Firma Electrónica

Conceptos básicos

Introducción

La seguridad es uno de los conceptos clave a los que la Administración, en su paso al terreno de las Tecnologías de la Información y las Comunicaciones (TIC), debe prestar una mayor atención: la Administración tiene que extender las garantías jurídicas que ofrece a los ciudadanos y empresas a las gestiones que se realicen de forma electrónica.

Los documentos que se generan electrónicamente llevan asociados tres conceptos que son necesarios salvaguardar y que son la confidencialidad, la integridad y la autenticidad:

  • La confidencialidad se refiere a la capacidad de mantener un documento electrónico inaccesible a todos, excepto a una lista determinada de personas.
  • La integridad garantiza que el documento recibido coincide con el documento emitido sin posibilidad alguna de cambio.
  • La autenticidad se refiere a la capacidad de determinar si una lista determinada de personas ha establecido su reconocimiento y/o compromiso sobre el contenido del documento electrónico. El problema de la autenticidad en un documento tradicional se soluciona mediante la firma autógrafa. Mediante su firma autógrafa, un individuo, o varios, manifiestan su voluntad de reconocer el contenido de un documento, y en su caso, a cumplir con los compromisos que el documento establezca para con el individuo.

Estos problemas, confidencialidad, integridad y autenticidad (los procesos definidos de firma y cifrado) se resuelven mediante la tecnología llamada criptografía. La criptografía es una rama de las matemáticas que, al aplicarse a mensajes digitales, proporciona las herramientas idóneas para solucionar los problemas antes mencionados. Al problema de la confidencialidad se le relaciona comúnmente con técnicas denominadas de cifrado y a los problemas de la integridad y la autenticidad con técnicas denominadas de firma digital, aunque ambos en realidad se reducen a procedimientos criptográficos de cifrado y descifrado.

¿Qué es criptografía asimétrica?

La criptografía asimétrica es el método criptográfico que utiliza un par de claves complementarias, la pública y la privada, para cifrar documentos o mensajes. Lo que está codificado con una clave privada necesita su correspondiente clave pública para ser descodificado. Y viceversa, lo codificado con una clave pública sólo puede ser descodificado con su clave privada. La clave privada debe ser conocida únicamente por su propietario, mientras que la correspondiente clave pública puede ser dada a conocer abiertamente.

El hecho de que la clave privada sólo sea conocida por su propietario nos permite conseguir dos cosas importantes:

  • Cualquier documento generado a partir de esta clave necesariamente tiene que haber sido generado por el propietario de la clave (firma electrónica).
  • Un documento al que se aplica la clave pública sólo podrá ser abierto por el propietario de la correspondiente clave privada (cifrado electrónico).

¿Qué es un certificado electrónico?

Un certificado electrónico es un documento emitido y firmado por una autoridad de certificación que identifica a una persona (física o jurídica) con un par de claves. Un certificado contiene la siguiente información:

  • Identificación del titular del certificado (Nombre del titular, NIF, correo electrónico,…).
  • Distintivos del certificado: número de serie, entidad que lo emitió, fecha de emisión, periodo de validez del certificado, etc.
  • Una pareja de claves: pública y privada.
  • La firma electrónica del certificado con la clave de la autoridad de certificación (AC) que lo emitió.

Toda esta información puede dividirse en dos partes:

  • Parte privada del certificado: clave privada.
  • Parte pública del certificado: resto de datos del certificado, incluida la firma electrónica de la autoridad de certificación que lo emitió.

La parte privada nunca es cedida por su propietario. Ésta es la base de la seguridad. Con la pareja de claves se pueden realizar funciones de cifrado con la peculiaridad de que lo que se cifra con la privada sólo se puede verificar con la pública y viceversa.

¿Qué es una firma electrónica?

La parte privada nunca es cedida por su propietario. Ésta es la base de la seguridad. Con la pareja de claves se pueden realizar funciones de cifrado con la peculiaridad de que lo que se cifra con la privada sólo se puede verificar con la pública y viceversa.

  • No existe la posibilidad de volver a obtener el mensaje partiendo de la huella digital generada.
  • Si se cambia el mensaje, la huella digital que se obtiene es diferente. Estas dos características garantizan la integridad del mensaje. Si se cambia el contenido del mensaje, el que verifica la firma lo va a saber.

La huella digital se cifra con la clave privada del certificado de la persona que firma. Aplicando los mecanismos

¿Cómo se genera una firma electrónica?

  1. Se obtiene una huella digital del documento digital que se quiere firmar. Esta huella digital garantiza que dos documentos diferentes generan diferentes huellas digitales y dos documentos iguales siempre generan la misma huella digital.
  2. Se realiza el cifrado (mediante algoritmos matemáticos) de la huella digital con la clave privada del certificado. De esta forma se garantiza la autenticidad ya que es el propietario del certificado el único que ha podido realizar este cifrado.
  3. Se encapsula toda la documentación en un documento firmado que incluye:
  • Documento original (opcional).
  • Huella digital cifrada con la clave privada.
  • Parte pública del certificado.

Verificación de una firma electrónica

  1. Se descifra la huella digital cifrada con la clave privada mediante la clave pública del certificado.
  2. Se obtiene la huella digital del documento original.
  3. Se comparan las huellas digitales. Si coinciden, la firma es correcta (hay integridad, el documento no ha sido modificado).
  4. Se consulta a la autoridad de certificación emisora por la validez del certificado y si es válida, la firma además de correcta es válida (garantizada la autenticidad del origen de la firma).