Cuando hablamos de firma digital en realidad nos estamos refiriendo a
muchos conceptos relacionados, entre los cuales figuran documentos
electrónicos, claves criptográficas, certificados digitales, funciones
matemáticas, autoridades certificantes, infraestructuras de clave
pública y muchos otros nombres que pueden resultarnos complicados o
desconocidos.
Las siguientes preguntas intentan aclarar estos términos:
* ¿Qué es la firma digital? * ¿Cómo funciona? * ¿Claves privadas y claves públicas? * ¿Qué son los certificados digitales? * ¿Qué contiene un certificado digital? * ¿Qué valor legal tiene la firma digital? * ¿Qué es una Infraestructura de Firma Digital?
¿Qué es la firma digital?
La firma digital es una herramienta tecnológica que permite
garantizar la autoría e integridad de los documentos digitales,
posibilitando que éstos gocen de una característica que únicamente era
propia de los documentos en papel.
Una firma digital es un conjunto de datos asociados a un mensaje
digital que permite garantizar la identidad del firmante y la integridad
del mensaje.
La firma digital no implica asegurar la confidencialidad del mensaje;
un documento firmado digitalmente puede ser visualizado por otras
personas, al igual que cuando se firma holográficamente.
La firma digital es un instrumento con características técnicas y
normativas. Esto significa que existen procedimientos técnicos que
permiten la creación y verificación de firmas digitales, y existen
documentos normativos que respaldan el valor legal que dichas firmas
poseen.
¿Cómo funciona?
La firma digital funciona utilizando complejos procedimientos
matemáticos que relacionan el documento firmado con información propia
del firmante, y permiten que terceras partes puedan reconocer la
identidad del firmante y asegurarse de que los contenidos no han sido
modificados.
El firmante genera, mediante una función matemática, una huella
digital del mensaje, la cual se cifra con la clave privada del firmante.
El resultado es lo que se denomina firma digital, que se enviará
adjunta al mensaje original. De esta manera el firmante adjuntará al
documento una marca que es única para dicho documento y que sólo él es
capaz de producir.
Para realizar la verificación del mensaje, en primer término el
receptor generará la huella digital del mensaje recibido, luego
descifrará la firma digital del mensaje utilizando la clave pública del
firmante y obtendrá de esa forma la huella digital del mensaje original;
si ambas huellas digitales coinciden, significa que no hubo alteración y
que el firmante es quien dice serlo.
¿Claves privadas y claves públicas?
En la elaboración de una firma digital y en su correspondiente
verificación se utilizan complejos procedimientos matemáticos basados en
criptografía asimétrica (también llamada criptografía de clave
pública).
En un sistema criptográfico asimétrico, cada usuario posee un par de
claves propio. Estas dos claves, llamadas clave privada y clave pública,
poseen la característica de que si bien están fuertemente relacionadas
entre sí, no es posible calcular la primera a partir de los datos de la
segunda, ni tampoco a partir de los documentos cifrados con la clave
privada.
El sistema opera de tal modo que la información cifrada con una de
las claves sólo puede ser descifrada con la otra. De este modo si un
usuario cifra determinada información con su clave privada, cualquier
persona que conozca su clave pública podrá descifrar la misma.
En consecuencia, si es posible descifrar un mensaje utilizando la
clave pública de una persona, entonces puede afirmarse que el mensaje lo
generó esa persona utilizando su clave privada (probando su autoría).
¿Qué son los certificados digitales?
Los certificados digitales son pequeños documentos digitales que dan
fe de la vinculación entre una clave pública y un individuo o entidad.
De este modo, permiten verificar que una clave pública específica
pertenece, efectivamente, a un individuo determinado. Los certificados
ayudan a prevenir que alguien utilice una clave para hacerse pasar por
otra persona.
En algunos casos, puede ser necesario crear una cadena de
certificados, cada uno certificando el previo, para que las partes
involucradas confíen en la identidad en cuestión.
¿Qué contiene un certificado digital?
En su forma más simple, el certificado contiene una clave pública y
un nombre. Habitualmente, también contiene una fecha de expiración, el
nombre de la Autoridad Certificante que la emitió, un número de serie y
alguna otra información. Pero lo más importante es que el certificado
propiamente dicho está firmado digitalmente por el emisor del mismo.
Su formato está definido por el estándar internacional ITU-T X.509.
De esta forma, puede ser leído o escrito por cualquier aplicación que
cumpla con el mencionado estándar.
¿Qué valor legal tiene la firma digital?
Para la legislación argentina los términos “Firma Digital” y “Firma
Electrónica” no poseen el mismo significado. La diferencia radica en el
valor probatorio atribuido a cada uno de ellos, dado que en el caso de
la “Firma Digital” existe una presunción “iuris tantum” en su favor;
esto significa que si un documento firmado digitalmente es verificado
correctamente, se presume salvo prueba en contrario que proviene del
suscriptor del certificado asociado y que no fue modificado. Por el
contrario, en el caso de la firma electrónica , de ser desconocida por
su titular, corresponde a quien la invoca acreditar su validez.
Por otra parte, para reconocer que un documento ha sido firmado
digitalmente se requiere que el certificado digital del firmante haya
sido emitido por un certificador licenciado (o sea que cuente con la
aprobación del Ente Licenciante ).
Es por esto que, si bien entendemos que en los ambientes técnicos se
emplea habitualmente el término Firma Digital para hacer referencia al
instrumento tecnológico, independientemente de su relevancia jurídica,
solicitamos a todos los proveedores de servicios de certificación,
divulgadores de tecnología, consultores, etc. que empleen la
denominación correcta según sea el caso a fin de no generar confusión
respecto a las características de la firma en cuestión.
La legislación argentina emplea el término “Firma Digital” en
equivalencia al término “Firma Electrónica Avanzada” utilizado por la
Comunidad Europea o “Firma Electrónica” utilizado en otros países como
Brasil o Chile.
¿Qué es una Infraestructura de Firma Digital?
En nuestro país se denomina “Infraestructura de Firma Digital” al
conjunto de leyes, normativa legal complementaria, obligaciones legales,
hardware, software, bases de datos, redes, estándares tecnológicos y
procedimientos de seguridad que permiten que distintas entidades
(individuos u organizaciones) se identifiquen entre sí de manera segura
al realizar transacciones en redes (por ej. Internet).
Realmente esta definición es conocida mundialmente con las siglas PKI
que significan Public Key Infraestructure o Infraestructura de Clave
Pública.
