El sistema Cl@ve és la plataforma comuna del Sector Públic Administratiu Estatal per a la identificació, autenticació i firma electrònica. Naix amb l'objectiu de facilitar l'accés i la firma electrònica dels ciutadans en els servicis públics electrònics de les Administracions Públiques.
Esta plataforma es va aprovar per Acord de Consell de Ministres de 19 de setembre de 2014 i, va començar a funcionar, proporcionant el servici d'identificació electrònica, el 17 de novembre de 2014.
El sistema Cl@ve també inclou la firma centralitzada, amb certificats en el núvol, que pretén superar de manera definitiva els problemes d'ús dels certificats electrònics en els ordinadors dels usuaris. Els certificats dels ciutadans es troben custodiats amb fortes mesures de seguretat en servidors centralitzats de l'Administració, en concret de la Direcció general de la Policia (DGP) i recolzats en la Gerència Informàtica de la Seguretat Social (GISS). Per a accedir a ells el titular necessita autenticar-se amb l'usuari i contrasenya de la seua Cl@ve Permanent i introduir un codi d'un sol ús enviat per telèfon (autenticació de doble factor). La firma es realitza en el servidor i no en l'equip de l'usuari, per la qual cosa el ciutadà no ha de preocupar-se de la gestió dels certificats i pot, a més, firmar des de qualsevol dispositiu.
La firma es realitza sempre en el sistema HSM i “utilitzant dades de creació de la firma electrònica que el firmant pot utilitzar, amb un alt nivell de confiança, baix el seu control exclusiu”, per la qual cosa esta podrà considerar-se com a firma electrònica reconeguda, equivalent per tant a la firma manuscrita.
D'esta manera, amb Cl@ve - Firma s'aconseguix reunir en una mateixa solució tècnica la facilitat d'ús que suposa per al ciutadà l'utilitzar un usuari, contrasenya i codi enviat al seu telèfon amb l'elevat nivell de seguretat que proporcionen els certificats electrònics. A més, l'ús de certificats electrònics garantix que els documents firmats són directament interoperables, facilitant així el seu tractament posterior en els sistemes d'administració electrònica.
L'usuari s'identifica davant el sistema i sol·licita la firma d'algun formulari/documente (1). Es consulta a la plataforma de firma de la GISS/DGP per a saber si el ciutadà identificat amb eixe NIF posseeix certificats en el núvol.
Es prepara la prefirma (primera part de la firma trifàsica, anterior al xifrat de les dades amb la clau privada), amb els documents i l'hash que ha de ser xifrat (2) i (3).
Se sol·licita a la plataforma de firma de la GISS/DGP l'ús de la clau privada, retornant a l'usuari una URL en la qual ha d'introduir la seua contrasenya i la clau OTP per a l'ús del certificat (4).
L'usuari introduïx les dades requerides per a autoritzar el procés de firma (5).
La plataforma de firma de la GISS/DGP realitza el xifrat de l'empremta digital amb la clau privada del ciutadà (segona part de la firma trifàsica) (6).
Es redirigix al ciutadà a la pàgina en la qual es finalitzarà el procés de firma (7).
La API a través del componente central solicita el PKCS#1 generado a la plataforma de firma de la GISS/DGP.
El Component Central recupera el PKCS#1 i realitza la postfirma (tercera part de la firma trifàsica), component la firma electrònica completa (AdES).
La página de AE opera con la firma como se haya indicado.
