• ÍNDICE

I. Introducción ............................................................................................................ 2

II. ¿Qué es la firma electrónica?.................................................................................. 3

III. Tipos de firmas electrónicas ................................................................................... 3

IV. Funciones de la firma electrónica ........................................................................... 4

V. Usos de la firma electrónica .................................................................................... 4

VI. Fundamentos de la firma electrónica ..................................................................... 5

VII. Formatos de firma ................................................................................................... 6

VIII. Certificados electrónicos ......................................................................................... 8

IX. Prestador de servicios de certificación ................................................................... 9

X. Dispositivos de creación y verificación de firma ................................................... 10

XI. Normativa vigente ................................................................................................. 11

XII. Conclusión ............................................................................................................. 11

XIII. Bibliografía y fuentes ............................................................................................ 12

XIV. Licencia .................................................................................................................. 13

I. INTRODUCCIÓN

En la última década, los documentos electrónicos han sufrido una gran

proliferación. Impulsados en gran medida, por la facilidad de creación y la calidad que

se puede obtener en ellos, pero sobre todo, por la rápida difusión que ofrece Internet

y el soporte electrónico en general.

Sin embargo, los documentos electrónicos presentan dos graves problemas: la

confidencialidad y la autenticidad.

La confidencialidad se refiere a "la capacidad de mantener un documento

electrónico inaccesible a todos, excepto a una lista determinada de personas".

Mientras que la autenticidad es "la capacidad de determinar si una lista determinada

de personas han establecido su reconocimiento y/o compromiso sobre el contenido

del documento electrónico". Si se puede probar la autenticidad de un documento, se

dice que es no-repudiable.

El problema de la autenticidad va ligado con el de la integridad. Un documento

deja de ser auténtico si se ha modificado su contenido.

La manera tradicional de autentificar un documento era mediante la firma

autógrafa de este. A pesar de que desde hace bastante tiempo se venían creando los

documentos en soporte digital, éstos se solían imprimir para autentificarlos con

métodos tradicionales.

Sin embargo, la facilidad e inmediatez que permite la Red para transmitir

documentos, así como, la posibilidad de acceder a ellos sin importar la localización

geográfica, está impulsando el uso íntegro de documentos en soporte digital.

Para solucionar los problemas de confidencialidad, autenticidad, integridad y

no-repudiación entra en juego la criptografía y fruto de ella, la firma electrónica.

La criptografía es "el arte de escribir con clave secreta o de un modo

enigmático". Se trata de una rama de las matemáticas que aplica problemas de difícil

solución a aplicaciones especificas. Por ejemplo, los factores de un número que es

producto de dos números primos.

En este trabajo pretendemos dar una idea global del uso de la firma

electrónica, qué es, qué tipos de firmas hay, cuáles son sus funciones y usos, en qué se

fundamentan, elementos implicados, etc.

II. ¿QUÉ ES LA FIRMA ELECTRÓNICA?

La Ley 59/2003 de firma electrónica, en su Artículo 3.1, define la Firma

Electrónica como:

"El conjunto de datos en forma electrónica, consignados junto a otros o asociados con

ellos, que pueden ser utilizados como medio de identificación del firmante."

Es decir, es el equivalente electrónico de nuestra firma manuscrita. Esta posee

una serie de datos, en forma electrónica, que permiten acreditar nuestra identidad en

la nueva Sociedad de la Información.

La firma electrónica nos permite ejercitar completamente el artículo nº 6 de la

Declaración Universal de Derechos Humanos, que dice:

“Todo ser humano tiene derecho, en todas partes, al reconocimiento de su

personalidad jurídica”.

En España la firma manuscrita tiene el mismo valor jurídico que cualquier otro

tipo de firma que tenga las mismas finalidades, como puede ser la firma electrónica

reconocida.

Estamos hablando indistintamente de firma electrónica y firma digital, sin

embargo, hay una sutil pero importante diferencia. La firma digital se puede almacenar

tanto en software como en hardware, mientras que la firma electrónica solo se puede

almacenar en hardware, por ejemplo en el DNIe.

III. TIPOS DE FIRMAS ELECTRÓNICAS

En el Artículo 3 de la Ley de Firma Electrónica 59/2003 se definen los diferentes

tipos de firmas electrónicas:

Firma electrónica1: es el conjunto de datos en forma electrónica, consignados

junto a otros o asociados a ellos, que pueden ser utilizados como medio de

identificación del firmante.

La firma electrónica avanzada2: es aquella que además de permitir identificar al

firmante, permite detectar cualquier cambio ulterior de los datos firmados, que

está vinculada al firmante de manera única y que ha sido creada por medios

que el firmante puede mantener bajo su exclusivo control.

La firma electrónica reconocida3: es aquella que además de ser avanzada, ha

sido expedida por un Proveedor de Servicios de Certificación reconocido.

1 Artículo 3.1 - Ley de Firma Electrónica 59/2003

2 Artículo 3.2 - Ley de Firma Electrónica 59/2003

3 Artículo 3.3 - Ley de Firma Electrónica 59/2003

Como podemos observar, la firma electrónica solo permite la identificación del

firmante, mientras que las otras dos permiten, entre otras cosas, verificar la integridad

del documento. Sin embargo, solo la última es equiparable a la manuscrita y por lo

tanto tiene validez jurídica, ya que hace falta una entidad certificadora externa que

acredite la identidad de manera imparcial. Aunque el art. 3.9 LFE establece que no se

negarán los efectos jurídicos de los demás tipos, sin embargo no especifica cuáles.

IV. FUNCIONES DE LA FIRMA ELECTRÓNICA

Las funciones de la firma electrónica son las siguientes:

Identificar: ha de garantizar inequívocamente que los titulares de la firma son

quienes dicen ser.

Autentificar: el contenido del mensaje debe ser el mismo que pusieron las

partes intervinientes.

Integridad: ha de garantizar que el contenido del documento no ha sido

manipulado en el proceso de transmisión.

No-repudio: tiene que lograr la seguridad jurídica, de forma que ninguna de las

partes pueda negar haber escrito el documento.

Confidencialidad: el contenido del documento solo pude ser conocido por las

partes implicadas.

V. USOS DE LA FIRMA ELECTRÓNICA

La firma electrónica es una identidad digital, por lo que puede ser utilizada para

numerosas aplicaciones, entre ellas podemos destacar las siguientes:

Permite firmar todo tipo de documentos digitales, desde PDF, e-mails... hasta

contratos electrónicos. De esta forma, se garantiza inequívocamente la

identidad del autor, así como la integridad del documento.

Habilita la opción de codificar la comunicación entre dos personas o entidades

como puede ser un servidor de Internet, haciendo que esta sea confidencial.

Esto se consigue mediante las claves públicas y las privadas que explicaremos a

continuación.

Asegura que el receptor es quien dice ser. Por ejemplo, el certificado de una

página web acredita que realmente ésta pertenece a una determinada

empresa.

El sistema de identificación más seguro actualmente es mediante la firma

electrónica. Por ejemplo, para acceder a Intranets, redes locales o a

determinados servidores.

Permite firmar software. De esta manera se puede garantizar que es original y

por lo tanto que no contiene malware.

VI. FUNDAMENTOS DE LA FIRMA ELECTRÓNICA

Como ya hemos introducido, la firma electrónica tiene como base el uso de la

criptografía, que es la rama de las matemáticas que estudia el cifrado y descifrado de

la información.

La firma digital (avanzada) es el resultado de aplicar un algoritmo, denominado

función hash, al contenido del documento y posteriormente, aplicar sobre él el

algoritmo de firma.

La finalidad de la función hash es calcular un valor que sirve de resumen del

documento. El proceso es de dirección única, a partir del valor resumen no se puede

obtener los datos originales. Este valor identifica al documento inequívocamente y

permite al destinatario comprobar la integridad del documento obtenido aplicando de

nuevo la función.

Posteriormente, los sistemas de criptografía aplican otro algoritmo, que se

conoce como clave, mediante el cual se codifica el mensaje. De tal manera que solo

puede ser decodificado por un algoritmo de decodificación, que puede ser el mismo u

otro asociado.

Se distinguen dos esquemas clásicos de encriptación:

Encriptación simétrica: el emisor y el receptor utilizan la misma clave para

encriptar y desencriptar el mensaje.

El principal problema de este sistema es que es necesario intercambiar las

claves por algún medio, y ese medio puede no ser seguro.

El algoritmo simétrico más famoso es el denominado DES y su variante

DES-CBC, pero el algoritmo RC4 va ganando terreno.

Encriptación asimétrica: se basa en pares de claves, una pública y otra privada,

de tal forma que lo que una encripta solo lo puede desencriptar la otra. Existen

varios algoritmos de llave pública, el más popular es el RSA.

El emisor dispone de una clave privada que solo debe conocer él, y otra

clave pública que puede proporcionar a cualquier persona. De tal manera que

puede proceder de dos maneras:

1. Si el emisor usa su clave privada para cifrar el mensaje, cualquier

persona puede descifrarlo usando su clave pública. De esta manera se

consigue identificar y autentificar el documento. Esta es la idea

fundamental de la firma electrónica.

2. Si el emisor usa la clave pública del receptor para cifrar el mensaje, solo

el receptor haciendo uso de su clave privada podrá descifrar el mensaje.

De esta manera se logra confidencialidad, ya que nadie más que el

receptor puede descifrar el mensaje.

La firma electrónica avanzada y reconocida utilizan la criptografía de clave

asimétrica, mientras que la firma electrónica básica se basa en la criptografía de clave

simétrica.

VII. FORMATOS DE FIRMA

El formato de firma corresponde al tipo de fichero generado tras aplicar la

firma y se caracteriza por su estructura, por su incrustación o no en el documento

original, por la posibilidad de incluir varias firmas y por la longevidad de la firma y del

sello de tiempo.

Como ya sabemos, una firma electrónica contiene información sobre el

documento original, el firmante, la fecha de firma, los algoritmos utilizados y sobre la

caducidad o no de ésta. La estructuración de esta información es característica de cada

formato. Los más importantes son:

PKCS#7/CMS: es uno de los formatos más extendidos. CMS4 es la evolución del

formato PKCS#5 que describe la sintaxis de encapsulación para la protección de

datos. Permiten incluir firmas de diferentes firmantes mediante dos

modalidades: encadenada y mancomunada. La firma propiamente dicha se

compone de de datos formales referidos al tipo de firma, así como de distintos

atributos, como el tipo de contenido, certificados, hash, fecha y hora, número

de firmas, etc.

XML/XML-DSig: es el formato de mayor expansión debido a su gran uso en

aplicaciones online, al ser el formato recomendado por la W3C6. Su

funcionamiento y estructura es muy similar al CMS, sin embargo, éste codifica

las firmas y certificados siguiendo el estándar Base64. Posee tres modos de

firma:

-Enveloped: la firma se añade al final del documento XML. Se firma todo lo

inmediatamente anterior al documento.

-Enveloping: el documento se incluye dentro de la firma. Permite firmar el

documento entero o partes de él.

-Detached: la firma y el documento se encuentran en dos archivos

distintos.

S/MIME7: Es un estándar para criptografía de clave pública y firmado de correo

electrónico. Ofrece autenticación, integridad del mensaje y no-repudio.

PDF: se trata de una implementación de PKCS#7. La principal ventaja de este

formato es la capacidad de gestionar firmas, además permite realizar firmas

longevas. Otras características importantes son la posibilidad de firmar y

autentificar con Adobe Reader®, de hacer la firma visible y permitir su

personalización. Da la posibilidad de añadir sellos de tiempo o firmar solo

campos determinados y además las firmas se pueden integrar en el repositorio

de confianza de Windows.

El principal problema de estos formatos es la validación de firmas a largo plazo.

Cuando se quiera comprobar la validez de la firma en el futuro y el certificado ya esté

caducado o revocado, no se podrá determinar si en el momento de firmar la firma era

válida.

Para solucionar este problema aparecen los formatos avanzados, los cuales

incorporan elementos de tiempo y validación que permiten verificar la firma sin ayuda

externa. Los principales AdES (Advanced Electrónic Signature) son:

4 Cryptographic Message Syntax

5 Public-Key Cryptographic Standard #7

6 World Wide Web Consortium

7 Secure/Multipurpose Internet Mail Extensions

AdES-BES (Basic): permite satisfacer los requerimientos de la firma electrónica

avanzada.

AdES-T (timestamp): añade sello de tiempo.

AdES-C (complete): añade ciertas referencias para permitir la futura validación.

AdES-X (extended): añade sellos de tiempos a las referencias creadas por el

formato anterior (AdES-C).

AdES-X-L (extended long-term): añade certificados e información de revocación

para la validación a largo plazo.

AdES-A (archival): permite la adicción periódica de sellos de tiempo para

garantizar el archivo de las firmas.

Los formatos avanzados correspondientes a los formatos básicos, que hemos

expuesto anteriormente, son:

CAdES: CMS Advanced Electronic Signature.

XAdES: XML Advanced Electronic Signature.

PAdES: PDF Advanced Electronic Signature.

VIII. CERTIFICADOS ELECTRÓNICOS

En el Artículo 6.1 de la Ley de Firma Electrónica

59/2003 se define certificado electrónico como:

"Es un documento firmado electrónicamente por un

prestador de servicios de certificación que vincula unos

datos de verificación de firma a un firmante y confirma

su identidad"

Es decir, es un documento electrónico emitido

por un prestador de servicios de certificación (PSC), que

asocia al firmante con su clave pública. El firmante puede ser una persona física o

jurídica.

El certificado en sí no sirve para identificar, ya que haría falta la clave privada

que solo conoce el firmante. Pero sí que permite autentificar a las partes implicadas en

la comunicación, porque garantiza la relación entre la clave pública y la identidad.

La información mínima que debe contener un certificado es:

La identidad del propietario del certificado (identidad a certificar).

La clave pública asociada a esa identidad.

La identidad del prestador de servicios de certificación.

El algoritmo criptográfico usado para firmar el certificado.

En la imagen superior se puede ver el certificado de la página web

www.google.com. En ella se puede ver toda la información que hemos citado:

La identidad del propietario del certificado: google.es

La clave pública asociada a esa identidad: 30 82 01 0a 82 01 01 00 e1 a1...

La identidad del prestador de servicios de certificación: Bitdefender

El algoritmo criptográfico usado para firmar el certificado: sha1RSA

Además de esa información proporciona el periodo de validez del certificado

(07/11/12-07/06/13). Todos los certificados tienen periodo de validez, ya que se trata

principio básico en la emisión de cualquier tipo de identificación.

IX. PRESTADOR DE SERVICIOS DE CERTIFICACIÓN

Los Prestadores de Servicios de Certificación (PSC) son definidos por la Ley de

Firma Electrónica como:

“Persona física o jurídica que expide certificados electrónicos o presta otros servicios en

relación con la firma electrónica, cuya función básica es la emisión de certificados y

otros servicios de firma electrónica.”

La validez del certificado es fundamental para confiar en la persona firmante.

Por eso podemos tener plena confianza en él si éste ha sido emitido por un PSC de

confianza. Ya que el PSC garantiza su validez firmando digitalmente el certificado.

Los prestadores de servicios de certificación no necesitan una autorización para

emitir certificados, sin embargo, deben cumplir con una serie de obligaciones, entre

ellas se encuentran las siguientes:

Comprobar la identidad y demás datos personales del solicitante.

Facilitar al firmante el dispositivo de creación y verificación de firma.

No almacenar ni copiar los datos de creación de firma del solicitante.

Mantener un registro público de los certificados emitidos.

Estar inscritos en el Registro de Prestadores de Servicios de Certificación.

X. DISPOSITIVOS DE CREACIÓN Y VERIFICACIÓN DE FIRMA

"Un dispositivo de creación de firma es un programa o sistema informático que sirve

para aplicar los datos de creación de firma."

Básicamente la función de un dispositivo de creación de firmas es aplicar los

pasos explicados anteriormente para la creación de una firma.

Además, para que éste sea un dispositivo seguro, debe asegurar que la firma no

se pueda repetir, que ésta no se pueda derivar de los datos usados para su creación,

que el programa no modifique el documento original en el proceso de firma y que no

pueda acceder un tercero a los datos de creación.

"Un dispositivo de verificación de firma es un programa o sistema informático que sirve

para aplicar los datos de verificación de firma."

Para que la verificación sea satisfactoria se tiene que comprobar los siguientes

requisitos:

Los datos utilizados para firmar tienen que corresponder con la persona

que verifica la firma.

El proceso debe ser fiable.

Se debe comprobar la integridad del documento.

Los certificados deben ser auténticos y válidos.

Se tiene que comprobar que la seguridad no ha sido alterada.

Si se cumplen todos estos requisitos el documento firmado queda verificado.

Existe numeroso software que se encarga de realizar estas tareas, por ejemplo

@firma, xolidoSign, Clicksign, Sinadura, etc.

XI. NORMATIVA VIGENTE

La firma electrónica es regulada por las siguientes normativa:

Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 diciembre

de 1999, en la que se establece un marco comunitario para la firma electrónica.

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de los Datos de

Carácter Personal.

Ley 59/2003, de 19 diciembre, de Firma Electrónica.

Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición

del documento nacional de identidad y sus certificados de firma electrónica.

XII. CONCLUSIÓN

Como conclusión vamos a analizar las ventajas de la firma electrónica, así como

las desventajas que tiene respecto a la firma tradicional.

La firma electrónica conlleva una serie de claras ventajas. Primero supone un

gran ahorro económico en cuanto a folios, tinta, gasto de traslado de documentos, etc.

Además de las ventajas que conlleva el uso del soporte electrónico, ahorro de espacio

físico, disminución del riesgo de alteración o pérdida, optimización de las búsquedas...

Por otro lado, facilita la identificación tanto del emisor como del receptor y

asegura que el contenido sea irrevocable y no-repudiable, asegurando plenamente la

veracidad del documento. Asimismo, es el mejor sistema de identificación que se

dispone por el momento, ya que no depende de usuarios ni claves que se puedan

perder o ser robadas.

No obstante, también posee alguna desventaja, como que el sistema por sí solo

no es infalible y los riesgos no se pueden eliminar en su totalidad. Siendo muy

importante la figura de los PSC.

XIII. BIBLIOGRAFÍA Y FUENTES

Cruz Rivero, Diego. (2006). Eficacia formal y probatoria de la firma electrónica.

Madrid, España: Marcial Pons.

Alfredo Alejandro Reyes Krafft. (2002). La firma electrónica y las entidades de

certificación.

Consultado el 23 de noviembre de 2012 en up.edu.mx

Ana I. Berrocal Lanzarot. (2006). La firma electrónica y su regulación en la Ley

59/2003.

Consultado el 23 de noviembre de 2012 en ucm.es

Carlos G. Figuerola, Angel Francisco Zazo Rodríguez, José Luis Alonso Berrocal.

(2003). Firma Digital.

Consultado el 23 de noviembre de 2012 en usal.es

Cortes Generales Españolas. (2003). Ley 59/2003, de 19 de diciembre, de firma

electrónica.

Consultado el 23 de noviembre de 2012 en juridicas.com

Cuerpo Nacional de Policía (2012). Guía de Referencia Básica.

Consultado el 23 de noviembre de 2012 en dnielectronico.es

Gobierno de Aragón. (2010). Sistemas de remisión electrónica de documentos.

Consultado el 24 de noviembre de 2012 en gob.es

Ignacio Mendívil. (2005). El ABC de los Documentos Electrónicos Seguros.

Consultado el 23 de noviembre de 2012 en upm.es

Instituto Nacional de la Tecnologías de la Comunicación (INTECO). (2007).

Desarrollo de aplicaciones con DNIe.

Consultado el 24 de noviembre de 2012 en inteco.es

Instituto Nacional de la Tecnologías de la Comunicación (INTECO). (2012). Guías

y documentos del DNI electrónico.

Consultado el 24 de noviembre de 2012 en inteco.es

Instituto Nacional de la Tecnologías de la Comunicación (INTECO). (2012).

Prestador de Servicios de Certificación.

Consultado el 25 de noviembre de 2012 en inteco.es

Javier Sáez Moneo. (2010). Adecuación a las TIC de una empresa de

transportes.

Consultado el 23 de noviembre de 2012 en ubu.es

Ministerio de Hacienda y Administraciones Públicas. (2012). Formatos de Firma.

Consultado el 25 de noviembre de 2012 en gob.es

Parlamento Europeo y del Consejo. (1999). Directiva 1999/93/CE del 13 de

diciembre de 1999.

Consultado el 23 de noviembre de 2012 en fnmt.es

SeguriData. (2005). Aplicaciones de la firma electrónica.

Consultado el 24 de noviembre de 2012 en seguridata.com

Wikipedia. (2010). Certificado digital.

Consultado el 25 de noviembre de 2012 en wikipedia.org

Xolido Systems S.A. (2012). Manual de Xolido®Sign

Consultado el 25 de noviembre de 2012 en xolido.com

ZonaTIC. (2012). Sistemas actuales de autenticación y firma.

Consultado el 24 de noviembre de 2012 en usatudni.es

XIV. LICENCIA

Esta obra, junto con su diseño e ilustraciones, están sujetas a la licencia

Reconocimiento-NoComercial 3.0 España de Creative Commons. Para ver una copia de

esta licencia, visite CC BY-NC 3.0 ES.

"Recopilación y comparación de códigos deontológicos" by David Miguel Lozano, is

licensed under a Creative Commons Reconocimiento-NoComercial 3.0 España License.