Què és la Signatura Electrònica?

Conceptes bàsics:

Seguretat:

La seguretat és un dels conceptes clau als quals l'Administració, en el terreny de les Tecnologies de la Informació i les Comunicacions (TIC), ha de prestar la màxima atenció.

L'Administració ha d'estendre les garanties jurídiques que ofereix als ciutadans i empreses a les gestions que es realitzin de manera electrònica.

Els documents que es generen electrònicament porten associats tres conceptes que són necessaris salvaguardar i que són: la confidencialitat, la integritat i l'autenticitat.

  • La confidencialitat es refereix a la capacitat de mantenir un document electrònic inaccessible a tots, excepte a una llista determinada de persones.
  • La integritat garanteix que el document rebut coincideix amb el document emès sense cap possibilitat de canvi.
  • L'autenticitat es refereix a la capacitat de determinar si una llista determinada de persones ha establert el seu reconeixement i/o compromís sobre el contingut del document electrònic. El problema de l'autenticitat en un document tradicional se soluciona mitjançant la signatura autògrafa. Mitjançant la seva signatura autògrafa, un individu, o varis, manifesten la seva voluntat de reconèixer el contingut d'un document, i en el seu cas, a complir amb els compromisos que el document estableixi envers l'individu.

Aquests problemes, confidencialitat, integritat i autenticitat (els processos definits de signatura i xifrat) es resolen mitjançant la tecnologia anomenada criptografia. La criptografia és una branca de les matemàtiques que, en aplicar-se a missatges digitals, proporciona les eines idònies per a solucionar els problemes abans esmentats. Al problema de la confidencialitat se'l relaciona comunament amb tècniques denominades de xifrat i als problemes de la integritat i l'autenticitat amb tècniques denominades de signatura digital, encara que tots dos en realitat es redueixen a procediments criptogràfics de xifrat i desxifrat.

Què és criptografia asimètrica?:

La criptografía asimétrica es el método criptográfico que utiliza un par de claves complementarias, la pública y la privada, para cifrar documentos o mensajes. Lo que está codificado con una clave privada necesita su correspondiente clave pública para ser descodificado. Y viceversa, lo codificado con una clave pública sólo puede ser descodificado con su clave privada. La clave privada debe ser conocida únicamente por su propietario, mientras que la correspondiente clave pública puede ser dada a conocer públicamente.

El fet que la clau privada només sigui coneguda pel seu propietari ens permet aconseguir dues coses importants:

  • Cualquier documento generado a partir de esta clave necesariamente tiene que haber sido generado por el propietario de la clave (firma electrónica).
  • Un documento al que se aplica la clave pública sólo podrá ser abierto por el propietario de la correspondiente clave privada (cifrado electrónico).

Què és un certificat electrònic?:

Un certificado electrónico es un documento emitido y firmado por una autoridad de certificación que identifica a una persona (física o jurídica) con un par de claves. Un certificado contiene la siguiente información:

  • Identificació del titular del certificat (Nom del titular, NIF, e-mail,…).
  • Distintius del certificat: número de sèrie, entitat que el va emetre, data d'emissió, període de validesa del certificat, ....
  • Una parella de claus: pública i privada.
  • La firma electrónica del certificado con la clave privada de la autoridad de certificación (AC) que lo emitió.

Tota aquesta informació pot dividir-se en dues parts:

  • Part privada del certificat: clau privada.
  • Part pública del certificat: resta de dades del certificat, inclosos la signatura electrònica de l'autoritat de certificació que el va emetre.

La part privada mai és cedida pel seu propietari. Aquesta és la base de la seguretat. Amb la parella de claus es poden realitzar funcions de xifrat amb la peculiaritat que el que es xifra amb la clau privada només es pot desxifrar amb la clau pública i viceversa.

Què és una signatura electrònica?:

Una signatura electrònica és una empremta digital d'un document xifrat amb una clau. L'empremta digital s'obté aplicant un algorisme matemàtic a un missatge. Aquest algorisme té dues característiques fonamentals:

  • No existeix la possibilitat de tornar a obtenir el missatge partint de l'empremta digital generada.
  • Si se cambia el mensaje, la huella digital que se obtiene es diferente.

Aquestes dues característiques garanteixen la integritat del missatge. Si es canvia el contingut del missatge, el que verifica la signatura el sabrà.

L'empremta digital es xifra amb la clau privada del certificat de la persona que signatura. Aplicant els mecanismes de verificació, el receptor coneixerà qui va signar i aquesta persona no pot repudiar l'autoria del missatge.

Com es genera una signatura electrònica?:

  1. S'obté una empremta digital del document digital que es vol signar. Aquesta empremta digital garanteix que dos documents diferents generen diferents empremtes digitals i dos documents iguals sempre generen la mateixa empremta digital.
  2. Es realitza el xifrat (mitjançant algorismes matemàtics) de l'empremta digital amb la clau privada del certificat. D'aquesta manera es garanteix l'autenticitat ja que és el propietari del certificat l'únic que ha pogut realitzar aquest xifrat.
  3. S'encapsula tota la documentació en un document signat que inclou:
    1. Document original.
    2. Empremta digital xifrada amb la clau privada.
    3. Part pública del certificat.

Com es verifica una signatura electrònica?:

  1. Es desxifra l'empremta digital, xifrada amb la clau privada, mitjançant la clau pública del certificat.
  2. S'obté l'empremta digital del document original.
  3. Es comparen les dues empremtes digitals. Si coincideixen, la signatura és correcta (hi ha integritat, el document no ha estat modificat).
  4. Es consulta a l'autoritat de certificació emissora per la validesa del certificat i, si és vàlid, la signatura a més de correcta és vàlida (queda garantida l'autenticitat de l'origen de la signatura).