miércoles, 17 de agosto de 2011

Firma digital y documento electrónico.

El papel vs. la electrónica
                   Los problemas centrales que rodean a los archivos electrónicos y firmas giran sobre la validación de tal información. La aprobación de un procedimiento de laboratorio, método, registro o dato de cualquier tipo requiere de varios puntos que incluyen incluyen la existencia de una definición de un proceso, documentación, demostración de aptitud para el uso, y previsión de mantenimiento. Declarar simplemente que una persona esta autorizada a cambiar un registro es inadecuado. Hay numerosas diferencias entre el papel y las tecnologías de registro electrónico que deben observarse antes que un sistema electrónico puede validarse.  

                Por ejemplo, los archivos electrónicos son elegidos de los bancos de datos de información. Tales bancos son dinámicos. El contenido cambia a medida que se agrega nueva información; por consiguiente, los archivos electrónicos son vistas transitorias en lugar de entidades estáticas. Además, todo el software del banco de datos es ligeramente diferente, en la forma en que se programa y en cómo opera. Dependiendo de la manera en que el software ha sido escrito, es posible desfigurar la información del banco de datos al realizar ciertas operaciones (ej., preguntas similares pueden proporcionar respuestas diferentes). Peor aún, los elementos del banco de datos pueden cambiarse fácilmente en cualquier momento sin dejar evidencia alguna y de una manera que destruye la información original.  
           
            La firma electrónica es un texto escrito por el usuario y se anexa siempre al final de un correo.

            En este texto comúnmente se incluye información personal o de negocios, como si se tratara de una tarjeta de presentación.
             Las firmas electrónicas enfrentan problemas similares. Es mucho más difícil falsificar una firma inserta en un papel y más fácil descubrir cuando esto ha pasado, que   falsificar una firma electrónica. Además,  las firmas en papel no son susceptibles de ser expropiadas o de ser pedidas en préstamo, por el contrario las electrónicas si lo son. Estos problemas no surgen en sistemas basados en papel, por consiguiente,  cuando se trata de firmas electrónicas son necesarios controles adicionales.  
 
             La firma electrónica debe guardarse con documentación que incluya: el nombre impreso del firmante, la fecha y hora en que la firma se ejecutó y la actividad (como revisión, aprobación, responsabilidad y autoría) asociada con ella. Además, las firmas electrónicas y manuscritas llevadas a cabo para registros electrónicos deben estar asociadas a sus respectivos archivos, como para que no puedan cortarse, copiarse o transferise con fines de falsificación de un registro electrónico, por medios ordinarios.  
 
            Cuando se usan dispositivos biométricos para la firma electrónica, esta última debe estar diseñada de manera tal que no pueda ser usada por nadie, excepto el dueño genuino. Algunos dispositivos integran la captura de la firma biométrica con tecnología criptográfica que liga firmas con tiempo y fecha de inserción en los documentos.   

            Una Firma Digital es el resultado de la aplicación de ciertos procedimientos técnicos a un Documento Digital utilizando un sistema criptográfico extremadamente seguro.

             La implementación de esta tecnología permitirá hacer más eficientes los circuitos administrativos, al hacer posible la identificación fehaciente del autor y/o emisor de la información, y al otorgar garantías de que el documento digital no ha sido alterado desde el momento de su firma.

Firma Digital - La Ley del estado de Utah

            En los Estados Unidos por lo menos diez estados están desarrollando o han implementado una legislación sobre firma digital, entre ellos Arizona, Georgia, Hawai, Oregon, Washington, Illinois, California  y Florida. 

            La mayoría de esta legislación se ha basado en la Ley del Estado de Utah sobre la Firma Digital (Utah Digital Signature Act), que comenzó a regir el 1 de mayo de 1995, y en la Guía de Firma Digital (Digital Signature Guidelines), publicada en octubre de 1995 por The American Bar Association's Information Security Committee (Comité de la ABA Science and Technology Section). Utah fue el primer estado en haber implementado un nuevo uso en la autopista informática. Ante la ausencia de una ley modelo, la Ley de Firma Digital de Utah se ha convertido en referencia obligada para los demás estados. Esta ley conforma un esquema regulatorio que brinda efectos legales a la firma digital, un sistema de doble clave que brinda  protección, verificación y autenticación a transacciones en línea (on-line). En el acto electrónico interviene un tercera parte que es la autoridad certificante, encargada de emitir los certificados indispensables para poder utilizar el sistema.

Firma y verificación

            La Ley define la firma digital ("dig-sig") como la transformación de un mensaje empleando un criptosistema asimétrico tal que una persona que posea el mensaje inicial y la clave pública del firmante pueda determinar con certeza:

a) si la transformación se creó usando la clave privada que corresponde a la clave pública del firmante, y
b) si el mensaje ha sido modificado desde que se efectuó la transformación. Esta definición es importante ya que decide la tecnología a utilizar, que recae fundamentalmente en la criptografía. La firma digital utiliza un criptosistema asimétrico. Esto significa que comprende dos procesos:

     1) la creación de la firma por el suscriptor utilizando la clave privada, que es sólo conocida por el suscriptor, y el es el único responsable de su guarda, y

     2) la verificación de la firma por la otra parte: el receptor del mensaje comprueba su autenticidad utilizando la clave pública que surge del certificado del suscriptor, comunicándose con el repositorio o registro donde el referido certificado se encuentra registrado.

            Una típica transacción con firma digital comienza con la determinación por parte del firmante del contenido del documento que desea firmar (mensaje plano). Luego el software crea una imagen digital o resumen del mensaje mediante la aplicación de una función denominada "hash function". Al resultado de la aplicación de esta función se lo denomina "hash result", y consiste en un código único para el mensaje. De esta forma, si el mensaje cambia o es modificado, el "hash result" será diferente. Por último el software encripta o transforma el "hash result" con la firma digital mediante la aplicación de la clave privada del firmante.

            La firma así obtenida es única tanto para el mensaje como para la clave privada utilizada para su creación. La verificación de la firma digital es realizada computando un nuevo "hash result" del mensaje original utilizando la misma "hash function" usada en la creación de la firma digital. Finalmente, con la clave pública que surge del certificado del firmante, el receptor comprueba si la firma digital proviene del la clave privada del firmante y si el nuevo "hash result" es igual al que proviene de la firma digital. El receptor realiza esta operatoria comunicándose con el registro de claves públicas donde se encuentra registrado el certificado correspondiente.

Terceras partes confiables: autoridades certificantes
             La infraestructura o el sistema requiere de terceras partes confiables. La ley de Utah le da una importancia fundamental a las Autoridades Certificantes (CERTIFICATION AUTHORITIES, "CAS"), definidas como las personas facultadas para emitir certificados.  Pueden ser personas físicas o empresas o instituciones públicas o privadas y deberán obtener una licencia de la Division of Corporations and Commercial Code, en el caso del Estado de Utah, para funcionar como tales. Son las encargadas de mantener los registros directamente en línea (on-line) de claves públicas. Una compañía puede emitir certificados a sus empleados, una universidad a sus estudiantes, una ciudad a sus ciudadanos. Para evitar que se falsifiquen los certificados, la clave pública de la CA debe ser confiable: una CA debe publicar su clave pública o proporcionar un certificado de una autoridad mayor que atestigüe la validez de su clave. Esta solución da origen a diferentes niveles, estratos o jerarquías de CAS.

Certificados

            Los Certificados son registros electrónicos que atestiguan que una clave pública pertenece a determinado individuo o entidad. Permiten la verificación de que una clave pública dada pertenece fehacientemente a una determinada persona. Los certificados ayudan a evitar que alguien utilice una clave falsa haciéndose pasar por otro.

            En su forma más simple, contienen una clave pública y un nombre, la fecha de vencimiento de la clave, el nombre de la autoridad certificante, el número de serie del certificado y la firma digital del que otorga el certificado. Los certificados se inscriben en un Registro (repository), considerado como una base de datos a la que el público puede acceder directamente en línea (on-line) para conocer acerca de la validez de los mismos. Los usuarios o firmantes (subscribers) son aquellas personas que detentan la clave privada que corresponde a la clave pública identificada en el certificado. Por lo tanto, la principal función del certificado es identificar el par de claves con el usuario o firmante, de forma tal que quien pretende verificar una firma digital con la clave pública que surge de un certificado tenga la seguridad que la correspondiente clave privada es detentada por el firmante.

            La Autoridad Certificante puede emitir distintos tipos de certificados. Los certificados de identificación simplemente identifican y conectan un nombre a una clave pública. Los certificados de autorización, en cambio, proveen otro tipo de información correspondiente al usuario, como dirección comercial, antecedentes,catálogos de productos, etc. Otros certificados colocan a la Autoridad Certificante en el rol de notario, pudiendo ser utilizados para la atestación de la validez de un determinado hecho o que un hecho efectivamente ha ocurrido. Otros certificados permiten determinar día y hora en que el documento fue digitalmente firmado (Digital time-stamp certificates).

            El interesado en operar dentro del esquema establecido por la ley, luego de crear el par de claves deberá presentarse ante la autoridad certificante (o funcionario que ella determine) a efectos de registrar su clave pública, acreditando su identidad y/o cualquier otra circunstancia que le sea requerida para obtener el certificado  que le permita 'firmar' el documento de que se trate. Por ejemplo, para realizar una operación financiera de importancia con un banco, éste puede requerir al interesado un certificado del que surja, además de la constatación de su identidad, el  análisis de sus antecedentes criminales o financieros. Esto quiere decir que la firma digital del interesado sólo será aceptada por la otra parte si cuenta con el certificado apropiado para la operación a realizar.

Registro (Repository)

Como se dijo anteriormente, es la base de datos a la que el público puede acceder on-line para conocer acerca de la validez de los certificados, su vigencia o cualquier otra situación que se relacione con los mismos. Dicha base de datos debe incluir, entre otras cosas, los certificados publicados en el repositorio, las notificaciones de certificados suspendidos o revocados publicadas por las autoridades certificantes acreditadas, los archivos de autoridades certificantes autorizadas y todo otro requisito exigido por la División. Para ser reconocido, el repositorio debe operar bajo la dirección de una autoridad certificante acreditada.


            La firma digital se está utilizando corrientemente en diversos tipos de aplicaciones comerciales. Es muy importante el tema del EDI, y de los documentos judiciales, que simplemente se mencionarán:

EDI (Electronic Data Interchange)

Se define como el intercambio de datos en un formato normalizado entre los sistemas informáticos de quienes participan en transacciones comerciales. Las empresas intercambian datos comerciales normalizados como, por ejemplo, órdenes de compra, facturas o conocimientos de embarque a través de comunicaciones directas de ordenador a ordenador con clientes, proveedores, transportistas, bancos o agentes de aduanas. La característica más importante de este tipo de transacciones es que los mensajes intercambiados están normalizados y perfectamente estructurados de forma que pueden ser procesados por las computadoras de los intervinientes en las transacciones. Las transacciones EDI se realizan sin papeles, utilizando para ello las redes de telecomunicación suministradas por los servicios públicos o privados o mediante servicios de Redes de Valor Agregado (VAN). También la transformación llegará a los bancos, Electronic Funds Transfer (Transferencia Electrónica de Fondos), E-Cash (Dinero digital), Electronic Checks (Cheques electrónicos).

Documentos judiciales

            Particular importancia tendrá  su utilización en documentos judiciales, para una paulatina transformación de los expedientes judiciales tradicionales en expedientes electrónicos.

No hay comentarios: