sábado, 12 de julio de 2008

LA FIRMA ELECTRÓNICA

Quiero compartir con vosotros la versión extendida del artículo sobre firma electrónica que he escrito para la revista http://arroyoculebro.com/downloads/revista-polvoranca-n1.pdf. Está en la página 22.

Este es el artículo:

En la actualidad se puede realizar multitud de gestiones desde casa, evitando desplazamientos y colas, durante las 24 horas del día. Se puede ordenar transacciones bancarias, realizar compras, consultar el saldo de puntos del carné de conducir, o presentar solicitudes e impuestos como la declaración del IRPF.

Hay dos maneras de realizar estas gestiones con Internet: la más frecuente hasta ahora es mediante un código de usuario, que suele ser el número del DNI, y una o varias contraseñas. La operativa es diferente para cada empresa o administración pública con la que nos comunicamos, lo que implica recordar y manejar muchas contraseñas y códigos distintos.

La otra alternativa, cada vez más extendida, es la posibilidad de realizar esos trámites con certificado digital.

Una persona que dispone de certificado digital, ya sea el DNI electrónico (DNIe), un certificado emitido por la Fábrica Nacional de Moneda y Timbre (FNMT), o por otro prestador de servicios de certificación, puede realizar todo tipo de trámites de forma que queda garantizada su verdadera identidad, recordando únicamente la contraseña asociada al certificado.

Además permite firmar electrónicamente formularios y documentos electrónicos con la misma validez jurídica que si firmara con su "puño y letra" el mismo documento en papel.

La tecnología actual permite que el soporte de los documentos y de la firma sea electrónico, ya no es necesario el papel.

El principal problema de las actividades que se están trasladando al mundo electrónico a través de Internet es que no existe contacto directo entre las partes implicadas, que nos permita comprobar la identidad de ambas (autenticación), nos asegure que sólo el destinatario obtenga la información (confidencialidad), que la información intercambiada no se ha modificado (integridad), y por último, que nadie pueda negar el hecho (no repudio).

En nuestras relaciones diarias, con el DNI y la firma manuscrita se asegura la autenticación, con el correo certificado la confidencialidad, y la integridad y no repudio se garantiza acudiendo al notario.

En Internet, todos estos aspectos se resuelven mediante mecanismos de criptografía como el certificado digital y la firma electrónica. La criptografía es una rama de las matemáticas que consiste en cifrar y descifrar mensajes digitales para solucionar los problemas antes mencionados, garantizando el secreto de la comunicación.


Un poco de historia: De las tablillas de arcilla a los documentos electrónicos

Existen testimonios de pintura rupestre datados hasta los 40.000 años de antigüedad, es decir, durante la última glaciación. El primer escrito que se conoce se atribuye a los sumerios de Mesopotamia y es anterior al 3000 a.C, conservado en tablillas de arcilla.

El soporte sobre el que el ha escrito el ser humano ha pasado por varios materiales hasta llegar al papel actual: arcilla, cerámica, sedas y otras telas, papiro (una planta), y pergamino (piel de animal tratada).

En cuanto a la técnica de escritura, esta ha sido manual hasta que surgió la imprenta, En Europa, el primer libro impreso data del año 1455 (hacia el año 730 en China). En el año 1870 se comercializó la primera máquina de escribir. En la imagen siguiente podéis ver la máquina que usaba Alfonso XIII.



Las máquinas de escribir fueron desbancadas por el ordenador, pero la firma seguía siendo manuscrita. Frecuentemente se acompaña de un sello impreso, antes se utilizaban sellos lacrados.

Como curiosidad, incluyo la firma de un notario español del siglo XVII:



En cuanto a la necesidad de proteger la información, ya durante la época de Julio César se utilizaba un sistema criptográfico para comunicarse con los generales, que consistía en desplazar cada letra del alfabeto un número de posiciones.

La tecnología actual permite que el soporte de los documentos y de la firma sea electrónico, ya no es necesario el papel.


La resistencia al cambio


Cuando surgió la máquina de escribir, hubo una gran resistencia a aceptar papeles mecanografiados, aunque fueran firmados, no parecían tan auténticos como un documento totalmente manuscrito. Alfonso XIII tuvo que firmar una ley que diera validez legal a los documentos mecanografiados. Hoy en día, la Ley de Firma Electrónica es la que da validez legal a la firma electrónica, equiparándola con la firma manuscrita. Lo que a nosotros nos cuesta asumir hoy en día: la existencia de documentos electrónicos sin soporte papel, es equivalente al cambio cultural que supuso la aparición del libro, o de la máquina de escribir. Podéis ver aquí un simpático vídeo sobre las dificultades de nuestros antepasados para adaptarse a los libros, acostumbrados como estaban a los rollos de pergaminos. ¿No os sentís identificados a veces, si sustituís el libro por el ordenador?. (No hace falta altavoces, el audio no es español)




Certificados electrónicos

Los certificados electrónicos son los instrumentos que permiten incluir nuestra firma electrónica en los documentos en Internet. La firma electrónica es un resumen del documento (llamado código hash) codificado con la clave privada que contiene el certificado. El certificado electrónico es, en cierto modo, el equivalente al bolígrafo que usamos para firmar, y el resumen codificado es el garabato de la firma manuscrita.

Los certificados electrónicos son documentos electrónicos (ficheros) que identifican a una persona con un par de claves. Contienen datos del titular del certificado, como su nombre, NIF y correo electrónico. Además incluyen la clave pública –que es la única que “viaja” en las transacciones telemáticas- y la clave privada –que nunca sale de la tarjeta o fichero donde se encuentra el certificado-.



Ese par de claves tienen la propiedad de que lo que se cifra con una de ellas, sólo se puede descifrar con la otra. La clave privada sólo está en poder de su propietario, que debe conservarla de forma segura mediante un número personal (PIN). La clave pública es de dominio público, para que la conozcan todos aquellos que quieran comunicarse de modo seguro con el propietario de la clave privada.

Los certificados electrónicos son los instrumentos que permiten incluir nuestra firma electrónica en el documento. Eso se realiza cifrando con la clave privada un resumen del documento. El destinatario descifrará el resumen con nuestra clave pública, y si obtiene un resumen idéntico al original, tendrá la seguridad de que el documento no se ha modificado y que el destinatario es el correcto. Además, el firmante no podrá negar que no ha firmado el documento.

La firma electrónica es un resumen cifrado con la clave privada. Está destinada al mismo propósito que una manuscrita. Sin embargo, una firma manuscrita es fácilmente falsificable, mientras que una firma electrónica es imposible mientras no se descubra la clave privada del firmante, que está protegida por un PIN.

Las Autoridades de Certificación expiden los certificados electrónicos. Para obtenerlos es necesario ir en persona ante Autoridades de Registro autorizadas por la Autoridad de Certificación. El Ministerio de Industria, Turismo y Comercio publica en su web la relación de prestadores de certificación que emiten certificados electrónicos: http://www.mityc.es/DGDSI/Servicios/FirmaElectronica/Prestadores/. Para personas físicas, los más destacables son la FNMT y la Dirección General de la Policía, que expide el DNI electrónico (DNIe).

El certificado electrónico puede estar en tarjetas criptográficas (DNIe) o en un fichero que se instala en el navegador del ordenador (FNMT). Lo más importante es que la clave privada está protegida por un número personal (PIN), sólo conocido por su propietario, que garantiza que, aunque se extravíe la tarjeta o alguien entre en el ordenador donde está instalado, nadie que no conozca dicho número pueda hacer uso del certificado.


Firma electrónica

Vamos a ver qué proceso sigue el envío de un documento que una persona que tiene un certificado digital (DNIe o FNMT por ejemplo) quiere enviar por Internet.



1. El emisor del documento obtiene un resumen (llamado código hash) de los datos originales mediante una función matemática. El resumen es de tamaño fijo e independiente del tamaño del mensaje y tiene la propiedad de que es imposible encontrar dos mensajes distintos que tengan un resumen idéntico.

2. El emisor cifra el resumen con su clave privada. El resultado es la firma digital del documento. El documento y la firma se envían al destinatario.

3. El destinatario debe comprobar la validez de la firma y reconocer al autor del mismo (integridad y autenticación). Para ello, descifra el resumen del documento mediante la clave pública del emisor.

4. Por otro lado, obtiene el resumen del documento aplicando la misma función que el emisor.

5. Por último, compara el resumen recibido que ha descifrado, con el resumen obtenido. Si son iguales, se obtiene la confirmación de la identidad del emisor, y se tendrá la seguridad de que el mensaje no ha cambiado. Además, el emisor no podrá negar haber enviado el documento (no repudio). También se comprueba la validez del certificado, consultando a la Autoridad de Certificación que lo expidió.

Para que nadie más pueda ver el documento, el mensaje circula por conexiones seguras de Internet (la dirección en el navegador empieza por ‘https’).

El emisor y el destinatario confían cada uno en el otro porque el certificado digital está avalado por una tercera parte en la que ambos confían, la Autoridad de Certificación.

Una firma digital está destinada al mismo propósito que una manuscrita. Sin embargo, una firma manuscrita es fácilmente falsificable, mientras que una firma digital es imposible mientras no se descubra la clave privada del firmante.


El DNI electrónico

La novedad que presenta el DNIe es que incorpora un pequeño circuito integrado (chip), capaz de guardar información de forma segura, y de procesarla internamente.



Los requisitos para su expedición siguen siendo los mismos que para el DNI: Es obligatoria la presencia física del titular y hay que abonar la tasa establecida: 6.80 euros, gratuito si se trata de renovación de DNI en vigor por cambio de datos.

Finalizada la personalización física de la tarjeta del DNI, comienza la carga de datos en el chip de la tarjeta. La generación de claves se realiza en el chip de la tarjeta y en presencia del titular, tras la habilitación de un PIN aleatorio que se entrega en un sobre ciego.

La custodia de la clave privada la realiza el titular del DNIe. La Dirección General de la Policía no guarda copia de la clave privada, ya que ésta no puede ser extraída del chip de la tarjeta. Siempre que se utiliza el DNIe en Internet, el titular tiene que teclear el PIN, lo que evita que, si se extravía el DNIe, alguien pueda utilizarlo.



Se puede cambiar el PIN, u obtener uno nuevo en caso de que lo hayamos olvidado, en las oficinas de expedición, mediante un lector que comprueba nuestra huella dactilar. Conviene seguir las recomendaciones sobre el PIN indicadas en http://www.dnielectronico.es/Asi_es_el_dni_electronico/consejos.html.


Certificado digital expedido por la FNMT


La FNMT expide certificados personales gratuitos. Para ello hay que solicitarlo vía Internet en http://www.cert.fnmt.es/. Con el código obtenido, el siguiente paso es presentarse a una oficina de registro. En Leganés podemos acudir a la Delegación de Hacienda, o al Ayuntamiento. Por último, sólo queda descargar el certificado desde la misma página donde se solicitó, haciendo uso del código obtenido en la solicitud. Si se solicita el certificado usando el DNIe, la acreditación es virtual, con lo que nos ahorramos personarnos en la oficina de registro.

El certificado es un fichero que habrá que instalar en el navegador para poder operar con él. Es interesante hacer copia de seguridad del certificado, para prevenir imprevistos que puedan surgir en el ordenador en el que está instalado, y para poder instalarlo en otros equipos. Actualmente hay 1.667.863 certificados activos expedidos por la FNMT, y 4.157.998 DNIe expedidos.

El certificado de la FNMT tiene la ventaja respecto al DNIe de que no requiere un lector de tarjetas, ni la instalación de un programa que interactúe con la tarjeta. Sin embargo, para utilizarlo requiere su instalación en el navegador (se puede transportar en un pendrive). En el DNIe las claves privadas nunca abandonan la tarjeta.

El lector de tarjetas puede estar integrado en el teclado, como podéis observar en la siguiente imagen:




Renovación del certificado digital

El certificado digital del DNIe y los expedidos por la FNMT tienen una duración de 30 meses, y se pueden renovar telemáticamente, siempre que no haya cumplido el plazo. La FNMT avisa por correo electrónico al titular cuando se acerca su caducidad.

Usos de los certificados electrónicos

Los certificados digitales se utilizan cada vez más para realizar transacciones seguras con entidades bancarias y realizar trámites con las Administraciones Públicas, a cualquier hora y sin tener que desplazarnos ni hacer colas.

Los servicios que ofrecen las Administraciones Públicas y Empresas utilizando el certificado de la FNMT se pueden consultar en http://www.cert.fnmt.es/index.php?o=cert. Los servicios disponibles con el DNIe están publicados en http://www.dnielectronico.es/servicios_disponibles/index.html. Entre ellos está la presentación de la declaración de la renta, la notificación de cambio de domicilio, etc.

La Ley para el Acceso Electrónico de los Ciudadanos a los Servicios Públicos fija el 31 de diciembre de 2009 como la fecha en que todos los trámites de la Administración del Estado deberán estar accesibles telemáticamente, lo que hará crecer exponencialmente los servicios ofertados por Internet.

El ayuntamiento de Leganés permite en su página web (http://www.leganes.org), con certificado digital, consultar los datos del padrón, los datos fiscales, los recibos, el calendario fiscal, y las solicitudes presentadas y su estado.

Hay entidades bancarias que están adaptando sus cajeros para operar en ellos usando el DNIe para operar en los cajeros.

Las elecciones parlamentarias en Estonia en 2007 fueron las pioneras del mundo que se organizaban por Internet. Más de 30.000 (5% del censo) personas realizaron su voto por Internet, utilizando un carné de identidad electrónico (que posee más del 70% de la población). Lo utilizan, entre otras cosas, para comprar billetes de autobús.

Para saber más:
Fuentes de información:
Conceptos básicos sobre firma electrónica: http://www.cert.fnmt.es/popup.php?o=faq&lang=es
http://es.wikipedia.org/wiki/Digitalizador_de_firmas
Certificado FNMT: http://www.cert.fnmt.es/
DNIe: http://www.dnielectronico.es. Teléfono: 900 364 463. Correo: sac@dnielectronico.es
Tramites por Internet ofrecidos por las Administraciones Públicas: http://www.060.es
e-Estonia: http://www.estemb.es/estonia/it

5 comentarios:

Luis Mira dijo...

Hola, José Luis.

La dirección web correoelectronico.com no te lleva al lugar correcto. He probado con la terminación .es y si.

Un saludo.

Jose Luis Lapuente dijo...

Luis, ¿a qué dirección correoelectronico.com te refieres?

Gracias.

Jose Luis Lapuente dijo...

Lo acabo de ver. Te refieres a la dirección al dnielectronico del final del artículo. Es cierto, por error indiqué '.com' y es '.es'.

Ya está corregido.
Gracias.

Alfonso Pozo dijo...

Excelente apuntes.
Pero lo que más me ha intrigado es esa ley de Alfonso XIII por la que se validaban los documentos mecanografiados:

¿Podría dar más datos de esa ley que me permitan localizarla? La fecha, el año, el titulo, etc. cualquiera es bueno.

Jose Luis Lapuente dijo...

Me alegro que le haya parecido interesante.

El tema de la ley o decreto de Alfonso XIII lo oí en una conferencia sobre Administración Electrónica, lo citó en su intervención el Director del Servicio Jurídico de la Agencia Estatal de Administración Tributaria, como un ejemplo de cómo la ley puede ayudar a vencer la resistencia al cambio.

Lo he buscado posteriormente en Internet, pero no he encontrado nada.

El Director que cito es Maximino Linares Gil: http://www.aeat.es/wps/portal/DetalleContenido?url=La+Agencia+Tributaria/Informaci%C3%B3n+institucional/Organigrama/Organigrama/Director+del+Servicio+Jur%C3%ADdico+de+la+Agencia+Estatal+de+la+Administraci%C3%B3n+Tributaria&content=7b88a1886c678010VgnVCM10000050f01e0aRCRD&channel=26ba99cccdca8110VgnVCM1000004ef01e0a____&ver=L&site=56d8237c0bc1ff00VgnVCM100000d7005a80____&idioma=es_ES&menu=1&img=8