certifica do firm a digital

8/15/2019 Certifica Do Firm a Digital

1/21

Firma Digital Trabajo Final

Firma DigitalBraicovich Gustavo Ariel

Universidad Nacional de ComahueDepartamento de Informática y Estadística

Materia: Seguridad Informática IProfesor: Jorge Eduardo Sznek

Primer cuatrimestre de 1999

ResumenEste documento es un trabajo de investigación bibliográfica sobre firma digital , una disciplina

resultante de la aplicación de la criptografia para resolver los problemas de autenticación e integridad delos documentos electrónicos. El objetivo es presentar los principios y problemas del uso de la firmadigital en reemplazo de la firma manuscrita.

Palabras claveFirma digital, autenticidad, no repudiación, integridad.

Contenido1 Introducción.2 Firma digital

2.1 Definiciones3 Aplicaciones4 Beneficios y costos5 Características deseables de la firma digital6 Como trabaja la firma digital

6.1 Creación de la firma digital6.2 Verificación de la firma digital6.3 Algoritmos Hash

7 Certificados digitales7.1 Suspención y revocación de certificados

8 Recibos electrónicos9 Autoridad registradora10 Agentes certificadores

10.1 Autoridad registradora central11 Un método alternativo de firma digital12 El campo legal

12.1 Efectos legales de la firma digital13 Firma digital en la República Argentina

13.1 Normas sobre documentos electrónicos y firma digital en la república Argentina13.2 Iniciativas13.3 Anteproyecto de ley en la República Argentina

14 ABA Guidelines15 Algoritmos de firma digital

15.1 DSA15.1.1 Seguridad del DSA

15.2 PGP15.3 RSA

16 Conclusiones

17 Referencias18 Links

Braicovich Gustavo Ariel 2


2/21


3/21


digital por medio de una función de digesto seguro1 de mensaje, este último encriptado con la clave

privada del suscriptor, de forma tal que la persona que posea el documento digital inicial, el digesto

encriptado y la clave pública del suscriptor pueda determinar con certeza que la transformación fuerealizada utilizando la clave privada correspondiente a dicha clave pública y que el documento

digital no ha sido modificado desde que se efectuó la transformación. En el procedimiento de firma digital intervienen:

a) una clave privada para firmar digitalmente.b) la correspondiente clave pública para verificar dicha firma digital.

c) el certificado de clave pública que identifica al titular de dicha clave.Las firmas digitales sólo pueden ser creadas durante la vigencia del respectivo certificado de clave

pública.

3 Aplicaciones de la firma digitalPuesto que la firma digital autentica ambos la identidad del firmante y la integridad de la información

firmada, esta puede ser usada en una variedad de aplicaciones[4]:

• En sistema de correo electrónico: Después de que una parte genera un mensaje, lo debería firmar

usando su clave privada. El mensaje seria enviado a la segunda parte, la cual verifica la firma delmensaje recibido y puede confirmar que el mensaje fue firmado por la primer parte. Además lasegunda parte puede estar segura de que el mensaje no fue alterado después de que fue firmado.

• En sistemas legales: Con frecuencia es necesario fijar una marca o estampilla de tiempo a undocumento para indicar la fecha y hora en la cual el documento fue ejecutado o entro en efecto. Sedebería fijar al documento una marca electrónica de tiempo y luego debería ser firmado. Laaplicación de la firma al documento protege y confirma la integridad del documento y su marca detiempo.

• En los sistemas electrónicos de transferencia de fondos: Supongamos que se generado un mensajeelectrónicos de transferencia de fondos requiriendo que $100 sean transferido de una cuenta a otra. Siel mensaje fue pasado por una red sin proteger, puede ser posible que alguien altere el mensaje y

requiera una transferencia de $1000. Sin información adicional, debería ser dificultoso, sinoimposible, para el receptor conocer que el mensaje ha sido alterado . Sin embargo, si el mensaje fuefirmado antes de enviarse, el receptor debería conocer que el mensaje fue alterado porque no deberíaverificar correctamente. La transferencia requerida debería entonces ser denegada.

• En una variedad de aplicaciones comerciales que requieren un reemplazo de la firma manuscrita: Unejemplo es el Intercambio de Datos Electrónicos (EDI). El EDI es el intercambio de computadora acomputadora de mensajes representando documentos comerciales. En los gobiernos federales, estatecnología es usada para adquirir bienes y servicios. La firma digital puede ser usada para reemplazara la firma manuscrita en las transacciones EDI. Por ejemplo, los contratos entre el gobierno y sus

proveedores podrían ser negociado electrónicamente. Un funcionario de la procuraduría del gobiernodebería emitir un mensaje firmado electrónicamente requiriendo ofertas para suministrar a la oficina.Los vendedores que deseen responder al requerimiento, pueden primero verificar el mensaje antes de

responder. Esta acción asegura que el contenido del mensaje no ha sido alterado y que elrequerimiento fue firmado por un funcionario legitimo de la procuraduría.

Después de verificar el requerimiento de oferta, el vendedor debería generar y firmar una ofertaelectrónica. Al recibir la oferta, el funcionario de procuraduría debería verificar que la oferta delvendedor no fue alterada después de que fue firmada, si la oferta es aceptada, el mensaje electrónicodebería ser pasado a una oficina de contratos para negociar los términos finales del contrato. Elcontrato final debería ser firmado digitalmente por ambos, la oficina de contratación y el vendedor.Si tiempo después se origina una disputa, el contenido del contrato y la firma asociada deberían serverificada por una tercera parte.

• La firma digital podría también ser usada en la distribución de software. Una firma digital debería seraplicada al software después de que a sido validada y aprobado para su distribución. Antes de instalar

1 Una función de digesto seguro es lo que conmunmente se llama, y aquí llamaremos, una funcion hashsegura.



4/21


el software en una computadora, la firma debería ser verificada para estar seguros de que ningúncambio desautorizado fue echo (tal como la adición de un virus). La firma digital debería serverificada periódicamente para asegurar la integridad del software.

• En aplicaciones de base de datos, la integridad de la información almacenada en la base de datos escon frecuencia esencial. La firma digital podría ser empleada en una variedad de aplicaciones de base

de datos para proveer integridad. Por ejemplo, la información debería ser firmada cuando fueingresada a la base de datos. Para mantener la integridad, el sistema debería también requerir quetodas las actualizaciones o modificaciones de la información sea firmada. Antes de que lainformación firmada sea vista por un usuario, la firma debería ser verificada. Si la firma fuecorrectamente verificada, el usuario podría saber si la información no ha sido alterada por una parteno autorizada. El sistema debería también incluir firmas en la información de auditoria para proveerun registro de los usuarios que han modificado la información

Estos ejemplos muestran como la firma digital pude ser usada en una variedad de aplicaciones paramejorar la integridad de los datos y las aplicaciones.

4 Beneficios y costos El uso de la firma digital en el comercio en general presenta tanto beneficios como costos. Los costosconsisten principalmente de [5]:

• Sobrecarga institucional: El costo de establecer y utilizar las autoridades de certificación,repositorios, y otros servicios importantes, así como también asegurar la calidad en el rendimiento desus funciones.

• Costos del producto: Un persona que desea utilizar la firmante digital requerirá software, y probablemente tendrá que pagar a una Autoridad de Certificación algún precio por la emisión de uncertificado. Así como también incurrirá en gastos para software de verificación y posiblemente paraacceso a certificados y a la lista de revocación de certificados en un repositorio.

En el lado positivo, la principal ventaja ganada es una autenticación de mensajes mas confiable. La

firma digital, si es apropiadamente implementada y utilizada ofrece soluciones prometedoras a los problemas de:

• Impostores: Para minimizar el riesgo de comerciar con impostores o personas quienes intentanescapar a las responsabilidades diciendo que no han emitido un documento argumentando que hansido plagiados.

• Integridad del mensaje: Para minimizar el riesgo de saboteo y falsificación de mensajes sin que seadetectado, y para alejar falsos reclamos de que un mensaje fue alterado después de que se enviado.

• Requerimientos legales formales: Para fortalecer la perspectiva de que los requerimientos legales deforma, tal como escritura, firma, y un documento original, son satisfecho, dado que la firmas digitalson funcionalmente son equivalentes con las formas de papel.

• Sistemas abiertos: Para la retención de un alto grado de seguridad en la información, incluso cuando

se envía la información por canales de comunicación ampliamente usados.Teniendo en cuenta las alternativas tal como, firmas en papel, imágenes computarizadas de firmas

escritas a mano, o firmas tipeadas tal como "s/John Smith", los beneficios de la firmas digitales valen masque su costos.

5 Características deseables de la firma digitalLas firmas digitales deben tener las mismas características que las firmas manuales:

• Ser fácil y barata de producir.

• Ser fácil de reconocer, tanto por parte del firmante como de otros.

• Ser imposible de rechazar por parte del firmante.

•

Ser infalsificable, al menos en la teoría.

Aunque se intenta que ambas tengan el mismo funcionamiento, hay dos características distintivas:



5/21


• la firma digital supera a la firma manuscrita en cuanto que permite la integridad de los datos de unaforma más efectiva. Con la firma digital se puede verificar que el documento no ha sido alteradodesde que fue firmado, hecho que no lo permite la firma manuscrita.

• Otra diferencia de la firma digital sobre la manuscrita, es que si dos documentos son diferentesentonces la firma digital es diferente. En otras palabras la firma digital cambia de documento a

documento, si un sujeto firma dos documentos diferentes producirá dos documentos firmadosdiferentes. Si dos sujetos firman un mismo documento, también se producen dos diferentesdocumentos firmados.

6 Como trabaja la firma digitalA mediado de la década de los setenta dos matemáticos de la Universidad de Standford y otros del

Instituto Tecnológico de Massachusetts, descubrieron que al aplicar algunas fórmulas y conceptosmatemáticos, era posible solucionar la problemática de la confidencialidad y autenticidad de lainformación digital. A este conjunto de técnicas se les denomina como la Criptografia de Clave Publica.El modelo de clave publica mas conocido y utilizado mundialmente es el denominado RSA por las siglasde los apellidos de los descubridores Rivert, Dhamir y Adelman.[6]

El esquema propuesto en RSA consiste en lo siguiente.Mediante un programa, cualquier persona puede obtener un par de claves matemáticamente

relacionados. Una clave es un número de gran tamaño, que se puede ver como un mensaje digital, unarchivo binario, o como una cadena de bits o bytes.

AlgoritmoRSA degeneraciónde claves

Figura 1: Generación de claves RSA

Clave pública

Clave privada

Las claves pública y privada están relacionadas de tal forma que si dos claves públicas son diferentes,entonces, las correspondientes claves privadas también son diferentes y viceversa.

La idea es la de que cada individuo genere un par de claves : pública y privada. El individuo debe demantener en secreto su clave privada, mientras que la clave publica la puede dar a conocer a los demásindividuos.

La firma digital utiliza la clave privada para crear una firma digital, y la clave publica para verificar lafirma digital. A este sistema que utiliza la dos claves se lo llama con frecuencia " crptosistemaasimétrico". De esta forma el receptor debe tener la correspondiente clave publica para verificar que una

firma digital corresponde a la del supuesto firmante. Si muchas personas necesitan verificar las firmasdigitales de un firmante, se necesita distribuir la clave publica a todas ellas, ya sea publicándolas en unrepositorio on-line o en un directorio donde todos puedan obtenerla fácilmente.

A pesar de que el par de claves están matemáticamente relacionadas, no es factible computacional-mente derivar una clave privada de una publica, si el criptosistema asimétrico fue diseñado eimplementado para firmas digitales. Es decir, aunque muchas personas conocen la clave publica de unfirmante y la usan para verificar las firmas de este, no pueden descubrir la clave privada del firmante yusarla para falsificar la firma digital.

El uso de la firma digital esta compuesto de dos procesos, uno realizado por el firmante y el otro por elreceptor del documento firmado[5]:

• Creación de la firma digital: es el proceso mediante el cual se obtiene la firma a partir deldocumento que se desea firmar y una clave privada.



6/21


• Verificación de la firma digital: Es el proceso de chequear la firma digital utilizando el mensajeoriginal y una clave publica. Esto permite determinar si la firma digital fue creada por esedocumento usando la clave privada que corresponde a la clave publica referenciada.

6.1 Creación de la firma digital

El proceso de firmado consiste en alimentar un programa de cómputo con el documento a firmar y suclave privada (que solo el conoce). El programa encripta con la clave privada el documento produciendocomo resultado un mensaje encriptado denominado firma digital. Juntos, el documento y la firmaconstituyen el documento firmado.

Figura 2: Firmado de documentos electronicos

Documento firmado

Firma digital

Documento

Firma digitalAlgoritmo

RSA defirmadodigitalDocumento

Clave rivada

Generalmente, la firma digital es ligada a su mensaje y almacenada o trasmitido con este. Sinembargo, puede también ser enviado o almacenado como un elemento de datos separados, siempre queeste mantenga una asociación confiable con su mensaje. Puesto que una firma digital es única para sumensaje, es inútil si esta totalmente desconectada de su mensaje.[5]

6.2 Verificación de la firma digital

El proceso de verificación (algunos lo llaman proceso de autenticación) consiste en alimentar un programa mediante el documento firmado y la clave pública del supuesto firmante, el programadesencripta con la clave publica la firma y lo compara con el documento indicando si es autentico o no.

Figura 3: Verificación de documentos firmados

SI o NOes

autentico

Firma digital

Documento firmado

Documento

AlgoritmoRSA deverifica-

ción

Clave ública



7/21


Ahora bien, si la parte del documento o la parte de la firma es modificada, aunque sea ligeramente,entonces, el procedimiento de verificación lo detectara e indicará que el documento no es autentico. Siuna clave pública verifica un documento firmado, entonces quiere decir que el documento fue firmadocon la correspondiente clave privada.

En realidad, a diferencia de la firma autógrafa la cual es una biometria y efectivamente prueba el acto

personal de firmado, la firma digital solo prueba que se utilizó la clave privada del sujeto y no prueba quenecesariamente fue firmado por el propietario de la firma. En consecuencia, no es posible hacerirrefutable que un individuo firmó un documento, en realidad tenemos que hacer irrefutable que es elindividuo el responsable de que el documento hubiese sido firmado con su clave privada. En otras

palabras, si un documento firmado verifica con la clave pública de un sujeto, entonces el sujeto, aunqueno lo haya hecho, debe de reconocer el documento como autentico. Por lo tanto el sujeto debe deresponsabilizarse de mantener su clave privada en total secreto y no revelársela a nadie, pues de hacerlo,se vuelve responsable del mal uso de la misma

6.3 Algoritmo Hash

Como se vio anteriormente (figura 2), el proceso de firmado consiste en alimentar un programa con eldocumento a firmar y su clave privada . El programa produce como resultado un mensaje digitaldenominado firma digital. Juntos, el documento y la firma constituyen el documento firmado.

En la práctica, debido a que los algoritmos de clave pública son muy ineficaces a la hora de cifrardocumentos largos, los protocolos de firma digital se implementan junto con funciones unidireccionalesde resumen llamadas funciones hash, de manera que en vez de firmar un documento completo, se firmaun resumen del mismo[1].

Una función hash es un algoritmo que crea una representación digital en la forma de un valor hash oresultado hash de una longitud estándar, el cual representa un resumen del documento. Este resultado esusualmente mucho mas pequeño que el documento, pero sin embargo sustancialmente único[5].

Cualquier cambio en el mensaje invariablemente producirá un resultado hash diferente aun cuando seuse la misma función hash. En el caso de una función hash segura, a veces llamada una función hash deuna sola dirección, es infalsificable computacionalmente para derivar el mensaje original desde su valorhash. La función hash, por lo tanto, le permite al software que crear la firma digital operar sobrecantidades pequeñas y predecible de datos, mientras aún provee correlación evidentemente robusta sobreel contenido del mensaje original.

Las funciones hash deben tener ciertas propiedades para hacerlas suficientemente seguras para su usocriptográfico[7].

Sea M el mensaje y h(M) el resultado de aplicar la función hash al mensaje M

• Debe poder convertir un mensaje de longitud arbitraría M en uno de longitud fija h(M)

• Debe ser unidireccional, es decir, dado un valor Y debe ser computacionalmente imposible encontrarM tal que h(M)=Y

• Se debe poder asegurar que es computacionalmente imposible encontrar dos mensajes M y M' talesque h(M) = h(M'). A esta propiedad se la denomina imposibilidad de colisión.

La firma digital ahora se realiza de la siguiente manera:Sin que el usuario lo note, el programa de firma digital aplica un algoritmo hash sobre el texto a

firmar, obteniendo un resumen de longitud fija, y absolutamente específico para ese mensaje (un mínimocambio en el mensaje produce un resumen completamente diferente).

Los algoritmos hash más utilizados son MD5 ó SHA-1.

Este resumen, cuya longitud oscila entre 128 y 160 bits (en función del algoritmo utilizado), se sometea continuación a cifrado mediante la clave privada del autor como ya vimos.



8/21


Documento firmado

De esta forma, se siguen ofreciendo los servicios de no repudio, ya que nadie excepto el emisor podríahaber firmado el documento, y de autenticación, ya que si el documento viene firmado por el emisor,

podemos estar seguros de su identidad, dado que sólo él ha podido firmarlo. Por último, mediante la firmadigital se garantiza asimismo la integridad del documento, ya que en caso de ser modificado, resultaríaimposible hacerlo de forma tal que se generase la misma función de resumen que había sido firmada.

Resultado hash

FunciónHash

Figura 4: Firmado de documentos electronicos utilizando función hash

Firma digital

Documento

Firma digital

AlgoritmoRSA defirmadodigital

Documento

Clave rivada

La autenticidad de los documentos firmados cuando se usa la función hash es similar:Se necesita poseer la clave pública del firmante para poder verificar su firma. Así, el software del

receptor descifra el resumen cifrado que constituye la firma digital (de forma transparente al usuario),utilizando para ello la clave pública del remitente. Como resultado obtiene un bloque de caracteres.

A continuación, calcula el resumen hash que corresponde al documento enviado. Si el extractoresultante coincide exactamente con el bloque de caracteres obtenido en la operación anterior, la firma se

considera válida. Si existe la menor diferencia, la firma se considera no válida.

Documento firmado

RSA de

Resultadohash

Funciónhash

Figura 5: Autenticidad de documentos firmados utilizando la función hash

SI o NO

esautentico

Firma digital

Documento

Algoritmo

autenticaciónClave ública

Varios criptosistemas asimétricos crean y verifican firma digitales usando diferentes algoritmos y procedimientos(Tal como el anteriormente descripto RSA), pero comparten el mismo patrón de operacióncompleto.

7 Certificados DigitalesSi dos personas desean intercambiar documentos electrónicos firmados digitalmente, antes, deben de

intercambiarse sus claves públicas para que ambos puedan verificar escritos firmados por ellos. Si estos



9/21


individuos quisieran reconocer formalmente la validez de la firma digital entonces tendrían que sostenerun acuerdo formal, con firma autógrafa, en donde se reconozca la aceptación de las técnicas a utilizar ysobre todo del reconocimiento y aceptación, por parte de cada sujeto, de su clave publica. Esto no es unatarea fácil ya que los sujetos podrían estar a una distancia geográfica muy grande.

Además, un sujeto debería guardar por ejemplo en un archivo, las claves publicas junto con el

nombre y otros datos de todos los supuestos firmantes que le mandan documentos, ya que es necesario para el proceso de verificar un documento firmado. Es decir, el sujeto que verifique documentos firmados por 10 individuos deberá contar con 10 archivos o con una base de datos conteniendo las 10 claves públicas de los posibles firmantes . Este número puede crecer considerablemente. Una solución a este problema de manejo de claves se basa en el concepto conocido como Certificado Digital.

Como se menciono, para verificar una firma digital , el receptor del mensaje debe obtener la clave publica y tiene que asegurarse que la clave publica corresponde a la clave privada del firmante. Sinembargo, un par de claves publica y privada no tiene una asociación consustancial con alguna persona; essimplemente un par de números. La asociación entre una persona particular y un par de claves puede serecha mediante lo que se denomina Certificado Digital.

El Certificado Digital es en si un documento firmado digitalmente por una persona o entidad

denominada Autoridad Certificadora, dicho documento establece una relación entre un sujeto y su clave pública. Es decir, Los Certificados son registros electrónicos emitidos por la Autoridad Certificante queatestiguan que una clave pública pertenece a determinado individuo o entidad. Permiten verificar que unaclave públicadada pertenece fehacientemente a una determinada persona. En su forma más simple,contienen una clave pública y un nombre, la fecha de vencimiento de la clave, el nombre de la autoridadcertificante y su firma digital y el número de serie del certificado. [6]

Una Autoridad certificadora puede ser definida como una tercera parte fiable que acredita, actuandocomo una especie de notario que extiende un certificado de claves (firmado con su propia clave), laligazón entre una determinada clave y su propietario real [1].

Verisign[b] y Thawte[c] son las autoridades de certificación más reconocidas a nivel mundial. EnEspaña destacan IPS[d], ACE[e]y FESTE[f].

Cualquier persona que conozca la clave pública de la Autoridad certificadora puede verificar unCertificado Digital de la misma forma que se autentifica cualquier otro documento firmado, como seilustra en la siguiente figura.

d

verificación

SI o NOes

autentico

AlgoritmoRSA de

Firma digital

e la AC

ID

Clave pública

de la AC

Certificado Digital

Figura 6: Autenticidad del Certificado Digital

Si el Certificado es autentico y la autoridad certificadora es confiable, entonces, podemos confiar enque el sujeto identificado en el Certificado Digital posee la clave pública que se señala en dichocertificado, cualquiera que conozca la clave pública de la AC podrá verificar el documento, como seilustra en la siguiente figura.



10/21


Figura 7: Autenticidad de documentos firmados

SI o NOes

autentico

Autenticación

Firma digital

Documento

Documento firmado

Clave

Firma digital

ID

Si es autentico se extrae delCertificado Digital la clave

pública del sujeto

Firma digital

ID

Autenticación

Certificado Digital

Clave AC

Para que los certificados estén al alcance de todas las personas que desean autenticar documentos,debe ser publicado en un repositorio o echo disponible de alguna otra manera. Los repositorios son basesde datos a las que el público puede acceder directamente en línea (on-line). La recuperación puede ser

realizado automáticamente considerando que el programa de verificación directamente busca en elrepositorio los certificados necesarios [5].

Existen aplicaciones destinadas a crear, firmar y administrar certificados de claves, y que permiten auna empresa u organización constituirse en autoridad de certificación para suplir sus propias necesidades.A estas aplicaciones se las denomina servidores de certificados.

Uno de los productos más utilizados es Netcape Certificate Server [g].

El estándar, internacional aceptado, para Certificados Digitales, es el denominado X.509 de la CCITT.Los campos básicos del certificado X.509 se ilustran en la siguiente figura.

Figura 8: Certificado Digital X.509

Version: 1

Número de Serie: 251... Nombre de Emisor: ACInvalido antes de: Fecha UTCInvalido despues de: Fecha UTC

Nombre de Sujeto: Juan PérezClave pública: 82736...Firma di ital

ID

Certificado Digital

El número de serie es un número asignado por la Autoridad Certificadora y tiene el objetivo deidentificar unívocamente a cada certificado emitido por dicha AC. Por otra parte, debido a que lasoperaciones electrónicas se pueden realizar entre puntos geográficos muy diferentes, con diversidad dehorarios, las fechas a las que hacemos referencias en este documento , estarán expresada en la notaciónconocida como Tiempo Universal Coordinado(UTC) o Tiempo del Meridiano de Greenwich. Una fecha



11/21


12/21


Un CRL puede ser autenticado como cualquier otro documento firmado digitalmente, en este caso conla clave pública de la Autoridad Certificadora. Una vez autenticado, podemos confiar en su contenido ydeterminar con certeza si un certificado esta revocado o no, esto es hasta la fecha definida por "UltimaActualización". El CRL es muy útil en algunos casos, por ejemplo:

1. El sujeto A recibió un documento firmado por el sujeto B el día 13 de Marzo de 1997.

2. Autentica el documento de acuerdo al procedimiento ilustrado en la figura 7 y resulta autentico.3. La AC pública el CRL diariamente de manera que el sujeto A obtiene, al siguiente día, una copia del

CRL cuya fecha UTC es la 0 horas del día de 14 de Marzo de 1997, la autentica con la clave públicade la AC.

4. El sujeto A extrae, del certificado del sujeto B, el número de serie de dicho sujeto.5. Consulta el CRL para determinar si el número de serie de B se encuentra listado en él.

En caso de encontrar que, el número de serie de B, si esta en el CRL, entonces , el sujeto A no puedeconfiar en el documento firmado, en caso contrario, el sujeto A si puede confiar en él.

Ahora bien, supongamos que el sujeto B, revoca su certificado el día 15 de marzo de 1997 y refuta lavalides del documento el día 17 de Marzo de 1997. Nótese que el número de serie del certificado deldocumento B aparece en el CRL del día 16. Cuales serian entonces los elementos de prueba que el sujeto

A tendría que demostrar para mostrar que recivio un documento legitimo:1. Que el documento recibido, es autentico, de acuerdo al procedimiento de la figura 7.2. Que al 14 de Marzo de 1997, el certificado del sujeto B no había sido revocado, mediante el CRL de

ese día.3. Que recibió el documento antes del 14 de marzo de 1997.

Los puntos 1 y 2 son fácilmente demostrables por el sujeto A, pero el punto 3 no, aun cuando la fechadel firmado del documento este explícitamente descrito en el cuerpo del documento. Nótese que, el queun documento firmado este fechado, esto no significa que el documento fue firmado en esa fecha sinosolo la voluntad del firmante para reconocerla como la fecha en la que se firmo el documento. En losdocumentos electrónicos firmados digitalmente el problema es mas complejo puesto que el sujeto B

puede argumentar que el documento fue echo en forma apócrifa (no autentica) después del día 15 ysimplemente se especifico Marzo 13 como la fecha de firmado, La solución a este problema se la conocecomo "Recibo Electrónico" o simplemente recibo.

8. Recibo ElectrónicoEl recibo es un documento firmado digitalmente que contiene un mensaje y a continuación contiene

una fecha. Al firmante del recibo le llamaremos "Emisor del Recibo". Supongamos que el emisor delrecibo es una persona o entidad en la que todos confiamos y de la que conocemos su clave pública. A esta

persona o entidad la denominaremos "Autoridad de Oficialía de Partes" y su función es la de recibirmensajes electrónicos, concatenarles la fecha actual, y el resultado se firma con su clave privada. Elresultado es una prueba de que un mensaje electrónico existió a una determinada fecha como se ilustra enla siguiente figura.

erecibo firm ital

Figura 10: Emisión de recibosFirma di ital

Fecha UTP

Contenido arecibir

Firma di italAlgoritmo

RSA de

ado dig

Fecha UTP

Contenido arecibir

Clave pública del

misor de

Recibo



13/21


Ahora bien, que pasa si el sujeto A es quien refuta haber recibido dicho documento. Entonces el sujetoB tiene que probar:

1. Que el sujeto A recibió el día 13 de Marzo el documento firmado.2. Que dicho documento firmado es autentico de acuerdo al procedimiento descrito en la figura 7.3. Que al menos al día 14 de Marzo, su número de serie no aparecía en el CRL.

Para probar el punto 1, parece irremediable que el sujeto B requiere de un recibo del sujeto Aatestiguando el documento recibido con la fecha del 13 de Marzo. El punto 2, se prueba mediante eldocumento firmado, y el punto 3 mediante el CRL del día 14 o posterior. Hay un aspecto adicional y serefiere a que el recibo del sujeto A es en si un documento firmado que exige el mismo tratamiento deldocumento firmado por B y recibido por A. El circulo se rompe sin embargo, pues el sujeto B puedeverificar el recibo de A y solicitar a la Autoridad de Oficialía de Partes un recibo atestiguando el recibo deA. Un flujo mas sencillo y seguro es el que se ilustra en la siguiente figura

Figura 11: Flujo sencillo

Firma de ADP

UTC

Firma de A

6

Firma de B

Documento

Firma de ADP

UTC

Firma de A

5

Firma de B

Documento

Firma de ADP

UTC

Firma de A

4

Firma de B

Documento

Firma de A

3Firma de B

Documento

Oficialia dePartes

Firma de A

2

Firma de B

Documento

Sujeto A

1

Firma de B

Documento

Sujeto B

En la figura 11 observamos los siguientes procedimientos :

1. El sujeto B firma un documento y se lo envía al sujeto A.2. El sujeto A firma el documento firmado en 1 y se lo envía a la Autoridad de Oficialía de Partes.3. La AOP recibe el contenido a atestiguar.4. La AOP agrega la fecha UTC firma el recibo y se lo envía al sujeto A.5. El sujeto A recibe de la AOP el recibo, guarda una copia y se lo trasmite al sujeto B.6. El sujeto B guarda una copia del recibo de la AOP.

El recibo de la AOP y un CRL de fecha posterior a la fecha de emisión, se convierten en pruebasnecesarias y suficientes para ambos sujetos, como se muestra en [6].

El uso de un CRL en procesos de autenticación, es adecuado solo cuando el CRL tiene una fecha UTCigual o posterior a la fecha UTC que se pretende usar como referencia en la validez del documento. Enaquellas ocasiones que se requiere verificar operaciones en el instante mismo en que son realizadas el uso



14/21


del CRL es inadecuado. También puede resultar inadecuado que el CRL sea de un tamaño tal, que latransmisión o manejo resultasen en procesos lentos.

Esto es particularmente importante para aplicaciones del sector financiero, en donde se debe de actuarde inmediato ante el intercambio electrónico de transacciones financieras. La solución a este problema laofrece la denominada "Autoridad Registradora".

9 Autoridad RegistradoraLa "Autoridad Registradora" es un ente o persona en la que todos confiamos y que ofrece servicios

electrónicos de consulta a un CRL actualizadas al instante. La AR recibe solicitudes de consulta sobre elestado de revocación de un Certificado Digital y responde indicando si esta o no revocado, en caso deestar revocado, proporciona la fecha UTC de revocación del certificado. El procedimiento se ilustra en lasiguiente figura.

Consulta certificado por número de serie

Figura 12: Autoridad Registradora

Fecha UTC al instante

CRL actualizado al instante

Consulta CRL y produce un documentofirmado que indica el estado del certifi-cado.

Clave privada de la ARClave

El estado puede ser "norevocado" o puede ser"revocado"y contener la

Fecha

Firma

Firma

Fecha UTC

Estado

CRL

Un documento firmado por la AR que da "fe" de que un certificado no esta revocado en ese instante,es un mecanismo que asegura a quien hace la consulta que puede confiar en ese certificado ante cualquierautenticación de referencia a una fecha UTC igual o anterior a la fecha UTC que indica la AR.

Es conveniente mencionar que el documento de la AR no necesariamente se tiene que guardar como prueba, pues en caso de disputa se pude recurrir a un CRL posterior a la fecha UTC de referencia. Esincongruente que habiendo la AR respondido que un certificado era "NO REVOCADO" en una fecha X,ese certificado apareciese en una CRL posterior como revocado con fecha de revocación igual o anterior aX.

10 Agentes CertificadoresComo se puede apreciar en las secciones anteriores, una de las principales funciones de la Autoridad

Certificadora es la de precisamente "dar fe digital"' de la liga entre el sujeto y la clave publica. Es lógico pensar que el procedimiento consiste en que el sujeto pruebe su identidad y, en caso de representar a una persona moral, los poderes legales para hacerlo. Además el sujeto debe de manifestar su voluntad deaceptar su clave pública y probar (mediante autofirmado de un mensaje) que es propietario de lacorrespondiente clave privada. Además de la documentación sustentadora, es conveniente que el sujetoentregue a la AC un documento electrónico conteniendo sus datos y su clave pública. A dicho documentole denominamos " Requerimiento de Certificación".

En principio, se propone que el proceso de certificación, sera un procedimiento que requiera de la

presencia física del sujeto, junto con la documentación sustentadora y un requerimiento de certificación.Sin embargo la AC es una sola persona o entidad, esto significaría que los sujetos deberían de presentarse



15/21


16/21


17/21


13 Firma Digital en la República ArgentinaEn nuestro país, recién se esta comenzando a legalizar el uso de la firma digital. En este momento se

esta trabajando en un anteproyecto de ley, además se han establecido una serie de normativas sobre firmadigital y algunos ministerios han tomado iniciativas al respecto:

13.1 Normas sobre documento electrónico y firma digital en la RepúblicaArgentina.

• Resolución 45/97 [j] Secretaría de la Función Pública Establece pautas técnicas para elaborar una normativa sobre firma digital que permita la difusión deesta tecnología en el ámbito de la Administración Pública Nacional [8].Esta norma tiene por finalidadcontemplar estándares tecnológicos de mínima que aseguren la determinación de la autoría de lafirma digital y la inalterabilidad del contenido del documento digital suscripto. Ese mismo año elMinisterio de Trabajo y Seguridad Social implementó, mediante la Res. 555/97, un sistema de correoelectrónico con criptografía de clave pública. Mas recientemente esta secretaria inauguró una

autoridad certificante piloto para la Administración pública, que junto con la del Ministerio deJusticia facilitarán el uso de firmas digitales en la administración pública nacional. [9]

• Decreto 427/98 [k]Poder Ejecutivo Nacional

Autoriza la utilización de la firma digital en la instrumentación de los actos internos de la Administración Pública Nacional, otorgándole los mismos efectos que la firma ológrafa yestableciendo las bases para la creación de la IFDAPN(Instrumentación de Firma Digital en laAdministración Publica Nacional).[8]

• Pautas mínimas para un convenio de intercambio de información utilizando tecnología de

firma digitalEstablece un convenio marco que regule la relación entre una Autoridad Certificante Licenciada

constituida en el ámbito de la IFDAPN y un adherente, conforme a las disposiciones del Decreto427/98.[8]

13.2 Iniciativas [9] • Ministerio de Justicia

Actualmente se está trabajando en una comisión del Ministerio de Justicia para hacer unanteproyecto de ley sobre firma digital. El anteproyecto partirá del Decreto 427/98 y de latraducción realizada por la propia comisión del Proyecto de Directiva Europea [l] en materia defirmas digitales (5/98).

• Ministerio de Economía, Obras y Servicios Públicos [m]Se ha formado un Grupo de Trabajo sobre Comercio Electrónico y Comercio Exterior que estáanalizando la influencias que las autopistas de la información tendrán en el comercio mundial y suincidencia en la Argentina. En la versión preliminar del informe, el subgrupo de asuntos jurídicosconsidera que, sin perjuicio de la posibilidad de celebración de acuerdos marco que prevean el usode estas herramientas, resulta de gran importancia para el desarrollo del comercio electrónico segurola posibilidad de contar con un instrumento jurídico que dé validez al documento con soporte digital(electrónico, óptico, etc.) y a la firma digital basada en la criptografía de clave pública, por ser esteel método más eficaz para poder asegurar la confidencialidad, autoría e identidad de lascomunicaciones en Internet.

• En el Parlamento Argentino se presento en julio el primer proyecto de ley sobre firmas digitales porlos diputados Arnaldo Estrada y Juan Manuel Valcarcel.



18/21


13.3 Anteproyecto de Ley de Firma Digital de la República Argentina

El Poder Ejecutivo Nacional de la República Argentina, consiente de la necesidad de adoptar unmarco legal adecuado para el desarrollo de la firma digital en el ámbito nacional, elevará a consideracióndel Congreso de la Nación un Anteproyecto de Ley de Firma Digital [a] y su Exposición de Motivos. Suaprobación permitirá eliminar obstáculos al reconocimiento jurídico de las firmas digitales, facilitando lalibre circulación de servicios y productos de certificación con otros países. En su elaboración se hancontemplado numerosos antecedentes regulatorios internacionales, así como las diversas iniciativasdesarrolladas a nivel de la Administración Pública Nacional.La redacción del Anteproyecto ha sido el fruto de la participación de un conjunto interdisciplinario de

profesionales del derecho y la informática, en representación de diversos organismos de laAdministración Pública Nacional y del Colegio de Escribanos de la Capital Federal [8]. colegio de.Escribanos de la Capital Federal.

14 ABA GuidelinesLas líneas de guía ABA al igual que la Utah Act son un intento de avanzar en el reconocimiento

legal de las firmas digitales y establecen una infraestructura institucional para el soporte de laautenticación digital.

Las líneas de guía ABA sobre firma digital han sido redactadas por el Comité de Seguridad deInformación de la División Comercio Electrónico, Sección de Ciencias y Tecnología de la American BarAssociation (ABA) [i]. El Comité explora los aspectos de seguridad de información y legales, delcomercio electrónico y otras cuestiones relacionadas a la tecnología de información.

La sección de ciencias y tecnologías de la American Bar Association ha producido el primer vistazogeneral del uso de la criptografia, firmas electrónicas , y entidad de autenticación sobre una red abierta talcomo Internet. El documento resultante es llamado la "Digital Signature Guideline".

Estas líneas de guía buscan establecer un manto seguro con la intención de (1) minimizar la incidenciade falsificación electrónica, (2) permitir y fomentar la autenticación confiable de documentoscomputacionalmente, (3) facilitar el comercio por medio de la comunicación computarizada. Y (4) darefecto legal a la importancia general del estándar técnico para autenticación de mensajes computarizados.

15 Algoritmos de firma digitalExiste hoy en día, en el mercado, numerosos algoritmos de firma digital, los cuales difieren en cuanto a:

• Seguridad: Algunos algoritmos son mas seguros que otros, en cuanto que no es difícil quebrarlos oviolarlos.

• Practicada: En el sentido de que producen firmas cortas pero igualmente eficientes.

• Velocidad: se refiere a la velocidad de generación de la firmas digitales. Y

• Servicio ofrecido: algunos algoritmos no solo proveen los servicios de una firma digital, sino quetambién proporcionan confidencialidad de la información mediante la técnica de encriptación.

Alguno de los mas populares son:

15.1 DSA

Un algoritmo muy extendido es el Digital Signature Algorithm (DSA) definido en el Digital SignatureStandard (DSS), el cual fue propuesto por el U.S. National Institute of Standards and Technology (NIST).Este algoritmo se basa en la función exponencial discreta en un campo de elementos finito, la cual tiene lacaracterística de ser difícilmente reversible (logaritmo discreto).

Como ya se dijo, la criptografia de clave publica hace uso de dos claves: una clave publica y una privada. Las dos están matemáticamente relacionadas, pero la clave privada no pude ser determinada a partir de la clave publica. En un sistema implementado con tecnología de clave publica, cada parte tienesu propio par de claves publica - privada. La clave privada es secreta, mientras que la publica pude serconocida por cualquiera .



19/21


20/21


Donde:

• x es el documento o un resumen del documento.

• e es la clave publica del firmante.

• y es la firma obtenida de la generación.

• d es la clave secreta.

El modulo m usado aquí es obtenido usando dos números primos grandes , p y q, diferentesuno del otro. La seguridad del RSA se basa en la dificultad de factorizar enteros grandes. Elreceptor publica a m como parte de la clave publica pero mantiene a p y q secretas [12].

16 ConclusionesLa firma digital podría ser vista o evaluada desde dos punto de vista. El primero, es desde el punto de

vista de la tecnología de firma digital, y el segundo punto de vista, es el respaldo legal que tiene el uso deesta.

Si miramos la tecnología de firma digital, nos encontramos con numerosos algoritmos de firmadigital que se están utilizando hoy día, los cuales difieren en cuanto a seguridad, practicidad, velocidad y

si provee o no confidencialidad de la información. En este sentido contamos con suficientes productoscomo para seleccionar él mas adecuado a nuestras necesidades. Además la mayoría de los algoritmosestán suficientemente probada su robustez a la falla (es decir, son extremadamente difícil de quebrar).

Si la meta era buscar un reemplazante digital de la firma manuscrita, creo que se logro y hasta sesupero en algunos aspectos ya que, por ejemplo, la firma digital permite comprobar la integridad de losdatos, ósea se puede verificar que los datos no fueron alterados después de que fueron firmados.

Por otro lado la firma digital no valdría de mucho si no se cuenta con un respaldo legal que regule eluso de la firma digital. Y es este, para mí, el punto más débil de la firma digital ya que en muchos paísesni si quiera se encuentra legalizado el uso de la misma.

Como ya mencione en un país tecnológicamente avanzados como Estados Unidos recién La primera

ley para regular los aspectos jurídicos de la firma digital como instrumento probatorio se aprobó hace poco tiempo en Uta. Posteriormente surgieron proyectos legislativos en Georgia, California yWashington. En Europa, el primer país que aprobó una Ley sobre la materia fue Alemania.

A diferencia de lo sucedido en los Estados Unidos y la Comunidad Europea, en la Argentina reciénsé esta comenzando a trabajar en una ley para regular el uso de la firma digital. Existe hoy día unanteproyecto de firma digital que permitirá legalizar la misma.

El problema del respaldo legal de la firma digital no termina ahí, ya que se necesita una uniformidadde las leyes, debido a que sus contenidos varían de un país a otro y es difícil su aplicación en un entornoglobal como Internet.

Podemos concluir que si bien la tecnología esta madura en cuanto a la generación y verificación de la

firma digital, creo que en cuanto a la base legal recién estamos dando los primeros pasos, y esto retiene encierto grado, el uso masivo de la firma digital. Además, este poco uso trae aparejado que mucha gente nisiquiera conozca la existencia de la firma digital. Es mas, realicé una suerte de encuesta en la universidad

para saber que se conocía del tema en la región, y arrojo que la gran mayoría de los estudiantes ni siquierahabía escuchado nombrar a la firma digital, y los pocos que algo habían escuchado, no sabían de que setratab.

No obstante esto, se ve que en pocos tiempos la situación cambiara, y la firma digital pasara a ser uninstrumento común cuando se realicen transacciones bancarias, compras, y cualquier operación querequiera una firma. Todo esto viene además impulsado por el vertiginoso crecimiento del uso de las redesde comunicación, tal como Internet, que acerca cada vez mas gente a la necesidad de usar la firma digital

para las operaciones (vía la red) que la necesitan. Es mas, seguramente en un corto tiempo tendrá la popularidad de la firma manuscrita.



21/21


17 Referencias[1] Kriptópolis: Firmas DigitalesHTTP://www.Kriptopolis.com/FirmaD.html [2] Mauricio Devoto: Firma DigitalHTTP://www.it-cenit.org.ar/links/firma.html

[3] Xavier Rivas: DefinicionesHTTP://www.asertel.es/cs/06041004.html [4] The Center For Decision Support: Digital Signature StandardHTTP://www.bilbo.isu.edu/security/isl/dss_fact.htm [5] American Bar Associations: Digital Signature GuidelinesHTTP://www.Abanet.org/sctech/ds_ms.doc [6] Ignacio Mendivíl: El ABC de los Documentos Electrónicos SegurosHTTP://www.seguridad.com/temasabc.htm [7] Práctica del Laboratorio de Redes de Ordenadores 1997/98: Firma DigitalHTTP://www.a01-unix.gsyc.inf.uc3m.es/~aie/Iro9798/firma_digital.html [8] Organismo LicencianteHTTP://www.pki.gov.ar/Doc.html [9] Mauricio Devoto - Pablo Andrés Palazzi: La contratación electrónica el la Argentina

HTTP://www.gmw.ac.uk/~t16345/argentina.html [10] Estándar de Firma Digital (DSS)HTTP://www.a01-unix.gsyc.inf.uc3m.es/~aie/Iro9798/DSS.html [11] Kriptópolis: Introducción a PGPHTTP://www.kriptopolis.com/introd.html [12]Material de clase: AuthenticationBibliografia1/Autentic/methauth.htm

18 Links[a] Anteproyecto de ley de firma digital en la República Argentina

HTTP://www.colegio_escrivanos.org.ar/anteproyecto.html [b] Autoridad de Certificación VerisignHTTP://www.verisign.com [c] Autoridad de Certificación thawteHTTP://www.thawte.com [d] Autoridad de Certificación Española IPSHTTP://www.ips.es [e] Autoridad de Certificación Española ACEHTTP://www.ace.es [f] Autoridad de Certificación Española FESTEHTTP://www.feste.com [g] Servidor de certificados NescaperHTTP://home.net.scape.com/certificate/v1.0/index.html

[h] La Global Trust RegistersHTTP://www.cl/cam.ac.uk/research/security/trust-register/index.html [i] ABA GuidelineHTTP://www.abanet.org/sctech/ds-ms.doc [j] Resolución 45/97; Secretaria de la función publicaHTTP://www.sfp.gov.ar/firma.html [k] Decreto 427/98; Poder ejecutivo de la NaciónHTTP://infoleg.mecon.ar/txtnorma/50410.htm [l] Proyecto de la directiva EuropeaHTTP://memebers.theglobe.com/boletin/directiva.htm [m] Ministerio de economía, obras y servicios públicosHTTP://www.mecon.ar
http://www.kriptopolis.com/FirmaD.htmlhttp://www.it-cenit.org.ar/links/firma.htmlhttp://www.asertel.es/cs/06041004.htmlhttp://www.bilbo.isu.edu/security/isl/dss_fact.htmhttp://www.abanet.org/sctech/ds_ms.dochttp://www.seguridad.com/temasabc.htmhttp://www.a01-unix.gsyc.inf.uc3m.es/~aie/Iro9798/firma_digital.htmlhttp://www.pki.gov.ar/Doc.htmlhttp://www.gmw.ac.uk/~t16345/argentina.htmlhttp://a01-unix.gsyc.inf.uc3m.es/~aie/Iro9798/DSS.htmlhttp://www.kriptopolis.com/introd.htmlhttp://www.colegio_escrivanos.org.ar/anteproyecto.htmlhttp://www.verisign.com/http://www.thawte.com/http://www.ips.es/http://www.ace.es/http://www.feste.com/http://home.net.scape.com/certificate/v1.0/index.htmlhttp://www.cl/cam.ac.uk/research/security/trust-register/index.htmlhttp://www.abanet.org/sctech/ds-ms.dochttp://www.sfp.gov.ar/firma.htmlhttp://infoleg.mecon.ar/txtnorma/50410.htmhttp://memebers.theglobe.com/boletin/directiva.htmhttp://www.mecon.ar/http://www.mecon.ar/http://memebers.theglobe.com/boletin/directiva.htmhttp://infoleg.mecon.ar/txtnorma/50410.htmhttp://www.sfp.gov.ar/firma.htmlhttp://www.abanet.org/sctech/ds-ms.dochttp://www.cl/cam.ac.uk/research/security/trust-register/index.htmlhttp://home.net.scape.com/certificate/v1.0/index.htmlhttp://www.feste.com/http://www.ace.es/http://www.ips.es/http://www.thawte.com/http://www.verisign.com/http://www.colegio_escrivanos.org.ar/anteproyecto.htmlhttp://www.kriptopolis.com/introd.htmlhttp://a01-unix.gsyc.inf.uc3m.es/~aie/Iro9798/DSS.htmlhttp://www.gmw.ac.uk/~t16345/argentina.htmlhttp://www.pki.gov.ar/Doc.htmlhttp://www.a01-unix.gsyc.inf.uc3m.es/~aie/Iro9798/firma_digital.htmlhttp://www.seguridad.com/temasabc.htmhttp://www.abanet.org/sctech/ds_ms.dochttp://www.bilbo.isu.edu/security/isl/dss_fact.htmhttp://www.asertel.es/cs/06041004.htmlhttp://www.it-cenit.org.ar/links/firma.htmlhttp://www.kriptopolis.com/FirmaD.html

certifica do firm a digital

Documents