La firma digital te permite darle un carácter probatorio a los documentos y mensajes de datos (emails) que han sido firmados digitalmente, considerando y equiparando esta firma con la firma manuscrita. Esta nos permite garantizar lo siguiente:

  • Identidad, que implica identificar a las partes que interactúan sin ninguna duda.
  • Integridad, Nos da la certeza de que el mensaje recibido por el receptor es exactamente el mismo mensaje emitido por el emisor, sin que haya sufrido alteración alguna durante el proceso de transmisión.
  • No repudiación o no rechazo en origen, que implica que el emisor del mensaje no pueda negar en ningún caso que el mensaje ha sido enviado por él.

Confidencialidad o Privacidad, este factor se añade a la firma digital; está fundamentada en ocultar la información. Se basa en la criptografía, o ciencia que describe, estudia y profundiza sobre la ocultación de mensajes. La idea es que nadie pueda ver el contenido de la información.

Es un identificador único de alguien. Es el documento digital emitido y firmado digitalmente por una entidad de certificación que identifica unívocamente a un suscriptor durante el período de vigencia del certificado, y que se constituye en prueba de que dicho suscriptor es la fuente o el originado del contenido de un documento digital o mensaje de datos que incorpore su certificado asociado.

No, hay muchas personas que tienen esa idea errónea. La Firma Digital es el resultado de un procedimiento realizado para garantizar que el documento digital emitido es el recibido, autentificando al emisor y garantizando la no modificación del mensaje durante la transmisión.

Esta herramienta no está concebida como algo físico puesto que entonces sería muy vulnerable a las falsificaciones por ejemplo; esta consiste realmente en un numero aleatorio el cual se genera a lo interno de la computadora y que dependerá del texto que estamos transmitiendo, de tal manera, que si este se alterara en el trayecto, al recibirlo en destino cambiaría su valor en una dimensión inimaginable. Comprobándose entonces que la información fue alterada.

Se trata entonces, de un archivo el cual es emitido por una prestadora de servicios de certificación, conteniendo los datos generales del suscriptor del servicio así como otros de carácter técnicos.

El proceso para obtener los elementos que necesito para firmar digitalmente mensajes (par de claves y certificado digital) es el siguiente:

a. Me dirijo a una empresa o entidad que tenga el carácter de Prestador de Servicios de Certificación, solicito de ellos el certificado digital, esta prestadora remite al suscriptor a una unidad de registro a los fines de que sea identificado.

b. La unidad de registro, subordinada al prestador de Servicios de Certificación comprobará mi identidad, bien directamente o por medio de entidades colaboradoras (Autoridades Locales de Registro), para lo cual deberé exhibirle mi cédula. En caso de tratarse de un representante de una sociedad (administrador, apoderado, etc.) o de cualquier otra persona jurídica, este deberá acreditarse documentalmente.

c. El prestador de Servicios de Certificación crea con los dispositivos técnicos adecuados el par de claves pública y privada y genera el certificado digital.

La firma digital funciona utilizando complejos procedimientos matemáticos que relacionan al documento firmado con información propia del firmante, y permiten que terceras partes puedan reconocer la identidad del firmante y asegurarse que los contenidos no han sido modificados.

El firmante genera, mediante una función matemática, una huella digital del mensaje. Esta huella digital se cifra con la clave privada del firmante, y el resultado es lo que se denomina firma digital la cual se enviará adjunta al mensaje original. De esta manera el firmante va a estar adjuntando al documento una marca que es única para ese documento y que sólo él es capaz de producir.

Un ejemplo práctico de cómo funciona esta herramienta tan novedosa en la sociedad Dominicana:

  • José (emisor) crea o redacta un mensaje electrónico determinado (por ejemplo, una propuesta comercial).
  • La computadora del emisor (José) aplica a ese mensaje electrónico una función hash (algoritmo), mediante la cual obtiene un resumen de ese mensaje. Ese resumen el usuario de la red no lo ve todo eso se produce internamente en la computadora.
  • La computadora del emisor (José) cifra ese mensaje-resumen utilizando su clave privada.
  • José envía a María (receptora) un mensaje el cual podría ser en este ejemplo un correo electrónico conteniendo los siguientes elementos: El cuerpo del mensaje, que es el mensaje en claro (es decir, sin cifrar). En el caso de que se desea mantener la confidencialidad del mensaje, éste se cifraría utilizando la clave pública de María (receptora).
  • La firma del mensaje, que a su vez se compone de dos elementos:
    • El hash o mensaje-resumen, en ocasiones se le denomina «huella digital»; y
    • El certificado digital de José, que contiene sus datos personales y su clave pública, y que está cifrado con la clave privada del Prestador de Servicios de Certificación.
  • María (receptora) recibe el correo electrónico que contiene todos los elementos mencionados anteriormente.
  • Si el mensaje vino cifrado, María en primer lugar descifra el certificado digital de José con su clave privada, ejemplo, de la página web del Prestador de Servicios de Certificación en la que existirá depositada dicha clave pública a disposición de todos los interesados.
  • Una vez descifrado el certificado, María podrá acceder a la clave pública de José que era uno de los elementos contenidos en dicho certificado. Además podrá saber a quién corresponde dicha clave pública, dado que los datos personales del titular de la clave (José) constan también en el certificado.
  • La computadora de María utilizará la clave pública del emisor (José) obtenida del certificado digital para descifrar el hash o mensaje-resumen creado por José.
  • María aplicará al cuerpo del mensaje, que aparece en claro o no cifrado, que también figura en el correo electrónico recibido, la misma función hash que utilizó José con anterioridad, obteniendo igualmente María un mensaje-resumen. Si el cuerpo del mensaje también ha sido cifrado para garantizar la confidencialidad del mismo, previamente María deberá descifrarlo utilizando para ello su propia clave privada (recordemos que el cuerpo del mensaje había sido cifrado con la clave pública de José).
  • La computadora de María comparará el mensaje-resumen o hash recibido de José con el mensaje-resumen o hash obtenido por ella a la misma. Si ambos mensajes-resumen o hash coinciden totalmente significa lo siguiente:
    • El mensaje no ha sufrido alteración durante su transmisión, es decir, es íntegro o auténtico.
    • El mensaje-resumen descifrado por María con la clave pública de José ha sido necesariamente cifrado con la clave privada de José y, por tanto, proviene necesariamente de José.
    • Como el certificado digital nos dice quién es José, podemos concluir que el mensaje ha sido firmado digitalmente por José, siendo José una persona con identidad determinada y conocida.

Por el contrario, si las funciones-resumen no coinciden quiere decir que el mensaje ha sido alterado por un tercero durante el proceso de transmisión, y la función-resumen descifrado por María es ininteligible quiere decir que no ha sido cifrado con la clave privada de José. En resumen, que el mensaje no es auténtico o que el mensaje no ha sido firmado por José sino por otra persona.

Los Certificados Digitales permiten identificar al emisor del documento digital enviado, además de la encriptación de documentos digitales y mensajes de datos. Esto de acuerdo al contrato establecido con la Autoridad Certificadora.

Si, cada Entidad Certificadora de acuerdo a sus políticas, establecerá diferentes períodos de duración para los certificados.

En realidad hay varios métodos, pero el más seguro es utilizando Certificados Digitales. Estos Certificados permiten tener absoluta certeza del autor de los documentos digitales y mensajes de datos, al mismo tiempo nos garantiza que el contenido de los mismos no ha sido alterado. Estos dos elementos, autoría e integridad, permiten garantizar el no repudio de los documentos digitales y de los mensajes de datos. Haciendo con esto más seguras las transacciones del Comercio Electrónico.

Se entiende que suscriptor o titular de Certificado Digital es la persona que contrata una Entidad de Certificación la expedición de un certificado, para que sea nombrada o identificada en él. Esta persona tiene la obligación de mantener bajo su estricto y exclusivo control el procedimiento para generar su Firma Digital.

Toda persona física o jurídica puede solicitar un Certificado Digital, aplicándose los tipos de Certificados, según sea el caso, establecidos en el artículo 35 de la Norma Complementaria por la que se Establece la Equivalencia Regulatoria del Sistema Dominicano de Infraestructura de Claves Públicas y de Confianza con los Marcos Regulatorios Internacionales de Servicios de Confianza; a saber:
  1. Certificado de persona física para firma electrónica; 
  2. Certificado de persona jurídica para sello electrónico; y 
  3. Certificado para servidor web. 
Sí, en medios electrónicos existen 3 tipos de firmas:
 
Firma Electrónica 
 
  • Utilización de un medio electrónico; 
  • El medio de realización e identificación entre el emisor y el destinatario es acordado entre las partes; y 
  • Carece de alguno de los requisitos legales para ser considerado firma digital.

Firma Digital o Firma Electrónica Avanzada  

  • Es única a la persona que la usa; 
  • Esta bajo el control exclusivo de la persona que la usa; 
  • Es susceptible de ser verificada; 
  • Está ligada a la información, al que está asociada, de tal manera que, si esta cambia, la firma digital es invalidada, y 

Esta conforme a las reglamentaciones adoptadas por el Poder Ejecutivo.

Firma Digital Segura o Firma Electrónica Cualificada. Es aquella que tiene equivalencia funcional a la Firma Manuscrita. Para ello, además de cumplir con los requerimientos de la Firma Digital, debe: 

  • Ser verificada de conformidad con un sistema de procedimiento de seguridad; y 
  • Estar asociada a un certificado digital generado por una Entidad de Certificación autorizada por el INDOTEL. 

Lamentablemente la respuesta es no, en vista de que detrás de VALIDAFIRMA lo que tenemos es un Servicio Cualificado de Validación de Firmas y Sellos Electrónicos prestado por un Prestador Cualificado de Servicios de Confianza o Entidad de Certificación, por lo que el licenciamiento del motor de validación nos impide pasar estas validaciones de manera automatizada. 

En la actualidad VALIDAFIRMA maneja Firmas Electrónicas Avanzadas, pero las que se realizan con Certificados Cualificados de software o ¨.P12¨.  

Las Firmas Electrónicas Avanzadas se pueden realizar a través de un sin número de componentes tecnológicos, los cuales, fuera de lo que es el certificado digital y su respectiva PKI de generación, harían imposible poder verificar la autenticidad de una firma por los diferentes niveles de seguridad e incertidumbre dependiendo de cada tecnología utilizada. Además de que muchos componentes tecnológicos utilizados para Firmas Avanzadas no viajan en el propio código del documento a ser validado por VALIDAFIRMA. 

El Informe de auditoría generado por VALIDAFIRMA ya es un medio de presentación judicial sobre el proceso de validación y este es firmado y estampado con el Sello Electrónico del INDOTEL. 

El motor de validación trabaja solo con los certificados cualificados estampados en los documentos digitales. VALIDAFIRMA lee todos los atributos de los certificados cualificados y valida contra cada protocolo de verificación de estado de certificados (OCSP) y listas de certificados revocados (crl), todo bajo la sombrilla de la Lista de Confianza de Rep. Dom. Donde se encuentran las cadenas de confianza (RootCA y SubCAs) de cada Prestador de Servicios Cualificado de Confianza o Entidad de Certificación autorizada a operar por el INDOTEL.