La seguridad es uno de los conceptos clave a los que la Administración, en el terreno de las Tecnologías de la Información y las Comunicaciones (TIC), debe prestar la máxima atención.
La Administración tiene que extender las garantías jurídicas que ofrece a los ciudadanos y empresas a las gestiones que se realicen de forma electrónica.
Los documentos que se generan electrónicamente llevan asociados tres conceptos que son necesarios salvaguardar y que son: la confidencialidad, la integridad y la autenticidad.
Estos problemas, confidencialidad, integridad y autenticidad (los procesos definidos de firma y cifrado) se resuelven mediante la tecnología llamada criptografía. La criptografía es una rama de las matemáticas que, al aplicarse a mensajes digitales, proporciona las herramientas idóneas para solucionar los problemas antes mencionados. Al problema de la confidencialidad se le relaciona comúnmente con técnicas denominadas de cifrado y a los problemas de la integridad y la autenticidad con técnicas denominadas de firma digital, aunque ambos en realidad se reducen a procedimientos criptográficos de cifrado y descifrado.
La criptografía asimétrica es el método criptográfico que utiliza un par de claves complementarias, la pública y la privada, para cifrar documentos o mensajes. Lo que está codificado con una clave privada necesita su correspondiente clave pública para ser descodificado. Y viceversa, lo codificado con una clave pública sólo puede ser descodificado con su clave privada. La clave privada debe ser conocida únicamente por su propietario, mientras que la correspondiente clave pública puede ser dada a conocer públicamente.
El hecho de que la clave privada sólo sea conocida por su propietario nos permite conseguir dos cosas importantes:
Un certificado electrónico es un documento emitido y firmado por una autoridad de certificación que identifica a una persona (física o jurídica) con un par de claves. Un certificado contiene la siguiente información:
Toda esta información puede dividirse en dos partes:
La parte privada nunca es cedida por su propietario. Ésta es la base de la seguridad. Con la pareja de claves se pueden realizar funciones de cifrado con la peculiaridad de que lo que se cifra con la clave privada sólo se puede descifrar con la clave pública y viceversa.
Una firma electrónica es una huella digital de un documento cifrado con una clave. La huella digital se obtiene aplicando un algoritmo matemático a un mensaje. Este algoritmo tiene dos características fundamentales:
Estas dos características garantizan la integridad del mensaje. Si se cambia el contenido del mensaje, el que verifica la firma lo va a saber.
La huella digital se cifra con la clave privada del certificado de la persona que firma. Aplicando los mecanismos de verificación, el receptor va a conocer quién firmó y esa persona no puede repudiar la autoría del mensaje.