Acaba de pasar la campaña de la declaración de la renta de este año y millones de españoles la hemos realizado telemáticamente, por lo tanto hemos firmado digitalmente nuestra declaración; pero no por habitual es conocido por todos para qué sirve y cómo funciona la firma digital.

Antes de dar respuesta a estas preguntas no está de más decir que muchas veces decimos «firma electrónica» para referirnos a la digital cuando ésta es un concepto jurídico. La firma electrónica son unos datos que acompaña la información e identifican al emisor firmante. Podría incluso ser una imagen que contiene nuestra firma de puño y letra escaneada, otro tema sería la nula seguridad y validez legal de dicho método. Los países en cuya jurisdicción existe la firma electrónica, sólo otorgan a una firma digital segura la equivalencia funcional de una firma manuscrita.

El objetivo de la firma digital es garantizar que en el envío del emisor al receptor el documento no ha sufrido ninguna alteración. Para lograrlo utiliza la criptografía asimétrica que, a diferencia de la simétrica que sólo usa una clave para el cifrado, utiliza dos claves llamadas pública y privada. La administración española sólo reconoce a las autoridades de certificación como emisores válidos de claves.

Cómo funciona

Generalmente se habla de documentos, pero realmente lo enviado y firmado puede ser cualquier tipo de archivo: desde una imagen a un ejecutable. Sobre el fichero a firmar en primer lugar se aplica una función de hash criptográfica, una de calidad, un algoritmo md5 no sirve. Sobre la cadena que devuelve la función de hash se aplica el algoritmo de criptografía asimétrica que mediante la clave privada cifrará la cadena. La razón por la que no se emplea la solución salomónica de aplicar la criptografía asimétrica directamente sobre el fichero es su elevado coste computacional comparada con las funciones de hash criptográficas, que resultará en un proceso más lento cuanto más grande sea el fichero. El resultado es la firma digital.

Esquema del funcionamiento de la firma digital

Para que el receptor pueda confirmar que el documento no ha sido modificado desde que lo firmó el emisor, debe en primer lugar descifrar la firma digital para después aplicar la misma función de hash criptográfica sobre el documento enviado, si ambos resultados coinciden el documento es el original, si por el contrario no coinciden el documento ha sido alterado. Para descifrar el receptor no usa la clave privada sino la pública del emisor, esta es la gracia de la criptografía simétrica.

Una versión menos segura de este sistema sería usando un sistema de cifrado simétrico, donde sólo existe una clave. La debilidad de este sistema es que emisor y destinatario deben ponerse de acuerdo en cuál será la clave e intercambiarla de modo seguro. Para solucionar esto nació la criptografía asimétrica.

Hay que tener en cuenta que gracias a la firma digital:

• Sabemos que el documento no ha sufrido modificación desde que fue enviado.
• El emisor no puede negar que lo envió.

Pero por si misma no puede garantizar la privacidad de la comunicación, es decir, que alguien entre emisor y receptor haya tenido acceso al documento.

Programas para firmar digitalmente

Más allá de la declaración de la renta, a veces es necesario firmar un documento antes de enviarlo, ya sea, por ejemplo, a una entidad a través de un formulario ubicado en su página web o a un colega por correo electrónico. Las aplicaciones para lograrlo son diversas, así que las expuestas a continuación no pretenden ser una lista exhaustiva sino que me limitaré a citar las opciones que conozco.

Para Windows existe Adobe Acrobat Reader, pero parece ser que requiere también tener el certificado instalado concretamente en Internet Explorer y que está limitado al formato PDF; una opción que permite ampliar el tipo de fichero es Microsoft Office. Como soluciones independientes al sistema operativo existen Libre Office y AutoFirma.

Este último se puede descargar desde el portal de la administración electrónica del Gobierno de España y es precisamente a este gobierno a quien le pertenece el copyright. La licencia del programa es la «GNU General Public License» y está disponible para Windows, Linux y Mac. Además de estar abierto a cualquier sistema operativo, también lo está a poder firmar cualquier fichero.

Finalmente, en Linux la herramienta por excelencia es GnuPG (The GNU Privacy Guard), que nos permite firmar digitalmente archivos, así como cubre todas las necesidades de cifrado simétrico (pudiendo elegir entre varios algoritmos) y asimétrico.