntos de inmigración del país, cuenta también con información crítica médica del ciudadano, sirve en el sector bancario y como medio de pago en transportes y algunos establecimientos. CAPITULO 5 VI.-BENEFICIOS DEL DNI ELECTRÓNICO Comodidad y seguridad jurídica.-
46
El DNI electrónico es un documento más seguro que el tradicional, pues incorpora mayores y más sofisticadas medidas de seguridad que harán virtualmente imposible su falsificación. Mediante el DNI electrónico podremos garantizar la identidad de los interlocutores de una comunicación telemática, ya sea para intercambio de información, acceso a datos o acciones o compra por Internet. Igualmente, gestionar mejor el acceso a nuestro espacio de trabajo, a nuestro ordenador personal y a la información que contenga. Usando el DNI electrónico podemos intercambiar mensajes con la certeza de que nuestro interlocutor es quien dice ser y que la información intercambiada no ha sido alterada. Desde el punto de vista de la seguridad, el nuevo DNI presenta también numerosas ventajas. Mantiene las medidas del DNI tradicional idénticas a una tarjeta de crédito habitual. El material elegido para su confección, el policarbonato, tiene una duración estimada superior a los 10 años y además no puede dividirse en láminas sin provocar su destrucción. Otra ventaja es que para garantizar la plena seguridad del documento, se utilizará en su confección tinta óptimamente variable, hilo de seguridad embebido en el papel y relieves en el plástico, además, la fotografía impresa estará protegida con los fondos de seguridad. Los datos se grabarán con láser y las tintas con luz ultravioleta. También está previsto utilizar métodos criptográficos y códigos de barra bidimensionales. Una de las ventajas derivadas del uso del DNI electrónico y de los servicios de administración electrónica basados en él será la práctica eliminación del papel en la tramitación. El ciudadano no tendrá que aportar una información que ya exista en otra Unidad de la Administración, evitándose -de nuevo- colas y pérdidas de tiempo. La Unidad que realice la tramitación lo hará por él, siempre que el ciudadano así lo autorice. Con el DNI electrónico se podrán realizar trámites a distancia y en cualquier momento (24 horas al día, 7 días a la semana). La validez jurídica de la firma digital es equivalente a la de la firma manuscrita. La utilización del DNI electrónico para autenticarse o firmar digitalmente documentos electrónicos requiere, únicamente, un lector de tarjeta y un software, que puede descargarse en cada ordenador, vía Internet.
47
Inconvenientes Incompatibilidad La tecnología de autenticación y firma utilizada en el DNI electrónico debe ser compatible con todo el hardware y software disponible en la actualidad. Por ello, deben existir interfaces adecuadas y basar todo el hardware y software en estándares abiertos y convenientemente publicados para conocimiento de todo el mundo. Tanto las administraciones como las empresas, deben ser capaces de desarrollar aplicaciones/hardware que utilicen estos dispositivos de autentificación
y
firma,
con
libertad
y
sin
problemas
derivados
de
especificaciones secretas, o de patentes asociadas. Como es lógico, estos dispositivos de hardware y el software asociado, deberán estar debidamente homologados y certificados, comprobando que no suponen un riesgo para la seguridad, libertad o intimidad de los ciudadanos. En algunos casos, se deberá reglamentar o regular su uso y tenencia, por ejemplo, en el caso de los detectores remotos. Es importante poder usar estos dispositivos como repositorios de claves privadas que permitan firmar documentos de correo electrónico, acceder a información personal, realizar transacciones mediante navegadores, etc. Por ello, es necesario garantizar, o como mínimo, facilitar y permitir, la compatibilidad del hardware y del software con todos los sistemas operativos y aplicaciones informáticas actuales y futuras. Por lo que sería importante establecer las cautelas necesarias para evitar los monopolios de hecho, que se podrían producir al limitar el uso del DNIe con determinadas plataformas de hardware o software. Es importante en un elemento tan básico como un DNI electrónico que haya competencia y alternativas, que exista libertad de elección en el hardware y en el software. Limitaciones que implica el uso de esta tecnología También se deben tener en cuenta las limitaciones impuestas por estas tecnologías y los escenarios probables en los que se desarrollarán los usos por parte de los usuarios. Partiendo de la base que una firma manual no es igual que una firma electrónica y que es complicado asociar el trazo manual, a la introducción de una palabra de paso de una longitud determinada, las firmas
48
son complicadas de falsificar, mientras que una clave de 8 cifras, una vez conocida, puede ser introducida por cualquiera que se encuentre en posesión de la tarjeta adecuada. Recordemos que una simple cámara de vídeo, o un teclado manipulado, además de la ingeniería social pueden servir de medio para acceder a las claves, como paso previo al robo de la tarjeta. Aquí también hay que señalar y tener en cuenta, las limitaciones que tienen los usuarios a la hora de establecer y recordar las contraseñas de seguridad. Estas se deberían poder crear por el usuario, para facilitar su recuerdo, pero sobre una base de control de su calidad y caducidad periódica. Si se quiere que el sistema sea seguro y funcional, es indispensable iniciar una campaña de concienciación, educación y uso que minimice los fallas de seguridadderivados del mal uso o de la aplicación de técnicas de ingeniería social sobre los usuarios. Fallas de seguridad Dotar a toda la población de un DNI electrónico, es un proyecto que puede necesitar tiempo. Durante este tiempo, el mantenimiento de la seguridad se puede complicar con la convivencia de varias tecnologías o revisiones de un mismo producto, lo que provocará la necesidad de mantener un registro de versiones, usuarios y la localización de los mismos, por si hay que cambiarles la tarjeta. Además, si se tiene en cuenta el coste de estas tarjetas criptográficas, al problema logístico de sustitución, se unen los problemas económicos. No cabe duda del enorme coste que puede suponer la sustitución masiva de tarjetas en el caso de observarse un fallo de seguridad que así lo aconseje. Hay que señalar, que dadas las características específicas y posibilidades de uso del DNI electrónico, la mera sospecha de un fallo de seguridad, debería ser suficiente para paralizar su utilización por los usuarios, hasta comprobarlo o subsanarlo. Aquí no son válidos los estudios estadísticos de vulnerabilidad y las consideraciones de que el fallo puede afectar a relativamente pocas personas, para estas personas, las consecuencias pueden ser terribles.
49
El proyecto debe ser pensado para funcionar en el tiempo Un proyecto de este tipo, dada su envergadura y problemas logísticos, debe estar pensado para perdurar en el tiempo. Al establecer estas tecnologías, se deben tener en cuenta los avances informáticos y los análisis criptográficos que puedan ser aplicables en cada momento. En el caso de un dispositivo como un DNI electrónico, que nos puede suplantar nuestra personalidad completamente y está capacitado para generar nuestra firma ante la Administración o terceros, no sirve que sea razonablemente seguro, o muy seguro, es indispensable que sea un sistema completamente seguro a cualquier nivel y además, debe mantener esta seguridad en el tiempo, sin que ello suponga un problema logístico o económico excesivo para la sociedad. Hay que tener en cuenta, dado el enorme número de dispositivos necesarios, los costos asociados a la posible necesidad de cambiar la infraestructura en el caso de producirse un problema de seguridad. Debemos tener en cuenta la variabilidad y las incertidumbres del mercado del hardware y software en el tiempo. Por ello, es necesario resaltar la necesidad de un sistema abierto y libre que permita evolucionar y adaptarse al futuro, por improbable que pueda parecer, puesto que los costos asociados a los cambios tecnológicos pueden ser demasiado elevados. Independencia tecnológica Dada la importancia y la envergadura económica que supone el proyecto de dotar a todas las personas físicas y jurídicas de un DNI electrónico, consideramos especialmente importante que los chips de dichas tarjetas, sean fabricados
nacionalmente,
con
una
tecnología
propia,
o
licenciada,
perfectamente conocida y auditada, que evite la inclusión inadvertida o premeditada de vulnerabilidades y que permita su modificación en caso necesario. Es importante darse cuenta de que dado el caso, la Administración confiaría en lo que le dice una determinada empresa con sus intereses, alianzas y negocios. En cierta medida, se haría responsable, de avalar la seguridad de una tecnología que no controla y de la que es posible que no conozca todos sus detalles y secretos. Ni que decir, el daño que se produciría en la imagen y en el avance de la sociedad de la información, del e-comercio o de la e-administración, si después de lanzar un producto como el DNI 50
electrónico, al poco tiempo se revelase inseguro, incompatible o poco útil tecnológicamente y no se pudiera utilizar. Por ello, es indispensable que la tecnología sea perfectamente conocida y controlada por la Administración que la implementa. Aquí, la independencia tecnológica es fundamental, como lo es en el caso de la fabricación de la moneda y no puede existir el riesgo de que se dejen de suministrar chips, se cambie la tecnología, o varíen las compatibilidades, o los estándares, por problemas de patentes, convenios comerciales o quiebras empresariales a lo largo del tiempo. La administración debe tener la certeza de que no hay, ni habrá, puertas traseras, llaves maestras para las claves, fallos de seguridades intencionadas, ni nada que pueda poner en peligro la seguridad del sistema por la simple revelación de un secreto por parte de un empleado de la compañía que fabrica los chips. En síntesis, se trata, por tanto, de una herramienta que está llamada a impulsar definitivamente el desarrollo de la e-Administración tanto por la consistencia técnica como jurídica con la que se ha configurado legalmente, si bien la definitiva generalización de su uso habrá de solventar como principal escollo la necesidad de utilizar un lector de tarjeta que habrá de instalarse en el equipo Terminal del usuario, lo que sin duda puede encarecer aún más su coste. CAPITULO 6 VII.-QUE SE NECESITARÍA PARA IMPLEMENTAR EL DNI ELECTRÓNICO EN ARGENTINA Marco Normativo aplicable Es necesario destacar que la función de registro e identificación de las personas es una obligación del Estado en tanto que permite velar por el respeto al derecho fundamental que se encuentra recogido por la propia Constitución. Dentro de los derechos fundamentales de la persona tenemos el derecho: A la vida, a su identidad, a su integridad moral, psíquica y física y a su libre desarrollo y bienestar. El concebido es sujeto de derecho en todo cuanto le favorece.
51
El derecho fundamental a la identidad se deriva a su vez de la Declaración Universal de Derechos Humanos, cuyo artículo 6 establece: “Todo ser humano tiene derecho, en todas partes, al reconocimiento de su personalidad jurídica”. Por tanto la identidad personal es un derecho de todo ciudadano y los Estados tienen la obligación de establecer los mecanismos adecuados para facilitársela. El marco legal aplicable en lo referido a DNI está constituido por: Ley 13482 de Creación del Registro Nacional de las Personas. Ley 17671 que establece las competencias y funciones del Registro Nacional de las Personas. Decreto Ley 8204 de Creación del Registro de Estado Civil y Capacidad de las Personas. Decreto 262/03 que establece la gratuidad del otorgamiento del DNI. Ley 20974 de Identificación del Potencial Humano Nacional.
Identificación y emisión del Documento Nacional de Identidad en el entorno digital. Tal como hemos visto en el punto precedente, el DNI emitido por el Registro Nacional
de
las
personas
actuará
como
organismo
autárquico
y
descentralizado. Tendrá su sede en la Capital Federal y mantendrá sus relaciones con el Poder Ejecutivo, por intermedio del Ministerio del Interior. El documento expedido por el referido Organismo, que permite acreditar la identidad de las personas como asimismo la ley, prevé su utilización para todo tipo de actos, sean civiles, comerciales, administrativos o judiciales. Así las cosas, el DNI nos permite identificar a las personas en el mundo físico y de hecho ocurre que las entidades públicas o privadas reconocen la identificación de las personas por intermedio del DNI. El hecho de que el DNI incorpore la firma de su titular permite a su vez vincular al titular del DNI con los actos que este realice o autorice por intermedio de su firma manuscrita. En el medio físico tenemos que la persona se identifica con su DNI, en el cual consta su firma manuscrita, por lo que la firma manuscrita o autógrafa es el
52
medio clásico para acreditar la identidad del signatario de un documento y ello genera una presunción de validez del documento. En el medio digital la utilización de los medios electrónicos y la generalización del uso de Internet hace necesario adecuar los mecanismos de identificación de la persona a la nueva realidad, lo cual permitirá dar seguridad jurídica y viabilidad a los servicios y operaciones que se realizan por medios electrónicos. Para ello se requiere adoptar la firma digital
que al igual que la firma
manuscrita, permitirá firmar documentos electrónicos, otorgándoles una presunción de validez jurídica equivalente a la que les proporciona la firma manuscrita (conforme artículo 3 de la ley 25.506) y así mismo permite identificar la identidad del emisor, lo cual otorgaría la necesaria seguridad jurídica para los actos civiles, comerciales, administrativos o judiciales. Ahora bien, si la identificación de las personas en el mundo físico es potestad de una entidad pública, corresponde a la misma entidad ejercer tales funciones en un entorno digital, no siendo coherente pretender limitar la actuación del Registro Nacional de las Personas cuando estamos en un entorno digital. En el escenario antes descripto, se entiende la necesidad de establecer los medios y mecanismos más adecuados para que el Estado otorgue esta identidad personal a sus ciudadanos, la acreditación de la identidad personal adquiere una nueva dimensión cuando se trata de establecerla para un uso no presencial en medios telemáticos y aunque la identidad siempre se da en el medio
físico,
es
necesario
establecer
mecanismos
y
procedimientos
electrónicos para verificarla en estos nuevos ámbitos. Para responder a estas nuevas necesidades nace el Documento Nacional de Identidad electrónico. Con el Documento Nacional de Identidad electrónico, además de su uso tradicional, será posible acceder a los nuevos servicios de la Sociedad de la Información, que ampliarán nuestras capacidades de actuar a distancia con las Administraciones Públicas, con las empresas y con otros ciudadanos. Como se podrá advertir con las potencialidades que ofrece el Documento Nacional de Identidad electrónico se abre la oportunidad para impulsar el desarrollo del gobierno electrónico, también llamado administración electrónica, y poder implementar la Sociedad de la Información y situarse dentro del concierto de países desarrollados que consolidan en el mundo la utilización de las tecnologías de la información y de las comunicaciones, lo que sin duda 53
redundará en beneficio de todos los ciudadanos y facilitará el desarrollo de los servicios de la administración pública por medios electrónicos. No existe pues un señalamiento expreso que restrinja la técnica o procedimiento a utilizar por el Registro Nacional de las personas para emitir el DNI electrónico, por el contrario estamos frente a una adecuada habilitación para que dicho registro
pueda recurrir a utilizar diversas técnicas y
procedimientos que le permiten llevar a cabo sus funciones en materia de registro e identificación de las personas, en base al reconocimiento de la necesaria neutralidad tecnológica que debe existir para tales efectos. Prueba de lo anterior es que a lo largo de su vida, el Documento Nacional de Identidad ha ido evolucionado e incorporando las innovaciones tecnológicas disponibles en cada momento, con el fin de aumentar tanto la seguridad del documento como su ámbito de aplicación. Por tanto debe tenerse presente que el carácter público, del registro e identificación de las personas, así como la emisión del DNI, que han sido reservadas a favor del Registro Nacional de las Personas, no puede verse desnaturalizado cuando dicho Registro ejerce tales funciones en un entorno digital Normativa aplicable al DNI electrónico: Introducción al estudio de la normativa de firma digital En nuestro país la iniciativa de Firma Digital nace en el seno del Estado Nacional hace aproximadamente una década. Las tareas de investigación, difusión e innovación en esta tecnología se han centralizado en la Secretaría de la Función Pública, después llamada Subsecretaría de la Gestión Pública, y ahora Secretaría de Gestión Pública, específicamente en la Oficina Nacional de Tecnologías de la Información. Desde ese entonces, se han implementando en el Sector Público diversas iniciativas relativas a la digitalización de sus circuitos administrativos y a la utilización de la firma digital para dotar de seguridad a las comunicaciones internas. En diciembre del año 2001, el proceso se consolida a partir de la promulgación de la Ley Número 25.506 de Firma Digital, que promueve la utilización de esta tecnología en el ámbito interno del Estado y en sus relaciones con los administrados (artículo 47, Capítulo XI, “Disposiciones Complementarias”) y
54
establece un plazo máximo de cinco años para que sea aplicada a la totalidad de las leyes, decretos, decisiones administrativas, resoluciones y sentencias emanadas del Sector Público Nacional, propendiendo a su progresiva despapelización (artículo 48). Estos dos aspectos, que podemos resumir como una conjunción entre aplicaciones y despapelización, son los pilares desde los cuales se estimula la utilidad de la firma digital y el destacable papel que esta herramienta puede cumplir no sólo en términos de eficacia sino más bien de eficiencia administrativa. A partir del marco legal, complementado por una serie de decretos reglamentarios y complementarios a la normativa, que establece la organización institucional de todo lo referido a la Firma Digital, se consolida la Infraestructura de Firma digital, se define como se integra (autoridad de aplicación, autoridad certificante, autoridades de registro, auditoria de conformidad y comisión asesora) y se definen sus diversos componentes (firma, documento, certificado digital, titular del certificado, certificador licenciado y tercero usuario). También se establece el régimen de responsabilidades y sanciones, fijándose las bases para la implementación y difusión de esta herramienta en el país, comenzando por el sector público. Aprobada la Decisión Administrativa 6/2007 el 12 de febrero del 2007, se inicia el proceso de licenciamiento tendiente a otorgar certificados a certificadores licenciados desde una AC (Autoridad de Certificación) Raíz Nacional. La referida Decisión junto con sus ocho anexos contiene las llamadas normas de Licenciamiento, las que describen el proceso técnico y jurídico necesario a fin que los certificadores licenciados otorguen certificados digitales a terceros con validez jurídica; asimismo, instala
la AC Raíz Nacional en condiciones de
máxima seguridad ya que cualquier tipo de intromisión pondría en peligro el sistema íntegro. Por último, el Plan Nacional de Gobierno Electrónico (PNGE), implementado a partir del Decreto 387 de abril de 2005 dio un impulso aún mayor a esta tecnología impulsando la digitalización de la documentación pública, en orden a un intercambio más fluido entre el Estado y la ciudadanía, y una mayor y mejor interoperabilidad entre las distintas instancias de la Administración Pública. Dicho decreto alude explícitamente en el Anexo I, a la utilización de Firma Digital asociándola con la tramitación, el documento y el timbrado electrónicos
55
y con la aplicación del Expediente Electrónico para trámites internos del Estado Nacional. Concepto de documento digital. El concepto de documento digital surge del artículo 6 de La Ley 25.506, el que lo define como la representación digital de actos o hechos, con independencia del soporte utilizado para su fijación almacenamiento o archivo. Estableciendo que un documento digital satisface también
el requerimiento de escritura.
Este principio tomado por nuestra ley de firma digital de La Ley Modelo sobre Comercio Electrónico de la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional, establece el principio de equivalencia de los medios electrónicos a los medios en soporte papel en cuanto a su validez y efectos jurídicos como en cuanto a su validez probatoria., de lo que se puede colegir que un documento electrónico firmado digitalmente tiene el mismo valor probatorio que un documento escrito y la misma eficacia probatoria que un instrumento privado reconocido en aquellos casos en que no se encuentre expedido por una Autoridad Pública. A fin de reafirmar este concepto, la citada normativa también establece el principio de “no discriminación entre los medios electrónicos” el que significa que no se puede privar de valor a una firma, documento, acto o contrato por el hecho de constar en un medio electrónico. Firma digital y Firma electrónica.La definición de Firma Digital que nos brinda el sitio web de la Infraestructura de Firma Digital de la República Argentina (www.pki.gov.ar) es muy clara: La firma digital es una herramienta tecnológica que permite garantizar la autoría e integridad de los documentos digitales, posibilitando que éstos gocen de una característica que únicamente era propia de los documentos en papel. Una firma digital es un conjunto de datos asociados a un mensaje digital que permite garantizar la identidad del firmante y la integridad del mensaje. La firma digital no implica asegurar la confidencialidad del mensaje; un documento firmado digitalmente puede ser visualizado por otras personas, al igual que cuando se firma olográficamente. La firma digital es un instrumento con características
técnicas
y
normativas,
lo
que
significa
que
existen
56
procedimientos técnicos que permiten la creación y verificación de firmas digitales, y existen documentos normativos que respaldan el valor legal que dichas firmas poseen. La firma digital debe ser susceptible de verificación por terceras partes (disponibilidad), tal que dicha verificación simultáneamente permita identificar al firmante (autoría) y detectar cualquier alteración del documento digital posterior a su firma (integridad). La legislación argentina emplea el término "Firma Digital" en equivalencia al término "Firma Electrónica Avanzada" utilizado por la Comunidad Europea o "Firma
Electrónica"
utilizado
en
otros
países
como
Brasil
o
Chile.
La Ley 25506 establece el principio de equivalencia funcional entre la firma ológrafa y la firma digital, principio que surge de su artículo 3 de la citada norma, el cual establece: “Cuando la ley requiera una firma manuscrita, esa exigencia también quedará satisfecha por una firma digital”. Este principio es aplicable a los casos en que la ley establece la obligación de firmar o prescribe consecuencias para su ausencia”. La Ley de Firma Digital reconoce dos elementos pasibles de ser utilizados por el signatario como medio de identificación: la firma digital y la firma electrónica. En dicho marco, se define la firma electrónica en su artículo 5 como “el conjunto de datos electrónicos integrados, ligados o asociados de manera lógica a otros datos electrónicos, utilizado por el signatario como su medio de identificación, que carezca de alguno de los requisitos legales para ser considerada firma digital…” Se podría decir por esta última acotación que hace la ley en el artículo citado, que la firma electrónica no es el género que engloba a la firma digital, sino el complemento que llena el universo, ya que todo lo que no reúne los requisitos legales para ser firma digital es firma electrónica. Conforme al desarrollo expuesto, nuestra ley de firma digital admite que dentro del concepto de firma electrónica podamos encuadrar otros mecanismos que eventualmente pueden cumplir con las funciones de la firma, como lo son los nuevos mecanismos de identificación automática de la voz, de huellas digitales, de
iris,
del
ADN,
que
cuenten
con
una
llave
biométrica.
A los fines de un mayor entendimiento debemos dejar sentado entonces que el concepto de firma electrónica es sumamente amplio ya que si bien en términos técnicos una firma electrónica
realizada con un certificado emitido por un
certificador no licenciado sí reuniría los requisitos técnicos de una firma digital, 57
no reuniría dichos requisitos desde el punto de vista legal, no sólo porque el valor probatorio de la firma digital es superior al de la firma electrónica (arts 5 y 7 de La Ley 25.506) sino también porque la firma digital se encuentra soportada por una infraestructura de firma digital de la República Argentina ( arts 26 a 36 de La Ley 25506). Por otra parte, para reconocer que un documento ha sido firmado digitalmente se requiere que el certificado digital del firmante haya sido emitido por un certificador licenciado, lo que significa que cuente con la aprobación del Ente Licenciante de firma digital, por lo que en el caso de tratarse de un documento firmado electrónicamente, el certificado asociado a la firma no se encontrará emitido por un certificador licenciado por la autoridad de aplicación de la infraestructura de firma digital (Ley 25.506 y normas complementarias y concordantes). En síntesis nuestra ley ha fortalecido notablemente la eficacia de aquellos documentos que cuentan con firma digital basada en un certificado emitido por un certificador licenciado, hasta casi darles un valor probatorio tan alto como el que corresponde a un instrumento privado reconocido, concediendo una presunción “iuris tantun” a la firma digital, ya que cualquier duda sobre su validez podrá ser objeto de comprobación técnica, trasladando la carga de la prueba a quien quiera negar la validez del documento firmado digitalmente. Obviamente la finalidad de la ley ha sido incrementar la confianza pública en la firma digital emitida por un certificador licenciado., pero cuales son los riesgos de utilizar un documento digital firmado electrónicamente, la respuesta la encontramos en el mismo artículo
5 que define el concepto de firma
electrónica como aquella que carece de alguno de los requisitos para ser considerada firma digital, lo que significa que no existe respecta de este elemento presunción alguna de autenticidad, integridad y no repudio; por lo que en caso de alegarse la invalidez de una firma electrónica, corresponderá a la parte que la quiere hacer valer demostrar su validez, invirtiéndose de esta manera la carga probatoria, de tal manera que en caso de no poder demostrarlo, esa firma es inválida. En síntesis
los riesgos de la utilización de firma electrónica se centran
fundamentalmente en la deficiencia probatoria que implica su utilización, la que salvo acuerdo de partes quedará supeditada a una cuestión de prueba respecto de su suficiencia técnica y fiabilidad. 58
Infraestructura de firma digital de la República Argentina. En nuestro país se denomina "Infraestructura de Firma Digital" al conjunto de leyes, normativa legal complementaria, obligaciones legales, hardware, software, bases de datos, redes, estándares tecnológicos y procedimientos de seguridad que permiten que distintas entidades (individuos u organizaciones) se identifiquen entre sí de manera segura al realizar transacciones en redes (por ej. Internet). Realmente esta definición es conocida mundialmente con las siglas PKI que significan “Public Key Infraestructura” o Infraestructura de Clave Pública. La Decisión Administrativa DA 6/07 establece los componentes de nuestra infraestructura Nacional la cual está formada por: 1) el ente licenciante y su autoridad Certificante Raíz 2) los certificadores licenciados, incluyendo sus autoridades certificantes y sus autoridades de registro. 3) Los suscriptores de los certificados digitales de esas autoridades certificantes 4) Los terceros usuarios de esos certificados. La referida normativa define el concepto de Autoridad Certificante Raíz, como aquella administrada por el ente licenciante que emite certificados digitales a las autoridades certificantes de los certificadores licenciados correspondientes a sus políticas de certificación aprobadas. Asimismo, conforme la referida normativa se debe establecer una autoridad certificante por política de certificación aprobada. La citada normativa define lo que se entiende como infraestructura tecnológica del certificador como aquellos servidores, software y dispositivos criptográficos utilizados para la generación, almacenamiento y publicación de los certificados digitales y para la provisión de información sobre su estado de validez., estableciendo que la infraestructura que soporta los servicios del certificador, deberá estar situada en Territorio Argentino, bajo control del certificador y afectada exclusivamente a las tareas de certificación.
59
Respecto de la aplicabilidad de los certificados emitidos por la ACR RA20 es la establecida en su política de certificación, la cual establece: Los certificados emitidos por la ACR RA (Autoridad Certificante Raíz de la República Argentina), tienen como único objetivo garantizar la identidad de las Autoridades Certificantes de los certificadores licenciados. La ACR RA utiliza su clave privada, mantenida en dispositivos criptográficos seguros, para firmar los certificados de las Autoridades Certificantes de los certificadores licenciados, posibilitando que estos últimos emitan certificados digitales a sus suscriptores, en el marco de la Ley Nº 25.506 de firma digital Por lo hasta aquí explicitado, nuestra infraestructura de firma digital de carácter nacional adopta un sistema jerárquico y vertical, donde el certificado digital es una herramienta dentro de la infraestructura, siendo las aplicaciones lo más importante para el desarrollo del sistema de certificación nacional. Los certificados admitidos por la DA 6/07 son los siguientes: Certificados de personas físicas.Certificados de personas jurídicas.Certificados de aplicaciones.Los certificados referidos relacionan una persona física o jurídica con un par de claves
de
allí
que
se
denominen
certificados
de
clave
pública.
En el caso de certificados de personas jurídicas o bien de aplicaciones, la persona jurídica solicita que el certificado se expida a su nombre a través de sus representantes legales o apoderados. La custodia de los datos de creación de firma asociados a cada certificado será responsabilidad de su representante legal o apoderado, debiendo su identificación ser incluida en dicho certificado.
Conclusión Podemos afirmar a esta altura del desarrollo del presente trabajo, que todo análisis legal respecto del uso de la tecnología en estudio requiere basar su estructura normativo en el decreto 724/06 modificatorio del decreto 2628 20
ACR RA autoridad certificante raíz de la República Argentina
60
reglamentario de la ley de firma digital, el cual consigna en su actual artículo 38 los siguiente: “Las entidades y jurisdicciones pertenecientes a la Administración Pública Nacional podrán ser certificadores licenciados emitir certificados para agentes y funcionarios públicos y particulares, tanto sean personas físicas como jurídicas. Dichos certificados deberán ser provistos en forma gratuita. En aquellas aplicaciones en las que la Administración Pública Nacional interactúe con la comunidad, solamente se admitirá la recepción de documentos digitales firmados digitalmente utilizando certificados emitidos por certificadores licenciados o certificados extranjeros reconocidos en los términos del artículo 16 de la ley 25.506." Si partimos de la base que la potestad identificatoria de todos los ciudadanos la detenta el estado, a través del Registro Nacional de las personas dependiente del Ministerio del Interior, ¿como deberíamos organizar la estructura normativa que regiría el funcionamiento del DNI electrónico? Del estudio del referido artículo 38 del decreto 724/06, se colige que la relación administración-administrados sólo se podrá llevar a cabo utilizando firma digital asociada a un certificado expedido por un certificador licenciado. Por lo que si se pusiere en marcha la implementación de DNI electrónico tendríamos que pensar en la existencia de algún Organismo o entidad pública que detentando la facultad de identificar actúe como Autoridad certificante, contando para ello con una política de certificación licenciada o aprobada por la Autoridad de aplicación, política que le permitiera emitir aquellos certificados de firma digital que cumplan las funciones de identificación y firma digital. Asimismo, nuestra ley de firma digital debería reconocer la eficacia del DNIe por parte de todas las entidades públicas y privadas, tanto en lo que se refiere a la acreditación de su titular como a la integridad de los documentos firmados con los dispositivos en él incluidos. Sería asimismo importante proceder al dictado de una ley que regule la expedición del DNIe, y sus certificados de firma digital,
tomando como
antecedente toda la normativa antes señalada que conforma la infraestructura de firma digital en Argentina. Siguiendo con el razonamiento en análisis, esta supuesta ley tendría que atribuir a dicho documento Nacional de Identidad electrónico de la validez
61
probatoria suficiente como para probar por sí mismo, como lo hacen los instrumentos públicos y oficiales, la identidad de las personas. Se debería determinar que el Organismo de emisión del DNIe, actuara como autoridad de certificación respecto de los certificados de firma digital contenidos en el documento, debiéndose publicar su correspondiente política de certificación al respecto. Se tendrían que determinar por ley los nuevos efectos y utilidades del DNI., permitiendo a todos los argentinos mayores de edad que gocen de plena capacidad de obrar, la identificación electrónica de su titular y adicionalmente y en forma optativa, la posibilidad de firmar digitalmente documentos. Se debería incorporar en nuestra ley de firma digital el reconocimiento del DNIe, otorgándose a la firma realizada a través del documento Nacional de Identidad de la misma validez probatoria que detenta la firma manuscrita. La ley de expedición del DNIe, tendría que describir las características de la tarjeta soporte, así como su contenido y período de validez. Siendo de importancia establecer los siguientes mecanismos: Duración de los certificados electrónicos: El término de duración de los certificados electrónicos incorporados al DNIe se debería establecer en la Política de Certificación de la autoridad que los expida. De tal manera que al momento de la extinción de dichos certificados se tendría que cumplir con todo el proceso de identificación, ( presencia física de la persona), que establezca dicha política de certificación para expedir un nuevo certificado, manteniendo la validez de la tarjeta. La pérdida de validez del Documento Nacional de Identidad tendría que llevar aparejada la pérdida de validez de los certificados reconocidos incorporados al mismo. La renovación del Documento Nacional de Identidad o la expedición de duplicados del mismo implicará, a su vez, la expedición de nuevos certificados electrónicos. Con carácter general el Documento Nacional de Identidad tendría que establecer un período de validez, a contar desde su fecha de expedición o de cada una de sus renovaciones, de cinco años
cuando el titular no haya
cumplido los 21años, de diez años, cuando el titular haya cumplido los 21 y no haya alcanzado los setenta. Permanente cuando el titular haya cumplido los setenta años y para los mayores de 21 años que acrediten la condición de incapaces absolutos de hecho.
62
Transcurrido el período de validez, el Documento Nacional de Identidad se tendría que considerar caduco, estando su titular obligado a proceder a la renovación del mismo. Dicha renovación se tendría que llevar a cabo mediante la presencia física del titular. Independientemente, se debería proceder a la renovación en el caso de variación de los datos que se recogen en el mismo, aportando los documentos justificativos de dicha variación. El extravío, sustracción, destrucción o deterioro del DNI conllevará la obligación de su titular de proveerse de un duplicado. Asimismo, el Organismo que expida el documento que tal como se dejó sentado precedentemente debería ser aquel que en la actualidad lo expide, debería publicar sus
políticas de certificación de tal manera que estén
disponibles al público e implementar una Infraestructura de Clave Pública, que dotará al nuevo DNI de los certificados electrónicos necesarios para cumplir adecuadamente con los objetivos anteriores. La mencionada política de certificación que fuere a regir el funcionamiento y operaciones de la Infraestructura de Clave Pública de los Certificados de identidad pública y firma digital
del Documento Nacional de Identidad
electrónica, se debería aplicar a todos los intervinientes relacionados con la jerarquía del DNI Electrónico, incluyendo Autoridades de Certificación (AC), Autoridades de Registro, Ciudadanos y Terceros usuarios y autoridades de validación de certificados digitales, si las hubiere, debiéndose tomar como normativa básica al respecto las normas que conforman nuestra infraestructura de firma digital (ley 25.506 y leyes concordantes al igual que nuestra normativa de Protección de Datos Personales (ley 25.326). Debe comprenderse que esta política de certificación debería establecer cual es el alcance y aplicabilidad de los certificados de identidad y firma contenidos en el DNIe, debiéndosela poner en conocimiento del usuario o suscriptor del DNIe y de todos aquellos sean personas o aplicaciones que interactúen con el ciudadano. Deberá pensarse también en la arquitectura general de dicha infraestructura la cual podría desarrollarse de la siguiente manera: Un primer nivel en el que se ubica la AC raíz que representa el punto máximo de confianza en el cual descansa todo el sistema, a fin que todas las personas físicas o jurídicas, públicas o privadas, reconozcan la eficacia del Documento Nacional de Identidad electrónico para acreditar identidad. Esta AC Raíz sólo 63
debería emitir certificados para sí misma y para aquella autoridad certificante de certificador licenciado que desee licenciar sus políticas de certificación a fin de poder expedir certificados a los ciudadanos titulares del DNIe. Se debería considerar como Autoridades de Registro a todas las oficinas de expedición del Documento Nacional de Identidad, las que tendrían por función asistir a la Autoridad de Certificación en los procedimientos y trámites relacionados con los ciudadanos para su identificación, registro y autenticación, garantizando la asignación de las claves al solicitante. CAPITULO 7 VIII.- ES VIABLE LA UTILIZACIÓN DE CERTIFICADOS DIGITALES EN UN DOCUMENTO NACIONAL DE IDENTIDAD ELECTRÓNICO. Los cambios tecnológicos ocurridos desde la aparición del Internet han modificado el patrón de las habituales prácticas de consumo, contratación, acceso a la información, comunicaciones y relación con las administraciones públicas. Asimismo, han abierto un abanico de opciones para el desarrollo de nuevos procesos y servicios, tanto para el sector público como en el privado. En otras palabras, han dado paso al desarrollo de la sociedad de la información. Sin embargo, en esta Sociedad de la Información también han aparecido nuevas formas de realizar transacciones fraudulentas. Una de las principales causas de este fenómeno es no poder identificar con certeza quienes son los agentes participantes en una transacción virtual, pudiendo haber casos de suplantación de personalidad (robos de tarjetas de crédito, débito, etc.) o captura de información de una transacción por parte de un tercero. Para asegurar la identificación de la persona y dar la posibilidad de firmar documentos electrónicos con validez jurídica, en algunos países tal como lo expuse anteriormente, se viene implantado desde hace unos años un sistema de seguridad que permite identificar perfectamente a una persona dentro de una transacción electrónica llamado DNIe o también eID. Tal como se puso de manifiesto su implementación desde el punto de vista normativo o jurídico
es viable siempre que este instrumento técnico se
encuentre respaldado por una ley que regule su expedición y obligatoriedad y por una política de certificación licenciada que permitiera a un certificador 64
expedir a través de su Autoridad Certificante
certificados a todos los
ciudadanos. Finalmente y a fin de contestar a la pregunta que fundamenta la presente tesis entiendo que: 1) es viable ya que la Sociedad de la Información requiere disponer de un instrumento eficaz que traslade al mundo digital las mismas certezas con las que operamos cada día en el mundo físico y que, esencialmente, son: •
Acreditar electrónicamente y de forma indubitada la identidad de la
persona •
Firmar digitalmente documentos electrónicos, otorgándoles una validez
jurídica equivalente a la que les proporciona la firma manuscrita 2) Es viable en las administraciones públicas ya que constituye un elemento dinamizador al garantizar los derechos de los ciudadanos y dar valor jurídico a sus transacciones, siempre que su alcance y aplicabilidad sea extensible también al ámbito privado a fin de evitar la multiplicidad de certificados digitales. 3) Es viable si se garantizan los derechos del usuario o titular de los certificados contenidos en el DNIe, ya que éstos últimos no tienen porque tener conocimientos tecnológicos, ni saber cuales son los flujos de información que se generan cuando se inserta un DNIe en un lector de tarjetas para efectuar una transacción con la Administración por lo que es imprescindible la alfabetización digital del titular del DNIe. 4)Es viable si al ciudadano se lo protege ante los posibles malos usos de la tecnología, tanto por parte de los delincuentes como de la Administración, quedando bien claro lo que se puede y lo que no se puede hacer con el DNI digital. 5) Es viable si el tratamiento de datos del ciudadano por parte de la Administración se implementa en forma adecuada y de conformidad con la ley de protección de datos personales, ya que el gran peligro no es la existencia de la tecnología para procesar datos sino el uso que se haga de esta tecnología. 6) Es viable si el estado que implemente el uso del DNIe determinara en forma clara y precisa como va a preservar la figura del usuario o consumidor del DNIe, previendo la participación de alguna entidad del estado que represente los intereses del consumidor o titular del DNIe y de sus certificados., para lo 65
cual cada estado que lo implemente debería respetar a ultranza la normativa de defensa del consumidor, la que por lo general se encuentra inmersa en la mayoría de regímenes que regulan sobre documento electrónico y firma digital. 7) Es viable si la Tecnología en estudio se pudiese limitar o eliminar en caso de llevarse a cabo el mal uso o abuso por parte de terceros, administraciones o fuerzas de seguridad del estado. En cualquier caso, se debería evitar que se hiciera uso de ninguna de las funcionalidades del dispositivo, sin conocimiento y autorización del usuario. 8) Es viable si en caso de llevarse a cabo una evolución natural del DNI electrónico, que implicase recabar datos adicionales sobre el usuario, como información médica, históricos de transacciones, o información adicional a la que normalmente se incorpora en un DNI tradicional, el usuario pudiera controlar accesos no autorizados a dicha información; ya que una vez que se ha introducido el dispositivo en una interfaz de lectura, estas funciones se realizarán en forma automática y no controlable por su titular. Por ello, se deberían limitar los datos contenidos en el DNI evitando el almacenamiento de información sensible, que se pueda utilizar fuera del ámbito establecido para ello, sin conocimiento y consentimiento expreso del usuario. Sería conveniente en todos los casos que se siga la solución anteriormente descripta referida a “Hong Kong” en lo que respecta al particionado de archivos a fin de evitar la manipulación de datos por parte de la administración y el tratamiento de información sensible sin autorización de su titular. Como se va a llevar a cabo el tratamiento de datos personales es un tema que tiene que estar definido y notificado al usuario en la política de privacidad de la Autoridad certificante que expida el Documento electrónico, política que deberá formar parte de la política de certificación y que deberá ser debidamente notificada y aceptada por el usuario o titular del DNIe. 7) Es viable, si el usuario pudiera elegir los servicios que desea obtener con el uso de esta tecnología, dejando constancia oficial de los que se tienen activados o desactivados en un determinado momento, al tiempo que se mantienen los sistemas tradicionales de acceso a la Administración, para aquellos usuarios que no desean utilizar los métodos electrónicos. 8) Tenemos que tener en cuenta que estamos viviendo un cambio de paradigma a nivel mundial que tiende a reemplazar el
uso de usuario y
contraseña por el uso de identidades digitales. Si se elige como método de 66
identificación el
DNIe, se estaría trasladando al ámbito de las relaciones
virtuales los mismos parámetros de la identificación
que se utilizan en el
mundo presencial, parámetros por otro lado reservados tradicionalmente a los poderes públicos; de tal manera que los certificadores licenciados privados en caso que existieran, tendrán que reconducir su actividad hacia servicios de valor añadido más allá de la mera identificación., encontrándose legalmente obligados a aceptar la utilización del documento nacional de identidad electrónico, lo que significa que no podrán imponer el uso exclusivo de sus propios certificados en las relaciones con la administración, debiendo aceptar la eficacia de dichos certificados. Por lo que es viable desde una perspectiva jurídica si es compatible con el principio de libre competencia en la prestación de servicios de certificación establecido por nuestra ley 25.506, ya que si no existiera un régimen que respetara este principio, se podrían llegar a
perjudicar las legítimas
expectativas de desarrollo por parte de un sector privado constituido o basado en la confianza que ofrecen los principios en que se fundamenta la regulación legal en la materia. 9) Es viable porque impacta en la sociedad de la información pues incrementa la seguridad en las transacciones comerciales, propicia un mayor desarrollo del gobierno electrónico y brinda seguridad a los ciudadanos con respecto a la información privada que dicho documento contiene. 10) Es viable si se realizan programas de información y capacitación a los ciudadanos sobre sus ventajas, características y seguridad de la información contenida en el nuevo documento de identidad. 11) Es viable por los problemas que plantea la seguridad en el uso de Internet, brindando al ciudadano la certeza de poder realizar una transacción de forma segura y con ahorro de tiempo y costos, reduciendo el problema
de
21
“phishing ”, el cual comienza a ser preocupante para el sector financiero y para el sector privado.
21
“phishing” Se define Phishing como la capacidad de duplicar una página web para hacer creer al visitante que se encuentra en el sitio web original, en lugar del falso. Normalmente, se utiliza con fines delictivos enviando SPAM e invitando acceder a la página señuelo. El objetvo del engaño es adquirir información confidencial del usuario como contraseñas, tarjetas de crédito o datos financieros y bancarios.
67
12) Es viable si se realiza una discusión pública amplia y previa sobre la necesidad de su implementación ya que esto podría repercutir en su uso efectivo. 13) Es viable si se informa al titular del DNIe de los certificados que contiene y el suscriptor acepta dichos certificados y su política de certificación. 14) Es viable si tanto desde el punto de vista técnico como jurídico, el régimen jurídico de implementación del DNIe se adopta a la realidad sobre la que se ha de sustentarse la e-Administración, logrando que la práctica administrativa lo respete escrupulosamente ya que, en definitiva, esta es la mejor garantía para que los ciudadanos perciban que sus derechos se protegen plenamente, debiendo actuar la Administración Pública de una manera eficiente fomentando la cultura y formación de su personal, condicionando la validez de sus actuaciones al respeto del derecho fundamental del ciudadano. Concluyo pensando que el reto de modernización de las Administraciones Públicas que permite asumir la implantación generalizada de las tecnologías de la información y la comunicación tanto en su actividad interna como en las relaciones con los ciudadanos se asienta sobre una sólida base jurídica. En efecto, no basta con disponer de costosos instrumentos técnicos que aporten una seguridad técnica razonable sino que, además, es necesario llevar a cabo una relevante tarea de adaptación del marco jurídico aplicable a la realidad sobre la que se proyecta pues, de lo contrario, los ciudadanos perciben que no existe un nivel de protección de sus derechos e intereses equiparable al que proporcionan las relaciones presenciales.
X.-BIBLIOGRAFÍA Comercio Electrónico, firma digital y Autoridades de Certificación de Apol-lónia Martínez Nadal Ley de firma electrónica de Apol-Lónia Martínez Nadal GUTHERY SCOTT B., JURGENSEN Timothy M., 1998. "Smart Card Developer’s Kit". 2da.ed. Estados Unidos de America: Macmillan Technical Publishing”. Hendry Mike. 1997. "Smart Card Security and Applications". Londres: Artech House Publishers. 68
SANDOVAL JUAN D., BRITO RICARDO, MAYOR JUAN C., 1999. "Tarjetas Inteligentes". España: Thomson Publishing Company. SCHLUMBERGER TEST & TRANSACTIONS. 2002. "Mitos y realidades sobre las tarjetas inteligentes Smart Cards” [Online]. SCHLUMBERGERSEMA. 2001. "Tendencia Anual del Mercado de Tarjetas Inteligentes" en: http://www.sema.es/news/pdf/Annual_SmartCard_Trends.pdf Universidad de Murcia. 2000. Sistema de Control de Acceso en Aulas Basado En http://www.um.es/si/ssl/docs/umgesv01.pdf © FERNANDO ACERO MARTÍN © HISPALINUX, Fecha. Abril-2003- Copyleft Utilización del DNIe, Universidad de Murcia y la Universidad Politécnica de Cartagena. 2000. Tarjetas de la Universidad on line disponible en http://www.vdigitalrm.com/cajamurc.htm Universidad Politécnica de Madrid. 2001. Tarjetas Inteligentes. Disponible en Internet: http://www.4b.es/CHIP.HTM DIEGO MEDAGLIA,
[email protected], licenciado en análisis de sistemas, Universidad ORT Uruguay, Facultad de Ingeniería PABLO FRAGA Y MERCEDES RIVOLTA “Valor legal de las transacciones digitales: firma digital, firma electrónica y documento electrónico”. DOMINGO LABORDA, Director General de Modernización Administrativa del Ministerio de Administraciones Públicas de España AGIRREAZKUENAGA, Iñaki y CHINCHILLA, Carmen, 2001, "El uso de medios informáticos y telemáticos en el ámbito de las Administraciones Públicas", en Revista Española de Derecho Administrativo, núm. 109 BARNÉS VÁZQUEZ, Javier, 2000, "Una reflexión introductoria sobre el Derecho Administrativo y la Administración Pública de la Sociedad de la Información y del Conocimiento", en Administración de Andalucía. Revista Andaluza de Administración Pública, núm. 40 CRIADO GRANDE, Ignacio y RAMILO ARAUJO, María del Carmen, 2001, "e-Administración: ¿Un reto o una nueva moda? Problemas y perspectivas de futuro en torno a internet y las tecnologías de la información y la comunicación en las Administraciones públicas del siglo XXI", en Revista Vasca de Administración Pública, núm. (61). LINARES
GIL,
Maximino,
2003
"Modificaciones
del
régimen
jurídico
administrativo derivadas del empleo masivo de nuevas tecnologías. En particular el caso de la Agencia Estatal de Administración Tributaria", en la obra coordinada por R. MATEU DE ROS y M. LÓPEZ-MONÍS GALLEGO, Derecho 69
de Internet, La Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, Cizur Menor: Aranzadi PALOMAR OLMEDA, Alberto, 2003, "Un paso más en la aplicación de la tecnología en el procedimiento administrativo: hacia u procedimiento administrativo común de base tecnológica", en Revista Aranzadi de Derecho y Nuevas Tecnologías, núm. 3 SANZ LARRUGA, Francisco Javier, 2002, "Las bases jurídicas de la Administración electrónica en España: el uso de las técnicas informáticas, electrónicas y telemáticas en las Administraciones Públicas", en Anuario da Facultade de Dereito da Universida de da Coruña, núm. 6 2004, El régimen jurídico de la e-Administración, Granada: Comares M.A. DAVARA RODRÍGUEZ 2001, "Los desafíos jurídicos de la Administración Pública electrónica: a propósito del Plan Info XXI", en la obra coordinada por M.A. DAVARA RODRÍGUEZ, Quince años de encuentros sobre Informática y Derecho, tomo II, Madrid: Universidad Pontificia de Comillas VALERO TORRIJOS, Julián y LÓPEZ PELLICER, José Antonio, 2001, "Algunas consideraciones sobre la protección de los datos personales en la actividad administrativa", en Revista Vasca de Administración Pública, núm. 59 VALERO TORRIJOS, Julián y Sanz Larruga, Francisco Javier, 2004, "eAdministración, identificación del ciudadano y protección de datos personales en la Unión Europea: ¿una ecuación posible?", publicado en el sitio Web de la agencia Catalana de Protección de datos, http://www.apdcat.net/articles/Valero.htm. Estos contenidos son Copyleft bajo una licencia de “Creative Commons”. Pueden ser distribuidos o reproducidos, mencionando su autor, siempre que no sea para un uso económico o comercial. No se pueden alterar o transformar, para generar unos nuevos. Julián Valero Torrijos
[email protected]. El contenido de la Declaración de la Política de Certificación del DNIe está expuesta
a
título
informativo
en
la
dirección
de
Internet
http://www.dnielectronico.es Quesada Ricardo Analista asociado “Revista Enter” Nota: “El DNI electrónico y su impacto en el desarrollo de la sociedad de la información”. ALFA REDI
Revista de Derecho Informático artículo sobre Documento
Nacional de Identidad Electrónica de Iván Ferrando Perea,
70
XI.-Acrónimos DNIe: Documento Nacional de Identidad electrónico Ley 25.506 ley de firma digital Argentina PKI: infraestructura de clave Pública LFe: Ley 59/2003, de 19 de diciembre, de firma electrónica de España LRJPAC: Ley 30/1992, de 26 de noviembre, del Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común AC: Autoridad certificante AR: Autoridad de Registro AA: Autoridad de Aplicación de firma digital IFD RA : Infraestructura de firma digital de la República Argentina ACR RA: autoridad certificante raíz de la República Argentina OCSP: Online Certificate Status Protocol. Este protocolo permite comprobar en línea la vigencia de un certificado electrónico. XII.- GLOSARIO.Información: conocimiento adquirido acerca de algo o alguien. Procedimiento de verificación: proceso utilizado para determinar la validez de una firma digital. Dicho proceso debe considerar al menos: a) que dicha firma digital ha sido creada durante el período de validez del certificado digital del firmante; b) que dicha firma digital ha sido creada utilizando los datos de creación de firma digital correspondientes a los datos de verificación de firma digital indicados en el certificado del firmante; c) la verificación de la autenticidad y la validez de los certificados involucrados. Datos de creación de firma digital: datos únicos, tales como códigos o claves criptográficas privadas, que el firmante utiliza para crear su firma digital. Datos de verificación de firma digital: datos únicos, tales como códigos o claves criptográficas públicas, que se utilizan para verificar la firma digital, la integridad del documento digital y la identidad del firmante. Dispositivo de creación de firma digital: dispositivo de hardware o software técnicamente confiable que permite firmar digitalmente.
71
Dispositivo de verificación de firma digital: dispositivo de hardware o software técnicamente confiable que permite verificar la integridad del documento digital y la identidad del firmante. Políticas de certificación: reglas en las que se establecen los criterios de emisión y utilización de los certificados digitales. Técnicamente confiable: cualidad del conjunto de equipos de computación, software, protocolos de comunicación y de seguridad y procedimientos administrativos relacionados que cumplan los siguientes requisitos: 1. Resguardar contra la posibilidad de intrusión y/o uso no autorizado; 2. Asegurar la disponibilidad, confiabilidad, confidencialidad y correcto funcionamiento; 3. Ser apto para el desempeño de sus funciones específicas; 4. Cumplir las normas de seguridad apropiada, acorde a estándares internacionales en la materia; 5. Cumplir con los estándares técnicos y de auditoria que establezca la Autoridad de Aplicación. Clave criptográfica privada: En un criptosistema asimétrico es aquella que se utiliza para firmar digitalmente. Clave criptográfica pública: En un criptosistema asimétrico es aquella que se utiliza para verificar una firma digital. Integridad: Condición que permite verificar que una información no ha sido alterada por medios desconocidos o no autorizados. Criptosistema asimétrico: Algoritmo que utiliza un par de claves, una clave privada para firmar digitalmente y su correspondiente clave pública para verificar dicha firma digital. Activación: es el procedimiento por el cual se desbloquean las condiciones de acceso a una clave y se permite su uso. En el caso de la tarjeta del DNIe el dato de activación es la clave personal de acceso (PIN) y/o los patrones de las impresiones dactilares (biometría) Autenticación: procedimiento de comprobación de la identidad de un solicitante o titular de certificados de DNIe. Certificado electrónico: un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad. Esta es la definición de la Ley
72
59/2003 que en este documento se extiende a los casos en que la vinculación de los datos de verificación de firma se hace a un componente informático. Certificado reconocido: Certificado expedido por un certificador o Prestador de Servicios de Certificación que cumple los requisitos establecidos en la Ley en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten, de conformidad con lo que dispone el capítulo II del Título II de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica. En Argentina el certificado reconocido es aquel emitido por un certificador licenciado y que tiene efectos de firma digital. Certificados de Identidad Pública: Emitidos como Certificados Reconocidos, vinculan una serie de datos personales del ciudadano a unas determinadas claves, para garantizar la autenticidad, integridad y no repudio. Esta información está firmada electrónicamente por la Autoridad de Certificación creada al efecto. Ciudadano: toda persona física con nacionalidad española que solicita la expedición o renovación de un Documento Nacional de Identidad ante un funcionario de la Dirección General de la Policía Clave Pública y Clave Privada: la criptografía asimétrica en la que se basa la PKI emplea un par de claves en la que lo que se cifra con una de ellas sólo se puede descifrar con la otra y viceversa. A una de esas claves se la denomina pública y se la incluye en el certificado electrónico, mientras que a la otra se la denomina privada y únicamente es conocida por el titular del certificado. Clave de Sesión: clave que establece para cifrar una comunicación entre dos entidades. La clave se establece de forma específica para cada comunicación, sesión, terminando su utilidad una vez finalizada ésta. Clave Personal de Acceso (PIN): Secuencia de caracteres que permiten el acceso a los certificados Datos de creación de Firma (Clave Privada): son datos únicos, como códigos o claves criptográficas privadas, que el suscriptor utiliza para crear la Firma electrónica. Datos de verificación de Firma (Clave Pública): son los datos, como códigos o claves criptográficas públicas, que se utilizan para verificar la Firma electrónica. Directorio: Repositorio de información que sigue el estándar X.500 de ITU-T. 73
Dispositivo seguro de creación de Firma: instrumento que sirve para aplicar los datos de creación de firma cumpliendo con los requisitos que establece el artículo 24.3 de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica. Documento electrónico: conjunto de registros lógicos almacenado en soporte susceptible de ser leído por equipos electrónicos de procesamiento de datos, que contiene información. Documento de seguridad: documento exigido por la Ley Orgánica 15/99 de Protección de Datos de Carácter Personal cuyo objetivo es establecer las medidas de seguridad implantadas, a los efectos de este documento, por la DGP como Prestador de Servicios de Certificación, para la protección de los datos de carácter personal contenidos en los Ficheros de la actividad de certificación que contienen datos personales (en adelante los Ficheros). Encargado del Tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que trate datos personales por cuenta del responsable del tratamiento de los ficheros. Firma electrónica: es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación personal. Firma electrónica avanzada: es aquella firma electrónica que permite establecer la identidad personal del suscriptor respecto de los datos firmados y comprobar la integridad de los mismos, por estar vinculada de manera exclusiva tanto al suscriptor, como a los datos a que se refiere, y por haber sido creada por medios que mantiene bajo su exclusivo control. (según régimen vigente en España y en la Comunidad Europea) Firma electrónica reconocida: es aquella firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma. (según el régimen vigente en España y en la Comunidad Europea) Función “hash”: es una operación que se realiza sobre un conjunto de datos de cualquier tamaño, de forma que el resultado obtenido es otro conjunto de datos de tamaño fijo, independientemente del tamaño original, y que tiene la propiedad de estar asociado unívocamente a los datos iniciales, es decir, es imposible encontrar dos mensajes distintos que generen el mismo resultado al aplicar la Función hash. 74
Hash o Huella digital: resultado de tamaño fijo que se obtiene tras aplicar una función hash a un mensaje y que cumple la propiedad de estar asociado unívocamente a los datos iniciales. Identificación: procedimiento de reconocimiento de la identidad de un solicitante o titular de certificados de DNIe Identificador de usuario: conjunto de caracteres que se utilizan para la identificación unívoca de un usuario en un sistema. Jerarquía de confianza: Conjunto de autoridades de certificación que mantienen relaciones de confianza por las cuales una AC de nivel superior garantiza la confiabilidad de una o varias de nivel inferior. En el caso de DNIe, la jerarquía tiene dos niveles, la AC Raíz en el nivel superior garantiza la confianza de sus AC subordinadas. Listas de Revocación de Certificados o Listas de Certificados Revocados: lista donde figuran exclusivamente las relaciones de certificados revocados o suspendidos (no los caducados). Módulo Criptográfico Hardware de Seguridad: módulo hardware utilizado para realizar funciones criptográficas y almacenar claves en modo seguro. Certificador o Prestador de Servicios de Certificación: persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica. Punto de Actualización del DNIe: Terminal ubicado en las Oficinas de Expedición que permite al ciudadano de forma guiada, sin la intervención de un funcionario, la realización de ciertas operaciones con el DNIe (comprobación de datos almacenados en la tarjeta, renovación de los certificados de Identidad Pública, cambio de clave personal de acceso – PIN - , etc.) Solicitante: persona que solicita un certificado para sí mismo Tercero Aceptante o tercero autorizado: persona o entidad diferente del titular que decide aceptar y confiar en un certificado emitido por DNIe. Titular o suscriptor de un certificado: ciudadano para el que se expide un certificado de identidad pública
Dra Leonor Guini
75
76