Al realizar una firma electrónica, ¿se envía el documento a mi ordenador o mi clave privada al servidor de PortaSigma?
La clave privada nunca se mueve de su ubicación inicial. Si tienes la clave en una tarjeta, en tu DNI electrónico, en otro dispositivo criptográfico o en tu ordenador, la clave privada nunca se envía. El documento en el servidor tampoco.
En un proceso de firma digital de un PDF hay tres pasos básicos
- Se genera un resumen del documento (con un algoritmo de resumen o hashing), que es lo que realmente se firma, tanto con PortaSigma como con cualquier aplicación de firma electrónica que siga los estándares. Esta generación se hace en el servidor y el resumen (hash) se envía al equipo del usuario firmante.
- Se aplica la clave privada al hash, lo que en esencia es la propia acción de firma. Esto se hace en el equipo local del usuario firmante, ya sea en memoria, si la clave está en el disco duro, o en el dispositivo de creación de firma (por ejemplo, el DNI electrónico). Una vez aplicada la clave privada al hash, la información resultante (la firma digital, que no contiene la clave privada) se envía de nuevo al servidor.
- Se incrusta la firma en el PDF, de nuevo en el servidor. Antes de este proceso, se comprueba que sea correcta y que no se haya modificado, algo extremadamente improbable, ya que el canal de comunicación está cifrado en todo momento.
A través de este mecanismo, logramos el mismo nivel de seguridad que si se firmase el documento en el equipo local del cliente pero sin tener que enviar arriba y abajo el documento, que en ocasiones puede ser voluminoso.
Si aún así el firmante se queda intranquilo, siempre puede descargar el documento PDF a su equipo y verificar las firmas con una aplicación de otro fabricante, como el propio Adobe(R) Reader.
