ES2251415T3

ES2251415T3 - Metodo electronico para almacenar y recuperar documentos originales autentificados.

Info

Publication number: ES2251415T3
Application number: ES00983863T
Authority: ES
Inventors: Stephen F. Bisbee; Jack J. Moskowitz; Michael W. White; Keith F. Becker; Ellis K. Peterson
Original assignee: eOriginal Inc
Current assignee: eOriginal Inc
Priority date: 1999-12-01
Filing date: 2000-12-01
Publication date: 2006-05-01
Anticipated expiration: 2020-12-01
Also published as: EP1236305A2; NZ519261A; WO2001041360A2; EP1617589A2; EP1617590A3; ATE358371T1; WO2001041360A9; IL149938A0; ATE481788T1; BRPI0016079B1; WO2001041360A3; MXPA02005311A; CA2393116A1; US6367013B1; CA2393116C; EP1617589B1; EP1617590B1; SG115692A1; ATE307437T1; JP2011087323A

Abstract

Un método para manejar objetos originales electrónicos almacenados que han sido creados firmando objetos de información por los respectivos Agentes de Transferencia, someter los objetos de información firmados a una utilidad de custodia fiable, validar los objetos de información firmados remitidos comprobando al menos la integridad del contenido de cada objeto de información firmado y la validez de la firma del respectivo Agente de Transferencia, y aplicar a cada objeto de información validad un sello con la fecha y hora y una firma digital y certificado de autentificación de la utilidad de custodia fiable, que comprende los pasos de: seleccionar un objeto original electrónico almacenado (304): revalidar el objeto original electrónico seleccionado mediante al menos la verificación de la firma digital de la utilidad de custodia fiable aplicada al objeto original electrónico seleccionado (306); y aplicar al objeto original electrónico revalidado un sello con la fecha y hora actuales y una firma digital y certificado de autentificación actual de la utilidad de custodia fiable (308).

Description

Método electrónico para almacenar y recuperar documentos originales autentificados.

Antecedentes

Este invento se refiere a sistemas y métodos para proporcionar una cadena verificable de evidencia y seguridad para la transferencia y recuperación de documentos u otros objetos de información en formatos digitales.

La continuada evolución de los métodos de comercio se hace evidente en el aumento de la sustitución de las comunicaciones en base de papel por comunicaciones electrónicas. Cuando la comunicación se realiza mediante mensajes reproducidos electrónicamente, tales como correos electrónicos, máquinas de facsímil (faxes), reproducción de imágenes, intercambio de daros electrónicos o transferencia de fondos electrónica, sin embargo, no existe ya una firma o un sello que garantice la autenticidad de la identidad de una parte de un trato o transacción. Los métodos tradicionales legalmente aceptados de verificación de la identidad del originario de un documento, tales como la presencia o aparición física, una firma en tinta azul, un testigo personal, un reconocimiento por un Notario Público, no son ya posibles.

Para abordar estos problemas, se ha descrito un sistema de autentificación de documentos (DAS) que proporciona la necesaria seguridad y protección de los objetos de información electrónicos o documentos electrónicos y otros objetos de información, y que utiliza ventajosamente un sistema criptográfico asimétrico para ayudar a asegurar que una parte originaria de un objeto de información sea identificable electrónicamente como tal. Este sistema es un aspecto de los métodos y aparatos para la transmisión, almacenamiento y recuperación seguros de objetos de información que se han descrito en las patentes de EE.UU. nº 5.615.268 y nº 5.748.738, ambas concedidas a Bisbee y otros, y en las patentes de EE.UU. nº 6.237.096 y nº 6.367.013, ambas concedidas a Bisbee y otros.

Como cuestión inicial, será de utilidad comprender la siguiente terminología, que es común en el campo del comercio y comunicaciones electrónicas seguras.

En la "criptografía en clave pública (PKC)" se hace uso de pares de "claves" criptográficas, teniendo cada par una clave privada (secreta) y una clave pública, que están asociadas a los respectivos usuarios registrados. Las claves públicas se publican para cualquiera que las use para cifrar o codificar información destinada a los respectivos usuarios, Solamente el poseedor de la clave privada emparejada puede leer la información, es decir, un documento electrónico o, más en general, un objeto de información, que hubiera sido cifrado usando la respectiva clave pública. A la inversa, un documento electrónico que sea "firmado digitalmente" usando una clave privada del usuario puede ser verificado como de ese usuario por cualquiera que conozca la clave pública del usuario. Las funciones de cifrado y descifrado de ambas claves son realmente "de un solo sentido", lo que significa que nadie puede determinar una clave privada a partir de la correspondiente clave pública, y viceversa, lo que en los sistemas de PKC populares es debido al hecho de que, al menos actualmente, el hallar números primos altos es fácil mediante tratamiento por ordenador, pero la descomposición en factores de los productos de dos números primos altos es difícil de realizar por tratamiento con ordenador. Ejemplos de algoritmos de PKC que cumplen con las normas aplicables gubernamentales o comerciales, son el algoritmo de firma digital (DSA/RSA) y el algoritmo de cálculo probabilístico de la dirección seguro (SHA-1/MDS).

Se han descrito varios aspectos de los sistemas criptográficos en clave pública (PKC) en la bibliografía, incluida la publicación de R.I. Rivest y otros, "A Method for Obtaining Digital Signatures and Public-Key Cryptosystems", Communications of the ACM Vol. 21, págs. 120-126 (Febrero 1978); la de M.E. Hellman, "The Mathematics of Public Key Cryptography", Scientific American, vol 234, n0 8, págs. 146-152, 154-157 (Agosto 1979), y la de W. Diffie, "The First Ten Years of Public Key Criptography", Proceedings of the IEEE, vol. 76, págs 560-577 (Mayo 1988). Es también de hacer notar que para un sistema de PKC, como para otros sistemas criptográficos, la fuerza del sistema, es decir, el esfuerzo de cálculo necesario para romper un mensaje cifrado, depende en gran medida de la longitud de la clave, tal como se ha descrito en la publicación de C. E. Shannon, "Communnication Theory of Secrecy Systems", Bell Sys. Tech. J. vol. 28, págs. 656-715 (Octubre 1949).

Una "firma holográfica" significa una firma escrita. Una "firma holográfica digitalizada" significa una firma escrita que ha sido captada electrónicamente, por ejemplo usando un adaptador de aguja o un escáner para crear una imagen de bits de la firma holográfica.

Una "firma digital" es un elemento de datos que no se puede falsificar, el cual atestigua que el usuario (usuarios) correspondiente(s) a la firma digital escribió o dio de otro modo su conformidad al contenido de un documento electrónico u otro objeto de información en el cual se haya consignado la firma digital. Una firma digital se crea típicamente mediante un proceso de cálculo probabilístico de la dirección del documento electrónico, cifrando la dirección calculada resultante (bloque de integridad) usando la clave privada (secreta) del usuario, y añadiendo como apéndice al documento electrónico el cálculo de la clave cifrado.

Un "certificado de autentificación" es un elemento de datos firmado digitalmente que no puede ser falsificado, que liga la clave pública del usuario a la información de identidad del usuario y que, ventajosamente, aunque no necesariamente, es conforme a la normal internacional X.509 versión 3, "The Directory-Authentication Framework 1988", promulgada por la International Telecommunications Union (ITU). Cada certificado de autentificación incluye la siguiente información crítica necesaria en los procesos de firma y verificación: un número de la versión, un número de serie, una identificación de la Autoridad de Certificación (CA) que expidió el certificado, identificaciones de los algoritmos de dirección calculada y de la firma digital de quien lo haya expedido, un período de validez, una identificación única del usuario que posee el certificado, y la clave de verificación de la firma criptográfica del usuario. Los certificados de autentificación son expedidos y firmados digitalmente por una CA, que es la responsable de asegurar la identificación única de todos los usuarios.

Un certificado de autentificación es una "ID" (identificación) digital, muy similar a lo que es un permiso de conducción de vehículos, u otra documentación que se use para verificar la identidad de una persona. La infraestructura de clave pública original puede usar el certificado X.509v3 que está basado en una norma ISO/ITU, tal como es interpretado según las recomendaciones de la Infraestructura de la Clave Pública de la "Internet Engineering Task Force" (IETF) de la Infraestructura de la Clave Pública X-509(PKIX). Estos certificados son firmados digitalmente por la Autoridad de Certificación que los expide la cual garantiza la integridad tanto del contenido como de la fuente. El acto de la firma digital hace que el certificado sea sustancialmente a prueba de fraude, y por lo tanto no se necesita más protección. La intención con la que se expide el certificado es la de asociar de modo fiable (ligar) el nombre de un usuario a la clave criptográfica pública del usuario. La fuerza de la protección es igual directamente a la fuerza del algoritmo y al tamaño de la clave usada al crear la firma digital del expedidor (algoritmos de la y de la firma digital). Un certificado identifica por lo tanto de modo seguro al propietario del par de claves públicas, que se usa para proporcionar ser-
vicios de autentificación, autorización, cifrado y ausencia de rechazos. Un certificado típico tiene la siguiente forma:

[Versión, Número de Serie, Algoritmos del Expedidor (firmas de búsqueda de la clave y digital), Nombre Diferenciado (DN) del Expedidor, Período de Validez, DN del Sujeto, información de clave pública del sujeto, Identificador Único del Expedidor (opcional), Identificador Único del Sujeto (opcional), clave pública del Expedidor, Extensiones (por ejemplo, Nombre Alternativo del Sujeto)] Firma Digital del Expedidor.

Un DN único se forma concatenando información específica de nominación (por ejemplo, país, localidad, organización, unidad de la organización, dirección de correo electrónico, nombre común).

También se pueden usar extensiones de certificado como un modo de asociar atributos adicionales a claves de usuarios o públicas, y para gestionar la jerarquía de certificados de infraestructura de clave pública. La guía para el uso de las extensiones está disponible en las recomendaciones de la ITU X.509v3 (1993)/ISO/IEC 9594-8:1995, "The Directory: Authentication Framework", o bien en el certificado de infraestructura de clave pública de la IETF Internet X.509 y en el "CRL Profile<draft-ietf-pkix-ipki-part1-11>".

Un certificado de autentificación de usuario va anexo ventajosa y preferiblemente a un documento electrónico con la firma digital del usuario, de modo que sea posible verificar la firma digital. Alternativamente, el certificado puede ser recuperado de la CA expedidora o del archivo del directorio.

La "Public Key Infrastructure (PKI)" (Infraestructura de la Clave Pública) es la jerarquía de las CAs (autoridades de certificación) responsables de expedir certificados de autentificación y claves criptográficas certificadas usadas para firmar digitalmente y cifrar objetos de información. Los certificados y los formatos de certificación se han descrito en la publicación de C.R. Merrill, "Cryptography for Commerce-Beyond Clipper", The Data Law Report, vol. 2, nº 2, págs. 1, 4-11 (septiembre 1994) y en la especificación X.509.

Como se ha descrito en las citadas patentes y aplicación, se hace posible un objeto original electrónico que tiene el mismo peso legal que un documento en papel firmado con tinta azul (por ejemplo, un instrumento negociable) mediante contrato y mediante la tecnología PKI y asociada. Un documento electrónico, o más en general, un objeto de información, se crea, y el objeto de información se ejecuta agregándole como apéndice una o más firmas digitales y certificados de autentificación. El control del objeto de información firmado digitalmente resultante es luego transferido a una Trusted Custodial Utility (TCU) (Utilidad de Custodia Fiable) que es una tercera parte fiable de depósito de objetos de información y que está diseñada específicamente y con poder por contrato para almacenar de modo fiable cualquiera de tales objetos durante toda su vida efectiva. El aspecto contractual es un acuerdo entre la TCU y la parte que somete o remite un objeto firmado digitalmente para quedar obligada por sus firmas digitales y para aceptar la confianza en la TCU como custodio de los objetos de información.

La TCU pone en práctica reglas comerciales definidas para las transacciones manejadas por la TCU (es decir, un conjunto completo de acciones autorizadas). La TCU ejecuta también una política definida de seguridad (es decir, un conjunto de medidas protectoras que son necesarias para evitar acciones no autorizadas). La TCU usa sus reglas comerciales y su política de seguridad para regular las peticiones de transacción y el acceso al depósito durante los respectivos ciclos de vida de todos los documentos y objetos que estén bajo su control, verificando las identidades y autoridades de las partes (locales y remotas) que soliciten los servicios del depósito. La TCU almacena de modo seguro y recupera de modo seguro los documentos u objetos de información electrónicos firmados digitalmente, autentificados y cifrados. A petición, la TCU imprime y expide documentos certificados. La TCU soporta ventajosamente un servidor de señal de paso multipuerto para probar la autenticidad de documentos, para verificar las identidades de las partes firmantes, y para emitir documentos de autentificación. La TCU se encarga de hacer un archivo de y una recuperación en caso de desastre, y garantiza que la información almacenada no se pierde durante un período de retención especificado, ya sea el período especificado por un usuario, o por la ley, o por una regulación.

Se usa una "envoltura" para contener de modo seguro y asociar las firmas digitales escritas a mano y criptográficas digitalizadas asociadas a parte o a la totalidad de uno o más objetos de información electrónicos contenidos en la misma. Las envolturas pueden adoptar la forma de cualquier esquema de sobre estándar o de formateo de objeto de información (documento). Dos ejemplos son la RSA Public Key Cryptographic Standard (PKCS)#7 y el World Wide Web Consortium (W3C) Extensible Markup Language (XML) Signature Syntax and Processing Draft Recommendation. La norma RSA PKCS #7 soporta cero, una, y múltiples firmas digitales en paralelo y en serie (confirma y refrendo). La PCKS #7 soporta atributos autentificados y no autentificados que están asociados con el "bloque de firma". La firma digital del firmante se calcula usualmente sobre la dirección calculada del objeto de información los datos autentificados. Un atributo no autentificado no queda protegido. Algunos otros formatos que proporcionan soporte para sintaxis de firma, procesado y posicionamiento (etiqueta) son el S/MIME, el HTML, el XHTML y el XFDL. Cualquiera de estos formatos de envoltura puede ser aplicado de modo recurrente y ampliarse los lenguajes de margen de utilidad para proporcionar capas de firma y protección.

Un "bloque de firma" incluye al menos dos componentes: información del firmante e información del certificado. La información del firmante contiene la dirección calculada del objeto u objetos de información (contenido) con un atributo de autentificar, firma digital, y atributo no autentificado, como apéndices. Una dirección calculada se calcula tanto sobre el objeto u objetos de información, como sobre los campos de atributos autentificados y el cifrado usando la clave privada del firmante, creándose con ello una firma digital. El campo de atributos autentificados contiene la información adicional pertinente relativa al acto de la firma, y está protegido por la firma digital del firmante. El atributo no autentificado puede usarse para comunicar información adicional a la TCU y/o por la TCU para documentar cuando llegó la firma a la TCU. La información del certificado contiene el certificado X.509 del firmante. También puede contener alguna forma de certificado de atributos firmado por una autoridad originaria reconocida por la TCU. Este certificado de atributo se usa para comunicar información de cualificación adicional acerca del firmante, y puede ayudar a la TCU a tomar decisiones acerca del control del acceso.

Con todas las ventajas de los objetos de información originales electrónicos que proporcionan las patentes de EE.UU. antes mencionadas, es importante constatar que una firma digital no es válida indefinidamente, sino solo durante el período de validez de su certificado de autentificación. El período de validez de un certificado de autentificación no es tampoco indefinido, sino que típicamente se establece de modo que se limiten las posibilidades de compromiso de la firma digital, por ejemplo, como resultado del robo de la clave de la firma secreta, o de disminución de la visibilidad criptográfica. Los períodos de validez pueden estar en el margen de un año a tres años, aunque son también posibles otros períodos. Un período de validez de un certificado de autentificación de la TCU es normalmente más largo que el período de validez de un certificado del usuario, y la fuerza criptográfica de un certificado de la TCU es normalmente mayor que la de un certificado del usuario. Por estas razones, y debido a la verificación por la TCU de la integridad del contenido y de la firma o firmas digitales y de la validez del certificado(s) al recibir un objeto de información, el período de validez de la firma digital de la TCU, tal como va consignado en el certificado de la TCU, puede sustituir o ampliar el período(s) de validez de la firma(s) digitales del objeto de información recibido, dado que la TCU protege físicamente el contenido del objeto recibido contra fraude externo.

Tal ampliación, sin embargo, no es ilimitada, ya que el período de validez de una firma de la TCU es de por sí limitado. Esto plantea un problema para objetos de información que estén destinados a tener peso legal durante períodos más largos que el período de validez que quede de un firmante de una firma de la TCU.

En el documento EP-A-0 892 521 se describen un método y un aparato que amplían efectivamente el período de tiempo durante el cual puede ser verificada la firma digital de un documento. En una realización de "estado de economizar", se usa una instalación de archivo para almacenar un estado de la PKI, por ejemplo, información criptográfica, tal como de certificados y listas de revocación de certificados, la clave pública de una autoridad de certificación principal, u la información de la política, además del documento. Cuando un usuario desee volver a verificar la firma en el documento, un servidor recrea el estado de la PKI en el momento en que el documento fue originalmente remitido, y se efectúa el proceso de verificación de la firma usando el estado de la PKI vuelto a crear. En una realización de "almacenamiento seguro", se almacena el estado de la PKI, y se protege el estado de la PKI almacenado contra intrusión, manteniéndolo para ello en una instalación de almacenamiento seguro y/o empleando un mecanismo de protección criptográfica.

Además, el proceso de generar objetos originales electrónicos puede proporcionar la necesaria evidencia para establecer la transferencia de intereses en un "registro transferible" dado que el mismo establece de modo fiable un expedidor/propietario de un documento como la persona a la cual fue concedido o transferido el registro transferible. Un "registro transferible" significa un objeto de información, en cuyo interés el propietario/expedidor haya acordado expresamente que es transferible. En particular, existe una sola copia autorizada del registro transferible, la cual es única, identificable, e inalterable, excepto en que se pueden hacer copias o revisiones que añadan o cambien a un cesionario identificado de la copia autorizada, únicamente con el consentimiento de la persona que confirme el control y que cada copia de la copia autorizada y cualquier copia de una copia sea fácilmente identificable como una copia que no es la copia autorizada. Además, la copia autorizada identifica a la persona que confirma el control como la persona a la que fue concedido el registro transferible, o bien, si la copia autorizada indica que el registro transferible ha sido transferido, la persona a la cual fue más recientemente transferido el registro transferible. Además, la copia autorizada es comunicada a, y mantenida por, la persona que confirma el control o bien su custodio designado, y cualquier revisión de la copia autorizada es fácilmente identificable como autorizada o como no autorizada.

En general, sin embargo, un original electrónico puede ser, aunque no se requiere que lo sea, un registro transferible. En otras palabras, no todos los originales electrónicos son registros transferibles, pero los registros transferibles son originales electrónicos. Esto puede ser importante para objetos de información tales como acuerdos que puedan ser ejecutados en cualquier número de "contrapartidas", cada una de las cuales deberá ser un original electrónico, con el mismo efecto que si estuviesen en un documento las firmas de las diversas contrapartidas. Una "contrapartida" de un acuerdo u objeto de información es uno de posiblemente muchos originales electrónicos que son réplicas de un acuerdo u objeto, que pueden ser ejecutados por separado, siendo cada contrapartida un original con el mismo efecto que si las firmas de las contrapartidas estuviesen consignadas en el mismo original.

También se pueden ejecutar acuerdos en colaboración, incorporando para ello múltiples firmas dentro del mismo documento. La ejecución en colaboración puede tener lugar no sucesivamente en uno o más lugares. El proceso de aplicación de múltiples partes o múltiples firmas se refiere a la ejecución de un acuerdo en el que sen aplicadas múltiples firmas, ya sea de una vez, sucesivamente, o ya sea en paralelo.

Con todas las ventajas de los objetos de información originales electrónicos que proporcionan las patentes de EE.,UU. antes mencionadas, es importante constatar que en lo que concierne a los registros transferibles, las copias de un objeto de información que existan fuera del control de una TCU no deben poder ser confundidas con un original electrónico, es decir, con el propio registro transferible. Un original electrónico puede ser efectivo como un documento de papel firmado con tinta azul, ya que se aplican una o más firmas digitales durante la ejecución de un documento electrónico y el control del documento electrónico firmado digitalmente resultante es transferido a una TCU, la cual es un depósito fiable de objetos originales electrónicos que de un modo fiable y seguro almacena los originales electrónicos durante toda su vida efectiva. A la recepción de un documento electrónico firmado digitalmente, una TCU verifica la autenticidad del documento electrónico, es decir, verifica la integridad del contenido del documento, la validez de todas las firmas digitales y certificados de autentificación asociados (por ejemplo, los certificados ITU X.509v3), y la autoridad del remitente del documento. Una verificación de autenticidad satisfactoria atestigua la legitimidad del documento electrónico remitido. La TCU crea entonces el original electrónico, añadiendo como apéndice un sello con la fecha-hora y su firma digital y certificado (bloque de firma). Esta acción de la TCU pone de manifiesto que la TCU se ha hecho cargo del control del original electrónico.

Sumario

El invento de los Solicitantes resuelve este y otros problemas que afectaban a las soluciones anteriores para autentificar objetos de información.

De acuerdo con el invento del solicitante, se proporciona un método para manipular objetos originales electrónicos almacenados que hayan sido creados mediante la firma de objetos de información por los respectivos Agentes de Transferencia, someter los objetos de información firmados a una TCU, validar los objetos de información firmados remitidos, mediante al menos la prueba de la integridad del contenido de cada objeto de información firmado y la validez de la firma del respectivo Agente de Transferencia, y aplicar a cada objeto de información validado un sello con la fecha-hora y una firma digital y certificados de autentificación de la TCU. El método incluye los pasos de seleccionar un objeto original electrónico almacenado; revalidar el objeto original electrónico seleccionado mediante la verificación de al menos la firma digital de la TCU aplicada al objeto original electrónico seleccionado; y aplicar al objeto original electrónico revalidado un sello con la fecha-hora actual y una firma digital, y un certificado de autentificación de la TCU actual.

El paso de aplicación del método puede ser efectuado antes de que expire el período de validez del certificado de autentificación actual de la TCU aplicado al objeto original electrónico seleccionado. De este modo, se amplía el período de validez del objeto original electrónico revalidado al período de validez del certificado de autentificación actual. Además, un Agente de Transferencia puede firmar un objeto de información añadiendo como apéndice una firma digitalizada verificable y un bloque de integridad del contenido al objeto de información.

También se puede poner en práctica el método en respuesta a al menos una instrucción recibida y validada por la TCU, la cual valida una instrucción recibida mediante al menos la prueba de la integridad de los contenidos de la instrucción recibida y la validez de una firma de un Agente de Transferencia sobre la instrucción recibida, y aplica a una instrucción recibida validada un sello con la echa y hora y una firma digital, y el certificado de autentificación actual. La instrucción recibida puede haber sido emitida por una entidad autorizada, y la TCU puede validar la instrucción recibida, comprobando además la autoridad de la entidad autorizada para emitir la instrucción recibida. La propiedad o un derecho al objeto original electrónico revalidado puede ser transferido en la TCU sobre la base de una instrucción recibida validada. El acceso al objeto original electrónico revalidado puede ser concedido o controlado en la TCU sobre la base de una instrucción recibida validada.

El método puede incluir además los pasos de exportar a una segunda TCU el objeto original electrónico revalidado y el sello con la fecha y hora, la firma digital, y el certificado de autentificación de la TCU aplicados; revalidar, en la segunda TCU, el objeto original electrónico exportado mediante al menos la verificación de la firma digital de la TCU aplicada al objeto original electrónico exportado; y aplicar al objeto original electrónico exportado revalidado un sello con la fecha y hora actual y una firma digital y el certificado de autentificación actual de la segunda TCU.

\newpage

Se proporciona también un método para manejar objetos originales electrónicos almacenados que hayan sido creados mediante la firma de objetos de información por los respectivos Agentes de Transferencia, remitir los objetos de información firmados a una TCU, validar los objetos de información firmados remitidos, mediante al menos la prueba de la integridad de los contenidos de cada objeto de información firmado y la validez de la firma del Agente de Transferencia respectivo, y aplicar a cada objeto de información validado un sello con la fecha y hora y una firma digital, y certificado de autentificación de la TCU. El método incluye los pasos de crear un inventario de objeto de al menos un objeto original electrónico almacenado, incluyendo el inventario de objeto al menos un identificador del objeto y un bloque de firma para cada objeto original electrónico del cual se haya creado el inventario de objeto; aplicar un sello con la fecha y hora y una firma digital, y certificado de autentificación de la TCU al inventario de objeto; y almacenar el inventario de objeto que tenga el sello con la fecha y hora, la firma digital y el certificado de autentificación aplicados. Un Agente de Transferencia puede firmar un objeto de información añadiendo como apéndice al objeto de información una firma digitalizada verificable y un bloque de integridad del contenido.

El método puede incluir además los pasos de recuperar una copia del inventario de objeto; firmar la copia recuperada; remitir la copia firmada a la TCU; verificar la firma en la copia remitida; y aplicar a la copia un sello con la fecha y hora actuales y una firma digital y certificado de autentificación actual de la TCU. De este modo, puede confirmarse el control por la TCU de los objetos originales electrónicos correspondientes a la copia. Además, se pueden añadir a la copia un identificador del objeto y un bloque de firma para el inventario de objeto del cual haya sido creada la copia, antes de que sean aplicados el sello con la fecha y hora actuales, la firma digital, y el certificado. Estos pasos pueden ser efectuados sobre la copia del inventario de objeto antes de que expire el período de validez del certificado de autentificación de la TCU aplicado al inventario de objeto del cual haya sido creada la copia. De este modo, un período de validez respectivo del inventario de objeto y de cada objeto original electrónico del cual haya sido creado el inventario de objeto se amplía al período de validez del certificado de autentificación actual.

El método puede ser puesto en práctica en respuesta a al menos una instrucción, y la TCU valida la instrucción mediante al menos la prueba de la integridad de los contenidos de la instrucción y la validez de una firma de un Agente de Transferencia sobre la instrucción, y aplica a una instrucción validada un sello con la fecha y hora y una firma digital y certificado de autentificación actual; y se añade a la copia al menos una de la instrucción validada y una referencia a la instrucción validada. La instrucción puede ser emitida por una entidad autorizada, y la TCU valida la instrucción, comprobando además la autoridad de la entidad autorizada para emitir la instrucción.

La TCU puede responder a una instrucción validada exportando a una segunda TCU copias del nuevo inventario de objeto y los objetos originales electrónicos correspondientes al nuevo inventario de objeto, y la segunda TCU puede llevar a cabo los pasos de revalidar los objetos originales electrónicos exportados correspondientes a la copia exportada del nuevo inventario de objeto, mediante al menos la verificación de la firma digital de la TCU aplicada a los objetos originales electrónicos exportados; y aplicar luego a la copia exportada del nuevo inventario de objeto un sello con la fecha y hora actuales y una firma digital y certificado de autentificación actual de la segunda TCU. Una entidad autorizada puede entonces recuperar, de la segunda TCU, una copia de la copia exportada del nuevo inventario de objeto; firmar la copia recuperada; y remitir la copia recuperada firmada a la segunda TCU; y la segunda TCU puede entonces aplicar a la copia recuperada firmada remitida un sello con la fecha y hora actuales, y su firma digital y certificado de autentificación actual. De este modo, se afirma la transferencia de la custodia y el control a la segunda utilidad de custodia de los objetos originales electrónicos correspondientes al nuevo inventario de objeto, y se amplía un período de validez respectivo de cada objeto original electrónico correspondiente al nuevo inventario de objeto al período de validez del certificado de autentificación actual, aplicado por la segunda utilidad de custodia.

La propiedad de los objetos originales electrónicos correspondientes a la copia puede ser transferida en la TCU sobre la base de la instrucción validada, o al menos un derecho a unos objetos originales electrónicos correspondientes a la copia puede ser transferido en la TCU, sobre la base de la instrucción validada. El derecho puede ser un derecho a los beneficios representados por los objetos originales electrónicos. El acceso a al menos un objeto original electrónico correspondiente a la copia puede ser concedido en la TCU a un miembro de un sindicato sobre la base de la instrucción validada, o bien el acceso a al menos un objeto original electrónico correspondiente a la copia puede ser controlado en la TCU sobre la base de la instrucción validada.

Se proporciona también un método para manejar objetos originales electrónicos almacenados, según el cual la TCU maneja al menos un objeto original electrónico sobre la base de reglas establecidas por el propietario del objeto. El método incluye los pasos de establecer una regla que fije al menos un tipo de objeto original electrónico; establecer una regla que fije al menos un tipo de objeto original electrónico como registros transferibles potenciales; establecer una regla que capacite a por lo menos un usuario seleccionado para acceso a por lo menos un tipo seleccionado de objeto original electrónico; establecer una regla que identifique al menos un tipo de objeto original electrónico requerido para concluir un trato; y establecer una regla que controle la transformación de un objeto original electrónico seleccionado en un registro transferible.

Sobre la base de las reglas establecidas por un propietario de un objeto original electrónico que requiera su ejecución como parte de la conclusión del trato, la TCU notifica a al menos un participante en el trato cuándo el objeto original electrónico es recibido por la TCU. El método puede incluir además el paso de crear un inventario de objeto de al menos un objeto original electrónico almacenado que sea un registro transferible y que se requiera para concluir el trato. El inventario de objeto incluye un sello con la fecha y hora y una firma digital y certificado de autentificación de la TCU, y el inventario de objeto incluye una envoltura que incluye identificadores de objetos que, respectivamente, señalen al registro transferible y al menos un bloque de firma de al menos un participante en el trato. El bloque de firma del participante incluye una dirección calculada de una combinación de una copia principal del registro transferible y la firma digitalizada del participante. El inventario de objeto puede incluir además metadatos que resuman el trato.

En otro aspecto, un método para manejar objetos originales electrónicos almacenados incluye los pasos por parte de la TCU de recibir una petición remitida por un usuario para recuperar un objeto original electrónico identificado en la petición; determinar si el usuario tiene autoridad para remitir la petición; y, si se determina que el usuario tiene esa autoridad, llevar a cabo los pasos de: recuperar el objeto original electrónico identificado en la petición; extraer del objeto original electrónico recuperado información de su contenido, y al menos un bloque de firma; extraer del bloque de firma información del firmante; extraer al menos una de una fecha y hora de una firma digitalizada incluida en la información del firmante y una fecha y hora de la percepción por la TCU del bloque de firma; extraer del bloque de firma información del certificado que incluya información de identificación del firmante; formar una estructura de datos a partir de la información extraída, de tal modo que al comunicar el contenido la información sea correctamente situada con respecto al contenido e incluya al menos un índice resistente a la falsificación, que identifique claramente la información obtenida como una copia; y comunicar la estructura de datos al usuario.

En todavía otro aspecto, un método para manejar objetos originales electrónicos almacenados sobre la base de reglas establecidas por el propietario de al menos un objeto original electrónico incluye los pasos de autentificar la identidad del propietario; establecer reglas relativas a un trato, en que las reglas incluyen una regla que establezca al menos un tipo de objeto original electrónico, una regla que establezca al menos un tipo de objeto original electrónico como registros transferibles potenciales, una regla que capacite al menos a un usuario seleccionado para acceso a al menos un tipo seleccionado de objeto original electrónico, una regla que identifique al menos un tipo de objeto original electrónico requerido para concluir un trato, una regla que controle la transformación de un objeto original electrónico seleccionado en un registro transferible, una regla que identifique a al menos un usuario capaz de autorizar la transferencia de un interés en un registro transferible; y validar el derecho del propietario a actuar con respecto al trato.

Breve descripción de los dibujos

Las características, objetos y ventajas del invento de los Solicitantes pueden comprenderse mediante la lectura de esta descripción, juntamente con los dibujos, en los cuales:

La Fig. 1 es un diagrama bloque de la asignación responsabilidades en un sistema de autentificación de documentos que cree originales electrónicos;

En la Fig. 1A se ha ilustrado el contenido de un original electrónico de acuerdo con el invento del Solicitante;

La Fig. 2 es un diagrama bloque de un sistema d autentificación de documentos;

La Fig. 3 es un organigrama de un método de encadenamiento de firmas digitales de acuerdo con el invento del Solicitante;

En la Fig. 3A se ha ilustrado el contenido de un original electrónico producido por el método de encadenamiento de firmas digitales del Solicitante;

La Fig. 4 es un organigrama de un método para crear un inventario de objeto de acuerdo con el invento del Solicitante;

La Fig. 4A representa un inventario de objeto para un trato;

La Fig. 5 es un organigrama de un método para obtener una versión del inventario de objeto de acuerdo con el invento del Solicitante;

La Fig. 5A representa un inventario de objeto en una etapa posterior del trato representado en la Fig. 4A;

En la Fig. 6 se ha ilustrado la definición del propietario de reglas comerciales relativas a un acuerdo, trato o transacción;

La Fig. 7 representa la creación de registros electrónicos y la ejecución de un trato con anterioridad a su remisión a una TCU;

La Fig. 8 representa la creación de originales electrónicos en una TCU con anterioridad a la ejecución de un trato;

La Fig. 9 representa la ejecución de originales electrónicos con una TCU que asegure que fuera de la TCU no existen copias exactas de originales electrónicos ejecutados parcialmente;

La Fig. 10 describe la creación de una copia de un registro transferible;

La Fig. 11 representa un bloque de firma;

La Fig. 12 representa múltiples firmas en paralelo aplicadas a una envoltura interior y una firma digital de la TCU aplicada a una envoltura exterior;

La Fig. 13 representa la aplicación recurrente de envolturas; y

En la Fig. 14 se ha ilustrado el uso del método de inventario de objeto para realizar la ejecución de la contrapartida de un trato.

Descripción detallada

El invento de los solicitantes puede ser materializado utilizando sistemas de ordenador y tecnología disponibles comercialmente para crear un sistema cerrado integrado para autentificación de documentos electrónicos y otros objetos de información.

La Fig. 1 es un diagrama bloque de la asignación de responsabilidades en cuanto a la autentificación en el DAS de los Solicitantes, en el que se usa un esquema de CA mediante el cual las claves pública/privada usadas para cifrar/descifrar y/o firmar digitalmente objetos, son entregadas a un originario del objeto por unos medios auditables establecidos. Las definiciones de infraestructura y de certificado usadas en esta solicitud están basadas en la Norma X.509 y en la publicación de C.R. Merrill antes citada.

Como se describe en lo que sigue, la clave pública/privada es entregada ventajosamente en forma de una Señal (de paso) tal como una tarjeta de circuito electrónico conforme a las normas de la PC Memory Card Interface Association (una tarjeta PCMCIA o una tarjeta PC) para uso en el ordenador del originario. En general, una Señal es un dispositivo de transferencia portátil que se usa para transportar claves, o partes de claves. Se comprenderá que las Tarjetas PC son exactamente una forma de mecanismo de entrega para claves públicas/privadas; pueden también usarse otras clases de Señales, tales como disquetes, Tarjetas Inteligentes, señales para bus en serie universal (USB), circuitos integrados, etc. Ventajosamente, muchas Señales disponibles comercialmente que realizan criptografía sobre la marcha generan los pares de claves pública/privada en las tarjetas, y las claves privadas jamás tienen que salir de las tarjetas sin estar cifradas. El uso de un circuito integrado, tal como un dispositivo de memoria o bien un procesador programable con memoria, tiene para una Señal la ventaja de su pequeño tamaño, que hace posible que sean incluidas Señales en muchos dispositivos de comunicación y cálculo por ordenador, como teléfonos celulares, asistentes digitales personales, ordenadores manuales, etiquetas de identificación, etc.

Las claves públicas son generadas y emitidas por o bajo el control de la Autoridad de Certificación (bloque 102), con un certificado que incluye, entre otras cosas, la identidad del receptor previsto y los atributos apropiados del usuario. Son componentes principales de la seguridad del DAS el funcionamiento correcto del esquema de la Autoridad de Certificación, la estrecha ligadura de la identidad del usuario y los atributos de la clave pública en el certificado de autentificación con la entrega fiable de la Señal al receptor autorizado.

Como se ha ilustrado en la Fig. 1, puede ser conveniente, desde el punto de vista de la gestión, usar una Autoridad de Registro (bloque 104) como un intermediario entre la CA y un Agente de Transferencia (bloque 106). Esto permite que la CA se concentre en controlar la generación de claves criptográficas y emitir certificados. La Autoridad de Registro (RA) puede entonces concentrarse en otros aspectos de la gestión del DAS, tal como la de efectuar la inscripción en el registro del Agente de Transferencia, registrando ya asociando atributos del Agente de Transferencia con la clave pública del agente, estableciendo un número de identificación personal (PIN) de activación de la Señal, y ordenando y recuperando certificados. Por ejemplo, el Agente de Transferencia puede estar autorizado para llevar a cabo solamente ciertos tipos de tratos o transacciones y/o tratos o transacciones que tengan un valor inferior a uno predeterminado. Para asegurar una entrega fiable, la RA puede usar un servicio tal como el de los servicios de correo limitado usados para transportar valores entre partes para entregar la Señal al originario del objeto. La colocación de la RA localmente tiene varias ventajas, incluyendo, por ejemplo, la prueba a cara vista de la identidad y la entrega directa de la Señal.

En un aspecto adicional del DAS, la clave pública/privada es efectiva únicamente cuando se usa conjuntamente con un certificado y una información de identificación personal, tal como la información biométrica del receptor (por ejemplo, las huellas de la retina, los dedos, y la voz), o bien un PIN que esté asignado al receptor de la Señal por la CA o por la RA y que pueda ser entregado por la RA por separado de la Señal del originario. Cualquier transmisor subsiguiente de un objeto electrónico que se requiera que sea rimado digitalmente o cifrado el objeto, sería igualmente provisto de una Señal respectiva y de información de identificación personal. Se apreciará que a un usuario de una Señal se le puede permitir ventajosamente cambiar un PIN asignado a uno de la elección del propio usuario, y que el PIN puede ser cualquier contraseña o frase de paso adecuada. Esto mejora la seguridad dado que el PIN es entonces conocido únicamente por ese usuario.

En la Fig. 1, un originario de un objeto de información y cualquier transmisor subsiguiente son denominados un Agente de Transferencia, y se apreciará que un Agente de Transferencia es identificado en el DAS por su posesión y uso de un certificado válido y un PIN válido. Tal como se ha indicado en lo que antecede, el certificado de autentificación indica también uno o más atributos del Agente de Transferencia.

La emisión por la CA de un certificado firmado digitalmente asegura que es verificable la identidad de cada transmisor de un objeto firmado digitalmente o cifrado. La CA conserva también la capacidad de revocar un certificado y una clave pública/privada, o bien la de volver a emitir un certificado y una clave pública/privada desde un lugar alejado, electrónicamente. La CA puede también soportar gestión de privilegio de acuerdo con la política establecida para el sistema. Por ejemplo, la CA y/o la RA pueden establecer límites financieros, u otros, en cuanto a la autoridad concedida al Agente de Transferencia, conduciendo para ello esas autorizaciones o restricciones como atributos del certificado. Esos atributos pueden ser recuperados del certificado y puestos en vigor por otros elementos del sistema.

Tal como se ha representado mediante los bloques 108, 110, el Agente de Transferencia hace los arreglos para el objeto de información en forma digital, tal como la salida de un procesador de textos usual, para que sea comunicada a un dispositivo que incorpore la Señal del Agente de Transferencia. La Señal puede ser incorporada en una estación de trabajo del cliente conectada a una red del DAS o del abonado a Internet, o bien en una estación de trabajo independiente que ventajosamente puede diferenciar entre una pluralidad de tratos o transacciones no relacionados mediante, por ejemplo, una contraseña de registro de entrada. Como se ha indicado en lo que antecede, la Señal puede ser un circuito integrado que esté incluido en un ordenador manual, en un teléfono celular, o similar, que pueda ser conectado a una red mediante un enlace por infrarrojos o por radio. Como opción, se puede también proporcionar un dispositivo para digitalizar firmas manuales de participantes en un trato o transacción, y se pueden añadir las firmas digitalizadas al objeto electrónico. Además, los participantes en un trato o transacción pueden añadir como apéndice al objeto electrónico sus propias firmas digitales y certificados de autentificación.

El objeto de información es firmado digitalmente y/o cifrado y el certificado de autentificación se añade como apéndice por el DAS, atestiguando con ello el hecho de que el Agente de Transferencia fue testigo de la firma por los participantes del documento electrónico. El documento firmado digitalmente y/o cifrado puede ser comunicado electrónicamente a la TCU a través de un módem o de una red de ordenadores (bloque 112). Podrían usarse otros modos de comunicar documentos firmados digitalmente o cifrados (por ejemplo, despachando un disquete que contenga el documento), pero la gran ventaja de la comunicación electrónica es la de su velocidad.

Además, aunque actualmente se cree que es preferible que el Agente de Transferencia firme digitalmente un objeto de información antes de remitir el resultado a una TCU, solamente es necesario que el Agente de Transferencia "firme" un objeto de información de modo que pueda ser comprendido, legalmente o de otro modo, como el testimonio del Agente de Transferencia que confirma la integridad y la validez del objeto de información. Por ejemplo, el Agente de Transferencia podría añadir como apéndice a un objeto de información una firma manual digitalizada, una firma digitalizada, e información biométrica verificable, una firma digital, o bien una combinación de éstas. Como alternativa, el Agente de Transferencia puede firmar un objeto de información conectando para ello a una TCU usando la contraseña y por otros procedimientos de un protocolo seguro, tal como el protocolo de seguridad de capa de enchufes seguros (SSL) para el protocolo de comunicaciones TCP/IP (Internet). Como resultará claro a partir de esta descripción, es importante que el DAS se asegure por sí mismo de que un Agente de Transferencia es quien dice ser de sí mismo. Si no se ha previsto ya en el uso de la firma de un objeto, el Agente de Transferencia añade como apéndice un elemento de dirección calculada una comprobación de redundancia cíclica (CRC), u otro tipo de bloque de integridad del contenido para el objeto, asegurando con ello la integridad, es decir, la imposibilidad de cambio, del objeto de información.

Antes de remitirlo a la TCU, el objeto de información firmado puede ser preferiblemente formateado de tal modo que incluya las instrucciones adecuadas para el análisis sintáctico y el procesado de su contenido. Para este fin puede usarse una forma conveniente de envoltura (por ejemplo, las PRM, RSA, PKCS#7, o S/MIME) o lenguaje de margen de utilidad (por ejemplo, el HTML, el XML, o el XFDL). El contenido puede ser de uno o más objetos de información (que cada uno comprenda uno o más documentos electrónicos, imágenes, códigos fuente de ordenador, códigos ejecutables de ordenador, bases de datos, compilaciones de datos, etc.), sellos con la fecha y hora, firmas digitales y certificados de emparejamiento, y/o indicadores, los cuales incluyen, aunque sin quedar limitados a ellos, tipos de contenido, identificadores de objeto, y reglas de codificación y etiquetas. Si la TCU acepta las remisiones creadas con diferentes algoritmos o series de algoritmos de cifrado, proceso de cálculo probabilístico de la dirección, o firma digital, como puede esperarse con objeto de que el sistema se mantenga al ritmo de las técnicas de cambio, entonces el (los) indicador(es) debe(n) identificar el (los) algoritmo(s) y el tamaño de la clave. Se comprenderá que si la TCU acepta remisiones creadas con solamente uno o un número lo bastante pequeño de algoritmos, tal formateo no es necesario, dado que la TCU podría simplemente probar los objetos con cada algoritmo permitido. Además, si se usa una firma de un Agente de Transferencia no verificable, el Agente de Transferencia deberá ser autentificado de otro modo, tal como por autentificación en una sesión de comunicaciones, lo cual puede conseguirse requiriendo una combinación de un identificador de un usuario (Agente de Transferencia) y una contraseña, o bien mediante un protocolo de capa de enchufes seguros (SSL) autentificados para el cliente.

La TCU valida la identidad y los derechos del Agente de Transferencia y verifica la integridad de los objetos de información remitidos. El uso de firmas digitales soporta directamente la validación tanto de la identidad del Agente de Transferencia, como de la integridad del contenido del objeto de información. Una vez que se haya determinado que un objeto de información no ha sido alterado ni antes ni durante la remisión, y que el Agente de Transferencia del objeto tiene las apropiadas autorizaciones, la TCU asume la custodia y el control del objeto y la responsabilidad de preservar el objeto añadiéndole como apéndice un sello con la fecha y hora y firmando digitalmente la remisión.

A la recepción de un objeto electrónico firmado digitalmente (bloque 114), la TCU prueba la integridad del contenido del objeto electrónico, el período de validez del certificado del Agente de Transferencia, y el estado (válido o revocado) del certificado de autentificación (por ejemplo, el (los) certificado(s) ITU X.509v3). La prueba de la integridad de los contenidos del objeto, la cual puede denominarse también como "verificación de firma digital", comprende extraer la clave pública del certificado de autentificación, descifrar la firma digital (descubriendo con ello la dirección calculada del objeto), calcular una nueva dirección calculada, y verificar la dirección calculada descubierta frente a la nueva dirección calculada. La prueba del comprende simplemente asegurar que la fecha y hora actuales quedan dentro del período de validez expresado en el certificado. La prueba de la validez del certificado comprende interrogar a la PKI para determinar si el certificado no fue revocado o restringido de otro modo hasta la hora de la firma digital. Estas tres pruebas juntas pueden denominarse como un proceso de "validación". El que las pruebas sean satisfactorias significa la autenticidad del objeto electrónico firmado digitalmente recibido, es decir, que quien remitió el objeto electrónico y que el contenido del objeto no han sido cambiados durante el proceso de remisión.

Además de probar la validez de la(s) firma(s) digital(es) del(de los) Agente(s) de Transferencia, la TCU puede también probar la validez de la(s) firma(s) digital(es) del(de los) participante(s) en un trato o transacción. Esto tiene la posible desventaja de un mayor esfuerzo de cálculo, pero tiene la ventaja de una mayor resistencia al repudio: la validación de la(s) firma(s) digital(es) del(de los) Participante(s) asegura que la parte o partes previstas firmaron realmente el documento electrónico. Cuando se capta una firma escrita a mano digitalizada de un participante o Agente de Transferencia, la validación puede ser también posible incluyendo información biométrica verificable con la firma (por ejemplo, la velocidad y/o la presión de los trazos de la pluma del firmante). Se apreciará que si el Agente de Transferencia simplemente firma un objeto, en vez de firmarlo digitalmente como se ha indicado en lo que antecede, entonces el proceso de validación se adapta apropiadamente, por ejemplo, sustituyendo para ello las pruebas descritas en lo que antecede por una prueba de la dirección calculada, el CRC, u otro bloque de integridad del contenido añadido como apéndice al objeto remitido para confirmar que el contenido del objeto no ha sufrido cambio durante el proceso de remisión, y con la verificación de la "firma" del Agente de Transferencia.

La TCU transforma un objeto electrónico firmado digitalmente recibido autentificado en un objeto original electrónico añadiendo como apéndice un sello con la fecha y hora y la firma digital y el certificado de autentificación de la TCU al objeto electrónico firmado digitalmente recibido autentificado. El sello con la fecha y hora puede adoptar cualquier forma conveniente, y es análogo al simple sello de caucho del que se dispone en muchas oficinas de correos. La firma digital aplicada por la TCU elimina la posibilidad de alteración no autorizada o falsificación en un objeto por los firmantes subsiguientes a su ejecución o sellado originales. Además, la firma digital de la TCU puede proporcionar ventajosamente la imposibilidad de que se produzca repudio, es decir, excluyendo que el originario se desdiga del objeto. Esta acción por la TCU marca la hipótesis de custodia y control de la TCU del objeto original electrónico.

En aras a la brevedad, se usarán los términos "objeto original electrónico" y solamente "original electrónico" para hacer referencia a un objeto de información autentificado creado por un proceso que implique una TCU y un Agente de Transferencia, y se usará "trato" para hacer referencia a una transacción o cuenta que corresponda a o esté definida por un conjunto de originales electrónicos. Se comprenderá que un original electrónico es de por sí un objeto de información, y el formateo subyacente en un objeto original electrónico hace posible el análisis electrónico y el procesado para efectuar la verificación y la validación de una o más de sus firmas digitales y certificados de autentificación, y la extracción del contenido original para que sea visto o procesado. Además, La denominación de "Agente de Transferencia", tal como se usa en esta solicitud, hace referencia en general a una entidad que atestigua la integridad y la validez de un objeto de información antes de que éste sea remitido a una TCU y que está autorizado para remitir tales objetos de información a las TCUs. En la Fig. 1A se ha ilustrado el contenido de un original electrónico de acuerdo con el invento de los Solicitantes, que comprende un objeto de información que se ha representado como un documento de texto firmado manualmente por "John Smith", una firma digital y certificado de un remitente (del Agente de Transferencia), un sello con la fecha y hora que indica cuándo asumió la TCU el control del objeto de información, la firma digital de la TCU, y el certificado de la TCU. El original electrónico es preferiblemente formateado de acuerdo con una especificación de mensaje de sobre/envoltura, tal como la RSA PKCS#7 (identificado por el carácter de referencia P7).

Una auditoría segura, un seguimiento del registro, y la gestión del registro, completan los aspectos tecnológicos del mantenimiento de un original electrónico. La TCU almacena el objeto original electrónico en una cuenta, y controla el acceso a la cuenta en beneficio del propietario y de las actividades de la cuenta (por ejemplo, recuperación a petición de los destinatarios autorizados, tal como se ha representado mediante los bloques 116, 118) permitidas con respecto a los originales electrónicos almacenados en la cuenta. Los originales electrónicos son almacenados y las correspondientes cuentas son mantenidas por la TCU en cualquier forma de memoria conveniente, tal como en discos ópticos y/o magnéticos. Una vez completado un trato y creados el original u originales electrónicos asociados por la TCU, el conjunto de partes autorizadas que pueden tener acceso a la TCU (por ejemplo, a través de un dispositivo electrónico tal como un módem) para obtener o transmitir además un original electrónico, pueden cambiar.

Para mantener un historial, o cadena, de evidencias, la TCU aplica controles de versión a los originales electrónicos en una cuenta, impidiendo con ello la modificación directa de un original electrónico. Un original electrónico en una cuenta es sustituido cuando una parte autorizada liquida y recupera el original electrónico y remite una versión autorizada; la sustitución es elevada al estado de original electrónico, o de copia autorizada. Esta clase de característica de liquidación puede usarse para evitar que otra parte trate de liquidar el mismo original electrónico. Todas las versiones anteriores del original electrónico son ventajosamente mantenidas, y todas las actividades son seguidas para hacer desistir de intentos de fraude. La combinación de acciones por la TCU, conjuntamente con un historial de auditoría protegido, puede usarse en una fecha futura para probar de modo concluyente que una parte inició un trato, excluyendo que un originario niegue el objeto originado por ese originario y proporcionando una prueba irrevocable de autenticidad.

La Fig. 2 es un diagrama bloque de un DAS que es conforme al invento de los Solicitantes y que corresponde a la Fig. 1. La Fig. 2 muestra la interconexión entre la Autoridad de Certificación CA, la cual emite, revoca, renueva y publica certificados, y mantiene la información sobre el estado del certificado, incluyendo una lista de revocaciones de certificados (CRL); la Autoridad de Registro RA, la cual tiene poder para solicitar y recuperar certificados; un cliente original electrónico EC, el cual con una Señal del usuario en posesión de un Agente de Transferencia, recupera y usa certificados y la CRL y certifica información de estado; y la Utilidad de Custodia Fiable (TCU) la cual es una tercera parte fiable, independiente, custodia de los objetos de información y que es la poseedora de su(s) propia(s) Señal(es). Como se ha indicado en la Fig. 2, la CA y la RA pueden poseer sus propias señales, así como una o más señales de usuarios (por ejemplo, en relación con la preparación para uso del Agente de Transferencia). Aunque no se haya indicado en la Fig. 2, se apreciará que la TCU comprende al menos una memoria y al menos un procesador de señal digital (DSP). También se ha representado en la Fig. 2 un Depósito de Certificados de Directorio DCR que almacena y distribuye certificados y CRLs e información de estado de certificados. El DCR puede estar incluido en algunas realizaciones en la Autoridad de Certificación CA.

El DAS de los Solicitantes se basa en usuarios debidamente registrados, o autorizados (Agentes de Transferencia), y se puede comprender un proceso ventajoso para solicitar certificados considerando para ello la Fig. 2. El registro y emisión de certificado en la PKI del usuario es típicamente de la responsabilidad de la CA, aunque la CA puede delegar esa responsabilidad en una RA situada en una organización de patrocinio del usuario, de modo que sea posible la identificación cara a cara. La información de registro del usuario puede entonces ser entrada directamente en la CA, o a distancia en la RA, y en uno u otro caso se asigna al usuario una Señal (de Paso). La Señal asignada, tal como una Tarjeta Inteligente, puede ser insertada en un lector de señales local e inicializada, asignársele PINs por defecto, y mandada para generar un par de claves criptográficas. El par de claves pueden ser asignadas a un grupo de signos de desplazamiento de referencia, o nombre, de modo que más tarde pueda ser asociada la clave privada al certificado de autentificación cuando éste esté disponible. La Señal es luego mandada a exportar la clave pública. Si estas operaciones se conducen a distancia, la información de registro del usuario y la clave pública pueden ser usadas como base para una petición de certificado, la cual puede tener convenientemente una forma especificada por la Norma de Sintaxis de Petición de Certificación RSA PKCS #10, o por cualquier otra norma adecuada. Tal petición de certificación puede ser firmada por la RA como prueba de origen, y ser luego transmitida a la CA.

En ocasiones, puede permitirse a un usuario que solicite el certificado de autentificación del propio usuario. Una de tales ocasiones es la de renovación de un certificado, pero también pueden ser autorizados otros casos (por ejemplo, casos como aquellos en los que intervengan certificados de capas de enchufes seguros ("SSL") de navegadores ("fisgones") en la red.

Típicamente, una política establecida por la CA regularía qué partes pueden solicitar certificados y para qué fines. Tal política regularía también el que cada petición deba ser aprobada individualmente, o si todas las peticiones a las Ras particulares pueden ser previamente aprobadas. Una vez aprobada, ya sea la fuente del registro local o remota, la CA añade su propia información del expedidor y firma el certificado X.509v3 resultante. Si la petición hubiera llegado desde una fuente remota, la CA entregará el certificado de un modo predeterminado (por ejemplo, durante la sesión existente, proporcionando para ello una URL especial, para acceso a Internet, o bien por correo electrónico). Una vez que esté disponible el certificado, se usa el grupo de signos de desplazamiento de referencia para cargar el certificado en la Señal del usuario y asociar el certificado a la clave privada emparejada. El receptor de la Señal seleccionaría entonces, típicamente, una contraseña de la Señal para asegurar que solamente ese receptor pueda usar la Señal para futuras transacciones en el DAS.

Con esta clase preferida de organización, se distribuye la responsabilidad de la gestión de certificados. La CA principal de la PKI es la responsable de crear una jerarquía de CAs y poner en vigor las políticas de la PKI. Una CA y su administrador son los responsables de crear CAs subordinadas en la jerarquía, que soliciten, creen y revoquen certificados, y que gestionen señales. Una RA es la responsable de solicitar certificados y de gestionar las Señales. Los abonados, así como la CA y la RA, son consumidores de certificados.

Como se ha descrito en lo que antecede, la cadena de evidencia o custodia verificable de los Solicitantes puede ser útil para muchos fines, además de simplemente para indicar la procedencia o los antecedentes de un documento u objeto. Por ejemplo, las entidades gubernamentales podrían usar una cadena de custodia para ayudar a calcular y recoger impuestos u otras tasas. La TCU proporciona tal cadena de evidencia al recibir un original ejecutado o documento firmado y verificar la identidad del firmante y la autenticidad de los documentos recibidos. La TCU recupera las CRLs de un directorio, verifica las CRLs en cuanto a validez del Certificado, y verifica la fecha de expiración del Certificado. En una realización del invento, se puede usar el Protocolo de Estado del Certificado En la Línea (OCSP) para verificar la validez del certificado. La TCU genera entonces un sello con la fecha y hora para el documento recibido, y proporciona un bloque de integridad (dirección calculada) que asegura que el documento no puede ser alterado sin que ello sea detectado. Se protege el bloque de integridad usando un algoritmo de firma digital. y la cadena de evidencia usa el bloque de integridad y el sello con la fecha y hora para dar noticia y evidencia de cualquier alteración, incluso por parte de un originario del documento, si se intenta esa alteración después de su origen.

Comprobando primero la autenticidad de los objetos de información recibidos firmados digitalmente, la TCU puede confirmar que un objeto era válido cuando fue recibido. Esta confirmación puede extenderse a la restante vida efectiva del certificado de autentificación de la TCU. Esta confirmación sigue siendo válida a menos que se informe de un compromiso de la clave de la firma secreta del Agente de Transferencia. Si se recibe tal informe, se debe determinar el período de vulnerabilidad, y si ese período solapa a un trato, se requiere una revisión de todos los originales electrónicos del trato. Cuando se encuentren irregularidades, se han de tomar las acciones de remedio apropiadas; esto podría suponer simplemente sustituir uno o más objetos, o bien, en un caso extremo, invalidar el trato. Si no se encuentran irregularidades, se supone que el trato sigue siendo válido. Una comunicación de un compromiso que tenga lugar después de completado el trato no tiene efecto en la autenticidad de un original electrónico creado antes de, o durante, el tiempo de ejecución de los correspondientes tratos.

En cualquier caso, es importante constatar que incluso la firma digital de la TCU no es válida indefinidamente, sino solo durante el período de validez, o vida, de su certificado de autentificación. Esto plantea un problema para los originales electrónicos que estén destinados a tener peso legal durante períodos de más duración que el período de validez que quede de la firma de una TCU. Por ejemplo, para la hipoteca de una casa es corriente un plazo de treinta años, y para la venta directa de una propiedad es corriente un plazo indefinido.

En lo que sigue se describen dos métodos de acuerdo con el invento del solicitante, que, en efecto, amplían los períodos de validez de originales electrónicos para un DAS que maneje objetos de información de larga vida. El primer método se denomina "encadenamiento de firmas digitales" y el segundo método se denomina "versión de inventario de objeto".

La Fig. 3 es un organigrama de un método de encadenamiento de firmas digitales de los Solicitantes, que generalmente comporta una aplicación repetida de sellos con la fecha y hora y firmas y certificados de la TCU. El primer paso 302 del método de encadenamiento de firmas digitales es el de seleccionar un trato al cual se aplica el resto del método. El siguiente paso 304 es el de seleccionar un original electrónico del trato seleccionado. Como se ha indicado en lo que antecede, un original electrónico comprende, en general, (1) un objeto de información, (2) al menos una firma de un Agente de Transferencia añadida como apéndice al objeto de información, y preferiblemente una firma digital y un certificado de autentificación para la firma digital, (3) un sello con la fecha y hora de la TCU, (4) una firma digital de la TCU, y (5) el certificado de autentificación de la TCU.

El original electrónico seleccionado se revalida en el paso 306, verificando para ello la firma digital de la TCU en el original electrónico usando la clave pública de la TCU que se deriva del certificado de autentificación de la TCU. La validación de un bloque de firma que contenga solamente una firma digital de la TCU es suficiente para verificar el original electrónico respectivo, lo cual es conveniente para revalidaciones regulares mediante los originales electrónicos de la TCU en el curso de la prueba de retención correcta en la memoria (paso 307). Cuando se usa con un almacenamiento de alta fiabilidad (por ejemplo, el RAID), se puede confiar en tal revalidación programada regularmente, en vez de repetir el proceso de revalidación. En general, la firma digital de la TCU se "verifica" proporcionando para ello un valor de la dirección calculada calculado de nuevo, la clave pública extraída del certificado, y la firma digital del objeto electrónico como entradas al algoritmo de verificación, el cual comunicará resultado satisfactorio solamente si no ha sido cambiado el documento. Se apreciará que la dirección calculada se calcula sobre el contenido del original electrónico hasta haber sido verificada la firma digital más exterior de la TCU, pero sin incluir a ésta. No hay necesidad de volver a verificar las firmas interiores, dado que la firma exterior impide cualquier modificación. En general, la firma más exterior (por ejemplo, la de la TCU en la Fig. 1A) es todo lo que se necesita para la verificación.

Si estas comprobaciones son afirmativas, entonces la firma digital de la TCU permanece válida desde el momento en que fue previamente firmado digitalmente el original electrónico, y el original electrónico seleccionado es revalidado y el método avanza al siguiente paso 308. En el paso 308, se añaden como apéndice al original electrónico revalidado un sello con la fecha y hora actuales, una firma digital calculada de nuevo por la TCU, y el certificado de autentificación actual de la TCU. Finalmente, el paso 310 proporciona pasos de repetición 304-308 para cada original electrónico correspondiente al trato seleccionado del paso 302.

En la Fig. 3A se ha representado el resultado de una pasada a través del método de encadenamiento de firmas digitales de los Solicitantes en un original electrónico tal como el representado en la Fig. 1A. Comparando la Fig. 3A con la Fig. 1A, puede verse que se añade otro conjunto de un sello con la fecha y hora, firma digital de la TCU, y certificado digital de la TCU al original electrónico seleccionado para revalidación. Se observará que un original electrónico revalidado, tal como el representado en la Fig. 3A, es de por sí un original electrónico.

El segundo método de los Solicitantes para ampliar los períodos de validez de originales electrónicos para un DAS que maneje objetos de información de larga vida se denomina "versión del inventario de objeto" y comporta la creación y el mantenimiento de un original electrónico denominado un "inventario de objeto". Como un original electrónico, un inventario de objeto tiene en general las características representadas en la Fig. 1A. En las etapas apropiadas en la evolución de un trato por ejemplo, al cierre del trato, se puede comprobar el "inventario de objeto" del trato sacándolo de la TCU, firmarlo digitalmente, y volverlo a remitir a la TCU por parte del propietario del trato o agente autorizado para significar las acciones propias del propietario/del agente, o el acuerdo con las acciones de la TCU, tales como acuse de recibo, ratificación, transferencia, etc.

La Fig. 4 es un organigrama de un método para crear un inventario de objeto para un trato respectivo que es preferiblemente llevado a cabo por la TCU. Un inventario de objeto es una lista de identificadores del objeto y bloques de firma asociados para originales electrónicos correspondientes a un trato, y en la Fig. 4A se ha representado un inventario de objeto que sirve de ejemplo para un trato relativo a una hipoteca sobre una propiedad. Puede ser deseable incluir en el inventario de objeto un resumen del trato respectivo, y tal resumen puede indicar un número de transacción, un número del inventario de objeto, el tipo de trato, el valor, la materia del sujeto, las partes, etc., que son elementos de información típicamente útiles para las actividades posteriores al trato. En la Fig. 4A, el resumen del trato se ha indicado mediante la información que va encima de la línea horizontal: [TM#212, OI#2-01 30_ Hipoteca@7% Propiedad_Descripción Prestamista, Prestatario]. Cada entrada en la lista de identificadores del objeto, tales como TM#212-01 TCU-DS01; TN#212-02 TCU-DS02; etc., se refiere a un objeto que está representado debajo del inventario de objeto en la Fig. 4A. Para un trato relativo a una hipoteca sobre una propiedad, tales objetos podrían incluir un pagaré, descripción de la propiedad, aplicación del préstamo, etc. Al menos algo de la información del resumen sería típicamente proporcionado a la TCU por los participantes en el trato y/o por el(los) Agente(s) de Transferencia.

Un inventario de objeto es preferiblemente un original electrónico que es interno a una TCU, aunque es posible, si se desea, añadir suficientes detalles del trato al resumen incluido en el inventario de objeto, de modo que el inventario de objeto pueda servir como un "registro de cuenta autentificado", que será entendido como similar a los registros y los sistemas de asiento en libro que tienen los historiales del acontecimiento en papel. Tal como se usa en relación con los originales electrónicos de los Solicitantes, un registro de cuenta autentificado representa un historial de evidencia que puede tener valor por sí mismo y ser usado independientemente de otros procedimientos disponibles en el sistema de los Solicitantes.

Los identificadores del objeto son valores identificadores del registro, valores de índice, o similares, que son suficientes para localizar originales electrónicos correspondientes a respectivos tratos en la TCU. Un bloque de firma puede contener tan solo la firma digital y el certificado de autentificación de la TCU en originales electrónicos de un trato, o llegar a contener hasta las firmas digitales y certificados de autentificación de los participantes en el trato y del(de los) Agente(s) de Transferencia, y el sello con la fecha y hora, firma digital, y certificado de autentificación de la TCU. La validación de un bloque de firma que contenga solamente una firma digital y el certificado de la TCU es suficiente para verificar el original electrónico respectivo, lo cual es conveniente para revalidaciones regulares por la TCU de originales electrónicos en el curso de la prueba de retención correcta en la memoria. Por consiguiente, se comprenderá que para la validación de un inventario de objeto se requiere comprobar los bloques de firma internos, frente a los originales electrónicos correspondientes, usando los identificadores, y validar luego la firma digital de la TCU del inventario de objeto.

El primer paso 402 del método es el de crear en la memoria de la TCU una asociación lógica entre los participantes y los Agentes de Transferencia conocidos para la TCU como correspondientes al trato. Por supuesto, la "creación" del paso 402 puede comportar, en cambio, el seleccionar un trato que haya sido ya creado. En el paso siguiente 404, la TCU establece permisos de acceso para el trato basados en instrucciones que haya recibido del propietario del trato. En ausencia de instrucciones en contrario, los participantes pueden ser las únicas partes a las que se permita acceso al trato (por ejemplo, a los correspondientes originales electrónicos), aunque es de esperar que también se permita el acceso a terceras partes y que la identificación de esas terceras partes pueda cambiar de vez en cuando.

El inventario de objeto del trato se crea en los pasos 406, 408, 410, en los cuales se construye el inventario de objeto añadiendo para ello referencias a los originales electrónicos del trato, de una en una (véase la Fig. 4A) de modo que al cabo de un tiempo apropiado (paso 412), tal como después de un acto adecuado (por ejemplo de liquidación, de firma digital y de adición como apéndice de un certificado, y de remisión del inventario de objeto a la TCU) por el propietario del trato o el agente autorizado por el propietario, la TCU puede añadir como apéndice su sello con la fecha y hora, firma digital, y certificado de autentificación, transformando con ello el inventario de objeto en un original electrónico. Por ejemplo, la primera pasada a través del paso 406 puede simplemente enlazar el resumen del trato con el inventario de objeto, ya sea añadiendo para ello al inventario de objeto un identificador del registro o índice que localice el resumen del trato en la memoria de la TCU, o ya sea incorporando el resumen del trato al inventario de objeto. Por supuesto, típicamente es necesario hacer esto solamente una vez para un inventario de objeto dado. Con cada pasada a través del paso 408, el identificador de objetos de un original electrónico correspondiente al trato es enlazado al inventario de objeto por su incorporación. Se apreciará que no es necesario enlazar los identificadores del original electrónico de los objetos de información de un trato a un inventario de objeto de uno en uno; se pueden enlazar algunos de ellos, o todos, al mismo tiempo. Como se ha indicado en lo que antecede, el paso 410 representa que los bloques de firma que contienen al menos la firma digital de la TCU en los originales electrónicos del trato son enlazados al inventario de objeto, ya sea mediante la adición de índices que localicen los bloques de firma en la memoria de la TCU con el inventario de objeto, y/o ya sea por la incorporación de los bloques de firma en el inventario de objeto.

La TCU transforma el inventario de objeto en un original electrónico, como se ha representado en el paso 412, añadiendo para ello su sello de fecha y hora, firma digital, y certificado. (En la Fig. 4A, el inventario de objeto se ha representado como incluyendo ventajosamente la información: 11/02/97 10:20PMJOIO2, lo cual representa un sello de fecha y hora (11/02/97 10:20 PM) y un número de la versión del inventario de objeto (O102, es decir, la versión 2 del inventario de objeto). Puesto que los objetos de información firmados digitalmente correspondientes a un trato pueden ser remitidos a la TCU y transformados en originales electrónicos en varias ocasiones, puede ser ventajoso para la TCU llevar a cabo el paso 412 en un momento, o en momentos especificados por las instrucciones del propietario correspondientes al respectivo trato, o bien después de un acto por parte del propietario/agente, por ejemplo, pedir el inventario de objeto firmado a la TCU, firmarlo digitalmente, y volverlo a remitir a la TCU.

Se observará que el bloque de firma de cada original electrónico correspondiente e un trato es preferiblemente revalidado en el paso 410, como se ha descrito la revalidación en relación con la Fig. 3, antes de que el original electrónico sea incluido en un inventario de objeto para ese trato. No obstante, en algunos casos puede ser bastante con confiar en una revalidación que pueda haber sido efectuada por otras razones, por ejemplo, una revalidación efectuada en el curso de una prueba periódica de memoria (véase el paso 307 en la Fig. 3). Una vez completado el trato, o en otras ocasiones, se autentifica el inventario de objeto en el paso 412 por parte de la TCU añadiendo como apéndice el sello con la fecha y hora actuales y su certificado, y firmando digitalmente el inventario de objeto.

La Fig. 5 es un organigrama de un método de versión de inventario de objeto de acuerdo con el invento de los Solicitantes que opera sobre inventario de objetos que han sido ya creados, por ejemplo, a la manera representada en la Fig. 4, a fin de reflejar la subsiguiente actividad en el trato, para ampliar los períodos de validez de firmas digitales asociadas con el inventario de objeto, etc. En la Fig. 5A se ha representado un inventario de objeto producido mediante la operación del método de la Fig. 5 para una etapa posterior de un trato que tiene el inventario de objeto representado en la Fig. 4A. En el paso 502, la TCU forma una copia de un inventario de objeto de un original electrónico seleccionado, y en el paso 504 la TCU añade a la copia un identificador del registro o índice y bloque de firma derivado del inventario de objeto seleccionado.

Si el fin que se persigue al ejecutar el método representado en la Fig. 5 es reflejar la actividad en el trato subsiguiente a la creación del inventario de objeto seleccionado, en el paso 506 se llevan a cabo sustancialmente las mismas funciones que en el paso 408 de la Fig. 4, en que los identificadores de objetos de originales electrónicos remitidos subsiguientemente correspondientes al trato son enlazados a la copia del inventario de objeto seleccionado mediante su incorporación. Como en el paso 410 descrito en lo que antecede, en el paso 508 se representa que los bloques de firma que contienen al menos la firma digital de la TCU en los originales electrónicos del trato remitidos subsiguientemente, están enlazados a la copia del inventario de objeto seleccionado, ya sea mediante la adición de índices que localicen los bloques de firma en la memoria de la TCU, o ya sea por su incorporación. En la Fig. 5A se ha ilustrado un inventario de objeto resultante para la situación en la que se han añadido dos objetos, identificador por TN#212-05 y TN#212-06, al trato ilustrado en la Fig. 4A.

Ya sea el fin que se persigue al ejecutar el método el de reflejar la actividad en el trato subsiguiente, o ya sea el de ampliar los períodos de validez de las firmas digitales, la TCU valida todos los originales electrónicos incluidos en la copia del inventario de objeto seleccionado (paso 510). La TCU autentifica después la copia del inventario de objeto seleccionado (paso 512), transformando para ello la copia en un nuevo inventario de objeto del original electrónico, añadiendo para ello su sello con la fecha y hora, la firma digital, y preferiblemente el certificado de autentificación. Esto se ha representado en la Fig. 5A mediante la información: 11/06/97 11:00 PMJOI03. Puede observarse que los sellos con la fecha y hora, cuando se aplican, son preferiblemente siempre de la hora actual, y la versión 3 del inventario de objeto (identificada por OI03) es preferiblemente la sucesora inmediata de la versión 2 (identificada por OI02).

Se espera que los métodos de encadenamiento de firmas digitales del solicitante y de versión del inventario de objeto sean de utilidad para una amplia gama de ambientes. La descripción que sigue no está destinada a sugerir que el método de encadenamiento de firmas digitales sea superior al método de la versión del inventario de objeto, ni viceversa. Se apreciará que uno u otro de esos dos métodos puede ser el más adecuado para un ambiente operativo específico, sobre la base de las características de ese ambiente.

En general, la TCU tiene la doble responsabilidad de asegurar la integridad de los originales electrónicos retenidos en su base de datos y la integridad de su base de datos. Es importante, sin embargo, tener en cuenta que la firma digital de la TCU en un original electrónico debe ser validada cuando se use cualquiera de los dos métodos, antes de llevar a cabo cualquier acción subsiguiente que comporte añadir una firma digital adicional. Esto reafirma (actualiza) la autenticidad del original electrónico del sujeto, ya sea el original electrónico del sujeto una transformación de un objeto de información remitido, o ya sea un inventario de objeto.

Además, ambos métodos comportan sustancialmente los mismos pasos, pero solamente hasta un punto. En el método de encadenamiento de firmas digitales, se añaden como apéndice el sello con la fecha y hora actuales, la firma digital y el certificado de la TCU a cada original electrónico que corresponda a un trato. En el método de versión del inventario de objeto, se añaden como apéndice el sello con la fecha y hora actuales y la firma digital de la TCU a un original electrónico, es decir, al inventario de objeto, que comprende otras referencias de objetos originales electrónicos y firmas de la TCU. Después de que el inventario de objeto sea sellado con la fecha y hora y firmado digitalmente por la TCU, los procedimientos divergen en cuanto a su manejo de la actividad de trato subsiguiente. En el método de encadenamiento de firmas digitales no se ve ningún cambio en el procesado, pero en el método de la versión del inventario de objeto solamente se añaden nuevos originales electrónicos resultantes de la actividad del trato subsiguiente a una copia del inventario de objeto anterior, y solamente tales originales electrónicos nuevos, incluyendo el inventario de objeto anterior, deben tener revalidadas sus firmas de la TCU, lo cual incluye una verificación de la firma digital de la TCU en cada original electrónico añadido. Si se mueve un trato entre TCUs, debe ser entonces revalidado cada original electrónico. En cualquier caso en el que se cree un nuevo trato, se pueden hacer ajustes en los permisos de acceso de las cuentas nuevas y en las existentes.

Se reconocerá, por consiguiente, que el método de versión del inventario de objeto se basa en que la TCU mantenga la integridad de todos los originales electrónicos entrados previamente, produciendo considerables economías operativas en la TCU debido a que solamente es necesario sellar con la fecha y hora y firmar digitalmente por la TCU la nueva versión del inventario de objeto. Además, los inventario de objetos que se refieren a un trato dado son cada uno de ellos el producto de una cascada de inventario de objetos precedentes relativos a ese trato, y tienen incorporado en ellos un historial de auditoría segura. Se reconocerá, sin embargo, que la fuerza de los sistemas y métodos de acuerdo con el invento de los Solicitantes no se deriva exclusivamente del historial de auditoría segura, sino que se deriva también de las actualizaciones, o renovaciones, de las técnicas criptográficas usadas que son capacitadas por ambos métodos, el de encadenamiento de firmas digitales y el de versión del inventario de objeto.

En lo que sigue se describen usos que sirven de ejemplos de los métodos de encadenamiento de firmas digitales y de versión del inventario de objeto de los Solicitantes. Estos usos no están destinados a ser exclusivos, ya que se cree que los métodos de los Solicitantes son en gran parte aplicables al comercio electrónico y a otros ambientes en los que interviene la manipulación de objetos de información.

1. Como se ha indicado en lo que antecede, los métodos de encadenamiento de firmas digitales y de versión del inventario de objeto pueden usarse para ampliar períodos de validez que estén a punto de expirar de firmas digitales en originales electrónicos. Esto puede denominarse un proceso de "eJuvination^{TM}" (rejuvenecimiento electrónico). Como cuestión inicial, dado que el período de validez de la firma digital de la TCU define efectivamente la vida de un original electrónico, la TCU envía una petición de renovación y recupera un certificado de autentificación de sustitución de la PKI antes de que expire el certificado de autentificación de la TCU, de tal modo que el período de validez del certificado de sustitución solape al período de validez del certificado anterior y lo amplíe durante un período especificado, tal como venga impuesto por la fuerza del algoritmo criptográfico y el análisis de la amenaza. En general, se usa siempre un algoritmo de firma del estado del arte para hacer máxima la probabilidad de que el certificado siga siendo viable durante todo el período de validez.

(a) El método de encadenamiento de firmas digitales comporta la "revalidación del original electrónico" y añadir como apéndice un sello con la fecha y hora actuales, la nueva firma digital de la TCU, y preferiblemente el certificado de autentificación de la TCU actual a un original electrónico, por ejemplo, a cada original electrónico correspondiente a uno o más tratos o a cada original electrónico almacenado en la TCU. La "revalidación del original electrónico" se refiere al proceso descrito en lo que antecede en relación con la Fig. 3, según el cual se verifica la firma digital de la YCU en un original electrónico, en un proceso criptográfico por el que se comprueba que los contenidos de los originales electrónicos no han sido cambiados desde que fueron remitidos a la TCU. La TCU emplea, preferiblemente, tecnología de recuperación conocida (por ejemplo, la RAID), cintas o discos de reserva de seguridad, y otras técnicas conocidas para la recuperación de desastres, de modo que cualquier cambio que se detecte pueda ser automáticamente rectificado (véase el paso 307 en la Fig. 3). Esto es particularmente importante cuando los originales electrónicos son transferidos desde un medio de almacenamiento a otro, o bien desde un sistema (TCU) a otro, y en las circunstancias apropiadas podría hacerse sin que interviniese el originario del objeto ni los participantes en el trato. En el caso de la transferencia de TCU a TCU, y al ser detectado un error, el sistema de recepción pediría restauración y
retransmisión.

(b) El método de versión del inventario de objeto amplía la vida de los uno o más originales electrónicos representados en un inventario de objeto autentificado, como se ha descrito en lo que antecede en relación con las Figs. 4, 5. Se hace una copia del contenido de un inventario de objeto, con la adición del identificador del inventario de objeto y el bloque de firma copiados, y después de la revalidación del original electrónico la TCU añade como apéndice el sello con la fecha y hora actuales, su nueva firma digital, y el certificado de autentificación al nuevo inventario de objeto. Este método proporciona una cadena de evidencia enlazada criptográficamente demostrable.

En ambos métodos, las acciones tomadas dan por resultado que se amplíe la vida efectiva de cada original electrónico al cual se apliquen los métodos, pero como se ha indicado en lo que antecede, el método de versión del inventario de objeto puede ser más ventajoso que el método de encadenamiento de firmas digitales. En la "eJuvination^{TM}", si hubiera 10.000 tratos con un promedio de 40 objetos por trato, por ejemplo, el método de encadenamiento de firmas digitales requeriría 400.000 verificaciones y añadir como apéndices 400.000 sellos con la fecha y hora y firmas digitales y certificados de autentificación de la TCU. El método de versión del inventario de objeto requeriría solamente 10.000 verificaciones y añadir como apéndices 10.000 sellos con la fecha y hora, firmas digitales, y certificados de autentificación (es decir, la creación de una copia (nueva versión) del inventario de objeto, validación de la firma de la TCU en la versión anterior del inventario de objeto, adición de una referencia al inventario de objeto previo a la nueva versión, y el sellado con la fecha y hora, la firma digital, y la adición como apéndice del certificado de autentificación a la nueva versión del inventario de objeto). De nuevo, se comprenderá que la "verificación" comporta comprobar una firma digital y que la "validación" comporta comprobar una firma digital y un estado del certificado. En este ejemplo, se usa la verificación para comprobar la integridad del contenido y se usa la validación para asegurar que el certificado de la TCU es válido.

2. Los métodos de encadenamiento de firmas digitales y de inventario de objeto pueden usarse en un proceso de transferencia de la custodia que ejecutaría una o más instrucciones adecuadas remitidas por el propietario del trato o por un agente autorizado a una TCU, y que requiriese la transferencia de uno o más tratos a otra TCU. La instrucción o instrucciones serían preferiblemente transformadas en uno o más originales electrónicos y retenidas por ambas TCUs, y la nueva TCU establecería el número requerido de cuentas y tratos. El nuevo certificado de la TCU debe solapar al antiguo certificado de la TCU. Además, puede ser ventajoso que la nueva TCU solicite un nuevo certificado para asegurar que se amplía la vida de los originales electrónicos transferidos para el período máximo permitido.

(a) De acuerdo con el método de encadenamiento de firmas digitales, todos los originales electrónicos correspondientes a uno o más tratos designados serían exportados a la nueva TCU después de haber sido procesados de acuerdo con el método. La nueva TCU llevaría a cabo el proceso de revalidación de los originales electrónicos en los originales electrónicos importados, de uno en uno, añadiría como apéndice el sello con la fecha y hora actuales, y preferiblemente su certificado de autentificación, a cada original electrónico revalidado, y firmaría digitalmente cada original electrónico sellado importado. Esta acción afirmaría la transferencia del control y la custodia a la nueva TCU, y ampliaría la vida de todas las firmas digitales previamente fijadas, hasta la vida de la nueva firma digital de la TCU. Este proceso se repetiría para cada trato a ser transferido.

(b) De acuerdo con el método de versión del inventario de objeto, el inventario de objeto y los originales electrónicos correspondientes a uno o más tratos designados serían exportados a la nueva TCU. El inventario de objeto actual (es decir, la lista de identificadores de registro o índices para originales electrónicos que constituyan el trato) sería usado por ambas TCUs para asegurar que todos los originales electrónicos sean transferidos. La nueva TCU llevaría a cabo el proceso de revalidación de los originales electrónicos en los originales electrónicos importados, de uno en uno, haría una copia del inventario de objeto importado (la última versión), y añadiría el identificador del inventario de objeto y el bloque de firma, los cuales son el identificador y el bloque de firma de la antigua TCU. La nueva TCU podría obtener, preferiblemente, la aprobación del inventario de objeto por el propietario del trato o agente autorizado, solicitando para ello que el propietario/agente liquide el inventario de objeto, actualice apropiadamente el resumen del trato, signifique la aprobación mediante la firma digital y remita el nuevo inventario de objeto. Al remitir el nuevo inventario de objeto firmado digitalmente, la TCU efectuaría la validación de la firma, añadiría como apéndice el sello con la fecha y hora actuales, y firmaría digitalmente y uniría el certificado de autentificación de la TCU al nuevo inventario de objeto. Esta acción afirmaría la transferencia del control y la custodia a la nueva TCU, y ampliaría la vida de todas las firmas digitales previamente fijadas, hasta la vida de la nueva firma digital de la TCU. Este proceso se repetiría para cada trato a ser transferido.

En ambos métodos, el antiguo encargado de la custodia (TCU) sería notificado de la transferencia satisfactoria de la custodia, y la antigua TCU podría entonces archivar y/o retirar el o los tratos de su base de datos.

3. Los métodos de encadenamiento de firmas digitales y de inventario de objeto pueden usarse en un proceso de transferencia de la propiedad que realizaría una o más instrucciones adecuadas y la documentación apropiada (por ejemplo, un documento de asignación, un documento de poder legal, etc.) que serían sometidas a la TCU que tuviese la custodia del trato o tratos del sujeto. La instrucción y la documentación serían transformadas en originales electrónicos y añadidas al trato o tratos del sujeto. La TCU, tal como sea instruida por el propietario o agente del trato, podría o bien crear un nuevo trato en la cuenta del nuevo propietario y transferir toda la documentación a ella, o bien cambiar simplemente (actualizar) el trato y la designación de la cuenta. La TCU podría también cambiar la nomenclatura usada en el o los originales electrónicos transferidos, para adaptarlos a la nomenclatura preferida por el nuevo propietario.

(a) De acuerdo con el método de encadenamiento de firmas digitales, la TCU efectuaría la revalidación de los originales electrónicos, añadiría como apéndice el sello con la fecha y hora actuales, y firmaría digitalmente todos los originales electrónicos implicados en la transferencia.

(b) De acuerdo con el método de versión del inventario de objeto, la TCU haría una copia de la última versión del inventario de objeto, efectuaría la revalidación del original electrónico, añadiría el nuevo o los nuevos originales electrónicos autorizando la transferencia de la propiedad, y una referencia al inventario de objeto copiado, al nuevo inventario de objeto, pediría la aprobación del propietario (por ejemplo, haciendo que el propietario liquide el inventario de objeto, actualice apropiadamente el resumen del trato, y signifique su aprobación mediante la firma digital y la remisión del nuevo inventario de objeto), y validaría la firma digital del propietario antes de añadir como apéndice el sello con la fecha y hora actuales de la TCU, firmando digitalmente y uniendo el certificado de autentificación de la TCU al nuevo inventario de objeto.

En ambos métodos, estas acciones afirmarían la transferencia de la propiedad. La TCU podría entonces cerrar la cuenta antigua o retirar el trato transferido de la cuenta y archivar y/o purgar sus objetos, según sea lo apropiado.

4. Los métodos de encadenamiento de firmas digitales y de inventario de objeto pueden usarse en un proceso de transferencia de derechos, en el cual los derechos transferidos serían menos que la plena propiedad de o de los originales electrónicos asociados y los activos financieros representados por ellos. En general, se podrían vender o transferir de otro modo uno o más derechas establecidos en uno o más tratos (por ejemplo, corriente del volumen de ventas, prestaciones de servicios, etc.). El proceso de transferencia de derechos sería llevado a cabo en respuesta a una o más instrucciones adecuadas y a la apropiada documentación remitida por el propietario del trato o el agente autorizado a la TCU que tuviese la custodia del trato o tratos. La instrucción y la documentación serían transformadas en originales electrónicos y añadidas al trato o tratos del sujeto. La TCU, tal como fuese instruida por el propietario del trato, podría o bien crear una nueva cuenta y transferir solamente los originales electrónicos apropiados (todos o un subconjunto) que representen la transferencia de derechos a la nueva cuenta, o bien crear un nuevo trato en una cuenta existente y transferir solamente los originales electrónicos apropiados (todos o un subconjunto) al nuevo trato.

(b) De acuerdo con el método de versión del inventario de objeto, la TCU haría una copia de la última versión del inventario de objeto, efectuaría la revalidación de los originales electrónicos, añadiría al nuevo inventario de objeto el nuevo o los nuevos originales electrónicos que autoricen la transferencia de derechos y una referencia al inventario de objeto copiado, pediría la aprobación del propietario, y validaría la firma digital del propietario antes de añadir como apéndice el sello con la fecha y hora actuales de la TCU, firmando digitalmente, y uniendo el certificado de autentificación de la TCU al nuevo inventario de objeto.

En ambos métodos, estas acciones afirmarían la transferencia de derechos.

5. Los métodos de encadenamiento de firmas digitales y de inventario de objeto pueden usarse en un proceso de sindicación, en el cual el propietario retendría la propiedad parcial de un trato, pero el resto sería vendido a otras partes. Tal venta o ventas podrían incluir prorrateo de derechos a una corriente de volumen de ventas derivadas del trato y a un riesgo de defecto correspondiente. El proceso de sindicación se llevaría a cabo en respuesta a una o más instrucciones adecuadas y a la documentación apropiada que sería remitida por el propietario del trato o agente autorizado a la TCU que tuviere la custodia del trato o tratos. La instrucción o las instrucciones y la documentación serían transformadas en originales electrónicos y añadidas al trato o tratos del sujeto. La instrucción o instrucciones podrían proporcionar la concesión del apropiado acceso al trato a miembros potenciales del sindicato, y como se venderían participaciones y serían añadidos nuevos miembros, añadir documentación adicional al trato (que sería transformada en uno o más originales electrónicos) que identificase los nuevos propietarios y su tanto por ciento de propiedad. Una vez formado por completo el sindicato, se retiraría el acceso al trato a todas las partes que no formaran parte del sindicato.

(a) De acuerdo con el método de encadenamiento de firmas digitales, la TCU efectuaría la revalidación de los originales electrónicos, añadiría como apéndice el sello con la fecha y hora actuales, y firmaría digitalmente todos los originales electrónicos implicados en la sindicación.

(b) De acuerdo con el método de versión del inventario de objeto, la TCU haría una copia de la última versión del inventario de objeto, efectuaría la revalidación de los originales electrónicos, añadiría al nuevo inventario de objeto el o los nuevos originales electrónicos creados durante la sindicación, y una referencia al inventario de objeto copiado, solicitaría la aprobación del propietario, y validaría la firma digital del propietario antes de añadir como apéndice el sello con la fecha y ahora actuales, firmando digitalmente y uniendo el certificado de autentificación de la TCU al nuevo inventario de objeto.

En ambos métodos, estas acciones afirmarían la hora de cierre de la sindicación.

6. Los métodos de encadenamiento de firmas digitales y de inventario de objeto pueden usarse en un proceso de aseguramiento, por ejemplo, de un préstamo o de una cartera de arrendamiento con opción a compra ("leasing"), según el cual se formaría una "compañía para una finalidad especial" conservando la compañía originaria el riesgo de defecto de la cartera y siendo vendidos los derechos de la corriente de volumen de ventas como intercambio para el pago de una sola vez. El proceso de aseguramiento ejecutaría una o más instrucciones adecuadas y la documentación de soporte que sería remitida a la TCU que tuviese la custodia del trato o tratos. La instrucción y la documentación serían transformadas en originales electrónicos y añadidas al trato o tratos del sujeto. La TCU crearía una cuenta para la compañía para la finalidad especial y movería los originales electrónicos que representasen los activos financieros, llevándolos a esa cuenta. Las cuentas individuales podrían ser intercambiadas en uno u otro sentido de la cartera de aseguramiento, por ejemplo como resultado de defectos y de terminaciones.

(a) De acuerdo con el método de encadenamiento de firmas digitales, la TCU efectuaría la revalidación de los originales electrónicos, añadiría como apéndice el sello con la fecha y hora actuales, y firmaría digitalmente todos los originales electrónicos que intervinieran en el aseguramiento.

(b) De acuerdo con el método de versión del inventario de objeto, la TCU haría una copia de la última versión del inventario de objeto, efectuaría la revalidación de los originales electrónicos, añadiría al nuevo inventario de objeto el nuevo o los nuevos originales electrónicos creados durante el aseguramiento y una referencia al inventario de objeto copiado, pediría la aprobación del propietario, y validaría la firma digital del propietario antes de añadir como apéndice el sello con la fecha y hora actuales de la TCU, firmando digitalmente y uniendo el certificado de autentificación de la TCU al nuevo inventario de objeto.

En ambos métodos, estas acciones afirmarían la hora de cierre del aseguramiento.

7. Los métodos de encadenamiento de firmas digitales y de inventario de objeto pueden usarse en un proceso de negociabilidad, en el cual se documentarían en la TCU una oferta, una contraoferta, la aceptación, y/o el rechazo. Se realizarían las acciones necesarias asociadas con la oferta y con la aceptación. El objeto de la negociación podría incluir la entrega de objetos de información electrónicos de valor intrínseco o extrínseco, en cuyo caso los objetos podrían ir acompañados de una documentación de "prueba de autenticidad", de valoración y de apoyo a la propiedad. Tal documentación sería transformada en un original electrónico al ser remitida a la TCU. Como en todos los usos de los métodos de los Solicitantes que se han descrito en lo que antecede, si fuese necesario formar una nueva cuenta y transferir originales electrónicos, esas acciones tendrían lugar solamente después de que fuesen recibidas del propietario del trato las apropiadas instrucciones y la acción o acciones de aprobación.

(a) De acuerdo con el método de encadenamiento de firmas digitales, la TCU efectuaría la revalidación de los originales electrónicos, añadiría como apéndice el sello con la fecha y hora actuales, y firmaría digitalmente todos los originales electrónicos que intervinieran en la negociación.

(b) De acuerdo con el método de versión del inventario de objeto, la TCU haría una copia de la última versión del inventario de objeto, efectuaría la revalidación de los originales electrónicos, añadiría el nuevo o nuevos originales electrónicos creados durante la negociación y una referencia en el inventario de objeto copiado al nuevo inventario de objeto, pediría la aprobación del propietario, y validaría la firma digital del propietario antes de añadir como apéndice el sello con la fecha y hora actuales de la TCU, firmando digitalmente y uniendo el certificado de autentificación de la TCU al nuevo inventario de objeto.

En ambos métodos, estas acciones afirmarían la hora de cumplimiento del trato (en que se hubiese completado la negociación). Como se describe con más detalle en lo que sigue, los métodos de los Solicitantes pueden soportar la negociabilidad en muchas formas de comercio electrónico, en las cuales se establezcan y preserven derechos de propiedad y valores de los originales electrónicos (por ejemplo, de distribución de técnica original electrónica, de licencias de software, etc.).

8. Los métodos de encadenamiento de firmas digitales y de inventario de objeto pueden usarse en un proceso de autorización de una agencia, en el que, por ejemplo, un individuo o una organización podría satisfacer los requisitos de tasas, los regulatorios y los de contabilidad de la compañía para una cuenta de gastos, remitiendo para ello recibos de gastos y autorizaciones a una TCU, en la cual serían mantenidos como originales electrónicos que podrían ser convenientemente realizados, por ejemplo en carpetas por años y meses. La compañía sería registrada en el DAS y controlaría el acceso a tales carpetas de cuentas, proporcionando acceso a una o más carpetas según se requiera para finalidades de auditoría o de tasas. El proceso de eJuvination^{TM} antes descrito sería llevado a cabo en una de tales cuentas, según se requiriese para asegurar el cumplimiento continuado con las disposiciones legales y las regula-
ciones.

Por ejemplo, un empleado podría comprar un artículo usando para ello una tarjeta de crédito, generándose así un registro de la transacción en el centro de autorización del expedidor de la tarjeta. Tales registros serían extraídos del centro de autorización, y quizás organizados por categorías de gastos. Las transacciones organizadas serían firmadas digitalmente y remitidas a una TCU por un Agente de Transferencia. El empleado seleccionaría entonces las transacciones deseadas de la TCU y asignaría esas transacciones a un informe de gastos, el cual puede también incluir entradas para gastos no pagados mediante el uso de la tarjeta de crédito. El empleado firmaría entonces digitalmente el informe de gastos, uniría su certificado de autentificación, y remitiría el informe a su empleador para su aprobación. El empleador firmaría digitalmente el informe, añadiría como apéndice su certificado de autentificación, y remitiría la información a la TCU. Se apreciará que el empleador podría también proporcionar convenientemente información en el informe a su sistema de contabilidad para pagar los cargos de la tarjeta de crédito y reembolsar al empleado por otras entradas. También se apreciará que en esta clase de "tratos" varias entidades pueden tomar la responsabilidad de remitir objetos de información que sean transformados en objetos originales electrónicos.

Por ambos métodos, el de encadenamiento de firmas digitales y el de versión de inventario de objeto, se conseguirían los mismos resultados, pero se cree actualmente que el método de encadenamiento de firmas digitales es más sencillo que el método de versión de inventario de objeto para este uso. La comparación, tal como se ha descrito en lo que antecede, es la del tamaño del archivo frente a los tiempos de contribución indirecta a los cálculos.

Los usos para la transferencia de propiedad y de derechos, sindicación, aseguramiento, y negociación, se han descrito en lo que antecede como procesos internos de una TCU particular, pero se comprenderá que esto no es necesario. En tales usos pueden estar implicadas más de una TCU, todas las cuales puede verse que tienen aspectos que se solapan. En consecuencia, esta descripción no deberá entenderse como limitadora de la aplicación del invento de los solicitantes a estos usos, sino como que los abarca, a combinaciones de los mismos, y a todos los demás que queden dentro del alcance de las reivindicaciones que se acompañan.

De la descripción hecha en lo que antecede puede verse que el invento de los solicitantes es útil en una gran diversidad de transacciones comerciales y de otro tipo. Por ejemplo, la transferencia de objetos de información autentificados almacenados de acuerdo con instrucciones adecuadas puede tener lugar "internamente" (sin recuperar un objeto almacenado), o "externamente" (recuperando un objeto y proporcionando el mismo a otro). Además, se han descrito el establecimiento de una cadena de evidencia verificable, o cadena de custodia, mediante el sellado con la fecha y la hora de un objeto, la firma con otra firma digital, la adición como apéndice de otro certificado, y el almacenamiento del objeto resultante. En consecuencia, el invento de lo Solicitantes hace posible efectuar ventas, asignaciones y otras transferencias de propiedad de objetos de información autentificados, los cuales pueden tener un valor intrínseco, como trabajos artísticos electrónicos, así como un valor extrínseco, como los billetes y los valores.

Se comprenderá, por supuesto, que el invento de los Solicitantes puede también usarse en relación con cualquier objeto de información, incluyendo los objetos de información que son valorados explícitamente, ni intrínsecamente ni extrínsecamente. Aunque todo objeto de información puede ser considerado como que tiene al menos un valor implícito, ya sea intrínseco o extrínseco, los objetos que tienen solo valor implícito pueden considerarse como objetos "no económicos", que incluyen toda clase de registros de personal, de negocios o legales (tales como libros de notas de laboratorio, informes corporativos, archivos de liquidación, códigos fuente de ordenador, códigos ejecutables de ordenador, bases de datos, compilaciones de datos, etc.). Por consiguiente, en esta solicitud se entenderá que el término "trato" guarda relación con más de lo que es exactamente una transacción económica.

Se apreciará, sin embargo, que el invento de los Solicitantes no queda limitado a tales escenarios, sino que más bien hace posible una gran variedad de transacciones, incluyendo, como simplemente un ejemplo, la formación de contrato mediante una oferta autentificada (un objeto de información) que puede ser recuperada o distribuida a una o más entidades de acuerdo con las instrucciones adecuadas del propietario del objeto de información. La aceptación de una entidad o una contraoferta, así como un acuerdo final, pueden ser objetos de información que serían subsiguientemente recibidos en relación con la transacción de la formación del contrato. Puede observarse que el originario de un objeto de in-
formación puede ser la entidad que firma digitalmente y agrega como apéndice un certificado al objeto de información.

Tales escenarios se benefician sustancialmente de los sistemas y métodos de los Solicitantes que ponen en práctica la PKC para el registro o transferencia de propiedad de objetos o registros electrónicos autentificados originales almacenados. Una tercera parte fiable, la TCU, realiza las funciones de almacenamiento, custodia y registro, en beneficio del propietario del registro electrónico. Los sistemas y métodos de los Solicitantes hacen posible establecer la propiedad de registros electrónicos, y proporcionar una prueba irrefutable de cuándo tiene lugar la transferencia de una propiedad. Esto soporta las transferencias de extraño a extraño, lo que en el ejemplo que sigue comporta tres pasos (una oferta, una aceptación y un registro de la transferencia) que se llevan a cabo independientemente por el propietario de la oferta, el receptor de la oferta, y la tercera parte fiable, respectivamente. De acuerdo con el invento de los Solicitantes, se identifican el propietario actual de un objeto, la oferta del propietario a uno o más compradores potenciales, y la aceptación de la oferta por uno o más compradores, y se crea una crónica que evidencia la transferencia. En ese ejemplo puede verse también la retirada de una oferta en cualquier momento con anterioridad a la aceptación y la transferencia del registro.

Para empezar con este ejemplo, un objeto de información, ya sea un documento, un instrumento negociable, u otro objeto valorado o no económico, estaría bajo el control de la TCU, y una primera parte desea transferir el objeto autentificado a una segunda parte. La primera parte propondría transferir el objeto autentificado a la segunda parte, firmando para ello la toma (recuperación) del objeto autentificado del depósito al que se ha confiado, uniendo instrucciones al objeto autentificado, y transmitiendo el objeto y las instrucciones/términos de transferencia a la segunda parte por unos medios de transmisión seguros. Para las transferencias de papel tradicionales se usarían medios de transmisión tales como un mensajero o un correo certificado. Puesto que el objeto de información es en este ejemplo electrónico y está protegido por los métodos y aparatos descritos en esta solicitud, podrían usarse medios electrónicos seguros para transmitir el objeto y sus instrucciones; por ejemplo, esos medios electrónicos podrían incluir la aplicación por la primera parte de una firma digital al objeto autentificado y las instrucciones asociadas.

La segunda parte recibiría el objeto autentificado transmitido y las instrucciones y podría decidir aceptar la oferta. La segunda parte podría entonces presentar la oferta/objeto aceptado y las instrucciones a la TCU (depósito fiable), la cual efectuaría la transferencia de la propiedad del objeto, tal como se indique en las instrucciones, por ejemplo, después de recibida la prueba del pago, ya sea por la primera parte o ya sea por la TCU. Alternativamente, la segunda parte podría comunicar su aceptación de la oferta a la primera parte, la que transferiría entonces esa aceptación en forma de instrucciones al depósito, para asignar la propiedad del objeto a la segunda parte. En uno u otro caso, la transferencia o asignación real de la propiedad tendría lugar en la TCU, la cual validaría la firma digital del nuevo propietario (la segunda parte) en el objeto, aplicaría un sello con la fecha y hora, y firmaría todo ello con su propia firma digital. Por supuesto, los términos de la transferencia desde la primera parte a la segunda parte (instrucciones) podrían prever la restricción de la oferta por la primera parte en cualquier momento, o después de transcurrido un período de tiempo especificado, en cuyo caso la primera parte podría rescindir la oferta, dando para ello instrucciones a la TCU de asignar la propiedad del objeto a la propia primera parte, en efecto sustituyendo simplemente la propiedad anterior de la primera parte por una propiedad "nueva" por la primera parte.

El ejemplo precedente se puede expresar con mayor economía, para quienes se inclinen por los símbolos, como sigue:

Oferta de B a C: S_{b}(S'_{TCU}(S_{b}(S_{a}(Objeto))), Cert_{c},Qual)

Aceptación de C a la TCU: S_{c}(S_{a}(Objeto)), S_{b}S'_{TCU}(S_{b}(S_{a}(Objeto))), Cert_{c}, Qual)

Aceptación alternativa: S_{c}(S_{c}(S_{a}(Objeto)), S_{b}(S'_{TCU}(S_{b}(S_{a}(Objeto))), Cert_{c}, Qual))

Transferencia de TCU a B y C: S'_{TCU}(S_{c}(S_{a}(Objeto)))

donde (Objeto) es, por ejemplo, un documento, un fax, un gráfico, un certificado, una nota de promesa, etc.; Cert es la prueba irrefutable de la identidad del usuario cuando se usa con la clave secreta (por ejemplo, un certificado X.509); S_{a} es la firma digital de la parte A, por ejemplo, el originario de un segundo objeto; S_{b} es la firma digital de la parte B, por ejemplo, la primera parte para obtener la propiedad del objeto asegurado; S_{c} es la firma digital de la parte C, por ejemplo, una segunda parte nuevo propietario potencial del objeto asegurado; S'_{TCU} es la firma digital de la TCU y el sello de la hora de la TCU; S_{a}(Objeto) es el objeto firmado digitalmente por A; S_{b}(S_{a}(Objeto)) es el objeto autentificado (asegurado); S'_{TCU}(S_{b}(S_{a}(Objeto))) es el objeto autentificado almacenado por la TCU; y Qual representa las cualificaciones o instrucciones sobre la oferta que pueden regular las acciones de la TCU (por ejemplo, aceptar la primera respuesta recibida, aceptar la respuesta más alta, aceptar una respuesta que sea mayor que una cantidad, la fecha de cierre de la respuesta, el pago recibido, etc.). Para contraofertas, Qual podría adoptar la forma de, por ejemplo, aceptación contingente en cuanto a ser posterior a una fecha, oferta, etc.

El objeto firmado S_{a}(Objeto) es creado por S_{a}, cuya propiedad por S_{b} se ha designado por S_{b}(S_{a}(Objeto)). S_{b} remite el objeto firmado a la TCU, la cual crea S'_{TCU}(S_{b}(S_{a}(Objeto))), el objeto autentificado. La TCU anota, registra y controla S'_{TCU}(S_{b}(S_{a}(Objeto))), el cual queda bajo la responsabilidad de la TCU. S_{b} hace la oferta a S_{c}, lo que se ha designado por S_{b}(S'_{TCU}(S_{b}(S_{a}(Objeto))), Cert_{c}, Qual), donde la inclusión de Cert indica receptor o receptores previstos de la oferta, y la inclusión de las instrucciones Qual define los términos que deben ser puestos en vigor por la TCU. S_{c} acepta la oferta volviendo a firmar para ello S_{a}(Objeto), creando con ello S_{c}(S_{a}(Objeto)), lo cual, con S_{b}(S'_{TCU}(S_{b}(S_{a}(Objeto))), Cert_{c}, Qual)) es transmitido a la TCU para iniciar la transferencia de la propiedad. La TCU valida la oferta y determina si se ha satisfecho la Qual. Si se comprueban ambas acciones, la TCU sella la hora y firma la oferta y la aceptación, efectuando la transferencia mediante la creación de S'_{TCU}(S_{b}(S_{a}(Objeto))), y para fines de auditoría la TCU crea S'_{TCU}(S_{b}(S'_{TCU}(S_{b}(S_{a}(Objeto))), Cert_{c},Qual)). La TCU anota, registra y controla S'_{TCU}(S_{b}(S'_{TCU}(S_{b}(S_{a}(Objeto))), Cert_{c},Qual)) y S'_{TCU}(S_{c}(S_{a}(Objeto))). La transferencia se completa y se acusa recibo mediante la transmisión de S'_{TCU}(S_{c}(S_{a}(Objeto))) tanto a S_{b} como a S_{c}.

Se apreciará que al determinar si se satisface la Qual la TCU puede esperar una o más instrucciones apropiadas (aprobación p aprobaciones) o acuses de recibo desde S_{b}, por ejemplo, de que se ha recibido realmente el valor necesario. Esto puede expresarse como S_{b}(S_{c}(S_{a}(Objeto))).

La rescisión de una oferta puede expresarse simbólicamente como sigue:

S rescinde la oferta B a la TCU: S_{b}(S_{a}(Objeto)), S_{b}S'_{TCU}(S_{b}S_{a}(Objeto))), Cert_{b},Qual)

y las ofertas múltiples de B a C, D, etc, pueden expresarse simbólicamente como:

: S_{b}(S_{a}(Objeto)), S_{b}(S'_{TCU}(S_{b}(S_{a}(Objeto))), Cert_{c},Cert_{a},Qual)

y las contraofertas de C a B pueden expresarse como:

: S_{c}(S_{b}(S'_{TCU}(S_{b}(S_{a}(Objeto))), Cert_{c},Qual), Contraoferta)

El ejemplo precedente que se ha presentado tanto en palabras como en símbolos es simplemente una de entre muchas aplicaciones específicas del invento de los Solicitantes, que cada una tiene sus propias ventajas particulares. Se comprenderá, por ejemplo, que las transacciones en las que intervengan una pluralidad de extraños, por ejemplo, una transferencia de extraño a extraño a extraño, pueden ser fácilmente llevadas a cabo repitiendo para ello secuencialmente el ejemplo, una vez por cada par de extraños.

También se comprenderá que las instrucciones pueden dirigir una transacción a lo largo de muchos caminos diferentes, y que las instrucciones pueden provenir de una diversidad de entidades, incluyendo el propietario de un objeto de información, un custodio destinado designado por el propietario de un objeto de información, u otro agente. Las instrucciones pueden disponerse en capas mediante un agente electrónico, el cual se entiende en general que es un programa de ordenador u otro proceso automatizado que pueda interpretar las instrucciones y actuar sobre ellas para un fin predecible. Las instrucciones en capas tendrían niveles de respuestas y de toma de decisiones, tales como que si X (una segunda parte) no responde a una oferta dentro de un período de tiempo especificado, transmitir entonces la oferta a Y (otra segunda parte), y si Y no responde dentro de otro período de tiempo especificado, devolver entonces la oferta al ofertante (la primera parte).

Por ejemplo, las instrucciones pueden permitir que una segunda parte acepte algunos (o todos) de un conjunto de objetos de información autentificados, tal como un conjunto de títulos para una flota de vehículos, o bien que acepte partes especificadas de uno o más objetos del conjunto. El invento de los Solicitantes puede por consiguiente proporcionar el compartir activos -o riesgos- u otras formas de transacciones sindicadas; las instrucciones permitirían que otras segundas partes acepten algunos, o todos, del objeto u objetos restantes. Esta forma de transacción podría ser útil en contextos tales como los de reaseguros, donde sea deseable para una parte, tal como un asegurador primario, distribuir el coste del riesgo asociado a un objeto de información entre otras varias partes, tales como uno o más reaseguradores. Análogamente, las instrucciones podrían permitir que una segunda parte se "sobre subscriba" a la oferta de una primera parte cuando la primera parte tenga una o más de otras "primeras partes" que deseen proporcionar la cantidad de la sobre suscripción. Esta forma de transacción podría ser también útil en contextos de gestión de coste/riesgo, como los de los seguros, donde una segunda parte busca aceptar un objeto "mayor" que el objeto ofrecido por la primera parte.

Como se ha indicado en lo que antecede, los documentos certificados pueden ser ventajosamente impresos o reducidos de otro modo a una "copia dura" y emitidos por la TCU en respuesta a una instrucción adecuada. Se cree actualmente que es preferible que la TCU aplique a la copia dura alguna forma de índice o leyenda que sea resistente al fraude o a la imitación no autorizada, tal como una marca al agua, un holograma, o similar, que significaría la "certificación" del documento por la TCU. Este es un modo en el que un usuario podría retirar sus registros de la TCU, ya fuese permanentemente o temporalmente.

En lo que sigue se describen con más detalle otros aspectos de este invento, en particular los métodos en los que intervienen contrapartidas, ejecuciones múltiples, y combinaciones de éstas, empleando firmas digitales sin exponer rendiciones exactas de registros transferibles, por ejemplo, en una estación de trabajo de cliente de original electrónico EC. Se apreciará que el momento en el que un original electrónico se convierte en un registro transferible viene determinado por reglas comerciales, lo cual equivale a decir que las reglas comerciales regulan el que se requiera la primera, la segunda, o la n-ésima firma digital antes de que el original electrónico alcance un estado de registro transferible. Un expedidor/propietario emplea los controles de acceso y las reglas comerciales para regular el acceso tanto a los originales electrónicos "ordinarios" como a los originales electrónicos que sean o vayan a ser registros transferibles. Además, estos métodos y aparatos hacen posible la transferencia de intereses en originales electrónicos que son también registros transferibles, para ser conducidos y evidenciados fiablemente. El historial de la evidencia incluye la versión del original electrónico y los registros de auditoría que establece el expedidor/propietario como la parte a la cual fue expedido o transferido el registro transferible.

Por supuesto, el expedidor/propietario de un original electrónico debe aceptar expresamente y usar tales reglas comerciales que establecen con la TCU cuando el original electrónico se convierte en un registro transferible. Estas reglas comerciales determinan por lo tanto el punto en un trato, tal como el de la ejecución de un acuerdo, en el que un original electrónico debe recibir las protecciones adicionales que puedan ser requeridas para el cuidado de un registro transferible. Incluso así, el invento puede asegurar que en ningún momento exista una copia no alterada de un registro transferible en la estación de trabajo de un cliente, a menos que en las reglas comerciales se hayan definido previsiones específicas para tales rendiciones, por ejemplo, cuando se requiera una copia no alterada para registro o por regulación o legislación. Se cree que tales excepciones a la protección de copias no alteradas pueden no ser necesarias si los agentes de registro (por ejemplo, los registradores del condado) aceptan rendiciones en dos partes, es decir, diferencias discernibles entre lo que fue firmado y lo que se presenta, que estén soportadas por el invento.

La TCU controla un registro transferible mediante la puesta en vigor de reglas comerciales diseñadas por el propietario del original electrónico correspondiente para regular la creación, distribución, almacenamiento, recuperación, asignación y anulación de registros transferibles. En ningún momento debe salir una copia autorizada que sea un registro transferible de la custodia de una TCU. Además, se le deberá añadir un índice de que no se puede retirar, preferiblemente en cada página, de una rendición de un original electrónico que haya alcanzado el estado de registro transferible, que sea presentado en todo o en parte en la estación de trabajo de un cliente, a menos que sea necesaria una excepción como se ha descrito en lo que antecede. Tal índice que no se pueda quitar indicaría claramente que la rendición es una copia (no alterada) del registro transferible.

Los registros transferibles pueden crearse de diversas formas. Una forma es simplemente la de ejecutar un objeto de información antes de la transmisión a una TCU. A la recepción y validación de un registro electrónico auténtico, la TCU crea un original electrónico que es una copia autorizada y puede aplicar reglas comerciales asociadas al manejo de un registro transferible. Otra forma es la de crear y remitir un objeto de información a una TCU para su ejecución subsiguiente, usándose en la remisión los procesos antes descritos de crear originales electrónicos de modo que se puedan emplear la versión, la auditoría, las notificaciones, y uno o más de los métodos de colaboración para la ejecución de tratos o acuerdos.

También en la descripción que sigue, a los expedidores/propietarios, o a sus agentes autorizados, se les denomina "propietarios", y a cualquier participante, incluyendo un propietario. que tenga un papel definido en la conducción de un trato, tal como un acuerdo o una transacción, se le denomina un "usuario".

Excepto donde se permita expresamente, el invento puede asegurar que jamás existirá, en ninguna forma, una copia exacta de un registro transferible que pudiera ser confundida con el propio registro transferible, en la estación de trabajo de un cliente. Si se permite una excepción a esta regla, se habrán de emplear previsiones de seguridad especiales que garanticen que cuando se devuelva un registro transferible a una TCU, su autenticidad pueda ser restablecida validando para ello que el registro transferible devuelto no ha sido alterado. Se apreciará que un aspecto de tales previsiones de seguridad especiales puede ser el del empleo de una envoltura adicional o de una sintaxis extendida para conducir detalles de registro.

En la Fig. 6 se ha ilustrado un método para establecer reglas comerciales que regulen los tratos, con énfasis en los originales electrónicos que sean también registros transferibles. En la Fig. 6 se muestra cómo un propietario puede definir reglas comerciales que realicen los procesos comerciales requeridos para llevar a cabo un trato, y así una TCU maneja objetos originales electrónicos sobre la base de las reglas establecidas. Este conjunto de acciones crea ventajosamente un conjunto reutilizable de plantillas de reglas, a partir de las cuales el propietario puede seleccionar la plantilla que se adapte adecuadamente al tipo de trato implicado. El propietario, o los usuarios autorizados, pueden entonces poblar la plantilla con los tipos de objetos de información reales necesarios para la conducción del trato y posteriormente. Se cree actualmente que las reglas comerciales que tienen la mayor significación aquí se refieren a la identificación de aquellos tipos de objetos de información o de registros electrónicos que se han designado como registros transferibles.

Según el método representado en la Fig. 6, el propietario se registra en el sistema (bloque 602), es decir, accede a una TCU a través de un cliente original electrónico EC, y la TCU autentifica la identidad del propietario (bloque 604) como un usuario autorizado del sistema, basado, por ejemplo, en la ID (identidad) de usuario del propietario y en la contraseña. (En esta figura y en las siguientes, las comunicaciones entre el cliente EC y la TCU se han indicado mediante líneas de trazos y el procesado de objetos de información y otras acciones se han indicado mediante líneas de trazo continuo). El propietario puede entonces crear o seleccionar reglas comerciales que tomadas juntas sean plantillas que refieran a tipos deseados de trato (bloque 606), y tales reglas con comunicadas a la TCU, la cual valida los papeles que desempeña y la autoridad del propietario, es decir, el derecho del propietario a actuar con respecto al trato del sujeto (bloque 608). Se apreciará que la creación o selección de reglas comerciales y plantillas puede ser ventajosamente efectuada por interacción del propietario con una aplicación de software de administración y preparación del trato, por lo demás usual, ejecutada por el cliente EC. Como se ha indicado en el bloque 610, una plantilla de reglas comerciales puede identificar típicamente (1) los tipos de registros electrónicos, (2) los tipos de electrónicos que serán registros transferibles, (3) los usuarios o tipos de usuarios y lo que pueden hacer tales usuarios con respecto a cada tipo de registro electrónico, (4) una o más acciones necesarias para la transformación de un registro electrónico (original electrónico) en un registro transferible y para transferir un interés, tal como una propiedad, en un registro transferible, y (5) un conjunto de tipos de registro electrónico que son necesarios para concluir el trato respectivo. Esta información es guardada por la TCU (bloque 612) en una base de datos de reglas comerciales, la cual puede ser organizada en subconjuntos que regulen los respectivos propietarios y tratos.

Las reglas comerciales se almacenan, preferiblemente, en una base de datos de reglas protegidas. Los usuarios se autentifican por sí mismos para el sistema, usando una ID del usuario y una contraseña. La base de datos de reglas usa esta información de registro para interrogar a la base de datos de reglas para confirmar los derechos del usuario para efectuar las acciones solicitadas, incluyendo el establecimiento de reglas comerciales para uno o más tratos. La información registrada puede ser suficiente para una clase de acciones tales como la de ver o participar en, y concluir, tratos de bajo valor. No obstante, cuando se requieran seguridades adicionales para efectuar las acciones solicitadas, se puede añadir la verificación de la firma digital y la información de usuario autentificada, conducidas en certificados, cuando se interrogue a la base de datos de reglas. Esta aproximación por capas a la autentificación de la identidad de un usuario y a la validación de los derechos del usuario, es decir, al conjunto de acciones autorizadas del usuario, puede entrañar tener que interrogar a otras bases de datos sobre la base de los atributos del usuario o del certificado, tales como el papel que desempeña, el valor de la transacción, y la identificación como propietario o agente del propietario, y por lo tanto como un usuario con capacidad para autorizar la transferencia de un interés, tal como de una propiedad, en originales electrónicos de un trato.

En la Fig. 7 se ha representado un método que comporta la creación de registros electrónicos y la ejecución de un trato con anterioridad a la remisión de tales objetos de información a una TCU. Tal transferencia a una TCU de registros electrónicos ejecutados puede denominarse "envío de papeles" a la TCU. Como se ha descrito en lo que antecede, se deberá poner cuidado para evitar que sean impresas o hechas circular copias exactas de los registros electrónicos ejecutados.

Como se ha indicado mediante los bloques 702, 704, se crean uno o más registros electrónicos mediante un sistema de originar, por ejemplo, un procesador de textos, y se ejecutan por las partes del trato respectivo, por ejemplo, mediante la aplicación de firmas holográficas a registros de papel que son convertidos en objetos de información electrónicos, por ejemplo, mediante escaneo. Estos registros electrónicos son cargados en un cliente original electrónico EC. Consecuentes con el objetivo de tener una sola copia autorizada en posesión de la TCU, los registros de papel y electrónicos son preferiblemente destruidos o bien convenientemente marcados como copias.

Como en la Fig. 6, el propietario se registra en el sistema (bloque 706) a través del cliente original electrónico EC y la TCU autentifica la identidad del propietario (bloque 708). En el bloque 710, el propietario crea o selecciona una plantilla de reglas que contiene un conjunto apropiado de tipos de registro (el propietario puede añadir y/o retirar tipos de registro, de modo que el conjunto requerido de tipos de registros electrónicos se corresponda con los requeridos por el trato real) y el propietario entra los metadatos pertinentes que describen el trato, mediante la interacción con la aplicación del software de preparación y administración del trato ejecutada por el cliente EC. Se comprenderá que los metadatos son datos de resumen de alto nivel que describen un trato, y pueden ser usados para interrogar a los objetos de información que constituyan uno o más tratos, por ejemplo, el quién, qué, dónde, cuándo, y para qué, del trato (o tratos), el vendedor(es), el comprador(es), el agente(s) la descripción o descripciones de la(s) propiedad(es), el precio(s) de venta, los términos de la venta, la fecha(s) de la(s) venta(s), y para hipotecas/arrendamiento con opción a compra, el tipo(s), tasa(s) de interés, período(s), y condiciones tales como las de penalización de pre-pago. Una interrogación a tales metadatos podría buscar una lista de cierres de tratos en una fecha particular o durante un período de tiempo, y/o a una tasa de interés particular. Se comprenderá que los metadatos son análogos a las metatarjetas que están asociadas a las páginas de la World Wide Web (www o Red de Ámbito Mundial) y que son usadas por los mecanismos de búsqueda de Internet para buscar información.

Las reglas seleccionadas o creadas por el propietario son comunicadas a la TCU, la cual valida los papeles que desempeña y la autoridad del propietario, es decir, el derecho del propietario a actuar con respecto al trato del sujeto (bloque 712). El propietario selecciona entonces registros electrónicos (bloque 714) localmente en el cliente EC, los cuales son comunicados y cedidos a tipos de registro correspondientes en la TCU, la cual verifica el derecho del propietario al acceso a un tipo de registro seleccionado (bloque 712). Después de seleccionar un registro electrónico y de revisar su contenido, el propietario se compromete a aplicar la firma digital del propietario (bloque 716). En particular, se puede pedir al propietario que afirme, por cualquier acto abierto, la decisión del propietario de quedar obligado por la firma digital del propietario, después de lo cual el cliente EC calcula la firma digital del propietario y crea (bloque 718) una envoltura que incluye al menos el contenido del registro y la firma digital y el certificado del propietario. El registro electrónico envuelto es después remitido a la YCU (bloque 720).

La TCU comprueba la integridad del contenido del registro envuelto remitido (bloque 722), y la TCU revalida preferiblemente el derecho del propietario a añadir el tipo de registro particular (bloque 712) y reconfirma al propietario como todavía un usuario válido para la TCU (bloque 708). Si esta validación y confirmación es satisfactoria, la TCU aplica (bloque 724) una segunda envoltura que incluye la fecha y hora actuales y la firma digital y certificado de la TCU, es decir, que la TCU transforma el registro en un objeto original electrónico. La fecha y hora representan el momento en el que se crea un original electrónico y la hipótesis de control por la TCU. El original electrónico es almacenado como una copia autorizada (bloque 726), y si la revisión reemplaza a un original electrónico existente, entonces la nueva versión sustituye a la versión anterior y es convertida en la copia autorizada.

La TCU comprueba (bloque 728) las reglas comerciales aplicables para determinar si el tipo de registro de la copia autorizada está clasificado como un registro transferible. Si es así, la TCU realiza las acciones establecidas en las reglas comerciales para manejar los registros transferibles. Por ejemplo (bloque 730), la TCU efectúa al menos auditorías apropiadas para manejar registros transferibles, y notifica a esos usuarios designados en la preparación del trato acerca de los resultados de la auditoría. Estos pasos se repiten para cada trato y registro correspondientes, con objeto de reducir al mínimo el potencial de fraude durante la ejecución de registros electrónicos con anterioridad a la entrega de los registros a la TCU.

En la Fig. 8 se ha representado un método que comporta la creación de registros electrónicos no ejecutados y la remisión de tales objetos de información a una TCU. Tal transferencia a una TCU puede también denominarse el equivalente al "envío de papeles" a la TCU, y por consiguiente el método representado en la Fig. 8 incluye muchos de los mismos pasos que el método representado en la Fig. 7. En consecuencia, los bloques representados en la Fig. 8 que corresponden a los bloques representados en la Fig. 7 se han identificado por los mismos números de referencia que los de los bloques de la Fig. 7.

Una diferencia entre los métodos representados en la Fig. 7 y en la Fig. 8 es la de que en la Fig. 8 uno o más registros electrónicos creados por el sistema de originar no es ejecutado por las partes del trato respectivo. Estos registros electrónicos no ejecutados son cargados a un cliente original electrónico EC. Puesto que los registros no son ejecutados y por lo tanto no pueden ser confundidos con registros ejecutados, no es necesario destruirlos ni enmascararlos como copias. Estos registros, sin embargo, pueden contener información del trato y los nombres de los participantes.

En la Fig. 9 se ha representado un método que comporta la ejecución de objetos originales electrónicos que son retenidos por una TCU de tal modo que la TCU garantiza que no existe una copia exacta de un original electrónico ejecutado parcialmente, especialmente de un registro transferible, fuera de la TCU.

Como se ha descrito en lo que antecede, un usuario se registra en una TCU, la cual identifica la identidad del usuario, los papeles que desempeña, y las autoridades del usuario (bloque 902, 904). El usuario selecciona un trato existente, por ejemplo entrando para ello un número único que identifica el trato o los elementos de los metadatos del trato (bloque 906). Si más de un trato satisface los criterios de selección, se puede pedir al usuario que seleccione uno, o que vuelva a especificar (que refine) los criterios de selección hasta que sea localizado y seleccionado el trato deseado. Una vez seleccionado el trato deseado, se puede presentar al usuario una lista de tipos de registros que exista en el trato, de modo que el usuario pueda seleccionar el tipo de registro para el registro a ser ejecutado (bloque 908) y solicite la recuperación de ese registro (bloque 910). La TCU valida los derechos del usuario a hacer tales elecciones y solicitud (bloque 912). Si es validado por la TCU, la TCU recupera el respectivo original electrónico del almacén (bloque 914), extrae y crea una copia de su contenido, a la cual añade como apéndice la TCU al menos una fecha y hora actuales, y fija la firma digital y el certificado de la TCU, y envuelve el resultado (bloque 916). Se comprenderá que la TCU "envuelve" el resultado creando para ello una envoltura tal como las que se han descrito en lo que antecede. La TCU comunica entonces el resultado envuelto al cliente EC y usuario.

El cliente EC usa la envoltura para validar su origen en la TCU y la no alteración (integridad) de su contenido durante la comunicación, y el cliente EC puede presentar o hacer llegar de otro modo el contenido al usuario (bloque 918). El usuario puede solicitar presentar o hacer llegar de otro modo las firmas digitales previamente aplicadas (bloque 920), y en respuesta a tal petición, la TCU extrae las firmas digitales del original electrónico e inserta la respectiva información de los firmantes (nombres y fechas) en una estructura d datos que se describe con más detalle en lo que sigue. La TCU sitúa la estructura de datos en una envoltura que capacita al usuario para verificar su origen en la TCU, y comunica la envoltura al cliente EC y al usuario (bloque 922).

La estructura de datos que incluye la información del firmante y que ha sido creada por la TCU es tal que al presentarla o hacerla llegar por el cliente EC, la información del firmante no puede ser confundida como una parte del contenido del registro presentado (bloque 924). En particular, la impresión del registro almacenado o presentado deberá dar por resultado únicamente la presentación de un registro no ejecutado. Tales estructuras de datos contienen típicamente el contenido analizado sintácticamente de uno o más bloques de firma, y no se incorpora usualmente cada uno de los elementos de datos en cualquier bloque de firma. Lo que se presenta es ventajosamente un subconjunto que capacita a un usuario para "profundizar" más si lo necesita o si se le permite al usuario. Pueden estar incluidas etiquetas, cuando estén disponibles, para acoplar la información del firmante incluida a los campos de firma en un objeto de datos, lo cual capacita para que aparezcan las comprobaciones donde fueron previamente aplicadas las firmas, o que se sitúen ventanas de aparición súbita. Reglas comerciales específicas de la aplicación determinan lo que se devuelve en una estructura de datos, y cómo se usa lo que se devuelve. Los posibles elementos de una estructura de datos son: un DN del firmante e información del expedidor derivada (aunque no normalmente) de la información certificada, el contenido de un atributo autentificado (por ejemplo, una firma holográfica), la clasificación de la firma, y etiquetas de colocación. La clasificación indica en qué envoltura se encuentra la firma, lo cual indica típicamente si la firma es una confirma o un refrendo.

Si el usuario elige aplicar/comprometer su firma digital (bloque 926), el cliente EC presenta preferiblemente un mensaje que indica que su firma digital será aplicada a una rendición exacta del original electrónico mantenido en la TCU, no el propio original electrónico al cual será añadida la firma digital del usuario. Si no se hacen evidentes a la vista del documento, las reglas comerciales aplicables deberán prever que el usuario sea informado de que están confirmando o refrendando (según pueda ser el caso) el original electrónico. En cualquier caso, se pide al usuario que confirme la acción (bloque 926) como se ha descrito en lo que antecede.

Si el usuario confirma, el cliente EC genera una dirección calculada del contenido del registro y una envoltura que incluye el bloque de firma del usuario, y el cliente EC remite la envoltura a la TCU (bloque 928). Como se describe con más detalle en lo que sigue, el bloque de firma del usuario incluye información del firmante (dirección calculada del contenido, atributos autentificados, firma digital del firmante, y atributos no autentificados) e información certificada (certificado de autentificación del firmante y posiblemente atributos de adiciones emitidos por la CA, los cuales pueden adoptar la forma de un certificado). Los usos de los campos de atributos y de los certificados son como se ha descrito en lo que antecede. Se apreciará que puede hacer presentes más de un usuario (firmantes) en el cliente EC, y que cada uno puede crear su propio bloque de firma que se incluye en la envoltura remitida a la TCU.

Después de recibir la envoltura remitida por el cliente EC, la TCU valida la autenticidad de la envoltura, comprando la dirección calculada del contenido del original electrónico con la dirección calculada del contenido contenida en
el(los) bloque(s) de firma, y los derechos y participación del firmante (bloque 930). En general, la TCU extrae el(los) bloque(s) de firma de la envoltura remitida, recupera el original electrónico del cual había extraído previamente el contenido (véase el bloque 916), y añade el(los) bloque(s) de firma al original electrónico recuperado, formando un registro actualizado. La colocación del(de los) bloque(s) de firma se determina, preferiblemente, mediante las reglas comerciales. El (los) bloque(s) de firma puede ser colocado en cualquiera de las envolturas recurrentes, o bien en un inventario de objeto. Esta capacidad de colocación flexible capacita al original electrónico inicial para que sea retenido en forma no de no alterado.

Puesto que muchos usuarios pueden tener necesariamente que firmar digitalmente un documento para concluir un trato, y dado que tales firmas pueden tener lugar en diferentes ocasiones, la TCU puede esperar hasta que reciba todos los bloques de firma de los usuarios (por ejemplo, de los confirmantes, de los que refrenden, etc.) que sean requeridos para completar un nivel del trato antes de crear finalmente un original electrónico nuevo (final) que incluya un sello con la fecha y hora y la firma digital y el certificado de la TCU (bloque 932). Alternativamente, la TCU puede crear un nuevo original electrónico con cada remisión de un bloque de firma nuevo. La fecha y hora en que la TCU recibe cada bloque de firma puede ser registrada en el campo de atributos no autentificados del bloque de firma de ese remitente. La creación por la TCU de su propio bloque de firma, el cual debe contener la fecha y hora, puede usarse para indicar la fecha y hora en que se hizo que el nuevo original electrónico sea la copia autorizada (bloque 934) y, como se determina mediante las reglas comerciales aplicables, un registro transferible (bloque 936), con las entradas y notificaciones de auditorías apropiadas (bloque 938) como se ha descrito en lo que antecede. Se comprenderá que estos pasos se efectúan para cada trato y los correspondientes registros (bloque 940).

En la Fig. 10 se ha representado un método que comporta la creación de una copia de un original electrónico que es un registro transferible al cual se añade al menos un índice que no puede quitarse, que identifica claramente el objeto de información como una copia, independientemente de cómo sea almacenado o hecho llegar. Se apreciará que tal original electrónico cumple los requisitos de la legislación reciente y pendiente relativa a las firmas electrónicas.

Como se ha descrito en lo que antecede en relación con las figuras anteriores, un usuario se registra en una TCU, la cual autentifica la identidad del usuario, los papeles que desempeña, y las autoridades (bloques 1002, 1004). Como se ha descrito en lo que antecede, el usuario selecciona un trato existente usando criterios que identifican el trato o elementos de los metadatos del trato (bloque 1006). Una vez seleccionado el trato, se puede mostrar al usuario una lista de tipos de registro que exista en el trato, de la cual el usuario seleccione un tipo de registro a ser presentado (bloque 1008). El usuario solicita la recuperación de ese registro para acceso de solo lectura (bloque 1010), lo cual puede constituir los únicos derechos de acceso concedidos a algunos usuarios. La TCU valida los derechos del usuario para hacer tales selecciones y petición (bloque 1012). Si es validado por la TCU, la TCU recupera el respectivo original electrónico del almacén (bloque 1014) y extrae el contenido del original electrónico recuperado (bloque 1016).

La TCU extrae también, preferiblemente, la información del firmante y la fecha y hora en que fue aplicada la firma digital (bloque 1018). Si está disponible, por ejemplo, del original electrónico recuperado, se usa la información de formateo de registro asociada con el original electrónico recuperado por la TCU para guiar su colocación de la información del firmante dentro del registro electrónico, Si no se dispone de tal información de formateo del registro asociada, la TCU coloca la información del firmante de acuerdo con las reglas comerciales aplicables o con un conjunto general de reglas comerciales. Por ejemplo, se coloca sobre el campo un cursor presentado por el cliente EC, que indique dónde se ha de colocar la firma digital o la firma holográfica del usuario. Esta colocación puede efectuarse manualmente, o bien por el cliente EC si se incorporan en el objeto las etiquetas apropiadas. En general, la etiqueta o la posición registrada se usa para la colocación, por ejemplo, en el equivalente de una página de firma en papel añadida como apéndice. Alternativamente, se puede determinar una posición relativa sobre la base de la colocación en las respectivas envolturas, y trasladarla mediante reglas comerciales a la posición con relación al objeto.

La TCU añade también al registro un índice que no puede quitarse, preferiblemente en cada página, indicando que el registro es simplemente una copia (bloque 1020). Tal índice puede aparecer ventajosamente contra el fondo del registro cuando éste se hace llegar en una presentación electrónica, tal como en el monitor de un ordenador, y puede ser más destacable visualmente cuando se hace llegar el registro en una impresora. Las reglas comerciales aplicables pueden además especificar que el índice incluya una leyenda que identifique la TCU donde se mantenga el original electrónico (copia autorizada), por ejemplo designando por su nombre la TCU y especificando su situación.

La TCU envuelve el registro con el índice, con la fecha y hora actuales añadidas como apéndice y su firma digital y su certificado fijados (bloque 1022), y comunica la envoltura al cliente EC y al usuario. La envoltura es usada por el cliente EC para validar su origen en la TCU y la no alteración de su contenido durante la comunicación, y el cliente EC extrae y entrega el registro de una manera adecuada (bloque 1024). El registro puede ser almacenado o presentado, impreso, o hecho llegar de otro modo (bloque 1026), pero el índice garantiza que el registro no puede ser confundido con nada que no sea una copia (bloque 1028).

Se apreciará que los métodos y aparatos descritos en lo que antecede comportan el uso de bloques de firma y envolturas. En la Fig. 11 se ha presentado una composición, a modo de ejemplo, de un bloque de firma, el cual incluye típicamente al menos dos elementos, o estructuras de datos: información del firmante e información del certificado. Estos elementos pueden denominarse info del firmante e info de cert, para abreviar. La información del firmante se genera efectuando primero el proceso de cálculo probabilístico de la dirección del(de los) contenido(s) del(de los) registro(s) a los que esté aplicando el firmante su firma digital. Los atributos que serán protegidos por la firma digital, es decir, los atributos que se usen para calcular la firma digital, son luego añadidos a la dirección calculada, y tales atributos pueden denominarse a partir de entonces como "atributos autentificados" que radican en un campo de atributos autentificados de la información del firmante.

En general, se usan los atributos autentificados para definir el firmante o las acciones del firmante. Los atributos autentificados pueden incluir, aunque sin quedar limitados a ellos, la fecha y hora de la firma digital, la razón para firmar, y la firma holográfica del firmante, ya sea consignada de nuevo o ya sea previamente digitalizada. Se prefiere actualmente que esta naturaleza de la firma holográfica, donde se use, sea incluida en los atributos autentificados. Se apreciará que la asociación de la firma digital y la firma holográfica del firmante y su colocación en el registro, cuando esté disponible, pueden incluirse también en los atributos autentificados, por ejemplo, indicando un lugar físico en el registro, o bien mediante un campo de información, tal como un campo de etiqueta incluido en el registro.

La dirección calculada del(de los) contenido(s) y los atributos autentificados se han representado en la Fig. 11 como una estructura de datos interior que se usa para calcular la firma digital del firmante, lo que se ha representado en la Fig. 11 como parte de una estructura de datos exterior que incluye también otros elementos de información. Esos otros elementos de información incluyen, preferiblemente, un identificador del algoritmo de proceso de cálculo probabilístico de la dirección usado por el firmante, un identificador del algoritmo de la firma digital usado por el firmante y, ventajosamente, un campo de atributos no autentificados, el cual es "no autentificado" con respecto al firmante, dado que ese campo no se usa en el cálculo de la firma digital del firmante. El campo de atributos no autentificados puede usarse para información que sea necesario hacer llegar a la TCU, y puede ser más tarde usado por la TCU para registrar varios datos, tales como la hora en que recibió un bloque de firma. Se comprenderá que los campos de atributos autentificados y no autentificados son opcionales, y se apreciará que un bloque de firma del usuario es eventualmente protegido por la firma de la TCU situada en una envoltura más exterior.

Para tratos y registros en que intervengan múltiples firmas digitales en paralelo, cada firma digital será calculada sobre la dirección calculada del(de los) contenido(s) y los atributos autentificados con respecto a esa firma digital. La dirección calculada del contenido seguirá siendo la misma, pero los atributos autentificados podrían variar de una firma digital a otra, capacitando con ello para que sea conducida la información específica que concierna a cada acto de firma.

La información del certificado en un bloque de firma incluye típicamente al menos un certificado de autentificación (por ejemplo, un certificado X.509) y puede incluir una o más de otras estructuras de datos que contengan información adicional acerca del firmante. Tal información adicional sería típicamente emitida por una autoridad reconocida por la TCU y el sistema de autentificación de documentos, y puede ser dispuesta en una estructura de datos que tenga la forma de un certificado firmado digitalmente por la autoridad que lo emita.

La Fig. 12 representa envolturas que sirven de ejemplos, mostrándose una envoltura interior 1202 y una envoltura exterior 1204. Una envoltura es una estructura de datos que contiene etiquetas que permiten localizar y extraer campos de información contenidos en la envoltura, y por consiguiente se puede usar cualquier formato de registro que soporte la inclusión de firmas digitales con contenido, incluyendo, aunque sin quedar limitados a ellos, los PKCS#7, S/MIME, XML, XFDL, HTML, y XHTML. Los elementos de información que pueden estar contenidos en todas las envolturas son identificadores de algoritmos, tamaños de clave para cada algoritmo, contenido, bloques de firma de usuario, y bloque de firma de la TCU. Como se ha representado en la Fig. 12, la envoltura interior 1202 incluye múltiples firmas digitales en paralelo, representadas por el bloque de firma 1 y el bloque de firma 2, y la envoltura exterior incluye un bloque de firma digital de la TCU. Aunque solamente se hayan representado identificadores de algoritmos simples, deberá quedar entendido que cada firma puede usar una combinación diferente de algoritmos y de tamaños de clave. Esto se representaría como la inclusión de identificadores que se alinearían uno por cada uno de los bloques de firma (es decir, primero, segundo, tercero, etc.). Alternativamente, la información del algoritmo puede ser conducida en una información de certificado del usuario.

Como se ha sugerido en la Fig. 12, se apreciará que las envolturas pueden ser aplicadas de forma recurrente, lo cual simplemente significa que se pueden contener envolturas dentro de envolturas, y en la Fig. 13 se ha representado un ejemplo de eso. Se reconocerá que ese ejemplo es una puesta práctica del método de encadenamiento de firmas descrito en lo que antecede. Se pueden aplicar bloques de firmas paralelas simples o múltiples a cualquier nivel de envoltura, n, n+1, n+2, n+3, etc. Una envoltura interior, es decir, una envoltura que esté contenida dentro de al menos otra envoltura, puede contener un registro de original electrónico preservado, conteniendo esas envolturas exteriores de la envoltura bloques de firma simples o en paralelo. Puesto que la envoltura más exterior (envoltura n+3 en la Fig. 13) incluye típicamente la firma digital de una TCU, la validación de la firma digital de la TCU, la cual fue calculada sobre el contenido acumulativo de todas las envolturas, es suficiente para detectar cualquier alteración, incluso de un solo bit, del contenido protegido. La Fig. 13 representa cuatro niveles de recurrencia, pero se apreciará que no hay límite físico en cuanto al número de envolturas que pueden ser aplicadas. Existe, sin embargo, un límite práctico, debido a la potencia de cálculo disponible, al tiempo que se precisa para desenvolver y analizar sintácticamente cada estructura de datos, y a la capacidad de respuesta comercial exigida por los usuarios. La recurrencia de las envolturas puede también venir impuesta por procesos comerciales tales como los que implica el método de encadenamiento de firmas descrito en lo que antecede. Se comprenderá que las envolturas pueden incluir firmas digitales tanto en serie como en paralelo, las cuales pueden ser las de los usuarios o las de Agentes de Transferencia, dependiendo del proceso comercial que se esté poniendo en práctica.

En la Fig. 14 se ha representado un ejemplo de una envoltura que podría surgir del antes descrito método de inventario de objeto usando firmas de refrendo. Se apreciará que tal método es el equivalente a la ejecución de refrendos tradicionales de un trato, tal como de un acuerdo. En el curso del método, se ponen a disposición de cada participante en el trato una copia principal de un registro original electrónico y una página de firma, y cada participante añade su firma digital a su respectiva página de firma y devuelve a la TCU su página de firma firmada, o bien tanto la copia principal como su página de firma firmada. Cada bloque de firma del participante contiene por tanto una dirección calculada de la combinación de la copia principal y de la página de firma de ese participante. Solamente se debe preservar una copia del registro principal, preferiblemente como un objeto original electrónico, pero la página de firma de cada participante debe ser preservada, también preferiblemente como objetos originales electrónicos. Como se ha descrito en lo que antecede, el método de inventario de objeto limita el acuerdo principal a todas las páginas de firma, actuando en forma muy similar a como lo hace un clip o una grapa en un documento de papel, por cuanto liga criptográficamente todos los registros representados por la misma.

Se apreciará que, de acuerdo con el método de inventario de objeto, los originales electrónicos pertenecientes a un trato son mantenidos por separado. El propio inventario de objeto es un original electrónico que incluye metadatos que son detalles que caracterizan el trato y los criterios de selección usados para localizar el trato en el sistema y que incluye una o más referencias de bases de datos usadas para recuperar los originales electrónicos individuales pertenecientes al trato y el bloque de firma de la TCU en cada original electrónico. Como un propio original electrónico, el inventario de objeto es una envoltura que incluye el bloque de firma de la TCU. A la conclusión de un paso comercial o de un cambio de estado del trato, se crea una nueva versión del inventario de objeto.

Se comprenderá que después de aplicada su firma digital a una copia autorizada, una TCU añade típicamente uno o más índices a las copias de la copia autorizada que son proporcionados para autorizar a los usuarios, de tal modo que cuando se presente, se imprima, o se haga llegar de otro modo una copia, sea claramente evidente que lo que se entrega es una copia de la copia autorizada, la cual está retenida por la TCU. Se proporcionan por consiguiente las protecciones requeridas por la legislación reciente y pendiente relativa a las firmas electrónicas. No obstante, se apreciará que estas protecciones no están disponibles cuando no intervenga una TCU durante la ejecución de un trato, como en la Fig. 7, y que no es posible por consiguiente proteger frente a una copia de un registro transferible que sea hecha llegar de tal manera que la copia pueda ser confundida con el registro transferible real. Ya sea intencionada o inintencionadamente, tal entrega crearía la posibilidad de un fraude.

Se observará que esta descripción y los dibujos son tan solo ilustrativos, y que quienes posean los conocimientos corrientes de la técnica reconocerán que se pueden efectuar varias modificaciones sin desviarse de la esencia del invento, el cual queda definido por las reivindicaciones que siguen.

Claims

1. Un método para manejar objetos originales electrónicos almacenados que han sido creados firmando objetos de información por los respectivos Agentes de Transferencia, someter los objetos de información firmados a una utilidad de custodia fiable, validar los objetos de información firmados remitidos comprobando al menos la integridad del contenido de cada objeto de información firmado y la validez de la firma del respectivo Agente de Transferencia, y aplicar a cada objeto de información validad un sello con la fecha y hora y una firma digital y certificado de autentificación de la utilidad de custodia fiable, que comprende los pasos de:

seleccionar un objeto original electrónico almacenado (304):

revalidar el objeto original electrónico seleccionado mediante al menos la verificación de la firma digital de la utilidad de custodia fiable aplicada al objeto original electrónico seleccionado (306); y

aplicar al objeto original electrónico revalidado un sello con la fecha y hora actuales y una firma digital y certificado de autentificación actual de la utilidad de custodia fiable (308).

2. El método según la reivindicación 1, en el que el paso de aplicación se realiza antes de que expire un período de validez del certificado de autentificación actual de la utilidad de custodia fiable aplicado al objeto original electrónico seleccionado, con lo que se amplía un período de validez del objeto original electrónico revalidado al período de validez del certificado de autentificación actual.

3. El método según la reivindicación 1, en el que el método se realiza en respuesta a al menos una instrucción recibida y validad por la utilidad de custodia fiable, la cual valida una instrucción recibida mediante al menos la comprobación de la integridad del contenido de la instrucción recibida y la validez de la firma de un Agente de Transferencia en la instrucción recibida, y aplica a una instrucción recibida validada un sello con la fecha y hora y una firma digital y certificado de autentificación actual.

4. El método según la reivindicación 3, en el que la instrucción recibida es emitida por una entidad autorizada, y la utilidad de custodia fiable valida la instrucción recibida comprobando para ello también la autoridad de la entidad autorizada para emitir la instrucción recibida.

5. El método según la reivindicación 1, que comprende además los pasos de:

exportar a una segunda utilidad fiable el objeto original electrónico revalidado y con el sello de fecha y hora aplicado, la firma digital, y el certificado de autentificación de la utilidad de custodia fiable;

revalidar en la segunda utilidad de custodia fiable el objeto original electrónico exportado verificando para ello al menos la firma digital de la utilidad de custodia fiable aplicada al objeto original electrónico exportado; y

aplicar al objeto original electrónico exportado revalidado un sello con la fecha y hora actuales y una firma digital y certificado de autentificación actual de la segunda utilidad de custodia fiable.

6. El método según la reivindicación 3, en el que la propiedad del objeto original electrónico revalidado se transfiere a la utilidad de custodia fiable sobre la base de la instrucción recibida validada.

7. El método según la reivindicación 3, en el que se transfiere un derecho al objeto original electrónico revalidado a la utilidad de custodia fiable sobre la base de la instrucción recibida validada.

8. El método según la reivindicación 7, en el que el derecho al objeto original electrónico revalidado es un derecho a los beneficios representados por el objeto original electrónico revalidado.

9. El método según la reivindicación 3, en el que el acceso al objeto original electrónico revalidado es concedido en la utilidad de custodia fiable a un miembro de un sindicato sobre la base de la instrucción recibida validada.

10. El método según la reivindicación 3, en el que el acceso al objeto original electrónico revalidado es controlado en la utilidad de custodia fiable sobre la base de la instrucción recibida validada, y el paso de aplicación se realiza antes de que expire un período de validez del certificado de autentificación actual de la utilidad de custodia fiable, aplicado al objeto original electrónico seleccionado, de modo que se amplía el período de validez del objeto original electrónico revalidado al período de validez del certificado de autentificación actual.

11. El método según la reivindicación 1, en el que un Agente de Transferencia firma un objeto de información añadiendo para ello como apéndice al objeto de información una firma digitalizada verificable y un bloque de integridad del contenido.

12. El método según la reivindicación 1, en el que el objeto original electrónico incluye una envoltura, y el objeto original electrónico es autentificado como una estación de trabajo de cliente capacitado mediante la validación del contenido de la envoltura, permitiendo con ello la demostración de una identidad de un remitente de un objeto de información y de la integridad del objeto de información.

13. El método según la reivindicación 3, en el que la utilidad de custodia fiable responde a una instrucción recibida y validada relativa a un objeto original electrónico almacenado que incluye una envoltura, realizando para ello los pasos de:

comprobar que un remitente de l instrucción está autorizado para enviar tal instrucción;

imprimir un objeto de información derivado de la envoltura con un índice resistente al fraude que signifique que el objeto de información impreso está certificado por la utilidad de custodia fiable; y

registrar la fecha y hora de la impresión del objeto de información impreso.

14. El método según la reivindicación 3, en el que la utilidad de custodia fiable destruye el objeto original electrónico almacenado, sobre la base de la instrucción recibida y validada.

15. El método según la reivindicación 3, en el que, sobre la base de la instrucción recibida y validada, la utilidad de custodia fiable designa el objeto original electrónico almacenado como una copia.

16. El método según la reivindicación 3, en el que la utilidad de custodia fiable responde a una instrucción recibida y validada relativa a un objeto original electrónico almacenado, que incluye una envoltura, realizando para ello los pasos de:

comprobar que el remitente de la instrucción está autorizado para enviar tal instrucción; y

imprimir un objeto de información derivado de la envoltura con un índice resistente al fraude en una impresora controlada por la utilidad de custodia fiable; y

registrar la fecha y hora de la impresión del objeto de información impreso.

17. El método según la reivindicación 16, en el que la utilidad de custodia fiable realiza el paso adicional de destruir el objeto original electrónico almacenado, sobre la base de la instrucción recibida y validada.

18. El método según la reivindicación 16, en el que, sobre la base de la instrucción recibida y validada, la utilidad de custodia fiable realiza el paso adicional de designar el objeto original electrónico almacenado como una copia.

19. El método según la reivindicación 3, en el que la utilidad de custodia fiable responde a una instrucción recibida y validada relativa a un objeto original electrónico almacenado que incluye una envoltura, realizando para ello los pasos de:

comprobar que el remitente de la instrucción está autorizado para enviar tal instrucción;

exportar una copia del objeto original electrónico almacenado, en que la envoltura incluye al menos un índice resistente al fraude que significa que la copia exportada está certificada por la utilidad de custodia fiable y al menos una instrucción que controla la entrega de la copia exportada; y

registrar la fecha y hora de la exportación de la copia exportada.

20. El método según la reivindicación 3, en el que la utilidad de custodia fiable responde a una instrucción recibida y validada relativa a un objeto original electrónico almacenado, que incluye una envoltura, realizando para ello los pasos de:

exportar una copia del objeto original electrónico almacenado, en que la envoltura incluye al menos un índice resistente al fraude que designa la copia exportada como una copia autorizada y al menos una instrucción que controla la entrega de la copia exportada; y

registrar la fecha y hora de la exportación de la copia exportada.

21. El método según la reivindicación 20, en el que la utilidad de custodia fiable realiza el paso adicional de destruir el objeto original electrónico almacenado, sobre la base de la instrucción recibida y validada.

22. El método según la reivindicación 20, en el que, sobre la base de la instrucción recibida y validada, la utilidad de custodia fiable realiza el paso adicional de designar el objeto original electrónico almacenado como una copia.

\newpage

23. El método según la reivindicación 1, en el que un objeto original electrónico almacenado es una imagen electrónica de un original impreso que ha sido firmado digitalmente por un agente de transferencia y colocado en una envoltura que incluye la imagen electrónica, una firma digital, un certificado de autentificación, instrucciones, e información necesaria para validad la firma, y la utilidad de custodia fiable ha validado la integridad de la imagen electrónica y la identidad y la autoridad del agente de transferencia para remitir la imagen electrónica, ha aplicado un sello con la fecha y hora, la firma digital, y el certificado de autentificación a la imagen electrónica, ha incluido la imagen electrónica y la información asociada en una segunda envoltura, y ha almacenado y asumido el control de la imagen electrónica como un objeto original electrónico.

24. El método según la reivindicación 16, en el que quien recibe el objeto original electrónico impreso verifica la presencia del índice resistente al fraude y forma una imagen electrónica del objeto original electrónico impreso, la imagen electrónica es firmada digitalmente por un agente de transferencia y colocada en una envoltura que incluye la imagen electrónica, una firma digital, un certificado de autentificación, instrucciones, e información necesaria para la validación de la firma, y se remite la envoltura a la utilidad de custodia fiable, la cual valida la integridad de la imagen electrónica y la identidad y la autoridad del agente de transferencia para remitir la imagen electrónica; la cual aplica un sello con la fecha y hora, firma digital, y certificado de autentificación a la imagen electrónica; la cual incluye la imagen electrónica y la información asociada en una segunda envoltura; y la cual almacena y asume el control de la imagen electrónica como un objeto original electrónico.

25. El método según la reivindicación 20, en el que el objeto original electrónico exportado es remitido a una segunda utilidad de custodia fiable con una instrucción para importar el objeto original electrónico exportado, y la segunda utilidad de custodia fiable autentifica la instrucción, comprueba que el remitente de la instrucción está autorizado para enviar tal instrucción, importa el objeto original electrónico sobre la base de la verificación, aplica un sello con la fecha y hora, firma digital y certificado de autentificación, incluye el objeto original electrónico importado y la información asociada en una segunda envoltura; y almacena y asume el control del objeto original electrónico importado.

26. El método según la reivindicación 1, en el que el propietario de un objeto original electrónico almacenado concede a una tercera parte acceso al objeto original electrónico almacenado, sobre la base de una instrucción remitida a la utilidad de custodia fiable; la tercera parte solicita de la utilidad de custodia fiable la recuperación del objeto original electrónico almacenado; la utilidad de custodia fiable verifica que la tercera parte está autorizada para formular tal petición, recupera el objeto original electrónico sobre la base de la verificación, y exporta el objeto original electrónico recuperado a la tercera parte; y es remitido por la tercera parte un objeto de información correspondiente al objeto original electrónico recuperado a la utilidad de custodia fiable, la cual crea una nueva versión del objeto original electrónico recuperado.

27. El método según la reivindicación 1, en el que el objeto original electrónico revalidado es designado como una copia, se crea un objeto original electrónico correspondiente a una nueva versión del objeto original electrónico revalidado, y se almacena por la utilidad de custodia fiable, y el objeto original electrónico correspondiente a la nueva versión sustituye al objeto original electrónico revalidado.

28. El método según la reivindicación 1, en el que el propietario de un objeto original electrónico almacenado que incluye una envoltura concede acceso al objeto original electrónico almacenado para que sea visto sobre la base de una instrucción remitida a la utilidad de custodia fiable; una tercera parte solicita de la utilidad de custodia fiable la recuperación del objeto original electrónico almacenado; y la utilidad de custodia fiable verifica que la tercera parte está autorizada para formular tal petición, recupera el objeto original electrónico sobre la base de la verificación, extrae del objeto original electrónico recuperado el objeto de información incluido, designa como una copia el objeto de información extraído, y exporta el objeto de información extraído para que sea visto por la tercera parte.

29. El método según la reivindicación 3, en el que la propiedad de un objeto original electrónico almacenado que incluye una envoltura es transferida sobre la base de al menos una instrucción recibida y validada por la utilidad de custodia fiable, comprobando para ello que la instrucción fue remitida por el propietario del objeto original electrónico almacenado, insertando la instrucción en la envoltura, y aplicando a un objeto original electrónico que incluye la envoltura que tiene la instrucción un sello con la fecha y hora actuales y una firma digital y certificado de autentificación actual de la utilidad de custodia fiable.

30. El método según la reivindicación 1, en el que se comprueba la validez de la firma de un agente de transferencia verificando para ello que la fecha y hora actuales quedan dentro del período de validez de un certificado de autentificación para la firma del agente de transferencia e interrogando a una autoridad de certificación en cuanto al estado del certificado de autentificación del agente de transferencia; y si el estado del agente de transferencia no es de activo, la utilidad de custodia fiable rechaza el objeto de información firmado remitido por el agente de transferencia, y si el estado del agente de transferencia es de activo la utilidad de custodia fiable acepta el objeto de información firmado remitido.

31. El método según la reivindicación 3, en el que un segundo objeto original electrónico almacenado incluye una envoltura que incluye la al menos una instrucción.

\newpage

32. El método según la reivindicación 1, en el que el propietario de un objeto original electrónico almacenado que incluye una envoltura concede acceso al objeto original electrónico almacenado para que sea visto, sobre la base de una instrucción remitida a la utilidad de custodia fiable; una tercera parte solicita de la utilidad de custodia fiable la recuperación del objeto original electrónico almacenado; y la utilidad de custodia fiable verifica que la tercera parte está autorizada para formular tal petición, recupera el objeto original electrónico sobre la base de la verificación, extrae del objeto original electrónico recuperado el objeto de información incluido, y exporta el objeto de información extraído para que sea visto por la tercera parte.

33. El método según la reivindicación 1, en el que la utilidad de custodia fiable maneja al menos un objeto original electrónico sobre la base de reglas establecidas por el propietario del al menos un objeto original electrónico, que comprende los pasos de:

establecer una regla que establezca al menos un tipo de objeto original electrónico;

establecer una regla que establezca al menos un tipo de objeto original electrónico como registros de transferencia potencial;

establecer una regla que capacite a al menos un usuario seleccionado para que tenga acceso a al menos un tipo seleccionado de objeto original electrónico;

establecer una regla que identifique al menos un tipo de objeto original electrónico requerido para concluir un trato; y

establecer una regla que controle la transformación de un objeto original electrónico seleccionado en un registro transferible.