La Firma Digital

~ toscalix

QUÉ ES LA FIRMA DIGITAL Y CÓMO SE GENERA

Definición de firma digital

El Real Decreto Ley 14/1999, de 17 de septiembre, sobre firma electrónica establece los siguientes dos tipos de firma digital:

  • “Firma electrónica”: es el conjunto de datos, en forma electrónica, anexos a otros datos electrónicos o asociados funcionalmente con ellos, utilizados como medio para identificar formalmente al autor o a los autores del documento que la recoge.

  • “Firma electrónica avanzada”: es la firma electrónica que permite la identificación del signatario y ha sido creada por medios que éste mantiene bajo su exclusivo control, de manera que está vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de éstos.

Los diversos tipos de firma digital, al igual que los certificados digitales, para ser considerados válidos, deben cumplir una serie de requisitos mínimos que establece dicho Real Decreto.

Para disponer de una firma electrónica avanzada legalmente equivalente a la firma manuscrita, debemos acudir a una entidad certificadora (definida también en el Real Decreto), la cual nos suministrará un certificado asociado a las claves de la firma. Éste es el tipo de firma digital que se utiliza en la actualidad para presentar la Declaración de la Renta a través de Internet, por ejemplo.

No obstante, no es necesario este trámite para obtener una firma con cobertura legal. Dicho de otro modo, al contrario de lo que ocurre con la firma manuscrita, que es única, existen diferentes tipos de firma digital con implicaciones técnicas y legales diversas.

Definición de dispositivo seguro de creación de firma

Para generar una firma, es necesario disponer de un dispositivo seguro. El Real Decreto Ley define también este concepto.

Un dispositivo seguro de creación de firma es “un programa o sistema informático que sirve para aplicar los datos de creación de firma. Un dispositivo seguro de creación cumple, al menos, las siguientes garantías:

  • Que los datos utilizados para la generación de firma pueden producirse sólo una vez y asegura razonablemente su secreto.

  • Que existe una seguridad razonable de que los datos utilizados para la generación de firma no pueden ser derivados de los de verificación de firma o de la propia firma y de que la firma está protegida contra la falsificación con la tecnología existente en cada momento.

  • Que los datos de creación de firma pueden ser protegidos de forma fiable por el firmante contra su utilización por terceros.

  • Que el dispositivo utilizado no altera los datos o el documento que deba firmarse ni impide que éste se muestre al firmante antes del proceso de firma.”

QUÉ NO ES LA FIRMA DIGITAL

En general, la firma digital no es un método de identificación de individuos. Sólo algunos sistemas de firma se relacionan con un nombre y apellidos o DNI. Otros sistemas, en cambio, se relacionan (de modo igualmente unívoco y seguro) con una dirección de correo electrónico, con un servidor de páginas web (como los utilizados por entidades bancarias, por ejemplo), etc.

La firma digital no es por sí sola la solución a los problemas de seguridad en la transacción de información a través de redes.

Tiene fecha de caducidad. Los tamaños de claves empleados hoy en día aseguran la protección durante un par de siglos… con la tecnología y las matemáticas actuales.

LA CLAVE

La firma digital está íntimamente relacionada con las matemáticas. Ellas nos dicen que hay funciones fáciles de calcular y difíciles de invertir. Multiplicar es fácil, dividir no lo es tanto. Elevar al cuadrado es fácil, hacer una raíz cuadrada es más complejo. Exponenciar un número es relativamente fácil pero hallar la base de un logaritmo es muy complejo, incluso para un ordenador. Este tipo de funciones son las que se utilizan en los programas de firma digital para generar claves.

La clave de firma digital se compone de dos números (una clave privada y una clave pública) relacionados por una función matemática. La clave pública debe poseerla la persona a la que se le envía el mensaje o documento, y, en general, puede hacerse (como su nombre indica) absolutamente pública.

Estas claves no son más que dos números de longitud determinada, que se expresan como un conjunto de datos alfanuméricos. A mayor longitud (mayor número de bits), más segura se considera la clave porque resulta más complejo calcular la operación inversa, lo que se conoce como “romper la clave” o descifrarla. Además, a mayor longitud de la clave, más lento se convierte el proceso de firmado y de comprobación de la firma.

Hallar la clave privada a partir de la pública, es tan difícil como hallar la base de un logaritmo, mientras que, obtener la clave pública estando en posesión de la clave privada es tan sencillo como multiplicar. La clave privada debe estar en posesión únicamente del firmante, es decir, del emisor del mensaje. Existen programas que generan estas claves a partir de sucesos aleatorios, de manera que nunca existen dos claves iguales.

El método matemático que crea las firmas digitales se puede (y suele) usar también para otra tarea relacionada: cifrar los documentos o mensajes para que sólo el receptor deseado los pueda descifrar y leer.

El punto fundamental de los sistemas de clave pública (sistemas de cifrado asimétrico) reside en el hecho de que no se puede usar la misma clave para cifrar y para descifrar: lo que se cifra con la clave pública sólo lo puede descifrar la clave privada, y viceversa.

CÓMO Y PARA QUÉ FIRMAR UN DOCUMENTO O ARCHIVO

Firmar un documento consiste, detalles técnicos aparte, en cifrarlo con la clave privada y enviar el mensaje cifrado junto al mensaje original. El receptor puede descifrar el mensaje, gracias a la clave pública, y compararlo con el mensaje “en claro” que recibió: si son iguales, el mensaje no ha sido modificado por el camino. Además, sólo quien posee la clave privada puede haber realizado el cifrado. Se entiende entonces que. quien ha cifrado el mensaje con la clave privada es quien lo firmado en el sentido tradicional.

Cifrar para que el mensaje sólo pueda ser leído por el receptor es un proceso parecido. Se utiliza la clave pública del receptor, de manera que sólo el poseedor de la clave privada asociada (es decir, el receptor) podrá descifrarlo.

Las claves que creamos o nos proporcionan, se introducen en nuestro ordenador de manera que diversos programas puedan acceder a ella, como por ejemplo el cliente de correo. Existen programas que resultan muy útiles cuya función es la de gestionar claves cuando disponemos de varias, como KGpg en Linux o WinPT en Windows.

CERTIFICADO DE REVOCACIÓN

Si la clave privada de un individuo quedara comprometida (accesible a otros individuos) debe emitirse un certificado de revocación, que se genera al mismo tiempo que las claves. Es recomendable no almacenar la clave privada y el certificado de revocación en el mismo lugar. Dicho certificado debe hacerse público en internet y ser enviado a aquellos con quienes se establece contacto utilizando la firma digital. De esa manera, se podrá comprobar que, efectivamente, es esa firma la que debe ser revocada, pues el certificado de revocación es único y fue expedido asociado a ella.

POR QUÉ ES NECESARIO UTILIZARLA

La firma digital debe ser utilizada por los siguientes motivos:

  • Permite detectar si el mensaje ha sido alterado en su viaje a través de la red.

  • Permite establecer de manera unívoca la identidad del emisor del archivo.

  • Permite asegurar que sólo los destinatarios del mensaje serán quienes puedan conocer su contenido.

Cuando enviamos un documento electrónico, la información puede ser interceptada, leída y/o modificada con relativa sencillez. También es posible suplantar la personalidad de otro usuario. Poniendo un ejemplo gráfico, un correo electrónico se asemeja a una postal que, sin embargo, no es transportada por funcionarios públicos, sino que viaja a través de una red pasando por máquinas privadas controladas por personas o empresas diversas, cada una de las cuales puede leer y modificar el mensaje. No existe protección de nuestros datos. De hecho, cada ordenador por el cual pasa un correo electrónico modifica dicho mensaje añadiendo información a la cabecera (no al cuerpo).

Se hace necesario disponer de un medio efectivo de protección de nuestros datos durante una comunicación basado en un sistema seguro de confianza que agilice trámites tradicionalmente tediosos. Debe, también hacer frente a los nuevos retos que, la aparición de novedosas tecnologías relacionados con sistemas de información, plantea. Ante estos riesgos queda plenamente justificada la existencia y popularización de la firma digital.

Cómo se planteó en la definición, la firma electrónica avanzada es equiparable a todos los efectos a la firma manuscrita si está basada en un certificado reconocido y ha sido producida por un dispositivo seguro
de creación de firma. Es fácil imaginar el ahorro en tiempo y dinero que supone poder enviar y recibir documentos firmados a través de la red. Con las debidas garantías técnicas y jurídicas, la firma digital cambiará la manera de entender nuestra relación con la Administración Pública, por ejemplo, del mismo modo que ya está modificando la relación entre empresas o entre individuos que forman comunidades a través de Internet.

Cualquier de ellos puede disponer de una o varias firmas digitales y utilizarlas con otras empresas o particulares con validez legal. No es obligatorio acudir a una entidad certificadora para disponer de una firma digital, salvo en el caso de desear una firma electrónica avanzada con un certificado reconocido.

ENLACES ASOCIADOS AL ARTÍCULO

Para más información, buscar en wikipedia (www.es.wikipedia.org) los siguientes conceptos:

  • firma digital
  • criptografía asimétrica
  • Infraestructura de clave pública
  • certificado digital
  • encriptación
  • OpenPGP

Buscar en el BOE (www.boe.es)

  • Real Decreto Ley 14/1999, de 17 de septiembre, sobre firma electrónica.
  • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
    Personal.

Este artículo ha sido escrito por Agustín Benito Bethencourt (Toscalix) y Noel Torres Taño (envite) y publicado, en versión reducida, por La Opinión de Tenerife el domingo 12 de noviembre de 2006

Agustin Benito Bethencourt (toscalix). Profesional del Software Libre, miembro de KDE España y KDE e.V.

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.