>> SG IT Consulting >>  Firma digital.

 

   

La firma digital. Que es y como funciona.

El objetivo de este artículo es sintetizar su funcionamiento.  Antes de ello, es necesario establecer las diferencias entre firma digital y firma electrónica, y explicar algunos conceptos básicos.

La firma electrónica es una firma realizada en forma digital o electrónica, pero no necesariamente cumple las condiciones de personalización, y seguridad.  En realidad, está escrita en forma electrónica, pero es vulnerable, puede ser alterada y/o copiada bastante libremente.

La gran diferencia entre firma digital y firma electrónica radica en el hecho de que la firma digital tiene valor probatorio, en base a la presunción “juris tantum”.

Una firma digital es una firma electrónica que, además cumple requisitos técnicos establecidos por normas legales, que la hacen única, cada vez que se la utiliza.

La firma digital es un sistema que permite:

    Garantizar la autoría(identidad) del documento electrónico.

    Garantizar la integridad del documento electrónico recibido.

    Equiparar un documento electrónico a un documento en papel.

La firma digital, por contenido y definición es un conjunto de datos asociados a un mensaje digital que permite garantizar la identidad del firmante o la casilla de origen del mismo y su integridad.  Nada tiene que ver con la confidencialidad del envío, para lo cual será necesario hablar de técnicas de encriptación, y de conexión segura.

Claramente se comprende que son dos formas muy distintas de firmar un documento.  Una forma, es una firma electrónica y otra, más segura, es una firma digital.  Hasta la fecha del presente, en Argentina, rige la Ley 25.506 que está reglamentada, pero aún no está funcionando el sistema de firma digital, por falta de normas legales que reglamenten en detalle el accionar de las entidades certificantes. La firma digital, para el público no es tal, y por lo tanto no es posible exigirle que cumpla con las características para lo que fue creada.  Una vez reglamentados los detalles que aún no lo fueron, será posible, en Argentina, que funcione el sistema de firma digital.  En algunos países, las entidades certificantes funcionan a nivel privado, y por lo tanto las empresas y los particulares pueden contratar el servicio de identificación de la firma digital, y utilizarla como medio de dar validez fehaciente a sus documentos, incluso a sus correos electrónicos.

Para la administración del gobierno nacional (APN), en Argentina, la firma digital ha sido implantada en algunos de sus departamentos, y lo está siendo en muchos otros.  Las funciones de entidad certificante la realiza el Estado Nacional, pero los provinciales y municipales no tienen aún, acceso a ello. Para ver el detalle de normas vigentes, que son muchas, puede visitar www.pki.gov.ar.

Para actos internos de la APN, que no produzcan efectos a terceros ajenos, la firma digital y la hológrafa tienen el mismo nivel de validez, de acuerdo con el decreto-PEN Nº 427/98.  Ahora, desde el Dec. 724/2006, la administración pública podrá generar certificados para la firma digital gratuitos, a los ciudadanos que interactúen con el gobierno a los efectos de emitir y recibir documentos con firma digital, por amabas partes.  Este último decreto derogó el Dec. N° 2628/02.

Funciona de la siguiente manera. Es necesario contar con una clave pública y una clave privada.  Además en su PC, y en la del destinatario, es necesario tener activado el programa con el certificado raíz de la firma digital, ya que sin él no se podrán comparar sus algoritmos.  También deberá contar con un cliente de correo electrónico que soporte el manejo de certificados X.509 versión 3. No puede funcionar con el sistema de Webmail, al menos como está estructurado para la Argentina.

Un algoritmo relaciona matemáticamente ambas claves entre sí, cuestión de establecer una relación univalente entre ellas.  No se puede recalcular la clave privada, partiendo del texto recibido o de la clave pública. Esta imposibilidad de “vuelta atrás” es lo que brinda la seguridad, y se la maximiza al utilizar dos claves distintas. La clave pública viaja con el documento, y el destinatario podrá, mediante el programa raíz, comparar esa clave pública con el documento, para saber si le llegó con alteraciones u omisiones, por más mínimas que sean, incluso la falta de un espacio.  Es una marca, una huella digital, lograda con complejos cálculos matemáticos, muy difíciles de leer, y que se logran en cada documento enviado por única vez.

La clave privada siempre queda en poder de su propietario, y puede él tenerla instalada en una PC o en varias que utilice.  Es como tener varios juegos de su llavero, es más cómodo pero es menos seguro, y todo dependerá de cómo Ud. controle el acceso a este.

Al leer una firma digital, solo se ve un conjunto, sin espacios, de letras y números, que representan un número logrado matemáticamente. Su extensión está dada por el nivel de seguridad medido en cantidad de bits(64,128,256,512,1026, etc.). A mayor número de bits, más seguro es.

Para comparar la consistencia de la información recibida, el programa raíz aplica la clave pública con el algoritmo de hash, que es aleatorio, al documento y a la clave pública basada en el certificado digital. Ambos generaron un único resultado matemático posible, mediante el algoritmo de hash, con criptografía asimétrica, en forma independiente, que se llama “huella digital” y si los dos resultados son iguales, entonces la información ha sido recibida en forma completa, sin enmiendas ni correcciones, o sea en forma “íntegra”. Con este sistema se logra la característica de integridad. Además, se indica que pertenece a quien dice pertenecer, dueño de las claves privada y pública emitidas, generadas por el firmante, en base a su certificado digital otorgado solo a él, por la entidad certificante. Con este sistema se logra la característica de identidad.

El sistema funciona de tal manera, que la información cifrada por una de las claves solo puede ser descifrada por la otra clave, y solo por esta.  Únicamente por esta.

Quien contrate la entidad certificante, recibirá un certificado digital de clave, que no es más que un  pequeño documento digital que da fe de la vinculación (contrato existente) entre una clave pública y una casilla de correo electrónico real y verificada, perteneciente a una persona o entidad(se incluyen las empresas en este concepto general).  Se pueden generar cadenas de certificados para “asegurar” aún más, la pertenencia al mismo. Contiene un nombre y una clave pública, y está firmado digitalmente por el emisor del mismo, todo bajo el estándar internacional ITU-TX.509, lo cual permite hablar de estandarización.

Hablando del mundo, la sigla PKI significa Public Key Infraestructure, y en la Argentina se la denomina como “Infraestructura de Firma Digital”.

Una pequeña disyuntiva necesaria.  El documento recibido pertenece a quien dice pertenecer, de la misma manera que un papel firmado en forma hológrafa, dice lo mismo, pero uno no puede saber si fue firmado bajo coerción, o no.  En definitiva, la firma digital utilizada es la correcta y según los registros pertenece al Sr/a. XX, y fue enviada digitalmente, desde una PC que dice ser de él, cargada con esa clave digital que le pertenece. Aún mirando cuando alguien firma un papel, tampoco puede uno estar totalmente seguro, que lo hace libre de coerción, y que quien dice ser el que firma, lo es realmente.  Ese “mínimo margen de error” existe en la vida física, como en la digital.  Pero en ambos casos, es lo más seguro que podemos estar de que quien dice ser, es, y que además firma como lo hace, y que está libre de presión alguna, para firmar.

En la vida real, la física, descartamos estas pequeñas posibilidades y aceptamos con tranquilidad, la firma hológrafa.  Con el mismo margen de error, podemos aceptar la firma digital, en el mundo digitalizado.

Dr. Jorge E. SOSA GONZÁLEZ. Derecho de Autor s/ Reg. Prop. Intelectual Nº 171.055.   Actualizado el 14/06/2006.       Volver a la Biblioteca

Si tiene dudas puede consultarnos.