Firma electrónica en España MªCarmen Navarro Valero 13 de mayo 2004 Definición Firma electrónica avanzada: la firma electrónica que permite la identificación del signatario y ha sido creada por medios que éste mantiene bajo su exclusivo control (su clave privada, protegida por contraseña o almacenada en una tarjeta inteligente), de manera que está vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación de éstos. Básicamente, se trata del resumen criptográfico de los datos firmado con la clave privada del signatario, que asegura por tanto la autenticación, la integridad y el no repudio. Definición Signatario: la persona física que cuenta con un dispositivo de creación de firma (véase siguiente definición) y que actúa en nombre propio o en el de una persona física o jurídica a la que representa. Definición Dispositivo de creación de firma: es un programa o un aparato informático que sirve para aplicar los datos de creación de firma o, en otras palabras, para crear resúmenes digitales de los datos y cifrarlos con su clave privada. Los navegadores como Internet Explorer o Netscape Navigator y clientes de correo como Outlook Express o Netscape Messenger incorporan esta funcionalidad, bien directamente, bien a través de un módulo o controles ActiveX. Definición Datos de verificación de firma: son los datos que se utilizan para verificar la firma electrónica. Se trata en definitiva de la clave pública del signatario que permite comprobar la veracidad de los datos mediante el descifrado del resumen criptográfico recibido. Definición Certificado: es la certificación electrónica que vincula unos datos de verificación de firma a un signatario y confirma su identidad. No es otra cosa que la vinculación de la clave pública del signatario con su identidad real verificada por el prestador de servicios de certificación. Criptografía El fundamento de las firmas electrónicas es la criptografía, disciplina matemática que no sólo se encarga del cifrado de textos para lograr su confidencialidad y proporciona mecanismos para asegurar la integridad de los datos y la identidad de los participantes en una transacción. El cifrado consiste en transformar un texto en claro (inteligible por todos) mediante un algoritmo en un texto cifrado, gracias a una información secreta o clave de cifrado, que resulta ininteligible para todos excepto el legítimo destinatario del mismo. Se distinguen dos métodos generales de cifrado Tipos de cifrado Cifrado asimétrico: cuando se utiliza una pareja de claves para separar los procesos de cifrado y descifrado, se dice que el criptosistema es asimétrico o de clave pública. Una clave, la privada, se mantiene secreta, mientras que la segunda clave, la pública, es conocida por todos. Se utilizan los algoritmos de RSA, Diffie-Hellman, etc. Tipos de cifrado Cifrado simétrico o de clave secreta: cuando se emplea la misma clave en las operaciones de cifrado y descifrado. Estos sistemas son mucho más rápidos que los de clave pública, y resultan apropiados para el cifrado de grandes volúmenes de datos. Para ello se emplean algoritmos como IDEA, RC5, DES, TRIPLE DES, etc. El cifrado de datos Ejemplo 1. Alicia genera un resumen del documento. 2. Alicia cifra el resumen con su clave privada, firmando por tanto el documento. Este resumen es su firma electrónica. 3. Alicia envía el documento junto con el resumen firmado (la firma electrónica) a Bernardo. 4. Bernardo genera un resumen del documento recibido de Alicia, usando la misma función unidireccional de resumen. 5. Después Bernardo descifra con la clave pública de Alicia, que es conocida, el resumen firmado (firma electrónica de Alicia). 6. Si el resumen firmado coincide con el resumen que él ha generado, la firma electrónica es válida. Aplicación inmediata de las firmas electrónicas El comercio electrónico, que no termina de despegar, entre otras razones, debido a la indefensión de comerciantes y consumidores ante el fraude en los modelos actuales de compra a través de Internet basados únicamente en SSL. El proyecto de ventanilla única (conocido como teleadministración) que pretende acercar la Administración al ciudadano, de modo que desde su propio hogar tenga acceso a obtener toda la información necesaria para la realización de cualquier trámite ofertado por las Unidades de las Administraciones Públicas ¿Son seguras las firmas electrónicas? La firma electrónica proporciona un amplio abanico de servicios de seguridad, que superan con creces a los ofrecidos en un contexto físico por el DNI o pasaporte y las firmas manuscritas: ¿Son seguras las firmas electrónicas? Autenticación: permite identificar unívocamente al signatario, al verificar la identidad del firmante, bien como signatario de documentos en transacciones telemáticas, bien para garantizar el acceso a servicios distribuidos en red. En este último caso, la utilización de firmas digitales para acceder a servicios de red o autenticarse ante servidores web evita ataques comunes de captación de contraseñas mediante el uso de analizadores de protocolos (sniffers) o la ejecución de reventadores de contraseñas. ¿Son seguras las firmas electrónicas? Imposibilidad de suplantación: el hecho de que la firma haya sido creada por el signatario mediante medios que mantiene bajo su propio control (su clave privada protegida, por ejemplo, por una contraseña, control biométrico, una tarjeta inteligente, etc.) asegura, además, la imposibilidad de su suplantación por otro individuo. ¿Son seguras las firmas electrónicas? Integridad: permite que sea detectada cualquier modificación por pequeña que sea de los datos firmados, proporcionando así una garantía ante alteraciones fortuitas o deliberadas durante el transporte, almacenamiento o manipulación telemática del documento o datos firmados. ¿Son seguras las firmas electrónicas? No repudio: ofrece seguridad inquebrantable de que el autor del documento no puede retractarse en el futuro de las opiniones o acciones consignadas en él ni de haberlo enviado. La firma electrónica adjunta a los datos, debido a la imposibilidad de ser falsificada, testimonia que él, y solamente él, pudo haberlo firmado. ¿Son seguras las firmas electrónicas? Auditabilidad: permite identificar y rastrear las operaciones llevadas a cabo por el usuario dentro de un sistema informático cuyo acceso se realiza mediante la presentación de certificados, especialmente cuando se incorpora el estampillado de tiempo, que añade de forma totalmente fiable la fecha y hora a las acciones realizadas por el usuario. ¿Son seguras las firmas electrónicas? El acuerdo de claves secretas: garantiza la confidencialidad de la información intercambiada ente las partes, esté firmada o no, como por ejemplo en las transacciones seguras realizadas a través de SSL. Cronología del desarrollo jurídico 22 de abril de 1999 Aprobado el Proyecto de Directiva del Parlamento Europeo sobre firma electrónica por el Consejo de Ministros de Telecomunicaciones de la Unión Europea. 16 de julio de 1999 Aprobado en España el Anteproyecto de Ley de firma digital para adecuar la legislación interna a las exigencias del Proyecto de Directiva del Parlamento Europeo y del Consejo por la que se establece un marco común para la firma electrónica. Cronología del desarrollo jurídico 18 de septiembre de 1999 Aprobado el Real Decreto Ley 14/1999 de 17 de septiembre sobre firma digital que regulará la firma digital y la actividad de los prestadores de servicios de certificación en España, siendo una transposición del Proyecto de Directiva Europea de firma digital. 21 de octubre de 1999 El Congreso de los Diputados convalida el Decreto Ley de Firma Electrónica, convirtiendo así a la firma electrónica en una realidad jurídica en España incluso antes de que la Directiva Europea sobre el tema haya sido aprobada. Organismos que permiten utilizar la firma Administración central • Agencia Estatal de Administración Tributaria • Comisión del Mercado de las Telecomunicaciones • Instituto de Crédito Oficial • Instituto Nacional de Estadística • Ministerio de Economía • Presidencia de Gobierno • Seguridad Social • Dirección General del Catastro • Dirección General de Costes de Personal y Pensiones Públicas Organismos que permiten utilizar la firma Administración autonómica • Comunidad de Madrid • Gobierno de Canarias • Gobierno de Navarra • Gobierno de La Rioja • Junta de Andalucía • Xunta de Galicia Organismos que permiten utilizar la firma Administración local • Ayuntamiento de Alboraya (Valencia) • Ayuntamiento de Laredo (Cantabria) • Ayuntamiento de Catarroja (Valencia) • Ayuntamiento de Madrid • Ayuntamiento de Paterna (Valencia) • Ayuntamiento de Totana (Murcia) • Ayuntamiento de Valencia • Ayuntamiento de Barcelona Organismos que permiten utilizar la firma Otros • Asociación de Asesores de Empresas en Internet • Consejo General del Notariado • Gestor de Infraestructuras S. A. • Paradores Nacionales de Turismo • Saniline • Seguros Broker • Sociedad Digital de Auditores y Editores Autoridades de certificación Fábrica Nacional de Moneda y Timbre (www.fnmt.es) Es la más importante. ACE (Agencia de Certificación electrónica) (www.ace.es) Consejo General del Notariado (www.feste.es) IPSCA (www.ipsca.es) Autoridad pública de certificación española fin