Boletín Oficial Nº 28.612 del 24/Mar/97

El Decreto Nº 660 del 24 de Junio de 1996, el Decreto Nº 998 del 30 de Agosto de 1996, el Acta de fecha 30 de Diciembre de 1996 del Subcomité de Criptografía y Firma Digital integrante del Comite de Usuarios de Procesamiento de Imágenes (C.U.P.I.) y

Que dentro de las acciones asignadas a la competencia de la Secretaría de la Función Pública de la Jefatura de Gabinete de Ministros, se encuentran las de promover el estudio y el análisis del valor legal de los documentos electrónicos y de los sistemas tendientes a resguardar la seguridad y la privacidad de la información contenida en medios electrónicos, como así también las de proponer las medidas y dictar las normas que promuevan el perfeccionamiento de la organización y el adecuado funcionamiento de la Administración Pública Nacional.

Que en virtud de la competencia atribuída por el Decreto Nº 660/96, modificado por el Artículo 2º del Decreto 998/96 la Dirección Nacional de Coordinación e Integración Tecnológica de la Secretaría de la Función Pública de la Jefatura de Gabinete de Ministros ha participado en el Subcomité de Criptografía y Firma Digital creado en julio de 1996 e integrado por funcionarios de distintos organismos de la Administración Pública Nacional, cuya misión ha sido la de analizar y proponer medidas relacionadas con la incorporación de la tecnología de firma digital a los procesos de información del sector público, y los aspectos legales vinculados.

Que como resultado de dicho análisis, se elaboró el documento por el cual se aprobaron las conclusiones finales acerca de las pautas técnicas a tener en cuenta en una normativa de firma digital, que figura en el Anexo del presente, el que debe ser utilizado como base fundamental para una normativa útil y eficiente para la difusión del empleo de la firma digital en el sector público.

Que la Administración Pública Nacional no puede permanecer ajena a los avances tecnológicos y al empleo de los nuevos medios que provee el mercado, especialmente cuando contribuyen a aumentar la productividad de sus organismos, a optimizar el manejo de la información y a reducir los costos de almacenamiento y el traslado del papel.

Que la tecnología necesaria para otorgar seguridad a los documentos digitales, así como al intercambio de información digital, se encuentra actualmente disponible, habiendo alcanzado un razonable grado de confiabilidad y seguridad.

Que resulta conveniente brindar el marco normativo que favorezca el empleo y difusión de aquellas tecnologías en el ámbito de la Administración Pública Nacional.

Que es competencia de la Secretaría de la Función Pública de la Jefatura de Gabinete de Ministros, dictar el marco regulatorio para el establecimiento de las políticas sobre tecnologías referidas a la informática, teleinformática, tecnologías multimedios, instalaciones y comunicaciones asociadas y otros medios y sistemas electrónicos, conforme lo establecido en el Anexo II del Decreto Nº 660/96, modificado por el Artículo 2º del Decreto Nº 998/96

Art. 1º - Adherir y adoptar como propias las conclusiones aprobadas mediante el acta de fecha 30 de diciembre de 1996 por el Subcomité de Criptografía y Firma Digital del Comite de Usuarios de Procesamiento de Imágenes (C.U.P.I.), y que como Anexo es parte integrante de la presente resolución.

Art. 2º - Autorizar el empleo en el ámbito de la Administración Pública Nacional de la tecnología enunciada en el Anexo aludido en el artículo precedente, para la promoción y difusión del documento y firma digitales, en los términos y con los alcances allí definidos.

Art. 3º - Comuníquese, publíquese, conjuntamente con su Anexo, dése a la Dirección Nacional del Registro Oficial y archívese.- Claudia E. Bello.

En Buenos Aires, a los treinta días de diciembre de 1996, en el Salón de Comisiones del Banco Central de la República Argentina, se reunieron los integrantes del Subcomité de Criptografía y Firma Digital, con el fin de aprobar las conclusiones finales acerca de las pautas técnicas que deberían tenerse en cuenta en la normativa de firma digital. Luego de un intercambio de opiniones se aprueba el documento que se agrega como Anexo.

Las conclusiones aludidas serán remitidas al Comite de Usuarios de Procesamiento de Imágenes (C.U.P.I.) para su posterior conocimiento.

No siendo para más, firman los presentes en el lugar y fecha indicados en el encabezamiento a las 14:00 hs.:

1.1. Normar la equiparación de la firma digital a la firma ológrafa para permitir la digitgalización y despapelización de los circuitos administrativos del Estado.

1.2. Crear las condiciones para el uso confiable del documento digital suscripto digitalmente en el ámbito del sector público.

1.3. Reducir el riesgo de fraude en la utilización de documentos digitales al suscribirlos digitalmente.

La necesidad de elevar la producción del Estado, simplificando sus sistemas administrativos y de gestión y mejorando su transparencia, propicia la introducción de mecanismos informáticos a tal fin. Estos mecanismos informáticos, como por ejemplo el correo electrónico y la gestión de formularios electrónicos (wordflow) utilizan al documento digital (mensaje, registro o archivo informático) como principal medio de almacenamiento y transporte de la información.

Ciertos procedimientos administrativos manejan documentos cuya información debe ser oponible a terceros. Al informatizar dichos procedimientos, se impone a su vez que los documentos digitales producidos en consecuencia, sean también oponibles a terceros.Esto sólo puede lograrse mediante el empleo de la firma digital sustentada por un marco normativo apropiado que equipare la firma digital la firma ológrafa.

La oponibilidad frente a terceros de un documento digital requiere simultáneamente de la identificación del autor y la garantía de integridad de su contenido, lo cual únicamente puede lograrse mediante la firma digital y según mecanismos apropiados.

Consecuencia de la omisión en la normativa del requisito de utilización de firma digital a través de mecanismos apropiados: La ausencia de esta precisión acarreará la falta de garantía suficiente de la identificación del autor y la integridad del contenido del documento, por lo que la utilización de otros mecanismos que no brinden la misma garantía, imposibilitarían que la documentación fuera oponible a terceros.

Este punto constituye la esencia de la normativa, al permitir que quienes opten por utilizar documentos digitales suscriptos digitalmente obtengan garantías legales similares a las que brinda la firma ológrafa sobre el soporte papel.

La firma ológrafa permite simultáneamente identificar a su autor así como imputarle la autoría del texto que precede a la misma. Por ello, el mecanismo de firma digital a ser utilizado deberá cumplir con estos requisitos básicos de, simultáneamente identificar al autor, y asegurar la integridad del contenido.

Consecuencias de la omisión de equiparar la firma digital a la firma ológrafa: Sin este equiparación en la normativa, el documento digital suscripto digitalmente no sería oponible a terceros, imposibilitándose así las iniciativas de modernización tecnológica, informatización y despapelización del Estado.

La criptografía asimétrica (también denominada de clave pública) constituye el único método actualmente capaz de implementar la firma digital, pues cumple con las características esenciales de la firma ológrafa, es decir que permite simultáneamente identificar en forma inequívoca al autor y verificar indubitablemente que el mensaje no ha sido alterado desde el momento de su firma (integridad), en la medida en que se hayan tomado todos los recaudos necesarios para una buena implementación.

El mecanismo de clave pública es el único que no requiere la divulgación de la clave privada (secreta) utilizada por el firmante para suscribir o comprobar la firma digital de un documento, por lo que constituye el único sistema capaz de dar lugar a una firma digital que, en el marco de una adecuada normativa, sea oponible a terceros.

Consecuencias de la omisión del requerimiento de criptografía de clave pública en la normativa: En la actualidad, para documentos digitales, ningún otro mecanismo permite simultáneamente identificar en forma inequívoca al autor y verificar que el mensaje no ha sido alterado desde el momento de su firma (integridad), con lo cual la firma digital no podría equipararse con la ológrafa y el documento digital no sería oponible a terceros de omitirse la metodología de criptografía de clave pública (asimétrica) en la regulación legal.

La autoridad certificante de claves públicas certifica la correspondencia entre una clave pública y la persona física o jurídica titular de la misma, mediante la emisión de un certificado de clave pública. Este certificado permite identificar inequívocamente al firmante del documento digital, evitando así la posibilidad de repudio.

Consecuencias de la omisión del requerimiento de autoridades certificantes de claves públicas y de certificados de clave pública: Al no poder asociar una clave pública con su titular, no sería posible identificar inequívocamente al firmante de un documento digital, por lo que el documento sería repudiable y el sistema carecería de confiabilidad.

- Enunciar los requisitos que debe reunir una entidad para actuar como autoridad certificante.

- Establecer las causales de revocación o suspensión de la licencia de una autoridad certificante.

- Establecer en todos los casos la publicidad de sus procedimientos de modo de permitir su conocimiento por terceros.

- Establecer las bases de control a través de auditorías, a fin de evaluar la gestión de las autoridades certificante.

- Determinar los alcances de la responsabilidad por la actuación de las partes involucradas (autoridades certificantes, titulares de pares de claves, y organismos de contralor).

- Determinar las condiciones de vigencia de los certificados de clave pública(emisión, aceptación, revocación, suspensión y expiración).

- Establecer los derechos y obligaciones del suscriptor y de la autoridad certificante emisora.

- Establecer los requisitos de publicación de los certificados revocados o suspendidos.

El objetivo en la redacción de una normativa de esta especie debe ser el contemplar estándares tecnológicos de mínima que aseguren la determinación de la autoría de la firma digital y la inalterabilidad del contenido del documento digital así suscripto.

La propuesta de utilizar criptografía de clave pública no es restrictiva por las siguientes razones:

- Aunque en el futuro se desarrollen otros mecanismos para implementar firmas digitales, las futuras normativas que los implementen no tienen necesariamente que invalidar el de clave pública, de la misma manera que la normativa que se propone no invalidará la utilización de la firma ológrafa.

- Una normativa de este alcance no debe hacer referencia a una tecnología en particular. El mecanismo de clave pública no es una tecnología, sino una familia de métodos matemáticos (algoritmos) que admiten distintas implementaciones tanto de hardware como en software. De la misma manera, la implementación de la firma ológrafa no se relaciona con el tipo de papel utilizado.

- El requerimiento de clave pública no es restrictivo puesto que especifica a una familia de algoritmos criptográficos y no a uno en particular, permitiendo la utilización posterior de nuevos algoritmos más eficientes a medida que sean descubiertos y probados.

- Los mecanismos criptográficos simétricos por su naturaleza, requieren que la misma clave secreta sea utilizada para encriptar como para desencriptar. Al necesariamente tener que compartir la clave secreta, la misma deja de serlo por lo que cualquier documento digital "firmado" digitalmente por medio de un mecanismo de criptográfico simétrico, sería pasible de repudio. De hecho no existe ninguna posibilidad lógica de implementar la firma digital basada en mecanismos criptográficos simétricos. Como consecuencia, para evitar el problema del repudio, en 1977 se idearon los mecanismos criptográficos asimétricos (también denominados "de clave pública") que emplean DOS (2) claves distintas pero intimamente relacionadas: la clave privada, que se mantiene secreta, nunca se divulga y se utiliza para firmar documentos digitales, y la clave pública que se publica y se utiliza para verificar las firmas basadas en la correspondiente clave privada.

- El Comité de Seguridad de la Información de la Sección de Ciencia y Tecnología de la Asociación de Abogados de los E.E.U.U. en su Normativa de Firma Digital recomienda la utilización del mecanismo de clave pública como única alternativa para otorgarle a la firma digital el tratamiento de la firma ológrafa. Dicho Comité está integrado por representantes de los siguientes organismos gubernamentales:

· Departamento de Justicia de Canadá

· Estado de Massachusetts, EE.UU

· Secretaría de Estado de Georgia, EE.UU

· Gobierno de Quebec, Canadá

· Condado de Los Angeles, California, EE.UU

· Administración Norteamericana del Espacio, EE.UU

· Administración Nacional de Seguridad, EE.UU

· Estado de Utah, EE.UU

· Departamento de Estado, EE.UU

· Servicio de Inspección Postal, EE.UU

· Administración de la Seguridad Social de los EE.UU

· Fiscalía de Estado de Utah, EE.UU

y de las siguientes instituciones:

· Sociedad Americana de Notarios Públicos

· Cámara de Comercio de Quebec, Canadá

· Federación Nacional de Cámaras de Comercio e Industria de Bélgica

· Instituto Internacional de Leyes

· Unión Internacional de Notarios Latinos - Italia

· Asociación Nacional de Notarios, EE.UU

· Asociación de Notarios de Inglaterra

· Asociación de Notarios Públicos de Londres, Inglaterra

· Consejo de Comercio Internacional de los EE.UU·

· Universidad de Montreal, Canadá

· Universidad de Derecho de Miami, Florida , EE.UU

- Múltiples estándares internacionales de firma digital requieren el mecanismo de clave pública.

- El mecanismo de clave pública tiene amplia difusión y no está relacionado con ningún proveedor o país en particular.

La normativa sobre firma digital permitirá:

- La digitalización de cualquier circuito de información.

- La generalización de la utilización de firma digital a través de la adopción de pautas uniformes que permitan verificar la autenticidad e integridad de los documentos digitales que requieran firma para su validez, y

- Un menor riesgo de fraude en los documentos digitales suscriptos digitalmente.

(Fuente: Adaptación de http:// www.verisign.com / faqs/nota_faq_html - Appendix 1)

La criptografía de clave pública utiliza un par de claves. Cada clave efectúa una transformación unívoca sobre los datos y es función inversa de la otra clave: sólo una clave puede "deshacer" lo que su par ha "hecho". El poseedor de una clave pública la da a conocer manteniendo secreta su clave privada. Para enviar un mensaje confidencial, el autor lo codifica (encripta) con la clave pública del receptor. El mensaje encriptado de esa manera sólo puede ser decodificado (desencriptado) con la clave privada del receptor. En sentido inverso, el emisor puede codificar sus datos con su clave privada, o sea que la clave puede ser utilizada en ambas direcciones. Esta es la base de la "firma digital", ya que si un usuario puede desencriptar un mensaje con la clave pública de una persona, sólo esta última pudo haber usado su clave privada inicialmente par encriptarlo. Partiendo de que sólo el poseedor de la clave privada puede utilizarla, el mensaje encriptado se transforma en una firma digital, es decir un documento que ninguna otra persona pudo haberlo generado.

Una firma digital se crea aplicando un algoritmo de "hash" (proceso que permite obtener un mensaje de longitud menor a partir de un documento, siendo prácticamente imposible encontrar otro mensaje que genere el mismo resumen) sobre un mensaje de texto. El resultado de este proceso es un digesto o resumen. Luego se encripta el digesto con la clave privada del individuo. El receptor del mensaje desencripta la firma digital y luego recalcula el digesto. Luego este nuevo digesto es comparado con el digesto del mensaje contenido en la firma. Si ambas coinciden, se concluye que el mensaje no ha sido alterado. Al utilizar la clave pública del emisor para verificar la firma, se comprueba que el texto tiene que haber sido firmado con la clave privada conocida únicamente por el emisor. Este proceso de autenticación se incorporará en todas las aplicaciones consideradas seguras.

Los usuarios de estas tecnologías de firma digital generalmente anexan su clave pública al documento enviado, de manera tal que el receptor no necesita localizar dicha clave en un repositorio de claves públicas. Pero ¿Cómo puede el receptor asegurarse de que esa clave pública, o inclusive del directorio público, pertenece realmente a la persona que dice poseerla? ¿Puede un tercero ingresar en la red como un usuario legítimo, esperando y observando cómo otros sin saberlo, envían documentos sensibles y/o secretos a una cuenta falsa creada por ese impostor?

La solución es el certificado de clave pública, una especie de "pasaporte" o identificador digital. El certificado (que contiene la clave pública del usuario) ha sido firmado por alguien confiable: Una Autoridad Certificante. El notario público da sustento al proceso de claves públicas dando fe de la identidad del poseedor de la clave pública en la solicitud de aprobación del firmante.