LA FIRMA ELECTRONICA - Ciberseguridad GITS Informática
Anuncio
www.GitsInformatica.com Seguridad Informática – Firma electrónica. Pág. 1 de 11 LA FIRMA ELECTRONICA La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante. La firma electrónica supone un importante paso adelante en el uso de las tecnologías de la información por parte de los ciudadanos, las empresas y las organizaciones en general y nos va a permitir, junto con otras tecnologías, conceptos y servicios, realizar muchas actividades interesantes y cotidianas en Internet de una forma más segura y con mayores garantías. No obstante, las posibilidades que ofrece son ilimitadas. Hoy en día nos desenvolvemos tanto en el mundo físico como en el mundo electrónico, hasta el punto de que cada vez realizamos más actividades cotidianas en este último. El traspaso de actividades del mundo físico al mundo electrónico afecta a todos los ámbitos de nuestra vida. Por ello, necesitamos herramientas tecnológicas, legislativas, normativas u organizativas que hagan posible realizar todas esas actividades que llevamos a cabo habitualmente en el mundo físico al menos con las mismas garantías, funcionalidades y seguridad que en el mundo electrónico. Veamos algunos ejemplos de actividades que podemos realizar en ambos mundos: Algunos de sus posibles usos: compra y venta de bienes y servicios, realización de trámites, descarga y envío de documentación, búsqueda de información, establecimiento de relaciones sociales con otros usuarios, empresas y organizaciones, compartir conocimiento y experiencias, generar nuevos contenidos Sabemos que hoy en día es posible realizar muchas de las actividades habituales del físico también en el mundo electrónico. Sin embargo, transformar dichas actividades de forma que sea posible su realización en este último, en ocasiones requiere de ciertos elementos que lo dificultan. La mayoría de los trámites que realizarnos en el mundo electrónico se pueden hacer de forma relativamente sencilla, puesto que no es necesario que el usuario disponga de más herramientas que un navegador, un editor de textos o un lector de documentos PDF, además de una cuenta de correo electrónico. Pero como todos sabemos, no todos los trámites son iguales, los pasos a realizar pueden ser distintos y las necesidades también. Firma electrónica vs. firma manuscrita Como vamos a ver a lo largo de este documento, hay muchos tipos de firma electrónica y no todos tienen la misma validez ni se usan en el mismo ámbito ni con los mismos propósitos. Pero en el caso que nos ocupa, es fundamental que, si queremos dar la misma validez a un trámite electrónico que a su equivalente en el mundo físico, la firma electrónica debe ser equivalente desde el punto de vista legal y jurídico a la firma manuscrita. Para ello, se hace necesario contar con una legislación que establezca qué se entiende por firma electrónica y cuáles son los criterios que deberá cumplir dicha firma electrónica para ser equivalente a la firma manuscrita. ¿Firma electrónica o Firma digital? Antes de profundizar en la firma electrónica y comprender cada uno de los elementos que la hacen posible, debemos distinguir dos términos que solemos utilizar indistintamente: firma electrónica y firma digital. Aunque pueda parecer que representan el mismo concepto, no es así. Los describimos a continuación. Firma digital: La firma digital hace referencia a un conjunto de métodos criptográficos y técnicos. Es un concepto fundamentalmente técnico. Firma electrónica: La firma electrónica es un término mucho más amplio y hace referencia a cuestiones legales, organizativas, técnicas, etc. Por tanto, podemos concluir lo siguiente: www.GitsInformatica.com Seguridad Informática – Firma electrónica. Pág. 2 de 11 La firma digital es uno de los elementos que componen la firma electrónica. Firma digital es un concepto que está «dentro» del concepto de firma electrónica, donde este último es mucho más amplio. Cómo es posible firmar electrónicamente un documento y cómo se consigue que una firma electrónica sea reconocida y, por tanto, equivalente a la firma manuscrita, puesto que no todas las firmas electrónicas cumplen esa propiedad. Propiedades de la firma electrónica reconocida Nos encontramos ante el reto de conseguir una firma electrónica reconocida que, como sabemos, es equivalente a la firma manuscrita ya que la Ley así lo contempla. Para comprender cómo conseguirlo, primero debemos conocer cuáles son las propiedades o requisitos que debe cumplir dicha firma electrónica. Una firma electrónica que sea reconocida debe cumplir las siguientes propiedades o requisitos: 1.- identificar al firmante 2.- verificar la integridad del documento firmado 3.- garantizar el no repudio en el origen 4.- contar con la participación de un tercero de confianza 5.- debe de ser generada con un dispositivo seguro de creación de firma Identificación del firmante Nos enfrentamos con el primer reto: conseguir una firma electrónica en la que podamos conocer el origen de la firma. Para ello, necesitamos recurrir a la criptografía y a las matemáticas y, más concretamente, a técnicas de cifrado. El cifrado no es más que un conjunto de algoritmos y herramientas matemáticas que nos permiten ocultar o proteger información que sólo queremos que conozcan aquellos que intervienen en una comunicación. El procedimiento más habitual de cifrado es lo que se conoce como cifrado «simétrico» EJEMPLO DE CIFRADO SIMÉTRICO Imaginemos una consigna de una estación de tren de la que únicamente Pedro y Luis disponen de la llave. De esta forma, pueden dejarse mensajes en la consigna y sólo ellos tienen acceso a la misma. El ejemplo ilustra cómo funciona el cifrado simétrico, en este caso, mediante una consigna. Como vemos, la apertura de la consigna se lleva a cabo con la misma clave o, si lo preferimos, con la misma llave. Ahora bien, este tipo de cifrado plantea algunos problemas. Todos aquellos que intervengan en la comunicación, es decir, que deseen utilizar la consigna, deberán conocer la clave. Por tanto, hay que hacérsela llegar a todos ellos, con el riesgo de que sea interceptada o robada. Todos los que conocen la clave, o tienen la llave de la consigna, pueden tanto cifrar como descifrar, es decir, pueden introducir un mensaje o sacarlo. La cuestión es que como todos poseen la misma llave, no hay forma de saber quién ha dejado el mensaje o lo ha recogido. Esto implica que cualquiera puede suplantar fácilmente a otro de los participantes en la comunicación. Si se quiere evitar el problema anterior es necesario usar una clave o llave distinta por cada par de interlocutores, lo que supone gestionar multitud de claves o llaves. Si alguien ajeno a los interlocutores descubre la clave, todo el sistema se ve comprometido de inmediato. Debemos tener en cuenta que en este sistema es necesario enviar la llave a nuestro interlocutor. Si ésta es interceptada, tendremos que usar otra y transmitírsela de nuevo a todos los interlocutores, lo que a su vez aumenta el riesgo de que esta sea interceptada de nuevo. Para evitar estos inconvenientes, podemos utilizar lo que se conoce como cifrado asimétrico. A diferencia del cifrado simétrico, el asimétrico es un tipo de cifrado en el que no usamos una www.GitsInformatica.com Seguridad Informática – Firma electrónica. Pág. 3 de 11 única clave sino dos. Una de ellas es privada y la otra es pública, de forma que la clave privada no se la entregamos a nadie mientras que la clave pública la dejamos a disposición de todo el mundo. Veámoslo con un ejemplo EJEMPLO DE CIFRADO ASIMÉTRICO Volvamos a nuestra consigna. Resulta que las consignas han sido sustituidas por unas más modernas llamadas consignas asimétricas. Cuando se alquila una consigna asimétrica, proporcionan dos llaves. Una de ellas es privada y sólo hay una copia. Nadie debe conocerla y es fundamental guardarla con la mayor seguridad posible. La otra llave es pública, y queda en la recepción de consignas a disposición de cualquiera. Así que Pedro alquila una consigna asimétrica y, por tanto, se queda con la llave privada y deja la pública en el mostrador de las consignas para que pueda usarla aquel que lo solicite. Al día siguiente, Pedro deja un mensaje en la consigna, que introduce con su llave privada, y se marcha. Al cabo de un rato llega Luis y solicita la llave pública de la consigna de Pedro en el mostrador. Abre la consigna y extrae el mensaje. Al igual que Luis, cualquiera que solicite la llave pública podrá abrir la consigna y obtener el mismo mensaje. Pero aún hay más. Cualquiera que solicite la llave pública puede introducir un mensaje en la consigna pero, una vez dentro, el mensaje sólo puede ser extraído con la clave privada. Es decir, si Luis ha dejado un mensaje a Pedro, que es el dueño de la consigna, otra persona que solicite la llave pública no podrá extraer de la consigna el mensaje que introdujo Luis, pero sí podrá dejar otro. Sólo Pedro, con la llave privada, podrá extraer un mensaje que ha sido dejado en la consigna mediante la clave pública. Por tanto, el cifrado asimétrico tiene unas propiedades muy interesantes de cara a garantizar el emisor y el receptor de un mensaje. Esto es muy importante en la firma electrónica puesto que necesitamos disponer de un sistema que garantice que la procedencia del firmante. Integridad del documento Como hemos visto, ya podemos verificar el origen de la firma electrónica, al menos en parte, puesto que, como veremos, es necesario realizar más comprobaciones. El hecho de que firmar un documento no significa que a partir de ese momento estemos a salvo de una posible modificación o alteración de su contenido. Es decir, la firma de un documento no garantiza su posterior integridad. En el mundo electrónico, la integridad es uno de los aspectos más vulnerables de cualquier documento electrónico puesto que existen muchas técnicas, herramientas y mecanismos por los que es posible realizar modificaciones en prácticamente cualquier tipo de documento electrónico, sin apenas esfuerzo. Por tanto, debemos buscar un mecanismo que nos permita detectar en un documento firmado cualquier cambio posterior a la firma del mismo y, de esta forma, verificar la integridad del documento. Para ello, recurrimos de nuevo a las matemáticas y a un nuevo tipo de concepto, que llamaremos «generador de resumen». El «generador de resumen» es en realidad un algoritmo matemático, pero para nosotros es como una caja negra (no conocemos lo que ocurre dentro, pero tampoco hace falta) en la que introducimos un mensaje y obtenemos un número. En realidad, no obtenemos un número sino un conjunto de números y letras, como el que mostramos a continuación: 32jhsd9hdhdg3h4j5j38dhd2hsdo924hfkfk5ds7wg9qtw2fccqq5s6f2j53io98o4p A este conjunto de letras y números se le denomina «resumen» y opera de la siguiente forma: Al introducir un documento en el generador de resumen, obtenemos siempre un número muy similar al que hemos mostrado y cuya longitud es siempre la misma. Por otro lado, no existen dos documentos que generen el mismo «resumen». Si en un documento se cambia una simple coma, el número obtenido será completamente distinto. www.GitsInformatica.com Seguridad Informática – Firma electrónica. Pág. 4 de 11 Por tanto, un «generador de resumen» funciona como una caja negra que es capaz de generar la «huella dactilar» de un documento. Si el documento es alterado o modificado, la «huella dactilar» cambia. Esta es la solución para comprobar la integridad de un documento electrónico. Si unimos este mecanismo al cifrado asimétrico, ya tenemos lo básico para crear una firma electrónica. Garantizar el no repudio Hemos conseguido aportar una solución para las dos primeras propiedades, pero aún tenemos trabajo que hacer. Debemos garantizar aún otras tres más. Vamos a abordar el siguiente reto, el no repudio. El no repudio, también conocido como irrenunciabilidad, consiste en que el emisor o el receptor no puedan negar haber participado en la comunicación. Podemos distinguir dos tipos de de no repudio. No repudio en el emisor. Consiste en garantizar que el emisor no pueda negar haber participado en la comunicación, es decir, no puede negar que ha enviado el mensaje o que ha firmado un documento electrónico. No repudio en el receptor. Consiste en garantizar que el receptor no pueda negar haber participado en la comunicación, es decir, no puede negar que ha recibido el mensaje. El cifrado asimétrico proporciona los mecanismos necesarios para verificar la identidad y el no repudio del emisor, puesto que es un mecanismo robusto en el que, mediante el conocimiento de la clave privada, el emisor es el único que puede firmar un documento electrónico y el receptor puede verificar que ha sido éste. Para la firma electrónica, lo que nos interesa es el no repudio en el emisor y el cifrado asimétrico proporciona una solución robusta a este problema. En la firma electrónica lo que buscamos es garantizar el no repudio en el emisor. Tanto en la realidad como en la práctica, garantizar el no repudio plantea algunos problemas difíciles de resolver. La robustez de la firma electrónica, y en realidad de cualquier sistema que se base en el conocimiento de una contraseña o similar, depende de que nadie más la conozca o pueda hacerse con ella. Aún así, es necesario contar con este tipo de mecanismos para garantizar el no repudio, aunque quede fuera de su alcance garantizar que efectivamente fue el emisor quien realizó la firma y no otro en su nombre, ya sea de forma consentida o no. El cifrado asimétrico incorpora una ventaja fundamental de cara a garantizar el no repudio: la clave privada, en la que se basa toda la seguridad del sistema de cifrado asimétrico, no es necesario enviársela a nadie, solamente tiene que ser conocida por el emisor. Esto supone una enorme ventaja de seguridad, puesto que reduce dramáticamente el riesgo de que la clave pueda ser revelada o comprometida durante su envío, como ocurre en el cifrado simétrico. Tercero de confianza En este punto, disponemos de una firma electrónica que cumple tres propiedades: podemos conocer el origen de la firma, podemos garantizar la integridad y podemos garantizar el no repudio. Pero como vamos a ver, aún nos hacen falta más cosas y, de esta forma, llegamos a la siguiente propiedad que debe cumplir la firma electrónica. Ahora bien, imaginemos que pudiera existir un punto débil en la seguridad de lo que hemos planteado hasta ahora. Ese punto débil podría transformarse en un problema denominado «Man in the middle», que se refiere a la posibilidad de que la comunicación entre dos personas pueda ser interceptada y, por tanto, que sea posible suplantar a alguno de los interlocutores. Por tanto, es necesario contar con algún mecanismo que posibilite asociar una identidad de www.GitsInformatica.com Seguridad Informática – Firma electrónica. Pág. 5 de 11 forma robusta a una llave pública, de forma que además se pueda verificar que efectivamente dicha llave pública pertenece a la persona u organización en cuestión. De nuevo la solución proviene del cifrado asimétrico, pero introduciendo una figura conocida como tercero de confianza. El tercero de confianza es básicamente una organización que puede emitir un certificado electrónico, que no es más que un documento electrónico que incorpora la identidad de una persona o una organización, junto con su par de claves, pública y privada. El tercero de confianza es una organización independiente que está acreditada y certificada para emitir certificados electrónicos, tanto a personas, como a organizaciones o empresas, de forma que mediante éstos pueda verificarse la identidad del firmante. Gracias al certificado electrónico, disponemos de un mecanismo que asocia una identidad a las dos claves. Seguramente, a medida que avanzamos en los contenidos nos damos cuenta que la complejidad de la firma electrónica va en aumento pero, afortunadamente, lo más complicado ya ha pasado. Volviendo la vista atrás, hemos conseguido varias cosas que vemos a continuación. Una firma electrónica que cumple: capacidad de verificar el origen de la firma integridad del documento firmado garantía del no repudio posibilidad de verificar la identidad del firmante Además, contamos ya con la figura del tercero de confianza, que emite certificados electrónicos necesarios para que el proceso de firma sea más seguro y sea posible asociar una identidad a la firma electrónica. Por tanto, necesitamos utilizar un certificado electrónico reconocido. Por otro lado, aún nos falta contar con un dispositivo seguro de creación de firma. Certificado electrónico reconocido El tercero de confianza tiene precisamente la misión de proporcionar un certificado electrónico y un proceso para su generación que cumpla con unos requisitos legales muy concretos. Al tercero de confianza que emite esos certificados electrónicos se le conoce como prestador de servicios de certificación. Los certificados que emite un prestador de este tipo, que esté acreditado y certificado para ello, son precisamente certificados digitales reconocidos y deben cumplir con unos requerimientos muy concretos. Certificados Personales: se utilizan para identificar las personas que acceden al sitio 'web' o que firman un determinado documento (firma de contratos a través de Internet, Visado Digital, facturación electrónica, Voto electrónico, etc). Por tanto, si el certificado electrónico es reconocido y, por tanto, emitido por un tercero de confianza, ya hemos conseguido otro de los requisitos que necesitamos para alcanzar nuestro objetivo. Dispositivo seguro de creación de firma Llegamos al último de los requisitos que hemos planteado. Vamos a tratar de explicar de forma breve en qué consiste, ya que el concepto amplio de dispositivo seguro de creación de firma nos llevaría varios cursos completos, puesto que es un aspecto difícil y complejo. www.GitsInformatica.com Seguridad Informática – Firma electrónica. Pág. 6 de 11 La firma electrónica es un proceso que logra, mediante un certificado electrónico reconocido, una clave privada y un programa capaz de combinar todas las propiedades que hemos visto. Consigue realizar una firma electrónica de un documento electrónico. Pero dicho proceso debe además realizarse con las debidas garantías de seguridad. Es decir, no basta que los distintos elementos que intervienen sean seguros por si solos, sino que, además, hace falta que éstos sean combinados durante el proceso de firma, también de forma segura. Como por ejemplo el DNI electrónico español y el PKI Venezolano Resumiendo hasta los momentos, para una firma electrónica se necesita: 1.- cifrado asimétrico 2.- generador de resumen 3.- certificados electrónicos Las firmas electrónica sirven tanto a empresas como a personas naturales, ya que anbas estan basadas en los mismos requisitos de autenticación y proceso. Podemos usar una firma electrónica en: Software Películas Facturas Documentos eMail contratos albaranes etc, etc. Uno de los elementos que hacen posible la firma electrónica es el certificado electrónico y, cómo vamos a ver, es posible clasificar los distintos escenarios donde se puede utilizar la firma electrónica en función del tipo de certificado utilizado. Por ello, nos apoyaremos en los distintos tipos de certificados que existen para dar a conocer algunos de los escenarios donde es posible utilizar la firma electrónica. Firma electrónica y certificados electrónicos Un certificado electrónico cumple varias funciones, que citamos a continuación: 1.- Es un documento electrónico que incorpora datos relativos a la identidad de un tercero físico (persona) o de una entidad jurídica (empresa, organización, etc.). 2.- El certificado electrónico permite asociar una identidad durante el proceso de firma, de forma que podemos asociar los datos de identidad que incorpora el certificado a la firma electrónica resultante. 3.- Además, los certificados electrónicos generalmente son emitidos por un «tercero de confianza», es decir, una autoridad de certificación o prestador de servicios de certificación. Esto permite dotar de mayor seguridad a la firma electrónica. 4.- Por otro lado, un certificado electrónico puede incorporar más información que la relativa a la identidad del titular, como su cargo, los poderes que le han sido otorgados para la firma con ese certificado electrónico, etc. Esta información a mayores permite personalizar y crear distintos tipos de certificados electrónicos, mediante lo que se conoce como atributos. 5.- Finalmente, modificando algunos elementos de la propia estructura del certificado y de la información que incorpora, es posible también construir certificados para propósitos específicos, como cifrado o para establecer canales de comunicación seguros. www.GitsInformatica.com Seguridad Informática – Firma electrónica. Pág. 7 de 11 Los certificados electrónicos cumplen muchas y variadas funciones y son una herramienta fundamental, no sólo de la firma electrónica, sino también, por ejemplo, de la identificación electrónica. Tipos de certificados electrónicos Existen distintas formas de clasificar los certificados electrónicos. Indicamos algunas a continuación: según el tipo de identidad que incorporan según el ámbito de aplicación según el soporte Veamos en qué se basan estas clasificaciones y qué aporta cada una de ellas en relación con los distintos escenarios en los que es posible hacer uso de los certificados y también de la firma electrónica. Según el tipo de identidad que incorporan Según este criterio podemos clasificar los certificados electrónicos fundamentalmente en dos: aquellos que incorporan la identidad de tercero físico o ciudadano aquellos que incorporan una identidad jurídica El primer tipo de certificados está orientado a ciudadanos, es decir, a terceros físicos y están fundamentalmente pensados para trámites personales aunque, en determinadas circunstancias, pueden ser usados en el ámbito profesional. Según el ámbito de aplicación Según este criterio podemos encontrar los siguientes tipos de certificados, que son algunos de los que ofrecen los distintos proveedores de servicios de certificación: certificado de servidor certificado de código certificado de pertenencia a empresa certificado de representante certificado de funcionario certificado de apoderado certificado de factura electrónica certificado de cifrado de contenidos certificado de sello de empresa A continuación, describimos algunos de los más representativos. Certificado de servidor Los certificados de servidor están diseñados para cumplir dos funciones básicas: Por un lado, permiten conocer la identidad de un sitio web. Es decir, quién o qué organización es la responsable jurídica de la página en cuestión. De esta forma, también podemos saber si realmente estamos accediendo a un sitio legítimo, es decir, que no estamos siendo víctimas de un engaño. Por otro lado, permiten cifrar las comunicaciones (protocolo https) de forma que se crea un canal seguro de comunicación entre nuestro navegador y el sitio web al cual nos estamos conectado. Los certificados de servidor, afortunadamente, se utilizan cada vez más y su uso está aportando mayor seguridad a la navegación web. De hecho, cada vez más servicios web hacen uso de conexiones a través del protocolo seguro web o https y, por tanto, se utilizan certificados tanto para la identificación de la página como para proteger las comunicaciones. www.GitsInformatica.com Seguridad Informática – Firma electrónica. Pág. 8 de 11 Certificado de código Son certificados electrónicos cuyo uso o ámbito de aplicación es la firma electrónica de código. Por tanto, mediante este tipo de certificados es posible garantizar la procedencia de un programa, aplicación o fichero de código y, además, prevenir su alteración o modificación, puesto que la firma electrónica permite verificar la integridad. Certificado de cifrado Son certificados electrónicos cuyo ámbito de aplicación es la protección de los datos mediante el cifrado de información. Por tanto, mediante este tipo de certificados es posible llevar a cabo el cifrado de información, bien esté ésta almacenada en un ordenador o servidor, un disco duro, etc. o bien sea información que va a ser enviada a través de una red de comunicaciones como, por ejemplo, un documento a través de correo electrónico. Certificado de factura electrónica Son certificados especialmente diseñados para la firma de facturas electrónicas. En este caso, resulta bastante evidente su ámbito de aplicación. Seguramente ya nos hemos dado cuenta de que a medida que aparecen nuevos ámbitos de aplicación de la firma electrónica, surgen también nuevos tipos de certificados electrónicos. Éste es el caso de los certificados para factura electrónica que ya ofrecen algunos prestadores de servicios de certificación. Además de éstos, también hay otros certificados en los que la diferencia fundamental, o elemento que los diferencia de un certificado electrónico de propósito general, son los atributos que incorporan, como es el caso de los siguientes: certificado de pertenencia a empresa certificado de representante certificado de funcionario certificado de apoderado certificado de sello de empresa Este tipo de certificados incorporan información sobre el ámbito o privilegios del certificado. Son muy indicados cuando se pretende disponer de un certificado para un perfil de la organización específico como, por ejemplo, los certificados de funcionario, de representante o de apoderado. Según el soporte Según este criterio, podemos clasificar los certificados electrónicos en dos categorías: certificados software certificados hardware Ya se había comentado anteriormente que un certificado electrónico no es más que un documento electrónico. Cuando obtenemos el certificado, lo que nos entregan es básicamente un pequeño documento, que se puede guardar en una memoria USB, en un ordenador (en el almacén de certificados), en el disco duro, etc. A ese certificado se le conoce como certificado software. En cambio, existe la posibilidad de que el certificado esté almacenado en una tarjeta criptográfica, que no es más que una tarjeta similar a una tarjeta de crédito pero que incorpora un chip electrónico. Un ejemplo claro de una tarjeta criptográfica es el DNI electrónico. En estas tarjetas es posible almacenar uno o varios certificados electrónicos, que se conoce como certificado hardware. Como hemos visto, y a modo de resumen, podemos disponer de certificados electrónicos para terceros físicos o jurídicos, para usos específicos o ámbitos restringidos y también podemos disponer de certificados electrónicos en soporte hardware y software. www.GitsInformatica.com Seguridad Informática – Firma electrónica. Pág. 9 de 11 Además de esto, seguramente más de uno ya se haya dado cuenta de que con los certificados electrónicos es posible hacer más cosas que llevar a cabo la firma electrónica. Como ya sabíamos, gracias a los certificados electrónicos podemos identificarnos electrónicamente. Además, ahora hemos visto otras aplicaciones, como por ejemplo su uso para establecer un canal seguro de comunicación (certificado de servidor) o para el cifrado de información (certificado de cifrado). Dejando a un lado estas aplicaciones que podemos considerar fuera del ámbito de la firma electrónica propiamente dicha, vamos a describir cómo realizar, de forma general, el proceso de firma electrónica de un documento. Firma nativa frente a firma NO nativa La firma electrónica es un proceso en el que interviene un conjunto de elementos encabezado por un certificado electrónico. En función del tipo de certificado electrónico podremos realizar la firma electrónica de un determinado tipo de documentos o de otro tipo de archivos electrónicos. Ahora bien, desde el punto de vista del programa que usemos para realizar la firma, existen dos caminos para llevarla a cabo, y son los siguientes: firma nativa de documentos electrónicos firma NO nativa de documentos electrónicos Vamos a describir cada uno de ellos a continuación. Firma nativa La firma nativa consiste en realizar el proceso de firma de un documento electrónico con el mismo programa o aplicación con el que fue creado dicho documento. Esto quiere decir que si estamos elaborando un documento electrónico con Microsoft Word, una vez terminado el documento lo firmaremos electrónicamente también con Microsoft Word. El proceso está representado en el diagrama que podemos ver a continuación, de forma que al final del proceso de firma, obtendremos otro documento de Microsoft Word pero que llevará incorporada la firma electrónica del documento. Otro ejemplo podría ser Adobe Acrobat. Imaginemos que estamos creando un documento en PDF con esta herramienta y, una vez terminado, lo firmamos electrónicamente también con Adobe Acrobat. La firma nativa de los documentos electrónicos facilita la labor a la persona que crea el documento, puesto que no hace falta utilizar otra herramienta. Sin embargo, esto tiene varios inconvenientes. Uno de ellos es que el programa que usemos para generar el documento ha de soportar la firma electrónica, y no siempre es así (aunque cada vez más programas soportan la firma electrónica). Otro inconveniente es que estamos asociando el proceso de firma a un formato de documento específico; es decir, firmamos con el programa con el que creamos el documento. Pero, ¿qué ocurre queremos usar otro formato distinto o necesitamos generar otro tipo de documento? Por otro lado, esta filosofía genera un problema añadido ya que, una vez firmado un documento electrónico, generalmente se lo enviaremos a otra persona mediante correo electrónico u otro medio. Si esa persona quiere comprobar la firma electrónica deberá disponer del mismo programa con el que ha sido creado y eso no siempre es posible. No podemos obligar a que otro usuario tenga la misma versión de Microsoft Word que nosotros, o que haya adquirido el programa. Firma no nativa Para solucionar los problemas que podemos encontrarnos con la firma nativa, podemos recurrir a una solución más universal que consiste en usar herramientas de firma electrónica capaces www.GitsInformatica.com Seguridad Informática – Firma electrónica. Pág. 10 de 11 de firmar cualquier tipo de documento electrónico y que, afortunadamente, podemos encontrarlas de descarga gratuita. El proceso es muy sencillo. Basta con tomar el documento electrónico y realizar la firma con una de estas herramientas. A continuación, podemos enviar el documento resultante de la firma a través de Internet, pero la persona que lo reciba tiene que disponer de la misma herramienta con la que lo hemos firmado. Como vemos en el diagrama, en este caso lo que se genera es un documento (recuadro verde) con un formato especial y específico del programa de firma utilizado, dentro del cual está incorporado el documento original y además la firma electrónica del documento. Trabajar con la firma NO nativa tiene varias ventajas. La primera es que existen herramientas de este tipo, que son gratuitas. La segunda ventaja es que no es necesario que nuestro interlocutor -la persona a la que enviamos el documento firmado electrónicamente- disponga de una herramienta asociada a un formato concreto, como el caso de la firma nativa. Es posible que disponga de una herramienta gratuita con la que puede firmar y validar todo tipo de documentos electrónicos, independientemente del formato del documento a firmar. La firma NO nativa es muy interesante en el ámbito de la Administración Pública, puesto que al ciudadano se le proporciona la propia herramienta de firma electrónica. De esta forma, no depende de un formato de documento específico. Al proceso de firmar documentos electrónicos con la misma aplicación con la que son creados lo denominamos «Firma nativa de documentos electrónicos». Inconvenientes de la firma nativa La firma nativa evidentemente es muy cómoda, pero no todos los programas que generan documentos electrónicos permiten firmar esos documentos. Por ello, en ocasiones no queda otro remedio que utilizar herramientas externas o que permiten firmar todo tipo de documentos electrónicos, es decir, aplicaciones de firma NO nativa. Por otro lado, debemos tener en cuenta que en un trámite o comunicación electrónica intervienen como mínimo dos interlocutores. Esto significa que la persona a la que enviamos un documento firmado electrónicamente tiene que ser capaz de verificar la firma electrónica que incorpora, de forma que pueda comprobar la procedencia del documento Firma NO nativa de documentos electrónicos Si todos utilizásemos la firma nativa deberíamos disponer del programa con el que fue generado y posteriormente firmado el documento. Pero, en la realidad, esto no es posible. Al final, cada usuario utiliza unas herramientas concretas con sus correspondientes versiones y no podemos pretender que todos los usuarios utilicen las mismas aplicaciones y todavía menos las mismas versiones. Aún más, no podemos obligar a que todos los usuarios utilicen el mismo formato, no al menos durante la creación del documento. Por ello, si lo que pretendemos es posibilitar que cualquier persona pueda enviar documentos firmados electrónicamente a cualquier otro, sin importar el tipo de documento y la herramienta utilizada para crear el documento, necesitamos un concepto de firma distinto con el que podamos firmar cualquier tipo de documento electrónico. En el caso de la eAdministración es especialmente importante esta consideración puesto que no se puede obligar a los usuarios a disponer de una aplicación concreta si, además, ésta supone un coste. Es un escenario perfecto para el uso de la firma NO nativa. Caso práctico de firma NO nativa www.GitsInformatica.com Seguridad Informática – Firma electrónica. Pág. 11 de 11 La firma NO nativa consiste en utilizar una herramienta genérica para llevar a cabo la firma electrónica. Es decir, no utilizamos la misma herramienta con la que creamos el documento sino otra que es independiente de ésta. Por otro lado, las aplicaciones de firma NO nativa son capaces, en principio, de firmar cualquier tipo de documento electrónico, de manera que son independientes del tipo o formato del documento a firmar. Finalmente, y una de las mayores ventajas, es que existen aplicaciones de este tipo que son gratuitas La firma electrónica está tomando poco a poco el relevo de la firma manuscrita y, como hemos visto a lo largo de este texto, sus ventajas son evidentes tanto para el ciudadano que evita esperas como para la Administración o empresa que se beneficia de la utilización de las tecnologías de la información en todos sus procesos de negocio y de la aplicación de la firma electrónica. En la actualidad la firma electrónica ha de seguir evolucionando hasta integrarse completamente con todo tipo de aplicaciones y herramientas, de forma que la firma electrónica se convierta en algo cotidiano para todos nosotros. ______________________________________ Encontrará más documentos en la Sección de Descargas de Seguridad GITS Informática. Gits mira por tus derechos. Gits es Pro-Vida. Por razones ecológicas y económicas, imprima este documento solo si es necesario y, a ser posible, en papel reciclado. Recomendamos la visualización de este documental: http://www.youtube.com/watch?v=SWRHxh6XepM. Gracias por su colaboración con el medio ambiente. Copyright (c) 2003. Gits Informática. All rights reserved.