Firma electrónica: certificados de autenticación y firma en smartcards (tarjetas inteligentes)

El reglamento eIDAS (Reglamento (UE) 910/2014) regula la firma electrónica en el entorno de la Unión Europea. Un importante actor que interviene en todo ello es el certificado digital, y relacionado con él la autoridad certificadora.

Los estándares actuales de firma electrónica se basan en la PKI (Public Key Infraestructure), infraestructura de clave pública y privada, y como estándar técnico de materialización de certificados electrónicos e internet está el X.509.

Para el ciudadano de a pie que dispone de una tarjeta inteligente (smartcard) con certificados electrónicos para su uso, tales como el DNI electrónico y tarjetas de empleado público, por ejemplo, todo esto puede resultar algo desconocido, ya que existen numerosos tipos de certificados electrónicos para distintos usos. Es importante tener en cuenta claramente los aspectos jurídicos de los distintos tipos de certificados electrónicos y usarlos correctamente, y así evitar o facilitar y minimizar posibles problemas legales.

DNI electrónico

El DNI electrónico contiene dos certificados distintos, uno de autenticación y otro de firma. Por ejemplo, al usar cualquier aplicación de firma electrónica (autofirma o adobe) se nos presentará una ventana de selección del certificado que queremos usar para firmar.

Selección del certificado para firmar en Adobe Acrobat

En principio, se permite usar cualquiera de los dos certificados para efectuar la firma electrónica con la aplicación del documento pdf en este caso, sin embargo, el propósito de los certificados ya está indicado expresamente, uno para firma y otro para autenticación.

En la web de DNI electrónico hay un documento que aclara muy bien ambos usos:

https://www.dnielectronico.es/PDFs/Terminos_y_Condiciones_v1.5.pdf

Copiando parte del texto relevante del capítulo 2.2 del documento citado (Usos apropiados de los certificados):

  • Certificado de Autenticación: Garantizar electrónicamente la identidad del ciudadano al realizar una transacción telemática. El Certificado de Autenticación (Digital Signature) asegura que la comunicación electrónica se realiza con la persona que dice que es. El titular podrá a través de su certificado acreditar su identidad frente a cualquiera ya que se encuentra en posesión del certificado de identidad y de la clave privada asociada al mismo.
  • Certificado de Firma: El propósito de este certificado es permitir al ciudadano firmar trámites o documentos. Este certificado (certificado cualificado según el Reglamento (UE) 910/2014) permite sustituir la firma manuscrita por la electrónica en las relaciones del ciudadano con terceros [….] Por este motivo, garantizan la identidad del ciudadano poseedor de la clave privada de identificación y firma, y permiten la generación de la “firma electrónica cualificada”;

El certificado de autenticación no está habilitado en operaciones que requieran «no repudio» en origen, mientras que el certificado de firma sí. El certificado de firma no deberá ser empleado para generar mensajes de autenticación (confirmación de la identidad) y de acceso seguro a sistemas informáticos (mediante establecimiento de canales privados y confidenciales con los prestadores de servicio).

Por tanto, es muy importante saber y ser conscientes de qué es lo que se está haciendo con los certificados, a pesar de que las aplicaciones de firma permitan usar ambos y nos dejen elegir.

Técnicamente, entre otras cosas, en la especificación X.509 existen unos parámetros para especificar el uso al que se destina el certificado (en realidad el uso de la clave privada que permite el certificado a la hora de efectuar firmas electrónicas), según el rfc5280 (https://datatracker.ietf.org/doc/html/rfc5280#section-4.2)

id-ce-keyUsage OBJECT IDENTIFIER ::=  { id-ce 15 }

      KeyUsage ::= BIT STRING {
           digitalSignature        (0),
           nonRepudiation          (1), -- recent editions of X.509 have
                                -- renamed this bit to contentCommitment
           keyEncipherment         (2),
           dataEncipherment        (3),
           keyAgreement            (4),
           keyCertSign             (5),
           cRLSign                 (6),
           encipherOnly            (7),
           decipherOnly            (8) }

   Bits in the KeyUsage type are used as follows:

      The digitalSignature bit is asserted when the subject public key
      is used for verifying digital signatures, other than signatures on
      certificates (bit 5) and CRLs (bit 6), such as those used in an
      entity authentication service, a data origin authentication
      service, and/or an integrity service.

      The nonRepudiation bit is asserted when the subject public key is
      used to verify digital signatures, other than signatures on
      certificates (bit 5) and CRLs (bit 6), used to provide a non-
      repudiation service that protects against the signing entity
      falsely denying some action.  In the case of later conflict, a
      reliable third party may determine the authenticity of the signed
      data.  (Note that recent editions of X.509 have renamed the
      nonRepudiation bit to contentCommitment.)

Puede comprobarse en documentos firmados con autofirma usando cada uno de los certificados del DNI por separado, aunque la traducción al español resulte un tanto confusa (pues no hay que confundir la firma electrónica con firma digital):

Certificado de autenticación: (uso «digitalSignature»)

Fiormado con el certificado de autenticación

Certificado de firma: (uso «nonRepudiation» o «contentCommitment):

Firmado con el certificado de firma

Validando la firma en valide (https://valide.redsara.es/valide/validarFirma/ejecutar.html), se obtienen datos más detallados (incluyendo las políticas de firma)

Tarjeta de Empleado Público

En general, las tarjetas de empleado público, con certificados emitidos por la FNMT incluyen sólo un certificado con un uso, restringido al ámbito de la actividad profesional concreta, y es su único uso permitido, no siendo posible usarse en otros ámbitos.

Firma con tarjeta de empleado público.

Sería mucho menos confuso que las aplicaciones verificaran el uso que se le va a dar al certificado y advertir en consecuencia.

Leave a Reply

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.