La Firma Digital es la transformación de un mensaje utilizando un sistema de cifrado asimétrico de manera que la persona que posee el mensaje original y la clave pública del firmante, pueda establecer de forma segura que dicha transformación se efectuó utilizando la clave privada correspondiente a la pública del firmante, y si el mensaje es el original o fue alterado desde su concepción.
¿Cuál es el marco legal?
El marco regulatorio en Paraguay permite el uso servicios de confianza de Certificación Digital, y en particular equipara la validez del uso de la firma digital con la firma manuscrita: “Cuando la ley requiera una firma manuscrita, esa exigencia también queda satisfecha por una firma digital. Este principio es aplicable a los casos en que la ley establece la obligación de firmar o prescribe consecuencias para su ausencia” (Art. 20 de la Ley 4017/2010).
Leyes, decretos, reglamentos y resoluciones que rigen la actividad de la PKI Paraguay:
- Decreto Reglamentario Nº 1165/2014 sobre Comercio Electronico
- LEY Nº 4868 COMERCIO ELECTRONICO
- Ley Nº 4610 » QUE MODIFICA Y AMPLIA LA LEY Nº 4017/10 “DE VALIDEZ JURÍDICA DE LA FIRMA ELECTRÓNICA, LA FIRMA DIGITAL, LOS MENSAJES DE DATOS Y EL EXPEDIENTE ELECTRÓNICO «
- Ley Nº 4017 «DE VALIDEZ JURÍDICA DE LA FIRMA ELECTRÓNICA, LA FIRMA DIGITAL, LOS MENSAJES DE DATOS Y EL EXPEDIENTE ELECTRÓNICO”
- Decreto Nº 7369 » POR EL CUAL SE APRUEBA EL REGLAMENTO GENERAL DE LA LEY Nº 4017 “DE VALIDEZ JURÍDICA DE LA FIRMA ELECTRÓNICA, LA FIRMA DIGITAL, LOS MENSAJES DE DATOS Y EL EXPEDIENTE ELECTRÓNICO ”.
El uso de la Firma Digital cumple con los siguientes aspectos de seguridad:
- Integridad: protección contra la modificación de los datos en forma intencional o accidental
- Autenticidad: protege al receptor del documento, garantizándole que dicho mensaje ha sido generado por la parte identificada en el documento como emisor del mismo.
- No repudio: protección al receptor del documento ante la posible negación del emisor de haberlo enviado.
- Confidencialidad: es la propiedad de la información por la que se garantiza que esta accesible únicamente al personal autorizado a acceder a dicha información.
Concepto
La firma es la prueba de la manifestación de la voluntad que permite imputar la autoría e identificar al firmante de un documento. Ahora bien, la Firma Digital es la Firma Electrónica utiliza una técnica segura (criptografía asimétrica) que permite vincular e identificar fehacientemente al firmante del documento electrónico garantizando la autenticación, integridad y no repudio del documento firmado.
Es una forma segura y verificable en donde un documento firmado digitalmente, establece que el mismo es un documento con validez jurídica, y que quien niegue ser el autor del contenido del documento por él firmado, es quien debe probar que las declaraciones u obligaciones que se encuentran en él no son las que ha tenido intención de hacer o contratar.
Infraestructura de Firma Digital
Para que la Firma Digital funcione, se requiere de una infraestructura que la haga posible. Una Infraestructura de Firma Digital es un conjunto de hardware, software, bases de datos, redes, procedimientos y obligaciones legales, que permite que las personas físicas y jurídicas se identifiquen entre si al realizar transacciones o intercambiar documentos electrónicos.
En una Infraestructura de Firma Digital tendremos un Ente Licenciante, que es el órgano administrativo encargado de otorgar las licencias a los certificadores de clave pública y de supervisar su actividad. A su vez, también estará el certificador de clave pública licenciado será una persona jurídica de carácter público o privado, cuya función consiste en otorgar los certificados digitales.
¿Cómo funciona?
Una firma digital es un conjunto de datos asociados a un mensaje que permite asegurar la identidad del firmante y la integridad del mensaje.
El procedimiento para firmar digitalmente un mensaje se lleva a cabo cuando el firmante genera, mediante una función matemática, una huella digital. Esta huella digital se encripta con la clave privada del firmante, y el resultado es lo que se denomina firma digital la cual se enviará adjunta al mensaje original. De esta manera el firmante va a estar adjuntando al documento una marca que es única para ese documento y que sólo él es capaz de producir.
A la vista, una firma digital se representa por una extensa e indescifrable cadena de caracteres, esta cadena representa en realidad un número que es el resultado de un procedimiento matemático aplicado al documento.
El receptor del mensaje podrá comprobar que el mensaje no fue modificado desde su creación y que el firmante es quién dice serlo a través del siguiente procedimiento:
- En primer término generará la Huella Digital del mensaje recibido,
- Luego desencriptará la firma digital del mensaje utilizando la clave pública del firmante y obtendrá de esa forma la huella digital del mensaje original;
- Si ambas huellas digitales coinciden, significa que el mensaje no fue alterado y que el firmante es quien dice serlo.
Cuando se genera el par, una de las claves, es designada como clave privada, o sea la que en el futuro se empleará para firmar los mensajes, por ello su almacenamiento requiere máxima seguridad debido a que no debe ser conocida ni utilizada por nadie, excepto por su titular. En consecuencia, la clave privada se encripta y protege mediante una contraseña y se la guarda en un eToken oCD.
En resumen
La firma digital es un método seguro de transformar mensajes utilizando cifrado asimétrico. Permite verificar la autenticidad y integridad del mensaje, asegurando que no ha sido alterado. En Paraguay, el marco legal equipara la validez de la firma digital con la firma manuscrita.
La clave pública, en cambio, es de carácter público y por tal motivo es enviada a una Autoridad Certificante (que actúa como tercera parte confiable), quien la incluye en un Certificado Digital.
Existen leyes, decretos y reglamentos que rigen la actividad de la PKI en Paraguay, como el Decreto Reglamentario Nº 1165/2014 y la Ley Nº 4868. La firma digital ofrece seguridad en aspectos como integridad, autenticidad, no repudio y confidencialidad.
Para su funcionamiento, se requiere una infraestructura de firma digital que involucra a un Ente Licenciante y a un certificador de clave pública. El procedimiento para firmar digitalmente un mensaje implica generar una huella digital encriptada con la clave privada del firmante. El receptor del mensaje puede verificar la integridad y autenticidad del mensaje al comparar las huellas digitales. La clave privada se guarda de forma segura en un eToken, un archivo o en la nube en un dispositivo HSM(Contenedor Criptográfico) , mientras que la clave pública se incluye en un Certificado Digital emitido por una Autoridad Certificante confiable.