Conceptos básicos

• Seguridade

  A seguridade é un dos conceptos crave aos que a Administración, no terreo das Tecnoloxías da Información e as Comunicacións (TIC), debe prestar a máxima atención.

  A Administración ten que estender as garantías xurídicas que ofrece aos cidadáns e empresas ás xestións que se realicen de forma electrónica.

  Os documentos que se xeran de forma electrónica levan asociados tres conceptos que son necesarios salvagardar e que son: a confidencialidade, a integridade e a autenticidade.

  • A confidencialidade refírese á capacidade de manter un documento electrónico inaccesible a todos, excepto a unha lista determinada de persoas.
  • A integridade garante que o documento recibido coincide co documento emitido sen posibilidade algunha de cambio.
  • A autenticidade refírese á capacidade de determinar se unha lista determinada de persoas estableceu o seu recoñecemento e/ou compromiso sobre o contido do documento electrónico. O problema da autenticidade nun documento tradicional soluciónase mediante a firma autógrafa. Mediante a súa firma autógrafa, un individuo, ou varios, manifestan a súa vontade de recoñecer o contido dun documento, e no seu caso, a cumprir cos compromisos que o documento estableza para co individuo.

  Estes problemas, confidencialidade, integridade e autenticidade (os procesos definidos de firma e cifrado) resólvense mediante a tecnoloxía chamada criptografía. A criptografía é unha rama das matemáticas que, ao aplicarse a mensaxes dixitais, proporciona as ferramentas idóneas para solucionar os problemas antes mencionados. Ao problema da confidencialidade relaciónaselle comunmente con técnicas denominadas de cifrado e aos problemas da integridade e a autenticidade con técnicas denominadas de firma dixital, aínda que ambos en realidade redúcense a procedementos criptográficos de cifrado e descifrado.

• Que é criptografía asimétrica?

  A criptografía asimétrica é o método criptográfico que utiliza un par de claves complementarias, a pública e a privada, para cifrar documentos ou mensaxes. O que está codificado cunha clave privada necesita a súa correspondente clave pública para ser descodificado. E viceversa, o codificado cunha clave pública só pode ser descodificado coa súa clave privada. A clave privada debe ser coñecida unicamente polo seu propietario, mentres que a correspondente clave pública pode ser dada a coñecer publicamente.

  O feito de que a clave privada só sexa coñecida polo seu propietario permítenos conseguir dúas cousas importantes:

  • Calquera documento xerado a partir desta clave necesariamente ten que ser xerado polo propietario da clave (firma electrónica).
  • Un documento ao que se aplica a clave pública só poderá ser aberto polo propietario da correspondente clave privada (cifrado electrónico).
• Que é un certificado electrónico?

  Un certificado electrónico é un documento emitido e asinado por unha autoridade de certificación que identifica a unha persoa (física ou xurídica) cun par de claves. Un certificado contén a seguinte información:

  • Identificación do titular do certificado (Nome do titular, NIF, e-mail,…).
  • Distintivos do certificado: número de serie, entidade que o emitiu, data de emisión, período de validez do certificado, ....
  • Unha parella de claves: pública e privada.
  • A firma electrónica do certificado coa clave privada da autoridade de certificación (AC) que o emitiu.

  Toda esta información pode dividirse en dous partes:

  • Parte privada do certificado: clave privada.
  • Parte pública do certificado: resto de datos do certificado, incluída a firma electrónica da autoridade de certificación que o emitiu.

  A parte privada nunca é cedida polo seu propietario. Esta é a base da seguridade. Coa parella de claves pódense realizar funcións de cifrado coa peculiaridade de que o que se cifra coa clave privada só se pode descifrar coa clave pública e viceversa.

• Que é unha firma electrónica?

  Unha firma electrónica é unha pegada dixital dun documento cifrado cunha clave. A pegada dixital obtense aplicando un algoritmo matemático a unha mensaxe. Este algoritmo ten dúas características fundamentais:

  • Non existe a posibilidade de volver obter a mensaxe partindo da pegada dixital xerada.
  • Se se cambia a mensaxe, a pegada dixital que se obtén é diferente.

  Estas dúas características garanten a integridade da mensaxe. Se se cambia o contido da mensaxe, o que verifica a firma vaino a saber.

  A pegada dixital cífrase coa clave privada do certificado da persoa que asina. Aplicando os mecanismos de verificación, o receptor vai coñecer quen asinou e esa persoa non pode repudiar a autoría da mensaxe.

• Como se xera unha firma electrónica?
  1. Obtense unha pegada dixital do documento dixital que se quere asinar. Esta pegada dixital garante que dous documentos diferentes xeran diferentes pegadas dixitais e dous documentos iguais sempre xeran a mesma pegada dixital.
  2. Realízase o cifrado (mediante algoritmos matemáticos) da pegada dixital coa clave privada do certificado. Desta forma garántese a autenticidade xa que é o propietario do certificado o único que puido realizar este cifrado.
  3. Se encapsula toda a documentación nun documento asinado que inclúe:
     1. Documento orixinal.
     2. Pegada dixital cifrada coa clave privada.
     3. Parte pública do certificado.
• Como se verifica unha firma electrónica?
  1. Descífrase a pegada dixital, cifrada coa clave privada, mediante a clave pública do certificado.
  2. Obtense a pegada dixital do documento orixinal.
  3. Compáranse as dúas pegadas dixitais. Se coinciden, a firma é correcta (hai integridade, o documento non foi modificado).
  4. Consúltase á autoridade de certificación emisora pola validez do certificado e, se é válido, a firma ademais de correcta é válida (queda garantida a autenticidade da orixe da firma).