CENTRO DE SOPORTE
¿Qué es Firma Digital?

Es un método que asocia la identidad de una persona o equipo, con un mensaje o documento electrónico, para asegurar la autoría y la integridad del mismo. La firma digital del documento es el resultado de aplicar algoritmos matemáticos a su contenido que crean una secuencia que únicamente puede haber sido creada por el poseedor del certificado digital.

Más sobre: Criptografía y Firmas Digitales

Las firmas digitales se fundamentan en los conceptos criptográficos de cifrado asimétrico y sistemas de llave pública / llave privada, los cuales se definen como:

Cifrado asimétrico: el cifrado se lleva a cabo con una llave [muy] distinta de la que descifra. La fortaleza del sistema radica en que: (a) es extraordinariamente difícil* deducir una llave a partir de la otra, y (b) es extraordinariamente difícil deducir una llave a partir de los datos cifrados.

Llave pública/privada: la llave privada solo es conocida por la persona que firma, y la llave pública es conocida por todos (incluso se publica). No solo es seguro publicarla sino que en ciertas aplicaciones es necesario.

La firma digital es una aplicación de este esquema en el que se genera una marca (hash) que inequívocamente corresponde tanto con el documento a proteger como con la llave privada de la persona. Dado que todos tienen acceso a la llave pública, todos pueden comprobar el hash del documento y verificar que efectiviamente usted lo firmó.

* (Con extraordinariamente difícil nos referimos a operaciones que podrían tardar miles de millones de años en completarse con el poder computacional existente).Para verificar la firma se tiene que validar la vigencia del Certificado Digital del firmante, el estado del certificado digital (si está revocado) y que el uso del certificado digital sea el apropiado para la operación realizada (firma y no repudio).

Más sobre: Repudio

Para verificar la firma se tiene que validar la vigencia del Certificado Digital del firmante, el estado del certificado digital (si está revocado) y que el uso del certificado digital sea el apropiado para la operación realizada (firma y no repudio).

El término no repudio se refiere a que una persona no pueda repudiar o refutar la validez de un contrato que ésta produjo (por ejemplo, negar que una firma hecha de su puño y letra sea suya). En particular, para firmas digitales, una persona no puede afirmar que no realizó la firma digital de un documento y a la vez afirmar que su llave privada sigue siendo secreta. Las llaves privadas deben protegerse celosamente.

Más sobre: Como se firma digitalmente un documento

Para firmar un documento, se requiere de un certificado digital emitido por una Autoridad Certificadora Registrada, el cual debe ser almacenado y custodiado en tarjetas inteligentes (smart cards) que cumplan con el estándar FIPS 140 nivel 2, que custodian la llave privada (secreta) utilizada para firmar digitalmente.

El siguiente diagrama ilustra el proceso de firma de un documento y su respectiva verificación:

como firmar digitalPara firmar un documento:

  • El documento original pasa por un proceso para calcular un hash o digesto (una especie de resumen del documento; si el documento cambia aunque sea por un byte, el hash resulta completamente diferente).
  • Se cifra el digesto con la llave privada del firmante (a esto se le llama firma del documento).
  • Se adjuntan al documento la firma y la llave pública del firmante (así todos pueden verificarla).

Para verificar la firma:

  • Del documento firmado se extrae el documento original, y se aplica la función de hash para obtener el digesto.
  • También del documento firmado se obtiene la firma como tal y el certificado del firmante (que contiene su llave pública únicamente).
  • Se descifra la firma del documento con la llave pública del firmante, obteniendo otro digesto.
  • Se compara el digesto del paso 1 con el del paso 3. Si son idénticos, la firma es válida.

Adicionalmente, la verificación implica validar que el certificado del cliente sea confiable, verificando (entre otros):

  • Que se haya usado un certificado con capacidad de firma y no repudio.
  • Que el certificado no esté vencido.
  • Que el certificado no esté revocado.
  • Que el certificado haya sido emitido por una autoridad certificadora reconocida.
  • Que los datos del certificado cumplan las políticas de la autoridad certificadora.

El procedimiento para firmar un documento varía según el software que esté utilizando. Por ejemplo, Microsoft WordTM permite que varias personas firmen digitalmente un mismo documento.

Aumentando su seguridad - SHA2

El Banco Central de Costa Rica culminó con éxito un proceso de cambios en la emisión de certificados de firma digital que mejoran la seguridad, aumentan la vida útil de los certificados, permite tener más de un certificado y su respectiva tarjeta por persona y que además redujo el tiempo de emisión y entrega de los mismos.

Usar la firma digital le evita al titular tener que desplazarse físicamente a firmar documentos o solicitar servicios, lo que le ahorra dinero y reduce los tiempos en la ejecución de trámites.

Sobre la mejora en seguridad, esta se consolidó a partir del 20 de junio cuando todos los certificados de firma digital empezaron a emitirse utilizando algoritmos más robustos de encripción basados en la familia SHA-2, los cuales proporcionan una mejora en la seguridad y consiguen que  la emisión de tarjetas de firma digital en nuestro país esté al nivel de los más altos estándares internacionales, sin que eso signifique que las tarjetas emitidas antes de esa fecha sean inseguras.

Estamos duplicando la vida útil de los certificados que emitimos, pasando de 2 a 4 años, esto representa una mejora significativa para las personas, disminuyendo el número de veces que debe presentarse a una oficina emisora para obtener su capacidad de autenticación y Firma. Asimismo, gracias a cambios en el software y a los procesos de emisión se logró disminuir el tiempo para disponer de las tarjetas de firma digital a menos de 15 minutos, con lo cual se optimiza también la capacidad de emisión de cada oficina emisora y por ende del sistema como un todo.

Gracias a la modificación de las políticas de firma digital promulgadas por el MICITT y a la preparación de la infraestructura de emisión del BCCR, las personas que así lo deseen pueden obtener la cantidad de tarjetas de firma digital que consideren necesarias para realizar sus trámites personales o empresariales.

Además de estas mejoras, pusimos en operación el servicio de emisión de certificados de firma digital para personas jurídicas (empresas e instituciones),  por lo que toda persona jurídica interesada en obtener uno de estos certificados puede desde ya solicitarlo al correo Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. del Centro de Operaciones del SINPE.

A la fecha, se han emitido aproximadamente 160 mil certificados de firma digital que los costarricenses pueden utilizar en más  de 60 instituciones, públicas, bancarias y comerciales que tienen disponibles más de 100 servicios que hacen uso de esta importante herramienta.

Con estos cambios el Banco Central de Costa Rica apoya la Directriz Presidencial Nº67-MICITT-H-MEIC “Masificación de la implementación y el uso de la Firma Digital en el Sector Público Costarricense” y además, los lineamientos sobre autenticación de clientes y autorización de transacciones en canales electrónicos, emitidos recientemente por la Superintendencia General de Entidades Financieras, acuerdo SUGEF18-16: “Reglamento sobre gestión del riesgo operativo”. Ambas normativas reconocen el derecho de los ciudadanos a obtener los servicios del Estado y de las entidades financieras por vía electrónica, accediéndolos directamente desde su casa u oficina, reduciéndoles riesgos y costos, y contribuyendo así a mejorar  su calidad de vida.

Atentamente,

Carlos Melegatti S., director

DIVISION DE SISTEMAS DE PAGO

Donde obtener la firma digital?

Existen múltiples oficinas de registro en las que usted puede obtener su Firma Digital. Para mayor detalle, por favor visite la Lista Oficial de Oficinas de Registro del Banco Central de Costa Rica