Firma Electrónica

1.- Introducción

La Firma Electrónica (también llamada Firma Digital) es el resultado que se obtiene al aplicar un conjunto de algoritmos matemáticos a un documento y luego cifrar el resumen obtenido con una clave privada. Esto nos ofrece ciertas garantías de seguridad sobre el documento objeto de firma:

Desde el punto de vista del uso, existen varios tipos de tarjetas chip:

 

    - Acreditación del autor (Autenticación)

    - Inalteración del documento firmado (Integridad)

    - Confidencialidad del documento firmado (Confidencialidad)

    - Identificación inequívoca del remitente (No Repudio)

La firma electrónica tiene el mismo valor legal que la firma manuscrita, siempre que ésta se produzca en un Dispositivo Seguro de Creación de Firma (Certificación Common Criteria CWA14169) y que el certificado haya sido emitido por una Autoridad de Certificación reconocida (ej. Camerfirma, IZENPE, Firmaprofesional, ACAbogacía, CATCert, FNMT…). La lista se puede consultar en:

https://www11.mityc.es/prestadores/busquedaPrestadores.jsp

 

La firma electrónica se realiza mediante un certificado electrónico que sirve tanto para realizar la firma electrónica de documentos como para cifrar documentos y realizar transacciones privadas seguras. En muchos casos, la Autoridad de Certificación nos emite varios certificados para diferentes usos, por ejemplo un certificado para firmar y otro para autenticarnos en un sistema telemático, como es el caso del nuevo DNI español.

La firma electrónica está basada en una Infraestructura de Clave Pública (PKI) y por lo tanto en un sistema de criptografía asimétrica.

 

1.- Funcionamiento de la firma electrónica

 

La firma electrónica se compone de una clave privada y una pública. Estas claves son indisociables y están ligadas una a la otra. La clave privada reside en la tarjeta criptográfica y no se puede exportar, en algunos casos cuando los certificados son “software”, éste con su correspondiente clave privada están instalados en el ordenador (en este caso no sería una Firma Electrónica Reconocida). La clave pública es conocida por el resto de los interlocutores y puede ser divulgada sin ningún tipo de riesgo.

El actor encargado de emitir un certificado con validez legal, se denomina “Autoridad de Certificación”. Es éste un agente reconocido y autorizado que genera una secuencia de datos (certificado digital) que vinculan la identidad de una persona o entidad jurídica con su clave pública, de forma que es posible garantizar la identidad del interlocutor a través de combinar la información presente en la firma electrónica y en el certificado.

Para dar a conocer nuestra clave pública se la enviaremos a todos nuestros interlocutores mediante el envío de nuestro certificado digital (que contiene la clave pública) y ello les permitirá que validen la firma.

A continuación se muestra gráficamente el proceso de firmar un mensaje (documento):

 

1.- Disponemos de un documento que deseamos firmar, (ej. Mensaje M)

2.- Generamos el resumen del documento (hash o digest)

3.- Con la Clave Privada firmamos el documento resumen (hash). El resultado de esta operación se la denominada Firma Electrónica.

4.- El resultado es el Mensaje M firmado con la Clave Privada de A

 

 

A continuación se muestra gráficamente el proceso de verificar si el documento firmado por A está íntegro mediante la aplicación inversa del algoritmo RSA aplicado.

Con la Clave Pública de A (obtenida del certificado del emisor) y la firma electrónica obtenemos el resumen del documento. Volvemos a calcular el resumen del documento recibido y si ambos resúmenes son idénticos, podemos decir que la firma es válida.

 

Adicionalmente, mediante el certificado emitido por la Autoridad de Certificación, el receptor sabrá que el emisor es quien dice ser.

Los algoritmos utilizados en la Firma Electrónica reconocida, están considerados hoy día inviolables porque basados sobre problemas matemáticos no resueltos (ej. la generación de números primos), y además están caracterizados por el hecho que la clave de cifrado es diferente y no es deducible por la clave de descifrado. De esta manera es posible disponer de una clave privada memorizada en la tarjeta de manera que no sea exportable y otra denominada clave pública que puede ser enviada o publicada sin peligro de que pueda ser deducida la clave privada.

 

3.- Algoritmos de Resumen de Documentos (Hash o Digest)

Mediante algoritmos y funciones matemáticas se obtiene el resumen de un texto determinado, con una longitud fija. De este resumen es imposible obtener el texto original, ya que está compuesto por una síntesis algorítmica.

Cualquier variación en el texto original (ej. una coma, un espacio), hará que el resumen generado en el proceso de comparación con el original será completamente diferente.

Las dimensiones del resumen del documento son siempre de la misma longitud, independientemente la longitud del documento original.

 

4.- Autenticidad

Para conseguir la autenticidad de una firma y tener la total certeza de que el emisor es realmente quien dice ser, utilizamos criptografía asimétrica. Con la clave privada custodiada en la tarjeta criptográfica y que no puede ser extraída, se cifrará (encriptará) el resumen del documento (hash) obtenido a partir del documento original que solo podrá descifrarse con la respectiva clave pública asociada a la clave privada con la que fue cifrado. Este procedimiento nos permitirá estar seguros de que fue el poseedor de la tarjeta criptográfica quien firmo el mensaje.

 

5.- Integridad

Para asegurarse de que un mensaje no ha sido alterado, también se usa la clave privada complementando el proceso con el algoritmo hash.

Inicialmente aplica el algoritmo hash al texto obteniendo un resumen de longitud fija, y luego se le aplica la clave privada a este resumen para cifrarlo. El destinatario descifrará el resumen con la clave pública asociada a la clave privada con el que fue firmado para asegurarse de que fue realmente él quien envió el mensaje, y luego se le aplicará el algoritmo hash sobre el texto original recibido para crear su propio resumen y verificar que coincide exactamente con el resumen enviado por el autor original. De esta forma el destinatario estará seguro de que el mensaje no ha sido alterado. De lo contrario, si el resumen obtenido es diferente, el documento habrá sido modificado después de ser firmado por el remitente.

 

6.- Confidencialidad

Cuando interesa que el contenido del mensaje sea sólo visible para el/los destinatarios, el emisor cifrará el mensaje con la clave pública del destinatario para asegurarse que sólo él pueda descifrarlo. El destinatario realizará la operación de descifrado con su respectiva clave privada.

 

7.- No Repudio

El propietario de la clave privada es el único responsable de su uso, manteniéndola segura y custodiada, evitando que terceras personas puedan acceder a ella.

En un trámite formal, y estando bien regulado por leyes y decretos españolas, quedaría constancia por escrito de las responsabilidades asumidas por el titular de las claves mediante contrato firmado. Con estas ventajas tecnológicas, y con el respaldo de la legislación vigente, una firma digital tendrá el mismo valor legal que una firma manuscrita y el titular de dicha firma no podrá negar su autoría respecto a la firma en cuestión.

 

8.- Certificados Digitales

Un Certificado Digital es un documento digital mediante el cual un tercero confiable (una autoridad de certificación) garantiza la vinculación entre la identidad de un sujeto o entidad y su clave pública.

Si bien existen formatos de certificado digital, los más comúnmente empleados se rigen por el estándar UIT-T X.509v3. El certificado contiene usualmente el nombre de la entidad certificadora, un número serial, fecha de expiración, una copia de la clave pública del titular del certificado (utilizada para la verificación de su firma electrónica), y la firma electrónica de la autoridad emisora del certificado de forma que el receptor pueda verificar que el esta última ha establecido realmente la asociación.

 

9.- Autoridad de Certificación

Autoridad de Certificación (AC o CA por sus siglas en inglés Certification Authority) es la entidad de confianza, responsable de emitir y revocar los certificados electrónicos, utilizados en la firma electrónica. La Autoridad de Certificación, por sí misma o mediante la intervención de una Autoridad de Registro, verifica la identidad del solicitante de un certificado antes de su expedición o, en caso de certificados expedidos con la condición de revocados, elimina la revocación de los certificados al comprobar dicha identidad.

La Autoridad de Certificación también denominada Prestador de Servicios de Certificación legitima ante terceros que confían en sus certificados la relación entre la identidad de un usuario y su clave pública.

La confianza de los usuarios en la CA es importante para el funcionamiento del servicio y justifica la filosofía de su empleo. Es por esto que las Autoridades de Certificación registradas en el Ministerio de Industria son las que mayores garantías nos ofrecen.

 

10.- Entidades de Registro

La Entidad de Registro (RA) será la encargada de tener contacto directo con los usuarios que soliciten un certificado digital de una Autoridad de Certificación. A tales efectos, el usuario deberá personarse por única vez en una de las RA que trabajen con las Autoridades de Certificación, y mediante contrato y algunos requisitos necesarios para constatar la identidad de la persona, ésta recibirá, en un breve período de tiempo, su certificado de firma electrónica.

Una Autoridad de Certificación puede tener tantas RA como quiera, puede tener una en las mismas oficinas de la AC y otras a distancias considerables que solo cumplan su función de recepción de solicitudes. También es posible que la misma CA no tuviera una ER asociada a ella en su misma ubicación física, y que solo se limitara a recibir peticiones de RAs remotas.

 

11.- Sellado de Tiempo (Timestamping)

El sellado de tiempo (Timestamping) es un mecanismo on-line que permite demostrar que una serie de datos han existido y no han sido alterados desde un instante específico en el tiempo.

Una Autoridad de Sellado de Tiempo actúa como tercera parte de confianza testificando la existencia de dichos datos electrónicos en una fecha y hora concretos.

En cuanto a su funcionamiento, una vez que tenemos el resumen del documento (hash), se envía a la Autoridad de Sellado de Tiempo (TSA). La TSA genera un sello de tiempo con la fecha y hora obtenida de una fuente fiable y la firma electrónica de la TSA y se le devuelve al solicitante. Para mayores garantías, la TSA mantiene un registro de los sellos emitidos para su futura verificación.