En aquest apartat es fa un curset accelerat sobre firma digital.

Un certificat digital és un document digital mitjançant el qual un tercer confiable (una autoritat de certificació) garanteix la vinculació entre la identitat d’un subjecte o entitat i la seva clau pública.

Si bé existeixen variats formats per a certificats digitals, els més comunament emprats es regeixen per l’estàndard UTU-T X.509.

Un certificat emès per una entitat de certificació autoritzada, a més d’estar signat digitalment per aquesta, ha de contenir almenys el següent:

• Identificació de l’usuari nomenat en el certificat.
• El nom, l’adreça i el lloc on realitza activitats l’entitat de certificació.
• La clau pública de l’usuari.
• La metodologia per a verificar la signatura digital de l’usuari.
• El nombre de sèrie del certificat.
• Data d’emissió i d'expiració del certificat.

La legislació defineix un certificat electrònic com un document electrònic, signat electrònicament per un prestador de serveis, que vincula les eines de verificació de signatura electrònica en poder de cada usuari amb la seva identitat personal i d’aquesta manera el donen a conèixer en l’àmbit telemàtic com a signant. Apareix en la llei 59/2003, de 19 de desembre, de signatura electrònica. L'art. 6 diu: 1. Un certificat electrònic és un document signat electrònicament per un prestador de serveis de certificació que vincula unes dades de verificació de signatura a un signant i confirma la seva identitat. 2. El signant és la persona que posseeix un dispositiu de creació de signatura i que actua en nom propi o en nom d’una persona física o jurídica a la qual representa.

De manera precisa, la identitat del firmant es confirma si i només si la persona en qüestió és la única que té la clau privada i es verifica la firma algorísmicament.

Per fer ús d’un certificat en un ordinador, s’han de tenir clares una sèrie de qüestions.

Els mecanismes de firma electrònica es basen en unes tècniques algebraiques que fan ús d’un parell de claus relacionades entre elles. La característica principal d’aquesta parella de claus és que les dades xifrades amb una clau, s’han desxifrar amb l’altra clau i a l’inrevés.

Una de les claus és la que consideram clau privada i només pot conèixer l’usuari. L’altra és la clau pública i el prestador de serveis de certificació la relaciona amb la identitat de l’usuari i la dóna a conèixer als altres usuaris.

El certificat, que conté la clau pública, és un document públic que es pot donar a conèixer i distribuir. El prestador de serveis el publica a internet, s’envia amb el missatges de correu electrònic firmats i moltes aplicacions en fan ús i els intercanvien. La legislació denomina la clau pública com a “eina de verificació de signatura”.

La clau privada d’un usuari és la que només ell coneix, o posseeix, i això permet que l’algorisme de verificació de firma electrònica permeti validar la seva identitat. Si més d’una persona té accés a la clau privada de l’usuari, no es pot garantir la identitat del firmant. A la clau privada, la legislació l’anomena “eina de creació de signatura”.

Tot el mecanisme de criptografia asimètrica, o de clau pública, permet validar la identitat del firmant si la clau privada es manté en secret i només es coneguda per la persona identificada en el certificat.

Un certificat és un document digital, firmat per una entitat prestadora de serveis de certificació, que relaciona una clau pública amb la identitat d’una persona. Un algorisme que fa ús de la clau pública de la persona i de la seva clau privada, permet validar si és aquesta persona la que ha firmat un document electrònic, sempre que la clau privada sigui coneguda únicament pel firmant.

Els certificats que empra un usuari per firmar els seus documents, sempre duen associats la clau privada. Aquesta clau és l’eina que només el firmant pot tenir. Per això, quan empram l’ordinador i feim ús de certificats dels nostres certificats per firmar, hem tenir cura de les nostres claus privades.