Marco Legal

General de la
conformidad de
las Firmas
Digitales

Si tienes actualmente un empleo mediocre y

recibes en tu correo electrnico personal una
magnfica oferta de trabajo, en la cual te exigen
que te presentes al da siguiente para empezar,
renunciaras de inmediato a tu empleo actual?
Creo que no renunciaras. Probablemente
pensaras que:
1)
2)

3)

El mail puede ser la estafa de un impostor;

Aun cuando el remitente fuera autntico, su texto
puede haber sido hackeado y adulterado por un
tercero;
Aun cuando el remitente fuera autntico y el texto
estuviera ntegramente conservado, cmo podras
obligar al remitente a cumplir su palabra? Siempre
podr decir que alguien se escabull en su PC y lo
suplant.

On the Internet,
Nobody Knows You're a Dog.

Condiciones necesarias y suficientes para que un

documento electrnico tenga el mismo efecto legal
que un documento manuscrito:
-Que se garantice su autenticidad.
-Que se garantice la integridad de su texto.
-Que el remitente no pueda repudiar su documento
con el cuento de que alguien lo suplant.
Existe un camino tecnolgico para lograr estos
objetivos: la criptografa asimtrica o de clave
pblica.
Para comprenderla, empecemos por recordar qu
es la criptografa simtrica.

Encriptemos
esta arenga!

Pero, qu es la criptografa
asimtrica o criptografa de clave
pblica?
Veamos En la criptografa de Julio
Csar, el emisor y el receptor deben
compartir una clave privada

En la Criptografa Asimtrica, cada persona tiene

dos claves: una privada y una pblica. La clave
pblica es conocida por todo el mundo. La clave
privada la conoce slo su titular.
Las dos claves realizan operaciones matemticas
inversas.
Si encriptas con tu clave privada, al resultado se
le llama firma digital y, aplicando tu clave
pblica, el destinatario verificar quin fue el
firmante.
Si encriptas con la clave pblica del destinatario,
nadie ms que l podr descrifar el mensaje.
Cada vez que envas informacin confidencial por
Internet (por ejemplo, el nmero de la tarjeta de
crdito para comprar un libro o un CD), algn
sistema de criptografa asimtrica se pone en
funcionamiento automtico.

1.

Generar un par de nmeros primos grandes: p y q.

2. n = pq
3. Elegir e entre 3 y (n-1), que sea relativamente primo a (p-1) y
(q-1).
4. El nmero d se obtiene de e, p y q (no veremos aqu
cmo se obtiene).
5. Los nmeros (n, e) conforman la Clave Pblica de Mr. Z. Los
nmeros (n,d) conforman su Clave Privada.
6. Sea m el mensaje que quiero enviar a Z. Para encriptar m,
hacemos la siguiente operacin: me mod n. Denotamos c al
resultado.
7. Para obtener m a partir de c Z efecta la siguiente
operacin: cd mod n.
8. La relacin entre e y d asegura que las operaciones de
encriptamiento y desencriptamiento son inversas.
9. Sin (n, d) es casi imposible recobrar m a partir de c.

e decodifica m para obtener el mensaje M

Resumen del Esquema de cifrado

para privacidad.
1. Alicia toma el mensaje M y aplica un proceso de
codificacin para que la computadora entienda al mensaje
M como un nmero entero m.
2. Alicia aplica la clave pblica del destinatario Bob,
obtenindose el nmero c.
3. Alicia enva el nmero entero c a Bob.
4. Al recibir este nmero, Bob aplica su clave privada (que
slo l conoce) y dado que sus dos claves hacen
operaciones inversas, obtiene el entero m
5. Se decodifica m para obtener el mensaje M

Resumen del Esquema de cifrado (para autenticidad)

1. Alicia toma el mensaje M y aplica un proceso de
codificacin para que la computadora entienda al mensaje
M como un nmero entero m.
2. Alicia aplica su clave privada al nmero m, obtenindose
el nmero c.
3. Alicia enva el nmero entero c al destinatario Bob.
4. Al recibir este nmero, Bob aplica la clave pblica de
Alicia (accesible mediante el Certificado Digital de Alicia,
que es pblico) y dado que sus las claves del emisor hacen
operaciones inversas, obtiene el entero m
5. Se decodifica m para obtener el mensaje M

Ahora veremos la Infraestructura Oficial

de Firma Electrnica en el Per

I.

Marco normativo

II.

Elementos de una PKI Firma digital

III.

Infraestructura Oficial de Firma Electrnica (IOFE)

IV.

Componentes de la IOFE

V.

Rol del INDECOPI en la IOFE

 2000: Ley de Firmas y Certificados Digitales

(27269)
2002: Reglamento (Decreto Supremo 018-2002JUS).
2008 Guas de Acreditacin publicadas por
INDECOPI.
2008: Reglamento vigente de la ley (Decreto
Supremo 052-2008-PCM).

 Autoridad Administrativa Competente

(AAC)
Entidad de Certificacin (EC)
Entidad de Registro (ER)
Entidades Prestadoras de Servicios de
Valor Aadido
Certificados Digitales
Firmas Electrnicas
Hardware y Software
Prcticas de Certificacin y Sistemas de
Gestin

Firma Digital (PKI)

Una firma digital es un conjunto de datos asociados a un mensaje
digital que permite garantizar la identidad del firmante y la integridad
del mensaje.
Claves Pblicas y Claves privadas?
En la elaboracin de una firma digital y en su correspondiente
verificacin se utilizan procedimientos matemticos
basados en criptografa asimtrica, tambin
llamada criptografa de clave pblica.
El sistema opera de tal modo que la informacin
firmada digitalmente con la clave privada
slo puede ser verificada con la clave pblica.
En consecuencia, si es posible verificar un mensaje
utilizando la clave pblica de una persona, entonces
puede afirmarse que el mensaje lo gener esa persona utilizando su
clave privada (probando su autora y la integridad de la informacin).

Firma Digital (PKI)

Confidencialidad

Cifrado
Autenticacin

Certificados
Integridad

Firma Digital
No repudio

Certificado y Firma Digital

La IOFE es la Infraestructura de Clave Pblica peruana

y est conformada por los elementos correspondientes
de una PKI convencional.
Es un sistema confiable, acreditado, regulado, y
supervisado por la Autoridad Administrativa Competente
INDECOPI-.
La firma digital emitida dentro de la IOFE, tiene la
misma validez y eficacia jurdica que el uso de una
firma manuscrita.
La IOFE queda definida en el Reglamento de la Ley de
Firmas y Certificados Digitales (Decreto Supremo 0522008-PCM).

Dentro de la IOFE podrn operar Entidades de Certificacin

(EC) y Entidades de Registro (ER) tanto del sector privado
como del sector pblico.
Las entidades que prestan servicios de certificacin digital
para el sector pblico, tienen una denominacin particular:

La ECERNEP o Entidad de Certificacin Nacional del

Estado Peruano.
Las ECEP o Entidades de Certificacin del Estado
Peruano.
Las EREP o Entidades de Registro del Estado
Peruano.

AAC

ECERNEP

EC

EC

EC

ECEP

ECEP

ECEP

ER

ER

ER

EREP

EREP

EREP

A) Autoridad Administrativa Competente (AAC):

Es la entidad que evala, acredita, supervisa, revoca o
cancela la acreditacin a las entidades prestadoras de
servicios de certificacin.
Dicta las normas complementarias y aprueba el uso de
estndares.
El INDECOPI ha sido designado para cumplir este rol.
B) Entidad de Certificacin Nacional para el Estado Peruano
(ECERNEP):
Es la entidad encargada de emitir los certificados raz
para las Entidades de Certificacin para el Estado
Peruano (ECEP).
Cumple esta funcin de manera exclusiva.
Propone las polticas y estndares para las ECEP y
las EREP.

C) Entidades de Certificacin para el Estado Peruano (ECEP)

Estn encargadas de emitir o cancelar los certificados digitales
para usos propios del sector pblico.
Ofrecern un servicio de directorio permitiendo el acceso a los
certificados digitales emitidos y a la lista de certificados digitales
revocados.
D) Entidades de Registro y Verificacin para el Estado Peruano
(EREP)
Estn encargadas del levantamiento de datos, comprobacin
de la informacin, identificacin y autenticacin del
solicitante.
Aceptan y autorizan solicitudes de emisin y cancelacin de
certificados adems de realizar su gestin ante las ECEP.

En una Infraestructura de Clave Pblica, los Certificados

Digitales contienen las Claves Pblicas de sus titulares.
Por tanto es bsico que los Certificados Digitales sean
impermeables a ataques informticos que intenten adulterar
su contenido.
Para ello la Entidad de Certificacin Digital que emite dichos
Certificados debe tener un nivel slido de competencia tcnica
y administrativa.
INDECOPI evala (mejor dicho, evaluar) dicha competencia
y otorgar el diploma o acreditacin a la Certificadora
Digital; y supervisar su funcionamiento.

Convergencia de proyectos
ECEP
Implementada

ECEP
Acreditada

DNIe
Implementado

Proyecto ECEP

Acreditacin ECEP

Piloto DNIe

Proyecto DNIe

Proyectos en Ejecucin

1. Emite doc.
para notif. con
Firma Digital

SUNAT
Emisor

Buzn
2. Alerta

3. Acceso a
travs de SOL

Contribuyente
receptor

e-mail
Internet
Mvil

Literal b) del artculo 104 del Cod. Tributario

Por medio de sistemas de comunicacin electrnicos
... correo electrnico u otro medio electrnico aprobado por la
SUNAT que permita la transmisin o puesta a disposicin de un
mensaje de datos o documento
La SUNAT mediante Resolucin de Superintendencia
establecer los requisitos, formas, condiciones, el procedimiento
y los sujetos obligados a seguirlo, as como las dems
disposiciones necesarias para la notificacin por los medios
referidos en el segundo prrafo del presente literal.

 Ahorro de Tiempo en la proceso de notificacin.

Ahorro en el costo relacionado con el proceso de
notificacin.
Elimina la posibilidad de extravos
Mejora el control y la transparencia.
Confidencialidad y Seguridad.
Implementar nuevos servicios orientados al
cumplimiento.

PERFIL - B2B

Vendedor
(Emisor
Electrnico)

REQUISITOS

Comprador
(Receptor
Electrnico)

PSE
(Consolidador)

VALIDACIONES
EX - ANTE

REQUISITOS

SUNAT

Business to
Consumer

Factura
000.00
000.00
=====
000.00

Vendedor
(Emisor
Electrnico)

PSE

Internet

(Emisor)

VALIDACIONES
EX - POST

SUNAT

Comprador
(Receptor
Tradicional)

BDT

LE+FD

SW LIBRE

1. El contribuyente
genera y firma sus LE
con su Firma Digital

2. El contribuyente
presenta sus LE
firmados

Acuse

5. El contribuyente
genera 2 CDs con los
LE firmados y el acuse
de recibo
1ra. CD: Domicilio fiscal
2da. CD: Bveda certificada

3. SUNAT recepciona
los LE

4. SUNAT enva acuses de

recibo de los LE recibidos

BD

Firma
Manuscrita

Firma
Digital

Entre la firma digital y la firma manuscrita:

1)
2)

en el caso de la FM, es posible reconocer la firma y sin embargo rechazar el contenido del
documento; en cambio, en el caso de la FD, la autenticidad y la integridad del documento
estn indisolublemente unidos;
la FM es constante (y precisamente ello la vincula exclusivamente a una persona); en
cambio la FD depende de cada signo, cada letra y cada coma del documento que se firma,
y por tanto cambia con cada documento (lo que s es constante, es el par de claves
asignadas al titular del certificado digital).

Descripcin del proceso

Ventajas: sistema ms seguro, ya que suprime la necesidad del envo de

la clave.

Ley 27269
(Ley de Firmas y Certificados Digitales)
Artculo 1.- La presente ley tiene por objeto regular la utilizacin de
la firma electrnica, otorgndole la misma validez y eficacia jurdica
que el uso de una firma manuscrita u otra anloga que conlleve
manifestacin de voluntad.
Artculo 3.- La firma digital es aquella firma electrnica que utiliza
una tcnica de criptografa asimtrica, basada en el uso de un par de
claves nico; asociadas una clave privada y una clave pblica
relacionadas matemticamente entre s, de tal forma que las
personas que conocen la clave pblica no puedan derivar de ella la
clave privada.

Cdigo Civil
Artculo 141.- La manifestacin de voluntad puede ser expresa o
tcita. Es expresa cuando se realiza en forma oral o escrita, a travs
de cualquier medio directo, manual, mecnico, electrnico u otro
anlogo ().
Artculo 141.A.- En los casos en que la ley establezca que la
manifestacin de voluntad deba hacerse a travs de alguna
formalidad expresa o requiera de firma, sta podr ser generada o
comunicada a travs de medios electrnicos, pticos o cualquier
otro anlogo.
Tratndose de instrumentos pblicos, la autoridad competente deber
dejar constancia del medio empleado y conservar una versin ntegra
para su ulterior consulta.

Reglamento de la Ley (Decreto Supremo 052-2008-PCM).- La

firma digital generada dentro de la Infraestructura Oficial de Firma
Electrnica tiene la misma validez y eficacia jurdica que el uso de
una Firma Manuscrita. En tal sentido, cuando la ley exija la firma de
una persona, ese requisito se entender cumplido en relacin con un
mensaje de datos o documento electrnico si se utiliza una Firma
Digital generada en el marco de la IOFE.
Ley 28677 (Ley de Garanta Mobiliaria).- La Garanta Mobiliaria podr
instrumentarse mediante medios electrnicos respaldados por firmas
digitales (artculo 17).

Estructura de la IOFD

Otros
Operadores
Extranjeros

Autoridad Peruana
de Acreditacin

Otros
Gobiernos

Entidad
De
Certificacin

EC

ER

ER

ER

EC


1)
2)
3)
4)

INDECOPI publica de manera permanente en su website

las cuatro Guas de Acreditacin concernientes a:
Entidades de Certificacin Digital,
Entidades de Registro / Verificacin de Datos,
Prestadoras de Servicios de Valor aadido;
Software de firmas digitales.

Estas Guas se encuentran alineadas con las

recomendaciones de la Cooperacin Econmica Asia
Pacfico (APEC).

La etapa siguiente es implementar el modelo de

interoperabilidad basado en la Lista de Certificados
Confiables

Muchas Gracias