?Qu¨¦ es una autoridad de certificaci¨®n?
Cuestionario b¨¢sico para aclarar los principales conceptos que se manejan
Paloma Llaneza es abogada especializada en derecho inform¨¢tico y cada mes responde a un consultorio jur¨ªdico en la revista Ciberp@¨ªs Mensual. Este suplemento le ha planteado las preguntas b¨¢sicas para entender c¨®mo funciona la firma digital.
?Qu¨¦ es la firma digital?
La firma es un sistema que permite identificar al emisor de un documento. Cuando hablamos de firma electr¨®nica es para distinguir que no se genera manualmente, sino por medio de sistemas inform¨¢ticos. Hay dos variedades: la firma electr¨®nica simple y la avanzada; de hecho, cuando se habla de firma digital se entiende que hablamos de la avanzada. La simple consistir¨ªa, por ejemplo, en digitalizar tu firma manuscrita, conservarla en un archivo de imagen y adjuntarlo cuando remites un documento. No lleva aparejado ning¨²n sistema de seguridad que garantice que el documento es de quien dice haberlo enviado. La firma digital (o electr¨®nica avanzada), por el contrario, permite la identificaci¨®n del signatario, consiste en un par de claves -la p¨²blica y la privada-, tiene que crearse por medios que el signatario mantiene bajo su exclusivo control y permite detectar si se han introducido modificaciones en el documento una vez ha sido enviado.
?C¨®mo se genera una firma digital?
La firma digital, aunque la ley no lo dice para evitar tener que cambiarla si surgen nuevas tecnolog¨ªas, se basa en un sistema de cifrado asim¨¦trico con dos claves, una p¨²blica y otra privada. Las claves se generan con dispositivos de creaci¨®n de firma.
?Qu¨¦ son las autoridades de certificaci¨®n?
Son entidades de libre creaci¨®n, aunque por ahora se les exige estar registradas, que suministran los certificados que identifican al usuario con su clave p¨²blica e, indirectamente, con la privada, con la que mantiene una relaci¨®n matem¨¢tica. Los llamados certificados de atribuci¨®n no s¨®lo garantizan la identidad del firmante, sino que, por ejemplo, s¨ª tienen poderes de la empresa para concluir un determinado contrato comercial.
?Es necesaria la intervenci¨®n de una autoridad de certificaci¨®n para obtener la firma?
No, basta con disponer del programa inform¨¢tico adecuado. Una empresa, un caso, puede organizar un sistema de firma digital de sus empleados para los tr¨¢mites internos de la misma. Para la relaci¨®n con terceros es m¨¢s aconsejable obtener un certificado de una autoridad de certificaci¨®n. Tras una gesti¨®n en persona, como en el caso de la FNMT, para cotejar la identidad del signatario, la autoridad emite un certificado que identifica al usuario con su firma digital (m¨¢s bien con su clave p¨²blica). Este certificado puede instalarse en el disco duro del ordenador, y cada vez que se remita un documento que necesita la firma digital lo adjunta. Este sistema tiene un problema. Al estar depositados los datos en el ordenador, existe el peligro de que un pirata entre en ¨¦l y los consiga. Es preferible conservar el certificado y las claves en una tarjeta electr¨®nica que, a trav¨¦s de un lector, se introduce cuando se quiere firmar. De esta manera, los datos s¨®lo son vulnerables a una intromisi¨®n en el instante de la firma.
?C¨®mo trabaja una autoridad de certificaci¨®n si se contrata que certifique atributos como, por ejemplo, que tengo poderes de la empresa?
Mientras que el documento con firma digital se env¨ªa directamente al destinatario, en este caso se deber¨ªa acudir a un sistema de triangulaci¨®n; es decir, en cada operaci¨®n la autoridad de certificaci¨®n habr¨ªa de acudir a datos externos (como el registro mercantil o un colegio de abogados) para comprobar mis poderes. Este sistema est¨¢ poco extendido ya que no est¨¢n generalizados los convenios de las certificadoras con bases de datos de terceros. Algunos poderes de un empleado se inscriben en el Registro Mercantil, pero una empresa puede haberle retirado los poderes sin notificarlo al Registro, por lo que la consulta es in¨²til.
En otros casos, ni siquiera existe esta base de datos. Por ello no se acude a la triangulaci¨®n. Cuando una empresa solicita una firma digital para uno de sus empleados se concreta el rango de la misma.
Guerra de autoridades
?Qu¨¦ pasa si la otra parte contrata una autoridad de certificaci¨®n distinta de la m¨ªa? La Administraci¨®n central s¨®lo reconoce en sus relaciones con el ciudadano la autoridad de certificaci¨®n de la FNMT. Hay que acudir a ella en las relaciones electr¨®nicas con la Administraci¨®n central. Las auton¨®micas est¨¢n inciando sus propios proyectos de autoridad de certificaci¨®n, lo que puede conducir a un panorama casi feudal. Seg¨²n vayan las cosas necesitaremos tantas firmas digitales como administraciones p¨²blicas con las que queramos tener relaci¨®n, a no ser que se acuerden sistemas de reconocimiento mutuo, aunque con el DNI digital esta situaci¨®n podr¨¢ atenuarse. En el caso de empresas particulares, en principio, las autoridades de certificaci¨®n deber¨ªan reconocerse mutuamente. Si una empresa no admite otra autoridad que la que tiene contratada, entonces depender¨¢ del inter¨¦s de la otra parte en llegar a un acuerdo para que acuda a ella o no. Es una cuesti¨®n de poder en una relaci¨®n bilateral.
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.
