No son iguales las Firmas Electrónicas, las Firmas Digitales Simples, las Firmas "estampadas" o dibujadas en un documento.
Para efectos de transparencia y claridad nos referiremos a firmas electrónicas como aquellas que son creadas usando Criptografía de Llave Pública (Public Key Cryptography -PKC).
En Chile desde el año 2002, contamos con la Ley 19.799 que establece la existencia de la Firma Electrónica Avanzada (F.E.A) también basada en infraestructura PKI y en la existencia de entidades acreditadas como Autoridades Certificadoras de dicho tipo de firma, que tiene carácter de firma pública a los efectos legales.
¿Qué tipo de seguridad es provista por las Firmas Electrónicas?
Los tres requisitos de seguridad que proveen las firmas electrónicas son:
Autenticación del Firmante: Prueba de quién es el que está firmando el documento. Las firmas electrónicas vinculan la firma del usuario a una identidad identificable.
Integridad de los Datos: Prueba de que el documento no ha sido modificado desde su firma. La firma electrónica se encuentra ligada a cada uno de los bits del documento, luego no se puede volver a adjuntar a ningún otro documento.
No Repudio: El firmante no puede mentir respecto de haber firmado un documento. Es decir, debe ser posible demostrar, en un tribunal, que de hecho el firmante creó su firma. A su vez no es posible afirmar que alguien firmó un documento cuando no lo hizo.
Toda la evidencia de seguridad antes mencionada debe estar disponible directamente desde la firma, sin necesidad de recurrir a registros de auditoría o a proveedores externos.
¿Cuál es la base de la seguridad de las Firmas Electrónicas?
Una Firma Electrónica basada en Criptografía de Llave Pública se basa en los siguientes principios:
No hay forma de que alguien pueda descifrar la llave privada desde la llave pública. Lo anterior es porque la Criptografía usada (PKC) se basa en problemas matemáticos de un sentido, como por ejemplo la factorización de un número muy grande que es el producto de dos números primos.
La llave privada está bajo el control exclusivo de su dueño. Ésta puede guardarse localmente por el usuario, en tarjetas inteligentes o token USB, en este caso el proceso de firma es denominado "firma local". O la llave privada puede ser almacenada centralmente en un Módulo de Seguridad por Hardware (HSM) - un componente de hardware protegido de la manipulación indebida.
Estándares
Las Firmas Electrónicas están en el corazón de muchos de los estándares modernos que aseguran más confianza y seguridad para los datos y los documentos.
Algunos de estos son estándares técnicos gestionados por Internet Engineering Task Force IETF como por ejemplo PKCS#7/CMS y otros cubren necesidades legales y comerciales como eIDAS o pertenecen a una organización de estándares como los del European Telecommunications Standards Institute (ETSI), Comité Europeo de Normalización (CEN) o los recientes para Firma Remota del Cloud Signature Consortium (CSC).
SigningHub soporta todos los estándares de firma relevantes como PAdES, XAdES y CAdES. Incluyendo perfiles avanzados como *AdES-X-L y *AdES-A.
¿Qué son las Autoridades Certificadoras (CAs) y porqué se necesitan?
Antes de usar una llave pública para verificar una firma, es necesario asegurarse que ésta realmente pertenezca a dicha persona. El rol de la Autoridad Certificadora es la de emitir certificados digitales a entidades dentro del sistema PKI que prueben que una llave pública específica pertenece a una persona en particular - de manera que es posible decir que los certificados digitales vinculan la identidad de la persona con su llave pública. Este vínculo está asegurado por la CA mediante una firma electrónica que utiliza la clave privada de la CA.
Si estás pensando en aprovechar las ventajas de este modelo no dudes en contactarnos.
Revisa nuestra amplia variedad de productos de firma electrónica y si tienes preguntas puedes escribirnos y con gusto las responderemos.
