Foro
× Noticias, artículos y demás sobre el sistema operativo Windows

Firma electrónica y certificados digitales

  • TISS
  • COM_KUNENA_TOPIC_AUTHOR
3 años 7 meses antes - 3 años 6 meses antes #952 por TISS
COM_KUNENA_MESSAGE_CREATED_NEW
En los tiempos (recientes), en los que la documentación se soportaba en papel, su autenticidad se basaba (y todavía es así) en las firmas que se realizan de forma manual ó en los sellos que se estampan en los documentos.

En la actualidad con la información digital los procedimientos para verificar la validez de un documento ó de una comunicación han cambiado.
En este artículo pretendo explicar cómo algo tan importante como es la firma electrónica.

Para empezar, explicar que la firma electrónica a la que me refiero no es la típica firma escaneada que se puede insertar como una imagen. No, me refiero a la firma electrónica avanzada, que es aquella que permite firmar documentos electrónicos (textos, correos electrónicos, pdf,..) y entregarlos a sus destinatarios, garantizando
La Autenticación del firmante (es quien dice ser)
Integridad (no se ha alterado el documento)
No-repudio (el firmante no puede desdecirse de su acción)

La firma electrónica (si cumple los requisitos legales), tiene reconocimiento jurídico desde la ley de firma electrónica.


TECNOLOGIA Y FUNDAMENTOS.

1 criptografía de clave pública-privada

Empezaré explicando la criptografía de clave pública-privada, también llamada asimétrica, para luego aplicarla a la firma.

Pensemos en una caja con dos cerraduras que permita abrirla ó cerrarla con una sola de las dos cerraduras. Existirán dos llaves (clave pública y caave privada). De forma que si cierro la caja con una cualquiera de las dos llaves, solo es posible abrirla con la otra.

Lo mismo pasa en criptografía, si cifro un mensaje ó cualquier documento con una clave pública, solo es posible descifrarlo con la clave privada. Y viceversa.

La clave privada debe mantenerse en secreto y bajo exclusivo control del propietario de la firma. Mientras que la pública puede y debe ser conocido por el destinatario.

De esta forma, si ciframos un documento con nuestra clave privada:
El que lo reciba, como conoce nuestra clave pública, con esta clave, si puede descifrar el documento tiene la seguridad de que realmente se lo ha enviado el poseedor de la clave privada (autenticación).

2 Función hash

Ahora hablaremos del HASH, ó función hash

Podíamos pensar que cifrando un documento completo con la clave privada y descifrándolo con la pública podía ser suficiente, pero no, no se hace así. No se cifra todo el documento solo su hash.
Qué es el hash:
Veamos un ejemplo simplificado: Imaginemos un documento de texto, al que acompañamos con un número que indica el número total de caracteres del
texto (14). Si el que recibe el documento comprueba que el número real de caracteres es diferente al indicado (16), sabrá que ha habido una modificación, mientras que si coinciden puede deducir que no la ha habido.



Pues ésto es una función hash (muy básica y tosca).

Realmente se utilizan algoritmos más complicados, que de cada documento sacan un resumen hash del tipo “5df9f63916ebf8528697b629022993e8”.

Si sabemos que el algoritmo daría un hash diferente al ser modificado el documento, este código ó resumen hash que acompañara al documento original, aseguraría al destinatario que el documento no ha sido modificado (Integridad).

Eso si vuelve a calcular el hash del documento recibido y lo compara con el que venía con el documento original, si son iguales: Premio..



3 Certificados digitales

Con los dos apartados anteriores de cifrado asimétrico y hash, hemos logrado dos de nuestros objetivos, comprobar que lo recibo de quien me lo ha enviado y que no ha habido modificación del mismo.
Pero ¿Quién me asegura que la persona ó entidad que me envía el documento es en realidad quien dice ser?
Es aquí cuando intervienen los certificados digitales y las entidades certificadoras.
Una entidad certificadora es un tercero de reconocida integridad (ver listado de entidades certificadoras) que comprueba y certifica que una persona ó entidad es quien dice ser (existen certificados de personas físicas, jurídicas, de pertenencia a empresa..)




Esta entidad certificadora expide un certificado electrónico asociando una clave pública en exclusiva a esa persona ó entidad.
Al estar asociada la clave pública con el certificado, a partir de este momento, en vez de intercambiar la clave pública, intercambiaremos los certificados que incluyen la clave pública.


FIRMAR UN DOCUMENTO
Si combinamos los puntos anteriores de claves asimétricas certificadas por una entidad de confianza y hash tendremos una firma electrónica reconocida.

Veámoslo:

Tengo un documento que quiero enviar a un destinatario, los pasos a realizar son:
1. Extraer el hash del documento
2. Cifrar con mi clave privada el hash1 (no todo el documento, esto sería encriptar y aseguraría la Confidencialidad, pero no es necesario).


Cuando el receptor reciba mi documento ( ó mensaje ó pdf..) realmente recibe dos . Uno sería el propio documento y otro sería el certificado con la clave pública y el hash1 perteneciente al documento cifrado.
El destinatario debe realizar los siguientes pasos:

1. Volver a obtener el hash2 del documento que le enviado
2. Descifrar el hash1 que le he enviado con mi clave Pública (sí, cualquiera puede y debe conocerla, es más se la he podido mandar en el mismo paquete)
3. Comparar el hash2 que ha obtenido con el hash1 que yo le envié.

Si ambos hash coinciden, el destinatario tiene la seguridad de que:
 Soy realmente yo el que se lo ha enviado (autenticación) y
 Que no ha sido modificado el contenido del documento (integridad)
 No repudio


Este proceso que parece tan complicado, mediante las herramientas informáticas no lo es. En particular en Outlook al redactar un mensaje nuevo en la ficha opciones aparece la opción de firmar, algo similar en Word ó con un pdf.










La Ley 59/2003, de 19 de diciembre, de Firma Electrónica distingue entre «firma electrónica avanzada» y «firma electrónica reconocida»:

(Art. 3.2) La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.
(Art. 3.3) Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.

(Art. 3.4) La firma electrónica reconocida tendrá, respecto de los datos consignados en forma electrónica, el mismo valor que la firma manuscrita en relación con los consignados en papel.

Como podemos ver, la citada Ley distingue entre dos tipos de firma, avanzada y reconocida, y también nos dice de forma expresa y tácita que únicamente la firma reconocida se podrá considerar equivalente a la firma manuscrita

ver artículo en
Last edit: 3 años 6 meses antes by TISS.

Please Identificarse to join the conversation.

Las cookies nos permiten ofrecer nuestros servicios. Al utilizar nuestros servicios, aceptas el uso que hacemos de las cookies Más información