Seleccionar página

El desarrollo de las tecnologías de firma electrónica para redes abiertas es una necesidad de los actores empresariales y privados de la sociedad actual. Cada vez es más habitual realizar interacciones informativas y comerciales en redes tipo Internet o en redes cerradas, pero abiertas a un público numeroso como son las redes de la Administración pública. Pero para realizar este intercambio de información o transacciones se necesita interactuar con otras personas ya sean físicas o jurídicas. En este contexto, la firma digital se presenta como una solución para las políticas de seguridad en las redes, específicamente en lo que se refiere a la autenticación. El mecanismo más utilizado hoy en día en Internet, por su simplicidad, es el de nombre de usuario más una contraseña o password. Pero mucho más segura es una combinación de esto con el uso de una firma digital.

LA FIRMA DIGITAL, ¿QUÉ ES?

Una firma digital es un tipo de firma electrónica que emplea un mecanismo denso criptográfico que permite al receptor de un mensaje firmado digitalmente identificar a la entidad originadora de dicho mensaje y confirmar que el mensaje no ha sido alterado desde que fue firmado por el originador. Así, dos aplicaciones fundamentales de la criptografía son las firmas digitales y la encriptación. Las primeras permiten probar la fuente original de los datos (autenticación) y verificar después que éstos no han sido alterados (integridad). La segunda proporciona la confidencialidad necesaria para la transmisión de datos y la comunicación.

Existen muchos métodos para firmar documentos electrónicos, variando desde métodos simples — como insertar una imagen escaneada o una firma manuscrita en un documento hecho con procesador de texto— a otros más avanzados y complejos que emplean la criptografía. Las firmas electrónicas basadas en criptografía de clave pública son denominadas firmas digitales. Como se apunta más adelante, la firma digital es un tipo de firma electrónica y no debe confundirse con la firma digitalizada.

PRINCIPALES ELEMENTOS Y TÉCNICAS

Un sistema de firma digital segura consta de dos partes: un método para firmar un documento de modo infalsificable y otro para verificar que la firma ha sido generada por la persona a quien representa. Los protocolos de autenticación pueden estar basados en sistemas de encriptación de tipo simétrico o asimétrico. La autenticación y la integridad se salvaguardan con sistemas asimétricos —de dos claves— denominados sistemas de clave pública.

En la comunicación electrónica, el concepto de firmas digitales está unido a la noción de transmisión de datos, usando una clase de precinto electrónico fijado a los datos y que permite al receptor: a) verificar el origen de los datos, el uso de una clave asignada a cierto remitente (autenticación de la fuente de datos); b) chequear que los datos están completos, no modificados y por ello salvaguardan su integridad (integridad de los datos).

Técnicamente hablando, las firmas digitales son generalmente creadas y verificadas por técnicas de criptografía asimétrica similares a las usadas para encriptación. Se generan dos claves complementarias y se asignan al usuario. Una de ellas, una clave de firma, es guardada en privado (clave privada), mientras que la otra, una clave de verificación de firma, es publicada (clave pública). Por supuesto, es crucial que la clave privada no pueda ser computada a partir de la clave pública. Al contrario que la criptografía usada para propósitos de confidencialidad, las firmas digitales están anexionadas a los datos y dejan intacto el contenido del documento electrónico firmado o de la transacción electrónica firmada.

Características y aplicaciones de la firma digital

Siguiendo lo expuesto arriba y a modo de resumen, para garantizar la seguridad de las firmas digitales es necesario que estas sean:

> Únicas: deben poder ser generadas solamente por el firmante y por lo tanto infalsificables. Es decir, la firma debe depender del firmante.

> Infalsificables: el atacante tendría que resolver problemas matemáticos de una complejidad muy elevada. Es decir, las firmas digitales han de ser computacionalmente seguras. Por tanto, la firma debe depender del mensaje en sí.

> Verificables: deben ser fácilmente verificables por los receptores de las mismas y, si ello es necesario, también por los jueces o autoridades competentes.

> Innegables: el firmante no debe ser capaz de negar su propia firma.

> Viables: las firmas han de ser fáciles de generar por parte del firmante.

Aplicaciones de la firma digital:
> Mensajes con autenticidad asegurada.
> Mensajes sin posibilidad de repudio.
> Contratos comerciales electrónicos.
> Factura electrónica.
> Desmaterialización de documentos.
> Transacciones comerciales electrónicas.
> Invitación electrónica.
> Dinero electrónico.
> Notificaciones judiciales electrónicas.
> Voto electrónico.
> Decretos ejecutivos (gobierno).
> Créditos de seguridad social.
> Contratación pública.
> Sellado de tiempo.

Diferencias entre firma electrónica, digital y digitalizada

Aunque se crea que firma electrónica, firma digital y firma digitalizada son lo mismo, no es así. La firma electrónica es un concepto jurídico, equivalente al de la firma manuscrita, donde una persona acepta el contenido de un mensaje electrónico a través de cualquier medio electrónico válido.

La firmas digital y digitalizada son tipos de firma electrónica diferentes. El 1 de julio de 2016 entró en vigor el Reglamento (UE) Nº 910/2014, conocido como Reglamento eIDAS. Este constituye el marco normativo europeo que confiere validez jurídica a las firmas electrónicas y que  establece un marco legal común para las firmas electrónicas en la Unión Europea. El eIDAS define y regula las firmas electrónicas en la UE como “datos en formato electrónico anexos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar”. En este marco normativo se definen tres tipos de firmas electrónicas: firma electrónica simple, firma electrónica avanzada y firma electrónica cualificada. Estas se diferencian principalmente por sus distintos niveles de seguridad, por su capacidad de garantizar, o no, la integridad de los documentos que se firman y por su capacidad de identificar, o no, al firmante.

La firma digital es una firma electrónica avanzada y cualificada
Dentro de la firma electrónica avanzada y de la firma electrónica cualificada se incluye la firma digital, la cual es una parte fundamental de estas dos firmas pero no de la firma simple. La firma digital tiene carácter legal pero no tiene naturaleza jurídica, en el sentido de que su objetivo no es dar fe de un acto de voluntad por parte del firmante, sino tan sólo encriptar los datos de un documento para conferirle mayor seguridad.

La firma digitalizada es una firma electrónica simple
Mientras que la firma digital se considera dentro de la firma electrónica avanzada y la firma electrónica cualificada, en otro lado nos encontramos la firma digitalizada, la cual se considera firma electrónica simple. También es legal pero no ofrece ninguna garantía respecto a la entidad del firmante. La firma digitalizada es la conversión del trazo de una firma en una imagen. Para obtener la firma digitalizada es necesario realizarla sobre un papel y escanearla.

Seguridad, respaldo legal e integridad de la información
Las firmas electrónicas ofrecen seguridad y respaldo legal. En el caso de las firmas electrónicas avanzadas y cualificadas, además de identificar al firmante de forma única, garantizan la integridad de la información contenida en el mensaje o documento. Como consecuencia de lo expuesto, la firma digital es el tipo de firma electrónica más avanzado y seguro, que permite cumplir con los requisitos legales y normativos más exigentes al ofrecer los más altos niveles de seguridad sobre la identidad de cada firmante y la autenticidad de los documentos que firman. Conforme a la normativa de la UE, las firmas digitales utilizan un ID digital basado en certificado que emite una autoridad de certificación (CA) acreditada o un proveedor de servicios de confianza (TSP). De este modo, cuando se firma un documento de forma digital, la identidad acaba vinculada de forma exclusiva, la firma se asocia al documento mediante cifrado y todo puede verificarse con la tecnología subyacente que conocemos como “infraestructura de clave pública” (PKI).

Un poco de historia sobre la firma digital y sus normativas

Dos norteamericanos desarrollaron la técnica de la firma digital en la segunda mitad de la década de los 70. Estos sentaron las bases de la criptografía asimétrica, que constituye la piedra angular sobre la que se erige el funcionamiento de la infraestructura de clave pública. La firma digital como técnica de autenticación electrónica tiene 4 décadas de existencia. Fue en 1995 cuando su uso empezó a adquirir validez jurídica. A partir de entonces, las legislaciones sobre la materia fueron expandiéndose y dando cabida a la equivalencia funcional entre la firma manuscrita y la creada electrónicamente, llámese firma digital o firma electrónica avanzada cualificada, reconocida o certificada, que conforman la multiplicidad de términos acuñados en los diversos países para referirse a este mecanismo de identificación electrónica.

En España, la aparición de la primera CA (Autoridad de Certificación) en 1995 propició el nacimiento del sector de la Firma Digital. La UE, consciente de la importancia de estas entidades para el avance hacia la Administración electrónica, dictaminó la primera normativa para regularlas (Directiva 1999/93 CE de firma electrónica). Con el paso de los años, las directrices de Europa se enfocaron en la Transformación Digital, dando lugar a la aparición del Digital Single Market (DSM). En este contexto, los países miembros comenzaron a legislar en pro de la reconversión de sus Administraciones Públicas en entidades digitalizadas. En 2003, España promueve la primera legislación sobre la Firma Digital (Ley 59/2003, de firma electrónica) para regular “la firma electrónica, su eficacia jurídica y la prestación de servicios de certificación”. Tres años después se crea el DNI electrónico (DNIe) para ofrecer a los ciudadanos la posibilidad de realizar consultas y operaciones de manera digital. Tras los avances tecnológicos, se alojan las primeras firmas electrónicas en la nube. En 2011 España cuenta con más de 25 millones de DNIe. En 2014 nace el Reglamento europeo de Identificación electrónica (eIDAS). Con esta normativa, Europa busca consolidar el avance de la Transformación digital enmarcada en el DSM. Un año después el Ministerio del Interior presenta el DNI 3.0 con conexión NFC. Así llegamos hasta el día de hoy, en el que la Firma Digital en España ha avanzado un paso más con la aplicación del Reglamento eIDAS en julio de 2016.

Los productos de EOS Ibérica cumplen con los requisitos y normativas de la UE en materia de seguridad

Nuestro método productivo nos permite fabricar y personalizar tu idea para integrar los componentes que necesites poniendo en valor nuestra experiencia en terminales antivandálicos o desatendidos así como la ingeniería para cumplir la normativa más exigente de protección y ergonomía, tanto en un prototipo como en grandes lotes