¿A qué nos referimos con firma digital? ¿Qué es la firma biométrica? ¿Y la firma electrónica? ¿Tienen la misma validez legal que una firma normal? ¿Qué beneficios puede aportar su implantación en mi empresa?
En este post queremos responder a todas estas preguntas y poner en valor todas las características asociadas a los distintos tipos de firmas digitales, sus implicaciones y ventajas a la hora de integrarlas dentro de las herramientas digitales de una organización.
En esta época de continua transformación tecnológica que vivimos, soluciones como la firma electrónica o digital son una buena opción para comenzar el proceso de digitalización de tu negocio y adentrarse en el concepto de “oficina sin papel” (OSP). Herramientas de fácil implantación que pueden repercutir positivamente en la cuenta de resultados de cualquier empresa.
Con la llegada de Internet se han cambiado nuestros hábitos diarios, al igual que la forma en que firmamos. Si antes lo habitual era firmar todo tipo de documentos en papel, ahora lo más cómodo y económico es hacerlo en documentos electrónicos utilizando la firma digital o biométrica.
Seguramente, ya hayas firmado algún documento de este tipo puesto que en la actualidad la mayoría de empresas optan por agilizar los trámites y digitalizar los procesos. También es más que probable que a la hora de firmar no hayas prestado atención al tipo de firma que era. A partir de ahora lo estarás 🙂 .
Para ponernos en situación vamos a definir cada tipo de firmas digitales.
Una firma digital es un mecanismo criptográfico que permite al receptor de un mensaje firmado digitalmente identificar a la entidad originadora de dicho mensaje (autenticación de origen y no repudio), y confirmar que el mensaje no ha sido alterado desde que fue firmado por el originador (integridad)
Terminología asociada al concepto:
- Un algoritmo de generación de firma digital, también llamado simplemente algoritmo de generación de firma, es un método para producir firmas digitales.
- Un algoritmo de verificación de firma digital, también llamado simplemente algoritmo de verificación, es un método que permite la verificación de que una firma digital es auténtica.
- Un esquema o mecanismo de firma digital consiste en un algoritmo de generación de firma y su algoritmo de verificación asociado.
- Un proceso o procedimiento de firma digital es un algoritmo de generación de firma digital, junto con un método para formatear los datos en mensajes que puedan ser firmados.
Propiedades necesarias
Se han establecido una serie de propiedades necesarias que tiene que cumplir un esquema de firma para que pueda ser utilizado.[4] La validez de una firma se ampara en la imposibilidad de falsificar cualquier tipo de firma radica en el secreto del firmante. En el caso de las firmas escritas el secreto está constituido por características de tipo grafológico inherentes al signatario y por ello difíciles de falsificar. Por su parte, en el caso de las firmas digitales, el secreto del firmante es el conocimiento exclusivo de una clave (secreta) utilizada para generar la firma. Para garantizar la seguridad de las firmas digitales es necesario a su vez que estas sean:
- Únicas: Las firmas deben poder ser generadas solamente por el firmante y por lo tanto infalsificable. Por tanto la firma debe depender del firmante.
- Infalsificables: Para falsificar una firma digital el atacante tiene que resolver problemas matemáticos de una complejidad muy elevada, es decir, las firmas han de ser computacionalmente seguras. Por tanto la firma debe depender del mensaje en sí.
- Verificables: Las firmas deben ser fácilmente verificables por los receptores de las mismas y, si ello es necesario, también por los jueces o autoridades competentes.
- Innegables: El firmante no debe ser capaz de negar su propia firma.
- Viables: Las firmas han de ser fáciles de generar por parte del firmante.
En función del modo en el que se construye la firma
- Basándonos en la supuesta seguridad de dispositivos físicos
- Basándonos en criptografía de clave simétrica.
- Basándonos en criptografía de clave asimétrica.
Basándonos en la supuesta seguridad de dispositivos físicosUn dispositivo, como una tarjeta inteligente, se dice que es resistente a modificaciones (en inglés tamper resistant) si se cree que es difícil acceder a la clave secreta almacenada en él. Por tanto podemos usar una tarjeta inteligente con un algoritmo criptográfico para construir una firma digital de la siguiente forma:Basándonos en criptografía de clave simétrica
Se han propuesto distintos protocolos de firma basados en la criptografía de clave secreta. Sin embargo, a partir de la aparición de la criptografía asimétrica están en recesión debido a su superioridad tanto conceptual como operacional en la mayoría de los contextos de uso.Los esquemas de firma digital de clave simétrica son los siguientes:Estos esquemas están basados en el uso una función de un solo sentido (en inglés one-way function). La gran desventaja de este tipo de esquemas es el tamaño de las claves y de las firmas y del hecho de que sólo pueden ser usadas un número fijo de veces (frecuentemente una sola vez). Merkle[9] ha propuesto optimizaciones para este tipo de algoritmos. Bleichenbacher y Maurer han proporcionado una generalización de estos métodos.[10] Estos esquemas han servido como primitivas usadas en construcciones más complejasBasándonos en criptografía de clave asimétrica
Se han propuesto distintos protocolos de firma basados en la criptografía de clave asimétrica. Los más importantes son los siguientes:- Firma RSA
- Firma DSA
- Firma ESING
- Firma de clave asimétrica de Rabin
- Firma ElGamal
- Firma con curvas elípticas
- Firma de Guillou-Quisquater
- Firma de Ohta-Okamoto
- Firma de Schnorr
- Firma de Okamoto
- Firma de Feige-Fiat-Shamir
El uso de criptografía asimétrica para firma digital se basa en el concepto de funciones de un solo sentido con trampa (en inglés trapdoor one-way functions). Son funciones fáciles de computar en una sola dirección y difíciles de computar en otra dirección, excepto para alguien que conozca la información 'trampa'. La información puede entonces ser firmada digitalmente si el signatario transforma la información con su clave secreta (la información trampa). El verificador puede verificar la firma digital aplicando la transformación en el sentido fácil usando la clave pública.