|
|
|
El reconocimiento de los firmantes sobre un
documento es una cuestión de gran importancia desde el
punto de vista legal
La
firma digital: aspectos técnicos y legales
FERNANDO
RAMOS SUAREZ
Abogado especializado en Derecho Informático
y Tecnologías de la Información
Pensemos en aquellos programas de
software que se realizaron en los años 80 con los dos
primeros dígitos del campo fecha fijos ¿cómo iba a
saber el desarrollador de software que iba a dar los
problemas que actualmente está dando el famoso año
2000? Entonces un ordenador no tenía ni mucho menos la
potencia que las computadoras de ahora, siendo por
tanto imprescindible aprovechar el mayor espacio
posible tanto de memoria como de disco. Efectivamente,
no habían previsto el cambio brutal que se iba a
experimentar y optaron por una solución que en su
tiempo evitó muchos quebraderos de cabeza. Sin
embargo, en la actualidad la empresa que no haya
solucionado el problema del año 2000 tendrá problemas
graves para poder continuar con su actividad
empresarial, pues cuando sus sistemas informáticos se
bloqueen será muy difícil encontrar a un programador
que en pocos días solucione el problema, por no decir,
que casi todos serán requeridos para la solución de
dicho problema al mismo tiempo. Si a ello unimos la
introducción del euro y la liberalización de las
telecomunicaciones nos vemos ante un reto muy
importante. ¡Hay que subirse al tren por muy rápido
que sea! O te subes o te quedas atrás. Quizá aquí
los abogados jóvenes tenemos más ventaja que otros
que ya han visto pasar por sus ojos varias décadas. No
obstante, creo que es necesario por parte de todos
hacer un esfuerzo por adaptarse lo mejor posible a la
nueva sociedad de la información.
|
La firma
digital es justificable desde el momento en que los
contratos, las transacciones económicas, las compras,
etc. se realizan on-line
|
Esta nueva sociedad de
la información necesita de muchas regulaciones puesto
que todo lo que esta saliendo es tan innovador que no
existe siquiera una referencia legislativa. Difícil
será entrar en dicha sociedad si todavía no hemos
podido encontrar la forma de proteger la información.
Y es aquí donde nuestro legislador europeo se ha
puesto manos a la obra para intentar consensuar entre
todos los Estados europeos una política legislativa
común. Son ya numerosas las directivas europeas
dictadas sobre este aspecto, como por ejemplo la
Directiva sobre protección jurídica de los programas
de ordenador, o sobre la protección jurídica de las
bases de datos. En este sentido cabe destacar la
propuesta de Directiva sobre Firma Electrónica y la
propuesta de Directiva sobre Comercio Electrónico. Países
como Alemania, Italia, Reino Unido, etc., venían
desarrollando sus propias legislaciones sobre firma
digital, siendo por tanto imprescindible establecer una
política común que nos sirviese a todos los europeos.
La firma digital es justificable desde el momento en
que los contratos, las transacciones económicas, las
compras, etc. se realizan on-line, es decir sin la
presencia física de las partes. Surge de las tecnologías
utilizadas para conseguir la confidencialidad en las
comunicaciones, ante la proliferación de software que
consigue pinchar las comunicaciones obteniendo la
información deseada. Tal es el caso de un programa
denominado satán, el cual puede recoger todo correo
electrónico que lleve determinados contenidos (por
ejemplo el número de una tarjeta de crédito) o
determinado nombre (usuario@servidor.es). Esto quiere
decir que nuestras comunicaciones por Internet están
en peligro, siendo por tanto necesario realizar
previsiones de seguridad lo suficientemente buenas para
evitar que un ciberdelincuente haga con nuestro número
de tarjeta las compras que quiera.
Efectos
de la firma manuscrita
Actualmente, la firma manuscrita permite certificar el
reconocimiento, la conformidad o el acuerdo de
voluntades sobre un documento por parte de cada
firmante, aspecto de gran importancia desde un punto de
vista legal. La firma manuscrita tiene un
reconocimiento particularmente alto pese a que pueda
ser falsificada, ya que tiene peculiaridades que la
hacen fácil de realizar, de comprobar y de vincular a
quién la realiza.
|
La firma
digital consiste en la utilización de un método de
encriptación llamado asimétrico o de clave pública
|
Por tanto, sólo puede
ser realizada por una persona y puede ser comprobada
por cualquiera con la ayuda de una muestra. En este
caso el DNI juega un importante papel ya que lleva
incorporada la firma del titular. Algo que es tan fácil
de hacer en el mundo real no es tan fácil en el mundo
virtual. Para intentar conseguir los mismos efectos que
la firma manuscrita se requiere el uso de la criptología
y el empleo de algoritmos matemáticos que más
adelante pasaré a explicar.
La firma digital consiste en la utilización de un método
de encriptación llamado asimétrico o de clave pública.
Este método consiste en establecer un par de claves
asociadas a un sujeto, una pública, conocida por todos
los sujetos intervinientes en el sector, y otro
privada, sólo conocida por el sujeto en cuestión. De
esta forma cuando queramos establecer una comunicación
segura con otra parte basta con encriptar el mensaje
con la clave pública del sujeto para que a su recepción
sólo el sujeto que posee la clave privada pueda
leerlo. Para evitar perder el interés del lector creo
que debo pasar a explicar lo que es la criptología
para que de esa forma no se pierda en estos
tecnicismos.
La
criptología
La criptología se define como aquella ciencia que
estudia la ocultación, disimulación o cifrado de la
información, así como el diseño de sistemas que
realicen dichas funciones. Abarca por tanto a la
criptografía (datos, texto, e imágenes), la criptofonía
(voz) y el criptoanálisis, ciencia que estudia los
pasos y operaciones orientados a transformar un
criptograma en el texto claro original pero sin conocer
inicialmente el sistema de cifrado utilizado y/o la
clave.
Cifrar por tanto consiste en transformar una información
(texto claro) en otra ininteligible (texto cifrado o
cripto) según un procedimiento y usando una clave
determinada, pretendiendo que sólo quién conozca
dicho procedimiento y clave pueda acceder a la
información original. La operación inversa se llamara
lógicamente descifrar.
Por tanto estamos ante un criptosistema simétrico o de
clave secreta cuando las claves para cifrar y descifrar
son idénticas, o fácilmente calculables una a partir
de la otra. Por el contrario si las claves para cifrar
y descifrar son diferentes y una de ellas es imposible
de calcular por derivación de la otra entonces estamos
ante un criptosistema asimétrico o de clave pública.
Esto quiere decir que si utilizamos un criptosistema de
clave secreta o simétrico necesariamente las dos
partes que se transmiten información tienen que
compartir el secreto de la clave, puesto que tanto para
encriptar como para desencriptar se necesita una misma
clave u otra diferente pero deducible fácilmente de la
otra. Entre estos sistemas se encuentran: DES, RC2,
RC4, IDEA, SkipJack, etc... La peculiaridad de estos
sistemas de encriptación es que son rápidos en
aplicarse sobre la información.
Posibles
problemas de los algoritmos de encriptación
A sensu contrario, tenemos los sistemas de encriptación
asimétrica en los que no es necesario compartir un
secreto, puesto que cada usuario dispone de dos claves,
una pública que debe revelar o publicar para que los
demás puedan comunicarse con él, y una privada que
debe mantener en secreto. De esta forma cuando un
usuario desea mandar un mensaje protegido, cifra el
mensaje con la clave pública del destinatario para que
sólo este, que es el único conocedor de la clave
secreta pueda descifrar el mensaje. El sistema de
encriptación asimétrica más famoso es el algoritmo
RSA (utilizado por SET, secure electronic transfer
protocol) cuyas iniciales son las de sus creadores
Rivest, Shamir y Adelman. Ante este sistema de
encriptación surgen dos posibles problemas:
1.
¿Como sé que la clave pública del destinatario es la
que dice ser y no es la de otra persona que me engaña
para poder leer el mensaje?
Para solucionar este problema surgen las autoridades de
certificación. Las terceras partes de confianza
(trusted third parties) que son aquellas entidades que
merecen la confianza de otros actores en un escenario
de seguridad donde no existe confianza directa entre
las partes involucradas en una cierta transacción. Es
por tanto necesaria, una infraestructura de clave pública
para cerrar el círculo de confianza, proporcionando
una asociación fehaciente del conocimiento de la clave
pública a una entidad jurídica, lo que le permite la
verificación del mensaje y su imputación a una
determinada persona. Esta infraestructura de clave pública
consta de una serie de autoridades que se especializan
en papeles concretos:
Autoridades de certificación (CA o certification
authorities): que vinculan la clave pública a la
entidad registrada proporcionando un servicio de
identificación. Una CA es a su vez identificada por
otra CA creándose una jerarquía o árbol de
confianza: dos entes pueden confiar mutuamente entre sí
si existe una autoridad común que directa o
transitivamente les avala.
Autoridades de registro (RA o registration
authorities): que ligan entes registrados a figuras jurídicas,
extendiendo la accesibilidad de las CA.
Autoridades de fechado digital (TSA o time stamping
authorities): que vinculan un instante de tiempo a un
documento electrónico avalando con su firma la
existencia del documento en el instante referenciado
(resolverían el problema de la exactitud temporal de
los documentos electrónicos).
Estas autoridades pueden materializarse como entes
individuales, o como una colección de servicios que
presta una entidad multipropósito.
2.
¿No resulta demasiado endeble para el sistema de
encriptación asimétrica confiar en que el individuo
velará diligentemente en la administración de su
clave secreta?
Es decir, es posible que exista una mala administración
de la clave secreta por parte del usuario provocando la
quiebra del sistema. En su caso ¿qué parte respondería?
¿el usuario, el banco, la empresa?, ¿cómo se prueba
una mala administración de la clave secreta? Ante esta
posible quiebra se podría argumentar que el individuo
cambia frecuentemente de clave, pero si lo hace la
infraestructura de clave pública podría verse viciada
por la transmisión entre las distintas autoridades de
distintos ficheros de claves que no están
actualizados. Dicho problema está adquiriendo
importancia en Estados Unidos, de ahí que se estén
implementando soluciones como:
a) Los repositorios: o listas de revocación de
certificados por extravío o robo de claves privadas.
b) Las autoridades de fechado digital: que permiten al
verificador determinar fehacientemente si la firma
digital fue ejecutada dentro del período de validez
del certificado, previenen fechados fraudulentos antes
o después de la fecha consignada, o impiden alterar el
contenido del documento posteriormente al instante de
firma.
c) Incorporar la clave en un chip adjunto por ejemplo a
una tarjeta magnética. Esta solución sería factible
siempre y cuando nuestro ordenador tuviera un lector de
bandas magnéticas o chips, de forma que en el momento
de la transacción o la firma del contrato pueda leer
perfectamente de que persona se trata y que clave pública
o privada tiene asociada.
d) Otras soluciones apuntan hacia la Biometría,
ciencia que estudia la encriptación de los datos a
través de partes del cuerpo humano que sean características
únicas e individualizables de una persona, tales como
el iris del ojo, las huellas dactilares, etc.
Los algoritmos de encriptación asimétrica son 100
veces más lentos que los algoritmos de encriptación
simétrica por ello es necesario combinar distintas
formas de encriptación para conseguir una mayor
eficacia tanto en la contratación on-line como en la
venta a través de la red.
Algoritmos
de destilación
Además de estos algoritmos de encriptación asimétrica
existen otros algoritmos de compresión necesarios para
conseguir que la firma digital tenga los mismos efectos
que la manuscrita. Se trata de los algoritmos de
comprensión hash que se aplican sobre un determinado
texto en cuestión (por ejemplo el contrato on-line).
Son algoritmos que aplican funciones de no retorno.
Estas funciones que realizan son peculiares en el
sentido de que no es necesario la tenencia de una
clave, ya que aplican funciones matemáticas sencillas
para cifrar, pero para poder descifrar los cálculos
matemáticos a realizar serían prácticamente
imposibles de encontrar. Luego nadie, ni si quiera la
persona que cifra el texto, podría llegar al documento
original.
La comprensión crea un
texto limitado y reducido de entre 128 y 160 bits, el
cual representa de forma fehaciente la integridad del
documento, ya que si cambiamos un solo bit del
documento original el resultado obtenido al volver a
aplicar la función hash sería totalmente diferente.
Además de estas peculiaridades nos encontramos con que
las probabilidades para que dos textos distintos
tuviesen el mismo hash serían practicamente nulas.
Estos algoritmos también son conocidos como algoritmos
de destilación, algoritmos de huella digital o
algoritmos de función resumen, los cuales son vitales
y necesarios para la introducción de la firma digital
en la sociedad de la información.
Creo que después de esta prolija introducción sobre
la criptología y la infraestructura de clave pública,
el lector se puede encontrar en perfectas condiciones
para comprender lo que se entiende por firma digital.
Definición
de firma digital
La firma digital es un bloque de caracteres que acompaña
a un documento (o fichero) acreditando quién es su
autor (autenticación) y que no ha existido ninguna
manipulación posterior de los datos (integridad). Para
firmar un documento digital, su autor utiliza su propia
clave secreta (sistema criptográfico asimétrico), a
la que sólo él tiene acceso, lo que impide que pueda
después negar su autoría (no revocación). De esta
forma, el autor queda vinculado al documento de la
firma. Por último la validez de dicha firma podrá ser
comprobada por cualquier persona que disponga de la
clave pública del autor.
La firma
digital es un bloque de caracteres que acompaña a un
documento (o fichero) acreditando quién es su autor
(autenticación) y que no ha existido ninguna
manipulación posterior de los datos (integridad)
|
La firma se realizaría
de la siguiente forma: el software del firmante aplica
un algoritmo hash sobre el texto a firmar (algoritmo
matemático unidireccional, es decir, lo encriptado no
se puede desencriptar), obteniendo un extracto de
longitud fija, y absolutamente específico para ese
mensaje. Un mínimo cambio en el mensaje produciría un
extracto completamente diferente, y por tanto no
correspondería con el que originalmente firmó el
autor. Los algoritmos hash más utilizados para esta
función son el MD5 ó SHA-1. El extracto conseguido,
cuya longitud oscila entre 128 y 160 bits (según el
algoritmo utilizado), se somete a continuación a
cifrado mediante la clave secreta del autor. El
algoritmo más utilizado en este procedimiento de
encriptación asimétrica es el RSA. De esta forma
obtenemos un extracto final cifrado con la clave
privada del autor el cual se añadirá al final del
texto o mensaje para que se pueda verificar la autoría
e integridad del documento por aquella persona
interesada que disponga de la clave pública del autor.
Sin embargo, es necesario comprobar que la firma
realizada es efectivamente válida. Para ello es
necesario, como he comentado antes, la clave pública
del autor. El software del receptor, previa introducción
en el mismo de la clave pública del remitente
(obtenida a través de una autoridad de certificación),
descifraría el extracto cifrado del autor; a
continuación calcularía el extracto hash que le
correspondería al texto del mensaje, y si el resultado
coincide con el extracto anteriormente descifrado se
consideraría válida, en caso contrario significaría
que el documento ha sufrido una modificación posterior
y por tanto no es válido.
Las
autoridades de certificación
Si todos estos medios de seguridad están utilizando el
procedimiento de encriptación asimétrico, habrá que
garantizar tanto al emisor como al receptor la
autenticación de las partes, es decir, que éstas son
quienes dicen ser, y sólo a través de una autoridad
de certificación (CA certification authority) podrá
corregirse dicho error, certificando e identificando a
una persona con una determinada clave pública. Estas
autoridades emiten certificados de claves públicas de
los usuarios firmando con su clave secreta un
documento, válido por un período determinado de
tiempo, que asocia el nombre distintivo de un usuario
con su clave pública.
Una autoridad de certificación es esa tercera parte
fiable que acredita la ligazón entre una determinada
clave y su propietario real. Actuaría como una especie
de notario electrónico que extiende un certificado de
claves, el cual está firmado con su propia clave, para
así garantizar la autenticidad de dicha información.
Los certificados, son registros electrónicos que
atestiguan que una clave pública pertenece a
determinado individuo o entidad. Permiten verificar que
una clave pública pertenece a una determinada persona,
evitando que alguien utilice una clave falsa para
suplantar la personalidad de otro.
|
Una
autoridad de certificación es esa tercera parte fiable
que acredita la ligazón entre una determinada clave y
su propietario real
|
Por último, habría que
garantizar la confidencialidad del mensaje, ya que un
tercero ajeno puede "pinchar" las
comunicaciones y mediante un potente software obtener
todo lo que nuestro correo reciba o envíe. Este
problema se resolvería con la utilización de
protocolos seguros de comunicación o con el ensobrado
digital (utilizado por SET) solución criptográfica
que utiliza el sistema simétrico y el asimétrico a la
vez, aprovechando la rapidez de uno y la seguridad del
otro.
El mercado español de autoridades de certificación
está todavía en desarrollo. Para la contratación on-line existen varias autoridades certificadoras, de
las que cabe destacar por su importancia y esfuerzo
realizado: ACE (Agencia de Certificación Electrónica)
y FESTE (Fundación para el estudio de la Seguridad de
las Telecomunicaciones). ACE se encuentra constituida
primordialmente por la banca, mientras que FESTE
representa a los notarios, registradores, etc.. Ambas
utilizan unos medios de identificación muy seguros. En
concreto, FESTE realiza la asignación de claves ante
notario (lo cual no significa que sea necesario)
presentando el DNI o documentos que acrediten la
representación de una determinada persona jurídica.
No obstante, hay otros tipos de certificados que no
exigen la presencia del otorgante, facilitando la
celeridad del tráfico mercantil pero reduciendo la
seguridad en la autenticación de la parte firmante.
Finalmente, se puede decir que la implantación de la
firma digital en la sociedad de la información es una
mera cuestión de tiempo. Para su correcto
establecimiento se requerirá un desarrollo legislativo
adecuado por parte de los gobiernos, además de una
buena información al ciudadano y a la empresa. Sólo
con el esfuerzo de todas las partes intervinientes se
podrá llegar a la más que ansiada aldea global en la
que todo el mundo pueda comunicarse y operar de forma
segura y eficaz. Dejemos pues que sea la propia
sociedad la que dicte sus propias necesidades y que no
sea el temor a la evolución tecnológica el que
gobierne nuestros actos sino el respeto a la nueva
revolución de la era digital.
Fernando Ramos Suárez
|