Firma digital

Se dice firma digital a un esquema matemático que sirve para demostrar la autenticidad de un mensaje digital o de un documento electrónico. Una firma digital da al destinatario seguridad en que el mensaje fue creado por el remitente, y que no fue alterado durante la transmisión. Las firmas digitales se utilizan comúnmente para la distribución de software, transacciones financieras y en otras áreas donde es importante detectar la falsificación y la manipulación.

Consiste en un método criptográfico que asocia la identidad de una persona o de un equipo informático al mensaje o documento. En función del tipo de firma, puede, además, asegurar la integridad del documento o mensaje.

La firma electrónica, como la firma hológrafa (autógrafa, manuscrita), puede vincularse a un documento para identificar al autor, para señalar conformidad (o disconformidad) con el contenido, para indicar que se ha leído y, en su defecto mostrar el tipo de firma y garantizar que no se pueda modificar su contenido.

[editar] Terminología

Los términos de firma digital y firma electrónica se utilizan con frecuencia como sinónimos, pero este uso en realidad es incorrecto.

Mientras que firma digital hace referencia a una serie de métodos criptográficos, firma electrónica es un término de naturaleza fundamentalmente legal y más amplio desde un punto de vista técnico, ya que puede contemplar métodos no criptográficos, ver Firma electrónica escrita.

Un ejemplo claro de la importancia de esta distinción es el uso por la Comisión europea. En el desarrollo de la Directiva europea 1999/93/CE que establece un marco europeo común para la firma electrónica empezó utilizando el término de firma digital en el primer borrador, pero finalmente acabó utilizando el término de firma electrónica para desacoplar la regulación legal de este tipo de firma de la tecnología utilizada en su implementación.

[editar] La teoría

Mecánica de la generación y comprobación de una firma digital.

La firma digital de un documento es el resultado de aplicar cierto algoritmo matemático, denominado función hash, a su contenido y, seguidamente, aplicar el algoritmo de firma (en el que se emplea una clave privada) al resultado de la operación anterior, generando la firma electrónica o digital. El software de firma digital debe además efectuar varias validaciones, entre las cuales podemos mencionar:

• Vigencia del certificado digital del firmante,
• Revocación del certificado digital del firmante (puede ser por OCSP o CRL),
• Inclusión de sello de tiempo.

La función hash es un algoritmo matemático que permite calcular un valor resumen de los datos a ser firmados digitalmente. Funciona en una sola dirección, es decir, no es posible, a partir del valor resumen, calcular los datos originales. Cuando la entrada es un documento, el resultado de la función es un número que identifica inequívocamente al texto. Si se adjunta este número al texto, el destinatario puede aplicar de nuevo la función y comprobar su resultado con el que ha recibido. Ello no obstante, este tipo de operaciones no están pensadas para que las lleve a cabo el usuario, sino que se utiliza software que automatiza tanto la función de calcular el valor hash como su verificación posterior.

[editar] Las posibilidades de red

Para que sea de utilidad, una función hash debe satisfacer dos importantes requisitos:

1. debe ser imposible encontrar dos documentos cuyo valor para la función hash sea idéntico.
2. dado uno de estos valores, debe ser imposible producir un documento con sentido que de lugar a ese hash.

Existen funciones hash específicamente designadas para satisfacer estas dos importantes propiedades. SHA y MD5 son dos ejemplos de este tipo de algoritmos.

Algunos sistemas de cifrado de clave pública se pueden usar para firmar documentos. El firmante cifra el hash calculado de un documento con su clave privada y cualquiera que quiera comprobar la firma y ver el documento, no tiene más que usar la clave pública del firmante para descifrar el hash, y comprobar que es el que corresponde al documento.

[editar] La solución

Un algoritmo efectivo debe hacer uso de un sistema de clave pública para cifrar sólo la firma. En particular, el valor "hash" se cifra mediante el uso de la clave privada del firmante, de modo que cualquiera pueda comprobar la firma usando la clave pública correspondiente. El documento firmado se puede enviar usando cualquier otro algoritmo de cifrado, o incluso ninguno si es un documento público. Si el documento se modifica, la comprobación de la firma fallará, pero esto es precisamente lo que la verificación se supone que debe descubrir.

El Digital Signature Algorithm es un algoritmo de firmado de clave pública que funciona como hemos descrito. DSA es el algoritmo principal de firmado que se usa en GnuPG.

[editar] Formato de la firma electrónica

[editar] Regulaciones en diferentes países

[editar] El marco común de firma electrónica de la Unión Europea

El mercado interior de la Unión Europea implica un espacio sin fronteras interiores en el que está garantizada la libre circulación de mercancías. Deben satisfacerse los requisitos esenciales específicos de los productos de firma electrónica a fin de garantizar la libre circulación en el mercado interior y fomentar la confianza en la firma electrónica.

En ese sentido la Directiva 1999/93/CE sienta un marco común para la firma electrónica que se concretó con la transposición de la Directiva a las diferentes legislaciones nacionales de los países miembros.

[editar] Ley sobre firma electrónica en Chile

Esta ley fue publicada el 15 de septiembre del año 2003 por el Ministerio Secretaría General de la Presidencia, la Ley 19.799 sobre Documentos Electrónicos, Firma Electrónica y Servicios de Certificación de dicha firma, reconoce que los órganos del Estado podrán ejecutar o realizar actos, celebrar contratos y expedir cualquier documento, dentro de su ámbito de competencia, suscribiéndolos por medio de firma electrónica simple. Igualmente señala que estos actos, contratos y documentos, suscritos mediante firma electrónica, serán válidos de la misma manera y producirán los mismos efectos que los expedidos en soporte de papel.^{[1] [2]}

[editar] Firma digital en Costa Rica

En Costa Rica, la Ley de Certificados, Firmas Digitales y Documentos Electrónicos (Ley 8454) es firmada el 22 de agosto del 2005. Esta Ley faculta la posibilidad de vincular jurídicamente a los actores que participan en transacciones electrónicas, lo que permite llevar al mundo virtual transacciones o procesos que anteriormente requerían el uso de documentos físicos para tener validez jurídica, bajo el precepto de presunción de autoría y responsabilidad, además lo anterior sin demérito del cumplimiento de los requisitos de las formalidades legales según negocio jurídico.^[3]

[editar] La ley de firma electrónica en España

En España existe la Ley 59/2003, de Firma electrónica, que define tres tipos de firma:

• Simple. Datos que puedan ser usados para identificar al firmante (autenticidad)
• Avanzada. Además de identificar al firmante permite garantizar la integridad del documento y la integridad de la clave usada, utilizando para ello un DSCF (dispositivo seguro de creación de firma, el DNI electrónico). Se emplean técnicas de PKI.
• Reconocida. Es la firma avanzada y amparada por un certificado reconocido (certificado que se otorga tras la verificación presencial de la identidad del firmante). En ocasiones, esta firma se denomina cualificada por traducción del término inglés qualified que aparece en la Directiva Europea de Firma Electrónica.

[editar] Firma electrónica en Guatemala

En Guatemala, la Ley para el Reconocimiento de las Comunicaciones y Firmas Electrónicas (Decreto 47-2008), fue publicada en el diario oficial el 23 de septiembre de 2008. El Ministerio de Economía de ese país tiene bajo su responsabilidad el regular este tema, y abrió en el mes de Junio de 2009 el Registro de Prestadores de Servicios de Certificación, publicando su sitio web con copia de la ley e información importante sobre el tema.^[4]

[editar] Firma digital en Nicaragua

El 2 de julio de 2010 se aprobó en Nicaragua la Ley de Firma Electrónica,^[5] siendo la Dirección General de Tecnología, adscrita al Ministerio de Hacienda y Crédito Público, la entidad acreditadora de la firma electrónica.

Sin embargo, la implementación de dicha Ley, será dentro de un año calendario, contado a partir del 30 de agosto de 2010.

[editar] La Ley de firma digital en Perú

En el Perú se ha dictado la Ley de Firmas y Certificados Digitales (Ley 27269), la cual regula la utilización de la firma electrónica, otorgándole la misma validez y eficacia jurídica que el uso de una firma manuscrita u otro análoga que conlleve manifestación de voluntad. ^[6]

[editar] Firma electrónica en la República Dominicana

En la República Dominicana, la Ley 126-02 de Comercio Electrónico, Documentos y Firmas Digitales, de fecha 29 de septiembre de 2002, regula toda relación comercial, estructurada a partir de la utilización de uno o más documentos digitales o mensajes de datos o de cualquier otro medio similar. Y se designa al Instituto Dominicano de las Telecomunicaciones (INDOTEL) como el Órgano Regulador.^[7]

[editar] Firma digital en la República de Colombia

En Colombia esta práctica es regulada mediante la ley 527 de 1999 y el decreto 1747 de 2000.

[editar] Aplicaciones

• Mensajes con autenticidad asegurada
• Mensajes sin posibilidad de repudio
• Contratos comerciales electrónicos
• Factura Electrónica
• Desmaterialización de documentos
• Transacciones comerciales electrónicas
• Invitación electrónica
• Dinero electrónico
• Notificaciones judiciales electrónicas
• Voto electrónico
• Decretos ejecutivos (gobierno)
• Créditos de seguridad social
• Contratación pública
• Sellado de tiempo

[editar] Véase también

• Certificado digital
• Derecho informático
• X.509
• @firma
• Firma
• Firma electrónica escrita

[editar] Notas

[editar] Enlaces externos

• Servicios disponibles con firma digital en España, según Fábrica Nacional Moneda y Timbre, y Dni electrónico