Por el Dr. Diego Di Giorno, Director Comité de Tecnologia de WCA
La Nueva Revolución Industrial trajo consigo un gran cambio en la forma de comunicación, en la transmisión de la información, de trabajo y en general, afectando todas las actividades humanas. Tal es así que este cambio ha impactado también en las estructuras jurídicas y ha puesto en crisis conceptos normativos pacíficamente aceptados por la doctrina y la jurisprudencia durante mucho tiempo, pero el derecho es evolutivo por naturaleza y debe adaptarse a los cambios y proveer a la sociedad del marco jurídico necesario para hacer relevante el uso de estas nuevas tecnologías.
Gran cantidad de países, que han legislado en la materia equipararan la firma electrónica ó digital a la tradicional firma manuscrita u ológrafa, que tiene características propias, siendo, la principal de ellas ser aceptada legalmente. En consecuencia, si una persona firmó un documento adquiere tanto los derechos como las obligaciones que de él deriven, y si no cumple con obligaciones a su cargo, el tenedor del documento puede demandar judicialmente el cumplimiento. La autoridad competente acepta las responsabilidades adquiridas con sólo calificar a la firma como válida. Existen, para la tradicional firma manuscrita dos etapas:
A) El proceso de firma, que es el acto cuando una persona “firma” manualmente un documento. Esa firma generalmente es siempre igual y se usa como una marca personal.
B) El proceso de verificación de la firma, que es el acto que determina si una firma es válida o no. La más común es la verificación visual, pero la legalmente definitoria es la pericia en laboratorio.
En nuestro país , Argentina, entiende como firma electrónica al conjunto de datos electrónicos integrados, ligados o asociados de manera lógica a otros datos electrónicos, utilizados por el signatario como su medio de identificación, que carezca de algunos de los requisitos legales para ser considerada firma digital (artículo 5º Ley 25.506). La firma digital debe ser susceptible de verificación por terceras partes, tal que dicha verificación simultáneamente permita identificar al firmante y detectar cualquier alteración del documento digital posterior a su firma.
¿Qué es la firma digital?
La firma digital es un bloque de caracteres que acompaña a un documento acreditando quién es su autor (autenticación) y que no ha existido ninguna manipulación posterior de los datos (integridad). Para firmar un documento digital, su autor utiliza su propia clave secreta (sistema criptográfico asimétrico), a la que sólo él tendrá acceso, lo que impide que pueda después negar su autoría. De esta forma, el autor queda vinculado al documento de la firma. La validez de dicha firma podrá ser comprobada por cualquier persona que disponga de la clave pública del autor.
¿Cómo se ejecuta una firma digital?
El software del firmante aplica un algoritmo hash sobre el texto a firmar, obteniendo un extracto de longitud fija, y absolutamente específico para ese mensaje. Un mínimo cambio en el mensaje produciría un extracto completamente diferente, y por tanto no correspondería con el que originalmente firmó el autor. Los algoritmos hash más utilizados son el MD5 ó SHA-1. El extracto conseguido, cuya longitud oscila entre 128 y 160 bits (según el algoritmo utilizado), se somete a continuación al cifrado mediante la clave secreta del autor. El algoritmo más utilizado en este procedimiento de encriptación asimétrica es el RSA. De esta forma obtenemos un extracto final cifrado con la clave privada del autor, el cual se añadirá al final del texto o mensaje para que se pueda verificar la autoría e integridad del documento por aquella persona interesada que disponga de la clave pública del autor.
¿En consiste el CÓDIGO HASH?
El sistema simétrico requiere por una parte de un Tercero Proveedor de Servicios, que será quien facilite los equipos técnicos para efectuar las operaciones, y de una Autoridad Certificadora, que procederá a emitir un certificado. En consecuencia, este certificado será el que estará cubierto con el código hash, que utiliza una función matemática consistente en crear una representación numérica para todo el certificado, de tal forma que éste pasa a ser representado por un valor numérico o cadena de datos.
El sistema de firma electrónica opera de una forma inversa al envío del mensaje. Éste será codificado por el originador con su clave pública, y luego decodificado por el por el destinatario, con su clave privada. Con la función Hash, el certificado del texto quedará representado numéricamente, generando un código que será su vez encriptado inversamente con la clave privada del originador y luego desencriptado con la clave pública por el destinatario. Este certificado con función hash aplicada y luego codificado de manera inversa al documento, constituye la firma digital
¿Cómo se comprueba la validez de la firma digital?
Para poder verificar la validez del documento, es necesaria la clave pública del autor. El procedimiento sería el siguiente: el software del receptor, previa introducción en el mismo de la clave pública de remitente (obtenida a través de una Autoridad de Certificación), descifraría el extracto cifrado del autor y a continuación calcularía el extracto hash que le correspondería al texto del mensaje y, si el resultado coincide con el extracto anteriormente descifrado, se considera válida; en caso contrario significaría que el documento ha sufrido una modificación posterior y por lo tanto no es válido. Últimamente se han dictado leyes dirigidas a otorgarle valor probatorio a la firma digital por ejemplo, la ley alemana sobre Signatura Digital; la Ley Italiana y su Reglamento, la Ley sobre Informática de la Federación Rusa, el decreto Argentino sobre firma digital en los actos internos del Sector Público, etc.
¿Qué es la Certificación Digital?
La firma digital requiere para su configuración de otros elementos tales como los Certificados Digitales. Estos certificados son documentos digitales, emanados de un certificador, que acreditan la vinculación entre una clave pública y una persona. Consiste en una estructura de datos firmados digitalmente por la autoridad certificadora, con información acerca de una persona y de la clave pública de la misma. Las entidades certificadoras emiten los certificados tras comprobar la identidad del sujeto. El certificado permite realizar un conjunto de acciones de manera segura y con validez legal.
