A seguridade é un dos conceptos crave aos que a Administración, no seu paso ao terreo das Tecnoloxías da Información e as Comunicacións (TIC), debe prestar unha maior atención: a Administración ten que estender as garantías xurídicas que ofrece aos cidadáns e empresas ás xestións que se realicen de forma electrónica.

Os documentos que se xeran electronicamente levan asociados tres conceptos que son necesarios salvagardar e que son a confidencialidade, a integridade e a autenticidade:

• A confidencialidade refírese a a capacidade de manter un documento electrónico inaccesible a todos, excepto a unha lista determinada de persoas.
• A integridade garante que o documento recibido coincide co documento emitido sen posibilidade algunha de cambio.
• A autenticidade refírese a a capacidade de determinar se unha lista determinada de persoas estableceu o seu recoñecemento e/ou compromiso sobre o contido do documento electrónico. O problema da autenticidade nun documento tradicional soluciónase mediante a firma autógrafa. Mediante a súa firma autógrafa, un individuo, ou varios, manifestan a súa vontade de recoñecer o contido dun documento, e no seu caso, a cumprir cos compromisos que o documento estableza para co individuo.

Estes problemas, confidencialidade, integridade e autenticidade (os procesos definidos de firma e cifrado) resólvense mediante a tecnoloxía chamada criptografía. A criptografía é unha rama das matemáticas que, ao aplicarse a mensaxes dixitais, proporciona as ferramentas idóneas para solucionar os problemas antes mencionados. Ao problema da confidencialidade relaciónaselle comunmente con técnicas denominadas de cifrado e aos problemas da integridade e a autenticidade con técnicas denominadas de firma dixital, aínda que ambos en realidade redúcense a procedementos criptográficos de cifrado e descifrado.

A criptografía asimétrico é o método criptográfico que utiliza un par de claves complementarias, a pública e a privada, para cifrar documentos ou mensaxes. O que está codificado cunha clave privada necesita a súa correspondente clave pública para ser descodificado. E viceversa, o codificado cunha clave pública só pode ser *ecodificadoco a súa clave privada. A clave privada debe ser coñecida unicamente polo seu propietario, mentres que a correspondente clave pública pode ser dada a coñecer abertamente.

O feito de que a clave privada só sexa coñecida polo seu propietario permítenos conseguir dúas cousas importantes:

• Calquera documento xerado a partir desta clave necesariamente ten que ser xerado polo propietario da clave (firma electrónica).
• Un documento al que se aplica la clave pública sólo podrá ser abierto por el propietario de la correspondiente clave privada (cifrado electrónico).

Un certificado electrónico é un documento emitido e asinado por unha autoridade de certificación que identifica a unha persoa (física ou legal) cun par de chaves. Un certificado contén a seguinte información:

• Identificación do titular do certificado (Nome do titular, NIF, correo electrónico,…).
• Insignias do certificado: número de serie, entidade que o emitiu, data de emisión, período de validez do certificado, etc.
• Unha parella de claves: pública e privada.
• A firma electrónica do certificado coa clave da autoridade de certificación (AC) que o emitiu.

Toda esta información pode dividirse en dous partes:

• Parte privada do certificado: clave privada.
• Parte pública do certificado: resto de datos do certificado, incluída a firma electrónica da autoridade de certificación que o emitiu.

A parte privada nunca é cedida polo seu propietario. Esta é a base da seguridade. Coa parella de claves pódense realizar funcións de cifrado coa peculiaridade de que o que se cifra coa privada só se pode verificar coa pública e viceversa.

• Non hai posibilidade de recuperar a mensaxe da pegada xerada.
• Se se cambia a mensaxe, a pegada dixital que se obtén é diferente. Estas dúas características garanten a integridade da mensaxe. Se se cambia o contido da mensaxe, o que verifica a firma vaino a saber.

A pegada dixital está cifrada coa clave privada do certificado da persoa que asina. Aplicando os mecanismos

1. Obtense unha pegada dixital do documento dixital que se quere asinar. Esta pegada dixital garante que dous documentos diferentes xeran diferentes pegadas dixitais e dous documentos iguais sempre xeran a mesma pegada dixital.
2. Realízase o cifrado (mediante algoritmos matemáticos) da pegada dixital coa clave privada do certificado. Desta forma garántese a autenticidade xa que é o propietario do certificado o único que puido realizar este cifrado.
3. Se encapsula toda a documentación nun documento asinado que inclúe:

• Documento orixinal (opcional).
• Pegada dixital cifrada coa clave privada.
• Parte pública do certificado.

1. A impresión dixital cifrada é descifrada coa clave privada usando a chave pública do certificado.
2. S'obté l'empremta digital do documento orixinal.
3. Compara os empregados dixitais. Se coinciden, a sinatura é correcta (hola ten integritat, o documento non foi modificado).
4. Consúltase á autoridade de certificación emisora para a validez do certificado e se é válido, a firma así como a correcta (a autenticidade da orixe da firma está garantida).