Sign in

Soluciones de firma digital

julio 31, 2009 16:30 por a.ramirez

¿Qué es firma digital?

Una firma digital es un conjunto de datos asociados a un mensaje que permite asegurar la identidad del firmante y la integridad del mensaje. La firma digital no implica que el mensaje esté encriptado, es decir, que este no pueda ser leído por otras personas.

 

¿Para qué sirve la firma digital?

 

La firma digital con certificados oficiales es el único mecanismo jurídicamente válido en el país asegurar transacciones electrónicas. Varias organizaciones como el sector bancario han avanzado en la implementación de mecanismos de seguridad, sin embargo solo la firma digital tiene el poder de no repudio que garantiza la autenticidad (no modificación) y autoría de las transacciones.

 

Problemática de seguridad sin firma digital 

Más que teoría la ausencia de mecanismos de firma digital ha provocado y continúan provocando serios daños económicos a las organizaciones. Algunos ejemplos:


Bancos deberán reintegrar dinero robado a clientes por Internet “Pérdidas de usuarios ascenderían a ¢600 millones” Alrededor de 700 denuncias se han presentado por sustracción de recursos mediante banca electrónica Extractos de http://www.larepublica.net/app/cms/www/index.php?pk_articulo=27510

Se disparan estafas bancarias mediante Internet “En el 2007 se recibieron 71 denuncias pero este año ya van por 77 clientes de un banco público reportaron estafas por ¢120 millones.” “Los dineros, en montos de $3.000 a $10.000, o de ¢3 millones a ¢5 millones, son enviados a cuentas de personas jóvenes, especialmente, estudiantes, detectó la Policía. ” “El monto total de lo estafado en los 77 casos, pero mencionó que fácilmente supera los ¢200 millones.” Extractos de http://www.nacion.com/ln_ee/2007/junio/11/sucesos1125993.html

 

Ver más casos de Problemas que pueden evitarse con firma digital.


¿Cómo soluciona la firma digital estos problemas?

La firma digital reemplaza el uso del nombre de usuario y la clave que tradicionalmente se utiliza en los sistemas Web. La llave privada es muy diferente a una clave de usuario empezando porque el usuario no debe recordar o peor aun apuntar en algún lado la llave privada ya que esta es un número de cientos de dígitos que se guarda en un dispositivo seguro (token o smart card).

Estos dispositivos son "tamper-proof" lo que significa que la llave privada no pueden ser copiados ni exportados; además el dispositivo está protegido por una clave de manera que solo puede ser utilizado por el usuario. 

El uso de firma digital para realizar transacciones por Internet garantiza la integridad, no repudio y autenticidad de las transacciones como se explica a continuación:

Integridad de la transacción: La firma digital permite determinar en todo momento que los datos de la transacción no han sido modificados. Aunque SSL permite garantizar la integridad de los datos durante su transmisión, la firma digital permite además garantizar la integridad de los datos una vez que estos son almacenados en el servidor, es decir la firma digital es persistente. 

Autenticidad: La firma digital permite garantizar la identidad del emisor de la transacción ya que la firma digital es generada por una llave privada única que solo el usuario posee y que está almacenado en el dispositivo protegido con una clave. Todo esto garantiza que nadie más puede generar transacciones haciéndose pasar por el usuario ya que esa otra persona requeriría el dispositivo y la clave del usuario legítimo. 

No repudio del usuario: El usuario no puede negar que el realizo una transacción firmada digitalmente ya que solo el posee el dispositivo con la llave privada con que se generó la firma digital y este está protegido por clave. 

No repudio del sistema: Es posible que el sistema genere un recibo firmado digitalmente de la transacción recibida. Este recibo le sirve al cliente para poder probar que él hizo la transacción.


¿Cómo se implementa firma digital en un sistema web?

El uso básico de firma digital es reemplazar el esquema de autenticación tradicional de usuario y clave u otros que pese a ser un poco más seguros que este no son válidos jurídicamente (no son prueba en un juicio por ejemplo).

 

El segundo y más fuerte uso de la firma digital es dar confianza a ambas partes que participan en una transacción ya sea esta una operación bancaria, un trámite de servicios públicos, una denuncia judicial o en general cualquier trámite en el que:

 

-        la persona que envía desea estar segura que su transacción será realizara y que nadie más podrá hacerlo en su nombre o falsificar sus datos

 

-        la organización que recibe desea estar segura que la transacción proviene efectivamente de la persona dueña del certificado y que esta no podrá repudiar ninguna transacción hecha

 

La adaptación de sistemas existentes o nuevos para el uso de firma digital es sencilla mediante los componentes de firma digital de Hermes. La solución comprende varios componentes de software que permiten:

 

  • Firmar digitalmente en la PC del cliente los campos de un formulario html (incluyendo campos archivo) antes de que estos sean enviados al servidor. (no repudio) 
  • Validar la firma digital del formulario en el servidor, obtener información del certificado usado para firmar y acceder la firma digital para su almacenamiento. (confianza para la organización) 
  • Generar un recibo firmado digitalmente en el servidor de una transacción enviada por un usuario.  (confianza para el usuario) 
  • Crear una bitácora firmada digitalmente de las transacciones realizadas por los usuarios (confianza para ambas partes y prueba fehaciente en litigios) 

 

El siguiente diagrama describe gráficamente los componentes de la solución

Entre las ventajas de los componentes de firma digital de Hermes destacan: 

  

  • Facilidad de integración con cualquier autoridad certificadora 
  • Facilidad de integración con aplicaciones existentes, especialmente aplicaciones ASP.NET, PHP y Java. 
  • Uso transparente para el usuario final y no interfiere con la experiencia normal de navegación por Internet. 
  • Tecnología invulnerable a keyloggers o phishing

 


Aplicaciones de firma digital en Costa Rica

A la fecha en Costa Rica no existen muchas aplicaciones en producción que saquen provecho de la firma digital.

 

Posiblemente la más conocida es Comprared en donde los proveedores comerciales pueden enviar sus ofertas, aclaraciones, objeciones y un general todos los procesos de contratación administrativa de forma electrónica gracias al uso de certificado digitales. Comprared inició con certificados digitales generados por el Ministerio de Hacienda y ya realizó los cambios para usar también los generados por SINPE / MICIT. Actualmente Comprared está trabajando en la generación de facturas electrónicas firmadas digitalmente.

 

El CFIA también implementó firma digital en el Administrador de Planos de Construcción (APC). Mediante este sistema se realiza el visado digital de los planos evitando desplazamientos, disminuyendo tiempos del proceso y por tanto disminuyendo los tiempos asociados.

 

Actualmente Hermes trabaja en la implementación de su tecnología en uno de los principales bancos del Estado con el fin de reducir las problemáticas que los afectan.

  

Más información

 

firmadigital@hermes-soft.com

 		 Sitios de información relacionada: 

http://www.firmadigital.go.cr

 

http://es.wikipedia.org/wiki/Firma_digital

 
  

 



a.ramirez
julio 31, 2009 16:30

Sea el primero en calificar este post

  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Tags: , , ,
Categorías: .Net | General | Noticias
Acciones: E-mail | Permalink | Comentarios (0) | Comment RSSRSS comment feed

Problemas de seguridad que pueden evitarse con firma digital

julio 31, 2009 15:59 por a.ramirez

Aparece nuevo correo para estafar por ‘web’
 
“El monto obtenido por los estafadores asciende a más de $929 millones, según la firma de consultoría Gartner Group.” 

Extractos de http://www.nacion.com/ln_ee/2007/mayo/05/economia1085396.html

Nacional alerta sobre correo para robar clave a clientes 

“Esa modalidad de fraude, conocida como phishing , permite a los “pescadores de contraseñas” obtener la clave de las tarjetas de crédito o débito, entrar a las cuentas y robar el dinero.” 
 
Extractos de http://www.nacion.com/ln_ee/2009/marzo/20/economia1911054.html 

Firma digital reducirá inseguridad de banca en línea “Un sistema de firmas y certificados digitales que el Gobierno está preparando forzaría a los bancos a ofrecer un mejor mecanismo de verificación de identidad en línea, que reduciría sustancialmente el riesgo del “fraude electrónico”. ”

“Carlos Melegatti, director del SINPE, dijo que ese sistema hará “prácticamente imposible” cometer fraudes con phishing, pharming (el usuario es redireccionado a un sitio electrónico que parece del banco) y keyloggers (programas que registran lo tecleado y lo envían al estafador). ”“Aquí, muchos bancos utilizan solo un mecanismo (número de usuario y palabra clave) para verificar la identidad, pese a que desde el 2005 las cinco instituciones de supervisión financiera de EE. UU. advirtieron que es “inadecuado”. ”“En el 2007, casi 500 costarricenses fueron víctimas de fraude electrónico y perdieron más de ¢800 millones, pues los bancos le asignan todo el riesgo al usuario y no devuelven el dinero. ”“En países desarrollados, la carga de la prueba les corresponde a los bancos: deben probar que el fraude ocurrió por culpa del cliente o reintegrar el dinero.”

Extractos de http://www.nacion.com/ln_ee/2008/marzo/03/economia1444077.html  

BCR borró claves de 150.000 clientes 

“El mensaje era un intento de estafa electrónica conocida como phishing , con la cual se busca robar los datos de acceso de los usuarios . 
Extractos de http://www.nacion.com/ln_ee/2007/marzo/10/pais1025489.html  OIJ captura a 16 implicados en fraude bancario por Internet “Jorge Rojas expresó que al inicio los casos eran por sumas entre $3.000 (¢1,5 millones) y $10.000 (¢5,2 millones), pero recientemente recibieron una denuncia por una estafa de $200.000 (¢104 millones). 

Extractos de http://www.nacion.com/ln_ee/2007/agosto/16/sucesos1205806.html  
 

BN y BCR apelaron condenas por fraudes bancarios por Internet

“BN ha recibido seis condenas y BCR, dos; hay más demandas en proceso” “Los jueces confirmaron que los sistemas de banca electrónica de esas instituciones no fueron suficientemente seguros.” 

Extractos de http://www.nacion.com/ln_ee/2008/diciembre/27/pais1823082.html



a.ramirez
julio 31, 2009 15:59

Sea el primero en calificar este post

  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Tags: ,
Categorías: General
Acciones: E-mail | Permalink | Comentarios (0) | Comment RSSRSS comment feed

Correos de Costa Rica estrena tienda en Internet

julio 14, 2009 15:39 por a.ramirez

El 2 de julio Correos de Costa Rica dio un nuevo paso adelante mediante la presentación de su Sistema de Comercio Electrónico.

El sistema desarrollado por Hermes - Soluciones de Internet permitirá a todos los amantes de la filatelía en Costa Rica y alrededor del mundo adquirir de forma segura las mejores estampillas y una serie de nuevos productos relacionados.

Gracias a la tecnología implementada Correos de Costa Rica podrá administrar su catálogo electrónico e incluir en el cuantos productos y especificaciones de los mismos desee.

Según el comunicado de prensa emitido por Juan Carlos Saborío, Gerente Comercial de Correos de Costa Rica “La venta de filatelia por Internet es una práctica que muchos correos en el mundo han desarrollado y con muy buenos resultados, es por eso que nosotros esperamos que esta iniciativa tenga aceptación y que muchas personas puedan conocer las cosas hermosas de nuestro país. También representa un primer paso para la venta de nuestros servicios por la red”.

Los pedidos serán remitidos al cliente mediante los servicios EMS (courier) o correo certificado, “con el fin de garantizar la seguridad de cada envío, ya que ambos servicios ofrecen la posibilidad de seguimiento desde el momento de la compra hasta la entrega final”.

 

Para visitar la Tienda ingrese a https://www.correos.go.cr/sc/

Ver noticia del lanzamiento en La Nación http://www.nacion.com/ln_ee/2009/julio/02/aldea2015278.html

 

 

COLECCION PARQUES NACIONALES 2007 BARVA CAPITAL DEL AGUA Y EL ARTE



a.ramirez
julio 14, 2009 15:39

Actualmente calificado con 5.0 por 1 personas

  • Currently 5/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Tags: , , ,
Categorías: Noticias
Acciones: E-mail | Permalink | Comentarios (0) | Comment RSSRSS comment feed