Espacio del comerciante >> Comercio electrónico >> La firma digital

  1. La Firma Digital
  2. Certificados digitales
  3. D.N.I. electrónico

1. La firma digital 

La firma digital puede ser definida como una secuencia de datos electrónicos (bits) que se obtienen mediante la aplicación a un mensaje determinado de un algoritmo (fórmula matemática) de cifrado asimétrico o de clave pública, y que equivale funcionalmente a la firma autógrafa en orden a la identificación del autor del que procede el mensaje. Desde un punto de vista material, la firma digital es una simple cadena o secuencia de caracteres que se adjunta al final del cuerpo del mensaje firmado digitalmente.

La aparición y desarrollo de las redes telemáticas, de las que internet es el ejemplo más notorio, ha supuesto la posibilidad de intercambiar entre personas distantes geográficamente mensajes de todo tipo, incluidos los mensajes de contenido contractual. Estos mensajes plantean el problema de acreditar tanto la autenticidad como la autoría de los mismos.

Concretamente, para que dos personas (ya sean dos empresarios o un empresario y un consumidor) puedan intercambiar entre ellos mensajes electrónicos de carácter comercial que sean mínimamente fiables y puedan, en consecuencia, dar a las partes contratantes la confianza y la seguridad que necesita el tráfico comercial, esos mensajes deben cumplir los siguientes requisitos:

  1. Identidad, que implica poder atribuir de forma indubitada el mensaje electrónico recibido a una determinada persona como autora del mensaje.
  2. Integridad, que implica la certeza de que el mensaje recibido por B (receptor) es exactamente el mismo mensaje emitido por A (emisor), sin que haya sufrido alteración alguna durante el proceso de transmisión de A hacia B.
  3. No repudiación o no rechazo en origen, que implica que el emisor del mensaje (A) no pueda negar en ningún caso que el mensaje ha sido enviado por él.

Pues bien, la firma digital es un procedimiento técnico que basándose en técnicas criptográficas trata de dar respuesta a esa triple necesidad apuntada anteriormente, a fin de posibilitar el tráfico comercial electrónico.

Por otra parte, a los tres requisitos anteriores, se une un cuarto elemento, que es la confidencialidad, que no es un requisito esencial de la firma digital sino accesorio de la misma. La confidencialidad implica que el mensaje no haya podido ser leído por terceras personas distintas del emisor y del receptor durante el proceso de transmisión del mismo.

Para garantizar la identidad del firmante se emplea la tecnología de par de claves vinculada a los datos identificativos del titular del certificado. De este modo, cuando se firma un documento se emplea un número único que sólo pertenece al firmante. El receptor del documento verifica la firma con la parte pública de la clave, de este modo, si el proceso de validación es positivo, debe concluirse que el firmante del documento es el titular del certificado.

La integridad del documento no se refiere al hecho de validar el contenido, sino de garantizar que el documento no ha sido modificado tras su firma. Para garantizar esto no es necesario que un tercero custodie una copia del documento sino que se realiza generando un código único del documento a partir de su estructura interna en el momento de ser firmado. Cualquier alteración del contenido del documento provocará que al aplicar de nuevo la función de generación de código único sea imposible reproducir el original, por tanto, quedará rota la integridad del contenido.

 Los elementos que garantizan el no repudio son los siguientes:

  • La clave privada vinculada al certificado y que confiere unicidad a los documentos firmados sólo esté en posesión del firmante desde el mismo momento de generar dichas claves y vincularlas a sus datos identificativos.
  • El certificado y los dispositivos de firma empleados deben basarse en tecnologías y procesos seguros que eviten el uso o sustracción de la clave por parte de terceros y que se encuentren homologados por la Autoridad de Certificación emisora del certificado empleado.
  • Que el certificado esté activo en el momento de ser empleado. Esto equivale al estado de las tarjetas de crédito que también pueden ser revocadas por el interesado y caducar con el tiempo
  • Que los receptores de documentos firmados dispongan de un instrumento de verificación seguro que no permita suplantar identidades del firmante o de la Autoridad de Certificación que realiza la validación
  • La firma digital se basa en la utilización combinada de dos técnicas distintas, que son la  criptografía asimétrica o de clave pública para cifrar mensajes y el uso de las llamadas funciones hash o funciones resumen.

Los sistemas criptográficos asimétricos o de clave pública se basan en el cifrado de mensajes mediante la utilización de un par de claves diferentes (privada y pública), de ahí el nombre de asimétricos, que se atribuyen a una persona determinada y que tienen las siguientes características:

  • Una de las claves, la privada, permanece secreta y es conocida únicamente por la persona a quien se ha atribuido el par de claves y que la va a utilizar para cifrar mensajes. La segunda clave, la pública, es o puede ser conocida por cualquiera.
  • Ambas claves, privada y pública, sirven tanto para cifrar como para descifrar mensajes.
  • A partir de la clave pública, que es conocida o puede ser conocida por cualquiera, no se puede deducir ni obtener matemáticamente la clave privada, ya que si partiendo de la clave pública, que es puede o ser conocida por cualquier persona, se pudiese obtener la clave privada, el sistema carecería de seguridad dado que cualquier podría utilizar la clave privada atribuida a otra persona pero obtenida ilícitamente por un tercero partiendo de la clave pública.

Junto a la criptografía asimétrica se utilizan en la firma digital las llamadas funciones hash o funciones resumen. Los mensajes que se intercambian pueden tener un gran tamaño, hecho éste que dificulta el proceso de cifrado. Por ello, no se cifra el mensaje entero sino un resumen del mismo obtenido aplicando al mensaje una función hash.

Partiendo de un mensaje determinado que puede tener cualquier tamaño, dicho mensaje se convierte mediante la función hash en un mensaje con una dimensión fija (generalmente de 160 bits). Para ello, el mensaje originario se divide en varias partes cada una de las cuales tendrá ese tamaño de 160 bits, y una vez dividido se combinan elementos tomados de cada una de las partes resultantes de la división para formar el mensaje-resumen o hash, que también tendrá una dimensión fija y constante de 160 bits.Este resumen de dimensión fija es el que se cifrará utilizando la clave privada del emisor del mensaje.

A diferencia de la firma autógrafa, que es de libre creación por cada individuo y no necesita ser autorizada por nadie ni registrada en ninguna parte para ser utilizada, la firma digital, y más concretamente el par de claves que se utilizan para firmar digitalmente los mensajes, no pueden ser creados libremente por cada individuo.

En principio, cualquier persona puede dirigirse a una empresa informática que cuente con los dispositivos necesarios para generar el par de claves y solicitar la creación de dicho par de claves. Posteriormente, con el par de claves creado para una persona determinada, ésta se dirigiría a un Prestador de Servicios de Certificación para obtener el certificado digital correspondiente a ese par de claves.

Sin embargo, en la práctica los Prestadores de Servicios de Certificación cumplen ambas funciones: crean el par de claves (pública y privada) para una persona y expiden el certificado digital correspondiente a ese par de claves.

 

Ir arriba

 

2. Certificados digitales

La utilización del par de claves (privada y pública) para cifrar y descifrar los mensajes permite tener la certeza de que el mensaje que B recibe de A y que descifra con la clave pública de A, no ha sido alterado y proviene necesariamente de A. Pero ¿quién es A?.

Para responder de la identidad de A (emisor) es necesario la intervención de un tercero, que son los llamados Prestadores de Servicios de Certificación, cuya misión es la de emitir los llamados certificados digitales o certificados de clave pública.

Un certificado digital es un archivo electrónico que tiene un tamaño máximo de 2 Kilobytes y que contiene los datos de identificación personal de A (emisor de los mensajes), la clave pública de A y la firma privada del propio Prestador de Servicios de Certificación. Ese archivo electrónico es cifrado por la entidad Prestadora de Servicios de Certificación con la clave privada de ésta.

Los certificados digitales tienen una duración determinada, transcurrida la cual deben ser renovados, y pueden ser revocados anticipadamente en ciertos supuestos (por ejemplo, en el caso de que la clave privada, que debe permanecer secreta, haya pasado a ser conocida por terceras personas no autorizadas para usarla).

Gracias al certificado digital, el par de claves obtenido por una persona estará siempre vinculado a una determinada identidad personal, y si sabemos que el mensaje ha sido cifrado con la clave privada de esa persona, sabremos también quién es la persona titular de esa clave privada.

El proceso de obtención de los elementos que necesito para firmar digitalmente mensajes (par de claves y certificado digital) es el siguiente:

  1. Me dirijo a una empresa o entidad que tenga el carácter de Prestador de Servicios de Certificación y solicito de ellos el par de claves y el certificado digital correspondiente a las mismas. Generalmente, podré acudir a dicha entidad bien personalmente o por medio de internet utilizando la página web del Prestador de Servicios de Certificación.
  2. El prestador de Servicios de Certificación comprobará mi identidad, bien directamente o por medio de entidades colaboradoras (Autoridades Locales de Registro), para lo cual deberé exhibirle mi D.N.I. y si soy el representante de una sociedad (administrador, apoderado, etc.) o de cualquier otra persona jurídica, deberé acreditar documentalmente mi cargo y mis facultades.
  3. El prestador de Servicios de Certificación crea con los dispositivos técnicos adecuados el par de claves pública y privada y genera el certificado digital correspondiente a esas claves.
  4. El prestador de Servicios de Certificación me entrega una tarjeta semejante a una tarjeta de crédito que tiene una banda magnética en la que están gravados tanto el par de claves como el certificado digital. El acceso al par de claves y al certificado digital gravados en la tarjeta está protegido mediante una clave como las que se utilizan en las tarjetas de crédito o en las tarjetas de cajero automático. En otras ocasiones, en lugar de la tarjeta el Prestador de Servicios de Certificación deja almacenado el certificado digital en su propia página web, a fin de que el destinatario copie el archivo y lo instale en su ordenador.
  5. Con esa tarjeta magnética y un lector de bandas magnéticas adecuado conectado a mi ordenador personal, podré leer y utilizar la información gravada en la tarjeta para firmar digitalmente los mensajes electrónicos que envíe a otras personas.

Consultar página web Fábrica Nacional de Moneda y Timbre como proveedor de servicios de certificación.

 

Ir arriba

3. D.N.I. electrónico

En España se expide desde marzo del año 2006 un tipo especial de identificación denominada DNI electrónico.

El nacimiento del Documento Nacional de Identidad electrónico (DNIe) responde a la necesidad de otorgar identidad personal a los ciudadanos para su uso en la nueva Sociedad de la Información, además de servir de impulsor de la misma. Así, el DNIe es la adaptación del tradicional documento de identidad a la nueva realidad de una sociedad interconectada por redes de comunicaciones.

Enlaces de interés:

Documentos de interés:

Real Decreto 1553/2005 de 23 de Diciembre, por el que se regula la expedición del documento nacional de identidad y sus certificados de firma electrónica.

 

Ir arriba


Comercio. La firma digital (299)

Level AA conformance,W3C WAI Web Content Accessibility Guidelines 2.0
© 2024 - Ajuntament de Pego - Consellería de Innovación, Industria, Comercio y Turismo