Publicados por CarlosQ

eIDAS, electronic IDentification, Authentication and Trust Services, es el Reglamento de la Unión Europea (Reglamento Nro 910/2014) para la identificación electrónica y los servicios de confianza para transacciones electrónicas en el mercado común europeo.
El eIDAS reconoce tres tipos de firmas electrónicas:

• SES. Simple e-signature, firma electrónica simple
• AES. Advanced Electronic Signature, firma electrónica avanzada
• QES. Qualified e-signature, firma electrónica calificada

Una firma SES puede ser cualquier forma de mensaje electrónico asociado con una persona física, como las firmas mecanografiadas, bloques de correo electrónico, etc.

Una firma AES es una firma electrónica vinculada de manera única a un individuo, la cual permite identificar al individuo, creada utilizando medios que el firmante puede mantener bajo su control exclusivo y está vinculada a los datos a los que se refiere, de modo que cualquier cambio ulterior en los datos sea fácilmente detectable (concepto de integridad).

Una firma QES se genera mediante un dispositivo de creación de firma electrónica calificada, respaldado por un certificado emitido por un proveedor de servicios de confianza calificado y tiene la misma validez que una firma manuscrita.

De acuerdo con las leyes de Firma Digital de los países latinoamericanos y la nomenclatura que aquí se usan, la firma eIDAS – QES es la firma equivalente a lo que nosotros llamamos Firma Digital.

Existen distintos soportes para tener un certificado digital, entre otros el almacén de Windows, el Token Criptográfico y el servidor HSM, siglas de Hardware Security Module (Módulo de Seguridad Hardware).
Un HSM es un dispositivo de hardware con características criptográficas que genera, almacena y protege claves privadas. Esta forma de almacenamiento acelera los procesos corporativos para firma de documentos.
Un sistema de firmas basado en certificados almacenados en HSM, entre otras ventajas por estar centralizado, permite que el suscriptor pueda firmar en cualquier momento y lugar, utilizando distintos dispositivos fijos o móviles.
Como dato complementario, en materia de seguridad, estos servidores cuentan con certificación FIPS 140-2, un standard reconocido mundialmente, emitido por el Instituto Nacional de Estándares y Tecnología (NIST) entidad pública de Estados Unidos, que valida la solidez de la seguridad de los módulos de cifrado.

Hoy resumiré la importancia de la verificación o validación de una firma digital

La importancia de una firma digital radica en la información que conlleva y la protección de los datos que rubrica. Por eso es fundamental el proceso de verificación, que nos dirá si es válida o no y por consiguiente el estado de integridad de los datos.

Cuando uno firma un documento y éste es enviado a un tercero, con la firma viaja el certificado digital y su clave pública. De este modo la persona que lo recibe, mediante la identidad acreditada en el certificado, puede decidir si confía o no en el mismo.

La clave pública se utiliza para realizar la comprobación de validez. Este es un proceso criptográfico, que no se detallará en este artículo, que involucra una comparación de análisis ente la firma y el documento original. El resultado de este cotejo determina si la firma es válida y por tanto, si los datos no han sido modificados.

Espero haberlos ayudado.
Saludos,

Carlos Quattrocchi

Hemos iniciado una serie de preguntas y respuestas frecuentes en el marco técnico de la firma digital. En este espacio ayudaremos a resolver consultas como: Diferencias entre Clave pública, clave privada y pin, la que responderé ahora:

Un certificado digital se compone de una serie de atributos tales como, por nombrar los más familiares, número de serie, apellido, nombre, documento y cargo del suscriptor, autoridad de certificación, fecha de vigencia, etc.

Además de dichas propiedades, todo certificado digital cuenta con un par de claves criptográficas, unívocamente relacionadas. La clave privada, que debe ser celosamente custodiada por el suscriptor, sirve para firmar. La clave pública, es entregada a terceros para que las firmas puedan ser verificadas.

Existe un tercer elemento denominado PIN o código de contraseña, que se encarga de proteger el acceso a la clave privada. Esto que es de vital importancia, deberá ser memorizado y le será solicitado al suscriptor cada vez que quiera firmar un documento.

Espero haberlos ayudado con esta consulta.

Saludos,

Carlos Q.

La Firma Digital, no ofrece confidencialidad, ya que lo mismo que ocurre con una firma manuscrita, un documento con firma digital puede ser leído por cualquiera. Sin embargo, tiene tres robustas propiedades:

Identidad
Dado que la firma proviene de un certificado digital que fue expedido por una Autoridad o Entidad de Certificación, la identidad del suscriptor ha sido verificada por una Autoridad o Entidad de Registro.

Integridad
La firma digital es creada mediante un proceso criptográfico, de tal modo que si el documento es modificado después de haber sido firmado, la verificación dirá que esa firma es inválida.

No Repudio
A diferencia de una firma manuscrita, que en caso de litigio debe ser peritada, una firma digital válida implica que el suscriptor no puede repudiarla debido a que la firma digital fue realizada con un certificado digital que vincula la identidad del firmante. En este caso se habla del no repudio 100%.

Saludos y espero haberlos ayudado.
Carlos Quattrocchi