Derecho de las Nuevas Tecnologías - La firma digital.  [4/4]

4).- ¿Cómo funciona la firma digital?

El proceso de firma digital de un mensaje electrónico comprende en realidad dos procesos sucesivos: la firma del mensaje por el emisor del mismo y la verificación de la firma por el receptor del mensaje. Esos dos procesos tienen lugar de la manera que se expresa a continuación, en la que el emisor del mensaje es designado como Angel y el receptor del mensaje es designado como Blanca:

Firma digital de un mensaje electrónico.

1º.- Angel (emisor) crea o redacta un mensaje electrónico determinado (por ejemplo, una propuesta comercial).  

2º.- El emisor (Angel) aplica a ese mensaje electrónico una función hash (algoritmo), mediante la cual obtiene un resumen de ese mensaje.

3º.- El emisor (Angel) cifra ese mensaje-resumen utilizando su clave privada.

4º.- Angel envía a Blanca (receptor) un correo electrónico que contiene los siguientes elementos:

• El cuerpo del mensaje, que es el mensaje en claro (es decir, sin cifrar). Si se desea mantener la confidencialidad del mensaje, éste se cifra también pero utilizando la clave pública de Blanca (receptor).

• La firma del mensaje, que a su vez se compone de dos elementos:

  • El hash o mensaje-resumen cifrado con la clave privada de Angel.

  • El certificado digital de Angel, que contiene sus datos personales y su clave pública, y que está cifrado con la clave privada del Prestador de Servicios de Certificación.

Verificación por el receptor de la firma digital del mensaje. 

1º.- Blanca (receptor) recibe el correo electrónico que contiene todos los elementos mencionados anteriormente.

2º.- Blanca en primer lugar descifra el certificado digital de Angel, incluido en el correo electrónico, utilizando para ello la clave pública del Prestador de Servicios de Certificación que ha expedido dicho certificado. Esa clave pública la tomará Blanca, por ejemplo, de la página web del Prestador de Servicios de Certificación en la que existirá depositada dicha clave pública a disposición de todos los interesados.

3º.- Una vez descifrado el certificado, Blanca podrá acceder a la clave pública de Angel, que era uno de los elementos contenidos en dicho certificado. Además podrá saber a quién corresponde dicha clave pública, dado que los datos personales del titular de la clave (Angel) constan también en el certificado.

4º.- Blanca utilizará la clave pública del emisor (Angel) obtenida del certificado digital para descifrar el hash o mensaje-resumen creado por Angel.

5º.- Blanca aplicará al cuerpo del mensaje, que aparece en claro o no cifrado, que también figura en el correo electrónico recibido, la misma función hash que utilizó Angel con anterioridad, obteniendo igualmente Blanca un mensaje-resumen. Si el cuerpo del mensaje también ha sido cifrado para garantizar la confidencialidad del mismo, previamente Blanca deberá descifrarlo utilizando para ello su propia clave privada (recordemos que el cuerpo del mensaje había sido cifrado con la clave pública de Blanca)

6º.- Blanca comparará el mensaje-resumen o hash recibido de Angel con el mensaje-resumen o hash obtenido por ellal misma. Si ambos mensajes-resumen o hash coinciden totalmente significa lo siguiente:

• El mensaje no ha sufrido alteración durante su transmisión, es decir, es íntegro o auténtico.

• El mensaje-resumen descifrado por Blanca con la clave pública de Angel ha sido necesariamente cifrado con la clave privada de Angel y, por tanto, proviene necesariamente de Angel.

• Como el certificado digital nos dice quién es Angel, podemos concluir que el mensaje ha sido firmado digitalmente por Angel, siendo Angel una persona con identidad determinada y conocida.

Por el contrario, si los mensajes-resumen no coinciden quiere decir que el mensaje ha sido alterado por un tercero durante el proceso de transmisión, y si el mensaje-resumen descifrado por Blanca es ininteligible quiere decir que no ha sido cifrado con la clave privada de Angel. En resumen, que el mensaje no es auténtico o que el mensaje no ha sido firmado por Angel sino por otra persona.

Finalmente, hay que tener en cuenta que las distintas fases del proceso de firma y verificación de una firma digital que han sido descritas no se producen de manera manual sino automática e instantánea, por el simple hecho de introducir la correspondiente tarjeta magnética en el lector de tarjetas de nuestro ordenador y activar el procedimiento.