Ya sé que soy un poco reiterativo con algunos temas, pero siempre trato o de refrescarlo o de actualizarlo, así que aquí vamos.
Conforme la Ley de Firma Digital en Argentina, la única diferencia entre la firma digital y la electrónica es legal y esta dada cuando ciertas firmas no cumplen con los requisitos para ser consideradas firma digital en los términos de la citada ley; cualquier garabato, como se dice, hecho con el ratón, no se considera Firma Electrónica.
A saber, de la ley, los artículos más importantes para el lado informático son:
ARTICULO 1º — Objeto. Se reconoce el empleo de la firma electrónica y de la firma digital y su eficacia jurídica en las condiciones que establece la presente ley.
ARTICULO 2º — Firma Digital. Se entiende por firma digital al resultado de aplicar a un documento digital un procedimiento matemático que requiere información de exclusivo conocimiento del firmante, encontrándose ésta bajo su absoluto control. La firma digital debe ser susceptible de verificación por terceras partes, tal que dicha verificación simultáneamente permita identificar al firmante y detectar cualquier alteración del documento digital posterior a su firma.
Los procedimientos de firma y verificación a ser utilizados para tales fines serán los determinados por la Autoridad de Aplicación en consonancia con estándares tecnológicos internacionales vigentes.
ARTICULO 5º — Firma electrónica. Se entiende por firma electrónica al conjunto de datos electrónicos integrados, ligados o asociados de manera lógica a otros datos electrónicos, utilizado por el signatario como su medio de identificación, que carezca de alguno de los requisitos legales para ser considerada firma digital. En caso de ser desconocida la firma electrónica corresponde a quien la invoca acreditar su validez.
ARTICULO 9º — Validez. Una firma digital es válida si cumple con los siguientes requisitos:
a) Haber sido creada durante el período de vigencia del certificado digital válido del firmante;
b) Ser debidamente verificada por la referencia a los datos de verificación de firma digital indicados en dicho certificado según el procedimiento de verificación correspondiente;
c) Que dicho certificado haya sido emitido o reconocido, según el artículo 16 de la presente, por un certificador licenciado.
Todo muy lindo, pero lo que está atrás de esto en realidad nos permite hablar de tres firmas diferentes. La firma electrónica es por tanto un concepto jurídico y un método de identificación, equivalente o análogo a la firma manuscrita, que se sirve de diversos soportes electrónicos distintos, como un lápiz electrónico o una firma digital. Realizar una firma electrónica quiere decir que una persona física verifica una acción o procedimiento mediante un medio electrónico, dejando un registro de la fecha y hora de la misma. Este concepto es más genérico, amplio e indefinido desde el punto de vista electrónico que la firma digital.
La firma digital es el conjunto de caracteres que se añaden al final de un documento o cuerpo de un mensaje para informar, dar fe o mostrar validez y seguridad. La firma digital sirve para identificar a la persona emisora de dicho mensaje y para certificar la veracidad de que el documento no se ha modificado con respeto al original. No se puede negar haberlo firmado, puesto que esta firma implica la existencia de un certificado oficial emitido por un organismo o institución que valida la firma y la identidad de la persona que la realiza. La firma digital se basa en los sistemas de criptografía de clave pública (PKI – Public Key Infrastructure) que satisface los requerimientos de definición de firma electrónica avanzada.
Para la firma digital se usa también lo que se conoce como certificado electrónico, este documento o fichero informático es el que una persona física o jurídica utiliza para identificarse en la red, autenticada por un tercero o autoridad certificador y la aplicación automática de un algoritmo matemático que asocia la identidad al mensaje o documento (esto es el hash, que explico más abajo). Un certificado permite verificar y autenticar la identidad de alguien. Por ejemplo, un pasaporte es un documento emitido por una autoridad competente que certifica que el propietario del pasaporte es quien dice ser.
Un Certificado Digital contiene: el nombre del propietario, el número de serie del certificado, la fecha de expiración, la clave pública del propietario y la identidad de la autoridad que certifica. Esencialmente, un Certificado Digital contiene todos estos datos, firmados digitalmente por la Clave Privada de la Autoridad Certificadora.
Por último, está bueno saber que existe también la firma digitalizada, a pesar de que muchas personas la confunden con la firma digital, no tiene nada que ver. Este término alude a la simple representación gráfica de la firma manuscrita obtenida a través de un escáner, que puede ser insertada en cualquier documento, como un correo electrónico y que fue popularizada por los expertos de marketing. Sin embargo, a efectos prácticos, la firma que utilizamos mayoritariamente para la realización de numerosos trámites y gestiones tanto ante la Agencia Tributaria como ante las Administraciones Públicas, es la firma digital, también empleada en el seno interno de las empresas y en el correo electrónico seguro.
Y llegamos al hash…
En cualquier campo de la informática que nos encontremos, la función Hash tiene un tremendo valor que pocos conocen.
En el mundo digital, cualquier archivo (foto, vídeo, imagen, documento, programa, etc.) está sometido a una constante manipulación del mismo. Cuando modificamos un fichero de texto, aplicamos un filtro a una imagen o comprimimos un vídeo, estamos interfiriendo en el archivo original y cambiándolo a nuestro antojo, generalmente para bien, pero también puede ser para mal.
Y es que, ¿cómo sabemos si una imagen, audio, video, documento, programa o carpeta ha sido o no manipulada? Gracias a la función Hash.
Explicado grosso modo, la función Hash no es más que un algoritmo criptográfico aplicado al archivo que nos interese garantizar, el cual nos dará como resultado una cadena alfanumérica única. El más mínimo cambio que pudiera sufrir el archivo, alteraría dicha cadena, dándonos como resultado una completamente diferente.
Este proceso es aplicable a todo archivo digitalizado, y es tremendamente útil a la hora de garantizar la integridad de una foto, un contrato o un audio, por ejemplo.
No vamos a encontrarnos dos Hash iguales, a no ser, que el segundo archivo sea completamente idéntico al primero.
Uniendo todo, para firmar un archivo se hace:
Y para comprobarlo:
Lo importante, y para ir cerrando todo, de las funciones de hash, es que una vez aplicada SIEMPRE nos dirán si un archivo fue modificado o no. En el campo de las monedas electrónicas se está utilizando funciones de hash de blockchain, que en su codificación incorporan de donde viene el archivo, estableciendo una cadena de pasos que uno pudiera seguir a la inversa.
