A seguridade é un dos conceptos crave aos que a Administración, no terreo das Tecnoloxías da Información e as Comunicacións (TIC), debe prestar a máxima atención.
A Administración ten que estender as garantías xurídicas que ofrece aos cidadáns e empresas ás xestións que se realicen de forma electrónica.
Os documentos que se xeran de forma electrónica levan asociados tres conceptos que son necesarios salvagardar e que son: a confidencialidade, a integridade e a autenticidade.
Estes problemas, confidencialidade, integridade e autenticidade (os procesos definidos de firma e cifrado) resólvense mediante a tecnoloxía chamada criptografía. A criptografía é unha rama das matemáticas que, ao aplicarse a mensaxes dixitais, proporciona as ferramentas idóneas para solucionar os problemas antes mencionados. Ao problema da confidencialidade relaciónaselle comunmente con técnicas denominadas de cifrado e aos problemas da integridade e a autenticidade con técnicas denominadas de firma dixital, aínda que ambos en realidade redúcense a procedementos criptográficos de cifrado e descifrado.
A criptografía asimétrica é o método criptográfico que utiliza un par de claves complementarias, a pública e a privada, para cifrar documentos ou mensaxes. O que está codificado cunha clave privada necesita a súa correspondente clave pública para ser descodificado. E viceversa, o codificado cunha clave pública só pode ser descodificado coa súa clave privada. A clave privada debe ser coñecida unicamente polo seu propietario, mentres que a correspondente clave pública pode ser dada a coñecer publicamente.
O feito de que a clave privada só sexa coñecida polo seu propietario permítenos conseguir dúas cousas importantes:
Un certificado electrónico é un documento emitido e asinado por unha autoridade de certificación que identifica a unha persoa (física ou xurídica) cun par de claves. Un certificado contén a seguinte información:
Toda esta información pode dividirse en dous partes:
A parte privada nunca é cedida polo seu propietario. Esta é a base da seguridade. Coa parella de claves pódense realizar funcións de cifrado coa peculiaridade de que o que se cifra coa clave privada só se pode descifrar coa clave pública e viceversa.
Unha firma electrónica é unha pegada dixital dun documento cifrado cunha clave. A pegada dixital obtense aplicando un algoritmo matemático a unha mensaxe. Este algoritmo ten dúas características fundamentais:
Estas dúas características garanten a integridade da mensaxe. Se se cambia o contido da mensaxe, o que verifica a firma vaino a saber.
A pegada dixital cífrase coa clave privada do certificado da persoa que asina. Aplicando os mecanismos de verificación, o receptor vai coñecer quen asinou e esa persoa non pode repudiar a autoría da mensaxe.