¿Qué es una firma digital?

Gracias a la tecnología de infraestructura de clave pública (PKI), la firma digital está ampliamente reconocida como la mejor práctica para la verificación digital de las transacciones electrónicas.

Las firmas digitales proporcionan "no repudio", es decir, la capacidad de identificar al autor y si el documento ha sido modificado desde que se firmó digitalmente.

Esta funcionalidad es especialmente útil para los procesos de flujo de trabajo en los que se requieren una o varias aprobaciones, como la gestión de la cadena de suministro o la gestión financiera de formularios como los informes de gastos. Las firmas digitales proporcionan a los clientes, ciudadanos y consumidores la confianza de que el material procede, realmente, de la organización de origen.

Dependiendo de los requisitos de la organización, Entrust puede ayudar con una variedad de soluciones para la implementación de las firmas digitales. Los certificados de Entrust para Adobe CDS permiten la firma de los certificados de firma de documentos de Entrust, mientras que los certificados digitales de Servicios de PKI administrados por Entrust pueden firmar una variedad de formatos e incluyen la funcionalidad de autenticación y cifrado. Entrust también ofrece la entrega segura de extractos electrónicos a través de la cartera de productos Entelligence.

Todos estamos familiarizados con las firmas en papel: una firma manuscrita en un documento de papel. Aparte de las cuestiones legales y contractuales, las principales propiedades de una firma en papel son:

  • está destinada a asociarse con una persona concreta;
  • generalmente, muestra un compromiso relacionado con un documento concreto cuyo significado exacto depende del contexto.

Aunque está lejos de ser perfecta, la firma en papel sirve, sorprendentemente bien, en muchas partes del mundo como base para las transacciones comerciales y legales. Las sociedades han aprendido a utilizar las firmas en papel en circunstancias en las que una marca física en un documento en papel, aumentada por suficientes controles y contexto, proporciona suficiente evidencia recordable de un compromiso relacionado con ese documento por la parte que lo marca. La prueba es importante para reconstruir las circunstancias, en el raro caso de disputas posteriores.

¿Cómo funcionan las firmas digitales?

Una firma digital es el término utilizado para marcar o firmar un documento electrónico, mediante un proceso que pretende ser análogo a las firmas en papel, pero que hace uso de una tecnología conocida como cifrado de clave pública. En el mundo electrónico, se requieren propiedades de seguridad adicionales para las firmas. Esto se debe a que la probabilidad de que se produzcan disputas aumenta drásticamente en el caso de las transacciones electrónicas sin reuniones cara a cara y en presencia de modificaciones potencialmente indetectables en los documentos electrónicos. Las firmas digitales responden a estas dos preocupaciones y ofrecen una seguridad mucho mayor que las firmas en papel. En comparación con todas las demás formas de firma, las firmas digitales son, con diferencia, las más fáciles de verificar y las más fiables en cuanto a la integridad de los documentos.

¿Cuál es la diferencia entre las firmas en papel y las digitales?

Propiedad

Puede aplicarse a documentos y transacciones electrónicas
La verificación de la firma puede automatizarse
La firma detecta automáticamente las alteraciones del documento
Puede usarse para significar un compromiso con un contrato o documento
Puede aumentarse mediante el uso de un testigo en el proceso de firma
Reconocida por la legislación

Firmas en papel

no
no
no

Firmas digitales

Una firma digital puede considerarse como un valor numérico, representado como una secuencia de caracteres y calculado mediante una fórmula matemática. La fórmula depende de dos entradas: la secuencia de caracteres que representa los datos electrónicos que se van a firmar y un número secreto denominado clave privada de la firma, asociado a la parte firmante y al que solo esta tiene acceso. (Una clave pública coincidente, que puede publicarse para que todo el mundo la vea como un número de teléfono en una guía telefónica, permite verificar la firma). El valor calculado resultante, que representa la firma digital, se adjunta a los datos electrónicos de la misma manera que una firma en papel pasa a formar parte de un documento en papel.

diagrama de creación de la firma digital

Esto tiene dos resultados críticos:

  1. La firma digital puede asociarse de forma exclusiva con el documento exacto firmado, porque la primera entrada es la secuencia precisa de caracteres que representan esos datos.
  2. La firma puede asociarse de forma exclusiva a la persona que la firma, porque la segunda entrada es la clave privada que sólo esa persona controla.

La verificación de la autenticidad de una firma digital también se basa en una fórmula. En este caso, la fórmula depende de tres entradas: la secuencia de caracteres que representa los datos electrónicos supuestamente firmados originalmente, la clave pública de la parte firmante y el valor que representa la firma digital supuestamente auténtica. La fórmula produce como salida una respuesta simple: sí o no. El "sí" significa que la firma digital es efectivamente una firma digital auténtica sobre los datos electrónicos presentados y asociada a la parte vinculada a la clave pública utilizada.

¿Cómo se crea una firma digital?

  1. capturar todo el contexto de la transacción electrónica o del documento y, precisamente, lo que el firmante está comprometiendo;
  2. garantizar que los datos que se muestran al usuario reflejan con precisión los datos que se van a firmar digitalmente;
  3. requiriendo que el usuario señale que entiende el compromiso que está adquiriendo y que desea estar vinculado a él;
  4. autenticar al usuario para que la clave privada del usuario esté disponible para el dispositivo de firma;
  5. calcular la firma basándose en la clave privada del firmante y en los datos que se están firmando;
  6. un servidor de marcas de tiempo añade opcionalmente un sello de tiempo a los datos y a la firma y después firma; y
  7. el envío de la transacción firmada para su procesamiento, almacenamiento o verificación posterior.