Introdución
A seguridade é un dos conceptos crave aos que a Administración, no seu paso ao terreo das Tecnoloxías da Información e as Comunicacións (TIC), debe prestar unha maior atención: a Administración ten que estender as garantías xurídicas que ofrece aos cidadáns e empresas ás xestións que se realicen de forma electrónica.
Os documentos que se xeran electronicamente levan asociados tres conceptos que son necesarios salvagardar e que son a confidencialidade, a integridade e a autenticidade:
- A confidencialidade refírese a a capacidade de manter un documento electrónico inaccesible a todos, excepto a unha lista determinada de persoas.
- A integridade garante que o documento recibido coincide co documento emitido sen posibilidade algunha de cambio.
- A autenticidade refírese a a capacidade de determinar se unha lista determinada de persoas estableceu o seu recoñecemento e/ou compromiso sobre o contido do documento electrónico. O problema da autenticidade nun documento tradicional soluciónase mediante a firma autógrafa. Mediante a súa firma autógrafa, un individuo, ou varios, manifestan a súa vontade de recoñecer o contido dun documento, e no seu caso, a cumprir cos compromisos que o documento estableza para co individuo.
Estes problemas, confidencialidade, integridade e autenticidade (os procesos definidos de firma e cifrado) resólvense mediante a tecnoloxía chamada criptografía. A criptografía é unha rama das matemáticas que, ao aplicarse a mensaxes dixitais, proporciona as ferramentas idóneas para solucionar os problemas antes mencionados. Ao problema da confidencialidade relaciónaselle comunmente con técnicas denominadas de cifrado e aos problemas da integridade e a autenticidade con técnicas denominadas de firma dixital, aínda que ambos en realidade redúcense a procedementos criptográficos de cifrado e descifrado.
Que é criptografía asimétrica?
A criptografía asimétrico é o método criptográfico que utiliza un par de claves complementarias, a pública e a privada, para cifrar documentos ou mensaxes. O que está codificado cunha clave privada necesita a súa correspondente clave pública para ser descodificado. E viceversa, o codificado cunha clave pública só pode ser *ecodificadoco a súa clave privada. A clave privada debe ser coñecida unicamente polo seu propietario, mentres que a correspondente clave pública pode ser dada a coñecer abertamente.
O feito de que a clave privada só sexa coñecida polo seu propietario permítenos conseguir dúas cousas importantes:
- Calquera documento xerado a partir desta clave necesariamente ten que ser xerado polo propietario da clave (firma electrónica).
- Un documento al que se aplica la clave pública sólo podrá ser abierto por el propietario de la correspondiente clave privada (cifrado electrónico).
Que é un certificado electrónico?
Un certificado electrónico é un documento emitido e asinado por unha autoridade de certificación que identifica a unha persoa (física ou legal) cun par de chaves. Un certificado contén a seguinte información:
- Identificación do titular do certificado (Nome do titular, NIF, correo electrónico,…).
- Insignias do certificado: número de serie, entidade que o emitiu, data de emisión, período de validez do certificado, etc.
- Unha parella de claves: pública e privada.
- A firma electrónica do certificado coa clave da autoridade de certificación (AC) que o emitiu.
Toda esta información pode dividirse en dous partes:
- Parte privada do certificado: clave privada.
- Parte pública do certificado: resto de datos do certificado, incluída a firma electrónica da autoridade de certificación que o emitiu.
Que é unha firma electrónica?
A parte privada nunca é cedida polo seu propietario. Esta é a base da seguridade. Coa parella de claves pódense realizar funcións de cifrado coa peculiaridade de que o que se cifra coa privada só se pode verificar coa pública e viceversa.
- Non hai posibilidade de recuperar a mensaxe da pegada xerada.
- Se se cambia a mensaxe, a pegada dixital que se obtén é diferente. Estas dúas características garanten a integridade da mensaxe. Se se cambia o contido da mensaxe, o que verifica a firma vaino a saber.
A pegada dixital está cifrada coa clave privada do certificado da persoa que asina. Aplicando os mecanismos
Como se xera unha firma electrónica?
- Obtense unha pegada dixital do documento dixital que se quere asinar. Esta pegada dixital garante que dous documentos diferentes xeran diferentes pegadas dixitais e dous documentos iguais sempre xeran a mesma pegada dixital.
- Realízase o cifrado (mediante algoritmos matemáticos) da pegada dixital coa clave privada do certificado. Desta forma garántese a autenticidade xa que é o propietario do certificado o único que puido realizar este cifrado.
- Se encapsula toda a documentación nun documento asinado que inclúe:
- Documento orixinal (opcional).
- Pegada dixital cifrada coa clave privada.
- Parte pública do certificado.
Verificación dunha firma electrónica
- A impresión dixital cifrada é descifrada coa clave privada usando a chave pública do certificado.
- S'obté l'empremta digital do documento orixinal.
- Compara os empregados dixitais. Se coinciden, a sinatura é correcta (hola ten integritat, o documento non foi modificado).
- Consúltase á autoridade de certificación emisora para a validez do certificado e se é válido, a firma así como a correcta (a autenticidade da orixe da firma está garantida).