Infraestructura de Firma Electrónica Requerimientos Indice Introducción ---------------------------------------------------------------- 2 Certificado digital. Obtención y puntos de registro ----------- 4 Requisitos para el correcto funcionamiento de la infraestructura firma electrónica --------------------------16 Glosario de términos Legislación -------------------------------------------------20 ----------------------------------------------------------------23 Utilidades certificado -------------------------------------------------25 1 Infraestructura de Firma Electrónica Requerimientos Introducción El uso del certificado digital permite garantizar la identidad de la persona a través de la red, la integridad de los mensajes enviados; el no repudio de la información enviada por parte del emisor, así como la confidencialidad de las comunicaciones Debido a la gran cantidad de documentos que se manejan en los registros, así como la lentitud que todo procedimiento pueda acarrear, se ha visto la necesidad de incorporación de la firma electrónica para la solución de múltiples problemas. La implantación de firma dentro del Gobierno de Canarias nos proporcionará las siguientes posibilidades: - Autenticación de usuario a la entrada de portales restringidos a través de un certificado digital emitido por la FNMT (con la que el Gobierno de Canarias tiene un convenio), garantizando la autenticidad del usuario y evitando el uso de login y password. - La información que se transmite viaja encriptada, aportando mayor seguridad a las comunicaciones - Firma de documentos digitales que pueden ser enviados a través de la red y que no por eso dejan de ser menos válidos que los documentos en papel. - Incorporación del registro de entrada y salida a través del HiperReg, posibilitando al usuario que realice estas operaciones con la veracidad y seguridad que esto conlleva. - En todo momento el usuario tendrá la posibilidad de llevar a cabo una consulta de todos los documentos que están asociados a su persona, mediante el gestor documental. Con todo esto se pretende implantar un sistema seguro que permita al usuario realizar muchas de sus tareas a través de Internet, debiendo estar en posesión con la necesidad de poseer un certificado de FNMT (*), que es la encargada de la emisión de certificados digitales que garantizan la autentificación y la confidencialidad de las comunicaciones entre usuarios, asegurando la existencia de un único certificado válido para cada usuario. Recomendaciones • Es importante que establezca seguridad alta en el certificado, puesto que se asegura de que se solicita la contraseña de dicho certificado cada vez que se vaya a hacer uso de ella 2 Infraestructura de Firma Electrónica Requerimientos • • • Es importante que su contraseña no la sepan otros usuarios, es única e intransferible, y el mal uso de ésta puede ocasionar problemas A la hora de que se solicite la contraseña del usuario, es importante que la casilla que aparece como “Recordar contraseña” no se marque, obligando a introducir la contraseña cada vez que el usuario haga uso del certificado Es recomendable tener instalada la contraseña sólo en aquellos equipos en los que vaya a trabajar y siempre estableciendo la seguridad alta para la solicitud de la contraseña (*) Enmarcado en el proyecto CERES(CERtificación ESpañola), el Gobierno de Canarias ha firmado un convenio de colaboración con la Fábrica Nacional de la Moneda y Timbre (FNMT), designando a ésta como entidad certificadora oficial. 3 Infraestructura de Firma Electrónica Requerimientos Certificado Digital. Obtención y puntos de registro La FNMT se encarga de la emisión de certificados digitales que garantizan la autentificación y la confidencialidad de las comunicaciones entre usuarios. Un único certificado válido estará asociado a un usuario, garantizando en todo momento la autenticidad de éste. Dicho certificado deberá ser descargado por primera vez en el ordenador donde se ha llevado a cabo la solicitud; una vez esté descargado podrá instalarlo en tantos equipos como desee haciendo uso de la exportación e importación, que se explicará más adelante. El usuario que desee hacer uso de la infraestructura de firma electrónica deberá poseer uno de éstos certificados. A tener en cuenta a la hora de la obtención del certificado: Es importante que durante todo el proceso de descarga del certificado no cambie de equipo Es necesario establecer la seguridad alta en la descarga del certificado, obligando de esta forma a establecer contraseña, evitando que cualquier otra persona que utilice el equipo pueda hacer uso del certificado • Solicitud de certificado Para llevar a cabo la solicitud de un certificado deberá solicitarlo a través de la página que a continuación se indica, donde, de forma detallada, se indican los pasos que se deberán seguir, así como los puntos de registro donde deberá poder pasar a recoger su certificado: http://www.cert.fnmt.es/clase2/iniciomain.htm 4 Infraestructura de Firma Electrónica Requerimientos 5 Infraestructura de Firma Electrónica Requerimientos Cambiar el nivel de seguridad Para obtener la oficina de registro más cercana donde puede pasar a registrarse como usuario, consulte en la página web, indicando su localización. 6 Infraestructura de Firma Electrónica Requerimientos Una vez se haya presenciado en la oficina de registro y con ayuda de la clave que se ha obtenido al realizar la solicitud, podrá llevar a cabo la descarga del certificado • Exportación e importación de certificados Una vez halla descargado el certificado por primera vez, es recomendable realizar una copia de éste. Para llevar a cabo esta operación exportaremos el certificado: Al pulsar sobre Exportar, nos aparecerá un asistente para la exportación que nos indicará paso por paso el proceso a llevar a cabo 7 Infraestructura de Firma Electrónica Requerimientos Tener en cuenta que está marcada la exportación de la clave 8 Infraestructura de Firma Electrónica Requerimientos Indique contraseña para proteger el certificado Indique la ubicación donde desea guardar el certificado 9 Infraestructura de Firma Electrónica Requerimientos Finalmente se le solicitará la clave privada asociada al certificado para completar la exportación Si por el contrario lo que se desea hacer es importar un certificado los pasos a seguir son los siguientes: 10 Infraestructura de Firma Electrónica Requerimientos Se indica la ubicación del certificado que se quiere importar Se solicita la clave con la que se ha protegido el certificado, y se marcan las casillas indicadas 11 Infraestructura de Firma Electrónica Requerimientos 12 Infraestructura de Firma Electrónica Requerimientos Se establece la nueva clave. Es importante modificar el nivel de seguridad (pulsando en dicho botón) para poder establecer una clave privada al certificado Se establece el nivel de seguridad alto Se establece la contraseña privada del certificado 13 Infraestructura de Firma Electrónica Requerimientos • Problemas que puedan surgir: - Revocación: Olvido de la contraseña. Si se ha olvidado de la contraseña del certificado, sería conveniente que llevase a cabo la revocación del certificado, para posteriormente llevar a cabo la solicitud de uno nuevo. La revocación se hace a través de la página de FNMT, en la opción revocación http://www.cert.fnmt.es/clase2/main.htm - Revocación: he dejado instalado el certificado en un equipo no seguro. Ante cualquier duda es aconsejable que revoque el certificado, puesto que la mala utilización de éste puede traer consecuencias negativas. - Renovación del certificado. Para ver cuál es la fecha de caducidad de un certificado hay que ir a herramientas, en opciones, contenido, certificados La solicitud de renovación podrá efectuarse durante dos meses antes a la fecha de finalización de su vigencia a través de la página de FNMT http://www.cert.fnmt.es/clase2/main.htm - No tengo ordenador propio ¿cómo uso el certificado?. Si no dispone de un ordenador propio es aconsejable que tenga el certificado en un diskette, de forma que cuando lo requiera lo instale en el equipo que está utilizando en ese momento. Es muy importante que una vez haya terminado de utilizarlo lo 14 Infraestructura de Firma Electrónica Requerimientos desinstale, pues algún otro usuario puede hacer un mal uso de éste Seleccione el certificado y pulse quitar. El asistente le indicará los pasos a seguir 15 Infraestructura de Firma Electrónica Requerimientos Requisitos para el correcto funcionamiento de la infraestructura de firma electrónica - Modificación opciones de seguridad. Para ello deberá seguir los siguientes pasos: Internet Explorer En el menú superior, ir a herramientas y seleccionar opciones de Internet Seleccionar la pestaña Seguridad. Marcar Internet y pulsar Nivel personalizado... - Buscar la opción que indica Iniciar y activar la secuencia de comando de los controles de Activex no marcados como seguros y marcar la opción Pedir datos 16 Infraestructura de Firma Electrónica Requerimientos - Finalmente pulsar aceptar - Habilitación del certificado de FNMT para firma de código. Para ello deberá seguir los siguientes pasos: Internet Explorer En el menú superior, ir a herramientas y seleccionar opciones de Internet Seleccionar la pestaña Contenido. Dentro del recuadro referente a Certificados, seleccionar el botón que pone Certificados... 17 Infraestructura de Firma Electrónica Requerimientos - Dentro de la nueva ventana, buscar la pestaña Entidades emisoras raíz de confianza y buscar la que hace referencia a FNMT - Una vez localizada, pulsar el botón Avanzadas... para modificar las propiedades. En el propósito de certificado comprobar que esté marcada la casilla Firma de código 18 Infraestructura de Firma Electrónica Requerimientos - Finalmente pulsar aceptar Esta modificación es llevada a cabo por el siguiente motivo: el certificado raiz de FNMT por defecto no trae habilitada la opción Firma de código, por lo que al utilizar por primera vez los objetos necesarios de la infraestructura podemos obtener un mensaje de la siguiente forma: De lo contrario, si habilitamos dicho propósito, obtendremos lo siguiente 19 Infraestructura de Firma Electrónica Requerimientos Glosario de términos Administración de certificados Proceso. Incluye, pero no está limitado a la emisión, verificación, almacenamiento, distribución, publicación y revocación de certificados. Auditoría Procedimiento usado para verificar que se están llevando a cabo controles en un sistema de información y que estos son adecuados para los objetivos que se persiguen. Incluye el análisis de las actividades para detectar intrusiones o abusos dentro del sistema informático. Autenticidad Característica por la que se garantiza la identidad del usuario que origina un mensaje o transacción, es decir conocer con certeza quién envía algo. Autentificación Proceso utilizado para confirmar la identidad y autenticidad de una persona o probar la integridad de información específica. Autoridad Certificadora Es una tercera parte de confianza que acredita la (AC) conexión entre una determinada clave pública y su propietario. La confianza en la AC supone la confianza en los certificados que emite CRL Certificate Revocation List. Listas de Certificados revocados. Definido en la norma X.509. Certificado Es un documento electrónico en el cual la Autoridad de Certificación (AC) acredita mediante su fima digital que la clave pública pertenece a su propietario. También se denominan Certificados de usuario y de clave pública. Clave Privada Clave personal que no es conocida por el resto de los usuarios y que es utilizada para crear firmas digitales y, dependiendo del algoritmo, para descifrar mensajes cifrados con la correspondiente clave pública. Clave Pública Clave de usuario que es conocida por el resto de los usuarios y que es utilizada para verificar firmas creadas con su correspondiente clave pública. Dependiendo del algoritmo, se usa para cifrar mensajes que pueden ser descifrados con su correspondiente clave privada. Clave Simétrica Clave única usada en los algoritmos simétricos 20 Infraestructura de Firma Electrónica Requerimientos tanto para cifrar como para descifrar un mensaje. Claves de autenticación Par de claves (pública y privada) que se utilizan o de firma dentro de la infraestructura de clave pública para garantizar la autenticidad de emisor y receptor, así como la integridad de las comunicaciones establecidas. Confidencialidad Característica técnica y administrativa que previene contra la comunicación y divulgación no autorizada de cualquier información referente a las transacciones EIT, ya sea en su inicio, durante su ejecución o conclusión. Emisión de certificados Acciones llevadas a cabo por una AC para crear un certificado y comunicárselo al usuario que lo solicitó. Entidad Emisora FNMT Firma digital Nombre con el que los navegadores de Microsoft designan a una AC Fábrica Nacional de Moneda y Timbre Es un documento electrónico que se genera como resultado de aplicar una función matemática al documento a firmar y posteriormente cifrar el resultado con la clave privada del firmante. Es utilizada por el emisor de un mensaje para identificarse. Firma electrónica Véase Firma digital Infraestructura de clave Conjunto de mecanismos criptográficos de clave pública pública basados en la existencia de dos claves (una pública y otra privada) que se utilizan para garantizar la identidad del usuario, la confidencialidad y la integridad de la información transmitida. Integridad Característica que asegura que el mensaje o comunicación que se recibe llega tal y como se envió por el remitente, detectando fácilmente posibles modificaciones que pudieran haberse producido durante la transmisión. LORTAD Ley orgánica de regulación del tratamiento automatizado de los datos de carácter personal, 5/1992 de 29 de octubre.. Listas de certificados revocados Conjunto de certificados revocados por la AC. 21 Infraestructura de Firma Electrónica Requerimientos No repudio Mecanismos que proporcionan garantías del origen de un mensaje para proteger al emisor contra la negación de recepción por parte del receptor. Repudio Negación o intento de negación participado en una comunicación. Revocación de certificados Anulación de la validez de un certificado de clave pública antes del fin del periodo de validez. Tarjeta inteligente Tarjeta que lleva incluido un microprocesador y es utilizada para proporcionar seguridad de la información. Validación de un certificado de usuario Proceso llevado a cabo por una entidad de confianza o el receptor de un mensaje firmado digitalmente para verificar que el certificado era válido y estaba en el periodo operativo en el momento en el que fue creada la firma. 22 de haber Infraestructura de Firma Electrónica Requerimientos Legislación Decreto 205/2001, de 3 de diciembre, por el que se regula el empleo de la firma electrónica en los procedimientos administrativos de la Administración Pública de la Comunidad Autónoma de Canarias .... Así mismo reconoce a los ciudadanos la facultad de relacionarse con las diferentes Administraciones y el ejercicio de sus derechos ante ellas utilizando las técnicas o medios electrónicos, informáticos o telemáticos, otorgándoles a los documentos y copias así realizados validez y eficacia jurídica siempre que se cumplan los requisitos previstos en la Ley y se garantice la autenticidad, integridad, conservación y, en su caso, la recepción por el interesado, así como el resto de garantías exigidas por la Ley o por otras normas que resulten de aplicación. ... Por ello es preciso poner en marcha en el conjunto de los organismos públicos la posibilidad de interactuar directamente con la Administración a través de medios telemáticos, lo que requiere el uso de técnicas de identificación inequívocas como es la firma electrónica. ... Artículo 3.- La Administración Pública de la Comunidad Autónoma de Canarias asumirá las funciones de intermediación entre los prestadores de servicios de certificación y los interesados en las tareas de comprobación de la identidad y cualesquiera otras circunstancias personales que deban figurar en los certificados electrónicos que se emitan. ... Artículo 5.- 1. A efectos de la acreditación de la presentación, la documentación tramitada por vía electrónica, con los requisitos que se establezcan para cada procedimiento, tendrá la misma validez y eficacia que la presentada en soporte papel, debiendo estarse a la legislación de procedimiento común en cuanto a la iniciación del procedimiento. Asimismo, las fechas de transmisión y recepción acreditadas en las comunicaciones y notificaciones efectuadas por esta vía, serán válidas a efectos del cómputo de plazos y términos... ... DISPOSICIÓN TRANSITORIA Única.- 1. En las convocatorias de ayudas y subvenciones que se realicen a partir de la entrada en vigor de este Decreto se podrá admitir la tramitación 23 Infraestructura de Firma Electrónica Requerimientos telemática, con firma electrónica avanzada, siempre que en las bases se contemplen los siguientes extremos, y sin perjuicio de los requisitos exigidos en el Decreto 337/1997, de 19 de diciembre: a) la posibilidad de que las solicitudes puedan presentarse tanto en soporte papel como por vía telemática, señalando los requerimientos técnicos necesarios; b) los modelos electrónicos de solicitud y de documentos que puedan y deban acompañarse a la misma, como memoria, plan de financiación, etc., que permitan la correcta valoración de dicha solicitud, de acuerdo con los criterios de concesión que se fijen en las bases; c) la documentación en soporte papel que sea exigible, no disponible en soporte electrónico, y que deberá aportarse cuando le sea requerida por el órgano gestor de las ayudas o subvenciones, una vez realizada la preselección de los solicitantes; d) el plazo para la aportación de la documentación en soporte papel una vez hecho el requerimiento a tal efecto y la advertencia de que, en el caso de que no la aporte en dicho plazo, se considerará que desiste de la solicitud; ... Para más información http://www.gobiernodecanarias.org/boc/2001/161/002.html Ley 59/2003, de 19 de diciembre, de firma electrónica http://www.boe.es/boe/dias/2003-12-20/pdfs/A45329-45343.pdf Real Decreto Ley 14/1999, de 17 de septiembre, sobre firma electrónica http://www.boe.es/boe/dias/1999-09-18/pdfs/A33593-33601.pdf 24 Infraestructura de Firma Electrónica Requerimientos Utilidades del certificado El certificado tendrá su utilidad en múltiples casos: Aplicaciones propias del Gobierno de Canarias integradas con firma electrónica. Estas aplicaciones permitirán la entrada en ella mediante el certificado, solicitando únicamente la clave. También le permitirá en ocasiones firma de documentos de la administración, tales como solicitudes Correo electrónico. Mediante el envío de correo firmado con el certificado se garantiza la integridad de los datos que envía al destinatario y se garantiza el no repudio del emisor, simplemente activando la opción que indica incluir firma electrónica al mensaje saliente, teniendo en cuenta que sólo se podrán enviar mensajes con la dirección de correo que se haya indicado al emitir el certificado Aplicaciones externas al Gobierno de Canarias, tal como puede ser Agencia Estatal de Administración Tributaria, Instituto de Crédito Oficial, diversos Ministerios, etc... Correo Electrónico ¿Cómo obtener el certificado propio en outlook express? Ir a herramientas, opciones, a la pestaña de seguridad. 25 Infraestructura de Firma Electrónica Requerimientos Si desea que todos sus mensajes salgo firmados digitalmente, puede marcar la casilla que se indica en el gráfico anterior Al pulsar en Id. Digitales nos mostrará los distintos certificados que posee el usuario instalados, sin necesidad de hacer ningún tipo de operación ¿Cómo hacer uso del certificado digital en Outlook? Ir a herramientas, opciones, a la pestaña de seguridad. Si desea que todos sus mensajes salgo firmados digitalmente, puede marcar la casilla que se indica en el gráfico anterior Se pulsa el botón “Importar o exportal un id. digital...”para proceder a importar el certificado digital (previamente ha tenido que llevar a cabo la exportación desde el explorador). 26 Infraestructura de Firma Electrónica Requerimientos Se selecciona el certificado, indicándole la clave, así como el nombre con el que se va a designar el certificado. Para comprobar que la importación se haya llevado de forma correcta, en la pantalla anterior se pulse Cambiar configuración y allí deberá venir la referencia al certificado que se ha seleccionado Enlaces de utilidad Agencia Estatal de Administración Tributaria http://www.aeat.es Seguridad Social http://www.seg-social.es/inicio/ Ministerio de Hacienda http://www.igae.minhac.es/dgcp/inicio/inicio.asp 27