La legislació bàsica sobre signatura electrònica es recull en la Llei 59/2003, de 19 de desembre, de Signatura Electrònica.
Art. 3.1) La signatura electrònica és el conjunt de dades en forma electrònica, consignats al costat d'uns altres o associats amb ells, que poden ser utilitzats com a mitjà d'identificació del signant.
A més, la Llei distingeix entre dos tipus de signatura, la ‘signatura electrònica avançada’ i la ‘signatura electrònica reconeguda’:
Art. 3.2) La signatura electrònica avançada és la signatura electrònica que permet identificar al signant i detectar qualsevol canvi ulterior de les dades signades, que està vinculada al signant de manera única i a les dades a què es refereix i que ha sigut creada per mitjans que el signant pot mantindre sota el seu exclusiu control.
(Art. 3.3) Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.
Segons la llei, la signatura electrònica reconeguda és l'única que pot ser considerada equivalent a la signatura manuscrita:
(Art. 3.4) La signatura electrònica reconeguda tindrà, respecte de les dades consignades en forma electrònica, el mateix valor que la signatura manuscrita en relació amb els consignats en paper.
Però com aconseguim, en la pràctica, que una signatura electrònica siga reconeguda i per tant, equivalent a la signatura manuscrita?
Una signatura electrònica reconeguda ha de complir les següents propietats o requisits:
Els 4 primers punts són possibles gràcies a l'ús de les claus criptogràfiques contingudes en el certificat i a l'existència d'una estructura d'Autoritats de Certificació que ofereixen confiança en el lliurament dels certificats. Però segons la Llei 59/2003, aquests 4 punts només ens ofereixen una signatura avançada.
Perquè la signatura electrònica sigui equivalent a la manuscrita, és a dir, que una Signatura electrònica sigui reconeguda, deu a més:
El certificat ha d'haver estat reconegut pel Ministeri d'Indústria i Comerç com habilitat per a crear signatures reconegudes i ha d'estar llistat en la seva pàgina web com a tal.
Es poden veure tots els certificats reconeguts pel MITyC en la llista de prestadors de serveis electrònics de confiança
Són certificats reconeguts perquè tant el prestador que els emet com el contingut mateix del certificat, compleixen amb els requisits declarats en el Capítol II de la Llei 59/2003 de signatura electrònica sobre Certificats reconeguts.
Les característiques d'un dispositiu segur de creació de signatura estan recollides en l'article 24 de la Llei 59/2003 de Signatura Electrònica.
Principalment, el dispositiu segur ha de garantir que les claus siguin úniques i secretes, que la clau privada no es pot deduir de la pública i viceversa, que el signant pugui protegir de manera fiable les claus, que no s'alteri el contingut del document original i que el signant pugui veure què és el que signarà.
Des d'un punt de vista tècnic, segons l'article 27 de la Llei 59/2003, un dispositiu segur de signatura ha de ser certificat com que compleix les característiques anteriors segons les normes tècniques publicades en la Decisió 2003/511/CE, de 14 de juliol de 2003 de la Comissió Europea.
Són reconegudes les signatures generades en l'ordinador amb un certificat programari instal·lat en el navegador?
Quan se signen dades, el signant indica l'acceptació d'unes condicions generals i unes condicions particulars aplicables a aquella signatura electrònica mitjançant la inclusió d'un camp signat, dins de la signatura, que específica una política explícita o implícita.
Si el camp corresponent a la normativa de signatura electrònica està absent i no s'identifica cap normativa com a aplicable, llavors es pot assumir que la signatura ha sigut generada o verificada sense cap restricció normativa, i en conseqüència, que no se li ha assignat cap significat concret legal o contractual. Es tractaria d'una signatura que no especifica de manera expressa cap semàntica o significació concreta i, per tant, farà falta derivar el significat de la signatura a partir del context (i especialment, de la semàntica del document signat).
La finalitat d'una política de signatura és reforçar la confiança en les transaccions electròniques a través d'una sèrie de condicions per a un context donat, el qual pot ser una transacció determinada, un règim legal o un rol que assumisca la part signant.
Per exemple, la Política de Signatura de l'Administració General de l'Estat (AGE) especifica les condicions generals aplicables a la signatura electrònica per a la seua validació, en la relació electrònica de l'Administració General de l'Estat amb els ciutadans i entre els òrgans i entitats de l'AGE.
Segons l'article 24 del Reial decret 1671/2009 pel qual es desenvolupa parcialment la Llei 11/2007 d'Accés Electrònic dels Ciudadanos als Serveis Públics, la política de signatura electrònica i certificats en l'àmbit de l'Administració General de l'Estat i dels seus organismes públics, està constitu&icaute;dóna per les directrius i normes tècniques aplicables a la utilització de certificats i signatura electrònica dins del seu àmbit d'aplicació.
La política de signatura té una missió important ja que defineix les regles i obligacions de tots els actors involucrats en el procés de signatura en determinats contextos (contractual, jurídic, legal,…).
El Reial decret 4/2010 pel qual es regula l'Esquema Nacional d'Interoperabilitat establix que la política de signatura electrònica i de certificats de l'Administració General de l'Estat, servirà de marc general d'interoperabilitat per a l'autenticació i el reconeixement mutu de signatures electròniques dins del seu àmbit d'actuació. També establix que aquesta política podrà ser utilitzada com a referència per altres Administracions Públiques per a definir les polítiques de certificats i signatures a reconéixer dins dels seus àmbits competencials..
El Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració electrònica, té per objecte l'establiment dels principis i requisits d'una política de seguretat protecció de la informació.
Doncs bé, el decret, en el seu article 33 també relega a la Política de Signatura tota la funció de concretar els processos de generació, validació i conservació de signatures electròniques, així com les característiques i requisits exigibles als sistemes de signatura electrònica, els certificats, els serveis de segellament de temps, i altres elements de suport de les signatures.
D'altra banda, el RD/RD en el seu annex II punt 5.7.4 és molt específic sobre els tipus de signatura que han d'aplicar-se en funció del nivell de la informació que ha de protegir-se.
Es pot emprar qualsevol mitjà de signatura electrònica dels previstos en la legislació vigent.
Els mitjans utilitzats en la signatura electrònica seran proporcionats a la qualificació de la informació tractada. En tot cas:
S'empraran algorismes acreditats pel Centre Criptològic Nacional.
Es garantirà la verificació i validació de la signatura electrònica durant el temps requerit per l'activitat administrativa que aquella suport, sense perjudici que es puga ampliar este període d'acord amb el que establisca la política de signatura electrònica i de certificats que siga aplicable. Per a tal fi:
S'aplicaran les mesures de seguretat referents a signatura electrònica exigibles en el nivell Mitjà, a més de les següents:
La norma CCN-STIC-807 del Centre Criptològic Nacional establix en el punt 5.7 quins són els mecanismes i algorismes que es poden utilitzar per a signar en funció del nivell de la informació.