Monográficos MonográficoMonográficos MonográficoMonográficos MonográficoMonográficos

 

FIRMA ELECTRÓNICA: conceptos básicos


Los protocolos que se utilizan en internet no fueron creados para ser seguros. Las amenazas más comunes en el mundo electrónico son la suplantación de identidad, el espionaje y el engaño, como el phising. Las PKI son un medio muy seguro de asegurar la autenticidad, confidencialidad e integridad.


El acrónimo PKI deriva de "Public Key Infrastructure" (Infraestructura de Clave Pública) y es la forma común de referirse a un sistema complejo necesario para la gestión de certificados digitales y aplicaciones de la Firma Digital.

La criptografía

Los procesos de firma electrónica y de cifrado electrónico están basados en la criptografía. Existen dos tipos de criptografía: de clave simétrica y de clave asimétrica

Clave simétrica:

Ciframos un documento con clave simétrica y lo protegemos mediante la contraseña "Verano". Para descifrarlo utilizaremos la misma contraseña. ¿Qué desventajas tiene este sistema? El sistema es robusto siempre que no tengamos que comunicar la contraseña a otras personas. Deberíamos buscar un medio muy seguro, que no pudiera ser interceptado, para comunicarle qué contraseña debe utilizar para descifrar el mensaje

Clave asimétrica:

La misma clave no se utiliza para cifrar y descifrar. Existen dos claves, una es pública, la otra privada. La clave pública es conocida por todos mientras que la clave privada es la que se mantiene en secreto y no se comparte con los demás.
La clave privada:
Para "firmar" un documento utilizaremos nuestra clave privada. Sólo el firmante posee la clave privada. El receptor accede al documento mediante la clave pública correspondiente y se evidencia quién es el firmante.
La clave pública:
En el caso anterior la clave pública ha servido para acceder a los documentos firmados electrónicamente con la correspondiente clave privada.
La clave pública es útil además para "cifrar" los documentos. Un documento cifrado con la clave pública sólo podrá ser descifrado con la correspondiente clave privada. Mediante la utilización de la clave pública podemos asegurarnos de que sólo un determinado destinatario descifrará el documento.

Comprender el sistema de clave asimétrica es mucho más sencillo de explicar de manera gráfica:

Formación sobre la firma electrónica mediante sencillos ejemplos, ejercicios y utilizando animaciones en flash (Centro de Formación en Seguridad de Sistemas de Información del Gobierno de Francia)
Conceptos básicos sobre firma. Presentación en flash. (Ministerio de Fomento. Gobierno de España)

 

Los certificados

El sistema es mucho más seguro y robusto gracias a los certificados digitales. Son similares a tarjetas de identificación y son emitidos por las Autoridades Certificadoras (AC). El certificado posee información acerca de nuestra identidad, contiene una pareja de claves, pública y privada y toda la información necesaria que proporciona la entidad certificadora (fecha de emisión, periodo de validez del certificado, firma del emisor…).

Existen diferentes clases de certificados y su utilidad puede variar en función del tipo de certificado (Declaración de la Renta, solicitar informe de Vida Laboral, consulta de los puntos del carnet de conducir…). Suelen tener un período de vigencia que oscila entre uno y cuatro años, aunque eso depende de cada Autoridad de Certificación.


Cómo funcionan los certificados

Supongamos que deseamos solicitar un certificado clase C2A de la Fábrica Nacional de Moneda y Timbre. Todos los ciudadanos podemos solicitarlo y es gratuito.
A través de la web de la FNMT solicitaremos la emisión del certificado. Es muy importante que todo el proceso lo llevemos a cabo en el mismo ordenador. La FNMT nos proporcionará un código. Con nuestro DNI y el código nos presentaremos en una de las Oficinas de Registro (RA). La RA (Agencia Tributaria, Correos, Seguridad Social...) comprobará nuestra identidad. Este paso presencial fortalece el sistema.

La validez de la firma digital también estará condicionada a la firma manuscrita de un "contrato" que firmaremos para aceptar las condiciones de uso. De vuelta en el ordenador donde iniciamos la petición, visitaremos la web de la FNMT y completaremos la descarga introduciendo nuevamente el código que se nos proporcionó. Desde ese momento ya podemos firmar en la Red de forma segura.

¿Cómo confirmar que el certificado se ha instalado correctamente?

A través de los navegadores web (Internet Explorer, Mozilla Firefox…) podemos comprobar los almacenes de certificados de nuestro ordenador.

En Mozilla Firefox:

En el menú "Herramientas" haga clic en "Opciones". En la pestaña "Cifrado", haga clic en "Certificados".

Nuestro certificado se mostrará en la pestaña "Sus certificados". El de la Entidad Emisora se mostrará en la pestaña "Autoridades" (En nuestro ejemplo la FNMT)

En Internet Explorer:

En el menú "Herramientas" haga clic en "Opciones de Internet". En la pestaña "Contenido", haga clic en "Certificados".

Nuestro certificado se mostrará en la pestaña "Personal". El de la Entidad Emisora se mostrará en la pestaña "Entidades emisoras raíz de confianza"


Exportar e importar los certificados

Desde los almacenes los certificados se pueden exportar e importar. Es muy conveniente que después de instalar el certificado personal se realice una exportación del certificado íntegro (mediante la opción "exportar clave privada"). De esta forma poseeremos una copia de seguridad que nos proteja de un posible fallo en nuestro ordenador. El fichero resultante tendrá la extensión .pfx

La opción "no exportar la clave privada" es útil para distribuir nuestra clave pública. El fichero resultante tendrá la extensión .cert
Otra forma de hacer llegar nuestra clave pública es enviar al destinatario un correo electrónico firmado digitalmente. En muchas ocasiones este gesto es suficiente para que en el almacén de certificados visualicemos la clave pública de esa persona. Previamente tendremos que haber configurado correctamente una cuenta de correo (Outlook Express, Outlook, Thunderbird, windows mail... el correo online no puede ser utilizado)

 

¿Dónde se pueden guardar los certificados?

Los certificados pueden almacenarse en el ordenador, pueden estar guardados en una tarjeta chip y como cualquier otro elemento electrónico podemos guardarlo en un USB, en un CD o en cualquier otro soporte óptico o magnético.

Una de las tarjetas criptográficas que almacena los certificados es la tarjeta del DNI electrónico.
La Fábrica Nacional de Moneda y Timbre también posee un sistema de tarjeta chip, la tarjeta CERES.

 

La Firma Electrónica

Para firmar mediante los certificados de una tarjeta chip es necesario un lector de tarjetas conectado a nuestro ordenador, los drivers necesarios para el dispositivo, y el software requerido.
Por ejemplo en el caso del DNIe son necesarios estos elementos.

Para firmar con el certificado que tengamos instalado en nuestro ordenador necesitamos alguna aplicación que sirva para este fin. Existe software de pago para usos profesionales (como Adobe Profesional para firmar pdf´s) y pequeñas aplicaciones gratuitas que podemos obtener en los siguientes sitios:

Camerfirma. Este software permite firmar y verificar firmas con cualquier certificado y sobre cualquier tipo de fichero. Una vez instalado, es suficiente con pulsar el botón derecho sobre el fichero o directorio a firmar, y la herramienta generará un fichero con la extensión .fir, conteniendo los ficheros firmados, los certificados y las firmas.

La AEAT proporciona servicio gratuito de firma y verificación de facturas: generación de firma-requiere certificado y verificación de firma


El proceso de generación de una Firma Digital consiste en:
o Empleando un algoritmo de "Hashing" se genera un resumen, de tamaño fijo, del documento.
o Se cifra el Hash empleando la clave privada del usuario.

En destino:
o A partir del Documento Original, se genera de nuevo el Hash.
o Empleando la Clave Pública del firmante, se descifra la firma digital


El proceso de encriptado puede ser muy lento en el caso de documentos voluminosos, por ello la firma cuenta también con lo que se conoce como "función hash". Al firmar electrónicamente, el emisor obtiene un resumen del mensaje mediante la función hash. El resumen es una operación que se realiza sobre un conjunto de datos, de forma que el resultado obtenido es otro conjunto que está asociado a los datos iniciales. El receptor, al recibir el mensaje, obtiene de nuevo su resumen mediante la función hash. Es imposible que existan dos "hash" iguales, de manera que esta función viene a reforzar la seguridad del sistema



HASH

La firma electrónica permite la identificación del emisor del mensaje y además permite saber si estos datos han sido modificados posteriormente o en su transcurso. Si no existe ninguna alteración en el mensaje firmado, la firma se mostrará como VÁLIDA.

El sellado de tiempo

El sellado de tiempo (Timestamping) es un mecanismo on-line que permite demostrar que una serie de datos han existido y no han sido alterados desde un instante específico en el tiempo.
Una Autoridad de Sellado de Tiempo actúa como tercera parte de confianza testificando la existencia de dichos datos electrónicos en una fecha y hora concretos.


La conservación en Archivo de los documentos firmados electrónicamente

Actualmente la conservación permanente de los documentos electrónicos exige en muchos casos la migración del formato (de word 97 a Pdf/a, por ejemplo, para asegurar que el documento sea legible con el paso de los años). Una pequeña modificación de los bits de la firma la hace inválida. Por tanto el archivo se encuentra con un dilema de difícil solución en el momento actual:
1) migrar el formato del documento invalidando la firma
2) conservar la firma a riesgo de que la obsolescencia de los formatos convierta ese documento en ilegible.

En este último caso se exige además la conservación de varias informaciones necesarias para verificar la firma en el transcurso del tiempo. Los certificados, que garantizan la validez de la firma, deben ser conservados también. Además la criptografía es un procedimiento de que se hace vulnerable con el tiempo por lo que la conservación de todos los elementos resulta de gran complejidad.


Sería muy recomendable que la legislación contemplase que los procesos necesarios para la conservación del documento no invalidan su estatuto jurídico original.

En previsión de estos problemas sería conveniente que los documentos firmados ya estuviesen en un formato estándar, como el pdf/a

Legislación

Sitios de interés

Facturae

Web sobre la factura electrónica del Gobierno de España.

Camerfirma

Autoridad de certificación digital de las Cámaras de Comercio españolas

Ceres

Entidad Pública de Certificación liderada por la Fábrica Nacional de Moneda y Timbre

DNIe

Portal oficial del DNI electrónico


Web creada por María José Aldaz Sola// Octubre 2007