ABC de la firma digital

Los certificados digitales son documentos digitales que dan fe de la vinculación entre una clave pública/privada y un individuo o entidad. No son ni más ni menos que la contraparte parte electrónica de nuestro documento de identidad. El certificado digital puede identificar tanto a una persona como a una institución.

De este modo, la tecnología permite verificar que una clave pública específica pertenece efectivamente a un individuo determinado. Los certificados ayudan a prevenir que alguien utilice una clave para hacerse pasar por otra persona.  La emisión de los mismos la tienen a cargo las Autoridades Certificantes o Entidades Certificantes (pueden tener también entidades de registro para cumplimentar procesos administrativos de las mismas).

Su utilidad es amplia, puede servir para autenticar fehacientemente a un usuario en sus diferentes formas de acceso a una red, logon a una PC, acceso remoto (como ser una VPN), y por supuesto el uso de certificados para firmar digitalmente cualquier tipo de documento en un mundo virtual y no físico.

Existen más de un tipo de certificados digitales. Los mismos por ejemplo pueden servir para identificar que una dirección de correo existe (como por ejemplo los creados en forma gratuita por www.pki.gov.ar). Esta clase de certificado no garantiza quien es la persona detrás de la dirección de email, únicamente garantiza que dicha dirección existe. Luego tenemos otra clase de certificados que requiere que demostremos nuestra identidad a la Autoridad de Registro de la Entidad Certificante durante el proceso de emisión. Esta clase de certificado garantiza a través de procesos y políticas que la persona detrás del email (por ejemplo) existe fehacientemente. Otra clase de certificados no solo cumple los requisitos anteriormente mencionados, sino que también incluye el cargo de la persona. Pensemos en el ámbito del poder ejecutivo: un ministro, con su email y con su cargo en el email, en este caso este certificado ya tiene no solo valor legal sino que tiene sello.

¿Qué diferencia tiene con la firma digital?

Un certificado digital y la firma digital son dos cosas totalmente diferentes.

La firma digital es una herramienta tecnológica que utiliza algoritmos matemáticos complejos para garantizar la autoría e integridad de los documentos digitales, posibilitando que éstos gocen de una característica que únicamente era propia de los documentos en papel.

La firma digital es un proceso dentro de la infraestructura de clave pública y privada.  Es un conjunto de datos asociados a un mensaje digital que permite garantizar la identidad del firmante y la integridad del mensaje en cuestión.

La firma digital no implica la confidencialidad del mensaje; un documento firmado digitalmente puede ser visualizado por otras personas, al igual que cuando se firma en forma manuscrita.

Es un instrumento con características técnicas y normativas. Esto significa que existen procedimientos técnicos que permiten la creación y verificación de firmas digitales, y existen documentos normativos que respaldan el valor legal que dichas firmas poseen.  En todo momento, es fundamental para trabajar con certificados que para el proceso de firma se pueda garantizar que el lugar donde se almacena la clave privada de la persona que está firmando es totalmente seguro, y que la clave utilizada no puede comprometerse. Es esta la pieza y el punto fundamental para la aceptación de la tecnología y de las herramientas de MacroSeguridad en conexión al cuidado, resguardo y portabilidad de los certificados digitales, dentro de un dispositivo robusto de autenticación como es ePass Token USB.

La diferencia entre Firma Digital y Firma Electrónica es que en la firma digital, tiene validez legal y la firma electrónica requiere un tipo de convenio entre las partes que intercambian alguna clase de información.

¿Qué Ley Argentina lo avala?

La ley de firma digital (marco normativo) es la 25.506 constituida el 14 de Diciembre de 2001, el Decreto del 20 de Diciembre de 2002  2.628/02 y el decreto modificatorio del 13 de junio del 2006, así como también un conjunto de normas complementarios que permiten modificar y fijar un marco de interacción, es decir, determinan competencias y establecen procedimientos.

En el Boletín Oficial del 12 de Febrero de 2007 ha sido publicada la Decisión Administrativa Nº 6/2007 del Jefe de Gabinete de Ministros. La misma establece el marco normativo de firma digital aplicable al otorgamiento y revocación de las licencias a los certificadores que así lo soliciten.

¿Cuándo empezó a gestarse este mecanismo a nivel mundial?

A nivel mundial se podría decir que todo empezó en Estados Unidos alrededor de 1970 cuando se empezaron a desarrollar los primeros algoritmos de criptografía.  El auge de la infraestructura podemos decir que comenzó a partir de los ´80

¿Cuándo empezó a hablarse de esto en la Argentina?

En Argentina se empezó hablar hace bastante tiempo pero podríamos decir que ya desde el ´96.

Las iniciativas relacionadas con la firma digital en el ámbito de la Subsecretaría de la Gestión Pública (SGP) se iniciaron en Marzo de 1997. En esa fecha, la entonces Secretaría de la Función Pública (actualmente SGP) dictó la Resolución N° 45, que establecía pautas técnicas para elaborar una normativa sobre firma digital, a fin de difundir esta tecnología en el ámbito de la Administración Pública Nacional.

En 1996 se inician las reuniones del Subcomité de Criptografía y Firma Digital en la sede de la Secretaría de la Función Pública (SFP), con la participación de representantes del BCRA, la CNV, el Ministerio de Justicia y la ANSeS. En Diciembre se elabora el Documento "Pauta mínimas para una normativa de Firma digital", el cual pasa a conformar el Anexo de la Resolución SFP Nº 45/02.

Macroseguridad provee guías de integración en castellano de cómo emitir un certificado, sea de la empresa que sea. La interfaz del producto se provee en castellano ya sea para Microsoft, Linux o MAC.  Con actualizaciones sin cargo y licenciamiento perpetuo. En Gobierno las medidas de seguridad deben ser extremas, por eso es importante que el certificado una vez que entra en el dispositivo nunca más pueda ser exportado, para que no quede una copia en la PC en la que se lo utiliza.

Por todas estas razones la línea de productos ePass Token USB, posee una característica única y fundamental que es que están pensadas y desarrolladas para que sean muy fáciles de manejar por un usuario final, debido a que las mismas cuentan con toda la interfaz de administración y configuración en castellano.

link al articulo original: click aca