Porwebmaster
¿QUÉ PASA SI SE EMITE UN CERTIFICADO DE FIRMA DIGITAL EN UN TOKEN QUE NO CUMPLE CON LA POLÍTICA ÚNICA DE CERTIFICACIÓN DE ONTI (OFICINA NACIONAL DE TECNOLOGÍAS DE LA INFORMACIÓN)?
- Invalidez del proceso y responsabilidad de la AR
- Los Oficiales de Registro tienen la obligación de rechazar cualquier solicitud que no cumpla con los requisitos técnicos y procedimentales establecidos.
- Si igual se emite el certificado, se estaría incumpliendo la Política Única y el Manual de Procedimientos, lo que constituye una falta grave atribuible a la Autoridad de Registro (y específicamente al Oficial de Registro que aprobó el trámite).
- Responsabilidad legal y administrativa de la AC ONTI
- La AC ONTI es legalmente responsable por los certificados emitidos bajo su licencia, incluso si parte de la operatoria está delegada en una AR.
- Emitir en un token no conforme puede considerarse un incumplimiento de la Ley 25.506 y del Decreto 2628/02, lo que puede derivar en sanciones administrativas e incluso en la revocación de la licencia.
En resumen: emitir un certificado en un token no conforme viola la Política Única de Certificación, expone a la AR y a la AC ONTI a sanciones.
- Posible revocación del certificado
- La Política Única prevé que cualquier certificado emitido de forma incorrecta o con información/datos no conformes puede ser revocado de inmediato por la AC ONTI.
- Riesgo de nulidad de las firmas digitales generadas
- Si el token no cumple con las normas de seguridad exigidas (por ejemplo, FIPS 140-2 nivel 2 o superior), podría considerarse que no hay garantía suficiente de integridad y confidencialidad de la clave privada, lo que afectaría la validez jurídica de las firmas emitidas con ese certificado.
En resumen: emitir un certificado en un token no conforme viola la Política Única de Certificación puede derivar en la revocación inmediata del certificado y en la posible invalidez legal de las firmas realizadas con él.
- Posibles consecuencias jurídicas
- En un juicio o auditoría, una contraparte podría impugnar la validez de la firma alegando que el dispositivo no era seguro y que por lo tanto no es una “firma digital” reconocida por la ley, sino una firma electrónica (que tiene menos fuerza probatoria).
- Si el juez acepta esa impugnación, la firma se considera nula o no válida como firma digital, y pierde su presunción legal de autoría e integridad.
Probar que un documento fue firmado digitalmente con un token que no cumplía los requisitos de seguridad de ONTI se puede hacer combinando análisis técnico y revisión documental.
La prueba decisiva suele venir del peritaje del token y la confirmación de que no tenía certificaciones exigidas al momento de emitir el certificado.
Proceso de verificación de cumplimiento del token
[1] Documento firmado digitalmente
▼
[2] Extracción del certificado digital incrustado
– Herramientas: OpenSSL, Adobe Acrobat (vista avanzada), software forense.
– Datos obtenidos: Serie, emisor, OID de política, algoritmo y longitud de clave.
▼
[3] Verificación de emisión
– Consultar en repositorios de AC ONTI.
– Identificar la Autoridad de Registro (AR) que emitió.
– Obtener fecha y detalles técnicos de emisión.
▼
[4] Solicitud de trazabilidad de emisión a AC ONTI / AR
– Marca y modelo del token usado.
– Certificaciones declaradas por el solicitante.
– Documentación de validación del Oficial de Registro.
▼
[5] Análisis técnico del token
– Inspección física y peritaje del hardware.
– Verificación de versión de firmware y soporte de algoritmos.
– Confirmación de certificaciones en bases NIST/FIPS.
▼
[6] Comparación con la Política Única de Certificación vigente
– ¿Cumple FIPS 140-2 nivel 2 o superior?
– ¿Soporta RSA de 2048 bits mínimo?
– ¿Estaba homologado por NIST al momento de emisión?
▼
[7] Resultado
– SI cumple → Firma digital válida (Ley 25.506).
– NO cumple → Firma digital degradada a firma electrónica o impugnada en juicio.
Porwebmaster
- Invalidez del proceso y responsabilidad de la AR
- Los Oficiales de Registro tienen la obligación de rechazar cualquier solicitud que no cumpla con los requisitos técnicos y procedimentales establecidos.
- Si igual se emite el certificado, se estaría incumpliendo la Política Única y el Manual de Procedimientos, lo que constituye una falta grave atribuible a la Autoridad de Registro (y específicamente al Oficial de Registro que aprobó el trámite).
- Responsabilidad legal y administrativa de la AC ONTI
- La AC ONTI es legalmente responsable por los certificados emitidos bajo su licencia, incluso si parte de la operatoria está delegada en una AR.
- Emitir en un token no conforme puede considerarse un incumplimiento de la Ley 25.506 y del Decreto 2628/02, lo que puede derivar en sanciones administrativas e incluso en la revocación de la licencia.
En resumen: emitir un certificado en un token no conforme viola la Política Única de Certificación, expone a la AR y a la AC ONTI a sanciones.
- Posible revocación del certificado
- La Política Única prevé que cualquier certificado emitido de forma incorrecta o con información/datos no conformes puede ser revocado de inmediato por la AC ONTI.
- Riesgo de nulidad de las firmas digitales generadas
- Si el token no cumple con las normas de seguridad exigidas (por ejemplo, FIPS 140-2 nivel 2 o superior), podría considerarse que no hay garantía suficiente de integridad y confidencialidad de la clave privada, lo que afectaría la validez jurídica de las firmas emitidas con ese certificado.
En resumen: emitir un certificado en un token no conforme viola la Política Única de Certificación puede derivar en la revocación inmediata del certificado y en la posible invalidez legal de las firmas realizadas con él.
- Posibles consecuencias jurídicas
- En un juicio o auditoría, una contraparte podría impugnar la validez de la firma alegando que el dispositivo no era seguro y que por lo tanto no es una “firma digital” reconocida por la ley, sino una firma electrónica (que tiene menos fuerza probatoria).
- Si el juez acepta esa impugnación, la firma se considera nula o no válida como firma digital, y pierde su presunción legal de autoría e integridad.
Probar que un documento fue firmado digitalmente con un token que no cumplía los requisitos de seguridad de ONTI se puede hacer combinando análisis técnico y revisión documental.
La prueba decisiva suele venir del peritaje del token y la confirmación de que no tenía certificaciones exigidas al momento de emitir el certificado.
Proceso de verificación de cumplimiento del token
[1] Documento firmado digitalmente
▼
[2] Extracción del certificado digital incrustado
– Herramientas: OpenSSL, Adobe Acrobat (vista avanzada), software forense.
– Datos obtenidos: Serie, emisor, OID de política, algoritmo y longitud de clave.
▼
[3] Verificación de emisión
– Consultar en repositorios de AC ONTI.
– Identificar la Autoridad de Registro (AR) que emitió.
– Obtener fecha y detalles técnicos de emisión.
▼
[4] Solicitud de trazabilidad de emisión a AC ONTI / AR
– Marca y modelo del token usado.
– Certificaciones declaradas por el solicitante.
– Documentación de validación del Oficial de Registro.
▼
[5] Análisis técnico del token
– Inspección física y peritaje del hardware.
– Verificación de versión de firmware y soporte de algoritmos.
– Confirmación de certificaciones en bases NIST/FIPS.
▼
[6] Comparación con la Política Única de Certificación vigente
– ¿Cumple FIPS 140-2 nivel 2 o superior?
– ¿Soporta RSA de 2048 bits mínimo?
– ¿Estaba homologado por NIST al momento de emisión?
▼
[7] Resultado
– SI cumple → Firma digital válida (Ley 25.506).
– NO cumple → Firma digital degradada a firma electrónica o impugnada en juicio.