Identificación, Autenticación y Firma
PARA EL A2, LEER Y QUEDARSE CON EL RESUMEN. PERO UTILIZAR ESTOS SISTEMAS COMUNES EN LOS DIAGRAMAS
Introducción
La llegada de la Ley 39/2015 trajo a consigo una de las novedades más importantes de la legislación hasta entonces vigente: la separación entre identificación y firma electrónica y la simplificación de los medios para acreditar una u otra, de modo que, con carácter general, sólo será necesaria la primera, y se exigirá la segunda cuando deba acreditarse la voluntad y consentimiento del interesado.
Artículo 14 - Ley 39/2015 - Derecho y obligaciones de relacionarse electrónicamente con las AAPP
14.2 En todo caso, estarán obligados a relacionarse a través de medios electrónicos con las Administraciones Públicas para la realización de cualquier trámite de un procedimiento administrativo, al menos, los siguientes sujetos [...]
14.3 Reglamentariamente, las Administraciones podrán establecer la obligación de relacionarse con ellas a través de medios electrónicos para determinados procedimientos y para ciertos colectivos de personas físicas que por razón de su capacidad económica, técnica, dedicación profesional u otros motivos quede acreditado que tienen acceso y disponibilidad de los medios electrónicos necesarios.
Respecto a la firma, ha sido actualizada mediante la aplicación de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza y el Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014 (eIDAS).
IDENTIFICACION
Se entiende como identidad digital o identidad 2.0 al conjunto de elementos necesarios para garantizar la identidad a través de medios electrónicos. El colectivo sobre los que se aplica la identificación digital, hablando siempre en un entorno de la organización será:
Conceptos:
La identificación es la capacidad de identificar de forma exclusiva a un usuario de un sistema o una aplicación que se está ejecutando en el sistema. La autenticación es la capacidad de demostrar que un usuario o una aplicación es realmente quién dicha persona o aplicación asegura ser. En los accesos por usuario y contraseña, la identificación sería el ID de usuario, y la autenticación la comprobación de contraseña correcta en el momento de la conexión.
La autorización protege los recursos importantes de un sistema, ya que limita el acceso solamente a los usuarios autorizados y a sus aplicaciones. Impide que los recursos se utilicen sin la autorización necesaria. Roles. Perfiles.
Identificación de los interesados
Referencias legales:
Artículo 9 de la Ley 39/2015.
Modificado por RDL 14/2019, de 31 de octubre.
IMPORTANTEArtículo 9 - Ley 39/2015 - Sistemas de identificación de los interesados en el procedimiento
Los interesados podrán identificarse electrónicamente ante las Administraciones Públicas a través de los sistemas siguientes:
a. Sistemas basados en certificados electrónicos reconocidos o cualificados de firma electrónica (personas físicas) o sello electrónico expedidos por prestadores de la “Lista de confianza de portadores de servicios de certificación”. i.e, con el DNI-e.
b. Sistemas de clave concertada y cualquier otro sistema que las Administraciones consideren válido.
- Claves concertadas en un registro previo → i.e Cl@ve
- Información conocida por ambas partes → i.e declaración de la renta
- Otros sistemas no criptográficos, en los términos y condiciones que se determinen. → En estos casos hay que justificar por qué se usa. Además, la AAPP debe garantizar la integridad, no repudio por partes de los documentos y certificar el contenido y existencia de las actuaciones. La admisión de estos sistemas se aprueba por Orden Ministerial o resolución del titular del organismo, previo informe de la Comisión de Estrategia TIC.
FNC-Autentica: el servicio común de Firma No Criptográfica para empleados de las AAPP
FNC-Autentica es el servicio común de Firma No Criptográfica para empleados públicos que da soporte a la Resolución de 23 de febrero de 2022, de la Secretaría General de Administración Digital(Abre en nueva ventana) , por la que se establecen las condiciones de uso de firma electrónica no criptográfica vinculada a "AutenticA", para la relación con la Administración General del Estado y sus organismos públicos y entidades de derecho público vinculados o dependientes.
Se trata de un servicio en red integrable en aplicaciones de cualquier Administración Pública que requieran firma electrónica por parte de empleados al servicio de las AAPP.
El servicio es totalmente configurable de manera independiente para cada aplicación integrada, y entre las funcionalidades que ofrece se encuentran:
- Previsualización de la información que se firmará y obtención del consentimiento del firmante
- Verificación de la identidad del firmante
- Firma de la información (en formatos PADES y XADES) y generación de justificante de firma
- Sellado de tiempo y generación de CSV
- Recopilación de evidencias de firma
- Consulta de veracidad del documento/justificante (desde la Sede Funciona)
- Consulta/Descarga de evidencias de firma
Mediante este nuevo servicio común, se evita que cada organismo o cada aplicación tenga que realizar su propia implementación de la firma no criptográfica vinculada a Autentica, tal y como se describe en la resolución que autoriza su utilización. De este modo, se obtiene un importante ahorro en los costes de desarrollo de las aplicaciones,
la modificación donde se establecen los requisitos en relación con los sistemas de identificación.
Recursos técnicos para la recogida, almacenamiento, tratamiento y gestión de dichos sistemas deben encontrarse en el territorio de la Unión Europea.
Si afecta a categorías de datos especiales a los que se refiere el artículo 9 del Reglamento (UE) 2016/679 , en territorio español.
Aunque no va a ser necesario transcribir el texto de la ley en el ejercicio, no olvides tener en cuenta los requisitos adicionales que introduce esta modificación, y reflejarlos en las preguntas del ejercicio, en especial si lo preguntan específicamente. Y por supuesto, mencionar ley y artículos en algún momento del ejercicio
Cl@ve
Proporciona la plataforma para identificación y autenticación de ciudadanos basada en claves concertadas, que utilizará los distintos niveles de calidad ofrecidos en función del grado de seguridad que le queramos dar al sistema.
| Nivel de calidad | Sistema de Identificación | Nivel ENS | Proveedor de servicios de identificación y autenticación | Posibles ejemplos de uso |
|---|---|---|---|---|
| Nivel 4 ALTO | dni-e Y Otros certificados cualificados con soporte HW(DCCF) | ALTO | @FIRMA | Acceso a datos de salud u otros de nivel ALTO |
| Nivel 3 SUSTANCIAL | - Certificados electrónicos reconocidos en soporte SW - @CLAVE permanente con OTP claves concertadas con SMS - @CLAVE ocasional con registro fuerte | MEDIO | @FIRMA GISS | Acceso a expedientes con info PERSONAL de nivel de protección MEDIO |
| Nivel 2 bajo | - Cl@ve ocasional (antes PIN 24H) con registro básico. - Cl@ve permanente sin OTP -> CLAVES CONCERTADAS SIN SMS | BAJO | AET - GISS | Acceso a expedientes con info PERSONAL de nivel de protección BAJO |
Para ciudadanos extranjeros → nodo eIDAS
Reconocimiento europeo de identidades electrónicas.
Aceptación DNI-e en Adm. europeas
Identificación de ciudadanos europeos en SSPP españoles con su medio de identificación origen
España ha notificado el DNI-e como válido para autenticación a través del nodo eIDAS
Identificación de los empleados públicos
Autentica
AutenticA es el servicio común para la autenticación, SSO y autorización de empleados públicos y usuarios relacionados (*) en el acceso a aplicaciones internas de las AAPP.
- Dispone de un repositorio horizontal de usuarios provenientes de fuentes primarias (RCP, Funcionarios locales con habilitación Nacional, Registro de Altos Cargos…).
- Provee atributos de los usuarios, como la unidad y el puesto, el email y teléfono.
- La opción de autorización es opcional, pudiendo estar delegado en la aplicación.
- Trabaja con certificados o con usu/pass.
- Integrado con Cl@ve.
- Integrado con DIR3.
se puede extender con precaución a personal externo como usuarios internos de la aplicación.
El LDAP o el DA del organismo, sería una alternativa al uso de AutenticA.
Identificación de las Administraciones
Artículo 40 - Ley 40/2015 - Sistemas de identificación de las Administraciones Públicas. Las Administraciones Públicas podrán identificarse mediante el uso de un sello electrónico basado en un certificado electrónico reconocido o cualificado que reúna los requisitos exigidos por la legislación de firma electrónica.
Firma electronica
Paradigma del Reglamento (UE) 910/2014, eIDAS: las personas firman, las entidades sellan.
Firma de los interesados
Referencias legales:
- Artículo 10 de la Ley 39/2015.
- Modificado por RDL 14/2019, de 31 de octubre.
Artículo 10 - Ley 39/2015 - Sistemas de firma de los interesados en el procedimiento
- Sistemas de firma cualificada y avanzada, basado en certificados electrónicos cualificados [...]
- Sistemas de sello electrónico cualificado y avanzado basados en certificados electrónicos cualificados [...]
- Cualquier otro sistema que las Administraciones Públicas consideren válido en los términos y condiciones que se establezca, siempre que cuenten con un registro previo como usuario que permita garantizar su identidad, previa autorización por parte de la Secretaría General de Administración Digital del Ministerio de Política Territorial y Función Pública, que solo podrá ser denegada por motivos de seguridad pública, previo informe vinculante de la Secretaría de Estado de Seguridad del Ministerio del Interior.
fire, Suite @Firma
fire
FIRe es una solución integral de firma electrónica que permite simplificar todos los requisitos de creación de firmas basadas tanto en certificados locales como en certificados en la nube.
Gracias a FIRe las aplicaciones ya no tienen que gestionar los componentes de realización de firmas como el Miniapplet, Autofirma o Clave Firma y pueden centrarse en su negocio ya que todas las cuestiones relativas a la firma se delegan en FIRe.
Compuesto por:
- API Fire
- Servidor Fire
@firma
Plataforma de servicios de validación y firma electrónica multi-PKI @firma, como un servicio de validación de certificados y firmas electrónicas, desacoplado de las aplicaciones.
Es una solución de referencia para cumplir con las medidas de Identificación y autentificación descritas en la Ley 39/2015 del Procedimiento Administrativo Común de las Administraciones Públicas
Cuando así lo disponga expresamente la normativa reguladora aplicable, las Administraciones Públicas podrán admitir los sistemas de identificación contemplados en esta Ley como sistema de firma cuando permitan acreditar la autenticidad de la expresión de la voluntad y consentimiento de los interesados.
Ejemplo de firmas no criptográficas:
La SGAD, en su Resolución de 14 de julio de 2017, estableció un mecanismo de firma electrónica no criptográfica mediante el uso de Clave. La resolución indica todos los pasos que deben seguirse y la información que debe almacenarse para asegurar la validez de la firma.
El Ayuntamiento de Madrid, en el Acuerdo de 26 de febrero de 2019 del Pleno por el que se aprueba la Ordenanza de Atención a la Ciudadanía y Administración Electrónica, introduce el concepto de Firma Biométrica como firma válida para los ciudadanos.
En la segunda vuelta puedes probar a buscar ejemplos u opciones por las que podrías utilizar firma no criptográfica. ¿Tendría sentido en algún caso? ¿Por qué utilizarla? ¿Cuándo no?
En caso de utilizar Firma no criptográfica, será a través de Cl@ve
Firma del empleado publico
Ley 40/2015, art. 43. Firma electrónica del personal al servicio de las Administraciones Públicas
1.[...] mediante firma electrónica del titular del órgano o empleado público.
2.Cada Administración Pública determinará los sistemas de firma electrónica que debe utilizar su personal, los cuales podrán identificar de forma conjunta al titular del puesto de trabajo o cargo y a la Administración u órgano en la que presta sus servicios. Por razones de seguridad pública los sistemas de firma electrónica podrán referirse sólo el número de identificación profesional del empleado público.
La AEPD y la idoneidad o no de que el DNI del empleado público aparezca en trámites de la Administración Pública. Link. Esta información no es necesaria para escribir el ejercicio, es solo conocimiento general y para la defensa.
Firma de Administraciones
Ley 40/2015, art. 42. Sistemas de firma para la actuación administrativa automatizada
a) Sello electrónico de Administración Pública, órgano, organismo público o entidad de derecho público, basado en certificado electrónico reconocido o cualificado que reúna los requisitos exigidos por la legislación de firma electrónica.
b) CSV - Código seguro de verificación vinculado a la Administración Pública, órgano, organismo público o entidad de Derecho Público, en los términos y condiciones establecidos, permitiéndose en todo caso la comprobación de la integridad del documento mediante el acceso a la sede electrónica correspondiente
Para verificar la autenticidad sin necesidad de acceder a la sede para cotejar el CSV se podrá superponer a éste la firma mediante sello electrónico.
Si el localizador es predecible, se denomina CVE (Código de Verificación Electrónica), como es el caso del número generado en el BOE.
Si es impredecible, se denomina CSV (Código Seguro de Verificación).
Garantiza, mediante cotejo en la Sede:
- Integridad
- Autenticidad
- Vinculación del documento (no repudio)
Referencias en la Ley:
- Ley 40/2015 - art. 40. - Actuación Administrativa Automatizada
- Ley 39/2015 - art.27. - Validez y eficacia de las copias realizadas por las AAPP
Ley 40/2015, art. 44. Intercambio electrónico de datos en entornos cerrados de comunicación
- [1] Los documentos electrónicos transmitidos en entornos cerrados de comunicaciones establecidos entre Administraciones Públicas, órganos, organismos públicos y entidades de derecho público, serán considerados válidos a efectos de autenticación e identificación de los emisores y receptores en las condiciones establecidas en este artículo
- [2] Si pertenecen a una misma Administración Pública, → ésta determinará las condiciones y garantías por las que se regirá que, al menos, comprenderá la relación de emisores y receptores autorizados y la naturaleza de los datos a intercambiar
- [3] Si los participantes pertenecen a distintas Administraciones → condiciones y garantías establecidas mediante convenio.
- [4] En todo caso deberá garantizarse la seguridad del entorno cerrado de comunicaciones y la protección de los datos que se transmitan
Cuando sea obligatorio que el personal utilice dispositivos cualificados de creación de firma (ENS nivel alto, por ejemplo), es necesario contar con un teclado con lector de tarjetas inteligentes ISO 7816, para insertar su dispositivo cualificado de creación de firma en el que se aloja su certificado de personal al servicio de las AAPP, para el acceso al portal y la firma de documentos.
Sello de tiempo
La posibilidad de emitir válidamente por medios electrónicos los documentos administrativos viene descrita en la Ley 39/2015, el cual se indica que, además de la firma electrónica, deben incluir una referencia temporal cuando la naturaleza del documento así lo requiera. Dicha referencia temporal debe de ser realizada por medios electrónicos a través de cualquier prestador de servicios de sellado de tiempo admitidos por la Administración General del Estado.
Artículo 26 - Ley 39/2015 - Emisión de documentos por las Administraciones Públicas
Para ser considerados válidos, los documentos electrónicos administrativos deberán:
- c) Incorporar una referencia temporal del momento en que han sido emitidos
- d) Incorporar los metadatos mínimos exigidos.
- e) Incorporar las firmas electrónicas que correspondan …
Ahora bien, la referencia temporal puede ser de 2 tipos:
- Marca de tiempo
- Marca de tiempo: asignación por medios electrónicos de la fecha y, en su caso, la hora a un documento electrónico
- Puede ser generada por cualquier aplicación (simplemente obteniendo la fecha y hora de la red SARA con el protocolo NTP, por ej.)
- Será utilizada en todos aquellos casos en los que las normas reguladoras no establezcan la utilización de un sello de tiempo
- Sello de tiempo
- Sello de tiempo: asignación por medios electrónicos de la fecha y la hora, pero con la intervención de un prestador de servicios de certificación que asegure la exactitud e integridad de la marca de tiempo del documento.
- Requiere la intervención de un tercero (PSC reconocido por el Ministerio de Industria)
- Será utilizada cuando:
- Se especifique claramente en la norma reguladora.
- Sistemas donde haya un nivel ALTO de trazabilidad según el ENS
- Sistemas con Autenticidad e Integridad con nivel MEDIO o ALTO
La marca de tiempo puede ser igual de precisa que un sello ya que la referencia temporal puede obtenerse a través de la hora de un servidor sincronizado mediante el protocolo NTP con una fuente de tiempo fiable y precisa.
Entidad solicitante → calcula el hash del documento a sellar, y compone una petición RFC o WS- para invocar al servicio de generación de la TS@
La Autoridad de Sellado → comprueba el correcto formato de las peticiones y genera un sello de tiempo acorde al estándar RFC 3161 u OasisDSS, que contiene: HASH + (FECHA-HORA de fuente fiable) + Firma-e de la TSA
El sello de tiempo se envía a la entidad solicitante. La TSA mantiene un registro de sellos emitidos para su futura verificación.
Un sello de tiempo se puede generar para cualquier documento electrónico (imagen, audio, video...) ya que, como paso previo del envío de la petición al servidor, se aplica un algoritmo de hash. Por tanto, no hay un límite en el tamaño de los datos
El resellado de tiempo consiste en la renovación de un sello de tiempo emitido con anterioridad para reemplazar el algoritmo de hash empleado o por la proximidad de la fecha de caducidad del certificado de la TS@ con la que se firmó el sello. Es una especificación de OASIS enmarcada en sus estándares de Servicios de Firma Digital (DSS). El proceso es similar al de sellado solo que en el nuevo sello de tiempo generado se incluye el sello de tiempo anterior.
Resolución de 27 de octubre de 2016, de la SEAP, por la que se aprueba la Norma Técnica de Interoperabilidad de Política de Firma y Sello Electrónicos y de Certificados de la Administración
TS@
La Autoridad de Sellado de Tiempo (TS@) proporciona servicios de sellado de tiempo sincronizados con la hora oficial del Estado (ROA = Real Observatorio de la Armada) como la emisión de sellos de tiempo y la validación.
Está disponible para las diferentes Administraciones Públicas sea cual sea su ámbito: Administración General del Estado, Comunidades Autónomas, Diputaciones Provinciales o Entes Locales.
Técnicamente:
Solución basada en software libre, estándares abiertos y java. Generación de sellos basados en los estándares RFC3161 y XMLTimeStampToken.
- Según notación abstracta ASN.1, cumpliendo con la especificación de la IETF RFC3161
- WS para integración con aplicaciones (SOAP)
Estas funciones están desplegadas en dos tipos de interfaces: una basada en el protocolo TCP y https, para la solicitud de sellos de tiempo RFC316 y la otra basada en WS-Security para la generación de sellos, validación y resellado.
Servicios disponibles:
- Solicitar sello de tiempo: generación de un sello de tiempo.
- Validar sello: verificación de la validez de un sello contenido en una firma digital
- Solicitar resellado de tiempo: para preservar la longevidad de los sellos generados sobre documentos o transacciones.
Beneficios de la plataforma TS@
- Reducción de costes, optimizando el coste de los servicios
- Innovación convirtiéndose en la primera Autoridad de Sellado sincronizada con el ROA que proporciona servicios horizontales a las AAPP
- Promover y facilitar el cumplimiento de la Ley 39/2015, garantizando la acreditación a cargo de un tercero de confianza de la fecha y hora de realización de cualquier operación o transacción por medios electrónicos.
RESUMEN
Las leyes 39 y 40 son las que rigen el uso de los medios de identificación y firma.
- ¿Cuándo, dónde y en qué términos utilizar cada uno de ellos?
Los Servicios Comunes que nos facilitan soluciones horizontales en las AAPP son:
- Autentic@ → Para Identificación y autenticación. Personal interno (y opcionalmente personal externo).
- Cl@ve → Para identificación (y firma no criptográfica)
- Mediante Certificado / Dni-e
- Clave permanente
- Clave PIN
- Nodo eIDAS → ciudadanos europeos
- Fire y Suite aFirma → Firma electrónica on premise o integración con SGAD
- TS@ → Sellado, validación, resellado. → Integrado con el ROA.
No olvidemos el ENI, que define los formatos interoperables de los documentos a firmar