Descripción General de Firma Digital


¿Para qué sirve?

En la década de los noventa, los negocios virtuales a través del Internet crecían de manera espeluznante, los cibernautas cada vez mas se motivaban a dar sus tarjetas de crédito para obtener productos y servicios a través de la red. Pero no todos lo que utilizaban la llamada red de redes, lo hacían con fines sanos, aparecieron en escena los famosos Hackers (Curiosos en ocasiones sin intenciones malignas) y los mas peligrosos los ¨Crakers¨, aquellos que tenían por costumbre, robar identidades, números de tarjetas de crédito o algo muy pernicioso, destruir, alterar y desviar la información que se transmite a través de la red..

Ante estas actuaciones, las cuales introducían un elemento de inseguridad en las transacciones comerciales, se apodero la Comisión de Derecho Mercantil de la ONU, a los fines de que se investigara sobre la forma de obtener una herramienta tecnológica que trajera confianza y seguridad en la transmisión y recepción de la información. Posteriormente, después de profundos desarrollos tecnológicos implementados por técnicos calificados al servicio de la UIT (Unión Internacional de la Telecomunicaciones, entidad dependiente de la ONU, nace entonces LA FIRMA DIGITAL, la cual como luego explicaremos, nos garantiza que la transacción se haga dentro de un entorno de seguridad y confianza entre las partes que interactúan.

En el campo legal y es ahí donde esta su gran importancia, los países armonizan sus legislaciones a los fines de darle un carácter probatorio a los documentos y mensajes de datos (emails) que han sido firmados digitalmente, considerando y equiparando esta firma con la firma manuscrita…luego entonces estamos hablando de que un acto o documento firmado digitalmente adquiere la categoría legal de un acto firmado bajo firma privada.

Tres son los atributos de esta maravillosa herramienta, la cual garantiza lo siguiente:

  1. Identidad, que implica identificar a las partes que interactúan sin ninguna duda.
  2. Integridad, Nos da la certeza de que el mensaje recibido por el receptor es exactamente el mismo mensaje emitido por el emisor, sin que haya sufrido alteración alguna durante el proceso de transmisión.
  3. No repudiación o no rechazo en origen, que implica que el emisor del mensaje no pueda negar en ningún caso que el mensaje ha sido enviado por él.
  4. Confidencialidad o Privacidad, este factor se añade a la firma digital; esta fundamentada en ocultar la información. Se basa en la criptografía, o ciencia que describe, estudia y profundiza sobre la ocultación de mensajes. La idea es que nadie pueda ver el contenido de la información.

¿Cómo luce una firma digital y como se firma digitalmente?

Esta herramienta no esta concebida como algo físico puesto que entonces seria muy vulnerable a las falsificaciones por ejemplo; esta consiste realmente en un numero aleatorio el cual se genera a lo interno de la computadora y que dependerá del texto que estamos transmitiendo, de tal manera, que si este se alterara en el trayecto, al recibirlo en destino cambiaria su valor en una dimensión inimaginable. Comprobándose entonces que la información fue alterada.

Se trata entonces, de un archivo el cual es emitido por una prestadora de servicios de certificación, conteniendo los datos generales del suscriptor del servicio así como otros de carácter técnicos.

Para firmar digitalmente, se introduce en un lector (Card reader) el archivo consistente regularmente en un chip encapsulado dentro de una tarjeta parecida a una de crédito. A partir de ahí usted no tiene que saber nada de electrónica, con tan solo dar un click en un espacio reservado para firmar, proveído por la aplicación, en cuestión de segundos ya habrá firmado digitalmente.

La utilización del par de claves (privada y pública) implica que A (emisor) cifra un mensaje utilizando para ello su clave privada y, una vez cifrado, lo envía a B (receptor). B descifra el mensaje recibido utilizando la clave pública de A. Si el mensaje descifrado es legible e inteligible significa necesariamente que ese mensaje ha sido cifrado con la clave privada de A (es decir, que proviene de A) y que no ha sufrido ninguna alteración durante la transmisión de A hacia B, porque si hubiera sido alterado por un tercero, el mensaje descifrado por B con la clave pública de A no sería legible ni inteligible. Así se cumplen dos de los requisitos anteriormente apuntados, que son la integridad (certeza de que el mensaje no ha sido alterado) y no repudiación en origen (imposibilidad de que A niegue que el mensaje recibido por B ha sido cifrado por A con la clave privada de éste). El tercer requisito (identidad del emisor del mensaje). Es decir que lo que una de las clave hace solo la otra lo puede deshacer, y esto es lo que permite que el usuario goce de una seguridad plena al momento de realizar su transacción.

Es importante saber que para la emisión del certificado digital en República Dominicana el ciudadano, de ahora en adelante el suscriptor, debe dirigirse a una Entidad Certificadora (EC) autorizada por el Ente Regulador (ER)- Instituto Dominicano de las Telecomunicaciones (INDOTEL), quien a su vez publicará en su portal de Internet la lista de autoridades certificadoras reguladas por él.

Estas Autoridades de Certificación cuentan con unas Unidades de Registro que será donde se tomarán los datos del suscriptor personalmente. La figura que introduce la legislación de la autoridad de registro, garantiza que el certificado emitido para firmar digitalmente solo será entregado previa presentación personal del suscriptor.

¿Cómo obtengo el dispositivo para firmar digitalmente un mensaje?

El proceso para obtener los elementos que necesito para firmar digitalmente mensajes (par de claves y certificado digital) es el siguiente:

  1. Me dirijo a una empresa o entidad que tenga el carácter de Prestador de Servicios de Certificación, solicito de ellos el certificado digital , esta prestadora remite al suscriptor a una unidad de registro a los fines de que sea identificado.
  2. La unidad de registro, subordinada al prestador de Servicios de Certificación comprobará mi identidad, bien directamente o por medio de entidades colaboradoras (Autoridades Locales de Registro), para lo cual deberé exhibirle mi cédula. En caso de tratarse de unl representante de una sociedad (administrador, apoderado, etc.) o de cualquier otra persona jurídica, este debera acreditarse documentalmente.
  3. El prestador de Servicios de Certificación crea con los dispositivos técnicos adecuados el par de claves pública y privada y genera el certificado digital.
  4. El prestador de Servicios de Certificación me entrega una tarjeta semejante a una tarjeta de crédito con un chip conteniendo el par de claves y el certificado digital. Adicionalmente, para firmar se suele pedir un password o clave personal.
  5. Con esa tarjeta o chip y un lector especial conectado a mi computador personal, podré leer y utilizar la información grabada en la tarjeta para firmar digitalmente los mensajes electrónicos que envíe a otras personas.

¿Cómo funciona la firma digital?

La firma digital funciona utilizando complejos procedimientos matemáticos que relacionan al documento firmado con información propia del firmante, y permiten que terceras partes puedan reconocer la identidad del firmante y asegurarse que los contenidos no han sido modificados.

El firmante genera, mediante una función matemática, una huella digital del mensaje. Esta huella digital se cifra con la clave privada del firmante, y el resultado es lo que se denomina firma digital la cual se enviará adjunta al mensaje original. De esta manera el firmante va a estar adjuntando al documento una marca que es única para ese documento y que sólo él es capaz de producir.

Un ejemplo práctico de cómo funciona esta herramienta tan novedosa en la sociedad Dominicana:

  1. José (emisor) crea o redacta un mensaje electrónico determinado (por ejemplo, una propuesta comercial).
  2. La computadora del emisor (José) aplica a ese mensaje electrónico una función hash (algoritmo), mediante la cual obtiene un resumen de ese mensaje… Ese resumen el usuario de la red no lo ve todo eso se produce internamente en la computadora.
  3. La computadora del emisor (José) cifra ese mensaje-resumen utilizando su clave privada.
  4. José envía a María (receptora) un mensaje el cual podria ser en este ejemplo un correo electrónico conteniendo los siguientes elementos:El cuerpo del mensaje, que es el mensaje en claro (es decir, sin cifrar). En el caso de que se desea mantener la confidencialidad del mensaje, éste se cifraria utilizando la clave pública de María (receptora).

La firma del mensaje, que a su vez se compone de dos elementos:

  1. El hash o mensaje-resumen, en ocasiones se le denomina "huella digital".
  2. El certificado digital de José, que contiene sus datos personales y su clave pública, y que está cifrado con la clave privada del Prestador de Servicios de Certificación.

Verificación por el receptor de la firma digital del mensaje.

  1. María (receptora) recibe el correo electrónico que contiene todos los elementos mencionados anteriormente.
  2. Si el mensaje vino cifrado, María en primer lugar descifra el certificado digital de José con su clave privada, ejemplo, de la página web del Prestador de Servicios de Certificación en la que existirá depositada dicha clave pública a disposición de todos los interesados.
  3. Una vez descifrado el certificado, María podrá acceder a la clave pública de José que era uno de los elementos contenidos en dicho certificado. Además podrá saber a quién corresponde dicha clave pública, dado que los datos personales del titular de la clave (José) constan también en el certificado.
  4. La computadora de María utilizará la clave pública del emisor (José) obtenida del certificado digital para descifrar el hash o mensaje-resumen creado por José.
  5. María aplicará al cuerpo del mensaje, que aparece en claro o no cifrado, que también figura en el correo electrónico recibido, la misma función hash que utilizó José con anterioridad, obteniendo igualmente María un mensaje-resumen. Si el cuerpo del mensaje también ha sido cifrado para garantizar la confidencialidad del mismo, previamente María deberá descifrarlo utilizando para ello su propia clave privada (recordemos que el cuerpo del mensaje había sido cifrado con la clave pública de José).
  6. La computadora de María comparará el mensaje-resumen o hash recibido de José con el mensaje-resumen o hash obtenido por ella al misma. Si ambos mensajes-resumen o hash coinciden totalmente significa lo siguiente:
  • El mensaje no ha sufrido alteración durante su transmisión, es decir, es íntegro o auténtico.
  • El mensaje-resumen descifrado por María con la clave pública de José ha sido necesariamente cifrado con la clave privada de José y, por tanto, proviene necesariamente de José.
  • Como el certificado digital nos dice quién es José, podemos concluir que el mensaje ha sido firmado digitalmente por José, siendo José una persona con identidad determinada y conocida.

Por el contrario, si las funciones-resumen no coinciden quiere decir que el mensaje ha sido alterado por un tercero durante el proceso de transmisión, y la función-resumen descifrado por María es ininteligible quiere decir que no ha sido cifrado con la clave privada de José. En resumen, que el mensaje no es auténtico o que el mensaje no ha sido firmado por José sino por otra persona.