Páginas

FIRMA DIGITAL Y CERTIFICADO DIGITAL

 FIRMA DIGITAL


Las transacciones comerciales y el hecho de tener que interactuar masiva y habitualmente por intermedio de redes de computadoras le dieron lugar a la firma digital.

Veremos dos conceptos de firma digital:

Según la ley:

Se entenderá como un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación.

Según la informática:

La firma digital hace referencia, a un método criptográfico que asocia la identidad de una persona o de un equipo informático al mensaje o documento. En función del tipo de firma, puede, además, asegurar la integridad del documento o mensaje.


Una firma digital es un mecanismo criptográfico que permite al receptor de un mensaje firmado digitalmente determinar la entidad originadora de dicho mensaje (autenticación de origen y no repudio), y confirmar que el mensaje no ha sido alterado desde que fue firmado por el originador (integridad).

Las firmas digitales se pueden transmitir fácilmente, no pueden ser imitados por alguien más, y se pueden marcar con sello de hora y fecha automáticamente. La habilidad para garantizar que el mensaje original firmado llegue en su totalidad, también significa que el emisor del mensaje no lo puede repudiar (negar que lo envió) posteriormente. Una firma digital se puede utilizar con cualquier tipo de mensaje, cifrado o no, solo para que el receptor tenga certeza sobre la identidad del emisor y que el mensaje llegó intacto.

VALIDEZ DE UNA FIRMA DIGITAL 

Se han establecido una serie de propiedades necesarias que tiene que cumplir un esquema de firma para que pueda ser utilizado. La validez de una firma se ampara en la imposibilidad de falsificar cualquier tipo de firma radica en el secreto del firmante. En el caso de las firmas escritas el secreto está constituido por características de tipo grafológico inherentes al signatario y por ello difíciles de falsificar. Por su parte, en el caso de las firmas digitales, el secreto del firmante es el conocimiento exclusivo de una clave (secreta) utilizada para generar la firma. Para garantizar la seguridad de las firmas digitales es necesario a su vez que estas sean:

  • Únicas: Las firmas deben poder ser generadas solamente por el firmante y por lo tanto infalsificable. Por tanto la firma debe depender del firmante. 
  • Infalsificables: Para falsificar una firma digital el atacante tiene que resolver problemas matemáticos de una complejidad muy elevada, es decir, las firmas han de ser computacionalmente seguras. Por tanto la firma debe depender del mensaje en sí. 
  • Verificables: Las firmas deben ser fácilmente verificables por los receptores de las mismas y, si ello es necesario, también por los jueces o autoridades competentes. 
  • Innegables: El firmante no debe ser capaz de negar su propia firma. 
  • Viables: Las firmas han de ser fáciles de generar por parte del firmante. 

VERIFICACIÓN DE UNA FIRMA DIGITAL

Normalmente la verificación de la firma no se ciñe exclusivamente a verificar con el algoritmo de verificación, que la firma digital se corresponde con el mensaje que se quería firmar. Además hay que evaluar una serie de factores que dan la validez real de la firma:

Hay que verificar que la clave usada por el signatario es válida. Normalmente las claves para firmar suelen tener mecanismos que sólo las hacen válidas durante cierto periodo de tiempo. Este tiempo se limita mediante uno o varios mecanismos, por ejemplo: fechas de caducidad (por ejemplo, para criptografía de clave pública con certificados, con tiempos de vigencia de certificados), estableciendo mecanismos que permiten comprobar que la clave no ha sido revocada por el firmante (por ejemplo, para criptografía de clave pública con certificados, con OCSP o CRL).

Aplicaciones

  • Mensajes con autenticidad asegurada
  • Mensajes sin posibilidad de repudio
  • Contratos comerciales electrónicos
  • Factura Electrónica
  • Desmaterialización de documentos
  • Transacciones comerciales electrónicas
  • Invitación electrónica
  • Dinero electrónico
  • Notificaciones judiciales electrónicas
  • Voto electrónico
  • Decretos ejecutivos (gobierno)
  • Créditos de seguridad social
  • Contratación pública
  • Sellado de tiempo


CERTIFICADO DIGITAL

Un certificado digital es un sistema que permite vincular datos electrónicos con personas físicas a través de una entidad certificadora.
El Certificado Digital es el único medio que permite garantizar técnica y legalmente la identidad de una persona en Internet. Se trata de un requisito indispensable para que las instituciones puedan ofrecer servicios seguros a través de Internet. Además El certificado digital permite la firma electrónica de documentos El receptor de un documento firmado puede tener la seguridad de que éste es el original y no ha sido manipulado y el autor de la firma electrónica no podrá negar la autoría de esta firma.
El certificado digital permite cifrar las comunicaciones. Solamente el destinatario de la información podrá acceder al contenido de la misma.


¿PARA QUE SIRVE UN CERTIFICADO DIGITAL?

El certificado digital es el mecanismo que nos permite obtener una firma digital válida para firmar documentos de manera electrónica, la firma digital ofrece las mismas garantías que la firma ológrafa y permite asegurar la integridad de un documento.


Para que un certificado digital tenga validez legal, la autoridad de certificación debe de estar acreditada por la entidad pública de certificación del país correspondiente. Como mecanismo para asegurar ambos conceptos (integridad e identidad), el certificado digital utiliza el estándar X.509 basado en un algoritmo de criptografía asimétrica. Este método criptográfico emplea dos claves por usuario: una pública y otra privada. Estándar X.509 Dependiendo de cómo se utilicen estas claves, el usuario puede asegurar la integridad del envío y garantizar la identidad del remitente o proteger la privacidad del envío.

APLICACIONES DE UN CERTIFICADO DIGITAL


Los certificados digitales se instalan automáticamente en el navegador web. Siendo así, una vez listo el proceso, podrás utilizar tu certificado digital para realizar todo tipo de gestiones administrativas como consultar o presentar tu Declaración de la Renta, solicitar el informe de tu vida laboral, etc.

AUTORIDADES CERTIFICADORAS

Una autoridad certificadora es una organización fiable que acepta solicitudes de certificados de entidades, las valida, genera certificados y mantiene la información de su estado.

Una CA debe proporcionar una Declaración de Prácticas de Certificación (Certification Practice Statement o CPS) que indique claramente sus políticas y prácticas relativas a la seguridad y mantenimiento de los certificados, las responsabilidades de la CA respecto a los sistemas que emplean sus certificados y las obligaciones de los subscriptores respecto de la misma. 

Las labores de un CA son: 

  • Admisión de solicitudes. Un usuario rellena un formulario y lo envía a la CA solicitando un certificado. La generación de las claves pública y privada son responsabilidad del usuario o de un sistema asociado a la CA. 
  • Autentificación del sujeto. Antes de firmar la información proporcionada por el sujeto la CA debe verificar su identidad. Dependiendo del nivel de seguridad deseado y el tipo de certificado se deberán tomar las medidas oportunas para la validación.

  • Generación de certificados. Después de recibir una solicitud y validar los datos la CA genera el certificado correspondiente y lo firma con su clave privada. Posteriormente lo manda al subscriptor y, opcionalmente, lo envía a un almacén de certificados para su distribución. 

  • Distribución de certificados. La entidad certificadora puede proporcionar un servicio de distribución de certificados para que las aplicaciones tengan acceso y puedan obtener los certificados de sus subscriptores. Los métodos de distribución pueden ser: correo electrónico, servicios de directorio como el X.500 o el LDAP, etc. 

  • Anulación de certificados. Al igual que sucede con las solicitudes de certificados, la CA debe validar el origen y autenticidad de una solicitud de anulación. La CA debe mantener información sobre una anulación durante todo el tiempo de validez del certificado original. 
  • Almacenes de datos. Hoy en día existe una noción formal de almacén donde se guardan los certificados y la información de las anulaciones. La designación oficial de una base de datos como almacén tiene por objeto señalar que el trabajo con los certificados es fiable y de confianza.



No hay comentarios:

Publicar un comentario

Suscribirse a: Entradas (Atom)