Sentado que los requerimientos que garantizan la seguridad en las transacciones electrónicas son autenticidad, integridad, confidencialidad y no repudio; parece lógico pensar que una de las cuestiones a solventar por las firmas electrónicas es que la parte receptora del documento pueda saber y probar que éste ha sido enviado por una persona física concreta y no por otra, aunque la misma represente a una persona jurídica.
La solución técnica es relativamente sencilla. Las firmas electrónicas se basan en una tecnología conocida como “criptosistemas de clave asimétrica”, en la que se basan los algoritmos más utilizados en las firmas electrónicas, como el algoritmo RSA.
Está técnica se basa en que cada uno de los intervinientes en el tráfico posee un par de claves, con tres características fundamentales. En primer lugar, se tratan de pares de claves únicas, cada par de claves se utiliza exclusivamente para el cifrado y descifrado de documentos electrónicos generados por una persona física. En segundo lugar, se trata de un sistema de cifrado asimétrico, lo que significa que lo que yo cifro con una de las claves del par lo descifro con la otra clave que forma ese par y viceversa. Y en tercer lugar, una de las claves (clave pública) es de dominio público, mientras que la otra clave (clave privada) sólo la conoce la persona física a la que el par de claves “representa”. En este punto, alguno podría dudar sobre el mantenimiento de la confidencialidad de su propia clave por parte del poseedor de la clave privada. Para tranquilizarles, apuntar que los últimos avances permiten la “generación de claves en nativo”, que impide su conocimiento incluso a la persona que la usa. Se plantea en este punto la cuestión de establecer algún mecanismo que evite la “suplantación de personalidad virtual”, cuestión solucionada con la aparición de las entidades de certificación y los certificados electrónicos.
Otra cuestión a resolver es que ambas partes puedan probar que el documento remitido es el mismo que el recibido. Para solventar este problema, las firmas electrónicas utilizan “la función HASH”, un sistema de cifrado de dominio, siendo el actual estándar de facto en el mercado el algoritmo SHA 1. Al receptor del mensaje y dentro del sistema de firmas electrónicas, se le manda “el texto claro”, que es el texto sin cifrar, así como el resultado de aplicarle la función HASH. Cuando el documento llega al nodo receptor, se le puede aplicar la función HASH y comparar el resultado con el resultado remitido, y si son idénticos, se garantiza su integridad.
Otra cuestión a resolver es que ambas partes puedan probar que el documento remitido es el mismo que el recibido. Para solventar este problema, las firmas electrónicas utilizan “la función HASH”, un sistema de cifrado de dominio, siendo el actual estándar de facto en el mercado el algoritmo SHA 1. Al receptor del mensaje y dentro del sistema de firmas electrónicas, se le manda “el texto claro”, que es el texto sin cifrar, así como el resultado de aplicarle la función HASH. Cuando el documento llega al nodo receptor, se le puede aplicar la función HASH y comparar el resultado con el resultado remitido, y si son idénticos, se garantiza su integridad.
También es preocupante la confidencialidad del documento remitido, que es aún mayor si se tiene en cuenta el hecho de que las firmas electrónicas utilicen para el descifrado una clave a la que cualquiera puede tener acceso (clave pública). El tema se agrava si se utiliza el Secure Electronic Transfer protocol, o SET, ya que el texto claro va al descubierto (sin cifrar). La solución está en el “ensobrado electrónico”, una segunda capa de cifrado que se realiza aplicando un algoritmo simétrico (se cifra y descifra con la misma clave) y posteriormente aplicando la clave pública del receptor del documento a la clave de descifrado (clave simétrica). El receptor, para desensobrar, aplica su clave privada, obteniendo la clave de descifrado del algoritmo simétrico, posteriormente la aplica y así garantiza que ninguna tercer parte ha accedido al documento.
Otra cuestión a resolver es la utilización de técnicas de no repudio entre las partes, para evitar que alguna parte pueda dar por no enviado o no recibido un documento, o lo pueda dar por enviado o recibido en una fecha u hora distintas a las reales. En este punto, la única posibilidad viable parece ser la intervención de “fedatarios electrónicos”, que pueden garantizar la emisión o recepción de los documentos electrónicos y utilizar técnicas de “time stamping”. En cuanto estas entidades, parece que en España, como en el resto de los Estados miembros de la Unión Europea no va a ser preciso cumplir requisitos administrativos para constituirse como tal. Sin embargo, está pensado crear un organismo de control.
Por otra parte, la publicación de la orden ministerial de 19 de abril autorizando y regulando la forma en que se han de efectuar las declaraciones de renta vía telemática ha creado una tendencia en el uso del formato de la versión 3 del estándar x-509, lo que incluye dos interesantes extensiones del certificado con opción de “flags” de criticidad, que van a operar a modo de auténticos campos libres muy útiles para la inclusión de históricos de certificaciones, ratios de solvencia o poderes notariales digitalizados y firmados por fedatarios electrónicos.
Quedan por establecer mecanismos eficaces y cómodos de personación de las personas físicas que solicitan la inscripción en el registro para poder probar su identidad, mientras llega el prometido DNI electrónico.
