2. 1. Administración Electrónica. Tecnología.

¿ Continuamos?  ¡Vamos allá?

LA TECNOLOGÍA DE LA ADMINISTRACIÓN ELECTRÓNICA.

Conceptos fundamentales.

La Admón Electrónica sería una misión imposible sin SEGURIDAD, que es el problema clave en las TIC e imprescindible en la Administración Electrónica ya que se deben mantener las garantías jurídicas de las personas tanto físicas como jurídicas.

De esta necesidad se derivó el uso de la firma electrónica y el certificado digital, como las tecnologías en más interesantes para poder aplicar las TIC en las Administraciones.  Y tanto la e-firma como el certificado digital se basan en 

SISTEMAS CRIPTOGRÁFICOS.

                     Criptografia Simétrica

.-  usa una misma clave para cifrar y descifrar mensajes. Emisor y receptor acuerdan la clave que van a usar.  Cuando ya la tienen acceso a ella, el remitente envía información cifrada mediante ella, y el receptor lo descifra también con esa clave. Pero tiene un problema: el intercambio de claves.  Otto "pero" es que si son muchas las personas que se tienen que comunicar, se requieren muchas claves, por lo cual solo resulta interesante si se trata de un grupo pequeño de usuarios, para los grupos más grandes hay que buscar otra solución.

                   Criptografía Asimétrica

.-Método criptográfico que utiliza dos claves distintas para enviar y recibir mensajes.  Esas dos claves, pertenecen al mismo usuario.  Una, es pública, y la otra privada y el propietario debe custodiarla para que nadie más pueda acceder a ella. 

El mensaje tiene una clave de cifrado que la otra clave lo descifra, pero nunca la misma.  O sea si ciframos cualquier documento con la privada, solo lo podríamos descifrar con la pública, usar la privada otra vez sería imposible.

Imagina que el emisor usa la clave pública del receptor, osea que el mensaje ya le llega cifrado.  Si quiere leer lo que pone, tendrá que usar la otra, o sea, la privada.  Es una garantía de confidencialidad. En ello consiste la autenticación y la identificación del remitente, ya que se evidencia que sólo él pudo usar su clave privada.  En este sistema se fundamenta la firma electrónica.

CERTIFICADOS DIGITALES.

Certificado Digital/Certificado Electrónico es un documento digital mediantee el cual, un tercero de confianza (una autoridad de certificación) garantiza la vinculación entre la identidad de un sujeto o entidad y su clave pública.

Hablamos de un tercero con requisitos para identificar (garantías de por medio) al usuario del certificado.  Los partículares tienen suficiente con su DNI-e.  El hecho de que exista una autoridad de identificación, asegura que la identidad pueda tener un reconocimiento mucho más universal.

Este tipo de certificado se usa tanto para personas físicas como jurídicas.  El tercero de confianza les exige los requisitos para garantizar de manera absoluta las identidades acreditadas; en el caso de los particulares, con el DNI, y para las entidades jurídicas se les pedirá la correspondiente acreditación, como por ejemplo, las escrituras o los estatutos. 

En el momento actual todo esto ya no nos choca tanto, o bien hemos recurrido a ello o sabemos de alguien en nuestro entorno que lo usa.  Pero lo cierto es que tan solo estamos hablando de un medio electrónico que nos acredita del mismo modo que nos acredita su equivalente en papel.  Un certificado electrónico mío sería exactamente igual que presentar mi DNI electrónico.

De todos los formatos existentes para los certificados digitales, los más empleados se basan en el estándar UIT- X.509. El contenido habitual de un certificado es:

• El nombre de la entidad certificada.
• Número de serie.
• Fecha de expiración.
• Copia de la clave pública del titular del certificado (que se necesita para verificar su firma digital).
• Firma digital de la autoridad emisora del certif. de forma que el receptor pueda verificar que ésta última estableció realmente dicha asociación.

Una manera de ver los certificados digitales que tenemos en nuestro ordenador, es, dentro del navegador Mozilla, yendo al menú "Herramientas" "Opciones" "Avanzado" "cifrado" y botón de ver certificados:

··

         

Pero si estamos utilizando Explorer:

           

LAS AUTORIDADES DE CERTIFICACIÓN.

Son quienes avalan la entidad de los sujetos a los que expiden los certificados, o sea, como una especia de notario dando fe de un hecho jurídico.

Avala al sujeto del certificado emitido, firmando con su clave privada los certificados emitidos.  Al mismo tiempo pone a su disposición su propio certificado con su clave pública, lo que permitirá sus firmas electrónicas.  Y por otro lado, dentro de sus servicios está la verificación de la validez del certificado, ya que aunque en ellos se indica su plazo de expiración, pueden ser revocados en cualquier momento.

Si bien lo habitual es la emisión de certificados a sujetos, también es posible emitir certificados para autoridades de certificación de un rango menor.

El DNIe es el ejemplo más familiar, y en su caso, la Autoridad de Certificación Raíz es la Dirección General de la Policía.   La FNMT a través de CERES (Certificación Española) ofrece el certificado electrónico reconocido por la amplia mayoría de las A.P., el certificado FNMT Clase 2CA.

El lugar en el que podemos descargar el certificado es:

         

Los pasos para obtener el certificado son:

1.- Hacer la solicitud del mismo a través de la web.

2.- La web nos generará un código con el cual nos presentaremos en cualquiera de las oficinas de registro de los organismos acreditados (en la misma web veremos los existentes en nuesta zona), donde presentaremos nuestro DNI para verificar nuestra identidad.

3.-  Nuestro DNI junto con el código obtenido, nos permitirán la instalación del certificado desde la web del Ceres en nuestro equipo.  En el enlace tenéis un manual expicativo.

http://www.cert.fnmt.es/content/pages_std/docs/ManualFirmaElectronica.pdf.

INFRAESTRUCTURAS DE LA CLAVE PÚBLICA.

Al hablar de la autoridad de certificación, hay que hacerlo tembién de la infraestructura de la Clave Pública.

UNA INFRAESTRUCTURA DE CLAVE PÚBLICA (PKI, PUBLIC KEY INFRAESTRUCTURE) consiste en una combinación hardware/software + políticas/procedimientos seguridad para ejecutar operaciones criptográficas de modo seguro.

PKI hace referencia tanto a la autoridad de certificación y al resto de componente, como para referirse, manera más amplia y a veces confusa, al uso de algoritmos de clave pública en las comunicaciones electrónicas; aunque esto último no es del todo correcto, dado que realmente no es imprescindible el uso de métodos específicos de PKI  para usar algoritmos de clave pública.

Veamos los principales usos de la tecnologia PKI

•         Autenticación de usuarios y sistemas (login)
•          Identificación del interlocutor
•          Cifrado de datos digitales
•          Firmado digital de datos (documentos, software, etc).
•          Confidencialidad en las comunicaciones mediante técnicas de cifrado.
•          Garantía de no repudio (negar que cierta transacción tuvo lugar)

G  

      CERTIFICADOS:  CONSULTA, EMISIÓN Y REVOCACIÓN.

Antes de estrenar un certificado, debemos asegurarnos de la garantía de seguridad, validez, autenticidad y vigencia.  

Respecto a la autenticidad basta contar con la instalación del certificado raíz de la autoridad de certificación en el ordenador que se utiliza habitualmente. 

Para conocer la vigencia debemos mirar el certificado, comprobar que aún no ha caducado... pero además consultaremos con la autoridad emisora del certificado para comprobar si ésta no lo ha revocado y sigue en vigor.

En cuanto a esta tarea de ofrecer información de validación se habla también específicamente de Autoridades de Validación, que pueden ser entidades especializadas en esta tarea o bien puede asumir ese papel la propia Autoridad de Certificación.  De manera similar existe el papel de autoridades de registro.

La consulta sobre validez del certificado la realizan normalmente los servidores de la entidad que presta el servicio en cuestión contra los servidores de las Autoridades de Certificación.  Por ejemplo, si realizamos la declaración del IRPF por internet, cuando firmamos electrónicamente la declaración, uno de los servidores de la Agencia Tributaria consultará a la FNMT si el certificado que estamos usando se encuentra vigente, la FNMT comprobará en su base de datos de certificados, si es así y le responderá al servidor de la AEAT, y esta finalmente aceptará o denegará el envío de la declaración.

Tipos de certificados.

Existen diferentes tipos de certificados digitales, en función de la información que contiene cada uno y a nombre de quien se emite el certificado.

Ø     .- Certificado Personal, que acredita la identidad del titular.

Ø   .- Certificado Perteneciente a Empresa que, además de la identidad del titular acredita su vinculación con la entidad para la que trabaja.

Ø  .- Certificado de representante que además de la pertenencia a la empresa acredita también los poderes de representación que el titular tiene sobre la misma.

Ø  .- Certificado de Persona Jurídica que identifica a una empresa o sociedad como tal a la hora de realizar trámites ante las Admones Públicas.

Ø .- Certificado de Atributo, el cual permite identificar una cualidad, estado o situación.  Este tipo de certificación va asociado al certificado personal (por ejemplo médico, abogado, director…)

Ø  .- Certificado de Servidor Seguro, utilizado en los servidores web que quieren proteger ante terceros el intercambio de información con los usuarios.

Ø  .- Certificado de firma de código para garantizar la autoría y la no modificación del código de aplicaciones informáticas.