Que é a Firma Electrónica?

Conceptos básicos:

Seguridade:

A seguridade é un dos conceptos crave aos que a Administración, no terreo das Tecnoloxías da Información e as Comunicacións (TIC), debe prestar a máxima atención.

La Administración tiene que extender las garantías jurídicas que ofrece a los ciudadanos y empresas a las gestiones que se realicen de forma electrónica.

Os documentos que se xeran electronicamente levan asociados tres conceptos que son necesarios salvagardar e que son: a confidencialidade, a integridade e a autenticidade.

  • A confidencialidade refírese á capacidade de manter un documento electrónico inaccesible a todos, excepto a unha lista determinada de persoas.
  • A integridade garante que o documento recibido coincide co documento emitido sen posibilidade algunha de cambio.
  • A autenticidade refírese á capacidade de determinar se unha lista determinada de persoas estableceu o seu recoñecemento e/ou compromiso sobre o contido do documento electrónico. O problema da autenticidade nun documento tradicional soluciónase mediante a firma autógrafa. Mediante a súa firma autógrafa, un individuo, ou varios, manifestan a súa vontade de recoñecer o contido dun documento, e no seu caso, a cumprir cos compromisos que o documento estableza para co individuo.

Estos problemas, confidencialidad, integridad y autenticidad (los procesos definidos de firma y cifrado) se resuelven mediante la tecnología llamada criptografía. La criptografía es una rama de las matemáticas que, al aplicarse a mensajes digitales, proporciona las herramientas idóneas para solucionar los problemas antes mencionados. Al problema de la confidencialidad se le relaciona comúnmente con técnicas denominadas de cifrado y a los problemas de la integridad y la autenticidad con técnicas denominadas de firma digital, aunque ambos en realidad se reducen a procedimientos criptográficos de cifrado y descifrado.

Que é criptografía asimétrica?:

La criptografía asimétrica es el método criptográfico que utiliza un par de claves complementarias, la pública y la privada, para cifrar documentos o mensajes. Lo que está codificado con una clave privada necesita su correspondiente clave pública para ser descodificado. Y viceversa, lo codificado con una clave pública sólo puede ser descodificado con su clave privada. La clave privada debe ser conocida únicamente por su propietario, mientras que la correspondiente clave pública puede ser dada a conocer públicamente.

El hecho de que la clave privada sólo sea conocida por su propietario nos permite conseguir dos cosas importantes:

  • Cualquier documento generado a partir de esta clave necesariamente tiene que haber sido generado por el propietario de la clave (firma electrónica).
  • Un documento al que se aplica la clave pública sólo podrá ser abierto por el propietario de la correspondiente clave privada (cifrado electrónico).

Que é un certificado electrónico?:

Un certificado electrónico es un documento emitido y firmado por una autoridad de certificación que identifica a una persona (física o jurídica) con un par de claves. Un certificado contiene la siguiente información:

  • Identificación do titular do certificado (Nome do titular, NIF, e-mail,…).
  • Distintivos del certificado: número de serie, entidad que lo emitió, fecha de emisión, periodo de validez del certificado, ....
  • Unha parella de claves: pública e privada.
  • La firma electrónica del certificado con la clave privada de la autoridad de certificación (AC) que lo emitió.

Toda esta información pode dividirse en dúas partes:

  • Parte privada do certificado: clave privada.
  • Parte pública do certificado: resto de datos do certificado, incluídos a firma electrónica da autoridade de certificación que o emitiu.

A parte privada nunca é cedida polo seu propietario. Esta é a base da seguridade. Coa parella de claves pódense realizar funcións de cifrado coa peculiaridade de que o que se cifra coa clave privada só se pode descifrar coa clave pública e viceversa.

Que é unha firma electrónica?:

Unha firma electrónica é unha pegada dixital dun documento cifrado cunha clave. A pegada dixital obtense aplicando un algoritmo matemático a unha mensaxe. Este algoritmo ten dúas características fundamentais:

  • Non existe a posibilidade de volver obter a mensaxe partindo da pegada dixital xerada.
  • Si se cambia el mensaje, la huella digital que se obtiene es diferente.

Estas dúas características garanten a integridade da mensaxe. Se se cambia o contido da mensaxe, o que verifica a firma vaino a saber.

A pegada dixital cífrase coa clave privada do certificado da persoa que firma. Aplicando os mecanismos de verificación, o receptor vai coñecer quen asinou e esa persoa non pode repudiar a autoría da mensaxe.

Como se xera unha firma electrónica?:

  1. Obtense unha pegada dixital do documento dixital que se quere asinar. Esta pegada dixital garante que dous documentos diferentes xeran diferentes pegadas dixitais e dous documentos iguais sempre xeran a mesma pegada dixital.
  2. Realízase o cifrado (mediante algoritmos matemáticos) da pegada dixital coa clave privada do certificado. Desta forma garántese a autenticidade xa que é o propietario do certificado o único que puido realizar este cifrado.
  3. Se encapsula toda a documentación nun documento asinado que inclúe:
    1. Documento orixinal.
    2. Pegada dixital cifrada coa clave privada.
    3. Parte pública do certificado.

Como se verifica unha firma electrónica?:

  1. Descífrase a pegada dixital, cifrada coa clave privada, mediante a clave pública do certificado.
  2. Obtense a pegada dixital do documento orixinal.
  3. Compáranse as dúas pegadas dixitais. Se coinciden, a firma é correcta (hai integridade, o documento non foi modificado).
  4. Consúltase á autoridade de certificación emisora pola validez do certificado e, se é válido, a firma ademais de correcta é válida (queda garantida a autenticidade da orixe da firma).