Introducción
La seguridad es uno de los conceptos clave a los que la Administración, en su paso al terreno de las Tecnologías de la Información y las Comunicaciones (TIC), debe prestar una mayor atención: la Administración tiene que extender las garantías jurídicas que ofrece a los ciudadanos y empresas a las gestiones que se realicen de forma electrónica.
Los documentos que se generan electrónicamente llevan asociados tres conceptos que son necesarios salvaguardar y que son la confidencialidad, la integridad y la autenticidad:
- La confidencialidad se refiere a la capacidad de mantener un documento electrónico inaccesible a todos, excepto a una lista determinada de personas.
- La integridad garantiza que el documento recibido coincide con el documento emitido sin posibilidad alguna de cambio.
- La autenticidad se refiere a la capacidad de determinar si una lista determinada de personas ha establecido su reconocimiento y/o compromiso sobre el contenido del documento electrónico. El problema de la autenticidad en un documento tradicional se soluciona mediante la firma autógrafa. Mediante su firma autógrafa, un individuo, o varios, manifiestan su voluntad de reconocer el contenido de un documento, y en su caso, a cumplir con los compromisos que el documento establezca para con el individuo.
Estos problemas, confidencialidad, integridad y autenticidad (los procesos definidos de firma y cifrado) se resuelven mediante la tecnología llamada criptografía. La criptografía es una rama de las matemáticas que, al aplicarse a mensajes digitales, proporciona las herramientas idóneas para solucionar los problemas antes mencionados. Al problema de la confidencialidad se le relaciona comúnmente con técnicas denominadas de cifrado y a los problemas de la integridad y la autenticidad con técnicas denominadas de firma digital, aunque ambos en realidad se reducen a procedimientos criptográficos de cifrado y descifrado.
¿Qué es criptografía asimétrica?
La criptografía asimétrica es el método criptográfico que utiliza un par de claves complementarias, la pública y la privada, para cifrar documentos o mensajes. Lo que está codificado con una clave privada necesita su correspondiente clave pública para ser descodificado. Y viceversa, lo codificado con una clave pública sólo puede ser descodificado con su clave privada. La clave privada debe ser conocida únicamente por su propietario, mientras que la correspondiente clave pública puede ser dada a conocer abiertamente.
El hecho de que la clave privada sólo sea conocida por su propietario nos permite conseguir dos cosas importantes:
- Cualquier documento generado a partir de esta clave necesariamente tiene que haber sido generado por el propietario de la clave (firma electrónica).
- Un documento al que se aplica la clave pública sólo podrá ser abierto por el propietario de la correspondiente clave privada (cifrado electrónico).
¿Qué es un certificado electrónico?
Un certificado electrónico es un documento emitido y firmado por una autoridad de certificación que identifica a una persona (física o jurídica) con un par de claves. Un certificado contiene la siguiente información:
- Identificación del titular del certificado (Nombre del titular, NIF, e-mail,…).
- Distintivos del certificado: número de serie, entidad que lo emitió, fecha de emisión, periodo de validez del certificado, etc.
- Una pareja de claves: pública y privada.
- La firma electrónica del certificado con la clave de la autoridad de certificación (AC) que lo emitió.
Toda esta información puede dividirse en dos partes:
- Parte privada del certificado: clave privada.
- Parte pública del certificado: resto de datos del certificado, incluida la firma electrónica de la autoridad de certificación que lo emitió.
La parte privada nunca es cedida por su propietario. Ésta es la base de la seguridad. Con la pareja de claves se pueden realizar funciones de cifrado con la peculiaridad de que lo que se cifra con la privada sólo se puede verificar con la pública y viceversa.
¿Qué es una firma electrónica?
Una firma electrónica es una huella digital de un documento cifrado con una clave. La huella digital se obtiene aplicando un algoritmo a un mensaje. Este algoritmo tiene dos características fundamentales:
- No existe la posibilidad de volver a obtener el mensaje partiendo de la huella digital generada.
- Si se cambia el mensaje, la huella digital que se obtiene es diferente. Estas dos características garantizan la integridad del mensaje. Si se cambia el contenido del mensaje, el que verifica la firma lo va a saber.
La huella digital se cifra con la clave privada del certificado de la persona que firma. Aplicando los mecanismos de verificación, el receptor va a conocer quién firmó y esa persona no puede repudiar la autoría del mensaje.