La firma digital o electrónica, se basa en la teoría de clave pública y privada (PKI), y confía en el uso de certificados digitales. Para firmar en Uruguay Comprobantes Fiscales Electrónicos (CFE), se utilizarán Certificados Electrónicos Reconocidos de persona jurídica otorgados por una CA perteneciente a la PKI Uruguay (hasta la fecha se ha autorizado el Correo Uruguayo). En este documento se muestran las cualidades de la firma electrónica avanzada y el mecanismo de clave pública.
1.1. Cualidades de la Firma Electrónica Avanzada
Se describen a continuación las principales cualidades de la Firma Electrónica Avanzada, en general, compartidas con la firma digital en general.
1.1.1 Autenticación / Autoría de la firma
La persona jurídica está autenticada por su Certificado Electrónico Reconocido y el acceso a su clave privada. Es por tanto responsable absoluta de su firma electrónica avanzada, de igual manera que lo es una persona física de su firma ológrafa. Tanto la DGI como el receptor de la factura, pueden estar seguros que la firma fue realizada con la clave privada que corresponde unívocamente a la persona jurídica propietaria del mismo, y esto se garantiza por el Certificado Electrónico Reconocido, otorgado por una Entidad/Autoridad Certificadora de la PKI Uruguay.
1.1.2 Integridad
La Firma Digital, y por tanto la Firma Electrónica Avanzada, asegura la integridad del documento/CFE. No puede alterarse ni agregando, ni modificando ni borrando datos. El resumen (digest) calculado con la función de hash involucra la información digital de la totalidad del CFE. Cualquier cambio alteraría el cálculo del mismo y violaría el control de integridad (no se verificaría la firma).
1.1.3 No Repudio del Emisor
Al estar el documento (CFE) firmado digitalmente (con firma electrónica avanzada), la persona jurídica propietaria del mismo no puede negar su autoría. Es la única responsable de su clave privada. Si el documento es verificado con la clave pública correspondiente, sólo alguien con acceso a la clave privada pudo haberlo firmado, y es en definitiva, responsabilidad de la persona jurídica, y por tanto de su/s titular/es.
1.1.4 Confidencialidad
La firma digital – así como la firma electrónica avanzada-, no asegura la confidencialidad del documento/factura (ni de un mensaje).
Para lograr esto, deben utilizarse mecanismos de cifrado de datos.
1.1.5 No Repudio del Receptor
La firma digital – así como la firma electrónica avanzada – por sí sola, tampoco asegura la recepción del documento.
2. Mecanismo de clave pública: PKI
La firma digital o electrónica, se basa en la teoría de clave pública (PKI), y confía en el uso de certificados digitales / electrónicos y relaciones y propiedades matemáticas que se describen a continuación. La clave pública y privada de la persona se relacionan matemáticamente en que una es “inversa” de la otra en el sentido de cifrado y descifrado. La clave pública descifra lo que se cifra con la clave privada y viceversa. La clave privada, como lo sugiere el nombre, es privada y secreta.
Si un usuario quiere firmar electrónicamente un documento/mensaje (M), se le aplica al mismo una función de hash (1) y se computa así un resumen o código (Digest) calculado a partir del documento (M). Ese Digest, que es una secuencia de bits, se cifra con la clave privada del emisor (PRV_K). Se envía al receptor, de forma empaquetada (o ensobrada), el “Resumen” (Digest) cifrado, el documento M y el Certificado y la clave pública del emisor.
O sea: Firma = Cifrar (H(M), PRV_K)
Se envía: El Documento, la Firma y el Certificado del Emisor (con su PUB_K).
Para descifrar:
El Receptor, descifra la Firma recibida con la clave pública del emisor PUB_K y obtiene D1 ( D1 = H(M) por construcción).
A su vez, vuelve a computar con la función de Hash sobre el documento recibido el resumen o digest (D2).
Si D1 = D2, entonces sabemos que por un lado el documento fue firmado por el dueño de PRV_K (y del Certificado enviado por el Emisor), o sea por el Emisor. Por otra parte, gracias a la función de Hash, tenemos certeza sobre la integridad del documento y que no sufrió alteraciones posteriores a la firma.
Es decir:
D1 = Descifrar (Firma, PUB_K)
D2 = H(M), calculado por el receptor.
Si D1 = D2, entonces las PRV_K y PUB_K se corresponden matemáticamente y son de la persona ‘dueña’/responsable del CER de PUB_K.
En particular, para la firma electrónica avanzada, se utilizarán Certificados Electrónicos Reconocidos (CER), los cuales son otorgados y firmados por una Entidad Certificadora acreditada bajo el esquema de PKI Uruguay, y por tanto podemos confiar que esa PUB_K corresponde a quien dice el Certificado (su dueño).
(1) El hash es un algoritmo matemático de función dispersa muy sensible a la variación de la entrada, y “casi” inyectiva. “Casi” en el sentido que presenta muy pocas colisiones o muy difíciles de encontrar.