Última actualización 17 de Febrero de 2002

ANALISIS COMPARATIVO DE LA LEGISLACION Y PROYECTOS A NIVEL MUNDIAL SOBRE FIRMAS Y CERTIFICADOS DIGITALES (distintas soluciones)

Por Hugo Daniel CARRION

SUMARIO

I-INTRODUCCIÓN. La Era Digital. La necesidad de firmas y certificados electrónicos

II-En qué consisten las firmas y los certificados digitales. Criptología y Entidades certificantes

II-a) CRIPTOLOGIA
II-b) ENTIDADES DE CERTIFICACIÓN
II-c) DEFINICIÓN DE FIRMA DIGITAL
II-d) CERTIFICADO DIGITAL

III-Aplicaciones y beneficios de la firma digital
IV- Proyectos, legislaciones y estándares internacionales
IV-a) ESTANDARES INTERNACIONALES
IV-b) ANTECEDENTES INTERNACIONALES
IV-c) ACTIVIDADES POR PAISES RELATIVAS A LA SANCION DE NORMAS EN LA MATERIA
IV-d) ANTECEDENTES NACIONALES

V- CONCLUSION

I- INTRODUCCIÓN. La Era Digital. La necesidad de firmas y certificados electrónicos

Sabemos que la Tecno-era o Era Digital ha producido un drástico cambio de paradigma científico y social, con terribles impactos en el resideño de la producción cultural y la industria . Siguiendo a Manuel Castells , debemos señalar que las consecuencias de este nuevo paradigma tecnológico, que afectan y modifican la estructura social y económica, permiten distinguir las llamadas Economía informacional (la capacidad de generación y manipulación de infraestructuras informacionales son decisivas para el desarrollo y expansión de las empresas), la Economía Red (descentralización de las grandes empresas y formación de redes o alianzas con pequeñas y medianas empresas que funcionan como auxiliares de aquéllas) y la Economía global o Globalización a secas (donde, en realidad, todos las áreas se encuentran subordinadas a este fenómeno: trabajo, comunicaciones, mercados financieros, cultura, etc.). Huela señalar que esta Sociedad de la Información impacta sobre el orden regulador de conductas, el Derecho, e impone el reanálisis de las legislaciones y dogmas vigentes, las que no parecen adaptarse con docilidad a los nuevos fenómenos. La informática nos rodea y es una realidad incuestionable y parece que también irreversible . Está en casi todos los aspectos de la vida del hombre. Desde los más triviales hasta los más sofisticados. Sin la informática las sociedades actuales colapsarían , generándose lo que se conoce como "computer dependency". La informática se presenta como una nueva forma de poder , que puede estar concentrado o difuminado en una sociedad, confiado a la iniciativa privada o reservado al monopolio estatal. Es instrumento de expansión ilimitada e inimaginable del hombre y es, a la vez, una nueva forma de energía, si se quiere intelectual , de valor inconmensurable, que potencia y multiplica de manera insospechada las posibilidades de desarrollo científico y social, erigiéndose en patrimonio universal de la humanidad. FROSINI efectúa, a los efectos de entender el grado de poder de la informática, una comparación entre la civilización con escritura y la civilización sin ella. En este contexto la firma digital es justificable desde el momento en que los contratos, las transacciones económicas, las compras, etc. se realizan on-line (a través de la Internet), es decir sin la presencia física de las partes y frente a la utilización pervertida de las nuevas tecnologías (aparición de los denominados delitos informáticos), que atentan contra la información como bien jurídico de naturaleza colectiva o macro-social.
En definitiva, la firma digital se presenta como un instrumento de seguridad y confidencialidad de las actividades que se producen en el curso de la interacción humana en todos sus ámbitos y que dependen de los sistemas informáticos (transporte, comercio, sistema financiero, gestión gubernamental, arte, ciencia, relaciones laborales, tecnología, etc.).

II- En qué consisten las firmas y los certificados digitales. Criptología y Entidades certificantes

Actualmente, la firma manuscrita permite certificar el reconocimiento, la conformidad o el acuerdo de voluntades sobre un documento por parte de cada firmante, aspecto de gran importancia desde un punto de vista legal. La firma manuscrita tiene un reconocimiento particularmente alto pese a que pueda ser falsificada, ya que tiene peculiaridades que la hacen fácil de realizar, de comprobar y de vincular a quién la realiza. Para intentar conseguir los mismos efectos que la firma manuscrita se requiere el uso de la criptología y el empleo de algoritmos matemáticos.
II-a) CRIPTOLOGIA
La firma digital consiste en la utilización de un método de encriptación llamado asimétrico o de clave pública. Este método consiste en establecer un par de claves asociadas a un sujeto, una pública, conocida por todos los sujetos intervinientes en el sector, y otro privada, sólo conocida por el sujeto en cuestión. De esta forma cuando se desea establecer una comunicación segura con otra parte basta con encriptar el mensaje con la clave pública del sujeto para que a su recepción sólo el sujeto que posee la clave privada pueda leerlo. La criptología se define como aquella ciencia que estudia la ocultación, disimulación o cifrado de la información, así como el diseño de sistemas que realicen dichas funciones. Abarca por tanto a la criptografía (datos, texto e imágenes), la criptofonía (voz) y el criptoanálisis, ciencia que estudia los pasos y operaciones orientados a transformar un criptograma en el texto claro original pero sin conocer inicialmente el sistema de cifrado utilizado y/o la clave. Cifrar por tanto consiste en transformar una información (texto claro) en otra ininteligible (texto cifrado o cripto) según un procedimiento y usando una clave determinada, pretendiendo que sólo quién conozca dicho procedimiento y clave pueda acceder a la información original. La operación inversa se llamara lógicamente descifrar.
Explica el Dr. Fernando RAMOS SUAREZ que estamos ante un criptosistema simétrico o de clave secreta cuando las claves para cifrar y descifrar son idénticas, o fácilmente calculables una a partir de la otra. Por el contrario si las claves para cifrar y descifrar son diferentes y una de ellas es imposible de calcular por derivación de la otra entonces estamos ante un criptosistema asimétrico o de clave pública (el aceptado uniformemente en la actualidad). Esto quiere decir que si utilizamos un criptosistema de clave secreta o simétrico necesariamente las dos partes que se transmiten información tienen que compartir el secreto de la clave, puesto que tanto para encriptar como para desencriptar se necesita una misma clave u otra diferente pero deducible fácilmente de la otra. Entre estos sistemas se encuentran: DES, RC2, RC4, IDEA y SkipJack. La peculiaridad de estos sistemas de encriptación es que son rápidos en aplicarse sobre la información.
II-b) ENTIDADES DE CERTIFICACIÓN
Para brindar confianza a la clave pública surgen las autoridades de certificación, que son aquellas entidades que merecen la confianza de otros actores en un escenario de seguridad donde no existe confianza directa entre las partes involucradas en una cierta transacción. Es por tanto necesaria, una infraestructura de clave pública (PKI) para cerrar el círculo de confianza, proporcionando una asociación fehaciente del conocimiento de la clave pública a una entidad jurídica, lo que le permite la verificación del mensaje y su imputación a una determinada persona. Esta infraestructura de clave pública consta de una serie de autoridades que se especializan en papeles concretos:

Autoridades de certificación (CA o certification authorities): que vinculan la clave pública a la entidad registrada proporcionando un servicio de identificación. Una CA es a su vez identificada por otra CA creándose una jerarquía o árbol de confianza: dos entes pueden confiar mutuamente entre sí si existe una autoridad común que directa o transitivamente las avala.

Autoridades de registro (RA o registration authorities): que ligan entes registrados a figuras jurídicas, extendiendo la accesibilidad de las CA.

Autoridades de fechado digital (TSA o time stamping authorities): que vinculan un instante de tiempo a un documento electrónico avalando con su firma la existencia del documento en el instante referenciado (resolverían el problema de la exactitud temporal de los documentos electrónicos).

Estas autoridades pueden materializarse como entes individuales, o como una colección de servicios que presta una entidad multipropósito.
II-c) DEFINICIÓN DE FIRMA DIGITAL
En consecuencia, la firma digital es un bloque de caracteres que acompaña a un documento (o fichero) acreditando quién es su autor (autenticación) y que no ha existido ninguna manipulación posterior de los datos (integridad). Para firmar un documento digital, su autor utiliza su propia clave secreta (sistema criptográfico asimétrico), a la que sólo él tiene acceso, lo que impide que pueda después negar su autoría (no revocación). De esta forma, el autor queda vinculado al documento de la firma. Por último la validez de dicha firma podrá ser comprobada por cualquier persona que disponga de la clave pública del autor.
II-d) CERTIFICADO DIGITAL
Un certificado digital es un fichero digital intransferible y no modificable, emitido por una tercera parte de confianza (AC), que asocia a una persona o entidad una clave pública. Un certificado digital que siga el standard X509v3, utilizado por los navegadores, contiene la siguiente información:
· Identificación del titular del certificado: Nombre, dirección, etc.
· Clave pública del titular del certificado.
· Fecha de validez.
· Número de serie.
· Identificación del emisor del certificado.
En síntesis, la misión fundamental de los certificados es permitir la comprobación de que la clave pública de un usuario, cuyo conocimiento es imprescindible para autenticar su firma electrónica, pertenece realmente a ese usuario, ya que así lo hace constar en el certificado una autoridad que da fe de ello. Representan además una forma conveniente de hacer llegar la clave pública a otros usuarios que deseen verificar sus firmas. Normalmente, cuando se envía un documento firmado digitalmente, éste siempre se acompaña del certificado del signatario, con el fin de que el destinatario pueda verificar la firma electrónica adjunta.
Estos certificados permiten a sus titulares realizar una gran cantidad de acciones a través de Internet: acceder por medio de su navegador a sitios web restringidos, a los cuales les deberá presentar previamente el certificado, cuyos datos serán verificados y en función de los mismos se le permitirá o denegará el acceso; enviar y recibir correo electrónico cifrado y firmado; entrar en intranets corporativas, e incluso a los edificios o instalaciones de la empresa, donde se le pedirá que presente su certificado, posiblemente almacenado en una tarjeta inteligente; firmar software para su uso en Internet, como applets de Java o controles ActiveX de Microsoft, de manera que puedan realizar acciones en el navegador del usuario que de otro modo le serían negadas; firmar cualquier tipo
de documento digital, para uso privado o público; obtener confidencialidad en procesos administrativos o consultas de información sensible en servidores de la Administración; realizar transacciones comerciales seguras con identificación de las partes, como en SSL, donde se autentica al servidor web, y especialmente en SET, donde se autentican tanto el comerciante como el cliente. Actualmente, el estándar de uso en este tipo de certificados es el X.509.v3.

III- Aplicaciones y beneficios de la firma digital

La firma electrónica proporciona un amplio abanico de servicios de seguridad, que superan con creces a los ofrecidos en un contexto físico por el DNI o pasaporte y las firmas manuscritas:

o Autenticación: permite identificar unívocamente al signatario, al verificar la identidad del firmante, bien como signatario de documentos en transacciones telemáticas, bien para garantizar el acceso a servicios distribuidos en red. En este último caso, la utilización de firmas digitales para acceder a servicios de red o autenticarse ante servidores web evita ataques comunes de captación de contraseñas mediante el uso de analizadores de protocolos (sniffers) o la ejecución de reventadores de contraseñas.

o Imposibilidad de suplantación: el hecho de que la firma haya sido creada por el signatario mediante medios que mantiene bajo su propio control (su clave privada protegida, por ejemplo, por una contraseña, control biométrico, una tarjeta inteligente, etc.) asegura, además, la imposibilidad de su suplantación por otro individuo.

o Integridad: permite que sea detectada cualquier modificación por pequeña que sea de los datos firmados, proporcionando así una garantía ante alteraciones fortuitas o deliberadas durante el transporte, almacenamiento o manipulación telemática del documento o datos firmados.

o No repudio: ofrece seguridad inquebrantable de que el autor del documento no puede retractarse en el futuro de las opiniones o acciones consignadas en él ni de haberlo enviado. La firma electrónica adjunta a los datos, debido a la imposibilidad de ser falsificada, testimonia que él, y solamente él, pudo haberlo firmado.

o Auditabilidad: permite identificar y rastrear las operaciones llevadas a cabo por el usuario dentro de un sistema informático cuyo acceso se realiza mediante la presentación de certificados, especialmente cuando se incorpora el estampillado de tiempo, que añade de forma totalmente fiable la fecha y hora a las acciones realizadas por el usuario.

o El acuerdo de claves secretas: garantiza la confidencialidad de la información intercambiada ente las partes, esté firmada o no, como por ejemplo en las transacciones seguras realizadas a través de SSL.

La información contenida en las firmas digitales es completamente segura y fiable, no siendo posible ningún tipo de falsificación o fraude en su verificación. Amén de todas las posibilidades que ofrece el comercio electrónico y el ámbito interno empresarial (vgr.: teletrabajo, entornos virtuales compartidos), debe señalarse que, en el ámbito de la Administración Pública (relación administración - administrado), la firma digital tiene enormes aplicaciones, algunas de las cuales son: presencia de la Administración en la red, consulta de información personal desde Internet, realización de cualquier trámite por Internet (vgr.: pago de tributos), acceso a aplicaciones informáticas de gestión por ciudadanos y empresas, comunicación entre dependencias de distintas administraciones, integración de información al ciudadano desde distintas administraciones, democracia electrónica (vgr.: plesbicitos, sufragio). Tanto las referidas modalidades de trabajo como el incremento en la velocidad de circulación de la información que permite el documento digital, importaría que las organizaciones de nuestro país ofrezcan un mejor nivel de servicios a sus clientes y simultáneamente reduzcan sus costos, aumentando su productividad y su competitividad en lo que hoy son mercados cada vez más globalizados y competitivos.