Five Horizons

Como una sorpresa para mi persona, los dinosaurios del Congreso de la Republica de Guatemala podrian aprobar en unas semanas una ley para autorizar el uso de las firmas electronicas.

El fin de la ley es hacer mas facil, agil y seguro el comercio electronico y transacciones monetarias por medio de internet.

Dicha iniciativa recibio ayer el dictamen favorable de la comision de Economia. La firma electronica es una manera de representacion y confirmacion de identidad de una persona en el medio electronico, por medio de datos encriptados con el fin de hacer casi imposible plagiar o falsificar. El Ministerio de Economia sera el encargado de acreditar a las empresas que proveerian esa firma y certificarlas

Que es una firma digital?

La firma digital es, en la transmisión de mensajes telemáticos y en la gestión de documentos electrónicos, un método criptográfico que asegura la identidad del remitente. En función del tipo de firma, puede, además, asegurar la integridad del documento o mensaje.

La Ley de Firma Electrónica, que puede ser diferente en cada paí­s, define tres tipos de firma:

Simple. Incluye un método de identificar al firmante.

Avanzada. Además de identificar al firmante permite garantizar la integridad del documento. Se emplean técnicas de PKI.

Reconocida. Es la firma avanzada ejecutada con un DSCF (dispositivo seguro de creación de firma) y amparada por un certificado reconocido (certificado que se otorga tras la verificación presencial de la identidad del firmante)

La teorí­a

La firma digital de un documento es el resultado de aplicar cierto algoritmo matemático, denominado función hash, a su contenido, y seguidamente aplicar el algoritmo de firma (en el que se emplea una clave privada) al resultado de la operación anterior, generando la firma electrónica o digital.

La función hash es un algoritmo matemático que permite calcular un valor resumen de los datos a ser firmados digitalmente, funciona en una sola dirección, es decir, no es posible a partir del valor resumen calcular los datos originales. Cuando la entrada es un documento, el resultado de la función es un número que identifica casi uní­vocamente al texto. Si se adjunta este número al texto, el destinatario puede aplicar de nuevo la función y comprobar su resultado con el que ha recibido. No obstante esto presenta algunas dificultades para el usuario, para ello se usan software que automatizan tanto la función de calcular el valor hash como su verificación posterior.

Las posibilidades de red

Para que sea de utilidad, la función hash debe satisfacer dos importantes requisitos. Primero, debe ser difí­cil encontrar dos documentos cuyo valor para la función “hash” sea idéntico. Segundo, dado uno de estos valores, deberí­a ser difí­cil recuperar el documento que lo produjo.

Algunos sistemas de cifrado de clave pública se pueden usar para firmar documentos. El firmante cifra el documento con su clave privada y cualquiera que quiera comprobar la firma y ver el documento, no tiene más que usar la clave pública del firmante para descifrarla.

Existen funciones hash especí­ficamente designadas para satisfacer estas dos importantes propiedades. SHA y MD5 son dos ejemplos de este tipo de algoritmos. Para usarlos un documento se firma con una función “hash”, cuyo resultado es la firma. Otra persona puede comprobar la firma aplicando la misma función a su copia del documento y comparando el resultado con el del documento original. Si concuerdan, es casi seguro que los documentos son idénticos.

Claro que el problema está en usar una función “hash” para firmas digitales que no permita que un “atacante” interfiera en la comprobación de la firma. Si el documento y la firma se enviaran descifrados, este individuo podrí­a modificar el documento y generar una firma correspondiente sin que lo supiera el destinatario. Si sólo se cifrara el documento, un atacante podrí­a manipular la firma y hacer que la comprobación de ésta fallara. Una tercera opción es usar un sistema de cifrado hí­brido para cifrar tanto la firma como el documento. El firmante usa su clave privada, y cualquiera puede usar su clave pública para comprobar la firma y el documento. Esto suena bien, pero en realidad no tiene sentido. Si este algoritmo hiciera el documento seguro también lo asegurarí­a de manipulaciones, y no habrí­a necesidad de firmarlo. El problema más serio es que esto no protege de manipulaciones ni a la firma, ni al documento. Con este método, sólo la clave de sesión del sistema de cifrado simétrico es cifrada usando la clave privada del firmante. Cualquiera puede usar la clave pública y recuperar la clave de sesión. Por lo tanto, resulta obvio usarla para cifrar documentos substitutos y firmas para enviarlas a terceros en nombre del remitente.

La solución

Un algoritmo efectivo debe hacer uso de un sistema de clave pública para cifrar sólo la firma. En particular, el valor “hash” se cifra mediante el uso de la clave privada del firmante, de modo que cualquiera pueda comprobar la firma usando la clave pública correspondiente. El documento firmado se puede enviar usando cualquier otro algoritmo de cifrado, o incluso ninguno si es un documento público. Si el documento se modifica, la comprobación de la firma fallará, pero esto es precisamente lo que la verificación se supone que debe descubrir.

El Digital Signature Algorithm es un algoritmo de firmado de clave pública que funciona como hemos descrito. DSA es el algoritmo principal de firmado que se usa en GnuPG

Formato de la firma electrónica

Las normas TS 101 733 y TS 101 903 definen los formatos técnicos de la firma electrónica. La primera se basa en el formato clásico PKCS#7 y la segunda en XMLDsig firma XML especificada por el consorcio W3C.

Bajo estas normas se definen tres modalidades de firma:

Firma básica. Incluye el resultado de operación de hash y clave privada, identificando los algoritmos utilizados y el certificado asociado a la clave privada del firmante. A su vez puede ser “attached” o “detached”, “enveloped” y “enveloping”

Firma fechada. A la firma básica se añade un sello de tiempo calculado a partir del hash del documento firmado por una TSA (Time Stamping Authority)

Firma validada o firma completa. A la firma fechada se añade información sobre la validez del certificado procedente de una consulta de CRL o de OCSP realizada a la Autoridad de Certificación.

La firma completa libera al receptor de la firma del problema de ubicar al Prestador de Servicios de Certificación y determinar los procedimientos de validación disponibles.

Aplicaciones

Mensajes con autencididad asegurada
Contratos comerciales electrónicos
Factura_Electrónica
Desmaterialización de documentos
Transacciones comerciales electrónicas
Invitación electrónica
Dinero electrónico
Notificaciones judiciales electrónicas
Voto electrónico
Decretos ejecutivos (gobierno)
Créditos de seguridad social
Contratación pública
Sellado de tiempo

Popularity: 2% [?]