Signatura Electrònica

Conceptes bàsics

Introducció

La seguretat és un dels conceptes clau als quals l'Administració, en el seu pas al terreny de les Tecnologies de la Informació i les Comunicacions (TIC), ha de prestar una major atenció: l'Administració ha d'estendre les garanties jurídiques que ofereix als ciutadans i empreses a les gestions que es realitzin de forma electrònica.

Els documents que es generen electrònicament porten associats tres conceptes que són necessaris salvaguardar i que són la confidencialitat, la integritat i l'autenticitat:

  • La confidencialitat es refereix a la capacitat de mantenir un document electrònic inaccessible a tots, excepte a una llista determinada de persones.
  • La integritat garanteix que el document rebut coincideix amb el document emès sense possibilitat alguna de canvi.
  • L'autenticitat es refereix a la capacitat de determinar si una llista determinada de persones ha establert el seu reconeixement i/o compromís sobre el contingut del document electrònic. El problema de l'autenticitat en un document tradicional se soluciona mitjançant la signatura autògrafa. Mitjançant la seva signatura autògrafa, un individu, o varis, manifesten la seva voluntat de reconèixer el contingut d'un document, i si escau, a complir amb els compromisos que el document estableixi envers l'individu.

Aquests problemes, confidencialitat, integritat i autenticitat (els processos definits de signatura i xifrat) es resolen mitjançant la tecnologia anomenada criptografia. La criptografia és una branca de les matemàtiques que, en aplicar-se a missatges digitals, proporciona les eines idònies per a solucionar els problemes abans esmentats. Al problema de la confidencialitat se'l relaciona comunament amb tècniques denominades de xifrat i als problemes de la integritat i l'autenticitat amb tècniques denominades de signatura digital, encara que tots dos en realitat es redueixen a procediments criptogràfics de xifrat i desxifrat.

Què és criptografia asimètrica?

La criptografia asimètrica és el mètode criptogràfic que utilitza un parell de claus complementàries, la pública i la privada, per xifrar documents o missatges. El que està codificat amb una clau privada necessita la seva corresponent clau pública per ser descodificat. I viceversa, el codificat amb una clau pública només pot ser descodificat amb la seva clau privada. La clau privada ha de ser coneguda únicament pel seu propietari, mentre que la corresponent clau pública pot ser donada a conèixer obertament.

El fet que la clau privada només sigui coneguda pel seu propietari ens permet aconseguir dues coses importants:

  • Qualsevol document generat a partir d'aquesta clau necessàriament ha d'haver estat generat pel propietari de la clau (signatura electrònica).
  • Un document a què s'aplica la clau pública només podrà ser obert pel propietari de la corresponent clau privada (xifrat electrònic).

Què és un certificat electrònic?

Un certificat electrònic és un document emès i signat per una autoritat de certificació que identifica una persona (física o jurídica) amb un parell de claus. Un certificat conté la següent informació:

  • Identificació del titular del certificat (Nom del titular, NIF, correu electrònic,…).
  • Distintius de el certificat: número de sèrie, entitat que el va emetre, data d'emissió, període de validesa de l'certificat, etc.
  • Una parella de claus: pública i privada.
  • La signatura electrònica del certificat amb la clau de l'autoritat de certificació (AC) que ho va emetre.

Tota aquesta informació pot dividir-se en dues parts:

  • Part privada del certificat: clau privada.
  • Part pública del certificat: resta de dades del certificat, inclosa la signatura electrònica de l'autoritat de certificació que ho va emetre.

Què és una signatura electrònica?

La part privada mai és cedida pel seu propietari. Aquesta és la base de la seguretat. Amb la parella de claus es poden realitzar funcions de xifrat amb la peculiaritat que el que es xifra amb la privada només es pot verificar amb la pública i viceversa.

  • No hi ha la possibilitat de tornar a obtenir el missatge partint de l'empremta digital generada.
  • Si es canvia el missatge, l'empremta digital que s'obté és diferent. Aquestes dues característiques garanteixen la integritat del missatge. Si es canvia el contingut del missatge, el que verifica la signatura ho va a saber.

L'empremta digital es xifra amb la clau privada de l'certificat de la persona que signa. Aplicant els mecanismes

Com es genera una signatura electrònica?

  1. S'obté una empremta digital del document digital que es vol signar. Aquesta empremta digital garanteix que dos documents diferents generen diferents empremtes digitals i dos documents iguals sempre generen la mateixa empremta digital.
  2. Es realitza el xifrat (mitjançant algorismes matemàtics) de l'empremta digital amb la clau privada del certificat. D'aquesta forma es garanteix l'autenticitat ja que és el propietari del certificat l'únic que ha pogut realitzar aquest xifrat.
  3. S'encapsula tota la documentació en un document signat que inclou:
  • Document original (opcional).
  • Empremta digital xifrada amb la clau privada.
  • Part pública del certificat.

Verificació d'una signatura electrònica

  1. Es desxifra l'empremta digital xifrada amb la clau privada mitjançant la clau pública de l'certificat.
  2. S'obté l'empremta digital de l'document original.
  3. És comparin els Empremtes digitals. Si coincideixen, la signatura és correcta (hi ha integritat, el document no ha Estat modificat).
  4. Es consulta a l'autoritat de certificació emissora per la validesa de l'certificat i si és vàlida, la signatura a més de correcta és vàlida (garantida l'autenticitat de l'origen de la signatura).