Este documento explica las diferencias entre la firma electrónica y la firma digital. La firma electrónica vincula un documento electrónico de manera única al usuario y garantiza su integridad, mientras que la firma digital se basa en el uso de claves criptográficas públicas y privadas para autenticar un mensaje. También describe el proceso de obtención de claves y certificados digitales de un proveedor de servicios de certificación y cómo funcionan las firmas digitales para autenticar y verificar la integridad de los mensajes electrónicos.
2. BERNARDO R. SANTIAGO P.
ISNEL A. SAYAGO S.
LUIS A. MORENO G.
JOHAN E. CALDERA S.
CRISTOPHER L. SULLY G.
3. INTERNET HA CAMBIADO LA COMUNICACIÓN Y
LOS SERVICIOS.
● 5.000 AÑOS DE USO DE LA ESCRITURA
- La firma electrónica se convierte en un cambio de
paradigma e impone repentinamente hoy día un cambio
cultural de más de 5.000 años en la costumbre del uso de
la escritura para otorgar validez jurídica a la expresión de
la voluntad.
4. ¿QUÉ ES LA FIRMA ELECTRÓNICA?
Es un conjunto de datos que vincula de
manera única el documento al usuario y
garantiza la integridad del Documento
electrónico. Aporta al mundo digital las
mismas características que la firma autógrafa
al mundo real.
CONFIANZA TECNOLOGÍA
5. ¿PARA QUÉ SE USA LA FIRMA ELECTRÓNICA?
El uso de la Firma Electrónica busca garantizar la
validez de un trámite electrónico e imprimir
seguridad al envío y respuesta del mismo.
Al firmar electrónicamente un documento se
puede comprobar la integridad y procedencia del
mensaje, de modo que el intercambio de
información que se realiza en Internet, bien sea a
través de correos electrónicos o de cualquier otra
operación de mensaje de datos, se hace de
manera más segura y confiable.
6. ¿CÓMO SE USA LA FIRMA ELECTRÓNICA?
Inicialmente se debe disponer de un programa
que contenga la opción de firmar
electrónicamente, para ello en la actualidad
existen aplicaciones que contemplan esta opción
tales como Sinadura, OpenOffice, Guácharo,
Mozilla, Thunderbird, Microsoft Office, entre
otros; estos programas permiten firmar
electrónicamente archivos en formato PD,
documentos de OpenOffice, correos electrónicos,
etc.
7. ¿CÓMO SE USA LA FIRMA ELECTRÓNICA?
Desde un programa que contemple la opción para firma
electrónica y teniendo conectada la tarjeta a la
computadora, se selecciona la opción "Firmar
Electrónicamente", luego el programa solicitará el PIN
(contraseña de acceso) de la tarjeta para ingresar al
módulo de seguridad de la misma, se generará de forma
automática la firma electrónica y será asociada al
documento en cuestión.
Es importante destacar que como medida de seguridad si
se introduce un PIN incorrecto en 3 oportunidades, la
tarjeta se bloqueará automáticamente para proteger su
contenido en casos de hurto o extravío.
8. ¿QUÉ PROPIEDADES GARANTIZA LA FIRMA
ELECTRÓNICA?
AUTENTICACIÓN
INTEGRIDAD
NO REPUDIO
¿TODOS LOS VENEZOLANOS PUEDEN UTILIZARLA?
10. ¿COMO SE GARANTIZA LA VERACIDAD DE LA FIRMA
ELECTRÓNICA?
De acuerdo al Artículo 16 de la Ley de Mensaje de Datos y Firmas Electrónicas, la
Firma Electrónica tendrá la misma validez y eficacia probatoria que la ley otorga a
la firma autógrafa.
A tal efecto, salvo que las partes dispongan otra cosa, la Firma Electrónica deberá
llenar los siguientes aspectos:
1. Garantizar que los datos utilizados para su generación puedan producirse sólo
una vez, y asegurar, razonablemente, su confidencialidad.
2. Ofrecer seguridad suficiente de que no pueda ser falsificada con la tecnología
existente en cada momento.
3. No alterar la integridad del Mensaje de Datos.
11. ¿EN QUÉ OTROS PAÍSES DEL MUNDO SE UTILIZA? Y
¿QUIENES LA UTILIZAN?
Algunos de los países donde se utiliza la Certificación
Electrónica son: Costa Rica, Brasil, España, Argentina,
Uruguay, México y Colombia.
Es importante señalar que el marco legal y técnico que
adopta el Estado venezolano para el desarrollo de la Firma
Electrónica es compatible con el que ya existe en otros
países.
12. ¿QUÉ ES Y PARA QUÉ SIRVE LA FIRMA DIGITAL?
La firma digital puede ser definida como una
secuencia de datos electrónicos (bits) que se obtienen
mediante la aplicación a un mensaje determinado de
un algoritmo (fórmula matemática) de cifrado
asimétricos o de clave pública, y que equivale
funcionalmente a la firma autógrafa en orden a la
identificación del autor del que procede el mensaje.
Desde un punto de vista material, la firma digital es
una simple cadena o secuencia de caracteres que se
adjunta al final del cuerpo del mensaje firmado
digitalmente.
13. ¿EN QUÉ SE BASA LA FIRMA DIGITAL?
La criptografía como base de la firma digital.
La firma digital se basa en la utilización combinada de dos
técnicas distintas, que son la criptografía asimétrica o de clave
pública para cifrar mensajes y el uso de las llamadas funciones
hash o funciones resumen.
Las funciones Hash.
Junto a la criptografía asimétrica se utilizan en la firma digital las
llamadas funciones hash o funciones resumen. Los mensajes
que se intercambian pueden tener un gran tamaño, hecho éste
que dificulta el proceso de cifrado. Por ello, no se cifra el
mensaje entero sino un resumen del mismo obtenido aplicando
al mensaje una función hash.
14. ¿EN QUÉ SE BASA LA FIRMA DIGITAL?
Los sellos temporales.
Finalmente, en el proceso de intercambio de mensajes
electrónicos es importante que, además de los elementos o
requisitos anteriormente analizados, pueda saberse y
establecerse con certeza la fecha exacta en la que los mensajes
han sido enviados. Esta característica se consigue mediante los
llamados sellos temporales o "time stamping", que es aquella
función atribuida generalmente a los Prestadores de Servicios
de Certificación mediante la cual se fija la fecha de los mensajes
electrónicos firmados digitalmente.
15. ¿EN QUÉ SE BASA LA FIRMA DIGITAL?
La confidencialidad de los mensajes.
En ocasiones, además de garantizar la procedencia de los
mensajes electrónicos que se intercambian por medio de internet
y la autenticidad o integridad de los mismos, puede ser
conveniente garantizar también su confidencialidad. Ello implica
tener la certeza de que el mensaje enviado por A (emisor)
únicamente será leído por B (receptor) y no por terceras personas
ajenas a la relación que mantienen A y B.
16. LA OBTENCIÓN DEL PAR DE CLAVES Y DE LOS
CERTIFICADOS DIGITALES
¿Dónde puede obtener una persona el par de claves?
La firma digital se genera mediante la utilización de un par de claves de
cifrado (pública y privada), que se utilizan para cifrar y descifrar los
mensajes. A diferencia de la firma autógrafa, que es de libre creación por
cada individuo y no necesita ser autorizada por nadie ni registrada en
ninguna parte para ser utilizada, la firma digital, y más concretamente el
par de claves que se utilizan para firmar digitalmente los mensajes, no
pueden ser creados libremente por cada individuo.
En principio, cualquier persona puede dirigirse a una empresa
informática que cuente con los dispositivos necesarios para generar el
par de claves y solicitar la creación de dicho par de claves.
Posteriormente, con el par de claves creado para una persona
determinada, ésta se dirigiría a un Prestador de Servicios de Certificación
para obtener el certificado digital correspondiente a ese par de claves.
17. ¿Qué son los certificados digitales?
Un certificado digital es un archivo electrónico que tiene un tamaño
máximo de 2 Kilobytes y que contiene los datos de identificación
personal de A (emisor de los mensajes), la clave pública de A y la firma
privada del propio Prestador de Servicios de Certificación. Ese archivo
electrónico es cifrado por la entidad Prestadora de Servicios de
Certificación con la clave privada de ésta.
Los certificados digitales tienen una duración determinada, transcurrida
la cual deben ser renovados, y pueden ser revocados anticipadamente
en ciertos supuestos (por ejemplo, en el caso de que la clave privada,
que debe permanecer secreta, haya pasado a ser conocida por terceras
personas no autorizadas para usarla).
Gracias al certificado digital, el par de claves obtenido por una persona
estará siempre vinculado a una determinada identidad personal, y si
sabemos que el mensaje ha sido cifrado con la clave privada de esa
persona, sabremos también quién es la persona titular de esa clave
privada.
18.
19. En resumen, ¿cómo obtengo el dispositivo para firmar
digitalmente un mensaje?
El proceso de obtención de los elementos que necesito para firmar digitalmente
mensajes (par de claves y certificado digital) es el siguiente:
1º).- Me dirijo a una empresa o entidad que tenga el carácter de Prestador de
Servicios de Certificación y solicito de ellos el par de claves y el certificado digital
correspondiente a las mismas. Generalmente, podré acudir a dicha entidad bien
personalmente o por medio de internet utilizando la página web del Prestador de
Servicios de Certificación.
2º).- El prestador de Servicios de Certificación comprobará mi identidad, bien
directamente o por medio de entidades colaboradoras (Autoridades Locales de
Registro), para lo cual deberé exhibirle mi D.N.I. y si soy el representante de una
sociedad (administrador, apoderado, etc.) o de cualquier otra persona jurídica,
deberé acreditar documentalmente mi cargo y mis facultades.
3º).- El prestador de Servicios de Certificación crea con los dispositivos técnicos
adecuados el par de claves pública y privada y genera el certificado digital
correspondiente a esas claves.
20. En resumen, ¿cómo obtengo el dispositivo para firmar
digitalmente un mensaje?
4º).- El prestador de Servicios de Certificación me entrega una tarjeta semejante a
una tarjeta de crédito que tiene una banda magnética en la que están gravados
tanto el par de claves como el certificado digital. El acceso al par de claves y al
certificado digital gravados en la tarjeta está protegido mediante una clave como las
que se utilizan en las tarjetas de crédito o en las tarjetas de cajero automático. En
otras ocasiones, en lugar de la tarjeta el Prestador de Servicios de Certificación deja
almacenado el certificado digital en su propia página web, a fin de que el
destinatario copie el archivo y lo instale en su ordenador.
5º).- Con esa tarjeta magnética y un lector de bandas magnéticas adecuado
conectado a mi ordenador personal, podré leer y utilizar la información gravada en
la tarjeta para firmar digitalmente los mensajes electrónicos que envíe a otras
personas.
21.
22. ¿CÓMO FUNCIONA LA FIRMA DIGITAL?
Firma digital de un mensaje electrónico.
El proceso de firma digital de un mensaje electrónico
comprende en realidad dos procesos sucesivos: la firma del
mensaje por el emisor del mismo y la verificación de la firma por el
receptor del mensaje. Esos dos procesos tienen lugar de la manera
que se expresa a continuación, en la que el emisor del mensaje es
designado como Ángel y el receptor del mensaje es designado
como Blanca:
1º.- Ángel (emisor) crea o redacta un mensaje electrónico
determinado (por ejemplo, una propuesta comercial).
2º.- El emisor (Ángel) aplica a ese mensaje electrónico una
función hash (algoritmo), mediante la cual obtiene un resumen de
ese mensaje.
3º.- El emisor (Ángel) cifra ese mensaje-resumen utilizando
su clave privada
23.
24. Firma digital de un mensaje electrónico.
4º.- Ángel envía a Blanca (receptor) un correo electrónico que
contiene los siguientes elementos:
•El cuerpo del mensaje, que es el mensaje en claro (es decir, sin
cifrar). Si se desea mantener la confidencialidad del mensaje, éste se
cifra también pero utilizando la clave pública de Blanca (receptor).
•La firma del mensaje, que a su vez se compone de dos elementos:
El hash o mensaje-resumen cifrado con la clave privada de
Ángel.
El certificado digital de Ángel, que contiene sus datos
personales y su clave pública, y que está cifrado con la clave
privada del Prestador de Servicios de Certificación. .
25.
26. Verificación por el receptor de la firma digital del mensaje.
1º.- Blanca (receptor) recibe el correo electrónico que contiene
todos los elementos mencionados anteriormente.
2º.- Blanca en primer lugar descifra el certificado digital de Angel,
incluido en el correo electrónico, utilizando para ello la clave pública
del Prestador de Servicios de Certificación que ha expedido dicho
certificado. Esa clave pública la tomará Blanca, por ejemplo, de la
página web del Prestador de Servicios de Certificación en la que
existirá depositada dicha clave pública a disposición de todos los
interesados.
3º.- Una vez descifrado el certificado, Blanca podrá acceder a la clave
pública de Angel, que era uno de los elementos contenidos en dicho
certificado. Además podrá saber a quién corresponde dicha clave
pública, dado que los datos personales del titular de la clave (Angel)
constan también en el certificado.
27. Verificación por el receptor de la firma digital del mensaje.
4º.- Blanca utilizará la clave pública del emisor (Angel) obtenida del
certificado digital para descifrar el hash o mensaje-resumen creado
por Angel.
5º.- Blanca aplicará al cuerpo del mensaje, que aparece en claro o
no cifrado, que también figura en el correo electrónico recibido, la
misma función hash que utilizó Angel con anterioridad, obteniendo
igualmente Blanca un mensaje-resumen. Si el cuerpo del mensaje
también ha sido cifrado para garantizar la confidencialidad del
mismo, previamente Blanca deberá descifrarlo utilizando para ello
su propia clave privada (recordemos que el cuerpo del mensaje
había sido cifrado con la clave pública de Blanca)
28. Verificación por el receptor de la firma digital del mensaje.
6º.- Blanca comparará el mensaje-resumen o hash recibido de
Angel con el mensaje-resumen o hash obtenido por ellal misma. Si
ambos mensajes-resumen o hash coinciden totalmente significa lo
siguiente:
• El mensaje no ha sufrido alteración durante su transmisión, es
decir, es íntegro o auténtico.
• El mensaje-resumen descifrado por Blanca con la clave pública de
Angel ha sido necesariamente cifrado con la clave privada de Angel
y, por tanto, proviene necesariamente de Angel.
29. Verificación por el receptor de la firma digital del mensaje.
• Como el certificado digital nos dice quién es Angel, podemos
concluir que el mensaje ha sido firmado digitalmente por Angel,
siendo Angel una persona con identidad determinada y conocida.
Por el contrario, si los mensajes-resumen no coinciden quiere
decir que el mensaje ha sido alterado por un tercero durante el
proceso de transmisión, y si el mensaje-resumen descifrado por
Blanca es ininteligible quiere decir que no ha sido cifrado con la
clave privada de Angel. En resumen, que el mensaje no es auténtico
o que el mensaje no ha sido firmado por Angel sino por otra
persona.
30.
31. Finalmente, hay que tener en cuenta que las
distintas fases del proceso de firma y
verificación de una firma digital que han sido
descritas no se producen de manera manual
sino automática e instantánea, por el simple
hecho de introducir la correspondiente tarjeta
magnética en el lector de tarjetas de nuestro
ordenador y activar el procedimiento.
32. DIFERENCIAS
Una Firma Electrónica es un concepto amplio e indefinido desde el
punto de vista tecnológico. Es por tanto una expresión más
genérica.
Una Firma Digital es aquella firma electrónica que está basada en
los sistemas de criptografía de clave pública (PKI– Public Key
Infrastructure) que satisface los requerimientos de definición de
firma electrónica avanzada.
Una Firma Digitalizada, no tiene nada que ver con las anteriores. Se
trata de una simple representación gráfica de la firma manuscrita
obtenida a través de un escáner, que puede ser “pegada” en
cualquier documento. Esta técnica la empezaron a utilizar
masivamente los expertos en Marketing cuando la publicidad
circulaba por correo postal ordinario (Snail mail).
33. FIRMA ELECTRÓNICA EN VENEZUELA
En el caso de Venezuela, el legislativo tuvo en mente las firmas manuscritas por lo
cual la aceptación de otros tipos de firmas requirió la promulgación de una nueva
legislación para otorgar validez a las firmas electrónicas y para establecer mayor
certeza jurídica en cuanto a la validez de las mismas y esto igualmente ha ocurrido
en otras latitudes.
Decreto – Ley sobre Mensajes de Datos y Firmas Electrónicas Venezolana se
promulga el 28 de febrero de 2001 en el marco de la Ley Habilitante otorgada al
Presidente de la República Bolivariana de Venezuela.
Este Decreto – Ley fue un proyecto presentado por VenAmCham (Venezuelan
American Chamber of Comerce) y la Cámara de Comercio Electrónico (CAVECOM).
El Decreto – Ley reconoce en su artículo 1 eficacia y valor jurídico a la Firma
Electrónica, al Mensaje de Datos y a toda información inteligible en formato
electrónico
34. En su artículo 2 a la Firma Electrónica y establece. “es toda información creada
o utilizada por el signatario, asociada al mensaje de Datos, que permite
atribuirle su autoría bajo el contexto en el cual ha sido empleado.
Asimismo, el Decreto – Ley dispone en su artículo 18 qué es una Firma
Certificada o Digital cuando establece: “la Firma electrónica, debidamente
certificada por un Proveedor de Servicios de Certificación conforme a los
establecido en este Decreto-Ley, se considerará que cumple con los requisitos
señalados en el artículo 16”. Finalmente, la Firma Digital es un tipo de firma
electrónica que se genera utilizando un mecanismo criptográfico que reduce el
texto a un tamaño fijo (mensaje digest) gracias a la aplicación de una función
matemática denominada hash
Vale indicar que el Decreto – Ley al que hemos hecho referencia
anteriormente, considera en su artículo 7 lo siguiente: “Cuando la ley requiera
que la información sea presentada o conservada en su forma original, ese
requisito quedará satisfecho con relación a un mensaje de datos si se ha
conservado su integridad
35. De lo anterior que la Firma Digital requiera lo
siguiente:
a) Estar vinculada al signatario de manera única
b) Permitir la identificación del signatario
c) Haber sido creada por medios que el signatario pueda
mantener bajo su exclusivo control
d) Estar vinculada a los datos relacionados de modo que se
detecte cualquier modificación ulterior de los mismos.
Requisitos que además de contenerlos la doctrina también
el legislador patrio los incorporó en el Decreto – Ley en su
artículo 16.
36. SUSCERTE
La Superintendencia de Servicios de Certificación Electrónica
(SUSCERTE), es un servicio desconcentrado sin personalidad jurídica,
creado mediante el Decreto- Ley N° 1.204 de fecha 10 de febrero de
2001, sobre Mensajes de Datos y Firmas Electrónicas, publicado en la
Gaceta Oficial de la República Bolivariana de Venezuela N° 37.148 del
28 de febrero de 2001.
Es el organismo encargado de coordinar e implementar el modelo
jerárquico de la infraestructura Nacional de Certificación Electrónica,
también acredita, supervisa y controla a los Proveedores de Servicios
de Certificación (PSC) y es el ente responsable de la Autoridad de
Certificación Raíz del Estado Venezolano. Así mismo tiene como
alcance proveer estándares y herramientas para implementar una
tecnología de información óptima en las empresas del sector público,
a fin de obtener un mejor funcionamiento y proporcionar niveles de
seguridad confiables.