Judiciales

El sistema aplica la firma digital a cada documento, siendo el resultado de aplicar un  algoritmo matemático, denominado función hash, a su contenido y, seguidamente, aplicar el algoritmo de firma (en el que se emplea una clave privada) al resultado de la operación anterior, generando la firma digital. Además efectúa varias validaciones, entre las cuales podemos mencionar:

• Vigencia del certificado digital del firmante,
• Revocación del certificado digital del firmante (puede ser por OCSP o CRL).

La función hash es un algoritmo matemático que permite calcular un valor resumen de los datos a ser firmados digitalmente. Funciona en una sola dirección, es decir, no es posible, a partir del valor resumen, calcular los datos originales.

Cuando la entrada es un documento, el resultado de la función es un número que identifica inequívocamente al texto. Si se adjunta este número al texto, el destinatario puede aplicar de nuevo la función y comprobar su resultado con el que ha recibido.

Ello no obstante, este tipo de operaciones no están pensadas para que las lleve a cabo el usuario, sino que se utiliza software que automatiza tanto la función de calcular el valor hash como su verificación posterior.

Para que sea de utilidad, una función hash debe satisfacer dos importantes requisitos:

• Debe ser difícil encontrar dos documentos cuyo valor para la función hash sea idéntico.
• Dado uno de estos valores, debe ser imposible producir un documento con sentido que de lugar a ese valor hash.
• Existen funciones hash específicamente designadas para satisfacer estas dos importantes propiedades. SHA y MD5 son dos ejemplos de este tipo de algoritmos.
• Algunos sistemas de cifrado de clave pública se pueden usar para firmar documentos. El firmante cifra el hash calculado de un documento con su clave privada y cualquiera que quiera comprobar la firma y ver el documento, no tiene más que usar la clave pública del firmante para descifrar el hash, y comprobar que es el que corresponde al documento.

Un algoritmo efectivo hace uso de un sistema de clave pública para cifrar sólo la firma. En particular, el valor "hash" se cifra mediante el uso de la clave privada del firmante, de modo que cualquiera pueda comprobar la firma usando la clave pública correspondiente.

Si el documento se modifica, la comprobación de la firma fallará, pero esto es precisamente lo que la verificación se supone que debe descubrir.

El Digital Signature Algorithm es un algoritmo de firmado de clave pública que funciona como hemos descrito. DSA es el algoritmo principal de firmado que se usa en GnuPG.

Notificaciones, dictado de sentencias, pruebas en expedientes, todo apunta a minimizar tiempos procesales.

Lex-Doctor propone la inserción de la "firma digital" en el ámbito judicial, constituyendo un importante paso que promete dejar atrás demoras en tramitaciones ante la Justicia, acelerar los tiempos procesales, brindar un resguardo adecuado de la información y hasta cambiar la forma en que se realizan las notificaciones en la Justicia.

También se lo utiliza para pedir antecedentes penales, enviar notificaciones, para el dictado de sentencias de ejecución, entre otros ejemplos dependiendo de la jurisdicción. 

Estos objetivos son los que la tecnología de Lex-Doctor propuesta, apuntan a su adopción en la "administración" judicial para instalarse a la hora de llevar adelante juicios e incluso, avanza entre los distintos organismos del sector público.

El alcance de la tecnología permitiría conectar digitalmente, para el intercambio de documentación segura, con otros organismos de envergadura, tal es el caso de la Administración Federal de Ingresos Públicos (AFIP) y la Administración Nacional de la Seguridad Social (ANSES), quienes  fueron de los primeros en solicitar licencias para poder otorgar certificados de este tipo.

En este contexto, la firma digital hoy representa una nueva metodología que se implementa en la Justicia "para poder validar a un firmante y verificar la integridad del documento que acompaña.
Así, el conjunto de datos bajo la forma digital son utilizados con el fin de "minimizar tiempos procesales y economizar los recursos estatales.

A la vista, este dispositivo se representa por una extensa e indescifrable cadena de caracteres que constituye un número, el cual es el resultado de un procedimiento matemático aplicado a un documento. Por lo tanto, no resulta inteligible como una firma escaneada. 

Una ventaja fundamental que se desprende de la implementación de la firma digital, tiene que ver con el mecanismo de notificaciones. “Utilizando Lex-Doctor con notificación electrónica, se reducirían ampliamente la duración de los juicios”

La incorporación de la firma digital en la administración de Justicia es un paso importante cuando se trata de digitalizar los expedientes y comenzar a prescindir del soporte papel. 

• Presunción de autoría: la presencia de la firma digital en un documento "garantiza, con certeza, quién ha escrito el documento". 

• De integridad: la firma digital permite "presumir que el documento no fue alterado" luego de su emisión. 

• No repudio: se equipara a un documento escrito, firmado de forma manuscrita. Por lo tanto, se presume que proviene del titular.

• Descripción de la plataforma tecnológica de Firma Digital: Software

• La solución se implementa con el software open source "EJBCA" de la empresa PrimeKey.

• Garantiza la inalterabilidad de los documentos
  El sistema mas allá de los niveles de seguridad impuestos a nivel de base de datos y de los niveles de seguridad impuestos a nivel de aplicativo en cuanto a funcionalidad, le agrega un nivel de garantía a la inalterabilidad de los documentos, permitiendo que el usuario firme digitalmente el documento mediante el uso de su firma digital.

• Garantiza la autenticidad del origen del mensaje
  Este aspecto de seguridad protege al receptor del documento, garantizándole que dicho mensaje ha sido generado por la parte identificada en el documento como emisor del mismo, no pudiendo alguna otra entidad suplantar a un usuario del sistema.
  Esto se logra mediante la inclusión en el documento transmitido de un valor de autenticación (MAC, Message autentication code), siendo que este valor depende tanto del contenido del documento como de la clave secreta en poder del emisor.

• Garantiza el no repudio del origen
  El sistema permite el no repudio de origen y protege al receptor del documento de la negación del emisor de haberlo enviado.
  Este aspecto de seguridad es importante  ya que el emisor no puede negar bajo ninguna circunstancia que ha generado dicho mensaje, transformándose en un medio de prueba inequívoco respecto de la responsabilidad del usuario del sistema.

• Garantiza la Imposibilidad de suplantación
  El sistema permite que la firma haya sido creada por el signatario mediante medios que mantiene bajo su propio control (su clave privada protegida para el manejo de su firma digital está asociada a su certificado de firma que está contenido dentro de la seguridad de la base de datos, asegurando, además, la imposibilidad de su suplantación por otro individuo.

• Garantiza la Auditabilidad
  El sistema permite identificar y rastrear las operaciones llevadas a cabo por el usuario dentro de sí, acumulando y conservando en un repositorio totalmente separado, todo  acceso y /o presentación realizada mediante el uso de certificados de firma.
  Este intercambio de envío y recepción además está garantido por transacciones seguras realizadas a través de SSL de 256 bits de encriptado.

• Independiente de cualquier sistema de correo electrónico.

Software

La solución se implementa con el software open Source, EJBCA, de la empresa PrimeKey.

Tecnologías del sistema

Se encuentra desarrollado bajo Tecnologías Web: Java EE, Jasper Reports, Apache Cocoon, montado sobre Apache Tomcat 7, integrado con Apache Web Server 2.2.

Referencia instalaciones

Esta sección muestra una selección limitada de sitios donde EJBCA se han desplegado con éxito.

• Soluciones PrimeKey AB
• Ministerio de Defensa, Francia
• Ministerio de las finanzas, Francia
• KG AB Knutsson
• Junta Nacional de Policía de Suecia
• Zhuhai Oficina de Impuestos locales
• Grupo Safa
• Serasa.com
• Evaltec
• cliente oculto
• Fimasys
• ACCV
• Infrax Doo
• Edicom
• Zurich, Universidad de Ciencias Aplicadas

La arquitectura de instalación

El siguiente diagrama muestra la configuración con CA, el servicio de OCSP y un servidor externo RA que recibe las solicitudes de certificados. Las  solicitudes periódicamente se envían a la CA y las respuestas obtenidas a la RA externos.

Los servidores pueden ser instalados con el sistema operativo Windows 2003  o superior y/o Linux server kernel 2.5.x o superior y los siguientes aplicativos:
Gestor de Base de datos: cualesquiera del mercado:

• Apache2 with modules
• Kerberos 5
• Java 1.6u4
• JBoss 4.2.2.GA
• EJBCA 3.6
• Apache Ant 1.7.0

Dos servidores generan las funciones de CA, y se encuentran detrás de un firewall, que corta los accesos entrantes.

Un servidor  se encarga de los manejos propios de CA, y el otro se mantiene una replica del la base, utilizando el aplicativo Slony.

El OCSP, y los servidores externos RA se encuentran detrás de un firewall que admite consultas a estos servidores por puertos específicos.

Los servidores externos RA, se comunican con el CA por decisión de este, siguiendo un esquema de pooleo para las solicitudes.

Ejemplo de Información Publicada en Internet

La información será publicada en: www.(su-poder-judicial).gob.ar
Se adjunta un ejemplo de lo publicado:

La página pública  permitirá descargar los siguientes certificados, listas o realizar las siguientes tareas:

• Certificado público de la autoridad certificante en diversos formatos.
• El certificado publico del servicio OCSP.
• La lista de CRL.
• El último certificado publico de un usuario.
• Listado de los usuarios certificados.
• Listado de la información pública de los usuarios certificados.
• Chequear el estado de un certificado en particular

Ejemplo de Información de estados de los certificados digitales

A continuación se describen los diferentes estados que pueden tener los certificados digitales durante la visa útil de los mismos, o durante el mismo proceso de certificación.

• NUEVO: se entiende como nuevo, al estado que tiene el subscriptor o entidad final  cuando este fue dado de alta pero no se la ha generado todavía un certificado general.
• FALLADO: es el estado que tienen los certificados cuando han fallado en alguno de sus procesos.
• INICIALIZADO: es cuando el certificado esta listo para que el subscriptor o entidad final  genere dicho certificado.
• EN PROCESO: el certificado se encuentra “en proceso” cuando  dicho certificado se encuentra en procesamiento de datos.
• GENERADO: es el  del certificado ya operativo, con la firma fue generada por el cliente, y está en condiciones de ser usado. La generación se realiza bajo la norma RFC 4387, cuyo título es : Certificate Store Access via http.
• REVOCADO: cuando el certificado ha sido revocado por cualquier razón.
• HISTÓRICO: es el estado cuando la validez ha expirado pero se sigue conservando dicho archivo.
• KEY RECOVERY: proceso  cuando el certificado está a la espera de ser generado y se revierte dicha generación por alguna causa, como por ejemplo, la perdida de la contraseña (password) por parte del  subscriptor o entidad final.