Firma Electrónica

Conceptes bàsics

Introducció

La seguretat és un dels conceptes clau als quals l'Administració, en el seu pas al terreny de les Tecnologies de la Informació i les Comunicacions (TIC), ha de prestar una major atenció: l'Administració ha d'estendre les garanties jurídiques que oferix als ciutadans i empreses a les gestions que es realitzen de forma electrònica.

Los documentos que se generan electrónicamente llevan asociados tres conceptos que son necesarios salvaguardar y que son la confidencialidad, la integridad y la autenticidad:

  • La confidencialitat es referix a la capacitat de mantindre un document electrònic inaccessible a tots, excepte a una llista determinada de persones.
  • La integritat garantix que el document rebut coincidix amb el document emès sense possibilitat alguna de canvi.
  • L'autenticitat es referix a la capacitat de determinar si una llista determinada de persones ha establit el seu reconeixement i/o compromís sobre el contingut del document electrònic. El problema de l'autenticitat en un document tradicional se soluciona mitjançant la firma autògrafa. Mitjançant la seua firma autògrafa, un individu, o varis, manifesten la seua voluntat de reconéixer el contingut d'un document, i si escau, a complir amb els compromisos que el document establisca envers l'individu.

Estos problemes, confidencialitat, integritat i autenticitat (els processos definits de firma i xifrat) es resolen mitjançant la tecnologia anomenada criptografia. La criptografia és una branca de les matemàtiques que, en aplicar-se a missatges digitals, proporciona les ferramentes idònies per a solucionar els problemes abans esmentats. Al problema de la confidencialitat se li relaciona comunament amb tècniques denominades de xifrat i als problemes de la integritat i l'autenticitat amb tècniques denominades de firma digital, encara que tots dos en realitat es reduïxen a procediments criptogràfics de xifrat i desxifrat.

Què és criptografia asimètrica?

La criptografia asimètrica és el mètode criptogràfic que utilitza un parell de claus complementàries, la pública i la privada, per a xifrar documents o missatges. El que està codificat amb una clau privada necessita la seua corresponent clau pública per a ser descodificat. I viceversa, el codificat amb una clau pública només pot ser descodificat amb la seua clau privada. La clau privada ha de ser coneguda únicament pel seu propietari, mentre que la corresponent clau pública pot ser donada a conéixer obertament.

El fet que la clau privada només siga coneguda pel seu propietari ens permet aconseguir dos coses importants:

  • Qualsevol document generat a partir d'esta clau necessàriament ha d'haver sigut generat pel propietari de la clau (firma electrònica).
  • Un document al qual s'aplica la clau pública només podrà ser obert pel propietari de la corresponent clau privada (xifratge electrònic).

Què és un certificat electrònic?

Un certificat electrònic és un document emès i firmat per una autoritat de certificació que identifica a una persona (física o jurídica) amb un parell de claus. Un certificat conté la següent informació:

  • Identificació del titular del certificat (Nom del titular, NIF, correu electrònic,…).
  • Distintius del certificat: nombre de sèrie, entitat que ho va emetre, data d'emissió, període de validesa del certificat, etc.
  • Una parella de claus: pública i privada.
  • La firma electrònica del certificat amb la clau de l'autoritat de certificació (AC) que ho va emetre.

Tota esta informació pot dividir-se en dos parts:

  • Part privada del certificat: clau privada.
  • Part pública del certificat: resta de dades del certificat, inclosa la firma electrònica de l'autoritat de certificació que ho va emetre.

La part privada mai és cedida pel seu propietari. Esta és la base de la seguretat. Amb la parella de claus es poden realitzar funcions de xifrat amb la peculiaritat que el que es xifra amb la privada només es pot verificar amb la pública i viceversa.

Què és una firma electrònica?

La part privada mai és cedida pel seu propietari. Esta és la base de la seguretat. Amb la parella de claus es poden realitzar funcions de xifrat amb la peculiaritat que el que es xifra amb la privada només es pot verificar amb la pública i viceversa.

  • No existe la posibilidad de volver a obtener el mensaje partiendo de la huella digital generada.
  • Si es canvia el missatge, l'empremta digital que s'obté és diferent. Estes dos característiques garantixen la integritat del missatge. Si es canvia el contingut del missatge, el que verifica la firma ho va a saber.

L'empremta digital es xifra amb la clau privada del certificat de la persona que firma. Aplicant els mecanismes

Com es genera una firma electrònica?

  1. S'obté una empremta digital del document digital que es vol firmar. Esta empremta digital garantix que dos documents diferents generen diferents empremtes digitals i dos documents iguals sempre generen la mateixa empremta digital.
  2. Es realitza el xifrat (mitjançant algoritmes matemàtics) de l'empremta digital amb la clau privada del certificat. D'esta forma es garantix l'autenticitat ja que és el propietari del certificat l'únic que ha pogut realitzar este xifrat.
  3. S'encapsula tota la documentació en un document firmat que inclou:
  • Document original (opcional).
  • Empremta digital xifrada amb la clau privada.
  • Part pública del certificat.

Verificació d'una firma electrònica

  1. Es desxifra l'empremta digital xifrada amb la clau privada mitjançant la clau pública del certificat.
  2. S'obté l'empremta digital del document original.
  3. Es comparen les empremtes digitals. Si coincidixen, la firma és correcta (hi ha integritat, el document no ha sigut modificat).
  4. Es consulta a l'autoritat de certificació emissora per la validesa del certificat i si és vàlida, la signatura a més de correcta és vàlida (garantida l'autenticitat de l'origen de la signatura).