• Author / Uploaded
• Marcelo Nieva

Citation preview

Firma digital

Firma digital Una firma digital es un esquema matemático que sirve para demostrar la autenticidad de un mensaje digital, que puede ser por ejemplo un documento electrónico. Una firma digital da al destinatario seguridad de que el mensaje fue creado por el remitente (autenticidad de origen), y que no fue alterado durante la transmisión (integridad). Las firmas digitales se utilizan comúnmente para la distribución de software, transacciones financieras y en otras áreas donde es importante detectar la falsificación y la manipulación. La firma digital consiste en un método criptográfico que asocia la identidad de una persona o de un equipo informático, al mensaje o documento. En función del tipo de firma, puede además asegurar la integridad del documento o mensaje. La firma electrónica, como la firma hológrafa (autógrafa, manuscrita), puede vincularse a un documento para identificar al autor, para señalar conformidad (o disconformidad) con el contenido, para indicar que se ha leído y, en su defecto mostrar el tipo de firma y garantizar que no se pueda modificar su contenido.

Terminología • Una firma digital es una cadena de caracteres asociada a un mensaje digital que garantizan la autenticidad del origen e integridad del mismo. Para generarla se utilizan métodos criptográficos. • La firma electrónica es un término de naturaleza fundamentalmente legal y más amplio desde un punto de vista técnico, ya que puede contemplar métodos no criptográficos, por ejemplo puede tratarse de una firma electrónica escrita. Los términos de firma digital y firma electrónica se utilizan con frecuencia como sinónimos, pero este uso en realidad es incorrecto. Un ejemplo claro de la importancia de esta distinción es el uso por la Comisión europea. En el desarrollo de la Directiva europea 1999/93/CE que establece un marco europeo común para la firma electrónica empezó utilizando el término de firma digital en el primer borrador, pero finalmente acabó utilizando el término de firma electrónica para desacoplar la regulación legal de este tipo de firma de la tecnología utilizada en su implementación. • Un algoritmo de generación de firma digital, también llamado simplemente algoritmo de generación de firma, es un método para producir firmas digitales. • Un algoritmo de verificación de firma digital, también llamado simplemente algoritmo de verificación, es un método que permite la verificación de que una firma digital es auténtica. • Un esquema o mecanismo de firma digital consiste en un algoritmo de generación de firma y su algoritmo de verificación asociado.

Propiedades necesarias Se han establecido una serie de propiedades necesarias que tiene que cumplir un esquema de firma para que pueda ser utilizado.[1] La validez de una firma se ampara en la imposibilidad de falsificar cualquier tipo de firma radica en el secreto del firmante. En el caso de las firmas escritas el secreto está constituido características de tipo grafológico inherentes al signatario y por ello difíciles de falsificar. Por su parte, en el caso de las firmas digitales, el secreto del firmante es el conocimiento exclusivo de una clave (secreta) utilizada para generar la firma. Para garantizar la seguridad de las firmas digitales es necesario a su vez que estas sean: • Únicas: Las firmas deben poder ser generadas solamente por el firmante y por lo tanto infalsificable. Por tanto la firma debe depender del firmante

1

Firma digital

2

• Infalsificables: Para falsificar una firma digital el atacante tiene que resolver problemas matemáticos de una complejidad muy elevada, es decir, las firmas han de ser computacionalmente seguras. Por tanto la firma debe depender del mensaje en sí. • Verificables: Las firmas deben ser fácilmente verificables por los receptores de las mismas y, si ello es necesario, también por los jueces o autoridades competentes. • Innegables: El firmante no debe ser capaz de negar su propia firma. • Viables: Las firmas han de ser fáciles de generar por parte del firmante.

Firma segura hacia adelante [2]

La idea básica de estos esquemas de firma es extender los algoritmos de firma digital con un algoritmo de actualización de clave que haga que la clave secreta pueda ser cambiada frecuentemente mientras la clave pública permanece siendo la misma. El esquema resultante es seguro hacia adelante si el conocimiento de la clave secreta en un momento del tiempo no ayuda a falsificar firmas relativas a un periodo anterior de tiempo.

Clasificación En función del modo en el que se construye la firma Podemos construir esquemas de firma digital basándonos en distintos tipos de técnicas:[3] • Basándonos en la supuesta seguridad de dispositivos físicos • Basándonos en criptografía de clave simétrica. • Basándonos en criptografía de clave asimétrica. Basándonos en la supuesta seguridad de dispositivos físicos Un dispositivo, como una smart card, se dice que es resistente a modificaciones (en inglés tamper resistant) si se cree que es difícil acceder a la clave secreta almacenada en él. Por tanto podemos usar una smart card con un algoritmo criptográfico para construir una firma digital de la siguiente forma: El signatario tienen una smart card que puede sólo cifrar con una clave secreta una smart card que puede sólo descifrar con una clave secreta ser verificado por

.

y

, y cada verificador tiene

de forma que lo cifrado por

sólo puede

pueden ser iguales (clave simétrica) o distintas (claves asimétricas). En este

tipo de mecanismo hay que abordar el problema de instalar y almacenar de forma segura las claves en las smart cards. Falsificar una firma es difícil si el dispositivo es resistente a modificaciones. Basándonos en criptografía de clave simétrica Se han propuesto distintos protocolos de firma basados en la criptografía de clave secreta. Sin embargo, a partir de la aparición de la criptografía asimétrica están en recesión debido a su superioridad tanto conceptual como operacional en la mayoría de los contextos de uso. Los esquemas de firma digital de clave simétrica son los siguientes: • • • •

Firma de Desmedt Firma de Lamport-Diffie Firma de clave simétrica de Rabin Firma de Matyas-Meyer

Estos esquemas están basados en el uso una función de un solo sentido (en inglés one-way function). La gran desventaja de este tipo de esquemas es el tamaño de las claves y de las firmas y del hecho de que sólo pueden ser usadas un número fijo de veces (frecuentemente una sola vez). Merkle[4] ha propuesto optimizaciones para este tipo de algoritmos. Bleichenbacher y Maurer han proporcionado una generalización de estos métodos.[5] Estos esquemas

Firma digital han servido como primitivas usadas en construcciones más complejas Basándonos en criptografía de clave asimétrica Se han propuesto distintos protocolos de firma basados en la criptografía de clave asimétrica. Los más importantes son los siguientes: • • • • • • • • • • •

Firma RSA Firma DSS Firma ESING Firma de clave asimétrica de Rabin Firma ElGamal Firma con curvas elípticas Firma de Guillou-Quisquater Firma de Ohta-Okamoto Firma de Schnorr Firma de Okamoto Firma de Feige-Fiat-Shamir

El uso de criptografía asimétrica para firma digital se basa en el concepto de funciones de un solo sentido con trampa (en inglés trapdoor one-way functions). Son funciones son fáciles de computar en una sola dirección y difícil de computar en otra dirección, excepto para alguien que conozca la información 'trampa'. La información puede entonces ser firmada digitalmente si el signatario transforma la información con su clave secreta (la información trampa). El verificador puede verificar la firma digital aplicando la transformación en el sentido fácil usando la clave pública.

En función de si usa información aleatoria Algunos esquemas de firma son deterministas y otros usan bits aleatorios. Las firmas que usan bits aleatorios probablemente revelan menos información sobre la clave secreta, sin embargo, por otra parte, el obligan al signatario a tener una fuente segura de bits aleatorios. Observar que si la fuente de bits aleatorios es revelada, no sólo la firma sino también la clave secreta puede que sea comprometida.

En función de si necesita el mensaje original para la verificación de la firma Podemos clasificar los esquemas de firma digital en función de si es necesario tener el mensaje original para verificar la firma, dando lugar a los siguientes tipos:[6][7] • Esquemas de firma digital con recuperación de mensaje • Esquemas de firma digital con apéndice Esquemas de firma digital con recuperación de mensaje Para verificar la firma este tipo de esquemas no requieren el mensaje original ya que el mensaje original se puede recuperar a partir de la propia firma digital. Esquemas de firma digital con apéndice Este tipo de esquemas requieren el mensaje original para poder verificar la firma. Esto es debido a que a lo que se aplica el algoritmo de firma no es realmente el mensaje original sino el resultado de aplicar una función hash con ciertas propiedades que las hacen resistentes frente a ataques para hallar su inversa, es decir, no es posible, a partir del valor resumen, calcular los datos originales. Son los llamadas códigos de detección de modificaciones. Algunas de las motivaciones para hacer esto son: • Reducir el tamaño de la firma reduciendo el tamaño de la información a firmar.

3

Firma digital

4

• Aumentar la velocidad de firma • Si los mensajes a firmar pueden tener cierta estructura algebraica y el algoritmo de firma se comporta de forma que el sistema resultante puede ser vulnerable a criptoanálisis con ataques de texto escogido, podemos usar funciones hash para destruir esta estructura algebraica. • Cuando se usa para firmar algoritmos de firma por bloques donde los mensajes son más largos que el bloque, no es seguro firmar mensajes bloque a bloque ya que un enemigo podría borrar bloques del mensaje firmado o insertar bloques de su elección en el mensaje antes de que sea firmado. Al usar una función hash hacemos una transformación que hace a la firma dependiente de todas las partes del mensaje. • Hace que el protocolo de firma no sea útil para que un atacante obtenga el texto en claro correspondiente de un mensaje que ha sido transmitido de forma cifrada.

En función de la intervención o no de una entidad árbitro Existen dos métodos para establecer protocolos de firma digital:[8] firma digital con árbitro y firma digital sin árbitro. Firma digital con árbitro En este tipo de firma se aprovecha el hecho de que dos usuarios (X e Y) con desconfianza mútua admiten tener confianza en un tercero llamado árbitro (A). El árbitro posee una clave secreta con cada uno de los usuarios. Estas claves determinan las funciones de cifrado y descifrado que se establecen entre el árbitro y cada uno de los usuarios: . Toda la transmisión de la información entre los usuarios debe pasar forzosamente por el árbitro. Si por ejemplo X quiere mandar un mensaje M firmado a Y lo cifra usando árbiro lo recibe lo descifra (usando de X y el mensaje M a la firma usuario Y descifra (usando

y lo manda al árbitro. El

) comprobando que se trata de un mensaje válido de X, junta la identidad y cifra el resultado

con

y lo manda a Y. El

) obteniendo el mensaje M, la identidad del origen y algo que sabe que es la firma

del mensaje por el usuario. El valor de la firma lo guarda junto con M para que A pueda dirimir ante una posible disputa. Firma digital sin árbitro En este esquema el usuario firmante envía directamente la firma al destinatario, éste debe poder comprobar la firma sin necesitar una tercera entidad como el árbitro.

Factores implicados en la verificación de la firma Normalmente la verificación de la firma no se ciñe exclusivamente a verificar con el algoritmo de verificación, que la firma digital se corresponde con el mensaje que se quería firmar. Además hay que evaluar una serie de factores que dan la validez real de la firma: • Hay que verificar que la clave usada por el signatario es válida. Normalmente las claves para firmar suelen tener mecanismos que sólo las hacen válidas durante cierto periodo de tiempo. Este tiempo se limita mediante uno o varios mecanismos, por ejemplo: fechas de caducidad (por ejemplo, para criptografía de clave pública con certificados, con tiempos de vigencia de certificados), estableciendo mecanismos que permiten comprobar que la clave no ha sido revocada por el firmante (por ejemplo, para criptografía de clave pública con certificados, con OCSP o CRL). • En algunas ocasiones la firma lleva un sello de tiempo (en inglés timestamping). Este sello de tiempo establece el momento en el que se ha realizado la firma. Este sello se puede utilizar por los protocolos para establecer periodos de tiempos después del cual la firma no es válida. Por ejemplo podríamos establcer un sistema en el que las firmas sólo son válidas durante 30 minutos después de haberse producido.

Firma digital

Regulaciones en diferentes países El marco común de firma electrónica de la Unión Europea El mercado interior de la Unión Europea implica un espacio sin fronteras interiores en el que está garantizada la libre circulación de mercancías. Deben satisfacerse los requisitos esenciales específicos de los productos de firma electrónica a fin de garantizar la libre circulación en el mercado interior y fomentar la confianza en la firma electrónica. En ese sentido la Directiva 1999/93/CE sienta un marco común para la firma electrónica que se concretó con la transposición de la Directiva a las diferentes legislaciones nacionales de los países miembros.

Ley sobre firma electrónica en Chile Esta ley fue publicada el 15 de septiembre del año 2003 por el Ministerio Secretaría General de la Presidencia, la Ley 19.799 sobre Documentos Electrónicos, Firma Electrónica y Servicios de Certificación de dicha firma, reconoce que los órganos del Estado podrán ejecutar o realizar actos, celebrar contratos y expedir cualquier documento, dentro de su ámbito de competencia, suscribiéndolos por medio de firma electrónica simple. Igualmente señala que estos actos, contratos y documentos, suscritos mediante firma electrónica, serán válidos de la misma manera y producirán los mismos efectos que los expedidos en soporte de papel.[9] [10]

Firma digital en Costa Rica En Costa Rica, la Ley de Certificados, Firmas Digitales y Documentos Electrónicos (Ley 8454) es firmada el 22 de agosto del 2005. Esta Ley faculta la posibilidad de vincular jurídicamente a los actores que participan en transacciones electrónicas, lo que permite llevar al mundo virtual transacciones o procesos que anteriormente requerían el uso de documentos físicos para tener validez jurídica, bajo el precepto de presunción de autoría y responsabilidad, además lo anterior sin demérito del cumplimiento de los requisitos de las formalidades legales según negocio jurídico.[11]

La ley de firma electrónica en España En España existe la Ley 59/2003, de Firma electrónica, que define tres tipos de firma: • Simple. Datos que puedan ser usados para identificar al firmante (autenticidad) • Avanzada. Además de identificar al firmante permite garantizar la integridad del documento y la integridad de la clave usada, utilizando para ello un DSCF (dispositivo seguro de creación de firma, el DNI electrónico). Se emplean técnicas de PKI. • Reconocida. Es la firma avanzada y amparada por un certificado reconocido (certificado que se otorga tras la verificación presencial de la identidad del firmante). En ocasiones, esta firma se denomina cualificada por traducción del término inglés qualified que aparece en la Directiva Europea de Firma Electrónica.

5

Firma digital

Firma electrónica en Guatemala En Guatemala, la Ley para el Reconocimiento de las Comunicaciones y Firmas Electrónicas (Decreto 47-2008), fue publicada en el diario oficial el 23 de septiembre de 2008. El Ministerio de Economía de ese país tiene bajo su responsabilidad el regular este tema, y abrió en el mes de Junio de 2009 el Registro de Prestadores de Servicios de Certificación, publicando su sitio web con copia de la ley e información importante sobre el tema.[12]

Firma electrónica certificada en Nicaragua El 30 de Agosto de 2010 en la Gaceta Diario Oficial No. 165, se publico la Ley No. 729, Ley de Firma Electrónica, siendo la Dirección General de Tecnología (DGTEC), dependencia del Ministerio de Hacienda y Crédito Público (MHCP), la Entidad Rectora del proceso de acreditación de firma electrónica. El 8 de Noviembre de 2011, se publico en la Gaceta Diario Oficial, Decreto No. 57-2011 Reglamento de Ley N°729, Ley de Firma Electrónica.

La Ley de firma digital en el Perú En el Perú se ha dictado la Ley de Firmas y Certificados Digitales (Ley 27269),[13] la cual regula la utilización de la firma electrónica, otorgándole la misma validez y eficacia jurídica que el uso de una firma manuscrita u otro análoga que conlleve manifestación de voluntad. En dicha ley se estipula que los certificados digitales, es decir los documentos electrónicos generados y firmados digitalmente por una entidad de certificación, deben contener al menos: 1. 2. 3. 4. 5. 6. 7.

Datos que identifiquen indubitablemente al suscriptor. Datos que identifiquen a la Entidad de Certificación. La clave pública. La metodología para verificar la firma digital del suscriptor impuesta a un mensaje de datos. Número de serie del certificado. Vigencia del certificado. Firma digital de la Entidad de Certificación

Firma electrónica en la República Dominicana En la República Dominicana, la Ley 126-02 de Comercio Electrónico, Documentos y Firmas Digitales, de fecha 29 de septiembre de 2002, regula toda relación comercial, estructurada a partir de la utilización de uno o más documentos digitales o mensajes de datos o de cualquier otro medio similar. Y se designa al Instituto Dominicano de las Telecomunicaciones (INDOTEL) como el Órgano Regulador.[14]

Firma digital en la República de Colombia La Ley 527 [15] por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales fue aprobada el 18 de agosto de 1999. Esta norma presenta una definición para firma digital "como un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación". Si bien no existe una definición explicita de firma electrónica, la Ley 527 establece que cuando cualquier norma exija la presencia de una firma o establezca ciertas consecuencias en ausencia de la misma, en relación con un mensaje de datos, se entenderá satisfecho dicho requerimiento si se ha utilizado un método confiable y apropiado que permita identificar a iniciador del mensaje de datos y verificar que éste último cuenta con su aprobación. Esta descripción permite englobar lo que en términos académicos se define como firma electrónica.

6

Firma digital Mediante el Decreto 1747 de 2000 [16] se regularon de manera detallada aspectos relacionados con las entidades de certificación, los certificados y las firmas digitales. En la actualidad existen tres (3) entidades de certificación abierta.

Firma electrónica en la República Bolivariana de Venezuela En la República Bolivariana de Venezuela lo regula El Decreto Con Fuerza De Ley Del 2.001, Sobre Mensajes De Datos Y Firmas Electrónicas http://www.tsj.gov.ve/legislacion/dmdfe.htm

Firma electrónica en la República Oriental del Uruguay La ley de Documento Electrónico y Firma Electrónica (18.600 [17]) fue aprobada el 21 de septiembre de 2009 creando y encargando a la AGESIC Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento como Unidad de Certificación Electrónica Nacional, estableciendo la firma electrónica y la firma electrónica avanzada y reconoce su uso legal público y privado para todo el país. El 8 de diciembre de 2011, quedó aprobado el Decreto reglamentario de la Ley 18.600, de Documento electrónico y Firma electrónica. El mismo regula el funcionamiento del Órgano de control, la Unidad de Certificación Electrónica (UCE), el funcionamiento de los Consejos Ejecutivo y Consultivo así como los requisitos y todos los procedimientos para los prestadores de servicios de certificación.

Aplicaciones • • • • • • • • • • • • • •

Mensajes con autenticidad asegurada Mensajes sin posibilidad de repudio Contratos comerciales electrónicos Factura Electrónica Desmaterialización de documentos Transacciones comerciales electrónicas Invitación electrónica Dinero electrónico Notificaciones judiciales electrónicas Voto electrónico Decretos ejecutivos (gobierno) Créditos de seguridad social Contratación pública Sellado de tiempo

Referencias [1] J. Pastor Franco, M. A. Sarasa López, Criptografía digital fundamentos y aplicaciones. Prensas Universitarias de Zaragoza 1998. [2] Joseph K. Liu et al."Forward Secure Ring Signature without Random Oracles".Information and Communication Security: 13th International Conference, Icics 2011. Beijing China. November 2011 [3] Bart Preneel, Cryptographic primitive for Information Authentication - State of the Art. Katholieke Universiteit Leuven [4] R. Merkle, "A certified digital signature", Advances in Cryptology, Proceedings Crypto'89, LNCS 435. G. Brassard. Ed., Springer Verlag 1990 pp. 218-238. [5] D. Bleichenbacher, "Generating ElGamal signatures without knowing the secret key," Advances in Cryptology, Proceedings Eurocrypt'96, LNCS 1070, U. Marer, Ed. Springer Verlag 1996 pp. 10-18 [6] Dhiren R. Patel, Information Security and Practice. Prentice Hall 2010. [7] Bart Preneel, Cryptographic primitive for Information Authentication - State of the Art. Katholieke Universiteit Leuven [8] J. L. Monrant et all, "Seguridad y protección de la información", Ed. Centro de estudios Ramon Areces. Madrid 1994 [9] Manual operativo: Documentos Electrónicos y Firma Electrónica en los Servicios Públicos y la Administración del Estado (http:/ / www. modernizacion. cl/ 1537/ articles-175280_recurso_1. pdf) [10] Ley 19.799 (http:/ / www. leychile. cl/ Navegar?idNorma=196640) [11] Sistema Nacional de Certificación Digital Costa Rica (http:/ / www. firmadigital. go. cr/ index. html)

7

Firma digital [12] [13] [14] [15] [16] [17]

Registro de Prestadores de Servicios de Certificacion Guatemala (http:/ / www. rpsc. gob. gt) Ley de Firmas y Certificados Digitales del Perú (http:/ / www. congreso. gob. pe/ ntley/ Imagenes/ Leyes/ 27269. pdf) Instituto Dominicano de las Comunicaciones (http:/ / www. indotel. gob. do) http:/ / www. alcaldiabogota. gov. co/ sisjur/ normas/ Norma1. jsp?i=4276 http:/ / www. alcaldiabogota. gov. co/ sisjur/ normas/ Norma1. jsp?i=4277 http:/ / www0. parlamento. gub. uy/ leyes/ AccesoTextoLey. asp?Ley=18600& Anchor=|ley

Enlaces externos • Servicios disponibles con firma digital en España, según Fábrica Nacional Moneda y Timbre (http://www.cert. fnmt.es/index.php?o=cert&lang=es), y Dni electrónico (http://www.dnielectronico.es/servicios_disponibles/ index.html)

8

Fuentes y contribuyentes del artículo

Fuentes y contribuyentes del artículo Firma digital  Fuente: http://es.wikipedia.org/w/index.php?oldid=60701988  Contribuyentes: Acprisip, Adriansm, Airunp, Alakasam, Alexisabarca, AlfredoGMx, Aner77, Angel GN, Angeltoribio, Atallon, Atila rey, BL, Banfield, Benigala, BuenaGente, CarlosRod, Carlosblh, ColdWind, DMG, Dagoflores, Damianiencowiki, Dark, Death Master, Diamondland, Diegusjaimes, Dr Juzam, Ensada, Fdbtwiki, Fercufer, Fernando Estel, Filipo, FrancoGG, Funcionator, Galio, Gmagno, Igna, Ignacio Icke, Isha, Jcarlos77, Jinza, Jkbw, JorgeECardona, Juanignaciosl, Jvlivs, Kristihan, Kurushima, Lexos, Mandramas, Marcomogollon, Marioxcc, Martingala, Matdrodes, Mnemoc, Muecoy, Nonick, Nuen, Ojalmanzar, Pybalo, Ralgis, Relleu, Resped, Rikaaii, Rpozosainz, Senshodan, SuperBraulio13, Tirithel, Tomatejc, Tormes21, Veon, Vitamine, Xolidosystems, Xombra, Yakoo, Yayo 99, Yosu2010, Zytrust, 296 ediciones anónimas

Licencia Creative Commons Attribution-Share Alike 3.0 Unported //creativecommons.org/licenses/by-sa/3.0/

9