La firma electrónica

• Autor: Ignacio Alamillo

La firma electrónica es el conjunto de datos, en forma electrónica, anejos a otros datos electrónicos o asociados funcionalmente con ellos, utilizados como medio para identificar formalmente al autor o a los autores del documento que la recoge.

La firma electrónica avanzada es la firma electrónica que permite la identificación del signatario y ha sido creada por medios que éste mantiene bajo su exclusivo control, de manera que está vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de éstos.

Una persona, llamada signatario, firma documentos mediante un dispositivo de creación de firma y unos datos de creación de firma; el destinatario del documento firmado debe verificar, mediante un dispositivo de verificación de firma y un certificado digital, la firma del signatario.

De este modo, el signatario es la persona física que cuenta con un dispositivo de creación de firma y que actúa en nombre propio o en el de una persona física o jurídica a la que representa [art. 2.c]. Se entiende que su actuación se refiere al acto de firmar un documento, dentro del marco, como veremos, de una política de firma electrónica.

Los datos de creación de firma son los datos únicos, como códigos o claves criptográficas privadas, que el signatario utiliza para crear la firma electrónica [art. 2.d], y los datos de verificación de firma son los datos, como códigos o claves criptográficas públicas, que se utilizan para verificar la firma electrónica [art. 2.h].

Los anteriores datos de creación de firma electrónica deben ser empleados por un dispositivo de creación de firma, que posee el signatario: para que la firma electrónica tenga un valor superior, veremos que el dispositivo de creación de firma debe cumplir determinados requisitos (en ese caso se denomina dispositivo seguro de creación de firma); igualmente, el destinatario de un mensaje firmado debe disponer de un dispositivo de verificación de firma.

Los certificados digitales

El certificado digital es la certificación electrónica que vincula unos datos de verificación de firma a un signatario y confirma su identidad [art. 2.i].

Cuando el certificado contiene determinadas informaciones, y se ha expedido en las condiciones establecidas en el RD-L, que posteriormente analizaremos, se dice que se trata de un certificado reconocido [art. 2.j].

Un certificado de la Agencia de Certificación Electrónica [en adelante ACE], tanto si es reconocido como si es ordinario, es una estructura informática de datos, un documento electrónico, que contiene los datos de verificación de firma de un signatario, juntamente con otras informaciones, en especial la identidad del signatario, documento electrónico que es infalsificable, por haber sido firmado por la organización que lo genera; en nuestro caso, ACE, con sus propios datos de creación de firma electrónica.

Con todo, los certificados no contienen todos los datos de verificación de firma de un signatario: los certificados contienen las claves públicas, por lo que se suelen denominar también certificados de clave pública, pero no contienen otros datos de verificación de una firma, como un sello de fecha y hora o determinados atributos necesario para determinar si la firma es legítima, como la existencia de poderes por parte de un administrador de la empresa.

Para garantizar estos extremos, deben emplearse diversos certificados en la verificación de una firma electrónica, o incorporar las correspondientes manifestaciones dentro del certificado.

En el primer caso tenemos certificados de utilización universal, como si del Documento Nacional de Identidad se tratare, que se complementan en una transacción concreta mediante el empleo concurrente de otros certificados; en el segundo, tenemos certificados de uso más restringido, porque sus garantías quedan limitadas cuanto mayor es el número de datos adicionales que se introducen en el mismo.

Firma electrónica y certificados

El certificado digital contiene, de forma fiable, los datos de verificación de firma del signatario, lo que el RD-L describe del siguiente modo:

- Vincula unos datos de verificación de firma a un signatario y

- Confirma la identidad de un signatario.

En principio, no se necesita un certificado para crear una firma, porque un certificado no es un dispositivo de creación de firma; un certificado tampoco es un dato de creación de firma, ni lo contiene. ¿Cuál es, entonces, la relación entre firma electrónica y certificado? El certificado es un elemento que permite al destinatario...