Professional Documents
Culture Documents
Ministerio de Modernizacin
MANUAL DE RESPONSABLE DE
SOPORTE TCNICO DE FIRMA DIGITAL
Autoridad Certificante
Ministerio de Modernizacin
Versin 2.0
Mayo, 2015
NDICE
1- INTRODUCCIN ................................................................................................................................. 4
El presente curso tiene por objeto que aquellas personas que asumen el rol de
Responsable de Soporte Tcnico de Firma Digital y que van a formar parte de la
estructura de una Autoridad de Registro habilitada por la Oficina Nacional de
Tecnologas de Informacin tomen conocimiento del conjunto de sus obligaciones y
responsabilidades asi como tambin de los procedimientos que hacen a la operatoria
de los solicitantes y suscriptores de certificados.
El marco legal en el que este rol de Responsable de Soporte Tcnico de Firma Digital
cumple sus funciones es el que determina el Manual de Procedimientos
correspondiente a la Poltica nica de Certificacin.
Este manual describe las tareas que deben ser llevadas a cabo por el rol de
Responsable de Soporte Tcnico de Firma Digital (en adelante RS) durante el ciclo de
vida de los certificados digitales aprobados por la AR a la que este pertenece.
1.3.1.- Certificador
Los entes pblicos que han sido habilitados para operar como AR del Certificador y la
estructura de Oficiales de Registro que las conforman se encuentran disponibles en su
sitio web https://pki.jgm.gov.ar/app
Oficial de Registro
Es el rol encargado de efectuar el proceso de identificacin de los solicitantes de
certificados como paso previo a la emisin de los mismos. En tal carcter, debe validar
la documentacin presentada por los solicitantes. Tambin intervendr en casos de
requerimientos de revocaciones, siempre que sea solicitada por el suscriptor o por
funcionario autorizado.
Es requisito para ejercer este rol que el OR posea un certificado de firma digital de
nivel de seguridad por Hardware, vlido y vigente emitido por la AC-ONTI. Esto implica
que su clave privada deber permanecer guardada en un dispositivo criptogrfico, que
cumpla con el estndar FIPS 140-2 nivel 2 Overall o superior. Cuando el certificado del
Oficial de Registro rena todas las condiciones referidas, su certificado ser
relacionado por el Responsable de la Aplicacin de la AC ONTI, con una Autoridad de
Registro de las autorizadas por el Certificador Licenciado y habilitado para realizar
todas las tareas mencionadas.
Cada AR constituida en la estructura de la AC-ONTI licenciada debe tener por lo
menos dos Oficiales de Registro. Todos los ORs tendrn las mismas facultades para
su operatoria.
1.3.4.- Aplicabilidad
Los usuarios podrn optar libremente por utilizar certificados en cualquiera de los dos
niveles de seguridad abajo mencionados, en el caso de los ORs de acuerdo con lo
establecido por la Poltica de Certificacin estn obligados a utilizar certificados por
Hardware.
En el caso de las ARs que aprueben certificados para aplicaciones especficas que
utilizan la tecnologa de firma digital, el RS adems deber instruir a los usuarios
acerca de la operatoria en el manejo de la tecnologa de firma digital sobre estas
aplicaciones especficas.
Si bien el objetivo principal del curso dictado por el RS es el de introducir a los nuevos
usuarios que requieran los servicios del Certificador en los procedimientos que este
provee, las buenas prcticas y el correcto manejo de la tecnologa de firma digital
entre otros, el RS puede dictar cursos de actualizacin de las nuevas herramientas y
cambios tecnolgicos que surjan en esta materia, la decisin de est tarea depender
en ltima instancia de las necesidades de cada ente y de las directivas del
Responsable de la AR de la cual el RS forma parte.
En lo relativo a instruccin RS contar con los siguientes recursos con el fin de cumplir
sus funciones:
Este punto describe todo lo relacionado con los contenidos que deber dictar el RS
para el conocimiento bsico de los solicitantes en lo relativo a la tecnologa de firma
digital.
Este punto describe todo lo relacionado con los conceptos y nociones bsicas que
hacen a la tecnologa de firma digital.
Esto hace que un documento electrnico en general, como por ejemplo puede ser un
correo electrnico, no goce del mismo valor legal que tiene un documento firmado en
papel. En funcin del anlisis anterior podemos concluir que un documento electrnico
puede ser digno de repudio por lo que no puede reemplazar a un documento en papel
firmado holgrafamente.
El objetivo de la firma digital es poder modelar sobre medios digitales las mismas
caractersticas que se presentan en un documento en papel con firma holgrafa.
Es decir que desearamos poder hacerle una marca al documento digital de manera tal
que la misma nos identifique del mismo modo que lo hacemos al marcar un
documento en papel con el trazo de nuestra firma holgrafa. En resumen buscamos
que una firma digital sobre un documento electrnico permita reemplazar a una firma
holgrafa en soporte papel, eliminando de esta manera los problemas que se
presentan al tratar con documentos electrnicos.
Verificar la no alteracin del contenido del documento luego de que fue firmado
(integridad del contenido).
Si deseamos que una firma digital pueda reemplazar a una firma holgrafa vamos a
necesitar entonces que esta cumpla por lo menos, con las mismas caractersticas
tcnicas de seguridad y legales que posee una firma holgrafa.
Integridad: estar vinculada a los datos del documento digital poniendo en evidencia su
alteracin luego de que fue firmado.
Firma digitalizada: es una firma manuscrita escaneada; en ningn caso esta firma
garantiza que haya sido producida por su autor, ya que al tratarse de una imagen, esta
puede replicarse con facilidad sin necesidad de haber sido producida exclusivamente
por el autor. Adems tampoco garantiza la integridad de la informacin, de esta
manera una firma digitalizada podemos observar que no garantiza ninguna de las
cuatro propiedades de la definicin de firma digital por lo que de todas las tecnologas
disponibles esta es la que mas alejada esta de ser una firma digital.
La tecnologa de firma digital permite firmar digitalmente cualquier documento que este
en formato digital dotndolo a este de la posibilidad de identificar al autor (autora),
asegurar que no fue alterado (integridad) y que por lo tanto su autor no pueda negarlo
(no repudio). Entre otros podemos mencionar varios ejemplos de documentos digitales
o electrnicos que podran ser firmados digitalmente: datos enviados a travs de un
formulario web, uno o varios archivos adentros de una PC, un disco rgido o un DVD,
un sitio web, un e-mail, el cdigo fuente de un programa, etc.
Para firmar digitalmente cada usuario deber poseer un par de claves privada-pblica,
actualmente las computadoras por medio de programas estandarizados, como por
ejemplo los navegadores web, se encargan de generar automticamente un par de
claves privada-pblica que sea nico para cada usuario. Partiendo de este hecho cada
usuario por medio de estos programas estandarizados podr generar su par de claves
privada-pblica para firmar digitalmente.
Una vez que la computadora del emisor por medio de la clave privada gener la firma
digital del documento, se enviar entonces el documento junto con la firma digital
recin generada y su clave pblica adjunta. C viaja en claro, o sea que no est
encriptado por lo que si un tercero captura el mensaje podr ver su contenido. El
destinatario recibir entonces el documento, la firma digital y la clave pblica del
emisor, la computadora del receptor utilizar esta ltima para verificar la firma digital, si
la verificacin es correcta eso implica que la firma fue realizada efectivamente por el
emisor y no por otra persona y adems que el contenido del documento no fue
alterado.
En el esquema antes explicado el destinatario utiliza la clave pblica del emisor para
verificar la firma digital, si la verificacin es correcta entonces, debido a ciertas
cuestiones matemticas, podemos saber en forma certera que slo el emisor (con la
nica clave privada correspondiente a esa clave pblica) fue el que produjo esa firma
digital.
El problema reside ahora en como se asegura el receptor que la clave pblica que
est utilizando para verificar la firma pertenece efectivamente al emisor, como se dijo
anteriormente la clave pblica es un nmero pero en ningn momento nadie me
asegura que ese nmero pertenezca a una persona determinada. En este punto es
donde empiezan a desplegar su rol las autoridades certificantes o tambin
denominadas certificadores.
Una autoridad certificante o certificador es una tercera parte en la cual ambas partes
(emisor y receptor) confan y que se encarga de establecer la vinculacin entre una
clave pblica y su propietario.
Por medio de certificados de clave pblica, por lo tanto no bastar con que el emisor
envi en un mail firmado digitalmente con su clave pblica adjunta al mensaje y la
firma digital de este, en lugar de ello deber enviar su clave pblica dentro de un
certificado donde una tercera parte en confianza asegurar al receptor que esa clave
Cabe observar que en el paquete enviado al receptor hay dos firmas digitales, la
producida por el emisor firmando el documento que enva y la del certificador firmando
el certificado de clave pblica del emisor.
Con el fin de verificar un mail firmado, el receptor va a poder obtener con plena
seguridad la clave pblica del emisor a travs de su certificado de clave pblica, ya
que hay un tercero en confianza (el certificador) que da fe de esta informacin.
Para asegurarnos que la informacin del certificado no haya sido alterada debemos
utilizar la clave pblica de la AC para verificar la firma del certificado de manera de
constatar que fue hecha efectivamente por esta y que la informacin es ntegra. Sin
embargo esto nos plantea a su vez un nuevo problema: cmo s que la clave pblica
que estoy utilizando para verificar la firma del certificado de clave pblica del usuario
pertenece realmente a la AC?
Una manera de hacerlo sera obteniendo el certificado raz de un sitio web seguro
(observar que en el sitio de la AC ONTI los certificados de la AC Raz y de la AC ONTI
se descargan desde un sitio seguro). Una vez que me asegur de la autenticidad de la
clave pblica del certificado de la AC Raz entonces estar en condiciones de validar
automticamente todos los certificados que se encuentren en los niveles inferiores de
la cadena de certificacin. De esta manera realizando la validacin de la clave pblica
de un nico certificado raz puedo establecer la autenticidad de todos los certificados
que descansan debajo de la jerarqua de certificacin.
Este punto describe todo lo relacionado al proceso de solicitud del certificado por parte
del solicitante.
En caso de ORs o usuarios que realicen la solicitud con token (Nivel de Seguridad por
Hardware), es requerimiento que este debe estar certificado por el NIST (National
Institute of Standard and Technology) con el estndar FIPS 140-2 Nivel 2 o superior
Overall. La DA N 927/14 establece que es obligacin de las Autoridades de Registro
verificar que los token utilizados por los solicitantes que tengan certificados por
Hardware cumplan con los requisitos antes mencionados. Para efectuar dicha
verificacin remitirse al apartardo 4.3.3. del documento de Requerimientos para la
Conformacin de las Autoridades de Registro de la AC ONTI.
El solicitante deber tener en cuenta que el proceso de inicializacin del token implica
que perder cualquier informacin que haya sido previamente generada y se
encuentre guardada en el token criptogrfico.
Adems debe tenerse en cuenta que la clave privada generada en el token no ser
exportable por lo que si el usuario pierde el token o borra accidentalmente la clave
privada entonces deber revocar el certificado actual y solicitar uno nuevo.
Antes de realizar la solicitud del certificado en el sitio web del Certificador, de acuerdo
con lo establecido en el punto 3.1.9. del Manual de Procedimientos, el solicitante debe
contar con la siguiente documentacin:
Adems el RS debe tener en cuenta que de acuerdo con lo establecido por la Poltica
de Certificacin la clave privada del usuario no es exportable por lo que, en el caso de
los certificados con nivel de seguridad por Software, la clave privada generada sobre
una estacin de trabajo durante el proceso de solicitud no podr ser exportada o
resguarda, por lo que en caso de prdida de la clave privada (ya sea por formateo,
eliminacin de perfil de usuario, etc.) el suscriptor no podr recuperarla por lo que
deber revocar su certificado y solicitar una nueva.
Todo lo relacionado con el proceso de solicitud del certificado por parte del solicitante
se encuentra descripto en el punto 4.1.2 del Manual de Procedimientos mientras que
todo lo relacionado con el proceso y emisin del certificado se encuentra descripto en
el punto 4.2 y 4.3 del Manual de Procedimientos.
Para realizar la solicitud del certificado el usuario debe ingresar al sitio web del
Certificador disponible en https://pki.jgm.gov.ar/app y dentro del cuadro de trmites
debe seleccionar la opcin Solicitud de Certificado, el propio sitio web del Certificador
guiar al usuario durante el proceso de solicitud.
Paso 1:
Si los datos son correctos, en caso de una solicitud por Software se permitir al
solicitante efectuar la solicitud del certificado por lo que se procede a generar el par de
claves, el usuario deber establecer los controles de acceso que aseguren que l es el
nico capaz de acceder a su clave privada (por ej. contrasea de acceso). La
aplicacin verificar que la solicitud sea vlida, en ese caso se mostrar una pantalla
indicando que el trmite se inici correctamente; la misma contiene los datos de la
Nota de Solicitud que el solicitante debe imprimir a la vez que se le informa que
recibir un correo electrnico para continuar con el trmite.
Paso 2:
En caso de una solicitud por software, una vez que el solicitante imprimi la Nota de
Solicitud lo primero que debe verificar es que el cdigo de solicitud (Hash de la
solicitud) de la nota de solicitud impresa coincide exactamente con el de la nota de
solicitud que aparece en la pantalla, es importante que el solicitante haga la
comparacin completa del cdigo de solicitud. Bajo ningn concepto el solicitante debe
firmar la nota de solicitud sin hacer esta verificacin. En caso accidental de cerrar la
pantalla donde aparece el cdigo de solicitud antes de realizar la mencionada
verificacin debe destruir la Nota de Solicitud impresa y comenzar el trmite
nuevamente. El solicitante debe adems verificar que todos los datos impresos en la
Nota de Solicitud son correctos y coinciden con los de la pantalla.
Una vez que la Nota de Solicitud fue firmada, resulta crtico que esta sea resguardada
por el solicitante en un lugar seguro impidiendo el acceso a la misma por parte de
terceros.
Paso 3:
Paso 4:
El solicitante a travs del correo electrnico que figura en la misma nota de solicitud y
en la pantalla accedida en el paso anterior, deber ponerse en contacto con el Oficial
de Registro de la AR que le fue asignada a fin de que este le indique el procedimiento
a seguir para presentar la documentacin correspondiente descripta en el punto 4.1.2;
el solicitante adems deber tener en cuenta que deber concertar con el OR la fecha
y hora en que deber presentarse personalmente ante este a fin de realizar la
verificacin de su identidad.
Paso 5:
Una vez ejecutados los pasos anteriores el usuario estar en condiciones de utilizar su
certificado de firma digital.
En el caso de que el suscriptor haya obtenido el certificado con nivel de seguridad por
Software utilizando Mozilla Firefox debe tener en cuenta que la clave privada y el
certificado quedarn almacenados en ese navegador y que la firma digital no podr ser
usada desde cualquier otra aplicacin que no sea Firefox, incluso tampoco podr
firmar correos electrnicos con Mozilla Thunderbird ya que en el caso de Mozilla estas
aplicaciones poseen bases de certificados independientes una de la otra, por lo tanto
el suscriptor nicamente podr utilizar el Mozilla Firefox en aplicaciones del Estado
que requieran el uso de firma digital a travs de aplicaciones web.
Por ltimo es importante aclarar que los correos electrnicos de tipo webmail, o sea
aquellos que permiten chequear el correo electrnico ingresando a travs de Internet
con un navegador web, no permiten el uso de la firma digital ya que la accin de firmar
digitalmente siempre es realizada por navegador o el cliente de correo siempre que
estos soporten la tecnologa de firma digital tal como se mencion anteriormente.
Actualmente los paquetes de tipo Office ms estndar como ser Microsoft Office y
OpenOffice permiten la firma digital de documentos utilizados por esas aplicaciones
como ser: hojas de clculo, presentaciones, documentos de texto, etc. A su vez
tambin es posible firmar digitalmente documentos tipo PDF con el Acrobat Writer y
verificar la firma de un PDF con el Acrobat Reader, tambin hay disponibles en la web
aplicaciones de software libre que permiten firmar documentos PDF en general.
En todos los casos esas aplicaciones permiten firmar con los certificados que se
encuentran instalados en la base de certificados del sistema operativo (la misma que
utiliza IE y los clientes de correo de la familia Microsoft). A su vez los procedimientos
de firma y verificacin no son complicados y pueden consultarse en la misma ayuda
provista por lo proveedores de esos programas.
Para poder verificar un correo electrnico firmado digitalmente el usuario debe poseer
un cliente de correo estndar, en caso de que utilice cualquiera de los clientes de
correo provistos por Microsoft como ser Outlook Express, Outlook XP, Outlook 2007 o
superior, Windows Mail y Windows Live, deber previamente instalar en Internet
Explorer el certificado de la Autoridad Certificante Raz (AC-Raz) y el certificado de la
Autoridad Certificante de Firma Digital (ACFD-ONTI) de la Oficina Nacional de
Tecnologas de Informacin, el procedimiento es el mismo que el detallado en el
apartado 4.1.1.1.
En el caso de que el usuario desee utilizar Mozilla Thunderbird para recibir y verificar
el correo electrnico firmado digitalmente deber instalar ambos certificados (AC-Raz
y ACFD-ONTI) en el Thunderbird, el procedimiento de instalacin del certificado es
totalmente anlogo al indicado para Mozilla Firefox que aparece en el Tutorial de
instalacin de AC publicado en el sitio web del Certificador y referido en el apartado
4.1.1.1.
En el caso que el usuario necesite instalar la CRL en Mozilla Firefox, el usuario debe
ingresar con este navegador al sitio web del Certificador disponible en
https://pki.jgm.gov.ar/app seleccionar la opcin Certificados y luego la sub-opcin
Obtener la lista de Certificados Revocados, acceder a una pantalla en el sitio web
con un botn con el rtulo Obtener lista de certificados revocados, debe presionar el
botn y aparecer un cuadro de dilogo con la informacin principal de la CRL a
importar (emisor y prxima fecha de actualizacin) y ms abajo nos preguntar si
deseamos importarla o no, se debe presionar S para realizar la importacin. A
continuacin aparecer otro cuadro titulado como Preferencias de actualizacin
automtica de CRL, ah se sugiere chequear el cuadro Habilitar la actualizacin
automtica para esta CRL para contar con este servicio y a continuacin se debe
presionar Aceptar.
Es importante tener en cuenta que siempre en el caso de las aplicaciones Mozilla
Firefox y Mozilla Thunderbird, a diferencia del funcionamiento en IE, la instalacin de
la CRL en Firefox no implica que la misma CRL quede automticamente instalada en
Thunderbird o viceversa, por este motivo si se instal la CRL en Firefox y es necesario
utilizar el servicio de CRL en Thunderbird entonces tambin debe instalarse la CRL
manualmente en esta aplicacin, el procedimiento de instalacin difiere del de Firefox
y se encuentra descripto en el siguiente apartado.
Este punto describe todo lo relacionado con la revocacin de los certificados por parte
del suscriptor.
Solo en caso de que el suscriptor no pueda revocar su certificado por el mtodo antes
mencionado deber presentarse personalmente con su documento de identidad ante
la AR que aprob su certificado.