En España siempre nos ha gustado regodearnos en la idea de que somos los más atrasados de Europa, de que vivimos en un país de chirigota y pandereta, donde son siempre los otros (los alemanes, los ingleses, los nórdicos), los que impulsan los avances tecnológicos a los que con retraso nos apuntamos años después chapuceramente.
Cuadro falso o retrato acertado, lo cierto es que en materia de seguridad y criptografía, España está protagonizando una serie de iniciativas para proteger la seguridad y la intimidad en las comunicaciones telemáticas que la sitúan a la cabeza de Europa, si no del mundo, como atestiguó en primavera la experiencia pionera de declaración de renta a través de Internet. El Real Decreto-Ley 14/1999 de 17 de septiembre sobre firma electrónica viene a ratificar este deseo de acelerar la introducción y rápida difusión de esta tecnología criptográfica de clave pública, así como de dotar de la adecuada seguridad jurídica a las firmas digitales con el fin último de espolear el desarrollo de la sociedad de la informaci¢n en nuestro pa¡s.
En palabras del propio Decreto-Ley, ‘ste «persigue, respetando el contenido de la posici¢n comon respecto de la Directiva sobre firma electr¢nica, establecer una regulaci¢n clara del uso de ‘sta, atribuy’ndole eficacia jur¡dica y previendo el r’gimen aplicable a los prestadores de servicios de certificaci¢n. Determina el registro en el que habr n de inscribirse los prestadores de servicios de certificaci¢n y el r’gimen de inspecci¢n administrativa de su actividad, regula la expedici¢n y la p’rdida de eficacia de los certificados y tipifica las infracciones y las sanciones que se prev’n para garantizar su cumplimiento«.
A continuaci¢n, merece la pena realizar algunas aclaraciones que eluciden lo que el texto recoge. Para el profano, baste decir que por firma electr¢nica, segon definici¢n recogida en el Decreto-Ley, se entiende «el conjunto de datos, en forma electr¢nica, anejos a otros datos electr¢nicos o asociados funcionalmente con ellos, utilizados como medio para identificar formalmente al autor o a los autores del documento que la recoge«. A continuaci¢n se proporciona otra definici¢n, m s acorde con la idea comon que se tiene de firma digital basada en PKI, concepto que de forma general denomina el texto firma electr¢nica avanzada: «la firma electr¢nica que permite la identificaci¢n del signatario y ha sido creada por medios que ‘ste mantiene bajo su exclusivo control, de manera que est vinculada onicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificaci¢n ulterior de ‘stos«. Por signatario se entiende «la persona f¡sica que cuenta con un dispositivo de creaci¢n de firma y que actoa en nombre propio o en el de una persona f¡sica o jur¡dica a la que representa«.
En definitiva, +qu’ valor tiene la firma electr¢nica? Segon las definiciones anteriores, se deduce que la firma permite identificar un¡vocamente al signatario, es decir, proporciona el servicio de autenticaci¢n (verificaci¢n de la identidad del firmante para estar seguro de que fue ‘l y no otro el autor del documento) y de no repudio (seguridad de que el autor del documento no puede retractarse en el futuro de las opiniones o acciones consignadas en ‘l). Adem s, la firma permite que sea detectada cualquier modificaci¢n de los datos firmados, proporcionando as¡ una garant¡a de integridad ante alteraciones fortuitas o deliberadas durante la transmisi¢n y manipulaci¢n telem tica del documento firmado. El hecho de que la firma haya sido creada por el signatario mediante medios que mantiene bajo su propio control (su clave privada protegida, por ejemplo, por una contrase_a, datos biom’tricos, una tarjeta chip, etc.) asegura, adem s, la imposibilidad de su suplantaci¢n. As¡, en el caso de la utilizaci¢n de firmas digitales para acceder a servicios de red o autenticarse ante servidores, se previenen ataques comunes de captaci¢n de contrase_as mediante el uso de analizadores de protocolos o la ejecuci¢n de reventadores de contrase_as.
Otro concepto criptogr fico directamente vinculado con el de firma digital es el de certificado, que segon el Decreto-Ley «es la certificaci¢n electr¢nica que vincula unos datos de verificaci¢n de firma a un signatario y confirma su identidad«. No es otra cosa que la vinculaci¢n de la clave poblica del signatario con su identidad real verificada fehacientemente por el prestador de servicios de certificaci¢n . Una definici¢n fuerte del mismo es lo que se denomina certificado reconocido, es decir, «el certificado que contiene la informaci¢n descrita en el art¡culo 8 y es expedido por un prestador de servicios de certificaci¢n que cumple los requisitos enumerados en el art¡culo 12«.
Los prestadores de servicios de certificaci¢n (PSC) anteriormente referidos son la «persona f¡sica o jur¡dica que expide certificados, pudiendo prestar, adem s, otros servicios en relaci¢n con la firma electr¢nica«. En otras palabras, lo que normalmente se entiende por autoridades de certificaci¢n (AC), al estilo de VeriSign ( www.verisign.com) o ACE ( www.ace.es) o FESTE ( www.feste.com) en Espa_a. Se contempla que cualquier entidad u organizaci¢n poblica o privada se constituya en PSC, fomentando as¡ la libre competencia tambi’n en este mbito.
Fuente:
Gonzalo -lvarez Mara_¢n
criptonomicon@iec.csic.es
Bolet¡n Criptonomic¢n #56
http://www.iec.csic.es/criptonomicon
