Está en la página 1de 12

11) La teoría

Según el Dr`Font (2000 p. 70), nos expone en su obra que las firmas digitales se
generan utilizando un mecanismo matemático conocido como función hash. Se trata
de una función criptográfica que cuando se aplica a un texto lo reduce a un tamaño
fijo. Esta versión reducida del texto se conoce como message digest, el cual es
entonces encriptado por el remitente con su clave privada. El resultado es una firma
digital que se adjunta al texto original. Cuando recibe un documento que contiene
una firma digital, el receptor procede a desencriptarlo con la clave pública del
remitente, con lo cual se convierte en el mismo message digest generado cuando
éste “firmó” el documento. Aplicando la misma función hash al documento recibido,
se produce un segundo message digest. Comparando los dos message digest (el
generado por el remitente y el generado por el receptor) éste puede comprobar, si
son iguales, que el documento no ha sido alterado. De la misma manera, cuando el
remitente encripta un mensaje con la clave pública del futuro receptor contenida en
su certificado (que es público y puede solicitarse a una AC) sabe que sólo el receptor
podrá desencriptar el mensaje con su correspondiente clave privada que sólo él
posee.
11.1) Características y requisitos de la firma digital

Las firmas digitales deben poseer las siguientes características:

1) Ser únicas para cada “firmante”


2) Estar bajo el control exclusivo de éste.
3) Ser susceptibles de ser verificadas.
4) Estar adjuntadas al documento de tal manera que pueda comprobarse si el
contenido de aquél ha sido modificado después de que la firma digital le haya
sido adjuntada.
5) Ser generadas de forma fiable mediante tecnologías fiables.

Al respecto de las características anteriormente mencionadas el artículo 16 de


Nuestra Ley M.D.F.E reviste de una gran importancia porque es aquí donde nos
trata parte fundamental de esta ley y nos referimos a la validez y eficacia probatoria
de la firma electrónica, equiparándola por primera vez con la firma manuscrita, claro
está, no se puede hablar de equiparar efectos jurídicos en ambas firmas sin
mencionar que la Firma Electrónica deberá llenar los siguientes requisitos:

a) Garantizar que los datos utilizados para su generación puedan producirse


sólo una vez, y asegurar, razonablemente, su confidencialidad.
b) Ofrecer seguridad suficiente de que no pueda ser falsificada con la tecnología
existente en cada momento.
c) No alterar la integridad del Mensaje de Datos.

De igual manera establece el artículo 16 que la Firma Electrónica podrá formar parte
integrante del Mensaje de Datos, o estar inequívocamente asociada a éste; enviarse
o no en un mismo acto.

Es importante señalar para aquellas personas o entes que utilicen una firma
electrónica que no cumplan con los aspectos que establece el artículo 16 de
LSMDFE el artículo 17 de la LSMDFE nos afirma de manera categórica que “La
Firma Electrónica que no cumpla con los requisitos señalados en el artículo anterior
no tendrá los efectos jurídicos que se le atribuyen en el presente Capítulo, sin
embargo, podrá constituir un elemento de convicción valorable conforme a las
reglas de la sana crítica”.

12) El formato de la firma electrónica


Según las necesidades o escenarios específicos puede interesarle realizar su firma
electrónica mediante los diferentes formatos existentes. Desde vi afirma ofrecemos
soporte tanto a los formatos básicos como a los más avanzados.

12.1) Formatos básicos

Estos tipos de formato aportan todos los elementos necesarios para crear una firma
electrónica avanzada o reconocida:

12.1.1) XML Signature

Es una especificación desarrollada bajo el amparo del w3c que permite la firma
(completa o parcial) de documentos utilizando una notación XML estándar. XML
Signatures ofrece algunas ventajas frente a la firma tradicional ya que al estar
basada en texto plano su estructura es legible por humanos.

Funcionalmente, tiene mucho en común con PKCS#7, pero es más extensible y está
orientada hacia la firma de documentos XML.

Las firmas XML se pueden utilizar para firmar datos o recursos de cualquier tipo,
normalmente documentos XML, pero cualquier cosa que sea accesible a través de
una URL puede firmarse. Una firma XML que se utiliza para firmar un recurso fuera
del documento XML que la contiene se llama una firma separada (detached). Si se
utiliza para firmar una parte del documento que la contiene, se llama una firma
envuelta (enveloped). Si contiene los datos firmados dentro de sí mismo se llama
una firma envolvente (enveloping).
12.1.2) PDF-Signature

Firma embebida en documentos PDF acordes a estándares ISO-32001.

El que la firma esté embebida en un documento PDF hace que este formato sea el
más «accesible» para el ciudadano de a pie. Es decir, una firma embebida en un
PDF podría ser visualizada por un usuario que disponga cualquier lector de PDF
estándar, como pudiera ser Acrobat Reader. Se usan para escenarios en los que el
usuario final o usuarios involucrados en el proceso son personas naturales.

12.1.3) CMS (Cryptographic Message Syntax) / PKCS#7

La sintaxis de mensajes criptográficos (CMS) es el estándar del IETF para mensajes


protegidos criptográficamente.

Formato binario de firma usado para la firma, autenticación, resumen y encriptación


de documentos. Fue diseñado, principalmente, para el intercambio de información
a partir de Correos Electrónicos. Usa el estándar PKCS#7. Este formato además
incorpora información de sellado de tiempo obtenidos por una TSA (TimeStamp
Authority).

12.2) Formatos avanzados

Los formatos de firma electrónica avanzada a los que da soporte viafirma son:

12.2.1) XAdES – Firma electrónica avanzada XML

Familia de firmas avanzadas, basadas en formatos XML. A diferencia que un


formato embebido como pudiera ser el PDF-Signature, es un lenguaje pensado para
«conversar entre máquinas»; es decir, el intercambio de información entre sistemas
automatizados es el propósito de usar un formato basado en XML. Dentro de
este formato de firmas, se han ido evolucionando distintas extensiones que dan
respuesta a distintas necesidades y escenarios; las extensiones descritas a
continuación no tienen que considerarse de menos a más en el grado de robustez,
fiabilidad o seguridad, sino que deben considerarse como evoluciones del formato
que dan respuesta a escenarios distintos, y no por ello compiten entre sí.

 XAdES-BES. Firma básica que simplemente cumple los requisitos legales


de la Directiva para firma electrónica avanzada

 XAdES-EPES. Es un XAdES-BES al que se le incorpora información sobre


la política de firma, como pudiera ser aquella información sobre el certificado
empleado y la CA que lo emitió.

 XAdES-T (timestamp). Es un XAdES-EPES al que se le añade una segunda


firma, pero en esta ocasión, una firma realizada por una TSA (Time Stamp
Authority). Esta segunda firma aporta información específica sobre la fecha
y hora exacta de la firma.

 XAdES-C (complete). Es un XAdES-T al que se le añaden referencias sobre


los certificados y listas de revocación utilizadas para la validación del propio
certificado utilizado para la firma. Por ejemplo: fue firmado por Certificado
CCC emitidos por CA AAA y cuya CRL RRRR fue consultada en el momento
de la validación.

 XAdES-X (extended). Es un XAdES-C al que se le añade información sobre


la fecha y hora de los datos introducido para la extensión C.

 XAdES-XL (extended long-term). Es un XAdES-X al que se le incorporan


los certificados (sólo clave pública) y las fuentes de validación que se usaron.
A diferencia del -C, donde sólo se incluía una referencia (un puntero), en este
formato se embebe toda esa información. Por ejemplo, en el caso de una
CRL, se incorpora la lista firmada de certificados revocados que fue
consultada en ese momento. Esto se utiliza para garantizar la validación
muchos años después de la firma incluso en el caso que la CA que emitió el
certificado, o la fuente de validación (CRL) que se consultó, ya no esté
disponibles (publicadas, por ejemplo). Es decir, garantiza la validación off-
line a largo plazo.
 XAdES-A (archivado). Este formato incluye toda la información anterior,
pero incluye meta-información asociada a políticas de refirmado. Una política
de refirmado establece un período de caducidad de la firma digital, y
superado este tiempo, se procede a un refirmado. El escenario ideal para
este formato de firma son aquellos documentos cuya validez sea muy
elevada: hipotecas, títulos universitarios, escrituras, etc. 15, 20, 50 años, etc.

12.2.2) PAdES – Firma electrónica avanzada PDF

Es un conjunto de restricciones y extensiones a PDF y al estándar ISO 32000-


1 haciéndolo adecuado para la firma electrónica avanzada.

Mientras que con PDF y el ISO 32000-1 se da un marco para firmar


electrónicamente los documentos, la firma PAdES específica perfiles precisos para
el uso de firmas electrónicas avanzadas bajo la Directiva de la Unión Europea
1999/93/EC.

Un beneficio importante de PAdEs es que los documentos firmados


electrónicamente permanecen válidos durante largos periodos de tiempo, incluso si
los algoritmos criptográficos subyacentes están rotos.

Los documentos firmados electrónicamente con formato PAdES pueden ser usados
o archivados durante muchos años, incluso décadas, de manera que. en cualquier
momento en el futuro, a pesar de los posibles avances tecnológicos, debe ser
posible validar el documento para confirmar que la firma era válida en el momento
en el que fue firmada, un concepto conocido como «Long-Term Validation» (LTV).

Este formato es complementario a otros dos conceptos de firma electrónica


desarrollados por ETSI, ambos ampliamente reconocidos por la Unión Europea y
adecuados para aquellas aplicaciones que no conlleven una lectura por parte de
una persona del documento como son la firma electrónica avanzada para ficheros
CMS (CAdES) y la firma electrónica avanzada para XML (XAdES).
Para documentos en formato PDF, los datos de la firma se incorporan directamente
en el documento PDF firmado, permitiendo que el contenido del archivo PDF sea
copiado, almacenado y distribuido como un archivo electrónico simple. La firma
también puede tener una representación visual como un campo de formulario, tal
como podría tenerla en un documento impreso.

Una ventaja significativa del formato PAdES es que se despliega por medio de un
software ampliamente reconocido como son los lectores PDF, es decir, no se
requiere el desarrollo o la personalización de software especializado.

En la siguiente lista se definen brevemente los perfiles definidos por PAdES (ETSI
TS 102 778):

 PAdES Basic. Perfil básico que cumple con los requisitos especificados en
la norma ISO 32000-1.

 PAdES-BES Profile (Enhaced). Este perfil especifica una firma PDF


avanzada basada en CAdES-bes e incorpora opción de incluir en la firma
un sello de tiempo (CADES-T).

 EPES Profile (Enhaced). Este perfil especifica una firma PDF avanzada
basada en CAdES-EPES. Es el PAdES-BES Profile añadiéndole un
identificador de política de firma y, opcionalmente, una referencia al tipo de
compromiso adquirido.

 PAdES-LTV Profile (Long Term). Es el formato de firma longeva. Este perfil


permite prorrogar por tiempo indefinido la validez de las firmas en formato
PDF. Puede ser usado en conjunción con el PAdES-CMS, PAdES-BES o
perfiles PADES-EPES. Este perfil es utilizado para garantizar la validación
tras muchos años después de la realización de la firma. Es decir, garantiza
la validación a largo plazo.
12.2.3) CAdES – Firma electrónica avanzada CMS

CAdES (CMS Advanced Electronic Signatures) es un conjunto de extensiones de


datos firmados con sintaxis de mensajes criptográficos (CMS) por lo que es
adecuada para la firma electrónica avanzada.

Mientras el formato CMS es un CAdES-T (timestamp) marco general para firmar


documentos digitalmente, tales como E-Mail (S / MIME) o PDF, CAdES especifica
perfiles precisos de datos firmados con CMS para su uso con firma electrónica
avanzada en el marco de la Directiva Europea 1999/93/CE.

Un beneficio importante del formato CAdES es que los documentos firmados


electrónicamente pueden seguir siendo válidos durante largos períodos, incluso si
los algoritmos criptográficos subyacentes se rompen.

El principal documento que describe este formato es el ETSI TS 101 733 Firma
Electrónica e Infraestructura (ESI) – CMS Advanced Electronic Signature (CAdES).

El formato CAdES tiene definidos 6 perfiles diferentes, según el nivel de protección


ofrecido. Cada perfil incluye y mejora al anterior. Actualmente, Viafirma
Platform soporta hasta el perfil CAdES-T.

 CAdES. Forma básica que simplemente cumple los requisitos legales de


la Directiva para firma electrónica avanzada

 CAdES-T (timestamp). Se le incorpora información el campo con sello de


tiempos para proteger los datos de un posible repudio.

 CAdES-C (complete). Es un CAdES-T al que se le añade referencias sobre


los certificados y listas de revocación utilizadas para permitir la validación off-
line y su verificación en el futuro (sin almacenar los datos actuales de
verificación).

 CAdES-X (extended). Es un CAdES-C al que se le añade información sobre


la fecha y hora de los datos introducidos para la extensión C.
 CAdES-X-L (extended long-term). Es un CAdES-X al que se le incorporan
los certificados (sólo clave pública) y las fuentes de validación que se usaron.
Garantiza la validación off-line a largo plazo incluso si la fuente original no
estuviera disponible.

 CAdES-A (archivado). Este formato incluye toda la información anterior,


pero incluye meta-información asociada a políticas de refirmado. Una política
de refirmado establece un período de caducidad de la firma digital, y
superado este tiempo, se procede a un refirmado. El escenario ideal para
este formato de firma son aquellos documentos cuya validez sea muy
elevada: hipotecas, títulos universitarios, escrituras, etc. 15, 20, 50 años, etc.

13) Firma electrónica y firma digital: Situación en varios países

13.1) La firma electrónica y la firma digital en el Perú

El mundo está realmente interconectado. Cada día se generan millones de


operaciones electrónicas y éstas requieren niveles de seguridad que identifiquen
adecuadamente a los firmantes, quienes interactúan en el ciberespacio1 para
comprar bienes o adquirir servicios de calidad. En dicho contexto, Perú no puede
ser ajeno a una realidad cuyos problemas legales se deben resolver desde el
derecho informático, con una visión iusinformática, donde derecho y tecnología se
unen para facilitar las operaciones electrónicas en entornos globalizados e
interconectados. Es así que el sistema jurídico peruano se ha adaptado a las nuevas
exigencias de los tiempos modernos. En concordancia con los avances del derecho
informático, ha regulado en diversos cuerpos normativos tanto las firmas
electrónicas como las firmas digitales. El primer marco legal que dio origen a una
revisión iusinformática para la generación de operaciones con firma electrónica fue
la Ley 27269, Ley de Firmas y Certificados Digitales. Posteriormente, en junio del
año 2000, se aprobó la Ley 27291, que trajo consigo una serie de modificaciones al
Código Civil peruano de 1984. Esto permitió, entre otros aspectos, aquellos relativos
a la utilización de los medios electrónicos para manifestar la voluntad y la
correspondiente utilización de la firma electrónica.
13.2) Firma digital en naciones unidas

En las Naciones Unidas una firma digital o numérica es un valor numérico que se
consigna en un mensaje de datos y que, gracias al empleo de un procedimiento
matemático conocido y vinculado a la clave criptográfica privada del emisor, logra
identificar que dicho valor se ha obtenido exclusivamente con la clave privada de
iniciador del mensaje.

El procedimiento matemáticos utilizados para generar firmas numéricas


autorizadas, se basan en el cifrado de la clave pública. Estos procedimientos
aplicados a un mensaje de datos, operan una transformación del mensaje a fin que
el receptor del mensaje y poseedor de la clave pública del originante pueda
establecer: Si la transformación se efectuó utilizando la clave criptográfica privada
que corresponde a la clave pública que él tiene como válida. Si el mensaje inicial ha
sido modificado.

13.3) Firma digital en E.U

En los Estados Unidos podemos observar la sanción de diferentes leyes relativas a


la firma digital, para la creación de una infraestructura de firma digital que asegure
la integridad y autenticidad de las transacciones efectuadas en el ámbito
gubernamental y en su relación con el sector privado:

13.3.1) Iniciativa del Gobierno Federal

Proyecto "Gatekeeper": Prevé la creación de una autoridad pública que administre


dicha infraestructura y acredite a los certificadores de clave pública. En el área de
telecomunicaciones: Régimen voluntario de declaración previa para los
certificadores de clave pública;
• Ley de certificadores de clave pública relacionados con la firma digital;
• Proyecto de Ley sobre la utilización de la firma digital en los ámbitos de la
seguridad social y la salud pública;
• Ley sobre creación, archivo y utilización de documentos electrónicos;
• Ley sobre intercambio electrónico de datos en la administración y los
procedimientos judiciales administrativos;
• Iniciativa sobre la creación de una infraestructura de clave pública para el
comercio electrónico;
• Ley que autoriza la utilización de documentación electrónica en la
comunicación entre las agencias gubernamentales y los ciudadanos,
otorgando a la firma digital igual validez que la firma manuscrita. (Ley
Gubernamental de Reducción de la Utilización de Papel - "Government
Paperwork Elimination Act");
• Ley que promueve la utilización de documentación electrónica para la
remisión de declaraciones del impuesto a las ganancias;
• Proyecto piloto del IRS (Dirección de Rentas - "Internal Revenue Service")
para promover la utilización de la firma digital en las declaraciones
impositivas;
• Proyecto de Ley de Firma Digital y Autenticación Electrónica para facilitar el
uso de tecnologías de autenticación electrónica por instituciones financieras;
• Proyecto de Ley que promueve el reconocimiento de técnicas de
autenticación electrónica como alternativa válida en toda comunicación
electrónica en el ámbito público o privado;
• Resolución de la Reserva Federal regulando las transferencias electrónicas
de fondos;
• Resolución de la FDA (Administración de Alimentos y Medicamentos - "Food
and Drug Administration") reconociendo la validez de la utilización de la firma
electrónica como equivalente a la firma manuscrita;
• Iniciativa del Departamento de Salud proponiendo la utilización de la firma
digital en la transmisión electrónica de datos en su jurisdicción;
• Iniciativa del Departamento del Tesoro aceptando la recepción de solicitudes
de compra de bonos del gobierno firmadas digitalmente;
• Casi todos los estados tienen legislación, aprobada o en Proyecto, referida a
la firma digital. En algunos casos, las regulaciones se extienden a cualquier
comunicación electrónica pública o privada. En otros, se limitan a algunos
actos internos de la administración estatal o a algunas comunicaciones con
los ciudadanos.

Se destaca la Ley de Firma Digital del Estado de Utah, que fue el primer estado en
legislar el uso comercial de la firma digital. Regula la utilización de criptografía
asimétrica y fue diseñada para ser compatible con varios estándares
internacionales. Prevé la creación de certificadores de clave pública licenciados por
el Departamento de Comercio del estado. Además, protege la propiedad exclusiva
de la clave privada del suscriptor del certificado, por lo que su uso no autorizado
queda sujeto a responsabilidades civiles y criminales.