miércoles, 27 de abril de 2016

Cómo es físicamente una Firma Digital

Hasta ahora, en los artículos publicados, hemos hablado de la Firma Digital desde los puntos de vista normativos y legales. No hemos dicho nada aún de la parte técnica, y si bien no es el espíritu de este blog, vamos a comentar brevemente como se genera físicamente la firma.

Ya sabemos que para tener una Firma Digital, es necesario ser dueños de un Certificado Digital que demuestra nuestra identidad y además posee un par de claves unívocamente relacionadas, una de uso público y una privada que sólo el dueño puede acceder.

Dicho ésto, vamos a ver prácticamente que es lo que sucede. Dejemos en claro que podremos firmar cualquier tipo de documento electrónico, un eMail, un documento en Word, una planilla Excel, etc.

Es obvio decirlo, pero necesitaremos un programa que nos permita firmar. En primer lugar el programa nos pedirá que informemos dónde está el documento. Seguidamente nos pedirá que elijamos el Certificado Digital, en caso de tener más de uno a nuestro nombre. Y finalmente deberemos colocar la contraseña con la que está protegida la clave privada.

Lo que ocurre físicamente es lo siguiente, el programa aplica al documento una función hash. Qué significa ? muy simple, una función hash es un algoritmo que consigue crear un resumen de toda la información que se le ha dado. A continuación el programa toma ese resumen, también conocido como digesto y le aplica la clave privada del firmante. El resultado de ésto es un archivo encriptado que recibe el nombre de Firma Digital.

Como se puede apreciar, dado que la construcción de la firma empieza por el resumen del contenido del documento, es fácil concluir que el archivo encriptado de la firma será diferente para cada documento. Es así, las firmas no son todas iguales, casi como ocurre con la firma manuscrita donde se conservan los rasgos, mientras que en la digital lo que permanece constante son las claves del firmante.

En el próximo artículo vamos a explicar la acción complementaria es decir, una vez recibido un documento firmado, cómo hacemos para verificar si la firma es legítima.

martes, 19 de abril de 2016

Qué es la Custodia de Firmas

En este artículo, vamos a explicar un tema que se relaciona con los procesos de despapelización en un entorno corporativo, ya sea público o privado.

Como hemos comentado en entradas anteriores, la despapelización es el paso posterior a la digitalización de documentos, lo que se logra aplicando una Firma Digital que garantice autoría, integridad y no repudio, haciendo que esos documentos tengan plena validez jurídica.

Un Servicio de Custodia de Firmas implementa un servicio de archivado de documentos y firmas. Por archivado debe entenderse el almacenamiento en repositorios de los documentos y firmas, junto con sus correspondientes metadatos, durante periodos de tiempo de larga duración.

La palabra metadato, identifica a  los datos, normalmente invisibles, que describen otros datos. Para dar un ejemplo claro, un documento escrito en Word almacena metadatos como el author, organización, fecha de creación, cantidad de palabras, etc.

El servicio también incluye la posibilidad de recuperar los documentos, firmas y metadatos que se guarden en el archivo, la de verificar las firmas archivadas y la de actualizarlas bajo demanda con evidencias de no repudio.

En el caso particular de las firmas, el servicio de custodia de firmas no se limita a permitir su archivado, recuperación, verificación y actualización bajo demanda, sino que también realiza una custodia activa que, mediante actualizaciones automáticas, permite mantener su validez durante períodos de tiempo arbitrariamente largos, lo que se denomina firmas longevas.

Concretamente, el Servicio de Custodia de Firmas es capaz de mantener la validez de las firmas que custodia, más allá de la fecha de expiración del certificado del firmante. Es incluso capaz de hacerlo aunque el certificado del firmante sea revocado después de que la firma sea archivada. Por ejemplo, el sistema protege las firmas archivadas de los intentos de repudio que pudieran realizar firmantes malintencionados.

jueves, 14 de abril de 2016

Reglamento Europeo de Firma Electrónica

El entorno de la identidad digital está cambiando y se está trabajando para ampliar y garantizar aún más la seguridad en las transacciones. La regulación, que es el elemento principal sobre la que se basa, también se está adaptando. En julio de este año comenzará a aplicarse el Reglamento Europeo de Firma Electrónica (eIDAS), que abre el mercado a la circulación libre de certificados digitales. Es decir, las firmas digitales deberán ser válidas entre todos los países miembros de la Unión Europea.

El Reglamento Europeo de Firma Electrónica eIDAS tiene un gran impacto en los servicios de confianza que prestan las certificadoras. Es un reglamento de aplicación inmediata en los estados miembros que pasa a sustituir y ampliar la antigua Directiva de Firma Electrónica.

Vamos a enumerar los puntos de impacto más importantes que tendrá sobre los Prestadores de Servicios de Certificación:
  • Ampliación de los servicios regulados
  • Cambio de denominación de los proveedores
  • Nuevos modelos de firma electrónica
  • Mayor seguridad para los terceros que confían
  • Cambio en los modelos de negocio

Sin entrar en detalles, el nuevo reglamento no habla sólo de firma electrónica, sino de identificación electrónica y servicios de confianza. Por otro lado, cambia la denominación de los prestadores de servicios de certificación a prestadores de servicios de confianza.

Todo ésto, que analizaremos en profundidad en próximos artículos, tiende a que la Firma Digital emitida por una Autoridad Certificante de un país, sea aceptada como válida en todo el bloque. Un paso enorme hacia la simplificación y la despapelización burocrática.

Fuente: blog de la empresa española Firma Profesional
https://www.firmaprofesional.com

Buscar este blog