La firma digital (II). Los certificados digitales de firma

protecciondatos11

Hemos visto en otro artículo de este blog que la firma digital se genera mediante la utilización de un par de claves de cifrado (pública y privada), que se utilizan para cifrar y descifrar los mensajes. A diferencia de la firma autógrafa, que es de libre creación por cada individuo y no necesita ser autorizada por nadie ni registrada en ninguna parte para ser utilizada, la firma digital, y más concretamente el par de claves que se utilizan para firmar digitalmente los mensajes, no pueden ser creados libremente por cada individuo.

¿Dónde puede obtener una persona el par de claves?

En principio, cualquier persona puede dirigirse a una empresa informática que cuente con los dispositivos necesarios para generar el par de claves y solicitar la creación de dicho par de claves. Posteriormente, con el par de claves creado para una persona determinada, ésta se dirigiría a un Prestador de Servicios de Certificación para obtener el certificado digital correspondiente a ese par de claves.

Sin embargo, en la práctica los Prestadores de Servicios de Certificación cumplen ambas funciones: crean el par de claves (pública y privada) para una persona y expiden el certificado digital correspondiente a ese par de claves.

¿Qué son los certificados digitales?

La utilización del par de claves (privada y pública) para cifrar y descifrar los mensajes permite tener la certeza de que el mensaje que B recibe de A y que descifra con la clave pública de A, no ha sido alterado y proviene necesariamente de A. Pero ¿quién es A?.

Para responder de la identidad de A (emisor) es necesario la intervención de un tercero, que son los llamados Prestadores de Servicios de Certificación, cuya misión es la de emitir los llamados certificados digitales o certificados de clave pública.

Un certificado digital es un archivo electrónico que tiene un tamaño máximo de 2 Kilobytes y que contiene los datos de identificación personal de A (emisor de los mensajes), la clave pública de A y la firma privada del propio Prestador de Servicios de Certificación. Ese archivo electrónico es cifrado por la entidad Prestadora de Servicios de Certificación con la clave privada de ésta.

Los certificados digitales tienen una duración determinada, transcurrida la cual deben ser renovados, y pueden ser revocados anticipadamente en ciertos supuestos (por ejemplo, en el caso de que la clave privada, que debe permanecer secreta, haya pasado a ser conocida por terceras personas no autorizadas para usarla).

Gracias al certificado digital, el par de claves obtenido por una persona estará siempre vinculado a una determinada identidad personal, y si sabemos que el mensaje ha sido cifrado con la clave privada de esa persona, sabremos también quién es la persona titular de esa clave privada.

Firma6

En resumen, ¿cómo obtengo el dispositivo para firmar digitalmente un mensaje?

El proceso de obtención de los elementos que necesito para firmar digitalmente mensajes (par de claves y certificado digital) es el siguiente:

1º).- Me dirijo a una empresa o entidad que tenga el carácter de Prestador de Servicios de Certificación y solicito de ellos el par de claves y el certificado digital correspondiente a las mismas. Generalmente, podré acudir a dicha entidad bien personalmente o por medio de internet utilizando la página web del Prestador de Servicios de Certificación.

2º).- El prestador de Servicios de Certificación comprobará mi identidad, bien directamente o por medio de entidades colaboradoras (Autoridades Locales de Registro), para lo cual deberé exhibirle mi D.N.I. y si soy el representante de una sociedad (administrador, apoderado, etc.) o de cualquier otra persona jurídica, deberé acreditar documentalmente mi cargo y mis facultades.

3º).- El prestador de Servicios de Certificación crea con los dispositivos técnicos adecuados el par de claves pública y privada y genera el certificado digital correspondiente a esas claves.

4º).- El prestador de Servicios de Certificación me entrega una tarjeta semejante a una tarjeta de crédito que tiene una banda magnética en la que están gravados tanto el par de claves como el certificado digital. El acceso al par de claves y al certificado digital gravados en la tarjeta está protegido mediante una clave como las que se utilizan en las tarjetas de crédito o en las tarjetas de cajero automático. En otras ocasiones, en lugar de la tarjeta el Prestador de Servicios de Certificación deja almacenado el certificado digital en su propia página web, a fin de que el destinatario copie el archivo y lo instale en su ordenador.

5º).- Con esa tarjeta magnética y un lector de bandas magnéticas adecuado conectado a mi ordenador personal, podré leer y utilizar la información gravada en la tarjeta para firmar digitalmente los mensajes electrónicos que envíe a otras personas.

Firma5

La firma digital de un mensaje

El proceso de firma digital de un mensaje electrónico comprende en realidad dos procesos sucesivos: la firma del mensaje por el emisor del mismo y la verificación de la firma por el receptor del mensaje. Esos dos procesos tienen lugar de la manera que se expresa a continuación, en la que el emisor del mensaje es designado como Angel y el receptor del mensaje es designado como Blanca:

A).- Firma digital de un mensaje electrónico por el emisor.

1º.- Angel (emisor) crea o redacta un mensaje electrónico determinado (por ejemplo, una propuesta comercial).

2º.- El emisor (Angel) aplica a ese mensaje electrónico una función hash (algoritmo), mediante la cual obtiene un resumen de ese mensaje.

3º.- El emisor (Angel) cifra ese mensaje-resumen utilizando su clave privada.

Firma3

4º.- Angel envía a Blanca (receptor) un correo electrónico que contiene los siguientes elementos:

  • El cuerpo del mensaje, que es el mensaje en claro (es decir, sin cifrar). Si se desea mantener la confidencialidad del mensaje, éste se cifra también pero utilizando la clave pública de Blanca (receptor).
  • La firma del mensaje, que a su vez se compone de dos elementos:  a) El hash o mensaje-resumen cifrado con la clave privada de Angel. b) El certificado digital de Angel, que contiene sus datos personales y su clave pública, y que está cifrado con la clave privada del Prestador de Servicios de Certificación.

Firma2

B).- Verificación por el receptor de la firma digital del mensaje.

1º.- Blanca (receptor) recibe el correo electrónico que contiene todos los elementos mencionados anteriormente.

2º.- Blanca en primer lugar descifra el certificado digital de Angel, incluido en el correo electrónico, utilizando para ello la clave pública del Prestador de Servicios de Certificación que ha expedido dicho certificado. Esa clave pública la tomará Blanca, por ejemplo, de la página web del Prestador de Servicios de Certificación en la que existirá depositada dicha clave pública a disposición de todos los interesados.

3º.- Una vez descifrado el certificado, Blanca podrá acceder a la clave pública de Angel, que era uno de los elementos contenidos en dicho certificado. Además podrá saber a quién corresponde dicha clave pública, dado que los datos personales del titular de la clave (Angel) constan también en el certificado.

4º.- Blanca utilizará la clave pública del emisor (Angel) obtenida del certificado digital para descifrar el hash o mensaje-resumen creado por Angel.

5º.- Blanca aplicará al cuerpo del mensaje, que aparece en claro o no cifrado, que también figura en el correo electrónico recibido, la misma función hash que utilizó Angel con anterioridad, obteniendo igualmente Blanca un mensaje-resumen. Si el cuerpo del mensaje también ha sido cifrado para garantizar la confidencialidad del mismo, previamente Blanca deberá descifrarlo utilizando para ello su propia clave privada (recordemos que el cuerpo del mensaje había sido cifrado con la clave pública de Blanca)

6º.- Blanca comparará el mensaje-resumen o hash recibido de Angel con el mensaje-resumen o hash obtenido por ellal misma. Si ambos mensajes-resumen o hash coinciden totalmente significa lo siguiente:

  • El mensaje no ha sufrido alteración durante su transmisión, es decir, es íntegro o auténtico.
  • El mensaje-resumen descifrado por Blanca con la clave pública de Angel ha sido necesariamente cifrado con la clave privada de Angel y, por tanto, proviene necesariamente de Angel.
  • Como el certificado digital nos dice quién es Angel, podemos concluir que el mensaje ha sido firmado digitalmente por Angel, siendo Angel una persona con identidad determinada y conocida.

Por el contrario, si los mensajes-resumen no coinciden quiere decir que el mensaje ha sido alterado por un tercero durante el proceso de transmisión, y si el mensaje-resumen descifrado por Blanca es ininteligible quiere decir que no ha sido cifrado con la clave privada de Angel. En resumen, que el mensaje no es auténtico o que el mensaje no ha sido firmado por Angel sino por otra persona.

Firma4

Finalmente, hay que tener en cuenta que las distintas fases del proceso de firma y verificación de una firma digital que han sido descritas no se producen de manera manual sino automática e instantánea, por el simple hecho de introducir la correspondiente tarjeta magnética en el lector de tarjetas de nuestro ordenador y activar el procedimiento.

José Antonio Hebrero Hernández
Notario de Irún
Anuncios


Categorías:Nuevas Tecnologías

Etiquetas:,

A %d blogueros les gusta esto: