Como Aplicar la Nueva Normativa sobre Firma Electrónica

• Autor: Fernando Ramos Suárez
• Cargo: Responsable del Departamento de Derecho Informático LEGALIA

El gran intercambio electrónico de información que en la actualidad se esta produciendo gracias al avance de las Nuevas Tecnologías, constituye una poderosa herramienta que está destinada a producir enormes cambios en las relaciones sociales y económicas. La educación, la cultura, el comercio, el trabajo etc. son campos de nuestra vida que están ampliamente influenciados por el flujo de la información, es por tanto imprescindible dotar de una infraestructura que garantice un trafico jurídico mercantil seguro.

En este sentido estamos experimentando en la actual sociedad de la información un profundo cambio que nos lleva hacia el ocaso de la civilización del papel, de la firma manuscrita y por consiguiente del monopolio de la escritura en la realidad documental. Esta revolución se esta produciendo en parte con la nueva entrada en vigor del Real Decreto Ley 14/1999 de 17 de septiembre sobre Firma Electrónica (en adelante RDL)

A través de este RDL se persigue establecer una regulación clara de la Firma Electrónica, que le otorgue igual eficacia jurídica que la firma manuscrita. Para la consecución de este objetivo es requisito sine qua non la intervención en el proceso de las terceras partes de confianza o Thrusted Third Parties (TTP). Por tanto es contenido obligado de la Ley establecer un régimen jurídico aplicable a las TTP o a los prestadores de servicios de certificación.

Con la llega del EDI (Electronic Data Interchange) en los años ochenta, se introduce la necesidad de que una tercera parte intervenga en las relaciones comerciales entre empresas. La función de esta tercera parte es dar fe de que las transacciones electrónicas de datos se han producido.

La extensión de la informática y la expansión de las redes de ámbito mundial, ha hecho incrementar los peligros para la información que circula y se almacenada en los sistemas informáticos. Por ello la Sociedad de la Información ha realizado un esfuerzo considerable para garantizar la seguridad de dichas redes telemáticas.

En este sentido se han aportado una serie de soluciones, propuestas por los organismos de normalización, para evitar los posibles ataques y operaciones ilegales a los que pueden estar sometidas las redes telemáticas. Estas soluciones consisten en dotar a las redes telemáticas de una serie de servicios de seguridad que utilizan en su mayoría técnicas criptográficas como herramienta básica. La encriptación podemos decir que está basada en dos componentes: un algoritmo y una clave. Actualmente se han podido desencriptar algoritmos de 40 bits en no mucho tiempo, siendo por tanto imprescindible para una comunicación segura la utilización de un algoritmo que admita una clave de 128 bits, dichos algoritmos son muchísimo más seguros pero también más lentos, por ello hay que encontrar un termino medio en la aplicación de dichos mecanismos de seguridad.

Hay dos tipos de encriptación, la encriptación simétrica que obliga a los dos interlocutores (emisor y receptor) del mensaje a utilizar la misma clave para encriptar y desencriptar el mismo (como por ejemplo el criptosistema "DES" desarrollado por IBM, Data Encryption Standard), y la encriptación asimétrica o criptografía de claves públicas la cual está basada en el concepto de pares de claves, de forma tal que cada uno de los elementos del par (una clave) puede encriptar información que solo la otra componente del par (la otra clave) puede desencriptar. El par de claves se asocia con un sólo interlocutor, así un componete del par (la clave privada) solamente es conocida por su propietario mientras que la otra parte del par (la clave pública) se publica ampliamente para que todos la conozcan (en este caso destaca el famoso criptosistema RSA cuyas iniciales son las de sus creeadores Rivest, Shamir y Adelman).

Según el documento de la ISO (International Standard Organization) que describe el modelo de referencia OSI, presenta en su parte 2 una Arquitectura de seguridad. ("Information Processing Sistems. OSI Reference model- Part 2: Security Architecture". ISO/IEC IS 7498-2, Jul. 1988). Según esta arquitectura de seguridad para proteger las comunicaciones de los usuarios en las redes, es necesario dotar a las mismas de los siguientes servicios de seguridad:

Autenticación de entidad.

Control de acceso.

Confidencialidad de los datos.

No repudio.

Para proporcionar estos servicios de seguridad es necesario incorporar en los niveles apropiados del modelo de referencia OSI los siguientes mecanismos de seguridad:

Cifrado. Utilizando sistemas criptográficos simétricos o asimétricos.

Control de acceso. Mecanismo que se utiliza para autenticar las capacidades de una entidad, con el fin de asegurar los derechos de acceso a recursos que posee..

Firma digital. Supone el cifrado con una componente secreta del firmante, de la unidad de datos. La firma digital descrita por la OSI utiliza un esquema criptográfico asimétrico. La firma se obtiene a través de una cadena que contiene el resultado de cifrar con RSA, aplicando la clave privada del firmante, a una versión comprimida del texto a firmar. Para verificar la firma, el receptor descifra la firma con la clave pública del emisor, luego comprime el texto original recibido con igual función que el emisor y compara el resultado de la parte descifrada con la parte comprimida, si ambas coinciden el emisor tiene la garantía de que el texto no ha sido modificado. A través de este mecanismo se pueden garantizar casi todos los servicios de seguridad determinados por la ISO.

Pero aquí no acaban los problemas ya que en todos estos procedimientos de encriptación asimétrica existe un punto débil. Supongamos por ejemplo, que un usuario A quiere enviar un mensaje cifrado a otro usuario B. En una comunicación anterior un tercer usuario C, ha conseguido engañar a A y le ha hecho creer que la clave pública de B es una que él le ha proporcionado. Cuando A envíe su mensaje cifrado con la clave pública , C podrá interceptarlo y descifrarlo. El problema se resuelve gracias a un intermediario cuya clave pública es conocida por todos los interesados y en el cual todos confían. Cuando alguien necesita de una clave de otro usuario se la solicita al intermediario, que la envía en un mensaje firmado lo que garantiza la validez de la clave. En Internet estos intermediarios serán unos programas ejecutandose en unos ordenadores, los cuales son denominados servidores de claves o Autoridades de Certificatión.

¿Que es una firma digital?

Un firma digital, es un bloque de caracteres que acompaña a un documento (o fichero) acreditando quién es su autor (autenticación) y que no ha existido ninguna manipulación posterior de los datos (integridad). Para firmar un documento digital, su autor utiliza su propia clave secreta (sistema criptográfico asimétrica), a la que sólo el tiene acceso, lo que impide que pueda después negar su autoría (no revocación o no repudio). De esta forma, el autor queda vinculado al documento de la firma. Por último la validez de dicha firma podrá ser comprobada por...