¿Qué necesitamos para generar una firma electrónica?

Share on facebook
Share on google
Share on twitter
Share on linkedin
Para generar una forma electrónica son necesarios los certificados. En este post explicamos como se generan, que problemas de seguridad pueden surgir y que certificados usar.

Con el avance de la e-administración y de la sociedad de la información en el mundo de la empresa, la digitalización de las comunicaciones es ya un hecho. En ambos casos esta digitalización conlleva una mejora en la eficiencia, pero además, una de las ventajas primordiales en esta modernización, sin duda, ha sido evitar el fraude y falsificación de documentos,  y es aquí donde entran en juego los certificados.

Generación de certificados

Los certificados son un conjunto de datos, que permiten firmar digitalmente una operación, unos datos, o cualquier cosa que exista en el mundo digital. Esta firma consiste básicamente en usar una formula matemática cuyo resultado (la firma electrónica) podrá ser verificado por cualquier persona que tenga acceso a la firma y a los datos firmados.

Sin embargo, cualquier ordenador es capaz de generar tantos certificados como crea oportuno, por lo que se necesita de una tercera entidad que de fe que tu eres el poseedor del certificado que estas usando. Esa tercera parte son las autoridades certificadoras, o CA que hacen las veces de notario en el mundo digital.

Siguiendo las analogías con los notarios, en el mundo analógico, las CA son quienes dan fe de los poderes que tiene una persona para realizar determinadas operaciones, en representación de la empresa. Para ello, lo que hacen Las CA es extender certificados a esa persona concreta.

Los certificados de persona jurídica, además del nombre de la empresa, llevarán el nombre de la persona física a quien se le concede. No hay más controles sobre que documentos en concreto puede firmar una persona u otra con su certificado de la empresa.

Problemas de seguridad

Aunque, quizás sería más interesante comparar los certificados con llaves, ya que si pierdes una llave, cualquiera que la encuentre puede usarla, salvo que cambies la cerradura. Si un certificado queda comprometido, hay que avisar a la CA para que lo revoque, ya que si no, cualquiera con acceso a este puede hacerse pasar por la persona a la que se expidió el certificado. Por eso es muy importante usar las contraseñas.

En caso de que el ordenador con el certificado haya sido infectado, hay que comprobar si el virus era un “Key logger”, deberemos dar por sentado que el certificado esta comprometido y revocarlo pidiendo uno nuevo.

Ahora, llegamos a la pescadilla que se muerde la cola, ¿como sabemos que la CA no ha sido creado por cualquiera (y está intentando estafarnos) para esta firma en concreto? No lo sabemos a priori, por ello, aquellos que aceptan firmas electrónicas crean listas con aquellas CA que aceptan. Por ejemplo para comprobar que un programa no es un virus, nuestro sistema operativo, lleva una de estas listas incorporada, de forma que le permite reconocer quien es el fabricante de un software (concretamente en los drivers).

¿Qué certificado usar?

Los certificados tienen varias utilidades “técnicas” diferenciadas, de forma que, entre otras cosas, existen certificados que sirven para firmar aplicaciones, y certificados que sirven para “Asegurar la identidad de un equipo remoto”, siendo estos últimos los más comunes, y los que tenemos que usar para firmar las facturas, los impuestos, etc…

Si ya tenemos un certificado instalado en el sistema (en Windows se encuentran instalados por fuerza en el navegador), para poder verlo, tendríamos que ir a Herramientas > Opciones de Internet > Contenido > certificados. Al hacer doble clic sobre el certificado que queremos, nos pondrá en la parte superior las utilidades “técnicas” para las que se permite el uso del certificado en concreto. En caso de que aparezca la cadena “Asegura la identidad de un equipo remoto”, significa que ese es un certificado válido… siempre que lo haya emitido una CA aceptada.

Para trabajar con las administraciones públicas, a día de hoy, el ministerio de industria mantiene una lista con los prestadores de servicios reconocidos para estos menesteres. Si el certificado lo vamos a usar para trabajar con la administración española, el uso de uno de estos certificados es lo más conveniente.

Uno de los que más fácil de obtener es el la Fábrica Nacional de Moneda y Timbre, aunque tenemos que ir físicamente a recogerlo una vez obtenido si no lo dejamos caducar su renovación es muy sencilla y sin coste.

 

Datisa

Datisa

Deja un comentario