Académique Documents
Professionnel Documents
Culture Documents
Firma Digital.
Nociones. Definiciones. Problemática Jurídica.
Dr. Julio E. Blajean
I – INTRODUCCIÓN
1. Firma digital
Las redes abiertas como Internet revisten cada vez mayor importancia para la
comunicación mundial. Esas redes permiten una comunicación interactiva entre
interlocutores que no necesariamente han entablado previamente relación
alguna. Ofrecen asimismo nuevas posibilidades empresariales, creando
herramientas que mejoran la productividad y reducen los costos, así como
nuevas formas de llegar al cliente. Las redes están siendo utilizadas por
empresas que desean aprovechar los nuevos tipos de actividad y nuevas
formas de trabajo, como el tele trabajo y los entornos virtuales compartidos.
También las administraciones públicas las utilizan en su gestión interna y en su
interacción con empresas y ciudadanos. El comercio electrónico brinda al país
una excelente oportunidad para avanzar en su interacción económica con las
naciones del resto del mundo.
Para aprovechar todas las posibilidades resulta indispensable un mecanismo
que permita asegurar con un alto grado de probabilidad la identidad del autor
de un documento (autenticación de la autoría) así como comprobar que dichos
datos no han sufrido alteración desde que fueron firmados (integridad). Para
ello han sido diseñados distintos tipos de soluciones, que van desde algunos
muy sencillos como la inserción de la imagen escaneada de una firma
manuscrita en un documento creado con un procesador de texto, a otros muy
avanzados como la firma digital que utiliza la ―criptografía de clave pública‖.
Existe acuerdo a nivel mundial de que la firma digital basada en la criptografía
de clave pública constituye en la actualidad el único mecanismo que permite
resolver las cuestiones planteadas. En este sentido, se coincide en forma casi
unánime que el término firma digital debe reservarse para aquel mecanismo
que se basa en la criptografía y en la clave pública.
3. El documento y la firma.
3.2.1 Integridad
Significa que la información no carece de ninguna de sus partes, que no ha
sido modificada. La integridad es una cualidad imprescindible para otorgarle
efectos jurídicos a la información. La firma digital detecta la integridad de la
información que fuera firmada, en forma independiente al medio de su
almacenamiento.
3.2.2 Inalterabilidad
Significa que la información no se puede alterar. Ya que la información siempre
puede ser alterada, la inalterabilidad no se refiere a la información en sí, sino a
su medio de almacenamiento. La firma digital no impide que la información sea
alterada, sino que detecta si se ha producido alguna alteración. La
inalterabilidad del medio de almacenamiento no asegura la integridad de la
información: El disco digital ―CD – ROM‖, por ejemplo es un medio de
almacenamiento gravable una sola vez, por lo que impide que se altere la
información que en él ha sido grabada, pero no impide que esa información sea
alterada y copiada a un segundo CD – ROM que luego sustituya a su original.
3.2.3 Perdurabilidad
Significa que la información perdura en el tiempo y es una cualidad del medio
de almacenamiento. La información que debe perdurar en el tiempo debe ser
archivada en un medio perdurable. La inalterabilidad del medio de
almacenamiento es ortogonal a (desconexa de) la perdurabilidad de la
información: por ejemplo en la antigua informática, la ―tarjeta perforada‖ de
cartón es un medio inalterable porque no es reperforable, pero no demuestra
buenas características de perdurabilidad por su sensibilidad a la humedad y a
los roedores. Por otro lado, el disco rígido de una computadora no es un medio
inalterable de almacenamiento, pero demuestra excelentes características de
perdurabilidad cuando opera como parte de un banco de discos, si la
información se almacena con suficiente redundancia y si los disco tienen un
tiempo promedio entre fallas del orden de 350.000 horas (40 años).
4. Tecnologías a utilizar
Se ha prestado eventual atención a que las tecnologías a utilizar en el eventual
desarrollo del sistema reúnan las más completas garantías en los aspectos de
seguridad, de acuerdo con el estado del arte actual en el campo de la
criptografía civil.
Los métodos y algoritmos usados más importantes son los siguientes:
-Algoritmo de firma digital: se adopta el algoritmo RSA, por su compatibilidad
con los estándares internacionales y porque ha resistido exitosamente los
intentos de criptoanálisis desde su invención. Se desconoce una forma de
ataque mas sencilla que la factorización del módulo.
-Algoritmo de hashing: se adopta el algoritmo MD5, para el que se desconocen
modos de ataque más simple que el de ―fuerza bruta‖. Hallar un mensaje que
arroje un valor dado requiere 2128 intentos (3.428 x 1038 ), en tanto que hallar
dos mensajes al azar que arrojen un mismo valor de hash requiere 264 intentos
(1.8447 x 1019).
-Generación de números al azar: se utiliza el generador de residuos
cuadráticos o BBS, que tiene la especial fortaleza de ser impredecible ―a
derecha e izquierda‖.
-Algoritmo de encriptación simétrica: se adopta el algoritmo IDEA. Aunque de
reciente invención este algoritmo ha demostrado ser resistente a diferentes
formas de ataque por fuerza bruta. Un ataque de fuerza bruta requiere 2128
intentos, este algoritmo esta registrado en el ISO Register of Cryptographic
Algoritmhs‖, ISO 9979/0002.
-Algoritmo de determinación de números primos: se adopta un algoritmo
probabilístico de alta convergencia, procurando asegurar que la probabilidad de
generar un falso número primo sea inferior a 1 en 232 ( 1 en 4 000 000 000).
-Protección de claves: las claves para encriptación (simétricas) se utilizan en
una sola sesión de comunicación, por consiguiente, no quedan almacenadas
en modo accesible en ningún archivo, su uso es transitorio y luego de utilizadas
se descartan, las claves públicas, como es evidente no necesitan protección,
los datos que necesitan un fuerte esquema de protección son las claves
privadas y las ―semillas‖ generadoras de números primos y números al azar,
para ello, se preveen diversos esquemas de protección: en la aplicación
―cliente‖, los datos sensitivos se alojan en archivos encriptados; en lugar de
II –ANTECEDENTES
1. Antecedentes Nacionales.
En nuestro país la iniciativa nace en el seno del Estado Nacional,
aproximadamente en 1996. A partir de entonces se ha sucedido un trabajo
admirable en la Secretaría de la Función Pública, que se refleja en las
numerosas disposiciones y estructuras que se han creado. Gracias a ello es
que en el ámbito de la administración pública nacional desde hace tiempo se
utiliza la firma digital. Y debe destacarse el esfuerzo realizado por el Ministerio
de Justicia, la Jefatura de Gabinete y, en el ámbito privado, la colaboración del
Consejo Federal de Notariado Argentino y del Colegio de Escribanos de la
Capital Federal.
La Comisión Nacional de Valores (CNV), desde hace tiempo está aplicando
tanto las disposiciones de la firma digital como la presentación de
documentación en forma digital.
Ha habido por un lado experiencias prácticas en el Estado en el seno de la
Secretaría de la Función Pública, y por el otro, numerosas iniciativas, entre
ellas, el proyecto elaborado por el PEN, proyecto que puede considerarse
como la base de las iniciativas legislativas mencionadas en la ley mencionada.
Finalmente el proyecto del nuevo Código Civil prevé tanto el documento digital
como la firma digital. El artículo 264°, trata de los instrumentos particulares,
donde los describe e incluye el escrito si no está firmado pues si lo está, lo
denomina instrumento privado (art. 265°).
En cuanto a la firma expresa en su artículo 266° lo siguiente: la firma prueba la
declaración de voluntad expresada en el texto al cual corresponde. Debe ser
manuscrita y consistir en el nombre del firmante o en un signo. Escritos del
modo en que habitualmente lo hace a tal efecto. En los instrumentos generados
por medios electrónicos, el requisito de la firma de una persona queda
satisfecho si se utiliza un método para identificarla y ese método asegura
razonablemente la autoría e inalterabilidad del instrumento.
2. Antecedentes internacionales.
1. La Ley.
1.7. Implicancias legales: firma manuscrita sobre un papel vs. firma digital:
La firma manuscrita tiene validez jurídica en nuestra sociedad y cultura pues en
la tradición de su uso se la considera segura para identificar aceptablemente
(aunque no inequívocamente) el autor de un documento.
Además se dice que asegura la integridad del contenido de ese documento.
Esto es cierto parcialmente. Algunas normas del Código Civil atribuyen el
reconocimiento de la firma, el del documento en el que está inserta, pero en
verdad, se podría reconocer la firma desconociendo el texto, esto ocurre a
menudo cuando han existido alteraciones.
El informe de la Comisión Redactora del anteproyecto de Ley de firma digital,
dice que ello es así sólo cuando se cumplen las siguientes condiciones:
v el documento está escrito con tinta indeleble y en soporte papel absorbente,
tal que una enmienda o raspadura que altere la información escrita sea visible y
evidente.
v el documento posee márgenes razonables que contienen los renglones
escritos, tal que cualquier escritura adicional sea visible y evidente.
2. La Infraestructura.
La firma digital requiere de una infraestructura que sirva para la emisión de los
certificados digitales, establezca estándares tecnológicos y los actualice,
supervise la emisión de certificado digital y que hasta aplique sanciones.
Básicamente la estructura está constituída por un certificador licenciado, de
una Autoridad de Aplicación (Jefatura de Gabinete), y sometido a un régimen
de auditoría y sanciones. Una Comisión Asesora asistirá a la Autoridad de
Aplicación en todo lo relativo a la aplicación de la ley.
2.7. Responsabilidad.
En este capítulo se trata de la responsabilidad que le cabe al certificador
licenciante. Nuevamente con el afán reglamentarista, la ley incurre en
redundancias como las del artículo 37°.
Convenio de partes. La relación entre el certificador licenciado que emita un
certificado digital y el titular de ese certificado se rige por el contrato que
celebren entre ellos, sin perjuicio de las previsiones de la presente ley y demás
legislación vigente.
Lo mismo puede decirse del artículo 38° donde hace responsable al certificador
ante terceros por los errores u omisiones que cometiera en el ejercicio de sus
funciones. Se incluye al término de este capítulo una limitación de
responsabilidad que debe ser revisada a la luz de las normas de la Ley de
Defensa al Consumidor pero que dependen básicamente de lo que consignen
en sus condiciones de emisión y aún por inexactitudes de la información
suministrada por el titular, siempre que haya adoptado los recaudos
razonables.
Archivos Digitales
Dec. Administrativa Nº 43/96 - JGM
Reglamenta los archivos digitales. Establece como órgano rector a la
Contaduría Gral. de la Nación.
Ley Nº 24.624 (Art.30)
Autoriza el archivo y conservación en soporte electrónico u óptico indeleble de
la documentación financiera, de personal y de control de la Administración
Pública Nacional.
6. Propiedad Intelectual
Ley N° 11.723
Propiedad Intelectual. Régimen legal.
Decreto N° 165/94
Precisase un marco legal de protección para las diferentes expresiones de las
obras de software y base de datos, así como sus diversos medios de
reproducción.
Dr. Julio E. Blajean Página 28 de 57
Ley N° 25.036
Modifica la ley 11.723, incluye la protección de la propiedad intelectual sobre
programas de computación fuente y objeto, las compilaciones de datos o de
otros materiales. Penaliza la defraudación de derechos de propiedad
intelectual.
Ley N° 25.326
Protección de Datos Personales. Regula sobre principios generales relativos a
la protección de datos, derechos de los titulares de dato de usuarios y
responsables de archivos, registros y bancos de datos.
7. Confidencialidad
Ley Nº 24.766
Establece la obligación de abstenerse de usar y revelar la información sobre
cuya confidencialidad se hubiera prevenido.
V – BALANCE FINAL
La ley adolece de defectos de técnica legislativa que se hubieran evitado de
haber encargado la redacción a un especialista.
También de excesivo reglamentarismo y detallismo, repeticiones, poca
claridad, en fin, una ley desbalanceada.
Y en cuanto al título, esta ley debería llamarse ley de firma y documento digital,
y no sólo de firma digital.
El esfuerzo en la preparación y sanción de la ley ha puesto un fuerte acento en
la seguridad. Esto es muy destacable, pero hay que recordar que tampoco en
el mundo real la seguridad es óptima, más en nuestro país. En un momento en
que los documentos de identidad falsificados se compran por muy poca plata,
dónde se falsifican y hasta se inscriben escrituras públicas y sentencias
judiciales, donde el drama no está en la seguridad del ‗pin‘ del cajero
automático, sino en no ser asaltado al cobrar, tampoco podría pretenderse
mucho más.
España
La situación legislativa en torno a la firma electrónica (firma digital, en
Argentina) ha estado marcada inevitablemente por el Real Decreto Ley 14/99
de 17 de septiembre, sobre Firma Electrónica. Con la promulgación de esta
norma, España se convirtió en uno de los primeros países en regular la
materia, adelantándose incluso a la entonces inminente Directiva sobre firma
electrónica, materializada finalmente en la Directiva 1999/93 CE de 13 de
diciembre de 1999.
Esta regulación, tal vez, apresurada no fue sin duda la mejor manera de acabar
con la posible incertidumbre que pudiera generar la utilización de la firma
electrónica y los certificados digitales, ni por la técnica legislativa empleada (el
real Decreto), ni por el contenido del texto en sí mismo, plagado de
imprecisiones. Además, la ausencia del desarrollo reglamentario que la norma
requiere para su efectiva aplicación tampoco contribuyó a potenciar el
crecimiento del sector.
El 19 de diciembre de 2003 fue aprobada la tan esperada Ley de Firma
Electrónica, cuya entrada en vigor fue el 20 de marzo de 2004. (B.O.E. número
304, de 20 de diciembre de 2003).
Es éste un aclamado proyecto, loado por haber ―seguido, con buen criterio, una
línea continuista‖ en relación con la legislación anterior, pero que sin embargo
trae pareja grandes dosis de innovación y buenas ideas.
Cabe destacar la acertada revisión terminológica y sistemática que sobre el
texto legal se ha realizado. A lo largo de sus 36 artículos, la nueva Ley
posibilita una mejor comprensión del texto legal, proporcionando a su vez una
estructura ―más acorde con nuestra técnica legislativa‖.
Alemania:
Ha legislado sobre la materia de la firma digital y permite la validación
documental mediante instituciones de servicios de certificación. También ha
elaborado un catálogo de medidas de seguridad adecuados y se prevé la
consulta pública sobre los aspectos de la firma digital y los documentos
firmados digitalmente.
Australia:
Prevé la creación de una infraestructura de firma digital que asegure la
integridad y autenticidad de las transacciones efectuadas en el ámbito
gubernamental y en su relación con el sector privado. Contempla también la
Bélgica:
En su Ley de telecomunicaciones, regula el régimen voluntario de declaración
previa para los certificadores de clave pública.
Existen proyectos de ley sobre los certificadores de clave pública relacionados
con la firma digital, modificación del Código Civil en materia de prueba digital y
utilización de la firma digital en los ámbitos de la seguridad social y la salud
pública.
Brasil:
Ha elaborado un proyecto de ley sobre creación, archivo y utilización de
documentos electrónicos.
Chile:
El 25 de marzo de 2002 se promulgó la ley de Firma Digital y Documento
Electrónico, en esa oportunidad el Presidente Lagos dijo: ―esta Ley crea las
bases para que toda contratación se haga por medios informáticos, permitiendo
reducir los costos de transacción con mayor eficiencia y productividad, con los
resguardos necesarios para evitar acciones que puedan alterar la confianza
pública‖.
Esta Ley incentiva el comercio electrónico al otorgar seguridad jurídica y
técnica en la celebración de transacciones telemáticas, al resolver el principal
obstáculo que presentan, cual es la falta de certeza de la identidad de la
contraparte y de la posibilidad de repudio y de falta de integridad del
documento.
De esta manera, en cuanto a la seguridad técnica, se establece requisitos para
que se pueda otorgar firma electrónica avanzada, se regula a los prestadores
de servicios de certificación acreditados de dichos prestadores por parte de la
Subsecretaría de Economía.
En cuanto a la seguridad jurídica, junto con reconocer la validez de los actos y
contratos celebrados por medio electrónicos así como su valor probatorio, se
establece normas especiales de responsabilidad de los certificadores por el
manejo de información que tienen.
La ley de firma digital nació como un proyecto del Ministerio de economía, que
contó con el apoyo de todos los sectores políticos para su perfeccionamiento,
fue aprobada el 15 de enero de 2002 por unanimidad en el Senado.
Colombia:
Proyecto de ley que define y reglamenta el acceso y uso del comercio
electrónico, firmas digitales y autoriza los certificadores de clave pública.
Finlandia:
Tiene elaborados dos proyectos de ley: uno de intercambio electrónico de
datos en la administración y los procedimientos judiciales administrativos y otro
que establece a la Oficina del Censo como certificador de clave pública.
Francia:
Ley de Telecomunicaciones (decretos de autorizaciones y exenciones): -
suministro de productos de firma digital sujeto a procedimiento de información;
- libertad de uso, importación y exportación de productos y servicios de firma
digital.
Existe una normativa sobre utilización de la firma digital en los ámbitos de la
seguridad social y la sanidad pública.
Respecto de la encriptación y firma digital en Francia, al igual que en China, se
prohibe el uso de mensajes cifrados.
Estados Unidos:
En el ámbito del Gobierno Federal:
*Iniciativa sobre la creación de una infraestructura de clave pública para el
comercio electrónico.
*Ley Gubernamental de Reducción de la Utilización de Papel, que autoriza la
utilización de documentación electrónica en la comunicación entre las agencias
gubernamentales y los ciudadanos, otorgando a la firma digital igual validez
que la firma manuscrita.
*Ley que promueve la utilización de documentación electrónica para la remisión
de declaraciones de impuesto a las ganancias.
*Proyecto piloto del IRS (Dirección de Rentas) para promover la utilización de
la firma digital en las declaraciones impositivas.
*Proyecto de ley Firma Digital y Autenticación Electrónica para instituciones
financieras.
*Se destaca la Ley de Firma Digital del Estado de Utah, que fue el primer
estado en legislar el uso comercial de la firma digital. Regula la utilización de
criptografía asimétrica y fue diseñada para ser compatible con varios
estándares internacionales. Prevé la creación de Certificadores de clave
pública licenciados por el Departamento de Comercio del Estado. Además,
protege la propiedad exclusiva de la clave privada del suscriptor del certificado,
por lo que su uso no autorizado queda sujeto a responsabilidades civiles y
criminales.
Italia:
Su ley general de reforma de los servicios públicos y simplificación
administrativa contempla al principio del reconocimiento legal de los
documentos digitales.
Elaboró un decreto de creación, archivo y transmisión de documentos y
contratos digitales e están en preparación un decreto regulador de productos y
servicios y otro sobre las obligaciones fiscales derivadas de los documentos
digitales.
Malasia:
Ha aprobado una ley de firma digital, que otorga efecto legal a su utilización y
regula el licenciamiento de los certificadores de clave pública, y ha desarrollado
un proyecto piloto de desarrollo de infraestructura de firma digital.
Países Bajos:
Se encuentra en preparación un régimen voluntario de acreditación para los
certificadores de clave pública y un Proyecto de ley de modificación del Código
Civil.
Reino Unido:
Contempla la concesión de licencias voluntarias a los certificadores de clave
pública y reconocimiento legal de la firma digital, en diversos proyectos
legislativos.
ANEXO I
SISTEMAS CRIPTOGRÁFICOS
50 2 min. 20 seg.
ANEXO II
Ley 25.506
Consideraciones generales. Certificados digitales. Certificador licenciado.
Titular de un certificado digital. Organización institucional. Autoridad de
aplicación. Sistema de auditoría. Comisión Asesora para la Infraestructura de
Firma Digital. Responsabilidad. Sanciones. Disposiciones Complementarias.
Sancionada: Noviembre 14 de 2001.
Promulgada de Hecho: Diciembre 11 de 2001.
El Senado y Cámara de Diputados de la Nación Argentina reunidos en
Congreso, etc. sancionan con fuerza de Ley: