Universidad Central del Ecuador

Facultad de Ingeniería – Escuela de Ciencias

Seguridad en las TICS

3.- Firma Digital

http://www.informatica.gov.ec/index.php/sistemas/trans
versales/firma-digital

3. 1.- ¿Qué es una firma digital?

La firma digital puede ser definida como una secuencia de datos electrónicos
(bits) que se obtienen mediante la aplicación a un mensaje determinado de un
algoritmo (fórmula matemática) de cifrado asimétricos o de clave pública, y que
equivale funcionalmente a la firma autógrafa en orden a la identificación del
autor del que procede el mensaje. Desde un punto de vista material, la firma
digital es una simple cadena o secuencia de caracteres que se adjunta al final
del cuerpo del mensaje firmado digitalmente.

Es la equivalencia digital de la firma manuscrita, tiene la misma validez legal y

se encuentra amparada por la Ley de Comercio Electrónico, Firmas
Electrónicas y Mensajes de Datos.

3.2.- Características y aplicaciones de la firma digital

Firma Digital/Ing. César Morales Mejía

Universidad Central del Ecuador
Facultad de Ingeniería – Escuela de Ciencias
Seguridad en las TICS

Características

Identidad. Reconoce unívocamente a un emisor como autor del mensaje.

Integridad. El documento no puede ser alterado de forma alguna durante la

transmisión.

No repudio. El emisor no puede negar en ningún caso que un documento no

fue firmado.

Confidencialidad. Solo las partes puedan leer el documento (si fuera el caso).

3.3.- Aplicaciones de la firma digital

Con la firma electrónica pueden realizarse diferentes tipos de transacciones a

través de la Internet sin necesidad de desplazarse, ni hacer filas de forma que
los trámites públicos se agilitan aumentando la transparencia, lo que se
traduce en ahorros significativos de tiempo y dinero. Las aplicaciones de la
firma digital son diversas entre las que se tienen:

Trámites ciudadanos (Gobierno electrónico)

Compras públicas
Gestión documental
Operaciones bancarias
Dinero (pago) electrónico
Balances electrónicos
Trámites judiciales y notariales
Comercio electrónico
Facturación electrónica

3.4.- Funcionamiento de la firma digital

El proceso de firma digital de un mensaje electrónico comprende en realidad

dos procesos sucesivos: la firma del mensaje por el emisor del mismo y la
verificación de la firma por el receptor del mensaje. Esos dos procesos tienen
lugar de la manera que se expresa a continuación, en la que el emisor del
mensaje es designado como Angel y el receptor del mensaje es designado
como Blanca:

Firma digital de un mensaje electrónico.

1º.- Angel crea o redacta un mensaje electrónico determinado (por

ejemplo, una propuesta comercial).

2º.- Angel aplica a ese mensaje electrónico una función hash

(algoritmo), mediante la cual obtiene un resumen de ese mensaje.

Firma Digital/Ing. César Morales Mejía

Universidad Central del Ecuador
Facultad de Ingeniería – Escuela de Ciencias
Seguridad en las TICS

3º.- Angel cifra ese mensaje-resumen utilizando su clave privada.

4º.- Angel envía a Blanca un correo electrónico que contiene los

siguientes elementos:

El cuerpo del mensaje, que es el mensaje en claro (es decir, sin

cifrar). Si se desea mantener la confidencialidad del mensaje, éste se
cifra también pero utilizando la clave pública de Blanca (receptor).

La firma del mensaje, que a su vez se compone de dos

elementos:

o El hash o mensaje-resumen cifrado con la clave privada de Angel

.
o El certificado digital de Angel, que contiene sus datos personales
y su clave pública, y que está cifrado con la clave privada del
Prestador de Servicios de Certificación.

Firma Digital/Ing. César Morales Mejía

Universidad Central del Ecuador
Facultad de Ingeniería – Escuela de Ciencias
Seguridad en las TICS

Verificación por el receptor de la firma digital del mensaje.

1º.- Blanca recibe el correo electrónico que contiene todos los elementos
mencionados anteriormente.

2º.- Blanca en primer lugar descifra el certificado digital de Angel.

incluido en el correo electrónico, utilizando para ello la clave pública del
Prestador de Servicios de Certificación que ha expedido dicho
certificado. Esa clave pública la tomará Blanca, por ejemplo, de la página
Web del Prestador de Servicios de Certificación en la que existirá
depositada dicha clave pública a disposición de todos los interesados.

3º.- Una vez descifrado el certificado, Blanca podrá acceder a la clave

pública de Angel, que era uno de los elementos contenidos en dicho
certificado. Además podrá saber a quién corresponde dicha clave
pública, dado que los datos personales del titular de la clave (Angel)
constan también en el certificado.

4º.- Blanca utilizará la clave pública del emisor (Angel) obtenida del
certificado digital para descifrar el hash o mensaje-resumen creado
por Angel .

5º.- Blanca aplicará al cuerpo del mensaje, que aparece en claro o no

cifrado, que también figura en el correo electrónico recibido, la
misma función hash que utilizó Angel con anterioridad, obteniendo
igualmente Blanca un mensaje-resumen. Si el cuerpo del mensaje
también ha sido cifrado para garantizar la confidencialidad del mismo,
previamente Blanca deberá descifrarlo utilizando para ello su propia
clave privada (recordemos que el cuerpo del mensaje había sido cifrado
con la clave pública de Blanca)

Firma Digital/Ing. César Morales Mejía

Universidad Central del Ecuador
Facultad de Ingeniería – Escuela de Ciencias
Seguridad en las TICS

6º.- Blanca comparará el mensaje-resumen o hash recibido de Angel con

el mensaje-resumen o hash obtenido por ella misma. Si ambos
mensajes-resumen o hash coinciden totalmente significa lo siguiente:

El mensaje no ha sufrido alteración durante su transmisión, es

decir, es íntegro o auténtico.

El mensaje-resumen descifrado por Blanca con la clave pública de

Angel ha sido necesariamente cifrado con la clave privada de
Angel y, por tanto, proviene necesariamente de Angel.

Como el certificado digital nos dice quién es Angel, podemos

concluir que el mensaje ha sido firmado digitalmente por Angel ,
siendo Angel una persona con identidad determinada y conocida.

Por el contrario, si los mensajes-resumen no coinciden quiere decir que

el mensaje ha sido alterado por un tercero durante el proceso de
transmisión, y si el mensaje-resumen descifrado por Blanca es
ininteligible quiere decir que no ha sido cifrado con la clave privada de
Angel . En resumen, que el mensaje no es auténtico o que el mensaje
no ha sido firmado por Angel sino por otra persona.

Finalmente, hay que tener en cuenta que las distintas fases del proceso
de firma y verificación de una firma digital que han sido descritas no se
producen de manera manual sino automática e instantánea, por el
simple hecho de introducir la correspondiente tarjeta magnética en el
lector de tarjetas de nuestro ordenador y activar el procedimiento.

Firma Digital/Ing. César Morales Mejía

Universidad Central del Ecuador
Facultad de Ingeniería – Escuela de Ciencias
Seguridad en las TICS

3.5.- Forma de adquirir una firma digital en el Ecuador

Para solicitar un Certificado de Firma Electrónica en la Entidad de

Certificación del Banco Central del Ecuador, http://www.bce.fin.ec

En general se tiene los siguientes pasos:

1. Llenar el formulario de solicitud sea como persona natural, jurídica -

derecho privado o funcionario público.
2. Completar toda la documentación requerida, por cada uno de los
solicitantes.
3. Enviar la solicitud o solicitudes a las oficinas de la Entidad de
Certificación en Quito, Guayaquil o Cuenca.
4. Realizar el pago del certificado y dispositivo portable seguro -
TOKEN.

Los costos de los certificados:

Emisión del Certificado de Firma Electrónica , $43,00 válido por dos

años.

Dispositivo Portable Seguro –TOKEN, $26,00 válido por diez años

Renovación del Certificado , $22,00 válido por dos años más.

En caso de olvido de la clave o password de protección del certificado el

usuario deberá cancelar el valor por renovación.

3.5.1.- Modelo de solicitud

Formulario de solicitud de firma digital:

ECIBC-0267
ENTIDAD DE CERTIFICACIÓN DE INFORMACIÓN - ECIBC
Solicitud de Emisión de Certificado de Firma Electrónica
PERSONA NATURAL
Lugar y fecha de solicitud:
1 Datos Personales
Nombres completos:
Apellidos completos:
Cédula de ciudadanía:
RUC (En caso de disponerlo):
Actividad económica:
Dirección domicilio: Ciudad:
Sector:
Teléfono domicilio:
Celular:

Firma Digital/Ing. César Morales Mejía

Universidad Central del Ecuador
Facultad de Ingeniería – Escuela de Ciencias
Seguridad en las TICS

Dirección e-mail:
Dirección oficina: Ciudad:
Teléfonos oficina: Extensión: Fax:
2 Contestar Obligatoriamente
Pregunta 1: Nombre de la institución donde realizó sus estudios primarios
Respuesta 1:
Pregunta 2: Nombre de la institución donde realizó sus estudios secundarios
Respuesta 2:
Pregunta 3: Color favorito
Respuesta 3:
Firma del solicitante:

.................................................................

3 Indicaciones
1. Llene la solicitud manteniendo la confidencialidad del mismo, en letra imprenta legible a máquina o en
computador, todos los campos son obligatorios.
2. Adjuntar copia clara a color de la cédula de ciudadanía y papeleta de votación actualizada, para
extranjeros, certificado de empadronamiento
3. Adjuntar una copia de la factura de luz, agua o teléfono del domicilio de cualquiera de los últimos tres meses,
que certifique la dirección domiciliaria.
4. Copia del registro único de contribuyentes (RUC) en caso de disponerlo.
5. Envíe el formulario y las copias en sobre cerrado con la etiqueta “Solicitud Certificado Digital” a la
Dirección de la Entidad de Certificación de Información del Banco Central del Ecuador en las oficinas de
Quito, Guayaquil o Cuenca, donde les sea factible el retiro del dispositivo.
6. Para mayor información, visite nuestra página Web www.bce.fin.ec/Entidad de Certificación., comuníquese
al teléfono 02) 2572522 Exts. 2437 / 2743 / 7206 Quito, (04) 2566333 Ext.2028 Guayaquil, (07) 2831255 Ext.
226 Cuenca, o, envíe su correo electrónico a la dirección: eci@bce.ec
La información consignada en esta solicitud será verificada, se le enviará un correo electrónico indicando la
fecha y hora para la emisión del certificado, que se emite en forma presencial, en las oficinas de la ECIBC,
para lo cual el solicitante deberá presentar los documentos originales (Cédula de ciudadanía y papeleta de
votación).
Uso exclusivo ECIBC
FECHA DE RECEPCIÓN VERIFICACIÓN INGRESO ECI
N° ING. N°TK FECHA EMISION

4.- Explicación algo más Formal

Anteriormente vimos que la criptografía asimétrica permitía autentificar

información, es decir, poder asegurar que un mensaje m proviene de un emisor
A y no de cualquier otro.

Asimismo vimos que la autentificación debía hacerse empleando una función

resumen y no codificando el mensaje completo. Ahora estudiaremos dichas
funciones resumen, también conocidas como MDC (modification detection
codes), que nos van a permitir crear firmas digitales.

Sabemos que un mensaje m puede ser autentificado codificando con la llave

privada el resultado de aplicarle una función resumen, (r(m)). Esa
información adicional (que denominaremos firma o signatura del mensaje m)

Firma Digital/Ing. César Morales Mejía

Universidad Central del Ecuador
Facultad de Ingeniería – Escuela de Ciencias
Seguridad en las TICS

sólo puede ser generada por el poseedor de la clave privada . Cualquiera

que tenga la llave pública correspondiente estarla en condiciones de
decodificar y verificar la firma. Para que sea segura, la función resumen r(x)
debe cumplir además ciertas características:

 r(m) es de longitud fija, independientemente de la longitud de m.

 Dado m, es fácil calcular r(m).
 Dado r(m), es computacionalmente intratable recuperar m.
 Dado m, es computacionalmente intratable obtener un m’ tal que r(m) =
r(m’).

4.1.- Algoritmo MD5,

Se trata de uno de los más populares algoritmos de generación de signaturas,

debido en gran parte a su inclusión en las primeras versiones de PGP.
Resultado de una serie de mejoras sobre el algoritmo MD4, diseñado por Ron
Rivest, procesa los mensajes de entrada en bloques de 512 bits, y produce una
salida de 128 bits.
Siendo m un mensaje de b bits de longitud, en primer lugar se alarga m hasta
que su longitud sea exactamente 64 bits inferior a un múltiplo de 512. El
alargamiento se lleva a cabo añadiendo un 1 seguido de tantos ceros como sea
necesario. En segundo lugar, se añaden 64 bits con el valor de b, empezando
por el byte menos significativo. De esta forma tenemos el mensaje como un
número entero de bloques de 512 bits, y además le hemos añadido información
sobre su longitud

4.2.- Algoritmo SHA-1

El algoritmo SHA-1 fue desarrollado por la NSA, para ser incluido en el

estándar DSS (Digital Signature Standard). Al contrario que los algoritmos de
cifrado propuestos por esta organización, SHA-1 se considera seguro y libre de
puertas traseras, ya que favorece a los propios intereses de la NSA que el
algoritmo sea totalmente seguro. Produce firmas de 160 bits, a partir de
bloques de 512 bits del mensaje original.

El algoritmo es similar a MD5, y se inicializa igual que éste, añadiendo al final

del mensaje un uno seguido de tantos ceros como sea necesario hasta
completar 448 bits en el último bloque, para luego yuxtaponer la longitud en
bytes del propio mensaje. A diferencia de MD5, SHA-1 emplea cinco registros
de 32 bits en lugar de cuatro

4.3.- Encriptación Cuántica

La criptografía cuántica es una nueva área dentro de la criptografía que hace

uso de los principios de la física cuántica para transmitir información de forma
tal que solo pueda ser accedida por el destinatario previsto.

Firma Digital/Ing. César Morales Mejía

Universidad Central del Ecuador
Facultad de Ingeniería – Escuela de Ciencias
Seguridad en las TICS

La criptografía cuántica se basa sobre el principio de incertidumbre de de

Heisenberg. Veamos ahora como se puede aprovechar dicho principio para
transmitir una clave en forma segura.

Firma Digital/Ing. César Morales Mejía

Universidad Central del Ecuador
Facultad de Ingeniería – Escuela de Ciencias
Seguridad en las TICS

5.- Formatos básicos para Firma

5.1.- PKCS#7/CMS

Es uno de los formatos tradicionales más extendidos

CMS es la evolución de PKCS#7, si bien, prácticamente idénticos
CMS a partir de los estándares de IETF, sobre todo, del RFC 3852

Se trata de un formato de encapsulamiento codificado en ASN-1 / VER,

aunque también puede ser codificado en Base64

Habitualmente, una firma en CMS puede representarse en su modalidad

Attached (habitual) o Dettached, en función de que incluya o no el propio
documento.

CMS permite incluir diferentes firmantes en la firma bajo dos modalidades:

encadenada y mancomunada.

La firma propiamente dicha es un compendio de datos formales referidos al

Firma Digital/Ing. César Morales Mejía

Universidad Central del Ecuador
Facultad de Ingeniería – Escuela de Ciencias
Seguridad en las TICS

tipo de firma así como de atributos firmados y no firmados bajo una estructura
dada.

5.2.- XML DSIG

Es el formato de mayor expansión, Usado frecuentemente en aplicaciones on-

line, es el formato es XML DSig

Funcionalmente y estructuralmente, es bastante similar al CMS, pero la

codificación original de firmas y certificados se realiza en B64

En toda firma XML, según el estándar XML DSig, existirían 3 modos de firma:

Enveloped: en el que la firma se añade al final del documento XML

como un elemento más. Se firma todo lo inmediatamente anterior al
documento.
Envoloping, en el que el documento se incluye dentro de la firma en la
que se referencia lo firmado como objeto insertado en la firma. Ya que
se referencian los objetos, este modelo permitiría distinguir lo que se
firma, pudiendo firmar el objeto entero o partes de él (asignando un id
diferenciador).
Detached, en el que la firma y el documento se separan en dos
archivos, la URL donde se encuentra el documento puede aparecer en
la propia firma.

5.3.-PDF

Una de las principales ventajas del formato PDF es la capacidad de gestionar

firmas. En realidad se trata de una implementación de PKCS#7
La creación y validación de firmas electrónicas se ha ido mejorando a lo largo
de las versiones hasta convertirse en la herramienta genérica que realiza un
mejor tratamiento

Con PDF es posible realizar las denominadas firmas longevas, de gran

importancia.

6.- BIBLIOGRAFIA

http://www.idsegura.com/pdf/intro_Firmas_Digitales.pdf
http://www.informatica.gov.ec/index.php/sistemas/transversales/firma-
digital
Apuntes Varios

Firma Digital/Ing. César Morales Mejía