JURÍDICO LATAM
Doctrina
Título:Firma digital con custodia centralizada de claves criptográficas. Análisis del mercado de firma digital en Argentina
Autor:Guini, Leonor
País:
Argentina
Publicación:SAIJ
Fecha:23-03-2021 Cita:IJ-I-LXXV-504
Índice Voces Citados Relacionados Ultimos Artículos
Sumarios

Este artículo tiene por objeto centrarnos en el estudio de la firma digital con custodia centralizada de claves criptográficas o firma digital en modalidad remota conforme así lo autoriza la Resolución N° 86/20 de fecha 29 de octubre de 2020 proveniente de la Secretaría de Innovación Pública dependiente de la Jefatura de Gabinete de Ministros. Como así mismo explicar sus antecedentes y funcionamiento para lograr su comprensión por parte del solicitante o suscriptor. El artículo concluye con el análisis del mercado de firma digital ante la falta de reglamentación de los restantes servicios prestados por los terceros de confianza o PSC enumerados en el art. 36 del Decreto N° 182/19.
Conforme la Resolución en estudio, los certificadores licenciados que están autorizados por la Autoridad de Aplicación para emitir firma con custodia centralizada de claves (FDCCCC) son considerados como "Prestadores de Servicios de Confianza". Dicha circunstancia surge del art. 36 del Decreto N° 182/19 reglamentario de la ley de firma digital, el cual establece que se entiende por "Servicio de Confianza" al servicio electrónico prestado por un tercero de confianza relativo a: 1. La conservación de archivos digitales, 2. La custodia de declaraciones de voluntad realizadas en formato electrónico, contratos electrónicos, y toda otra transacción que las partes decidan confiar a un tercero depositario, 3. La notificación fehaciente de documentos electrónicos, 4. El depósito de declaraciones de voluntad realizadas en formato electrónico, 5. La operación de cadenas de bloques para la conservación de documentos electrónicos, gestión de contratos inteligentes y otros servicios digitales, 6. Los servicios de autenticación electrónica, 7. Los servicios de identificación digital, 8. Otras prestaciones que determine el Ente Licenciante.
Asimismo, el artículo 37 determina que podrán brindar servicios de confianza las personas humanas, jurídicas, consorcios, entes públicos, entes públicos no estatales, de acuerdo a los procedimientos, estándares y condiciones que determine la Secretaría de Modernización Administrativa de la Secretaría de Gobierno de Modernización de la Jefatura de Gabinete de Ministros.
Por lo que todos aquellos certificadores licenciados que deseen prestar el servicio de firma digital con custodia centralizada de claves (FDCCCC) deberán adecuar sus políticas de certificación a los fines de la prestación de este servicio y serán considerados a dichos fines y efectos como "Prestadores de Servicios de Confianza" en lo atinente a la prestación de servicios de identificación digital y de autenticación electrónica.
No debemos perder de vista que los referidos "Prestadores de Servicios de Confianza" componen la Infraestructura de Firma digital de la República Argentina (IFDRA) conforme surge del art. 4 del Decreto N° 182/19.
Finalmente la firma digital emitida con custodia centralizada de claves criptográficas es un servicio prestado por un Certificador Licenciado a través de su plataforma de firma digital remota y es considerado como un servicio de confianza dentro de la IFD RA.


Antecedentes Normativos
Que se entiende por firma digital remota
Por qué es necesaria la firma digital remota?
Antecedente: Plataforma de firma digital remota del Ministerio de Modernización
Emisión de firma digital con custodia centralizada de claves criptográficas por prestadores de servicios de confianza: Requisitos
Análisis del Mercado de firma digital en Argentina
Notas

Firma digital con custodia centralizada de claves criptográficas

Análisis del mercado de firma digital en Argentina

Leonor Guini*

Antecedentes Normativos [arriba] 

El Decreto N° 182/19 en su artículo 4° substituye el art. 13 del Decreto N° 1063/16, estableciendo que el GDE o sistema de Gestión documental electrónica permite la firma digital de los documentos electrónicos con las siguientes modalidades:

Firma digital remota: se utiliza para firmar digitalmente todo tipo de documento electrónico incluyendo actos administrativos. (Firma asociada a los certificados que emite la Autoridad Certificante del Ministerio de Modernización).

Firma digital con dispositivo criptográfico externo: se utiliza para firmar digitalmente todo tipo de documento electrónico incluyendo actos administrativos (Firma asociada a los certificados que emite la ONTI en su carácter de Autoridad Certificante del Estado conforme su Política de Certificación (Res SMA N° 02/19)(1).

Firma digital con certificado del sistema: se utiliza para firmar documentos electrónicos, excepto actos administrativos, como dictámenes, informes, comunicaciones oficiales, etc.

Estos 3 tipos de firma digital gozan de plena validez en virtud de lo dispuesto en el artículo 9° de la Ley N° 25.506 y su modificatoria, asegurando indubitablemente la autoría e integridad del documento electrónico firmado digitalmente.

Que se entiende por firma digital remota [arriba] 

La evolución de las TICs hacia entornos basados en el Cloud Computing y la movilidad, está cambiando los paradigmas preestablecidos respecto a la Firma digital y a la Identidad Digital, creando a su vez un abanico de servicios relacionados.

Conceptos como la Firma Remota, la Gestión centralizada de claves, la Firma en Movilidad, la Firma Digitalizada, la Custodia de documentos a largo plazo y los nuevos escenarios creados por el desarrollo de la Administración Electrónica y sus normas de aplicación, especialmente en lo relativo a la adecuación de los Esquemas Nacionales de Interoperabilidad y Seguridad, están haciendo evolucionar los recursos de PKI(2) de un contexto basado en aplicaciones distribuidas hacia un elemento crítico de infraestructura y el consumo de servicios de Firma digital Centralizada.

La tecnología en la nube se extiende al campo de la autenticación y por eso se habla de firma "en cloud". En realidad hablamos de un software como servicio "as a service" que permite al usuario trabajar con determinadas aplicaciones y programas sin necesidad de instalarlos en nuestro equipo. Así aumenta la usabilidad de la aplicación a la cual se puede acceder desde cualquier dispositivo.

Por qué es necesaria la firma digital remota? [arriba] 

Si bien la identificación electrónica parece que está relativamente resuelta, sin embargo, la firma digital supone una barrera en el uso de muchos procedimientos electrónicos que están a disposición de los ciudadanos.

Habitualmente a los administrados o usuarios se les plantean los siguientes problemas cuando debemos utilizar firma digital:

a) inconvenientes a la hora de gestionar e instalar correctamente el software y/o hardware en algunas situaciones.

b) La firma digital con terminales móviles, como smartphones o tablets, a fecha de hoy no es muy usada o la tecnología está poco madura y surgen inconvenientes especialmente con la gestión e instalación de los certificados electrónicos en telefonía móvil o bien en encontrar lectores de tarjeta criptográficas que sean compatibles con estos dispositivos.

En el caso de firma digital centralizada o en la nube el proveedor de servicio (o recomendablemente un tercer actor) será el responsable de la gestión y custodia de los certificados de firma. Al realizar la firma el interesado expresará su voluntad (por ejemplo con una contraseña y un código OTP(3) generado en el momento y enviado a un dispositivo móvil). En ese momento se desencadenará la firma del documento en el servidor ("nube") de tal forma que el certificado electrónico nunca saldrá del servidor custodio. El responsable de la custodia de los certificados debe ser una entidad de confianza que debe cumplir con las garantías de seguridad necesarias.

Antecedente: Plataforma de firma digital remota del Ministerio de Modernización [arriba] 

La firma digital remota emitida por la Autoridad Certificante del Ministerio de Modernización implica la disponibilización de los certificados y de los datos de creación de firma en un servidor exclusivo administrado por el Estado y situado en nuestro territorio, conforme los estándares tecnológicos y operativos que establece la Autoridad de Aplicación de la IFD RA.

La plataforma de firma digital remota conforme al Decreto N° 892/2017, es administrada exclusivamente por el Ministerio de Modernización y, suministrada en forma gratuita utilizando los procedimientos de firma y verificación establecidos por la Autoridad de Aplicación de la IFD RA(4).

Los certificados de firma digital asociados al uso de firma digital remota serán emitidos por la Autoridad Certificante dependiente del Ministerio de Modernización (AC Modernización PFDR), conforme su Política Única de Certificación.

Asimismo, la Autoridad Certificante del Ministerio de Modernización que utiliza la Plataforma de Firma Digital Remota, (AC modernización PFDR), licenciada mediante Resolución N° 13/2018; establece que los solicitantes o suscriptores de certificados deberán contar con un teléfono móvil "inteligente" e instalar una aplicación OTP (One Time Password) para que junto con otros factores de autenticación puedan lograr firmar en forma digital desde cualquier dispositivo, eliminando las barreras de los dispositivos comúnmente utilizados.

Los suscriptores de esta Política de Certificación son las personas físicas(5) humanas, que requieran un certificado digital para firmar digitalmente cualquier documento o transacción, pudiendo ser utilizados para cualquier uso o aplicación, como así también para autenticación o cifrado. También podrán ser suscriptores los funcionarios, agentes o personas que se desempeñen en el Sector Público y los particulares que interactúen con las aplicaciones del Estado.

Emisión de firma digital con custodia centralizada de claves criptográficas por prestadores de servicios de confianza: Requisitos [arriba] 

La Resolución de la (ex) SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA N° 63 del 8 de junio de 2018 establecía que a partir de la creación de la Plataforma de Firma Digital Remota dispuesta por el Decreto N° 892/2017, sólo estarían homologados para la creación de firmas digitales de personas los dispositivos de creación de firma por hardware y los dispositivos de creación de firma utilizados por dicha Plataforma de Firma Digital Remota, obligando a los Certificadores Licenciados que no se ajustaran a ello a adecuar sus sistemas de gestión en un plazo de noventa (90) días, ocasionando reclamaciones administrativas y judiciales.

Lo que significaba que únicamente podía emitir firma digital remota el Ministerio de Modernización a través del uso de su plataforma de firma digital remota, los demás certificadores sólo podían emitir firma digital por hardware.

Sin embargo, la Resolución del (ex) MINISTERIO DE MODERNIZACIÓN N° 399 del 5 de octubre de 2016, en su Anexo III, "Perfiles de los Certificados y de las Listas de Certificados Revocados", en el punto 2.3.11 "Declaración del certificado cualificado" estableció un OID(6) específico para los casos en que las claves sean generadas por software (generación de claves del suscriptor por software), por lo que se entiende que ya se contemplaba la posibilidad a futuro de abrir el juego y permitir este tipo de firma en régimen de libre competencia y con los controles y auditorías a los que está sujeto todo integrante de la IFD RA.

Lo que aceleró el proceso fue indudablemente la expansión del uso de firma digital como consecuencia de la pandemia y el constante avance de la tecnología, provocando como consecuencia que la Resolución N°63 quedara sin efecto y que entre en vigencia la Resolución N° 86/20 de la Secretaría de Innovación Pública dependiente de Jefatura de Gabinete de Ministros, que regula la Provisión del servicio de firma digital con custodia centralizada (firma digital remota) por parte de los certificadores licenciados del Sector Privado en régimen de libre competencia.

Por lo que los Certificadores Licenciados de Firma Digital de naturaleza privada podrán proveer el servicio de firma digital con custodia centralizada de claves criptográficas, permitiendo tanto su generación como la realización del proceso de firma digital, el que deberá operar utilizando un sistema técnicamente confiable y seguro conforme los lineamientos establecidos en la Ley N° 25.506 y modificatorias, cumpliendo con las normas de seguridad acordes a estándares internacionales y de auditoría establecidas por la Autoridad de Aplicación, debiendo adaptar los documentos presentados al momento de su licenciamiento, los que deberán ser aprobados por parte de la Autoridad de Aplicación.

La Resolución N° 86/20 en estudio se funda en uno de los principios fundamentales de la ley N° 25.326, que es el principio de libre competencia y de libre participación en el mercado entre todos los prestadores de firma digital, estableciendo los siguientes requisitos técnicos:

La provisión del servicio de firma digital con custodia centralizada deberá ser brindado por prestadores de servicios de confianza en el marco de lo establecido en el artículo 36 del Capítulo V del Anexo al Decreto N° 182/2019, que cuenten con una licencia habilitante que les confiera el carácter de Certificador Licenciado dentro de la Infraestructura de Firma Digital de la República Argentina (IFDRA).

El dispositivo criptográfico de creación de claves del prestador de servicios de confianza debe cumplir con una certificación FIPS 140-2 nivel 3 o superior.

La clave privada del suscriptor debe ser generada en el módulo criptográfico del dispositivo criptográfico del prestador de servicios de confianza.

Para la creación de firmas digitales de personas humanas y jurídicas, los dispositivos de software utilizados por los Certificadores Licenciados no deberán permitir la exportación de los certificados con sus correspondientes claves privadas.

La generación de claves debe realizarse exclusivamente con datos de exclusivo conocimiento y control del suscriptor.

El sistema utilizado debe impedir técnicamente que el prestador de servicios de confianza tome conocimiento de las claves privadas de los suscriptores.

El dispositivo criptográfico de creación de claves del prestador de servicios de confianza debe ser independiente al dispositivo criptográfico del certificador licenciado de firma digital.

El proceso de creación de firma digital debe ser realizado en el módulo criptográfico del dispositivo criptográfico del prestador de servicios de confianza.

El prestador de servicios de confianza para el servicio de firma digital con custodia centralizada debe contar con un sitio principal y uno de contingencia para garantizar la continuidad del servicio.

El sitio de contingencia debe replicar al sitio principal contando con un dispositivo de creación de claves.

El sitio principal y el de contingencia deberán estar ubicados en territorio Argentino.

Los prestadores de servicios de confianza deberán tener su domicilio legal en la República Argentina.

Los certificadores licenciados que quieran expedir firma digital con custodia centralizada de claves o firma digital remota deben contar con una plataforma de firma digital remota.

Usos y Responsabilidades del Suscriptor de certificados con custodia centralizada de claves criptográficas. (FD CCCC).

El suscriptor de este tipo de certificados debe tomar debido conocimiento, a través del procedimiento previsto en cada caso, del contenido de la Política Única de Certificación del Certificador, del Manual de Procedimientos, del Acuerdo con Suscriptores, del Acuerdo de Utilización de la Plataforma de Firma Digital Remota y de cualquier otro documento aplicable.

Debe saber que para gestionar este tipo de Certificado de Firma Digital ante la Autoridad de Registro donde se va a identificar deben contar con:

-Usuario y Contraseña para ingresar a la plataforma de firma digital remota con custodia centralizada de claves del certificador licenciado elegido.

-Código OTP que se obtiene a través de la Aplicación descargada en su teléfono inteligente.

-PIN necesario para generar la Firma.

-Un Correo Electrónico al que se le va a notificar la emisión del Certificado de Firma Digital y el Código de Revocación.

El suscriptor debe comprender que desde la plataforma de firma Digital Remota del certificador licenciado, podrá firmar digitalmente archivos de cualquier tipo en formato PDF. El documento o archivo firmado no queda guardado en la Plataforma de firma digital remota. Un código Hash del documento a firmar creado en el dispositivo donde el usuario tiene el documento es enviado a la plataforma de firma digital remota .El proceso de firma finaliza una vez que el documento es firmado y, devuelto al dispositivo del usuario que puede ser un teléfono celular o PC, para luego ser descargado y ser pasible de verificar su integridad.

Se asegura la identidad del firmante ya que cada vez que el suscriptor firma el documento, se utilizan tres factores de autenticación, (usuario y contraseña, OTP y PIN), exclusivos para validar las credenciales del usuario y demostrar que, efectivamente, es quien dice ser a la hora de firmar un documento.

La autoridad de Registro vinculada a una AC que emite este tipo de certificados debe validar la identidad del suscriptor, la titularidad de la clave pública y cualquier otro dato antes de emitir el certificado. Su función de validación se debe realizar cumpliendo las normas y recaudos establecidos para la protección de datos personales y cumpliendo las disposiciones que establezca la Política Única de Certificación y el Manual de Procedimientos del Certificador a la cual se encuentra operativamente vinculada.

El suscriptor deberá poder consultar el listado de Certificados Revocados CRL en la web del certificador, dicha CRL contendrá información sobre los números de serie de todos los certificados revocados anteriores al momento de la emisión de dicha CRL. Esta información estará firmada digitalmente por el Certificador.

El suscriptor deberá conocer cuáles son sus obligaciones al solicitar este tipo de certificado digital.

Descargar los certificados AC-RAIZ y el certificado de la AC de FDCCCC.

Verificar la validez de la firma cuando se recibe un documento firmado digitalmente para lo cual es requisito indispensable descargar y configurar el Adobe Acrobat Reader DC para visualizar el documento y para poder realizar la Validación de la integridad del documento firmado digitalmente.

Mantener el control exclusivo de sus datos de creación de firma digital, no compartirlos, e impedir su divulgación.

Utilizar UN (1) dispositivo de creación de OTP digital técnicamente confiable según determine el certificador.

Solicitar la revocación de su certificado al Certificador ante cualquier circunstancia que pueda haber comprometido la privacidad de sus datos de creación de firma.

Informar sin demora al Certificador el cambio de alguno de los datos contenidos en el certificado digital que hubiera sido objeto de verificación.

Proveer toda la información que le sea requerida a los fines de la emisión del certificado de modo completo y preciso.

Utilizar los certificados de acuerdo a los términos y condiciones establecidos en la Política Única de Certificación del Certificador.

Mantener el control exclusivo de sus datos de creación de firma digital, no compartirlos e impedir su divulgación.

Análisis del Mercado de firma digital en Argentina [arriba] 

El mercado de firma digital evoluciona hacia esquemas que permitan una infraestructura de consumo de servicios de firma digital centralizada o en la nube, que faciliten la experiencia del usuario.

La Resolución 86/20 en estudio se refiere específicamente a un "Tercero de confianza" que debe revestir la condición de autoridad certificante de un Certificador Licenciado. Los demás supuestos enumerados por el referido art. 36 del Decreto 182/19 lamentablemente no se encuentran reglamentados a la fecha por la Autoridad de Aplicación.

Los servicios prestados actualmente por los PSC a través de sus autoridades Certificantes consisten en emitir certificados de firma digital y prestar otros servicios relacionados con firma digital tal como el servicio de sellado de tiempo(7)(TSE), conforme lo determinado en el artículo 9°, inc. b) de la Resolución MM Nº 399-E/16(8). Respecto de la emisión de certificados de firma digital, la Autoridad de Aplicación sólo admite la emisión de certificados para personas físicas, jurídicas, certificados de aplicaciones, certificados de sitio seguro.

No existen otras entidades autorizadas a prestar servicios de confianza no obstante el contenido del art. 37 del Dec. 182/19 y, hay que considerar que en la actualidad el Estado a través de sus autoridades certificantes sólo emiten certificados para personas físicas y que no está permitida dentro de la IFD RA la emisión de certificados de atributos(9).

La firma digital nació para ser usada dentro del Sector Público Nacional y aún hoy sigue siendo así ya que existe una gran permeabilidad de su uso dentro del estado y respecto de los particulares que realicen trámites interactuando con las aplicaciones del Estado.

La Infraestructura de firma digital de la República Argentina no termina de solucionar los problemas que plantea la presencialidad a la hora de solicitar un certificado digital. Problema resuelto por la Unión Europea a través de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza en respuesta a la evolución de la tecnología y las demandas del mercado. Esta normativa, abre la posibilidad de prestación de servicios innovadores basados en soluciones móviles y en la nube, como la firma y sello electrónicos remotos, en los que el entorno es gestionado por un prestador de servicios de confianza en nombre del titular. A fin de garantizar que estos servicios electrónicos obtengan el mismo reconocimiento jurídico que aquellos utilizados en un entorno completamente gestionado por el usuario, estos prestadores deben aplicar procedimientos de seguridad específicos y utilizar sistemas y productos fiables, incluidos canales de comunicación electrónica seguros, para garantizar que el entorno es fiable y se utiliza bajo el control exclusivo del titular. Se pretende alcanzar, así, un equilibrio entre la facilidad para el acceso y el uso de los servicios, sin detrimento de la seguridad.

Quizá lo más importante de resaltar en esta normativa es que la identificación de la persona física que solicite un certificado cualificado se determinará mediante otros métodos de identificación como videoconferencia o vídeo-identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según la evaluación del Organismo correspondiente.

Si vamos ahora al sector privado, observamos que el mismo demanda cada vez más el uso de una firma electrónica robusta que no requiera la presencia física del suscriptor o solicitante.

Un claro ejemplo de protagonismo de firma electrónica lo tenemos en la Resolución N° 50/2020 del Ministerio de Desarrollo Productivo, Secretaría de la pequeña y mediana empresa y los emprendedores, la cual en sus considerandos reconoce el empleo de la firma electrónica y la firma digital con la eficacia jurídica que en ella se establece y, autoriza el uso de blockchain como soporte de infraestructura digital para llevar adelante estas operaciones.

Sin duda la aplicación de la tecnología blockchain autorizada por la Resolución comentada y asociada al uso de firma electrónica, democratiza el uso de la misma, permitiendo de esta forma que se digitalicen muchos más procesos.

La exigencia del Gobierno en la Resolución N° 50/20 que aprueba el uso de blockchain en una infraestructura de certificación de firma electrónica es acertada, puesto que confiere a esta última mayor nivel de robustez permitiendo de esta forma probar indubitablemente la autoría e inalterabilidad del documento electrónico firmado electrónicamente tal como así lo exige el art. 319 del CCyCN(10).

La firma electrónica segura, es avalada por el Estado a través del dictado de una serie de normas tales como la ley N° 27.444 sobre Simplificación y Desburocratización para el Desarrollo Productivo de la Nación; a través de la normativa dictada por el BCRA y las Disposiciones dictadas por la Corte Suprema a raíz de la emergencia sanitaria a través de las Acordadas 11/2020 y 12/2020.

Estas últimas acordadas aprueban el uso de la firma electrónica y digital en el ámbito del Máximo Tribunal y resto del Poder Judicial de la Nación respecto de todos los magistrados y funcionarios de las instancias inferiores que desarrollan su actividad con el Sistema de Gestión Judicial.

Es notable observar que cuando el letrado ingresa al portal de gestión judicial del Poder Judicial de la Nación, tiene que tramitar el uso de la firma electrónica y aceptar una cláusula de no repudio. Esto es bastante contradictorio con el criterio sostenido por estos jueces en sus fallos, cuando desconocen el valor de la firma electrónica, argumentando,-conforme la interpretación literal del art. 288 del CCyCN-, que el documento firmado electrónicamente es un instrumento particular no firmado.

Finalmente, todas las normas mencionadas reconocen el empleo de la firma electrónica y la firma digital con la eficacia jurídica que en ellas se establece y autorizan el uso de una firma electrónica que asegure autoría e inalterabilidad del documento electrónico. Si bien su mayor inclusión está basada en la emergencia sanitaria probado está que todo lo que funciona tiende a perdurar más allá de las situaciones de crisis.

Por otro lado se observa como el mercado firma digital evoluciona por fuera de la infraestructura de firma digital y se auto-regula. Se encuentran disponibles en el mercado herramientas que permiten identificar en forma segura con el uso de biometría o reconocimiento facial para validar la información suministrada por el usuario, y además permiten vincular esa identidad con el contenido del documento que se firma. En algunos casos se adiciona que cada paso en este proceso se registre en blockchain, lo que garantiza que ni el documento final que fue firmado, ni la evidencia como la foto de la persona y la identidad proporcionada haya sido alterada y, a su vez evita una disputa posterior ya que el documento arroja todo un historial de los pasos que se siguieron al momento de generarse la firma electrónica.

Lógico es suponer que los Proveedores de Servicios de Certificación ya vislumbran la necesidad de complementar sus servicios con los servicios prestados por las plataformas estructuradas en forma distribuida o tecnología blockchain, sobre todo cuando está en juego la necesidad de llevar a cabo operaciones de registro o procesamiento masivo de datos. Ejemplos de esto los podríamos encontrar en el campo de la inteligencia artificial o bien en caso de registro de operaciones en registros públicos, operaciones en las cuales no es sólo necesario llevar un registro inalterable de los hashes de dichos documentos sino también obtener la certeza respecto de la validez del documento o acto jurídico desde el momento de su celebración.

 

 

Notas [arriba] 

* Leonor Guini, Abogada especializada en Derecho Informático.

1) 1.3.3. - Suscriptores de certificados. Podrán ser suscriptores de los certificados emitidos por la AC ONTI las personas humanas, que requieran un certificado digital para firmar digitalmente cualquier documento o transacción, pudiendo ser utilizados para cualquier uso o aplicación, como así también para autenticación o cifrado. La AC ONTI emite también un certificado para ser usado en relación con el servicio On Line Certificate Status Protocol (en adelante, OCSP) de consulta sobre el estado de un certificado. Asimismo, la AC ONTI emite certificados de aplicación, y presta el servicio de sello de tiempo, según lo dispuesto en el artículo 9° de la Resolución N° 399-E/2016° del 5 de octubre de 2016 del entonces MINISTERIO DE MODERNIZACIÓN.
2) PKI sigla que identifica a una infraestructura de clave pública.
3) Que es una OTP? ¿Cómo funciona?¿Para qué sirve?.
Es el "One Time Password", que se genera en el teléfono inteligente con la Aplicación Free OTP (previamente descargada). Este Código PIN va cambiando cada cierta cantidad de tiempo, y es válido solo para UNA autenticación. Es el Segundo Factor de Autenticación para gestionar el Certificado de las Claves. El Código OTP es conocido únicamente por el solicitante y que se encuentra asociado a la cuenta de usuario que fue previamente autenticada por el Oficial de Registro.
4) El decreto 27/18 reemplaza el art.30 inc b de la ley 25506 estableciendo que la Autoridad de Aplicación que en este caso es el Ministerio de Modernización establecerá los estándares tecnológicos y operativos de la Infraestructura de Firma Digital".
5) No se entiende porque la normativa no dice personas físicas en vez de personas humanas. También hay que resaltar que sólo se emiten certificados de personas físicas. Ni la AC de modernización ni la AC Onti emiten certificados de personas jurídicas.
6) OID identificador de Objeto digital.
7) Para solicitar un sello de tiempo, el interesado envía a la TSA el hash o resumen criptográfico del documento o contenido electrónico que desea fechar. Al recibirlo y luego de verificar que cumple con los requisitos técnicos establecidos, la TSA le adiciona el registro de fecha y hora obtenido de una fuente confiable. Luego vuelve a calcular un nuevo hash de la combinación de ambos elementos, procediendo a firmar digitalmente dicha porción de información. Obtiene de esta manera el sello de tiempo, el cuál devuelve a la TSA.
Al recibirlo, el solicitante procede a verificar la firma digital de la TSA. Si verifica correctamente, procede a comparar el hash obtenido con el hash calculado sobre el hash del documento original y el registro de fecha y hora. Si ambos coinciden, puede afirmarse que el sello de tiempo es correcto TSE Entidad fuente de tiempo: Las TSE, por sus siglas en inglés (Time Stamp Source Entity), son aquellas entidades que proveen la hora oficial a nivel nacional y de donde una TSA obtiene el registro horario. A nivel internacional, estas entidades calibran sus relojes con el Bureau Internacional de Pesos y Medidas, que funciona en Francia. Las TSA, en su vinculación con las TSE, producen un Informe de Calibración de tiempo, el cual provee un registro de auditoría para las tareas de sincronización.
8) La Resolución N° 399 se complementa con lo determinado en los estándares ETSI TS 102 023 "Electronic Signatures and Infrastructures (ESI); Policy requirements for time-stamping authorities", ETSI TS 101 861 "Time stamping profile" y a la especificación RFC-3628 "Policy Requirements for Time-Stamping Authorities (TSAs)".
9) Certificados de aplicaciones: identifican una aplicación o servicio de firma digital.
Certificados de sitio seguro: permiten identificar en forma fehaciente en internet a un servidor Sellos de tiempo: indican la fecha y hora asignada a un documento o registro electrónicoCertificado de atributos: acreditan competencias o roles, relaciones laborales o cualquier otro atributo de la persona física titular del certificado. (el sello de competencia como se llama en la UE es un certificado de atributos).
10) El art.319 del CCyCN establece el valor probatorio de los instrumentos particulares lo cual deberá ser apreciado por el juez teniendo en cuenta la confiabilidad de los soportes utilizados y los procedimientos técnicos que se apliquen.



© Copyright: SAIJ