De la FE a la FEA ¿más de lo mismo?
Autor | Francesc A. Baygual |
Cargo | Roca Junyent Abogados |
Páginas | Roca Junyent Abogados |
I.INTRODUCCIÓN:
Según el artículo 2 del actual Real Decreto Ley 14/1999, de 17 de septiembre sobre firma electrónica (en adelante RDL 14/1999), debe entenderse por 'firma electrónica' aquel conjunto de datos, en forma electrónica, anejos a otros datos electrónicos o asociados funcionalmente con ellos, utilizados como medio para identificar formalmente al autor o a los autores del documento que la recoge.
No deja de ser curioso que la 'firma electrónica' pueda casualmente sintetizarse en el acrónimo 'FE' que es precisamente algo de lo que, por desgracia, aun hace mucha falta para creer y, por lo tanto, confiar en el uso de las nuevas tecnologías sin que los elementos de seguridad que tanto el legislador como la industria nos están ofreciendo sean totalmente valorados por el público.
Por otro lado, el legislador designa un grado mayor de FE al conceptualizar la firma electrónica avanzada. Sin que podamos resistir la tentación que reducirlo a 'FEA', la FEA debe ofrecer un valor añadido respecto a la FE y se conceptualiza como aquella FE que permite la identificación del signatario y ha sido creada por medios que éste mantiene bajo su exclusivo control, de manera que está vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de éstos.
Así las cosas, el pasado día 27 de diciembre de 2001 veía la luz un nuevo anteproyecto de ley de firma electrónica (En adelante referido como el Anteproyecto ).
Este Anteproyecto, si se nos permite el juego de palabras, vuelve a estructurarse sobre la 'FE' y la 'FEA', 'Pero hasta que punto lo hace de la misma forma que la actual regulación'
Para analizar este nuevo Anteproyecto debemos, primero, hacer un repaso de la regulación existente y, como siempre que se habla de estos temas, hacer las referencias a las cuestiones técnicas correspondientes.
-
CUESTIONES PREVIAS DE CARÁCTER TÉCNICO
En el campo de las nuevas tecnologías, la problemática jurídica impone, por norma general, la necesidad de tener en cuenta conceptos que escapan del ámbito estrictamente jurídico y pertenecen, por su naturaleza, al mundo de la ciencia matemática.
Un cierto grado de compresión de estas cuestiones técnicas es necesario para abordar las cuestiones jurídicas que se derivan del uso y regulación de la firma electrónica, máxime si consideramos que, como juristas, no podemos resistirnos a 'sacarle brillo' al resultado de aquellas serias dificultades que, en su día, tuvimos para entender tales conceptos.
-
- Que entendemos por 'criptografía':
Cuando se habla de criptografía, en el contexto de la normativa vigente sobre firma electrónica, se tiende a hablar, fundamentalmente, de una tecnología que permite implementar el concepto legal de FE mediante el uso de una fórmula matemática o algoritmo que relaciona una clave privada, con la que se genera la firma (en términos legales, un dispositivo de creación de firma), con una clave pública atribuida a una persona (en términos legales, datos de verificación de firma).
Sin embargo, hablar de criptografía es también hablar de algo más que de una tecnología de firma: la criptografía es, también, una tecnología de cifrado.
Una y otra actividades no se excluyen, más aún son complementarias, pero deben ser diferenciadas en cuanto se someten a un régimen legal bien distintos.
1.1.- Diferencias entre criptografía simétrica y asimétrica:
Entendemos por criptografía simétrica, aquella tecnología que consiste en, a través del software y aplicaciones informáticas correspondientes, encriptar (codificar) un documento con una clave determinada y, con la misma clave, poderlo desencriptar (descodificar) . Por tanto, la misma clave que codifica sirve para descodificar lo que implica que se hable de simetría en la criptografía.
Por el contrario, la tecnología de criptografía se convierte en asimétrica cuando se utilizan dos claves o códigos diferentes en ambos extremos de la cadena.
En criptografía asimétrica, y sólo en relación a ella, se puede hablar de las llamadas claves privadas y las llamadas claves públicas.
Las claves privadas serán aquellas que quedan bajo el control exclusivo de su usuario y las públicas serán aquellas que se usen por cualquier tercero, para validar el uso de las claves privadas.
El uso de la una o la otra al principio del proceso dependerá de si se utiliza esta tecnología para firmar o para cifrar.
1.2.- Dos grandes campos para la aplicación de la criptografía: la firma y el cifrado
Como ya se ha sugerido anteriormente, dos son las ampliaciones genéricas de la criptografía.
Por una parte, el uso de un sistema que, a través de una o dos claves (según la tecnología utilizada), permita codificar un mensaje o un documento. Por tanto, un sistema para ofrecer confidencialidad o secreto respecto al contenido de lo enviado. En este caso hablaremos del uso de la criptografía como tecnología de cifrado y como medio de aportar confidencialidad .
Por otra parte, el uso de la criptografía puede, según los casos, ofrecer un mayor o menor grado de certeza sobre el origen del mensaje, todo ello sobre la base del propio uso de una clave que está bajo el control de una determinada persona. En este caso hablaremos del uso de la criptografía como tecnología de firma y como medio de autentificación.
-
- La criptografía como tecnología de firma:
Como ya se ha dicho, el hecho de utilizar una clave que se halla bajo el control de una determinada persona puede ser utilizado como un mecanismo de autentificación. Si sólo esa persona pudo generar ese fichero 'firma' es que el mensaje viene de dicha persona.
Sin embargo el grado de autentificación variará en función de la tecnología utilizada y hasta que punto:
· Puede demostrarse la integridad del mensaje, garantizándose que se firma únicamente lo que se desee firmar y que las alteraciones posteriores del mensaje o documento invalidan lo firmado.
· Puede demostrarse el control exclusivo del firmante sobre la correspondiente clave generadora de la FE, garantizándose el origen del mensaje y, por tanto, el no-repudio del mismo.
El grado en que se alcancen estos objetivos implicará el grado de seguridad, tanto técnica como jurídica, que se alcance y, por tanto, la confianza que su uso genera en el tráfico.
Centrándonos en el uso de la criptografía asimétrica como tecnología que se ha ido imponiendo como punto de referencia (y sin querer hacer valoración alguna sobre las interesantes iniciativas en el campo de la biometría), veremos que, mediante el uso de la llamada clave pública (Dispositivo de Creación de Firma según la normativa existente) se generará un fichero 'firma' relacionado matemáticamente con el fichero firmado o objeto de la FE.
La relación entre el fichero 'firma' tanto con el documento firmado como con el par de claves, clave privada y pública, están garantizados por las matemáticas.
Ahora bien, la relación entre la clave pública y el individuo - que quiere identificarse a través del uso del par de claves (pública y privada) ' no puede establecerse de forma matemática: Alguien debe certificar esta circunstancia y asumir la responsabilidad que ello es así.
El certificado se referirá a la clave pública que se presenta como propia del firmante sin que se desvele la clave privada correspondiente.
La autoridad de certificación o prestador de servicios de certificación deberá identificar al signatario o firmante antes de emitir un certificado y el nivel de exigencia requerido para la identificación influirá en el nivel de confianza que generará dicho certificado en los terceros e, incluso, su valor legal.
-
-
ACTUAL MARCO LEGAL DE LA FIRMA ELECTRÓNICA:
La directiva 1999/93/CE, de 13 de diciembre por la que se establece un marco comunitario para la firma electrónica (en adelante Directiva 1999/93/CE) , aparecía unos meses después que, en España, se aprobará el RDL 14/1999 .
No debe, sin embargo, caerse en el error que el RDL14/1999 no tiene en cuenta la Directiva 1999/93/CE (por ser una norma anterior a dicha Directiva) sino más bien todo lo contrario.
El proceso de elaboración del RDL 14/1999 fue paralelo al de la Directiva sólo apartándose de la misma en algunos de sus primeros borradores de anteproyecto cuando, por ejemplo, se acogió, antes que la Directiva, la diferenciación entre FEA y FE marcada por las iniciativas de la hoy aprobada Ley Modelo de Firma Electrónica del UNCITRAL.
La normativa sobre la FE establece dos ámbitos bien diferenciados como son (i) la regulación de la prestación de servicios de certificación y (ii) la regulación de la eficacia jurídica de la firma electrónica.
-
- Regulación de la prestación de servicios de certificación:
Invirtiendo el orden en el que aparecen en el RDL 14/1999, nos referiremos, en primer lugar, a la regulación de la prestación de servicios de certificación por ser la parte más extensa de la regulación y la que implica el grado de eficacia jurídica de cada FE.
Siguiendo el esquema marcado por la Directiva...
-
Para continuar leyendo
Solicita tu prueba