La firma digital pot ser definida com una seqüència de dades electròniques (bits) que s’obtenen mitjançant l’aplicació a un missatge determinat d’un algoritme (fórmula matemàtica) de xifrat asimètric o de clau pública, i que equival funcionalment a la firma autògrafa a l’efecte de la identificació de l’autor del qual procedix el missatge. Des d’un punt de vista material, la firma digital és una simple cadena o seqüència de caràcters que s’adjunta al final del cos del missatge firmat digitalment.
L’aparició i el desenvolupament de les xarxes telemàtiques, de les quals Internet és l’exemple més notori, ha comportat la possibilitat d’intercanviar entre persones distants geogràficament missatges de tot tipus, inclosos els missatges de contingut contractual. Estos missatges plantegen el problema d’acreditar-ne tant l’autenticitat com l’autoria.
Concretament, perquè dues persones (ja siguen dos empresaris o un empresari i un consumidor) puguen intercanviar entre ells missatges electrònics de caràcter comercial que siguen mínimament fiables i puguen, en conseqüència, donar a les parts contractants la confiança i la seguretat que necessita el tràfic comercial, eixos missatges han de complir els requisits següents:
Doncs bé, la firma digital és un procediment tècnic que, basant-se en tècniques criptogràfiques, tracta de donar resposta a eixa triple necessitat apuntada anteriorment, a fi de possibilitar el tràfic comercial electrònic..
D’altra banda, als tres requisits anteriors, s’unix un quart element, que és la confidencialitat, que no és un requisit essencial de la firma digital sinó accessori d’esta. La confidencialitat implica que el missatge no haja pogut ser llegit per terceres persones distintes de l’emissor i del receptor durant el procés de transmissió d’este.
Per a garantir la identitat del firmant s’empra la tecnologia de parell de claus vinculada a les dades identificadores del titular del certificat. D’esta manera, quan es firma un document s’utilitza un número únic que només pertany al firmant. El receptor del document verifica la firma amb la part pública de la clau; d’esta manera, si el procés de validació és positiu, ha de concloure’s que el firmant del document és el titular del certificat.
La integritat del document no es referix al fet de validar-ne el contingut, sinó de garantir que el document no ha sigut modificat després de la firma. Per a garantir açò no cal que un tercer custodie una còpia del document, sinó que es fa generant un codi únic del document a partir de la seua estructura interna en el moment de ser firmat. Qualsevol alteració del contingut del document provocarà que, en aplicar de nou la funció de generació de codi únic, siga impossible reproduir l’original; per tant, quedarà trencada la integritat del contingut.
Els elements que garantixen la no repudiació són els següents:
Els sistemes criptogràfics asimètrics o de clau pública es basen en el xifrat de missatges mitjançant la utilització d’un parell de claus diferents (privada i pública), per això el nom d’asimètrics que s’atribuïx a una persona determinada i que tenen les característiques següents:
Juntament amb la criptografia asimètrica s’utilitzen en la firma digital les denominades funciones hash o funcions resum. Els missatges que s’intercanvien poden tenir una dimensió considerable, fet este que dificulta el procés de xifrat. Per això, no es xifra el missatge sencer sinó un resum d’este obtingut aplicant al missatge una funció hash.
Partint d’un missatge determinat que pot tenir qualsevol dimensió, l’esmentat missatge es convertix mitjançant la funció hash en un missatge amb una dimensió fixa (generalment de 160 bits). Per a això, el missatge originari es dividix en diverses parts cadascuna de les quals tindrà eixa grandària de 160 bits, i una vegada dividit es combinen elements presos de cada una de les parts resultants de la divisió per a formar el missatge-resum o hash, que també tindrà una dimensió fixa i constant de 160 bits. Este resum de dimensió fixa és el que es xifrarà utilitzant la clau privada de l’emissor del missatge.
A diferència de la firma autògrafa, que és de lliure creació per cada individu i no necessita ser autoritzada per ningú ni registrada en cap part per a ser utilitzada, la firma digital, i més concretament el parell de claus que s’utilitzen per a firmar digitalment els missatges, no poden ser creats lliurement per cada individu.
En principi, qualsevol persona pot dirigir-se a una empresa informàtica que dispose dels dispositius necessaris per a generar el parell de claus i sol·licitar la creació de l’esmentat parell de claus. Posteriorment, amb el parell de claus creat per a una persona determinada, esta es dirigiria a un prestador de servicis de certificació per a obtenir el certificat digital corresponent a eixe parell de claus.
No obstant això, en la pràctica els prestadors de servicis de certificació complixen ambdues funcions: creen el parell de claus (pública i privada) per a una persona i expedixen el certificat digital corresponent a eixe parell de claus
La utilització del parell de claus (privada i pública) per a xifrar i desxifrar els missatges permet tenir la certesa que el missatge que B rep de A i que desxifra amb la clau pública de A, no ha sigut alterat i prové necessàriament de A. Però, qui és A?.
Per a respondre de la identitat de A (emissor) és necessari la intervenció d’un tercer, que són els denominats prestadors de servicis de certificació la missió dels quals és la d’emetre els denominats certificats digitals o certificats de clau pública.
Un certificat digital és un arxiu electrònic que té una grandària màxima de 2 quilobytes i que conté les dades d’identificació personal de A (emissor dels missatges), la clau pública de A i la firma privada del mateix prestador de servicis de certificació. Eixe arxiu electrònic és xifrat per l’entitat prestadora de servicis de certificació amb la clau privada d’esta.
Els certificats digitals tenen una durada determinada, transcorreguda la qual han de ser renovats, i poden ser revocats anticipadament en determinats supòsits (per exemple, en el cas que la clau privada, que ha romandre secreta, haja passat a ser coneguda per terceres persones no autoritzades per a usar-la).
Gràcies al certificat digital, el parell de claus obtingut per una persona estarà sempre vinculat a una determinada identitat personal, i si sabem que el missatge ha sigut xifrat amb la clau privada d’eixa persona, sabrem també qui és la persona titular d’eixa clau privada.
El procés d’obtenció dels elements que necessite per a firmar digitalment missatges (parell de claus i certificat digital) és el següent:
Consulteu pàgina web Fàbrica Nacional de Moneda i Timbre com a proveïdor de servicis de certificació.
A Espanya s’expedix, des de març de l’any 2006, un tipus especial d’identificació denominada DNI electrònic.
El naixement del document nacional d’identitat electrònic (DNIe) respon a la necessitat d’atorgar identitat personal als ciutadans per al seu ús en la nova Societat de la Informació, a més de servir-ne d’impulsor. Així, el DNIe és l’adaptació del tradicional document d’identitat a la nova realitat d’una societat interconnectada per xarxes de comunicacions.
Enllaços d’interés:
Documents d’interés:
La signatura digital (299)