FERNANDO RAMOS SUAREZ
Abogado especializado en Derecho Informático
y Tecnologías de la Información
Pensemos en aquellos programas de software que se realizaron en los años 80
con los dos primeros dígitos del campo fecha fijos ¿cómo iba a saber el
desarrollador de software que iba a dar los problemas que actualmente está
dando el famoso año 2000? Entonces un ordenador no tenía ni mucho menos la
potencia que las computadoras de ahora, siendo por tanto imprescindible
aprovechar el mayor espacio posible tanto de memoria como de disco. Efectivamente,
no habían previsto el cambio brutal que se iba a experimentar y optaron por
una solución que en su tiempo evitó muchos quebraderos de cabeza. Sin embargo,
en la actualidad la empresa que no haya solucionado el problema del año 2000
tendrá problemas graves para poder continuar con su actividad empresarial,
pues cuando sus sistemas informáticos se bloqueen será muy difícil encontrar a
un programador que en pocos días solucione el problema, por no decir, que casi
todos serán requeridos para la solución de dicho problema al mismo tiempo. Si
a ello unimos la introducción del euro y la liberalización de las
telecomunicaciones nos vemos ante un reto muy importante. ¡Hay que subirse al
tren por muy rápido que sea! O te subes o te quedas atrás. Quizá aquí los
abogados jóvenes tenemos más ventaja que otros que ya han visto pasar por sus
ojos varias décadas. No obstante, creo que es necesario por parte de todos
hacer un esfuerzo por adaptarse lo mejor posible a la nueva sociedad de la
información.
La firma digital es justificable
desde el momento en que los contratos, las transacciones económicas, las
compras, etc. se realizan on-line
Esta nueva sociedad de la
información necesita de muchas regulaciones puesto que todo lo que esta
saliendo es tan innovador que no existe siquiera una referencia legislativa.
Difícil será entrar en dicha sociedad si todavía no hemos podido encontrar la
forma de proteger la información. Y es aquí donde nuestro legislador europeo
se ha puesto manos a la obra para intentar consensuar entre todos los Estados
europeos una política legislativa común. Son ya numerosas las directivas
europeas dictadas sobre este aspecto, como por ejemplo la Directiva sobre
protección jurídica de los programas de ordenador, o sobre la protección jurídica
de las bases de datos. En este sentido cabe destacar la propuesta de Directiva
sobre Firma Electrónica y la propuesta de Directiva sobre Comercio
Electrónico. Países como Alemania, Italia, Reino Unido, etc., venían
desarrollando sus propias legislaciones sobre firma digital, siendo por tanto
imprescindible establecer una política común que nos sirviese a todos los
europeos.
La firma digital es justificable desde el momento en que los contratos, las
transacciones económicas, las compras, etc. se realizan on-line, es decir sin
la presencia física de las partes. Surge de las tecnologías utilizadas para
conseguir la confidencialidad en las comunicaciones, ante la proliferación de
software que consigue pinchar las comunicaciones obteniendo la información
deseada. Tal es el caso de un programa denominado satán, el cual puede recoger
todo correo electrónico que lleve determinados contenidos (por ejemplo el
número de una tarjeta de crédito) o determinado nombre (usuario@servidor.es).
Esto quiere decir que nuestras comunicaciones por Internet están en peligro,
siendo por tanto necesario realizar previsiones de seguridad lo
suficientemente buenas para evitar que un ciberdelincuente haga con nuestro
número de tarjeta las compras que quiera.
Efectos de la firma manuscrita
Actualmente, la firma manuscrita permite certificar el reconocimiento, la
conformidad o el acuerdo de voluntades sobre un documento por parte de cada
firmante, aspecto de gran importancia desde un punto de vista legal. La firma
manuscrita tiene un reconocimiento particularmente alto pese a que pueda ser
falsificada, ya que tiene peculiaridades que la hacen fácil de realizar, de
comprobar y de vincular a quién la realiza.
La firma digital consiste en la utilización de un método de
encriptación llamado asimétrico o de clave pública
Por tanto, sólo puede ser
realizada por una persona y puede ser comprobada por cualquiera con la ayuda
de una muestra. En este caso el DNI juega un importante papel ya que lleva
incorporada la firma del titular. Algo que es tan fácil de hacer en el mundo
real no es tan fácil en el mundo virtual. Para intentar conseguir los mismos
efectos que la firma manuscrita se requiere el uso de la criptología y el
empleo de algoritmos matemáticos que más adelante pasaré a explicar.
La firma digital consiste en la utilización de un método de encriptación
llamado asimétrico o de clave pública. Este método consiste en establecer un
par de claves asociadas a un sujeto, una pública, conocida por todos los
sujetos intervinientes en el sector, y otro privada, sólo conocida por el
sujeto en cuestión. De esta forma cuando queramos establecer una comunicación
segura con otra parte basta con encriptar el mensaje con la clave pública del
sujeto para que a su recepción sólo el sujeto que posee la clave privada pueda
leerlo. Para evitar perder el interés del lector creo que debo pasar a
explicar lo que es la criptología para que de esa forma no se pierda en estos
tecnicismos.
La criptología
La criptología se define como aquella ciencia que estudia la ocultación,
disimulación o cifrado de la información, así como el diseño de sistemas que
realicen dichas funciones. Abarca por tanto a la criptografía (datos, texto, e
imágenes), la criptofonía (voz) y el criptoanálisis, ciencia que estudia los
pasos y operaciones orientados a transformar un criptograma en el texto claro
original pero sin conocer inicialmente el sistema de cifrado utilizado y/o la
clave.
Cifrar por tanto consiste en transformar una información (texto claro) en otra
ininteligible (texto cifrado o cripto) según un procedimiento y usando una
clave determinada, pretendiendo que sólo quién conozca dicho procedimiento y
clave pueda acceder a la información original. La operación inversa se llamara
lógicamente descifrar.
Por tanto estamos ante un criptosistema simétrico o de clave secreta cuando
las claves para cifrar y descifrar son idénticas, o fácilmente calculables una
a partir de la otra. Por el contrario si las claves para cifrar y descifrar
son diferentes y una de ellas es imposible de calcular por derivación de la
otra entonces estamos ante un criptosistema asimétrico o de clave pública.
Esto quiere decir que si utilizamos un criptosistema de clave secreta o
simétrico necesariamente las dos partes que se transmiten información tienen
que compartir el secreto de la clave, puesto que tanto para encriptar como
para desencriptar se necesita una misma clave u otra diferente pero deducible
fácilmente de la otra. Entre estos sistemas se encuentran: DES, RC2, RC4, IDEA,
SkipJack, etc... La peculiaridad de estos sistemas de encriptación es que son
rápidos en aplicarse sobre la información.
Posibles problemas de los algoritmos de
encriptación
A sensu contrario, tenemos los sistemas de encriptación asimétrica en los que
no es necesario compartir un secreto, puesto que cada usuario dispone de dos
claves, una pública que debe revelar o publicar para que los demás puedan
comunicarse con él, y una privada que debe mantener en secreto. De esta forma
cuando un usuario desea mandar un mensaje protegido, cifra el mensaje con la
clave pública del destinatario para que sólo este, que es el único conocedor
de la clave secreta pueda descifrar el mensaje. El sistema de encriptación
asimétrica más famoso es el algoritmo RSA (utilizado por SET, secure
electronic transfer protocol) cuyas iniciales son las de sus creadores Rivest,
Shamir y Adelman. Ante este sistema de encriptación surgen dos posibles
problemas:
1. ¿Como sé que la clave pública del
destinatario es la que dice ser y no es la de otra persona que me engaña para
poder leer el mensaje?
Para solucionar este problema surgen las autoridades de certificación. Las
terceras partes de confianza (trusted third parties) que son aquellas
entidades que merecen la confianza de otros actores en un escenario de
seguridad donde no existe confianza directa entre las partes involucradas en
una cierta transacción. Es por tanto necesaria, una infraestructura de clave
pública para cerrar el círculo de confianza, proporcionando una asociación fehaciente
del conocimiento de la clave pública a una entidad jurídica, lo que le permite
la verificación del mensaje y su imputación a una determinada persona. Esta
infraestructura de clave pública consta de una serie de autoridades que se
especializan en papeles concretos:
Autoridades de certificación (CA o certification authorities): que vinculan la
clave pública a la entidad registrada proporcionando un servicio de
identificación. Una CA es a su vez identificada por otra CA creándose una
jerarquía o árbol de confianza: dos entes pueden confiar mutuamente entre sí
si existe una autoridad común que directa o transitivamente les avala.
Autoridades de registro (RA o registration authorities): que ligan entes
registrados a figuras jurídicas, extendiendo la accesibilidad de las CA.
Autoridades de fechado digital (TSA o time stamping authorities): que vinculan
un instante de tiempo a un documento electrónico avalando con su firma la
existencia del documento en el instante referenciado (resolverían el problema
de la exactitud temporal de los documentos electrónicos).
Estas autoridades pueden materializarse como entes individuales, o como una
colección de servicios que presta una entidad multipropósito.
2. ¿No resulta demasiado endeble para el
sistema de encriptación asimétrica confiar en que el individuo velará
diligentemente en la administración de su clave secreta?
Es decir, es posible que exista una mala administración de la clave secreta
por parte del usuario provocando la quiebra del sistema. En su caso ¿qué parte
respondería? ¿el usuario, el banco, la empresa?, ¿cómo se prueba una mala
administración de la clave secreta? Ante esta posible quiebra se podría
argumentar que el individuo cambia frecuentemente de clave, pero si lo hace la
infraestructura de clave pública podría verse viciada por la transmisión entre
las distintas autoridades de distintos ficheros de claves que no están
actualizados. Dicho problema está adquiriendo importancia en Estados Unidos,
de ahí que se estén implementando soluciones como:
a) Los repositorios: o listas de revocación de certificados por extravío o
robo de claves privadas.
b) Las autoridades de fechado digital: que permiten al verificador determinar
fehacientemente si la firma digital fue ejecutada dentro del período de
validez del certificado, previenen fechados fraudulentos antes o después de la
fecha consignada, o impiden alterar el contenido del documento posteriormente
al instante de firma.
c) Incorporar la clave en un chip adjunto por ejemplo a una tarjeta magnética.
Esta solución sería factible siempre y cuando nuestro ordenador tuviera un
lector de bandas magnéticas o chips, de forma que en el momento de la
transacción o la firma del contrato pueda leer perfectamente de que persona se
trata y que clave pública o privada tiene asociada.
d) Otras soluciones apuntan hacia la Biometría, ciencia que estudia la
encriptación de los datos a través de partes del cuerpo humano que sean
características únicas e individualizables de una persona, tales como el iris
del ojo, las huellas dactilares, etc.
Los algoritmos de encriptación asimétrica son 100 veces más lentos que los
algoritmos de encriptación simétrica por ello es necesario combinar distintas
formas de encriptación para conseguir una mayor eficacia tanto en la
contratación on-line como en la venta a través de la red.
Algoritmos de destilación
Además de estos algoritmos de encriptación asimétrica existen otros algoritmos
de compresión necesarios para conseguir que la firma digital tenga los mismos
efectos que la manuscrita. Se trata de los algoritmos de comprensión hash que
se aplican sobre un determinado texto en cuestión (por ejemplo el contrato
on-line). Son algoritmos que aplican funciones de no retorno. Estas funciones
que realizan son peculiares en el sentido de que no es necesario la tenencia
de una clave, ya que aplican funciones matemáticas sencillas para cifrar, pero
para poder descifrar los cálculos matemáticos a realizar serían prácticamente
imposibles de encontrar. Luego nadie, ni si quiera la persona que cifra el
texto, podría llegar al documento original.
La comprensión crea un texto limitado y reducido de entre 128 y 160
bits, el cual representa de forma fehaciente la integridad del documento, ya
que si cambiamos un solo bit del documento original el resultado obtenido al
volver a aplicar la función hash sería totalmente diferente. Además de estas
peculiaridades nos encontramos con que las probabilidades para que dos textos
distintos tuviesen el mismo hash serían practicamente nulas. Estos algoritmos
también son conocidos como algoritmos de destilación, algoritmos de huella
digital o algoritmos de función resumen, los cuales son vitales y necesarios
para la introducción de la firma digital en la sociedad de la información.
Creo que después de esta prolija introducción sobre la criptología y la
infraestructura de clave pública, el lector se puede encontrar en perfectas
condiciones para comprender lo que se entiende por firma digital.
Definición de firma digital
La firma digital es un bloque de caracteres que acompaña a un documento (o
fichero) acreditando quién es su autor (autenticación) y que no ha existido
ninguna manipulación posterior de los datos (integridad). Para firmar un
documento digital, su autor utiliza su propia clave secreta (sistema
criptográfico asimétrico), a la que sólo él tiene acceso, lo que impide que
pueda después negar su autoría (no revocación). De esta forma, el autor queda
vinculado al documento de la firma. Por último la validez de dicha firma podrá
ser comprobada por cualquier persona que disponga de la clave pública del
autor.
La firma digital es un bloque de
caracteres que acompaña a un documento (o fichero) acreditando quién es su
autor (autenticación) y que no ha existido ninguna manipulación posterior de
los datos (integridad)
La firma se realizaría de la siguiente forma: el software del firmante
aplica un algoritmo hash sobre el texto a firmar (algoritmo matemático
unidireccional, es decir, lo encriptado no se puede desencriptar), obteniendo
un extracto de longitud fija, y absolutamente específico para ese mensaje. Un
mínimo cambio en el mensaje produciría un extracto completamente diferente, y
por tanto no correspondería con el que originalmente firmó el autor. Los algoritmos
hash más utilizados para esta función son el MD5 ó SHA-1. El extracto
conseguido, cuya longitud oscila entre 128 y 160 bits (según el algoritmo
utilizado), se somete a continuación a cifrado mediante la clave secreta del
autor. El algoritmo más utilizado en este procedimiento de encriptación
asimétrica es el RSA. De esta forma obtenemos un extracto final cifrado con la
clave privada del autor el cual se añadirá al final del texto o mensaje para
que se pueda verificar la autoría e integridad del documento por aquella
persona interesada que disponga de la clave pública del autor.
Sin embargo, es necesario comprobar que la firma realizada es efectivamente
válida. Para ello es necesario, como he comentado antes, la clave pública del
autor. El software del receptor, previa introducción en el mismo de la clave
pública del remitente (obtenida a través de una autoridad de certificación),
descifraría el extracto cifrado del autor; a continuación calcularía el
extracto hash que le correspondería al texto del mensaje, y si el resultado
coincide con el extracto anteriormente descifrado se consideraría válida, en
caso contrario significaría que el documento ha sufrido una modificación
posterior y por tanto no es válido.
Las autoridades de certificación
Si todos estos medios de seguridad están utilizando el procedimiento de
encriptación asimétrico, habrá que garantizar tanto al emisor como al receptor
la autenticación de las partes, es decir, que éstas son quienes dicen ser, y
sólo a través de una autoridad de certificación (CA certification authority)
podrá corregirse dicho error, certificando e identificando a una persona con
una determinada clave pública. Estas autoridades emiten certificados de claves
públicas de los usuarios firmando con su clave secreta un documento, válido
por un período determinado de tiempo, que asocia el nombre distintivo de un
usuario con su clave pública.
Una autoridad de certificación es esa tercera parte fiable que acredita la
ligazón entre una determinada clave y su propietario real. Actuaría como una
especie de notario electrónico que extiende un certificado de claves, el cual
está firmado con su propia clave, para así garantizar la autenticidad de dicha
información. Los certificados, son registros electrónicos que atestiguan que una
clave pública pertenece a determinado individuo o entidad. Permiten verificar
que una clave pública pertenece a una determinada persona, evitando que
alguien utilice una clave falsa para suplantar la personalidad de otro.
Una autoridad de certificación es esa
tercera parte fiable que acredita la ligazón entre una determinada clave y
su propietario real
Por último, habría que
garantizar la confidencialidad del mensaje, ya que un tercero ajeno puede
"pinchar" las comunicaciones y mediante un potente software obtener
todo lo que nuestro correo reciba o envíe. Este problema se resolvería con la
utilización de protocolos seguros de comunicación o con el ensobrado digital
(utilizado por SET) solución criptográfica que utiliza el sistema simétrico y
el asimétrico a la vez, aprovechando la rapidez de uno y la seguridad del
otro.
El mercado español de autoridades de certificación está todavía en desarrollo.
Para la contratación on-line existen varias autoridades certificadoras, de las
que cabe destacar por su importancia y esfuerzo realizado: ACE (Agencia de
Certificación Electrónica) y FESTE (Fundación para el estudio de la Seguridad
de las Telecomunicaciones). ACE se encuentra constituida primordialmente por
la banca, mientras que FESTE representa a los notarios, registradores, etc..
Ambas utilizan unos medios de identificación muy seguros. En concreto, FESTE
realiza la asignación de claves ante notario (lo cual no significa que sea
necesario) presentando el DNI o documentos que acrediten la representación de
una determinada persona jurídica. No obstante, hay otros tipos de certificados
que no exigen la presencia del otorgante, facilitando la celeridad del tráfico
mercantil pero reduciendo la seguridad en la autenticación de la parte
firmante.
Finalmente, se puede decir que la implantación de la firma digital en la
sociedad de la información es una mera cuestión de tiempo. Para su correcto
establecimiento se requerirá un desarrollo legislativo adecuado por parte de
los gobiernos, además de una buena información al ciudadano y a la empresa.
Sólo con el esfuerzo de todas las partes intervinientes se podrá llegar a la
más que ansiada aldea global en la que todo el mundo pueda comunicarse y
operar de forma segura y eficaz. Dejemos pues que sea la propia sociedad la
que dicte sus propias necesidades y que no sea el temor a la evolución
tecnológica el que gobierne nuestros actos sino el respeto a la nueva
revolución de la era digital.
