Firma electrónica, firma digital, certificado electrónico y … tal.

¿A que nunca habías visto un post que explicara las diferencias entre firma electrónica y firma digital?

Al igual que con el paso del tiempo se nos olvida cómo calcular la raíz cuadrada (algo tan útil en nuestra vida cotidiana como conocer los quinientos primeros decimales del número pi -π- ), también podemos empezar a olvidar las sutiles diferencias entre la firma electrónica y la digital.

Las definiciones, lamentablemente no son universales y, en su vertiente jurídica, depende de la legislación de cada país.

A continuación glosaremos algunas definiciones y que cada cuál utilice las que se avengan mejor a su contexto concreto.

Firma digital

Según el RFC4949, «Internet Security Glossary», Version 2, la firma digital es:

A value computed with a cryptographic algorithm and associated with 
a data object in such a way that any recipient of the data can use 
the signature to verify the data's origin and integrity.

(Traducción con Google translate y remiendos propios: Un valor calculado con un algoritmo criptográfico y asociado con un objeto de datos de tal forma que cualquier destinatario de los datos puede usar la firma para verificar el origen y la integridad de los datos)

Según la ISO «Information Processing Systems — Open Systems Interconnection Reference Model, Part 2: Security Architecture«, ISO/IEC 7499-2

Data appended to, or a cryptographic transformation of, a data unit
that allows a recipient of the data unit to prove the source and
integrity of the data unit and protect against forgery, e.g. by the
recipient

(Traducción con Google translate y remiendos propios: datos adjuntos o una transformación criptográfica de un conjunto de datos que permite a un receptor de este conjunto probar el origen y la integridad del conjunto y protegerlo contra falsificación (modificación), por ejemplo, por el receptor)

Según la Ley 8454, de 30-8-2005, de Certificados, Firmas Digitales y documentos electrónicos, de Costa Rica:

cualquier conjunto de  datos adjunto o lógicamente asociado a un
documento electrónico, que permita verificar su integridad, 
así como identificar en forma unívoca y vincular jurídicamente
al autor con el  documento electrónico.

En la legislación de otros países como Nicaragua o Perú también se hace referencia a la firma digital.

Firma electrónica

Según la Ley 59/2003, de 19 de diciembre, de Firma Electrónica (LFEE), en su artículo 3.1, define la firma electrónica como:

el conjunto de datos en forma electrónica, consignados junto a otros
o asociados con ellos, que pueden ser utilizados como medio de
identificación del firmante

Según la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica, en su artículo 2º la define como:

los datos en forma electrónica anejos a otros datos electrónicos o
asociados de manera lógica con ellos, utilizados como medio de
autenticación

Según la Ley Nº 729, de 30/08/10, de Firma Electrónica, de Nicaragua, la firma electrónica es:

datos electrónicos integrados en un mensaje de datos o lógicamente
asociados a otros datos electrónicos, que puedan ser utilizados para
identificar al titular en relación con el mensaje de datos e indicar
que el titular aprueba la información contenida en el mensaje de datos

La ESIGN Act, en su sección 106 (Definitions), reza:

The term 'electronic signature' means an electronic sound, symbol, or
process, attached to or logically associated with a contract or other
record and executed or adopted by a person with the intent to sign
the record

(Traducción con Google translate y remiendos propios: el término «Firma electrónica»  significa es un sonido, símbolo o proceso, vinculados o asociados de manera lógica con un contrato u otro documento y ejecutado o adoptado por una persona con la intención de firmar el documento)

Definición bastante curiosa, todo sea dicho.

En el contexto español

Si comparamos la definición de firma digital del RFC4949 (1ª) y la de firma electrónica de la ley española (LFEE) encontramos estas diferencias:

  1. La 1ª habla de criptografía, mientras que la LFEE no, como es normal en una ley que trata de ser independiente de la tecnología.
  2. La primera habla de «integridad» mientras que la 2ª no hace referencia alguna. La LFEE no entra en el terreno de la «integridad» hasta su definición de «firma electrónica avanzada» (de la que hablaremos en futuros posts)
  3. Finalmente, la 1ª hace referencia a verificar el origen de los datos, mientras que la LFEE se refiere a la identificación del firmante, mostrando claramente el enfoque técnico de la 1ª y el jurídica y vinculado a actos de personas de la LFFE.

Total, que si alguien, en un contexto español os comenta que «la ley dice que la firma digital bla, bla, bla», es que toca de oído.

¿Qué países tienen regulada de la firma electrónica o digital?

Tiempo atrás encontré esta página que puede ser de utilidad para identificar las distintas leyes sobre firma electrónica/digital de diversos países, con indicación de si la ley recoge necesidad de sello de tiempo o tarjeta/token criptográfico.

Espero que os sea de utilidad.

Por cierto si te ha gustado esta entrada, no dudes en compartirla usando los botones de debajo

¿Te ha gustado lo que contamos?
Comparte con tus amigos

4 comentarios.