|
COMO
APLICAR LA NUEVA NORMATIVA SOBRE LA FIRMA ELECTRONICA.
-
Primera Parte -
El gran intercambio
electrónico de información que en la actualidad se esta
produciendo gracias al avance de las Nuevas Tecnologías, constituye
una poderosa herramienta que está destinada a producir enormes
cambios en las relaciones sociales y económicas. La educación,
la cultura, el comercio, el trabajo etc. son campos de nuestra vida que
están ampliamente influenciados por el flujo de la información,
es por tanto imprescindible dotar de una infraestructura que garantice
un trafico jurídico mercantil seguro.
En este sentido estamos
experimentando en la actual sociedad de la información un profundo
cambio que nos lleva hacia el ocaso de la civilización del papel,
de la firma manuscrita y por consiguiente del monopolio de la escritura
en la realidad documental. Esta revolución se esta produciendo
en parte con la nueva entrada en vigor del Real Decreto Ley 14/1999 de
17 de septiembre sobre Firma Electrónica (en adelante RDL).
A través de
este RDL se persigue establecer una regulación clara de la Firma
Electrónica, que le otorgue igual eficacia jurídica que
la firma manuscrita. Para la consecución de este objetivo es requisito
sine qua non la intervención en el proceso de las terceras partes
de confianza o Thrusted Third Parties (TTP). Por tanto es contenido obligado
de la Ley establecer un régimen jurídico aplicable a las
TTP o a los prestadores de servicios de certificación.
Con la llega del EDI
(Electronic Data Interchange) en los años ochenta, se introduce
la necesidad de que una tercera parte intervenga en las relaciones comerciales
entre empresas. La función de esta tercera parte es dar fe de que
las transacciones electrónicas de datos se han producido.
La extensión
de la informática y la expansión de las redes de ámbito
mundial, ha hecho incrementar los peligros para la información
que circula y se almacenada en los sistemas informáticos. Por ello
la Sociedad de la Información ha realizado un esfuerzo considerable
para garantizar la seguridad de dichas redes telemáticas.
En este sentido se
han aportado una serie de soluciones, propuestas por los organismos de
normalización, para evitar los posibles ataques y operaciones ilegales
a los que pueden estar sometidas las redes telemáticas. Estas soluciones
consisten en dotar a las redes telemáticas de una serie de servicios
de seguridad que utilizan en su mayoría técnicas criptográficas
como herramienta básica. La encriptación podemos decir que
está basada en dos componentes: un algoritmo y una clave. Actualmente
se han podido desencriptar algoritmos de 40 bits en no mucho tiempo, siendo
por tanto imprescindible para una comunicación segura la utilización
de un algoritmo que admita una clave de 128 bits, dichos algoritmos son
muchísimo más seguros pero también más lentos,
por ello hay que encontrar un termino medio en la aplicación de
dichos mecanismos de seguridad.
Hay dos tipos de encriptación,
la encriptación simétrica que obliga a los dos interlocutores
(emisor y receptor) del mensaje a utilizar la misma clave para encriptar
y desencriptar el mismo (como por ejemplo el criptosistema "DES" desarrollado
por IBM, Data Encryption Standard), y la encriptación asimétrica
o criptografía de claves públicas la cual está basada
en el concepto de pares de claves, de forma tal que cada uno de los elementos
del par (una clave) puede encriptar información que solo la otra
componente del par (la otra clave) puede desencriptar. El par de claves
se asocia con un sólo interlocutor, así un componete del
par (la clave privada) solamente es conocida por su propietario mientras
que la otra parte del par (la clave pública) se publica ampliamente
para que todos la conozcan (en este caso destaca el famoso criptosistema
RSA cuyas iniciales son las de sus creeadores Rivest, Shamir y Adelman).
Según el documento
de la ISO (International Standard Organization) que describe el modelo
de referencia OSI, presenta en su parte 2 una Arquitectura de seguridad.
("Information Processing Sistems. OSI Reference model- Part 2: Security
Architecture". ISO/IEC IS 7498-2, Jul. 1988). Según esta arquitectura
de seguridad para proteger las comunicaciones de los usuarios en las redes,
es necesario dotar a las mismas de los siguientes servicios de seguridad:
Autenticación
de entidad.
Control de acceso.
Confidencialidad de los datos.
No repudio.
Para proporcionar
estos servicios de seguridad es necesario incorporar en los niveles apropiados
del modelo de referencia OSI los siguientes mecanismos de seguridad:
Cifrado. Utilizando
sistemas criptográficos simétricos o asimétricos.
Control de acceso. Mecanismo que se utiliza para autenticar las
capacidades de una entidad, con el fin de asegurar los derechos de acceso
a recursos que posee..
Firma digital. Supone el cifrado con una componente secreta del
firmante, de la unidad de datos. La firma digital descrita por la OSI
utiliza un esquema criptográfico asimétrico. La firma se
obtiene a través de una cadena que contiene el resultado de cifrar
con RSA, aplicando la clave privada del firmante, a una versión
comprimida del texto a firmar. Para verificar la firma, el receptor descifra
la firma con la clave pública del emisor, luego comprime el texto
original recibido con igual función que el emisor y compara el
resultado de la parte descifrada con la parte comprimida, si ambas coinciden
el emisor tiene la garantía de que el texto no ha sido modificado.
A través de este mecanismo se pueden garantizar casi todos los
servicios de seguridad determinados por la ISO.
Pero aquí no
acaban los problemas ya que en todos estos procedimientos de encriptación
asimétrica existe un punto débil. Supongamos por ejemplo,
que un usuario A quiere enviar un mensaje cifrado a otro usuario B. En
una comunicación anterior un tercer usuario C, ha conseguido engañar
a A y le ha hecho creer que la clave pública de B es una que él
le ha proporcionado. Cuando A envíe su mensaje cifrado con la clave
pública , C podrá interceptarlo y descifrarlo. El problema
se resuelve gracias a un intermediario cuya clave pública es conocida
por todos los interesados y en el cual todos confían. Cuando alguien
necesita de una clave de otro usuario se la solicita al intermediario,
que la envía en un mensaje firmado lo que garantiza la validez
de la clave. En Internet estos intermediarios serán unos programas
ejecutandose en unos ordenadores, los cuales son denominados servidores
de claves o Autoridades de Certificatión.
¿Que
es una firma digital?
Un firma digital, es un bloque de caracteres que acompaña a un
documento (o fichero) acreditando quién es su autor (autenticación)
y que no ha existido ninguna manipulación posterior de los datos
(integridad). Para firmar un documento digital, su autor utiliza
su propia clave secreta (sistema criptográfico asimétrica),
a la que sólo el tiene acceso, lo que impide que pueda después
negar su autoría (no revocación o no repudio). De
esta forma, el autor queda vinculado al documento de la firma. Por último
la validez de dicha firma podrá ser comprobada por cualquier persona
que disponga de la clave pública del autor.
¿Como
se realiza una firma digital?.
El software del firmante aplica un algoritmo hash sobre el texto a firmar,
obteniendo un estracto de longitud fija, y absolutamente específico
para ese mensaje. Un mínimo cambio en el mensaje produciría
un extracto completamente diferente, y por tanto no correspondería
con el que originalmente firmó el autor. Los algoritmos hash más
utilizados son el MD5 ó SHA-1. El extracto conseguido, cuya longitud
oscila entre 128 y 160 bits (según el algoritmo utlilizado), se
somete a continuación a cifrado mediante la clave secreta del autor.
El algoritmo más utilizado en este procedimiento de encriptación
asimétrica es el RSA. De esta forma obtenemos un extracto final
cifrado con la clave privada del autor el cual se añadirá
al final del texto o mensaje para que se pueda verificar la autoría
e integridad del documento por aquella persona interesada que disponga
de la clave pública del autor.
¿Como
se comprueba la validez de la firma digital?
Como he comentado antes es necesario la clave pública del autor
para poder verificar la validez del documento o fichero. El procedimiento
sería el siguiente: el software del receptor previa introducción
en el mismo de la clave pública del remitente (obtenida a través
de una autoridad de certificación), descifraría el extracto
cifrado del autor, a continuación calcularía el extracto
hash que le correspondería al texto del mensaje, y si el resultado
coincide con el extracto anteriormente descifrado se consideraría
válida, en caso contrarío significaría que el documento
ha sufrido una modificación posterior y por tanto no es válido.
Hasta este momento
hemos conseguido la autenticación del documento, su integridad
y la imposibilidad de repudio del mismo por parte del autor. Através
de otros mecanismos como por ejemplo los que utiliza el SET (Secure Electronic
Transfer protocol) se conseguiría obtener los servicios de seguridad
que la ISO destaca como primordiales para la seguridad en las redes telemáticas.
Sin embargo existe un punto débil que ya he destacado anteriormente.
Si todos estos medios de seguridad están utilizando el procedimiento
de encriptación asimétrico, habrá que garantizar
tanto al emisor como al receptor la autenticación de las partes,
es decir que estas son quienes dicen ser, y sólo a través
de autoridad de certificación (CA Certification Authority) podrá
corregirse dicho error, certificando e identificando a una persona con
una determinada clave pública. Estas autoridades emiten certificados
de claves públicas de los usuarios firmando con su clave secreta
un documento , valido por un período determinado de tiempo, que
asocia el nombre distintivo de un usuario con su clave pública.
¿Que
es una Autoridad de Certificación?
Es esa tercera parte fiable que acredita la ligazón entre una determinada
clave y su propietario real. Actuaría como una especie de notario
electrónico que extiende un certificado de claves el cual está
firmado con su propia clave, para así garantizar la autenticidad
de dicha información. Sin embargo ¿quién autoriza
a dicha autoridad?, es decir, ¿como sé que la autoridad
es quién dice ser?, ¿deberá existir una autoridad
en la cuspide de la piramide de autoridades certificadoras que posibilite
la autenticación de las demás?.
Para evitar que se
falsifiquen los certificados, la clave pública de la CA debe ser
fiable: una CA debe publicar su clave pública o proporcionar un
certificado de una autoridad mayor que certifique la validez de su clave.
Esta solución da origen a diferentes niveles o jerarquías
de CAs.
En cuanto a los Certificados,
son registros electrónicos que atestiguan que una clave pública
pertenece a determinado individuo o entidad. Permiten verificar que una
clave pública pertenece a una determinada persona. Los certificados
intentan evitar que alguien utilice una clave falsa haciéndose
pasar por otro.
Contienen una clave
pública y un nombre, la fecha de vencimiento de la clave, el nombre
de la autoridad certificante, el número de serie del certificado
y la firma digital del que otorga el certificado. Los certificados se
inscriben en un Registro (repository), considerado como una base de datos
a la que el público puede acceder directamente en línea
(on-line) para conocer acerca de la validez de los mismos. Los usuarios
o firmantes son aquellas personas que detentan la clave privada que corresponde
a la clave pública identificada en el certificado. Por lo tanto,
la principal función del certificado es identificar el par de claves
con el usuario o firmante, de forma tal que quien pretende verificar una
firma digital con la clave pública que surge de un certificado
tenga la seguridad que la correspondiente clave privada es detentada por
el firmante.
La Autoridad Certificante
puede emitir distintos tipos de certificados:
1.Certificados de
identificación: identifican y conectan un nombre a una clave pública.
2.Certificados de
autorización: ofrecen otro tipo de información correspondiente
al usuario, como por ejemplo la dirección comercial, antecedentes,
catálogos de productos, etc.
3. Otros certificados
colocan a la Autoridad Certificante en el rol de notario, pudiendo ser
utilizados para dar fe de la validez de un determinado hecho o que un
hecho efectivamente ha ocurrido.
4. Otros certificados
permiten determinar día y hora en que el documento fue digitalmente
firmado (Digital time-stamp certificates).
El interesado en operar
dentro del esquema establecido por la ley, deberá, una vez creado
el par de claves, presentarse ante la autoridad certificante (o funcionario
que ella determine) a efectos de registrar su clave pública, acreditando
su identidad o cualquier otra circunstancia que le sea requerida para
obtener el certificado que le permita 'firmar' el documento de que se
trate. Por ejemplo, para realizar una operación financiera de importancia
con un banco, éste puede requerir al interesado un certificado
del que surja, además de la constatación de su identidad,
el análisis de sus antecedentes criminales o financieros. Esto
quiere decir que la firma digital del interesado sólo será
aceptada por la otra parte si cuenta con el certificado apropiado para
la operación a realizar.
Los Repository o Registros
son la base de datos a la que el público puede acceder on-line
para conocer la validez de los certificados, su vigencia o cualquier otra
circunstancia que se relacione con los mismos. Dicha base de datos debe
incluir, entre otras cosas, los certificados publicados en el repositorio,
las notificaciones de certificados suspendidos o revocados publicadas
por las autoridades certificantes acreditadas y los archivos de autoridades
certificantes autorizadas y todo otro requisito exigido por la Ley. Para
ser reconocido, el repositorio debe operar bajo la dirección de
una autoridad certificante acreditada.
Es por tanto objeto
de esta ley el regularizar la actividad de dichas autoridades o proveedores
de servicios de certificación. Con ello se consigue regularizar
en España la actividad que desde hace unos meses viene siendo desarrollada
por estos organismos.
A parte de llenar
este vacío legal este RDL nos proporciona una mayor seguridad en
las comunicaciones on line y remueve los obstáculos en el comercio
electrónico transfronterizo, a través de la homologación
de certificados. Con la Firma Electrónica se permite asegurar la
identidad electrónica tanto de la persona física como de
la jurídica. Aporta un marco legal idoneo para las relaciones entre
el consumidor, la empresa y la administración. De esta forma se
establece el punto de partida para el desarrollo del Comercio Electrónico.
Analizando la Ley
por encima vemos que tiene por objeto regular el uso de la Firma Electrónica,
el reconocimiento de su eficacia jurídica, así como regularizar
a las autoridades u organísmos en la actividad de servicios de
certificación. Para ello, define el concepto de Firma Electrónica,
establece sus efectos jurídicos y regulariza la situación
legal de los prestadores de dichos servicios de certificación.
En
el próximo número veremos los puntos a tener en cuenta en
la aplicación de la ley en la Firma Electrónica
|
