Una firma sirve para asignar un documento al firmante (signatario). La firma como signo de confirmación o consentimiento es un compañero cotidiano tanto en el mundo de los negocios como en la vida privada y forma parte integrante de nuestras vidas desde hace muchos cientos de años. Hace unos años, todavía se discutía si el escaneado de una firma manuscrita satisfacía el requisito de la forma escrita. Desde el Reglamento eIDAS, esto sólo se aplica a las firmas electrónicas cualificadas. Pero, ¿qué son las firmas electrónicas cualificadas?
¿Qué son las firmas electrónicas?
La firma electrónica es, por así decirlo, la contrapartida digital de la firma manuscrita. Se considera el signo de una declaración de intenciones en forma digital. Los procedimientos de firma electrónica existen desde principios de los años noventa. Ahora se han establecido en la vida empresarial. En la gran mayoría de los países, las firmas electrónicas cualificadas se reconocen como equivalentes a las firmas manuscritas. En Europa, el Reglamento eIDAS la norma central. Existen varias formas de procedimientos de firma electrónica. Sólo las firmas electrónicas cualificadas tienen el mismo estatus que las firmas manuales.
Variantes de la firma electrónica
Según la Reglamento eIDAS define la firma electrónica como: "Datos en forma electrónica que se adjuntan o asocian lógicamente a otros datos electrónicos y que el firmante utiliza para firmar". El sitio Reglamento eIDAS distingue además entre tres niveles de firmas digitales. Cada nivel es más seguro. Sólo las firmas electrónicas cualificadas son equivalentes a las firmas manuscritas en papel.
Firma electrónica simple (FES)
La forma más sencilla de firma electrónica es la Firma Electrónica Simple (FES). Aunque este término no se menciona en el propio Reglamento eIDAS, se ha consolidado en la práctica. Se trata básicamente de un término colectivo que engloba todas las firmas electrónicas que no tienen un nivel avanzado o cualificado. Incluso el nombre mecanografiado (por ejemplo, en la firma de un correo electrónico) se considera una SES.
Firma electrónica avanzada (AES)
Los requisitos de una firma electrónica avanzada (AES) son mucho mayores. Una AES cumple todos los requisitos siguientes:
- Se asigna claramente al firmante (clave privada).
- Permite identificar al firmante.
- Los datos de creación de firma utilizados están bajo el control exclusivo del firmante.
- Se vincula a los datos firmados de este modo de forma que pueda reconocerse cualquier modificación posterior de los mismos.
Desde un punto de vista técnico, la firma electrónica funciona con la ayuda de una clave privada y otra pública. En primer lugar, se calcula un valor hash único a partir del documento (la "huella digital" del documento). El valor hash se calcula a partir de todo el texto. Suele expresarse como un número hexadecimal de 64 dígitos. Si el documento se modifica posteriormente, el valor hash cambia. Esto invalida la firma. El valor hash se cifra con una clave privada y se almacena en los metadatos del documento. El valor hash puede leerse a partir de los metadatos utilizando la clave pública del firmante.
El valor hash puede recalcularse a partir del documento recibido. Las firmas sólo son válidas si el valor hash recibido de los metadatos coincide con el valor hash recalculado. En este caso, se puede suponer que la identidad del remitente y la integridad de la información recibida están garantizadas. Si los valores hash no coinciden, se notifica un error. En este caso, la seguridad del proceso no está garantizada.
La firma electrónica reconocida (FER)
La firma electrónica reconocida (FER) es el tipo más seguro de firma electrónica. Tiene todas las propiedades de una AES y funciona técnicamente de la misma manera. Además de los requisitos de la AES, es creada por un dispositivo cualificado de creación de firmas y se basa en un certificado cualificado de firma electrónica. Un certificado cualificado sólo puede ser emitido por proveedores de servicios de confianza cualificados (QTSP). Para convertirse en QTSP, un prestador de servicios debe cumplir unos criterios estrictos definidos por las autoridades competentes.
Conclusión: ¿Cuáles son las ventajas de la firma electrónica reconocida?
Por tanto, un SGC cumple esencialmente dos funciones. Garantiza que los documentos no se modifiquen posteriormente ("Integridad"). Y los datos se asignan a una persona concreta ("Autenticidad"). Sólo esta persona tiene la clave privada. La emisión de certificados reconocidos y los controles de las autoridades también garantizan que los certificados de firma funcionen de forma fiable.
En breve dispondrá de más información sobre las ventajas de la firma digital en nuestro Blog.