Bloque I. Tema 7. La Sociedad de la Información. Legislación sobre sociedad de la información y firma electrónica. El DNI electrónico

Resumen sobre firma electrónica y DNI electrónica hecho sobre la selección del libro Administración Electrónica del BOE.

Más legislación sobre sociedad de la información:

Índice de contenido

Bloque I. Tema 6. La Sociedad de la Información. Legislación sobre sociedad de la información y firma electrónica. El DNI electrónico        1

La Sociedad de la Información. Legislación        2

Medidas de Impulso        2

Ley de Servicios de la Sociedad de la Información        2

Principio de libre prestación de servicios        2

Obligaciones de los prestadores de SSI        3

Responsabilidad de los prestadores de SSI        3

Contratación por vía electrónica        3

Infracciones y Sanciones        4

Accesibilidad para las personas con discapacidad y de edad avanzada        5

Fomento de la Sociedad de la Información        5

Ley de Propiedad Intelectual en Software        6

Objeto de la protección        6

Titularidad de los derechos        6

Duración de la protección        7

Contenido de los derechos de explotación        7

Límites a los derechos de explotación        7

Infracción de los derechos        8

Boletín Oficial del Estado        8

Legislación sobre firma electrónica y DNIe        9

Firma Electrónica        9

Documento Electrónico        10

Certificado Electrónico        10

Certificado Reconocido        11

Obligaciones previas a la expedición        11

Prestación de servicios de certificación        12

La Declaración de Prácticas de Certificación        12

Obligaciones del prestador que emita certificados reconocidos        13

Cese de la actividad        13

Responsabilidad        13

Dispositivos de creación de firma        13

Dispositivos de verificación de firma        14

Certificación de dispositivos seguros        14

Supervisión y control        14

Infracciones y Sanciones        15

Aspectos técnicos de la firma electrónica        15

Formato XadES        16

Formato PKCS#7/CMS/CAdES        16

Criptografía        16

Funciones y códigos hash        16

El DNI electrónico        16

Aspectos técnicos        18

X.509v3        19

 

La Sociedad de la Información. Legislación

Medidas de Impulso

Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información. Lo más destacable son modificaciones de la LSSI y modificaciones de la Ley de Firma Electrónica que ya he tenido en cuenta por ser la legislación consolidada.

Ley de Servicios de la Sociedad de la Información

Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y comercio electrónico.

De aplicación a los prestadores de servicios de la Sociedad de la información establecidos en España y a sus servicios.

Se entenderá que está establecido en España cuando su residencia o domicilio social se encuentren en territorio español, siempre que éstos coincidan con el lugar en el que efectivamente están centralizadas la gestión administrativa y la dirección de su negocio. Asimismo será de aplicación a los que residiendo fuera de España ofrezcan sus servicios a través de un establecimiento permanente situado en España.

Además si están establecidos en la Unión Europea o Espacio Económico Europeo, será de aplicación si los servicios tratan de las materias siguientes:

Principio de libre prestación de servicios

La prestación de servicios de la sociedad de la información no estará sujeta a autorización previa.

En caso de que un determinado servicio atente o pueda atentar contra los principios que se expresan a continuación, los órganos competentes para su protección podrán adoptar las medidas necesarias para que se interrumpa su prestación o para retirar los datos que los vulneran. Los principios son:

Obligaciones de los prestadores de SSI

El prestador estará obligado a proporcionar acceso electrónico, fácil, permanente, directo y gratuito a:

  1. Su nombre o denominación social, su residencia o domicilio, su dirección de correo electrónico y cualquier otro dato para una comunicación directa y efectiva
  2. Los datos de su inscripción en el Registro Mercantil
  3. Si su actividad estuviese sujeta a una autorización administrativa previa, los datos relativos a dicha autorización
  4. Si ejerce una profesión regulada: datos de colegiado, título académico oficial, Estado en que se expidió y acceso a las normas que regulan su profesión.
  5. El número de identificación fiscal
  6. Precio si es aplicable, indicando si incluye o no impuestos
  7. Los códigos de conducta a que esté adherido

Responsabilidad de los prestadores de SSI

En general no son responsables de contenidos ilícitos si no tienen constancia de su existencia o, de tener constancia, actúan con diligencia para suprimir o desactivar contenidos o enlaces. Se entiende que es ilícito y tiene constancia si hay resolución de un órgano que lo declara y el prestador tiene conocimiento de tal resolución.

Para las comunicaciones comerciales por correo electrónico, en general quedan prohibidas si no se han solicitado, pero esto no es de aplicación si hay una relación contractual previa y los servicios son de la misma empresa o están relacionados.

Contratación por vía electrónica

Para que sea válida la celebración de contratos por vía electrónica no será necesario el previo acuerdo de las partes sobre utilización de medios electrónicos.

Si interviene un tercero de confianza en la celebración de contratos, deberá archivar en soporte informático las declaraciones que hubieran tenido lugar por vía telemática entre las partes por el tiempo estipulado que, en ningún caso será inferior a cinco años.

Infracciones y Sanciones

     

1. Cuando el órgano competente en virtud de las competencias atribuidas resuelva la interrupción o retirada de contenidos, podrá ordenarlo al prestador, establecido en España.

2. Si para hacer lo mismo con un prestador establecido fuera de la UE o el Espacio Económico el órgano podrá requerir al intermediario establecido en España para que colabore igualmente.

3. Se respetará la intimidad personal y familiar, la protección de los datos personales, la libertad de expresión y de información. Aunque se puede establecer la competencia excluyente a los tribunales, entonces quedarían fuera los órganos administrativos.

4. Las medidas a las que hace referencia este artículo será objetivas, proporcionadas y no discriminatorias y se adoptarán de forma cautelar o en ejecución de las resoluciones que se dicten.

Texto 1: Artículo 11 Deber de colaboración de los prestadores SSI

Infracciones muy graves -única-:

  1. El incumplimiento de la obligación de suspender la transmisión, el alojamiento de datos, el acceso a la red o la prestación de cualquier otro servicio equivalente de intermediación, cuando un órgano administrativo competente lo ordene, en virtud de lo dispuesto en el artículo 11.

Infracciones graves:

  1. El incumplimiento de lo establecido en los párrafos a) y f) del artículo 10.1:
    1. El acceso al nombre o denominación social, residencia o domicilio, correo electrónico y otros datos identificativos del prestador de los servicios
    2. Cuando el servicio haga referencia a precios, facilitarlos e indicar si van o no con impuestos.
  2. El envío masivo de comunicaciones comerciales por algún medio electrónico o el envío de más de tres comunicaciones a un mismo destinatario, en el plazo de un año.
  3. Incumplimiento de lo establecido en relación con los procedimientos para revocar el consentimiento prestado por los destinatarios.
  4. No poner a disposición del destinatario las condiciones generales.
  5. La resistencia a la actuación inspectora.
  6. Incumplimiento significativo de las obligaciones de información o de establecimiento de un procedimiento de rechazo al tratamiento de datos.

Son infracciones leves:

  1. INFORMACIÓN. El incumplimiento de lo dispuesto sobre obligaciones de información sobre seguridad. Los proveedores de servicios de intermediación establecidos en España deben informar sobre los medios de protección y medidas de seguridad a aplicar por los clientes.
  2. INFORMACIÓN. No informar sobre los apartados a) y f) del 10.1 -nombre, dirección, correo y los precios- cuando no sea infracción grave o no informar del resto de apartados del 10.1:
    1. Inscripción en el registro mercantil
    2. Datos de autorización administrativa previa, en su caso.
    3. Datos sobre la profesión regulada, en su caso.
    4. Número de identificación fiscal, etc
  3. INFORMACIÓN, ENVÍO PUBLI. Incumplimiento de lo dispuesto en la información exigida sobre las comunicaciones comerciales, ofertas promocionales y concursos. Abreviatura “publi”, palabra “publicidad”. Tales comunicaciones deben ser claramente identificables.
  4. ENVÍO PUBLI. El envío de comunicaciones comerciales cuando no se cumpla que debe existir una relación comercial contractual previa y que los productos deben ser de la misma empresa o relacionados, y no constituya infracción grave.
  5. Y bla bla bla bla, casi todas se refieren a información, esto es un coñazo impresionante.

En lugar de centrarme en las cantidades, destacar que la reiteración en el plazo de tres años de dos o más infracciones muy graves sancionadas con carácter firme podrá dar lugar a la sanción de prohibición de actuación en España, durante un plazo máximo de dos años.

Las infracciones prescriben:

Y las sanciones impuestas prescriben:

Accesibilidad para las personas con discapacidad y de edad avanzada

La Disposición Adicional Quinta regula la accesibilidad para personas con discapacidad y de edad avanzada a la información proporcionada por medios electrónicos.

A partir del 31 de Diciembre de 2008 las páginas de Internet de las Administraciones Públicas satisfarán, como mínimo, el nivel medio de los criterios de accesibilidad al contenido generalmente reconocidos. La misma fecha es aplicable y el mismo nivel de accesibilidad para las empresas que presten servicios de especial trascendencia enconómica.

Las AP exigirán que tanto las páginas de Internet cuyo diseño o mantenimiento financien total o parcialmente como las páginas de Internet de entidades y empresas que se encarguen de gestionar servicios públicos apliquen los criterios antes mencionados.

Las páginas de Internet deben ofrecer al usuario:

Fomento de la Sociedad de la Información

El Ministerio de Ciencia y Tecnología presentará al Gobierno para su aprobación y a las Cortes Generales un informe cuatrienal para el desarrollo de la Sociedad de la Información y de convergencia con Europa.

El plan deberá potenciar las iniciativas de formación y educación en las tecnologías de la información para promover su uso y profundizar en la implantación del gobierno y la administración electrónica incrementando el nivel de participación ciudadana y mejorando el grado de eficiencia de las Administraciones Públicas.

Ley de Propiedad Intelectual en Software

Regulado en el Título VII Programas de Ordenador, del Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia.

Objeto de la protección

     

Toda secuencia de instrucciones o indicaciones destinadas a ser utilizadas, directa o indirectamente, en un sistema informático para realizar una función o una tarea o para obtener un resultado determinado, cualquiera que fuere su forma de expresión y fijación.

A los mismos efectos, la expresión programas de ordenador comprenderá también su documentación preparatoria. La documentación técnica y los manuales de uso de un programa gozarán también de la misma protección que este Título dispensa a los programas de ordenador

Texto 2: Programa de Ordenador

 

Se protegerá:

No se protegerá:

Titularidad de los derechos

Obra individual

La persona que lo haya creado

 

Obra colectiva

La persona natural o jurídica que lo edite y divulgue bajo su nombre

Salvo pacto en contrario

Resultado unitario de la colaboración entre varios autores

Propiedad Común

Corresponderá a todos los autores según la proporción que se determine.

Trabajador asalariado en el ejercicio de sus funciones o siguiendo instrucciones del empresario

Tanto el fuente como el objeto pertenece exclusivamente al empresario

Salvo pacto en contrario

¿Y cual es la diferencia entre obra colectiva y obra en colaboración?

Duración de la protección

Persona natural

Los derechos de explotación de la obra durarán:

  • Toda la vida del autor y
  • 70 años después de su muerte o declaración de fallecimiento

La regulada por defecto en el Capítulo I del Titulo III

Persona jurídica

70 años, computados desde el día 1 de enero del año siguient al de la divulgación lícita del programa o al de su creación si no se hubiera divulgado

 

Contenido de los derechos de explotación

Derecho de realizar o autorizar:

  1. La reproducción total o parcial, incluso para uso personal.
  2. La traducción, adaptación, arreglo o cualquier otra transformación.
  3. Cualquier forma de distribución pública

Límites a los derechos de explotación

  1. No necesitarán autorización del titular, salvo disposición contractual en contrario, la reproducción o transformación de un programa incluida la corrección de errores, cuando dichos actos sean necesarios para la utilización del mismo por parte del usuario legítimo, con arreglo a su finalidad propuesta.
  2. La realización de una copia de seguridad por parte de quien tiene derecho a utilizar el programa no podrá impedirse por contrato en cuanto resulte necesario para dicha utilización.
  3. El usuario legítimo estará facultado para observar, estudiar o verificar su funcionamiento, sin autorización previa del titular, siempre que se haga durante las operaciones que tiene derecho a hacer.
  4. El autor no podrá oponerse a que el cesionario realice o autorice versiones sucesivas salvo pacto en contrario.
  5. Si necesito reproducir el código o traducir su forma en el sentido de a) reproducción total o parcial y b) traducción, adaptación o arreglo o cualquier otra transformación de un programa de ordenado, no necesita la autorización del titular cuando sea indispensable para obtener la información necesaria para la interoperabilidad de un programa creado de forma independiente con otros programas, siempre que se cumplan algunos requisitos:
    1. Realizados por el usuario legítimo
    2. Que tal información no esté ya disponible de manera fácil y rápida
    3. Que dichos actos se limiten a las partes del programa necesarias para la interoperabilidad
    4. Se utilice solo para la interoperabilidad y solo se comunique a terceros con tal fin
    5. No se utilice con fines comerciales

Infracción de los derechos

Los que realicen los actos previstos en el artículo 99:

  1. Reproducción total o parcial
  2. Traducción, adaptación, arreglo o cualquier otra transformación
  3. Cualquier forma de distribución pública incluido alquiler del programa original o sus copias.

Y en particular:

  1. Quienes pongan en circulación una o más copias de un programa de ordenador conociendo o pudiendo presumir su naturaleza ilegítima.
  2. Quienes tengan con fines comerciales una o más copias de un programa de ordenador, conociendo o pudiendo presumir su naturaleza ilegítima
  3. Quienes pongan en circulación o tengan con fines comerciales cualquier instrumento cuyo único uso sea facilitar la supresión o neutralización de cualquier dispositivo técnico para proteger un programa.

Boletín Oficial del Estado

Regulado por Real Decreto 181/2008, de 8 de febrero, de ordenación del diario oficial “Boletín Oficial del Estado”.

La edición electrónica del BOE se publicará en la sede electrónica de la Agencia Estatal Boletín Oficial del Estado.

Respetará los principios de accesibilidad y usabilidad, de acuerdo con las normas establecidas al respecto, utilizará estándares abiertos y en su caso aquellos otros que sean de uso generalizado por los ciudadanos.

La edición electrónica del BOE deberá incorporar firma electrónica avanzada (Atención!! no reconocida, solo avanzada, y recordemos)

     

La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.

como garantía de la :

Corresponde a la Agencia Estatal Boletín Oficial del Estado:

  1. Garantizar la autenticidad, integridad e inalterabilidad del diario oficial que se publique en su sede electrónica
  2. Custodiar y conservar la edición electrónica del diario oficial del Estado
  3. Velar por la accesibilidad de la edición electrónica del diario oficial del Estado y su permanente adaptación al progreso tecnológico.

Legislación sobre firma electrónica y DNIe

       

Certificado reconocido. Certificados electrónicos que se han emitido cumpliendo requisitos cualificados en lo que se refiere a

  • su contenido,
  • a los procedimientos de comprobación de la identidad del firmante y a
  • la fiabilidad y garantías de la actividad de certificación electrónica
 

La ley 59/2003 de 19 de diciembre, de firma electrónica regula:

     

Prestador de servicios de certificación. La persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica

 

Firma Electrónica

El mítico artículo 3 de definición de la firma electrónica:

  1. La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.
  2. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y
    1. detectar cualquier cambio ulterior de los datos firmados,
    2. que está vinculada al firmante de manera única
    3. y [vinculada] a los datos a que se refiere y que
    4. ha sido creada por medios que el firmante puede mantener bajo su exclusivo control
  3. Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.

Documento Electrónico

La información de cualquier naturaleza en forma electrónica, archivada en un soporte electrónico según un formato determinado y susceptible de identificación y tratamiento diferenciado.

Será soporte de:

  1. Documentos públicos firmados por funcionarios con atribución legal de dar fe pública, judicial, notarial o administrativa, siempre que actúen en el ámbito de sus competencias.
  2. Documentos expedidos y firmados por funcionarios o empleados públicos en el ejercicio de sus funciones públicas.
  3. Documentos privados.

Certificado Electrónico

     

Documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad

Son causas de extinción de la vigencia de un certificado electrónico:

  1. Expiración del período de validez que figura en el certificado
  2. Revocación formulada por el firmante, la persona física o jurídica representada por éste, un tercero autorizado o la persona física solicitante de un certificado electrónico de persona jurídica.
  3. Violación o puesta en peligro del secreto de los datos de creación de firma del firmante o del prestador de servicios de certificación o utilización indebida de dichos datos por un tercero.
  4. Resolución judicial o administrativa que lo ordene.
  5. Fallecimiento, incapacidad sobrevenida, extinción persona jurídica o alteración de condiciones  de custodia o uso de los datos de creación de firma.
  6. Cese en la actividad del prestador salvo por transferencia a otro prestador.
  7. Alteración de los datos aportados para la obtención del certificado.
  8. Cualquier otra causa lícita prevista en la declaración de prácticas de certificación
       

El período de validez de los certificados reconocidos será adecuado a la tecnología de firma y no superior a 4 años

Los prestadores suspenderán la vigencia de los certificados si:

  1. Solicitud del firmante, la persona representada por éste, un tercero autorizado o el solicitante de certificado de persona jurídica
  2. Resolución judicial o administrativa
  3. Si hay dudas respecto a que existan las causas, para el caso de extinción, en las siguientes causas:
    1. Violación o puesta en peligro de datos de creación de firma
    2. Alteración de los datos aportados para obtener el certificado
  4. Cualquier otra causa lícita prevista en la declaración de prácticas de certificación

Surtirá efectos desde la inclusión en el servicio de consulta sobre vigencia de certificados.

Común a la extinción y a la suspensión:

Certificado Reconocido

Incluirán al menos los siguientes datos:

  1. La indicación de que se expiden como tales
  2. El código identificativo único del certificado
  3. La identificación y domicilio del prestador
  4. La firma electrónica avanzada del prestador
  5. La identificación del firmante con nombre y apellidos o seudónimo y DNI o denominación social y CIF
  6. Los datos de verificación de firma -clave pública- que correspondan a los datos de creación de firma -clave privada- que se encuentren bajo el control del firmante
  7. El comienzo y el fin del período de validez
  8. límites de uso, en su caso
  9. límites del valore de las transacciones, en su caso

Podrán incluir otros datos.

Obligaciones previas a la expedición

  1. Comprobar la identidad y circunstancias personales (artículo 13)
    1. Exigirá su personación y se acreditará con DNI o equivalente. Aunque podrá prescindirse de este paso si su firma en la solicitud ha sido legitimada en presencia notarial.
    2. Si es persona jurídica comprobará la representación y su inscripción como empresa en el registro público correspondiente.
    3. En el caso de certificados reconocidos de representación de una persona jurídica voluntaria se comprobará tal persona jurídica y su inscripción en el registro público. Para el caso de pertenencia a colegios profesionales, condición de funcionario, etc también se exigirá el documento oficial acreditativo.
    4. Podrá no ser exigible lo expuesto en 1,2,3 cuando:
      1. La identidad o circunstancias del solicitante constara ya en virtud de una acreditación previa en modo 1, 2 o 3 y no hayan pasado más de cinco años desde la identificación original.
      2. Cuando para solicitar el certificado se utilice otro vigente para cuya expedición se hubiera identificado al firmante de la forma prescrita y le conste al prestador de servicios de certificación que el período de tiempo transcurrido no es superior a cinco años.
  2. Verificar que la información contenida en el certificado es exacta y completa.
  3. Asegurarse de que el firmante está en posesión de los datos de creación de firma.
  4. Garantizar la complementariedad de los datos de creación y de verificación de firma.

Prestación de servicios de certificación

Sobre los datos a incluir y no incluir en los certificados, mención especial a que en cualquier caso no se incluirán los datos a los que se hace referencia en el artículo 7 de la Ley Orgánica 15/1999 de 13 de diciembre de protección de datos de carácter personal:

     

Datos especialmente protegidos

Nadie podrá ser obligado a declarar sobre su ideología, religión o creencias.

Cuando se proceda a recabar consentimiento se informará sobre el derecho a no prestarlo.

Sólo con consentimiento previo y por escrito podrán ser objeto de tratamiento los d.c.p. Que revelen:

  • la ideología
  • afiliación sindical
  • religión
  • creencias

Los datos referidos a:

  • origen racial
  • salud
  • vida sexual

La certificación de los prestadores de servicios de certificación no será necesaria para reconocer eficacia jurídica a una firma electrónica.

La Declaración de Prácticas de Certificación

Todo prestador deberá crear un documento que se hará público y será gratuito y accesible al menos en línea con:

Tendrá la consideración de documento de seguridad a los efectos previstos en la legislación sobre la materia de protección de datos de carácter personal y deberá contener todos los requisitos exigidos.

El prestador deberá conservar registrada por cualquier medio seguro toda la información y documentación relativa a un certificado reconocido y las declaraciones de prácticas de certificación vigentes en cada momento.

Los prestadores deberán constituir un seguro de responsabilidad civil para afrontar daños y perjuicios por valor de 3 millones de euros.

Obligaciones del prestador que emita certificados reconocidos

  1. Demostrar la fiabilidad necesaria
  2. Garantizar que puede determinarse con precisión la fecha y la hora en las que se expidió un certificado o se extinguió o suspendió su vigencia.
  3. Emplear personal con cualificación en seguridad y en firma electrónica
  4. Utilizar sistemas y productos fiables que estén protegidos contra toda alteración
  5. Tomar medidas contra la falsificación de certificados. Garantizar confidencialidad y entrega segura de los datos de generación de firma

Cese de la actividad

La comunicación se llevará a cabo con una antelación mínima de 2 meses al cese efectivo de la actividad.

Responsabilidad

Solo cuando incumplan las obligaciones que les impone esta ley. Corresponderá al prestador demostrar que actuó con la diligencia que le es exigible.

De manera particular responderá por el daño causado al firmante o a terceros de buena fe por la falta o el retraso en la inclusión en el servicio de consulta sobre la vigencia de los certificados de la extinción o suspensión de un certificado electrónico.

Están exentos de responsabilidad si el destinatario de los mensajes firmados electrónicamente actua de forma negligente:

  1. Cuando no compruebe y tenga en cuenta las restricciones que figuren en los certificados
  2. No tenga en cuenta la suspensión o extinción del certificado

Dispositivos de creación de firma

Un dispositivo seguro de creación de firma es el que proporciona las siguientes garantías:

  1. Que los datos  utilizados para la generación de firma pueden producirse sólo una vez y asegura rarzonablemente su secreto
  2. Que existe una seguridad razonable de que los datos utilizados para la generación de firma -clave privada- no pueden ser derivados:
    1. de los de verificación de la firma -clave pública-
    2. de la propia firma -hash cifrado-
      y de que la firma esté protegida contra la falsificación
  3. que los datos de creación de firma pueden ser protegidos de forma fiable por el firmante contra su utilización por terceros
  4. que el dispositivo utilizado no altera los datos o el documento que deba firmarse ni impide que este se muestre al firmante antes del proceso de firma
     

 

 

DISPOSITIVO SEGURO

 

Dispositivos de verificación de firma

Garantizarán:

  1. Que los datos utilizados para verificar la firma correspondan a los datos mostrados a la persona que verifica la firma.
  2. Que la firma se verifique de forma fiable y el resultado de esa verificación se presente de forma fiable.
  3. Que la persona que verifica la firma electrónica pueda establecer de forma fiable el contenido de los datos firmados y detectar si han sido modificados.
  4. Que se muestren correctamente tanto la identidad del firmante, como en su caso, conste el empleo de seudónimo.
  5. Que se verifiquen de forma fiable la autenticidad y la validez del certificado.
  6. Que pueda detectarse cualquier cambio relativo a su seguridad.

Certificación de dispositivos seguros

Se utilizarán las normas técnicas cuyos números de referencia hayan sido publicados en el “Diario Oficial de la Unión Europea” y excepcionalmente las aprobadas por el Ministerio de Ciencia y Tecnología.

Supervisión y control

El Ministerio de Ciencia y Tecnología:

Infracciones y Sanciones

(Ver el diagrama)

Lo más grave que se reconoce en la ley son fallos en cuanto a la expedición de certificados reconocidos, salvo que lo de la garantía económica no es tan grave. Básicamente para reconocer una infracción muy grave veremos si son certificados reconocidos y seguidamente si ha incumplido:

Supongamos ahora que expiden certificados reconocidos pero no se han causado daños graves o no afecta a certificados de hace tres años y se incumple:

Supongamos ahora que no emite certificados reconocidos, solo certificados electrónicos:

Además son infracciones graves:

Para reconocer las leves hay que saber:

Aspectos técnicos de la firma electrónica

Manual de Supervivencia de la Administración Electrónica.

Los formatos de firma electrónica más habituales con los que se encontrará el usuario son los siguientes:

Formato XadES

Las siglas de XML Advanced Electronic Signature. Estándar desarrollado por el W3C. Se ha implementado como un conjunto de extensiones a las recomendaciones XML-DSig. Se está utilizando principalmente como formato de firma en los sistemas internos de la Administración. Herramientas:

Formato PKCS#7/CMS/CAdES

CMS para Cryptographic Message Syntax. Es el estándar del IETF que se basa en la sintaxis de PKCS#7. Se puede utilizar para firmar digitalmente, crear códigos resumen, autenticarse o cifrar cualquier tipo de información digital.

Criptografía

Funciones y códigos hash

Se trata de resumir una ristra de bytes de cualquier longitud en un código hash o digest que es el resultado de dicha función o algoritmo y que tiene la gran ventaja de ser prácticamente único para una combinación de bytes, y de disponer de una longitud fija. Según el algoritmo utilizado la probabilidad de colisión es prácticamente despreciable. Algoritmos:

Aplicaciones de este tipo de funciones:

PKCS

Una cosa son los certificados de clave pública X.509 que se guardan como DER, PEM o P7 y otra cosa el archivo que se exporta que contiene la clave privada, que ya es el formato PKCS#12 (El .p12 de la exportación de firefox).

PKCS#7

Estándar sobre la sintaxis del mensaje criptográfico. Usado para firmar y/o cifrar mensajes en PKI. También usado para la diseminación de certificados. No contiene datos privados como claves privadas.

PKCS#12

Estándar de sintaxis de intercambio de información personal. Se usa para intercambiar objetos públicos y privados dentro de un archivo. Define un formato de fichero usado comúnmente para almacenar claves privadas con su certificado de clave pública protegido mediante clave simétrica.

El DNI electrónico

Regulado por el Real Decreto 1563/2005 de 25 de diciembre, DNIe y sus certificados.

El documento nacional de identidad permite a los españoles

las siguientes funciones:

Todos pueden obtenerlo pero es obligatorio a partir de los 14 años.

La validez, a contar desde el momento de su expedición:

En el momento de la entrega se comunicará la siguiente información:

El chip incorporado a la tarjeta soporte contendrá:

     

Certificados reconocidos de autenticación y de firma y certificado electrónico de la autoridad emisora, que contendrán sus respectivos períodos de validez.

Claves privadas necesarias para la activación de los certificados mencionados anteriormente

En cuanto a la validez de los certificados:

     

 

Con independencia de lo que establece el artículo 6.1
 

30 meses

sobre la validez del documento nacional de identidad
 

los certificados electrónicos incorporados al mismo

tendrán un período de vigencia de

Recordar que la duración de la vigencia de los certificados reconocidos debía ser la que dictara la técnica en ese momento en cuanto a la seguridad de los algoritmos y nunca superior a cuatro años. En el dnie se ha optado por la curiosa cifra de 30 meses o dos años y medio. Será superior a la validez de cualquier dni.

Aspectos técnicos

El DNI-e contiene dos certificados X.509v3 de ciudadano (uno de autenticación y otro de firma) y las correspondientes claves privadas y claves públicas, que se generarán e insertarán durante el proceso de expedición del dni-e:

El DNIe no contiene ninguna otra información relativa a datos personales ni de cualquier otro tipo (sanitarios, fiscales, tráfico, etc.)

Hay que poner bien claro que un certificado recién generado como el de la FNMT no contiene en sí mismo la clave privada -aunque luego se pueda exportar desde el navegador certificado junto con clave privada- y que éstos son las tres patas importantes en los certificados, entendidos en general:

Diferenciemos (lo vemos luego también en X.509v3) el formato del certificado del almacén donde se encuentra. Puede ser:

Los certificados pueden ser generados siguiendo alguno de estos procedimientos:

X.509v3

Este es el formato de los certificados contenidos en el DNI electrónico, pero también el de los certificados de clave pública emitidos por la FNMT.

X.509 es un estándar UIT-T Error: No se encuentra la fuente de referencia para infraestructuras de claves públicas (PKI). Especifica, entre otras cosas, formatos estándar para certificados de clave pública y un algoritmo de validación de la ruta de certificación. Su sintaxis se define empleando el lenguaje ASN.1 (Abstract Syntax Notation One) y los formatos de codificación más comunes son DER (Distinguish Encoding Rules) o PEM (Privacy Enhanced Mail). Así pues distingamos:

En el sistema X.509 una AC emite un certificado asociando una clave pública a un Nombre Distinguido particular o a un nombre alternativo tal como una dirección de correo electrónico o una entrada de DNS.

La estructura es la siguiente -y vamos a ver el ejemplo con mi certificado-