Sofe Applet Vs Sofeweb Y Firma Desatendida - Fundación Instituto de Ingeniería para Investigación y Desarrollo Tecnológico

Autor: Jesús R. Colmenares. Centro de Seguridad Informática y Certificación Electrónica (CESICE)-FIIIDT.

RESUMEN

¿Existe la Firma electrónica en Venezuela?

Si, y esta abalada por la Ley Sobre Mensajes de Datos y Firmas Electrónicas publicada en la Gaceta Oficial Nº 37.076 de fecha 13 de diciembre del 2000, y en el Reglamento Parcial del Decreto Ley Sobre Mensajes de Datos y Firmas electrónicas publicado en la Gaceta Oficial N° 38.086 del 14 de diciembre de 2004, y también lo regula la normativa impuesta por la Superintendencia de Servicios de Certificación Electrónica (SUSCERTE).

Ahora bien, según el artículo 2 de la Ley Sobre Mensajes de Datos y Firmas Electrónicas se le “Otorga y reconoce eficacia y valor jurídico a la Firma Electrónica, al Mensaje de Datos y a toda información inteligible en formato electrónico, independientemente de su soporte material, atribuible a personas naturales o jurídicas, públicas o privadas”. Por lo que se entiende que, cuando para determinados actos o negocios jurídicos la ley exija la firma autógrafa (manuscrita), ese requisito quedará satisfecho en relación con un Mensaje de Datos al tener asociado una Firma Electrónica.

“Desde el Decreto-Ley Nº 1.240 sobre Mensajes de Datos y Firmas Electrónicas, en el 2001, se crea la figura de la Firma Electrónica, equivalente funcional y jurídicamente a la firma autógrafa tradicional. Entre las particularidades de la Ley, se destaca que para que una firma electrónica sea válida y tener efectos jurídicos, ha de estar debidamente certificada por un Proveedor de Servicios de Certificación.

En Venezuela se cuenta con dos proveedores de Servicios de Certificación (PSC) que son: PROCERT, C.A., empresa privada y la Fundación Instituto de Ingeniería para la Investigación y Desarrollo Tecnológico (FII), la cual es un ente público, ambos acreditados por Superintendencia de Servicios de Certificación Electrónica (SUCERTE), para otorgar certificados electrónicos naturales o jurídicos.

También son necesaria tecnología de cifrados algorítmicos que en conjunto con dichos certificados son una parte fundamental para la generar la Firma Electrónica.

CONCEPTOS BASICOS

SUSCERTE: Ente adscrito al Ministerio del Poder Popular para la Ciencia y Tecnología “promueve a los entes y órganos del Poder Público el uso de la Firma Electrónica en documentos, mediante actos administrativos a través de certificados emitidos por los Proveedores de Servicios de Certificación (PSC) acreditados por nosotros,”
FIRMA ELECTRÓNICA: (A veces también llamada e-firma) se puede decir que es un concepto jurídico, electrónico equivalente a la firma manuscrita, donde una persona acepta y da por validado el contenido de un mensaje electrónico a través de cualquier medio electrónico que sea legítimo y legal.
PROVEEDOR DE SERVICIOS DE CERTIFICACIÓN (PSC): Centro de Seguridad Informática y Certificación electrónica-CSICE, como Proveedor de Servicios de Certificación Electrónica FII, mantiene una Infraestructura de Clave Pública alineado a las normas y estándares Nacionales e internacionales que rigen la materia, lo cual garantiza un estricto cumplimiento de la Ley de Mensajes de Datos y Firmas Electrónicas.

INTRODUCCIÓN

Tipos de Certificados Electrónicos PSC-FII

Persona Natural: Este tipo de CE autoriza la firma de correo electrónico y documentos con el CE en nombre de la persona natural que figura como signatario.
Persona Jurídica: Este tipo de CE autoriza la firma de correo electrónico y documentos con el CE en nombre de la persona Jurídica que figura como signatario.
Empleado Público: Firma electrónica (Digital Signature) y/o cifrado de los mensajes de correo electrónico y documentos que gestione dentro de la institución pública a nombre del Empelado Público como signatario.
Firma Desatendida: Utilizado para identificar a una persona jurídica, empresa o sociedad a la hora de efectuar trámites haciendo uso de la firma electrónica desatendida. En este caso, la entidad jurídica está representada por un responsable legal, que actúa en nombre de la empresa que representa.
Servidor WEB (SSL): Utilizado para acreditar la identidad del servidor en la red, garantizando la transmisión de los datos cifrados.
Servidor E-MAIL: Utilizado para asegurar y garantizar la integridad de los correos, usuarios, contraseñas en el servidor de correo. TLS Web Client Authentication, TLS Web Server Authentication, Microsoft Server Gated Crypto, Netscape Server Gated Crypto, E-mail Protection.
Servidor VPN: Utilizado para acreditar tanto la identidad del emisor como la protección en las transacciones/comunicaciones en un canal seguro.
Firma de Código: Utilizado para garantizar la autenticidad y la integridad del código de un software.

HERRAMIENTAS PARA LA REALIZACIÓN DE LA FIRMA ELECTRONICA

Sistema Online de Firma Electrónica (SOFE).

Es una pequeña aplicación Web desarrollada bajo la plataforma de JAVA por el Proveedor de Servicios de Certificación Electrónica del Estado Venezolano, el cual permite a todos los usuarios generar y verificar las firmas electrónicas en cualquier formato como el internacional #PCKS7 (.p7s) y la Firma de Documentos en PDF, utilizando la Tarjeta Inteligente (Smartcards) #PKCS11 o archivos #PKCS12.

Esta herramienta depende del complemento JAVA PLUGINS y su compatibilidad con las antiguas versiones de los navegadores. A fines de 2015, muchos navegadores anunciaron o eliminaron el soporte de los complementos basados en estándares de PLUGINS, En consecuencia, Oracle planea desaprobar el complemento de JAVA PLUGINS en JDK 9.

Con los principales navegadores (Internet Explorer, Edge, Chrome y Firefox) restringiendo y reduciendo el soporte de plugins en sus productos, no tiene sentido seguir generando actualizaciones al SOFE APPLET, si no es compatible con los navegadores modernos y requiere de esta tecnología para funcionar y por ende los usuarios no podrán actualizar, quedando obsoletos.

FUNCIONAMIENTO DEL SOFE APPLET

Se necesita del navegador Mozilla no mayor a su versión 50, de JAVA no mayor a su versión 8, del Linux no mayor a su versión del kerner 4.15 y de Windows que no esté en 64bits.
El cliente o usuario debe poseer un Certificado Electrónico (jurídico, natural o público) y debe estar incluido en los TOKEN #PKCS11 o #PKCS12.
Luego debe ingresar al navegador, colocar en la URL la dirección de su Sistema y ubicarse en el link del APPLET al momento de generar la firma.
El SOFE APPLET valida la tarjeta.
El usuario ingresa el pin de la tarjeta.
El SOFE APPLET valida el pin.
El usuario ingresa la clave de su certificado (tarjeta).
El SOFE APPLET valida la clave del certificado.
Si Posee un certificado valido.
El SOFE APPLET carga el certificado contenido en la tarjeta validada e indica el estatus, la fecha y la cadena de confianza para el mismo.
El SOFE APPLET carga el certificado contenido en la tarjeta al keystore, bajo el estándar X509.
El SOFE APPLET transporta por SFTP los archivos en formato PDF, desde el servidor a la máquina del cliente.
El SOFE APPLET firma el HASD del documento PDF con la clave privada del Certificado.
El SOFE APPLET transporta por SFTP los archivos en formato PDF ya firmados, desde el cliente al servidor.
PDF queda listo para ser usado.

VENTAJAS DEL USO DEL SOFE APPLET

Es fácil de hacer que funcione en FreeBSD, Linux, Microsoft Windows y MacOS, es decir, para que sea multiplataforma.

DESVENTAJAS DEL USO DEL SOFE APPLET

FUNCIONAMIENTO DEL SOFE WEB Y FIRMA DESATENDIDA

Se Despliega con cualquier navegador, no requiere de JAVA en el cliente y no depende de ninguna distribución de Sistema Operativo.
El Certificado Electrónico (jurídico, natural o público) debe estar incluido en el TOKEN #PKCS12.
El usuario debe ingresar al navegador, colocar en la URL la dirección de su Sistema y colocar el código enviado por correo o mensaje al momento de generar la firma.
El SOFEWEB valida el código o mensaje enviado.
El SOFEWEB busca en DB la clave del usuario cifrada
usuario ingresa la clave de su certificado (tarjeta).
El SOFEWEB valida la clave del certificado.
Si Posee un certificado valido.
El SOFEWEB carga el certificado contenido en la tarjeta validada e indica el estatus, la fecha y la cadena de confianza para el mismo.
El SOFEWEB carga el certificado contenido en la tarjeta al keystore, bajo el estándar X509.
El SOFEWEB transporta por SFTP los archivos en formato PDF, desde el servidor SFTP al servidor de firmas.
El SOFEWEB firma el HASD del documento PDF con la clave privada del Certificado.
El SOFEWEB transporta por SFTP los archivos en formato PDF ya firmados, desde el servidor de firmas al servidor del SFTP.
PDF queda listo para ser usado.

VENTAJAS DEL USO DEL SOFEWEB

Es multiplataforma.
No depende de ninguna distribución de Java.
No depende del cliente al momento de generar la firma.
La Firma Electrónica se realiza del lado del servidor.
Usa seguridad de mensajería de texto y validación por correo
La clave del Certificado se encuentra cifrada en la DB

DESVENTAJAS DEL USO DEL SOFEWEB

El Certificado se encuentra en el servidor.

REFERENCIAS

Contacto: ramses.wolverine@gmail.com