El certificado digital y la digitalización certificada de facturas I (Andre Klein y Julia Sanchez Meynial)

En esta primera parte entraremos primero en la definición delo que es una certificado digital, cómo serelaciona con la firma electrónica y explicaremosel papel que tienen las entidades con derecho a emitir certificadosdigitales, las Autoridades de Certificación. 

En la segunda parte nos centraremos en elaborar cómo elcertificado digital y la digitalización certificada defacturas se complementan.

El certificado digital y las Autoridades de Certificación

Un Certificado Digital es un documentodigital, computarizado, mediante el cual un tercero de confianza (una“autoridad certificación) garantiza la vinculación entre la identidadde un sujeto o entidad y su clave pública. Explicaremos lo que es laclave pública más adelante.

Una Autoridad de Certificación, certificadorao certificante, llamada AC enespañol o Autoridad de Certificación porsus siglas en inglés (Certification Authority),es una entidad de confianza, responsable de emitir y revocar loscertificados digitales utilizados en la firma electrónica,para lo cual se emplea la criptografía de clave pública. Jurídicamentees un caso particular de Prestador de Servicios de Certificación. En adelante vamos emplear el término español de Autoridad deCertificación

La criptografía es la ciencia de cifrar y descifrar informaciónutilizando técnicas que hacen posible el intercambio de mensajes demanera segura que sólo pueden ser leídos por las personas a quienes vandirigidos. La finalidad de la criptografía es, en primer lugar,garantizar el secreto en la comunicación entre dos entidades (personas,organizaciones, etc.) y, en segundo lugar, asegurar que la informaciónque se envía es auténtica en un doble sentido: que el remitente searealmente quien dice ser y que el contenido del mensaje enviado,habitualmente denominado criptograma, no haya sido modificado en sutránsito.

Existen variados formatos para certificados digitales,los más comúnmente empleados se rigen por el estándar UIT-TX 509. El certificadocontiene el nombre de la entidad certificada, el número de serie, lafecha de expiración y una copia de la clave pública del titular delcertificado utilizada realmente en la asociación.

La Autoridad de Certificación, por sí misma omediante la intervención de una autoridad de registro, verifica laidentidad del solicitante de un certificado antes de su expedición o,en caso de certificados expedidos con la condición de revocados,elimina la revocación de los certificados al comprobar dicha identidad.

Los certificados son documentos que recogen ciertos datos de su titularasí como su clave pública y están firmados electrónicamente por la Autoridadde Certificación utilizando su clave privada. La Autoridadde Certificación es un tipo particular de Prestador de Servicios deCertificación que legitima, ante los terceros que confían en suscertificados, la relación entre la identidad de un usuario y su clavepública. La confianza de los usuarios en la Autoridad de Certificaciónes importante para el funcionamiento del servicio y justifica lafilosofía de su empleo pero no existe un procedimiento normalizado parademostrar que, una Autoridad de Certificación, merece dicha confianza.

La “clave pública” y “la clave privada”

La criptografía asimétrica es el métodocriptográfico que usa un par de claves para el envío de mensajes. Lasdos claves pertenecen a la misma persona a la que se ha enviado elmensaje. Una clave es pública y se puede entregar acualquier persona, la otra clave es privada y elpropietario debe guardarla de modo que nadie tenga acceso a ella.

Además, los métodos criptográficos garantizan que esa pareja de clavessólo se puede generar una vez, de modo que se puede asumir que no esposible que dos personas hayan obtenido casualmente la misma pareja declaves.

Si el remitente usa la clave pública del destinatario para cifrar elmensaje, una vez cifrado, sólo la clave privada del destinatario podrádescifrar este mensaje, ya que es el único que la conoce. Por tanto selogra la confidencialidad del envío del mensaje,nadie salvo el destinatario puede descifrarlo.

Si el propietario del par de claves usa su clave privada para cifrar elmensaje, cualquiera puede descifrarlo utilizando su clave pública. Eneste caso se consigue la identificación y autenticacióndel remitente, ya que se sabe que sólo pudo haber sido él quien utilizósu clave privada (salvo que alguien se la hubiese podido robar).

Esta idea es el fundamento de la firma electrónica. Es lafirma electrónica certificada que le da al documento su valor legalcomo p.e. una factura firmada electrónicamente. La Ley59/2003 de la firma electrónica equipara, jurídicamente, lafirma electrónica a la firma en papel, dotándola así de plena validezlegal para las transacciones electrónicas públicas y privadas; y en elReal Decreto 1496/2003, de 28 de noviembre, se determina la posibilidadde remitir las facturas por medios electrónicos.

 Si disponemos de la clave pública delcertificado de la firma electrónica podemos comprobar que la facturaenviada realmente viene del remitente. Además, no se puedemodificar una factura firmada electrónicamente sin alterar el cifrado einvalidar la factura. Por ello, es la forma más segura de emitir yrecibir facturas, sin entrar aquí en otras ventajas de la facturaelectrónica, como son el ahorro de gastos de gestión de la mismas y laflexibilidad que supone disponer de una factura cuya información sepuede explotar de las más diversas formas en nuestros procesos denegocio.

Lamisión de las Autoridades de Certificación

Finalmente, las Autoridades de Certificación también seencargan de la gestión de los certificados firmados. Esto incluye lastareas de revocación de certificados que puede instar el titular delcertificado o cualquier tercero con interés legítimo ante la Autoridadde Certificación por e-mail, teléfono o intervención presencial.

La lista denominada CRL (Lista de Revocación deCertificados) contiene los certificados que entranen esta categoría, por lo que es responsabilidad de la Autoridad deCertificación publicarla y actualizarla debidamente. Por otra parte,otra tarea que debe realizar una Autoridad de Certificación es lagestión asociada a la renovación de certificados por caducidad orevocación.

Si la Autoridad de Certificación emite muchos certificados,corre el riesgo de que sus CRL sean de gran tamaño, lo que hace pocopráctica su descarga para los terceros que confían. Por ese motivodesarrollan mecanismos alternativos de consulta de validez de loscertificados, como servidores basados en los protocolos OCSP y SCVP.

 Autoridad de Certificación de personas y de servidores

Los certificados de "entidad final" a veces designan personas(y entonces se habla de "certificados cualificados") y a vecesidentifican servidores web (y entonces los certificados se empleandentro del protocolo SSL para que las comunicaciones con el servidor seprotejan con un cifrado “robusto” de 128 bits)

Autoridadesde Certificación Públicas y Privadas 

Una Autoridad de Certificación puede ser o bienpública o bien privada. Los certificados de Autoridades deCertificación (certificados raíz) de las Autoridadesde Certificaciones públicas pueden o no estar instalados en losnavegadores pero son reconocidos como entidades de confianza,frecuentemente en función de la normativa del país en el que operan.

Las Autoridades de Certificaciones públicas emiten loscertificados para la población en general (aunque a veces estánfocalizadas hacia algún colectivo en concreto) y además firman laAutoridad de Certificación de otras organizaciones.

Autoridadesde Certificación en la Unión Europea

El Artículo 11 de la Directiva 1999/93CE de firma electrónicaestablece que los países miembros notificarán a la Comisión y a losotros estados miembros lo siguiente:

• Información sobre esquemas voluntarios de acreditaciónnacionales, incluyendo eventuales requisitos adicionales según elartículo 3(7).
• Nombres y direcciones de los organismos nacionalesresponsables de la acreditación y supervisión, así como de losorganismos a los que se refiere el artículo 3(4).

Hasta aquí llega la primera parte. En la segunda noscentraremos en elaborar cómo el certificado digital y la digitalizacióncertificada de facturas se complementan.

Solución de Negocio: Digitalización certificada de facturas