Administraci

1
Administración de Certificados Digitales
Raymundo E Peralta Herrera Gerente de
Informática Banco de México
2
Codigo Civil Federal

• Se reconoce expresamente que el consentimiento en
  materia civil será expreso cuando la voluntad se
  manifieste, entre otros a través de medio
  electrónicos, ópticos o cualquier otra
  tecnología.
• Cuando se exija la formalidad por escrito este
  requisito se cumplirá tratándose de medios
  electrónicos, siempre que la información sea
  integra, atribuible a las personas obligadas y
  accesible para su ulterior consulta.
• Cuando se requiera que el acto se otorgue ante
  fedatario público, y éste se realizó mediante el
  uso de medios electrónicos dicho fedatario deberá
  hacer constar los elementos por los que se
  atribuye la información a las partes y conservar
  una versión íntegra para su ulterior consulta.

3
Codigo Federal de Procedimientos Civiles

• Se reconoce como prueba la información generada o
  comunicada en medios electrónicos, ópticos o en
  cualquier otra tecnología.
• Queda al prudente arbitrio del juez su valoración
  tomando en cuenta la fiabilidad del método para
  su generación, si es posible atribuirla a las
  personas obligadas y si es accesible para su
  ulterior consulta.
• Cuando la ley requiera que un documento sea
  conservado y presentado en su forma original,
  tratándose de medios electrónicos ese requisito
  se cumple si la información es integra y
  accesible para su ulterior consulta.

4
Codigo de Comercio (Comercio Electrónico)

• Se considera como mensaje de datos a la
  información generada, enviada, recibida,
  archivada o comunicada a través de medios
  electrónicos, ópticos o cualquier otra
  tecnología.
• Asimismo, señala que los contratos mercantiles
  celebrados a través de medios electrónicos se
  perfeccionan desde que se reciba la aceptación de
  la propuesta o las condiciones con que ésta fuere
  modificada.
• Establece la presunción de que el mensaje de
  datos proviene del emisor si se usan medios de
  identificación, tales como claves o contraseñas
  de éste, o si es enviado por un sistema de
  información del propio emisor.
• Continúa...

5

• En cuanto al momento de recepción y lugar de
  expedición y recepción del mensaje de datos,
  establece las siguientes reglas
• Momento de recepción si el destinatario designó
  un sistema cuando ingreso a éste, si no se envió
  al sistema designado o no se ha designado, cuando
  el destinatario obtenga la información.
• Lugar se tendrá por expedido en donde el emisor
  tiene su domicilio y por recibido en el lugar
  donde el destinatario tenga el suyo.
• Por otra parte, los mensajes de datos que den
  nacimiento a derechos y obligaciones deben
  conservarse durante 10 años. Se requerirá que la
  información sea integra y accesible para su
  ulterior consulta.

6
Cómo se pueden usar las firmas electrónicas?

• Sobra decir que al hablar de medios
  tecnológicos estamos hablando implícitamente de
  modelos matemáticos, ya que toda la tecnología
  está basada en los métodos de la ingeniería y de
  la física por la tanto en los métodos de las
  matemáticas. Por esta razón suficiente con
  trabajar con la criptografía matemática.
• Para satisfacer los requerimientos de la ley
  necesitamos entender como usar la tecnología de
  llave pública-privada.
• La tecnológia de llave pública-privada nos
  ofrece
• dos claves matemáticamente relacionadas (un
  número infinito de ellas)
• la posibilidad de asociar un documento con un
  número que llamaremos firma electrónica usando
  una de las claves (clave privada) y un método de
  generación de firma que usa la clave privada
• la posibilidad de verificar la asociación
  anterior usando la otra clave (clave pública)
  junto con un método verificador de firma, y
• una probabilidad muy alta de que no es posible
  equivocarse al momento de realizar la
  verificación de la primera asociación si el
  proceso matemático fue realizado correctamente.

7

• Para usar este tipo de tecnología y satisfacer
  la ley es necesario relacionar a los individuos
  con las claves públicas (o con el método
  verificador de firma) y establecer que la llave
  privada (o método generador) permanezca en
  secreto.
• Para lograr este cometido se requiere
• que los usuarios generen en secreto las dos
  claves que estan matemáticamente relacionadas
• que una persona confiable cree un documento que
  relacione al dispositivo verificador de firmas y
  al usuario respectivo después de verificar que el
  usuario posee la clave privada. Es muy importante
  que este documento pueda viajar a través de
  medios tecnológicos y por lo tanto que satisfaga
  los requerimientos de la ley para que tenga
  validez y sea útil, o sea, debe ser atribuible a
  las personas obligadas y se debe conservar una
  versión integra y accesible para su ulterior
  consulta. Al documento lo llamaremos Certificado
  Digital.

8

• Las matemáticas nos dicen que las claves que se
  usan para generar las firmas están relacionadas
  por parejas, esto quiere decir que si tenemos dos
  parejas distintas de llaves no podemos
  intercambiar el papel de las llaves entre ellas.
  Ejemplo si (A, B) es un par de llaves
  relacionadas y (C, D) es otro par, lo que se
  quiere decir es B verifica las firmas generadas
  con A y D verifica las firmas generadas con C,
  no podemos crear las parejas (C, B) o (A, D) y
  que B verifique las firmas de C y D verifique las
  firmas de A.
• Se debe garantizar que no se dé la situación en
  donde dos personas distintas entén asociadas con
  el mismo dispositivo verificador.
• Contar con un sistema tecnológico que nos permita
  administrar los Certificados Digitales y
  satisfacer las propiedades de accesibilidad,
  integridad.
• Como la clave privada debe permanecer en secreto
  es necesario garantizar que los métodos
  matemáticos utilizados sean realizados
  correctamente.

9
Propiedades del sistema que administre los
dispositivos verificadores de firmas

• Garantizar que cada clave pública sea asociada a
  un único individuo.
• Mantener a la disposición del los usuarios todos
  los Certificados Digitales que relacionan a los
  individuos con las claves públicas inalterados y
  accesibles para su ulterior consulta.
• Ofrecer un mecanismo para poder atribuir todos y
  cada uno de los documentos firmados
  electrónicamente a las personas obligadas, en
  cualquier parte de Internet.
• Dar a conocer la primera clave pública de forma
  amplia a través de un Certificado Digital
  autofirmado. Este primer paso es fundamental para
  poder establecer un sistema confiable.
• Usando la clave privada asociada a la primer
  clave pública, generar Certificados Digitales que
  relacionen a los usuarios con dispositivos
  verificadores de tal forma que todos los usuarios
  puedan generar documentos electrónicos firmados
  que sea posible verificar.

10
Esquema para la administración de Certificados
Digitales.

• Debe ser un sistema automatizado.
• El Certificado Digital raiz del sistema se debe
  conocer ampliamente por medios electrónicos y no
  electrónicos.
• Debe generar Certificados Digitales para las
  personas que tendrán la capacidad de generar a su
  vez Certificados Digitales de usuarios. A estas
  personas les podemos llamar Agentes
  Certificadores.
• Debe generar Certificados Digitales para las
  personas que tendrán la responsabilidad de
  guardar los Certificados Digitales de los
  usuarios inalterados para su consulta posterior.
  A estas les podemos llamar Agentes Registradores.
• El responsable del Certificado Digital raiz debe
  mantener un registro público y accesible de los
  Certificados Digitales de los Agentes.
• Establecer un mecanismo práctico para que estén
  disponibles los programas de computadora
  necesarios para generar las claves, Certificados
  Digitales y firmas de documentos que minimice la
  posibilidad de fraude al nivel de la programación
  básica.