El crecimiento en el uso de Internet hace que sean posibles las relaciones profesionales/comerciales con personas a las que no se conoce (y a las que probablemente no se tendrá oportunidad de conocer personalmente).

Para relaciones de poca responsabilidad contractual o de poco valor económico (libros, discos, etc.) posiblemente la actual seguridad de la red es suficiente.

Pero para transacciones que impliquen responsabilidades (la mayoría de las que se producirán entre profesionales) es necesaria una seguridad máxima. De hecho, de todos los estudios realizados se concluye que la inseguridad es uno de los grandes frenos al crecimiento de la utilización profesional de Internet.

1.1. Legislación Firma Electrónica

DIRECTIVA 1999/93/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 13 de diciembre de 1999 por la que se establece un marco comunitario para la firma electrónica.

REAL DECRETO-LEY 14/1999, de 17 de septiembre, sobre firma electrónica

SEGUNDO BORRADOR DE ANTEPROYECTO DE LEY DE FIRMA ELECTRÓNICA
(26 de julio de 2002)

1.2 Concepto de Firma electrónica

El concepto de firma digital fue introducido por Diffie y Hellman en 1.976. Básicamente una firma digital es un conjunto de datos asociados a un mensaje que permite asegurar la identidad del firmante y la integridad del mensaje. Aparentemente estos se consiguen con los criterios de autenticidad e integridad anteriormente citados, pero estos no son suficientes si se pretende equiparar a la firma manuscrita que además tiene las propiedades de:

• ser barata y fácil de producir
• ser fácil de reconocer tanto por el propietario como por otros
• ser imposible de rechazar por el propietario.

Para ello existen 2 métodos de firma digital:

1. Firma digital con árbitro donde dos usuarios con desconfianza mutua confían en un tercero. Se utilizan criptosistemas de clave única (una sola clave para cifrar y descifrar). El emisor y el receptor tienen sus propias claves por lo que es el árbitro el encargado de recibir el mensaje del emisor, desencriptarlo con la clave del emisor. De esta forma el emisor y el receptor no necesitan compartir claves.
2. Firma digital ordinaria en la cual el usuario firmante envía directamente la firma al destinatario, y este debe poder comprobar la validez de la firma sin necesidad de un árbitro. A este método pertenecen los sistemas de firmas actuales que se basan en criptosistemas de clave pública.

El modo de funcionamiento de la firma digital basado en clave pública es el siguiente:

• cada participante tiene un par de claves, una se usa para encriptar y la otra para desencriptar.
• cada participante mantiene en secreto una de las claves (clave privada) y pone a disposición del público la otra (clave pública).
• el emisor calcula un resumen del mensaje a firmar con una función hash. El resumen es un conjunto de datos de pequeño tamaño que tiene la propiedad de cambiar si se modifica el mensaje.
• el emisor encripta el resumen del mensaje con una clave privada y ésta es la firma digital que se añade al mensaje original.
• el receptor, al recibir el mensaje, calcula de nuevo su resumen mediante la función hash. Además desencripta la firma utilizando la clave pública del emisor obteniendo el resumen que el emisor calculó. Si ambos resúmenes coinciden entonces la firma es válida por lo que cumple los criterios ya vistos de autenticidad e integridad además del de no repudio ya que el emisor no puede negar haber enviado el mensaje que lleva su firma.

1.2. Premisas para la seguridad y confianza en la Red

Para tener la seguridad de que el profesional va a realizar la transacción con las mismas o mayores garantías que las que tiene en el entorno profesional tradicional, el sistema que utilicemos para garantizar dicha seguridad deberá cumplir las siguientes premisas:

- Identidad: tener la seguridad de que se está realizando la gestión con la persona/empresa deseada.

- Confidencialidad: tener la seguridad de que solo usted y la persona/entidad con la que está haciendo la gestión puede tener acceso a la información.

- Integridad: tener la seguridad de que los documentos motivo de la gestión son los originales y no han sido manipulados.

- No repudio: tener la prueba de la realización de un contrato, transacción, gestión, etc. Consiste en que tanto el emisor, como el receptor, no pueden negar haber efectuado el mensaje; también permite evitar la copia o duplicación de los certificados, así como su uso fuera del tiempo para el que hayan sido emitidos.