Firma electrónica o Firma digital
La firma electrónica permite garantizar la identidad del firmante de un documento y la integridad del contenido de dicho documento.
Desde el punto de vista técnico la firma electrónica se basa en algoritmos matemáticos de cifrado más o menos complejos. Hoy en día la mayoría de estos algoritmos están documentados y son de dominio público, para asegurar que la fuerza del algoritmo esté en la matemática que utiliza y no en la ocultación del proceso de cálculo.
Desde un punto de vista práctico, el procedimiento para firmar un documento es mucho más sencillo.
El emisor del documento debe tener al menos una clave de cifrado, que consiste a su vez en una clave pública y una clave privada.
La clave privada es totalmente secreta y sólo puede estar en manos del emisor, para garantizar la identidad de esa persona. Si la clave privada se pierde o cabe la posibilidad de que haya sido copiada o existen razones para pensar que está comprometida de alguna forma la seguridad de dicha clave, el propietario debe revocarla inmediatamente, para evitar que otras personas la utilicen suplantando su identidad.
La clave pública, como su nombre indica, puede (y debe) ser distribuida públicamente.
La idea básica del cifrado por llave (clave) asimétrica (pública + privada) es que lo que cierra una llave lo abre la otra.
La clave de cifrado se puede generar fácilmente mediante alguno de los programas de cifrado que existen en la actualidad. Esta clave es perfectamente válida para firmar documentos que van a ser intercambiados entre personas de confianza.
Pero para firmar documentos de una forma oficial y que tengan validez legal es necesario que esa clave esté certificada por una entidad en la que puedan confiar todos los usuarios. Esa entidad garantiza que efectivamente la persona que posee esa clave es quien dice ser.
Por lo tanto, un certificado digital no es más que una clave de cifrado, emitida por una entidad de certificación para una determinada persona física o jurídica, con la garantía que proporciona esa entidad de certificación con respecto a la identidad de la persona, y con una serie de mecanismos de gestión, mantenimiento y control.
Entonces, una vez que el emisor tiene la clave de cifrado, ya sea generada por él mismo o proporcionada a través de su certificado digital personal:
1.- Firmar el documento
Se genera en primer lugar una huella digital
del documento mediante un algoritmo de HASH.
Esta huella es una secuencia de unos y ceros de una determinada longitud. Un
determinado documento sólo puede generar una huella. Si ese documento
se modifica, aunque sólo sea en una coma, la huella será totalmente
distinta.
Esa huella que se ha generado a partir del documento se encripta con la clave privada del emisor del documento, y se obtiene la firma digital de ese documento.
La firma digital obtenida garantiza:
- Que el documento ha sido firmado por el emisor. No es posible que haya sido firmado por otra persona a menos que haya robado la clave privada del emisor.
- Que el contenido del documento no ha sido manipulado desde la emisión hasta la recepción del mismo.
2.- Envío del documento firmado
Dependiendo del formato elegido, el documento y la firma pueden ir en el mismo
fichero o en ficheros separados.
3.- Recepción del documento y comprobación
Cuando el documento llega al destinatario se lleva a cabo el proceso de comprobación,
para asegurar que el documento no ha sido manipulado y para garantizar que efectivamente
lo envía la persona real (y no alguien que suplanta su identidad).
En primer lugar se calcula la huella del documento utilizando el mismo algoritmo de HASH que utilizó el emisor.
Por otra parte se desencripta la huella digital original del documento (contenida en la firma). Para descifrar esta huella se utiliza la clave pública del emisor.
En el caso de los certificados digitales, la clave pública se obtiene a través de la entidad certificadora, que garantiza que pertenece precisamente a esa persona (emisor).
Una vez extraída la huella de la firma se la compara con la huella obtenida directamente del documento.
Si las dos huellas son iguales podemos garantizar que el documento no ha sido manipulado y que ha sido enviado por el emisor real.
El procedimiento de firma en origen y de comprobación en recepción lo realizan automáticamente las aplicaciones de cifrado. Es un proceso prácticamente transparente para el usuario .