Espai del comerciant >> Comerç electrónic >> La signatura digital

  1. La firma digital
  2. Certificats digitals
  3. DNI electrònic

1. La firma digital

La firma digital pot ser definida com una seqüència de dades electròniques (bits) que s’obtenen mitjançant l’aplicació a un missatge determinat d’un algoritme (fórmula matemàtica) de xifrat asimètric o de clau pública, i que equival funcionalment a la firma autògrafa a l’efecte de la identificació de l’autor del qual procedix el missatge. Des d’un punt de vista material, la firma digital és una simple cadena o seqüència de caràcters que s’adjunta al final del cos del missatge firmat digitalment.

L’aparició i el desenvolupament de les xarxes telemàtiques, de les quals Internet és l’exemple més notori, ha comportat la possibilitat d’intercanviar entre persones distants geogràficament missatges de tot tipus, inclosos els missatges de contingut contractual. Estos missatges plantegen el problema d’acreditar-ne tant l’autenticitat com l’autoria.

Concretament, perquè dues persones (ja siguen dos empresaris o un empresari i un consumidor) puguen intercanviar entre ells missatges electrònics de caràcter comercial que siguen mínimament fiables i puguen, en conseqüència, donar a les parts contractants la confiança i la seguretat que necessita el tràfic comercial, eixos missatges han de  complir els requisits següents:

  1. Identitat, que implica poder atribuir de forma indubtable el missatge electrònic rebut a una determinada persona com a autora del missatge.
  2. Integritat, que implica la certesa que el missatge rebut per B (receptor) és exactament el mateix missatge emés per A (emissor), sense que haja patit cap alteració durant el procés de transmissió de A cap a B.
  3. No repudiació o no rebuig en origen, que implica que l’emissor del missatge (A) no puga negar en cap cas que el missatge ha sigut enviat per ell.

Doncs bé, la firma digital és un procediment tècnic que, basant-se en tècniques criptogràfiques, tracta de donar resposta a eixa triple necessitat apuntada anteriorment, a fi de possibilitar el tràfic comercial electrònic..

D’altra banda, als tres requisits anteriors, s’unix un quart element, que és la confidencialitat, que no és un requisit essencial de la firma digital sinó accessori d’esta. La confidencialitat implica que el missatge no haja pogut ser llegit per terceres persones distintes de l’emissor i del receptor durant el procés de transmissió d’este.

Per a garantir la identitat del firmant s’empra la tecnologia de parell de claus vinculada a les dades identificadores del titular del certificat. D’esta manera, quan es firma un document s’utilitza un número únic que només pertany al firmant. El receptor del document verifica la firma amb la part pública de la clau; d’esta manera, si el procés de validació és positiu, ha de concloure’s que el firmant del document és el titular del certificat.

La integritat del document no es referix al fet de validar-ne el contingut, sinó de garantir que el document no ha sigut modificat després de la firma. Per a garantir açò no cal que un tercer custodie una còpia del document, sinó que es fa generant un codi únic del document a partir de la seua estructura interna en el moment de ser firmat. Qualsevol alteració del contingut del document provocarà que, en aplicar de nou la funció de generació de codi únic, siga impossible reproduir l’original; per tant, quedarà trencada la integritat del contingut.

 Els elements que garantixen la no repudiació són els següents:

  • La clau privada vinculada al certificat i que atorga unicitat als documents firmats només estiga en possessió del firmant des del mateix moment de generar les dites claus i vincular-les a les seues dades identificadores.
  • El certificat i els dispositius de firma emprats han de basar-se en tecnologies i processos segurs que eviten l’ús o la sostracció de la clau per part de tercers i que es troben homologats per l’autoritat de certificació emissora del certificat emprat.
  • Que el certificat estiga actiu en el moment de ser emprat. Açò equival a l’estat de les targetes de crèdit que també poden ser revocades per l’interessat i caducar amb el temps.
  • Que els receptors de documents firmats disposen d’un instrument de verificació segur que no permeta suplantar identitats del firmant o de l’autoritat de certificació que en fa la validació.
  • La firma digital es basa en la utilització combinada de dos tècniques distintes, que són la criptografia asimètrica o de clau pública per a xifrar missatges i l’ús de les denominades funcions hash o funcions resum.

Els sistemes criptogràfics asimètrics o de clau pública es basen en el xifrat de missatges mitjançant la utilització d’un parell de claus diferents (privada i pública), per això el nom d’asimètrics que s’atribuïx a una persona determinada i que tenen les característiques següents:

  • Una de les claus, la privada, roman secreta i és coneguda únicament per la persona a qui s’ha atribuït el parell de claus i que la utilitzarà per a xifrar missatges. La segona clau, la pública, és o pot ser coneguda per qualsevol.
  • Ambdues claus, privada i pública, servixen tant per a xifrar com per a desxifrar missatges.
  • A partir de la clau pública, que és coneguda o pot ser coneguda per qualsevol, no es pot deduir ni obtenir matemàticament la clau privada, ja que si partint de la clau pública, que es pot o ser coneguda per qualsevol persona, es poguera obtenir la clau privada, el sistema mancaria de seguretat, atés que qualsevol podria utilitzar la clau privada atribuïda a una altra persona però obtinguda il·lícitament per un tercer partint de la clau pública.

Juntament amb la criptografia asimètrica s’utilitzen en la firma digital les denominades funciones hash o funcions resum. Els missatges que s’intercanvien poden tenir una dimensió considerable, fet este que dificulta el procés de xifrat. Per això, no es xifra el missatge sencer sinó un resum d’este obtingut aplicant al missatge una funció hash.

Partint d’un missatge determinat que pot tenir qualsevol dimensió, l’esmentat missatge es convertix mitjançant la funció hash en un missatge amb una dimensió fixa (generalment de 160 bits). Per a això, el missatge originari es dividix en diverses parts cadascuna de les quals tindrà eixa grandària de 160 bits, i una vegada dividit es combinen elements presos de cada una de les parts resultants de la divisió per a formar el missatge-resum o hash, que també tindrà una dimensió fixa i constant de 160 bits. Este resum de dimensió fixa és el que es xifrarà utilitzant la clau privada de l’emissor del missatge.

A diferència de la firma autògrafa, que és de lliure creació per cada individu i no necessita ser autoritzada per ningú ni registrada en cap part per a ser utilitzada, la firma digital, i més concretament el parell de claus que s’utilitzen per a firmar digitalment els missatges, no poden ser creats lliurement per cada individu.

En principi, qualsevol persona pot dirigir-se a una empresa informàtica que dispose dels dispositius necessaris per a generar el parell de claus i sol·licitar la creació de l’esmentat parell de claus. Posteriorment, amb el parell de claus creat per a una persona determinada, esta es dirigiria a un prestador de servicis de certificació per a obtenir el certificat digital corresponent a eixe parell de claus.

No obstant això, en la pràctica els prestadors de servicis de certificació complixen ambdues funcions: creen el parell de claus (pública i privada) per a una persona i expedixen el certificat digital corresponent a eixe parell de claus

 

Anar amunt

 

2. Certificats digitals

La utilització del parell de claus (privada i pública) per a xifrar i desxifrar els missatges permet tenir la certesa que el missatge que B rep de A i que desxifra amb la clau pública de A, no ha sigut alterat i prové necessàriament de A. Però, qui és A?.

Per a respondre de la identitat de A (emissor) és necessari la intervenció d’un tercer, que són els denominats prestadors de servicis de certificació la missió dels quals és la d’emetre els denominats certificats digitals o certificats de clau pública.

Un certificat digital és un arxiu electrònic que té una grandària màxima de 2 quilobytes i que conté les dades d’identificació personal de A (emissor dels missatges), la clau pública de A i la firma privada del mateix prestador de servicis de certificació. Eixe arxiu electrònic és xifrat per l’entitat prestadora de servicis de certificació amb la clau privada d’esta.

Els certificats digitals tenen una durada determinada, transcorreguda la qual han de ser renovats, i poden ser revocats anticipadament en determinats supòsits (per exemple, en el cas que la clau privada, que ha romandre secreta, haja passat a ser coneguda per terceres persones no autoritzades per a usar-la).

Gràcies al certificat digital, el parell de claus obtingut per una persona estarà sempre vinculat a una determinada identitat personal, i si sabem que el missatge ha sigut xifrat amb la clau privada d’eixa persona, sabrem també qui és la persona titular d’eixa clau privada.

El procés d’obtenció dels elements que necessite per a firmar digitalment missatges (parell de claus i certificat digital) és el següent:

  1. Em dirigisc a una empresa o entitat que tinga el caràcter de prestador de servicis de certificació i sol·licite d’ells el parell de claus i el certificat digital corresponent a estes. Generalment, podré acudir a l’esmentada entitat, bé personalment o bé per mitjà d’Internet utilitzant la pàgina web del prestador de servicis de certificació.
  2. El prestador de servicis de certificació comprovarà la meua identitat, bé directament o per mitjà d’entitats col·laboradores (autoritats locals de registre), per a la qual cosa hauré d’exhibir-li el meu DNI i si sóc el representant d’una societat (administrador, apoderat, etc.) o de qualsevol altra persona jurídica, hauré d’acreditar documentalment el meu càrrec i les meues facultats.
  3. El prestador de servicis de certificació crea amb els dispositius tècnics adequats el parell de claus pública i privada i genera el certificat digital corresponent a eixes claus.
  4. El prestador de servicis de certificació em lliura una targeta semblant a una targeta de crèdit que té una banda magnètica en la qual estan gravats tant el par de claus com el certificat digital. L’accés al parell de claus i al certificat digital gravats en la targeta està protegit mitjançant una clau com les que s’utilitzen en les targetes de crèdit o en les targetes de caixer automàtic. En altres ocasions, en lloc de la targeta el prestador de servicis de certificació deixa emmagatzemat el certificat digital en la seua pàgina web, a fi  que el destinatari copie l’arxiu i l’instal·le en el seu ordinador.
  5. Amb eixa targeta magnètica i un lector de bandes magnètiques adequat connectat al meu ordinador personal, podré llegir i utilitzar la informació gravada en la targeta per a firmar digitalment els missatges electrònics que envie a altres persones.

Consulteu pàgina web Fàbrica Nacional de Moneda i Timbre com a proveïdor de servicis de certificació. 

 

Anar amunt

3. DNI electrònic

A Espanya s’expedix, des de març de l’any 2006, un tipus especial d’identificació denominada DNI electrònic.

El naixement del document nacional d’identitat electrònic (DNIe) respon a la necessitat d’atorgar identitat personal als ciutadans per al seu ús en la nova Societat de la Informació, a més de servir-ne d’impulsor. Així, el DNIe és l’adaptació del tradicional document d’identitat a la nova realitat d’una societat interconnectada per xarxes de comunicacions.

Enllaços d’interés:

Documents d’interés:

Reial Decret 1.553/2005, de 23 de desembre, pel qual es regula l’expedició del document nacional d’identitat i els seus certificats de firma electrònica.

 

Anar amunt


La signatura digital (299)

Level AA conformance,W3C WAI Web Content Accessibility Guidelines 2.0
© 2024 - Ajuntament de Benissa - Conselleria d'Innovació, Industria, Comerç i Turisme