FIRMA ELECTRÓNICA

-.INTRODUCCIÓN


    El concepto de Seguridad de la información consiste en  proteger la información de cualquier tipo de riesgo o amenaza, lo cual implica describir todos los riesgos y amenazas a que puede verse sometida.En los sistemas informáticos no se trata el concepto de seguridad, sino más bien el de inseguridad o vulnerabilidad, es decir, no se habla de sistemas informáticos seguros sino más bien de que no se conocen tipos de ataque que puedan vulnerarlo.La conclusión que se extrae es que la seguridad no es un valor absoluto, y por tanto solo se puede hablar de mayor o menor seguridad de un sistema informático.Los sistemas de información deben incorporar mecanismos que permitan ofertar unos servicios de seguridad a los usuarios.Las propiedades fundamentales para establecer la seguridad de la información son:

 -Confidencialidad: la información mantiene un carácter privado.Hay dos formas de mantener la confidencialidad; restringir el acceso a los usuarios , o mediante la criptografía, es decir, esconder la información, la cual solo se verá mediante unas claves.

 -Integridad: mantener la información en buen estado.La información no debe modificarse, ni borrarse.Implica fiabilidad del  sistema informático.

 -Disponibilidad: los datos deben de estar disponibles.Es esencial para un sistema abierto.

 -Autenticidad: establecer con seguridad el origen de la información.Es relativamente fácil de proveer, pero no se puede saber con seguridad.

 -No repudio: es la imposibilidad de rechazo.Permite asegurar que cualquier entidad que envía o recibe información no puede alegar ante terceros que no la envió o la recibió.
 

    De las propiedades descritas anteriormente,  la Autenticidad es el objetivo que persigue la firma electrónica.En la comunicación entre dos entidades A y B, puede surgir problemas de seguridad relacionados con la autenticidad, ¿es realmente A quien envía el mensaje?.Problemas de integridad, ¿lo que se recibe es realmente lo que envió A?.Y surgen problemas también de reutilización, ¿lo ha enviado A en este momento u otra entidad ha repetido algo que A envió anteriormente?.Todos estos problemas se intentan resolver con sistemas criptográficos de clave privada y  clave pública.El problema de la autenticidad se resuelve con la firma digital.


 

-.LA FIRMA DIGITAL


    La firma digital es la analogía electrónica de la firma manual.Las características esenciales que cumple una firma manual son las de ser fácil y barata de producir, de reconocer por parte del propietario y otras personas, imposibilidad de rechazo por parte del propietario, y por último la de ser infalsificable, al menos en teoría.Por todo esto una vez firmado un documento, el propietario de la firma no puede negar el haberlo hecho.
    Todas estas características las debe cumplir la firma digital, para poder ser utilizada electrónicamente como una firma manual.Únicamente debe haber una diferencia, y es que la firma digital no puede ser siempre la misma, porque sería fácilmente falsificable, ya que la firma digital consiste básicamente en un conjunto de bits, y si el estado de estos fuera siempre el mismo, se podría falsificar muy fácilmente.La firma digital consiste por tanto en una información secreta que permite asegurar que sólo el propietario puede producir el conjunto de bits de la firma que acompañan a un mensaje dado.

    Para generar la firma digital se emplean sistemas de criptografía de clave pública y clave privada.La clave privada solo la conoce el propietario de la firma.Esta clave sirve para encriptar o cifrar la firma.La clave pública, que es conocida por "todos", sirve para descifrar la firma.Con este método, únicamente el propietario de la firma puede generarla.Acontinuación se explica más detalladamente el sistema de clave púlica y privada:
 

    Tenemos dos entidades A y B.La clave pública de A es Pa y la clave privada Ka.La clave pública de b es Pb, y Kb la clave privada.Si se quiere enviar un mensaje secreto de A a B, se cifra utilizando la siguiente ecuación:

         EPb(m) = c    , donde c es el mensaje(m) cifrado por la clave pública de B, de forma que solo B podrá descifrarlo con su
                              clave privada.Para descifrar el mensaje utilizamos la ecuación:

        DKb(c) = DKb(EPb(m)) = m

    Este proceso de cifrado, se realiza para buscar seguridad en la transmisión de un mensaje, de tal forma que solo el verdadero destinatario pueda leer el mensaje con su clave privada.
    Este proceso de cifrado utilizando clave pública y privada, se puede realizar de otra forma, no para conseguir esta seguridad, sino para conseguir AUTENTICIDAD en el mensaje.La forma de proceder es distinta; la ecuación de cifrado empleada ahora es la siguiente:

        EKa(m) = c  , ahora se cifra con la clave privada de A, de forma que todo el mundo que quiera leer este mensaje, lo
                            puede hacer con la clave pública de A, la cual, como indica su nombre, es pública.¿Que sentido tiene? con
                            esto, se consigue asegurar de que el mensaje ha sido generado por A.Se puede decir que el mensaje a sido
                            firmado por A.La ecuación de descifrado es:

        DPa(c) = DPa(EKa(m)) = m
 

-.Generación de la firma:Función Resumen.

    En la práctica, si se quiere firmar un mensaje, hay que tener en cuenta que éste está formado por una cadena de longitud variable de bits, y la entrada al algoritmo de firma es de longitud fija.Para solucinar esto, el mensaje se tiene que dividir en trozos de longitud constante y firmar cada uno de ellos, enviando la firma como la concatenación de las firmas de cada uno de ellos.Esto supone un problema, ya que no existe ninguna conexión entre los fragmentos firmados y, por tanto, el receptor no puede controlar si se ha recibido todos los fragmentos y si los ha recibido en el orden correcto.Además, se necesita aplicar n veces el algoritmo de firma, lo cual resulta lento y poco eficiente.Por eso, se utiliza otro método que consiste en hacer uso de la llamada función resumen o función hash.Esta función tiene tres propiedades fundamentales que debe cumplir:
    -La entrada de esta función es de tamaño variable, y la salida de tamaño fijo.
    -Cualquier cambio en el mensaje, tiene que producir un cambio enorme en la función hash.
    -Dado un resumen debe ser extremadamente difícil encontrar un texto que fabrique ese resúmen.
Las funciones de resumen en la práctica, son funciones impresionantes.
Algunos tipos de funciones resumen son los propuestos por Rivest y los laboratorios RSA.Estas funciones son conocidas como MD4 y MD5(messega digest 4 y 5).El MD4 fue propuesto por Rivest, y pretendía proporcionar una función mezcla que cumpliera con las tres propiedades anteriores y que a la vez fuera rápida.El amplio interes despertado para su utilización y el no disponer de suficientes pruebas críticas ha movido a los Laboratorios RSA a publicar el MD5 con un diseño algo más lento, pero intentando proporcionar mayor nivel de seguridad.Este último algoritmo, proporciona un resumen de 128 bits en cuatro palabras o registros de 32 bits.
    Estas funciones de resumen, no son funciones para cifrar, son para resumir.¿como y para que se usan?
A la función de resumen la llamaremos H.La ecuación que se manda al receptor es el mensaje acompañado de la firma digital:
 
 EKa(H(m))   m 

                                m es el mensaje, al cual se le aplica la función de resumen, y luego se cifra con la clave privada de A.
A esta primera celda se le llama FIRMA ELÉCTRONICA.El receptor, al recibir el mensaje, le aplica la función de resumen al mensaje, y por otro lado, realiza la operación de descifrado de la firma con la clave pública de A.Si coinciden, el mensaje es auténtico.Sino coinciden, no se puede asegurar que la firma sea auténtica:

                H(m) = DPa(F)    , donde F es la firma electrónica.
 

-.¿Como cifrar y firmar un mensaje?
    Primeo se hece una cosa y luego la otra.Se puede cifrar y luego firmar el mensaje, o firmar y luego cifrar.Lo mejor (=lo más seguro) es realizar primero la firma y luego hacer el cifrado del mensaje.Estas operaciones consisten en:

            EPb(EKa(m)) = c         Mensaje m firmado y cifrado.

            DPa(DKb(c)) = m        Para obtener m, primero se descifra el mensaje con la clave privada de B, luego se comprueba
                                               la autencicidad.

En la práctica se utiliza una clave de sesión, con la que se cifra el mensaje firmado, y luego, esta clave, se cifra con la clave pública de B.

 mensaje firmado: M
  EKa(H(m))  m 

    firmado y cifrado
  Es(M)   EPb(s)

-.¿Como sabe B la clave pública de A, y viceversa?

    Hay dos formas; mediante el contacto directo entre A y B, lo cual supone un problema si uno es de Borriol y el otro es de Tokio.O la otra forma es mediante la confianza, y la mejor forma de establecer esta confianza es mediante un notario, que en Internet se traduce como Autoridad Certificadora.Estas Autoridades Certificadoras son las que se encargan de otorgar los Certificados a los usuarios.¿Que es un Certificado?.Un Certificado es una estructura que contiene una serie de datos; el DN es una estructura formada por una serie de campos(Comon.Name, Organización, Pais, Localidad,...), la cual se puede definir para el Subject y para el emisor.Además del DN, en el certificado aparece la clave pública del Subject, un campo Version, un nº de serie, la fecha de validación del certificado, la firma del emisor, el algoritmo empleado para el cifrado de los datos, ...

    En la práctica no se utiliza una clave privada y una clave pública, sino que tendremos la clave privada y un certificado, donde aparecerá la clave pública.

¿Que es un Autocertificado? es un Certificado firmado por la propia Autoridad Certificadora.

-.Punto débil de la clave pública: el púnto débil es obtener de forma segura los Certificados de la Autoridad Certificadora.
Para pedir un Certificado lo primero es establecer nuestros datos personales.Luego hay que decidirse por una tecnología de clave pública, normalmente RSA.Generar el par de llaves.¿Quién las genera?El standar dice que las genere el usuario.Pero la ley dice que generar la clave privada es un derecho del usuario, pero el usuario puede pedir que se la cree la Autoridad Certificadora.Entonces después de tener las llaves, el usuario realiza una petición de Certificado(CR).La Autoridad Certificadora tiene varios Autocertificados o Certificados raiz, y entrega uno u otro al usuario dependiendo de la seriedad del asunto.Digamos que hay Certificados de varias clases, dependiendo de la seguridad que se quiera obtener en el Certificado.Este Certificado, si se lo entrega al usuario, la Autoridad los puede publicar en Internet, porque los Certificados son públicos.
 

    Por último resaltar el objetivo de la firma electrónica, la Autenticidad.Este objetivo es especialmente importante, para solucionar una de las amenazas que afectan a la seguridad en las comunicaciones.Esta amenaza es conocida como el Spoofing, que consiste en la suplantación de la identidad en una comunicación.La manera de solucionar este problema es mediante el uso de la firma electrónica en la comunicación.
 

A continuación se mustra una información extraída del libro "Criptología y seguridad de la Información" en el cual se menciona y se critica el primer Decreto-Ley respecto de la firma electrónica.Seguramente es un poco rollo, pero tiene cosas interesantes relacionadas con la asignatura.

-.Introducción
    El 18 de septiembre de 1999 se publica en el Boletín Oficial del Estado el Real Decreto-Ley 14/1999 sobre firma electrónica aprobado por el Consejo de Ministros.Es la primera regulación general de la firma electrónica en el ordenamiento español.La finalidad del Real Decreto-Ley es la regulación del uso de la firma electrónica, el reconocimiento de su eficacia jurídica y la prestación al público de servicios de certificación.Todo ello con el objetivo de fomentar su uso y otorgar seguridad y confianza a estas nuevas técnicas a través del establecimiento de un marco jurídico adecuado.Esta regulación es de aplicación a los prestadores de servicios establecidos en España.Dicha regulación no se aplica a todo prestador de servicios sino únicamente a aquellos que se dediquen a la prestación al público de servicios de certificación.Por tanto, cabe entender que no se considera necesaria tal regulación en el caso de prestadores de servicios que actúen en comunidades cerradas, lo que genera la cuestión, de determinar cuándo se actúa para el público en general y cuando se hace sólo para comunidades cerradas.
-.Firma electrónica
    El Real Decreto-Ley 14/1999 estable el concepto de firma electrónica como el conjunto de datos, en forma electrónica, anexos a otros datos electrónicos o asociados funcionalmente con ellos, utilizados como medio para identificar formalmente el autor o los autores del documento que la recoge.Este concepto de firma tan amplio y tecnológicamente indefinido, y de tan escasa seguridad plantea la cuestión de su valor probatorio a efectos de autenticació.Por ello esto concepto de firma va seguido de un nuevo concepto de firma electrónica avanzada, definido como la firma electrónica que permite la identificación del signatario y ha sido creada por medios que éste mantiene bajo su exclusivo control, de manera que está vinculada únicamente al mismo y a los datos los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de estos.Se trata por tanto de una firma que debe cumplir una serie de requisitos que se considera que añaden calidad a la firma electrónica, que es así una firma más segura.
Una clase particular de firma electrónica que podría ofrecer seguridad es la de las firmas digitales.Estas firmas son tecnológicamente específicas, pues se crean usando un sistema de criptografía asimétrica o de clave pública.
En definitiva, con el establecimiento de estos dos conceptos de firma electrónica, se establece la diferencia entre firmas de mayor o menor calidad.En un artículo del Real Decreto-Ley  dedicado a los efectos jurídicos de la firma electrónica equipara a la firma manuscrita únicamente con la firma electrónica avanzada.
    Datos de creación y verificación de firma: los elementos que permiten la creación de una firma electrónica son los los datos únicos, como códigos o claves criptográficas privadas, que el signatario utiliza para crear la firma electrónica.Y los datos de verificación de firma son los datos, como códigos o claves criptográficas públicas, que se utilizan para verificar la firma electrónica.Se está haciendo referencia al par de claves pública y privada en las que se basa la firma digital.Esto nos lleva al tema de la generación, ya no de la firma, sino de las claves de firma, y especialmente al problema de la generación de claves no fiables.Sea cual sea el sistema de generación (central, por la propia entidad certificadora; o local, por el usuario), es esencial que las claves sean únicas y estén a prueba de manipulaciones.En otro caso, la firma digital no podría utilizarse de forma segura en las relaciones comerciales y jurídicas.
    Dispositivos de creación y de verificación de firma.El Real Decreto establece los conceptos de dispositivo de creación y verificación de firma, definidos, de forma respectiva como un programa o un aparato informático que sirve para aplicar los datos de creación de firma y un programa o un aparato informático que sirve para aplicar los datos de verificación de firma.Por tanto, se trataría, respectivamente, de aquellos elementos informáticos que permiten la aplicación de la clave privada sobre un mensaje electrónico por parte de su autor y remitente para la creación de una firma electrónica y la aplicación de la clave pública por parte del destinatario para la verificación de ese mensaje firmado.
-.Certificados
    El Real Decreto español define el certificado, de forma general, como aquella certificación electrónica que vincula unos datos de verificación de firma a un signatario y confirma su identidad.Se señala así la función básica de los certificados, y el elemento clave de tal función: la comprobación de la identidad del firmante, que plantea la cuestión de la responsabilidad del prestador en caso de emisión de certificados inexactos.Junto a este concepto, se establece un concepto más específico, el de certificado reconocido que ha de cumplir una serie de requisitos, que se verán más tarde, que se presume le darán un mayor valor.De esta forma se establecen dos categorías de certificados: un certificado ordinario y un certificado reconocido que cumple unos requisitos superiores y al que también se reconoce un valor y eficacia superior.
-.Prestación de servicios de certificación
    El Real Decreto español define a los prestadores de servicios de certificación como las personas físicas o jurídicas que expiden certificados, pudiendo prestar, además, otros servicios en relación con la firma electrónica.Estos servicios opcionales pueden ser revocación y suspensión en caso de pérdida de la clave privada u otro elemento de firma, y también generación de claves, y en particular, copia o almacenamiento de las mismas, y también el servicio de sellado temporal, necesario para la seguridad del sistema de certificados en particular o del comercio electrónico en general.
    Con respecto a la cuestión de la naturaleza y constitución de entidades certificadoras, el legislador español establece el principio de libre competencia en la prestación de servicios de certificación, sin que el ejercicio de esta actividad quede reservado a determinadas entidades y sin necesidad de obtención de licencia o autorización previa.No obstante, se establece también la existencia de posibles sistemas de acreditación de prestadores de servicios de certificación que, en tanto que voluntarios, son compatibles con el principio de libre constitución; la obtención de esta acreditación implica efectos positivos; por ejemplo, se ven favorecidas aquellas firmas electrónicas avanzadas basadas en un certificado reconocido expedido por un prestador de servicios de certificación acreditado.El Real Decreto crea de forma novedosa un Registro de Prestadores de Servicios de Certificación.
    Todo proveedor de servicios de certificación, para ser considerado una tercera parte de confianza, debería cumplir una serie de requisitos fundamentales, así como otros requisitos posteriores de funcionamiento que generen una confianza y seguridad en su organización y actividades.Requisitos establecidos por el Real Decreto: comprobación de identidad y de otros datos personales, respecto de la que no se exige expresamente la personación física del solicitante, lo que puede dar lugar a certificados imaginados que no cumplen su verdadera función: puesta a disposición de los dispositivos de creación y de verificación de firma; prohibición de copia o almacenamiento de datos de creación de firma, salvo autorización del titular; información previa a la emisión del certificado sobre una serie de aspectos; mantenimiento de un registro de certificados, en el que se publicarán los certificados revocados; comunicación en caso de cese de actividad a los titulares de los certificados por ellos emitidos y al Registro de Prestadores de Servicios del Ministerio de Justicia; solicitud de inscripción en dicho Registro; cumplimiento del Real Decreto y normas de desarrollo.
Junto a estos requisitos generales, se establecen unos requisitos específicos para aquellos prestadores que expiden certificados reconocidos; obligación de indicar la fecha y la hora en las que se expidió o se dejó sin efecto un certificado; no existe sin embargo tal exigencia respecto del momento en que se firma electrónicamente el mensaje que se quiere verificar, con lo que pueden existir problemas a la hora de valorar la validez y eficacia de un mensaje firmado electrónicamente; requisitos técnicos y personal; requisitos económicos.
El cumplimiento de estas exigencias corresponde al Ministerio de Fomento a través de la Secretaría General de Comunicaciones, y su incumplimiento da lugar a una sanción, que además de una multa, puede conllevar la prohibición de actuación en España por un máximo de dos años.
-.Efectos legales de la firma electrónica
El Real Decreto persigue establecer una regulación clara del uso de la firma electrónica, atribuyéndole eficacia jurídica.
1.-La firma digital consigue iguales, si no superiores efectos, que los de la firma manuscrita, pues puede proporcionar integridad, autenticidad, y, en definitiva, no rechazo de origen.Por ello, el Real Decreto realiza un reconocimiento  de los efectos de la misma equiparándola a la firma manuscrita.requisitos a cumplir: debe tratarse de una firma electrónica avanzada; dicha firma ha de estar basada en un certificado reconocido; además, la firma ha de haber sido producida por un dispositivo seguro de creación de firma.El problema es la demostración de la existencia de estos requisitos establecidos en el Real  Decreto, llegando a ser imposible su demostración ante un juez.
2.-Para evitar estas dificultades, el Real Decreto dispone que se presumirá que la firma electrónica avanzada reúne las condiciones necesarias para producir los efectos indicados en este apartado, cuando el certificado reconocido en que se base haya sido expedido por un prestador de servicios de certificación acreditado y el dispositivo seguro de creación de firma con el que ésta se produzca se encuentre certificado, con arreglo a lo establecido.Pero en un juicio, el juez, podrá dar plena eficacia jurídica a la firma o negársela, porque, por ejemplo, el mensaje fue firmado con posterioridad a la extinción del certificado, supuesto especialmente problemático puesto que el Real Decreto sólo exige prueba del tiempo respecto de la emisión y revocación del certificado, peor no respecto del momento que se firma electrónicamente un mensaje, circunstancia que podría utilizarse tanto por el emisor como por el receptor si uno u otro tuviera interés en negar validez del mensaje, de ahí la conveniencia de sellar temporalmente aquellos mensajes especialmente relevantes si se quieren evitar problemas en caso de litigio.
3.-Se considera la presentación de un documento electrónico, firmado digitalmente, como medio de prueba de la celebración de un contrato o de la existencia de una declaración por medios electrónicos.Esta declaración abre las puertas en el ordenamiento español, pero también puede cerrarlas, ya que las firmas electrónicas deben cumplir determinadas exigencias.Y tales exigencias podrían venir a disminuir, si no negar, la eficacia legal de firmas electrónicas en las que faltara algún requisito.Para evitar este posible estado restrictivo y excluyente, se establece en el mismo artículo que a la firma electrónica que no reúna todos los requisitos previstos en el apartado anterior, no se le negarán efectos jurídicos ni será excluida como prueba en juicio, por el mero hecho de presentarse en forma electrónica.¿Qué significado y alcance tiene esta cláusula de salvaguarda de estas firmas reconocidas?Porque si no se les puede negar eficacia, ¿acaso significa que tienen la misma eficacia que las que cumplen tales requisitos?¿Cual es, entonces la diferencia entre una firma que cumple los requisitos establecidos y una que no los cumple?.
-.Conclusiones
    Puede concluirse que el Real Decreto no cumple, al menos a la fecha del Real Decreto-Ley 14/1999, su objetivo de regular y dar seguridad al tema de la validez de los efectos jurídicos de la firma electrónica.Pues, para que sea admitida como medio de prueba, se exigen una serie de requisitos que requerían de numerosas y difíciles pruebas periciales.Y, aun cuando es cierto que, de forma adecuada, el legislador español establece una presunción que elimina buena parte de esas dificultades probatorias, no es menos cierto tampoco que tal presunción no se puede aplicar, de momento, pues los elementos en que se basa están pendientes de regulación y desarrollo no sólo por las autoridades nacionales sino incluso también por las comunitarias.Y esta necesidad de desarrollo ulterior afecta, a otras muchas cuestiones contempladas en el Real Decreto.


 

Las siguientes páginas muestran información sobre la firma electrónica; la primera de ellas es muy completa.

<http://publicaciones.derecho.org/redi/No._17_-_Diciembre_de_1999/8>(completa)
<http://www.setsi.mcyt.es/legisla/internet.htm>(Ley Orgánica de la firma)
<http://www.mcyt.es/infoindustrias/Legislacion/RD14_99.htm> (Real-Decreto sobre la firma)
<http://www.mju.es/guia_f_elect.htm> (Uso y Eficacia de la firma)