Mucho se ha escrito últimamente sobre la firma digital y su popularización, especialmente en los últimos meses. Pero lo que no está muy extendido es el conocimiento sobre la tecnología que hay detrás para implementarla.
En realidad, para firmar un documento, el ordenador lee el texto y le aplica una función hash, un algoritmo matemático que calcula un resumen del contenido y lo expresa con un número. Con el algoritmo de firma y la clave privada, se transforma ese número en otro, y ese resultado es la firma, que se coloca en el documento.
«Para verificar su autenticidad, se aplica la clave pública a la firma, y se comprueba que el número resultante es el mismo que el obtenido al aplicar al documento la función hash», asegura Ángel del Río, profesor de Teoría de Números y Criptografía de la Universidad de Murcia, en declaraciones a El País.
Estas operaciones no las lleva a cabo el usuario, sino que, tras esta primera capa matemática, viene la implementación ingenieril, la construcción técnica de herramientas online y de aplicaciones. Esta maquinaria vuelve a ser validada con matemáticas para “demostrar que las hipótesis de partida son correctas y que si alguien quiere falsificar una firma tendrá que resolver un problema matemático muy difícil”, explica Maribel González Vasco, profesora de la Universidad Rey Juan Carlos de Madrid e investigadora de criptosistemas de clave pública.
Esos complejos problemas matemáticos detrás de los esquemas de firma están relacionados con números primos y curvas de tercer grado. “A día de hoy, los sistemas que más se utilizan son el RSA, basado en el problema de la factorización en primos de números enteros muy grandes; el DSA, protocolo de firma digital estándar del Instituto Nacional de Estándares y Tecnología de Estados Unidos que se sustenta en el problema del logaritmo discreto; y el ECDSA, la versión del anterior sobre curvas elípticas”, añade González Vasco.
Firmar y verificar que el firmante es quien dice ser son dos operaciones que se invierten: la función de verificación, que se realiza a través de la clave pública y que puede evaluar todo el mundo, es la inversa de la función con la que se calcula la firma. Pero, sin clave privada, esta inversa no puede calcularse; es decir, no se puede falsificar la firma, va blindada por una coraza matemática que procuran los problemas mencionados.
La firma digital presenta ventajas en el día a día: evita las colas y los desplazamientos para realizar ciertas gestiones, ahorra costes en el envío de documentos, agiliza y disminuye el papeleo, y protege de posibles suplantaciones de personalidad en la red. Realizar la declaración de la renta online es un buen ejemplo de su utilización en el que la criptografía asegura al ciudadano que su firma digital se ha emitido correctamente y que hace exactamente lo que le han dicho.
Validez y seguridad
La firma digital es como un candado en un documento. Esto requiere la existencia de un certificado oficial emitido por un organismo o institución que valida la firma y la identidad de la persona que la realiza. Es decir, estamos hablando, del conjunto de caracteres que se añaden al final de un documento o cuerpo de un mensaje para dar fe o mostrar validez y seguridad. Sirve por tanto para identificar a la persona emisora de dicho mensaje y para certificar la veracidad de que el documento no se ha modificado con respeto al original.
Su funcionamiento en concreto se basa en aplicar un algoritmo matemático al contenido del documento y luego aplicar el algoritmo de firma en el que se emplea una clave privada, al resultado de la operación anterior, generando de este modo, la firma del documento electrónico.
Una firma digital contiene lo que se conoce como “Audit Trail” o documento probatorio que es un documento extra que muestra detalladamente cada acción hecha sobre el documento en cuestión y quien realizo dicha acción, tal y como recoge Signaturit.
Este “Audit Trail” o documento probatorio contiene la siguiente información:
- Identificador único de la transacción.
- Nombre del firmante.
- Su dirección de correo electrónico.
- Dirección IP.
- Geolocalización.
- Historial de autenticación.
- Cadena de custodia (ej. enviado, visto, firmado, etc.)
- Sellado de tiempo oficial.
- Estado completado.
