2010

Sistemas de Seguridad
La Firma Digital
Este documento tiene como temática principal los conceptos y
procedimientos que se aplican a la llamada FIRMA DIGITAL con el único fin de
cumplir los principios de Seguridad que son: Integridad, Confidencialidad y
Disponibilidad. De esta manera se brinda seguridad a diversas empresas que
utilizan los Certificados Digitales y necesitan de alguna manera reconocer que la
firma es del firmante.

Marcos Espinoza Illanes

A 6790-3
12/09/2010
Marcos Espinoza Illanes A6790-3

FIRMA DIGITAL
Introducción

Uno de los principales desafíos que se plantea en la utilización de documentos electrónicos es determinar
su autenticidad, es decir la capacidad de asegurar si una determinada persona ha manifestado su conformidad
sobre el contenido del documento electrónico.

Este desafío es resuelto por lo que comúnmente se denomina como “firma digital”, que se basa en procedimientos
criptográficos. Su función respecto de los documentos digitales es similar a la de la firma de puño y letra en los
documentos impresos: ser el sello irrefutable que permite atribuir a una persona algo escrito o su conformidad en
un documento. El receptor, o un tercero, podrán verificar que el documento esté firmado, sin lugar a dudas, por la
persona cuya firma aparece en el documento y que éste no haya sufrido alteración alguna.

¿Qué es la Firma Digital?

La Firma Digital es un conjunto de datos en forma electrónica, unidos a otros o asociados con ellos y que se
utilizan para identificar al firmante, lo que permite comprobar la procedencia, autenticidad e integridad de los
mensajes intercambiados a través de Internet. Existen dos tipos de firma electrónica: la básica y la avanzada. La
básica no garantiza ni la identidad del firmante, ni la veracidad de la información recibida ya que no asegura que el
envío lo haya realizado el emisor que conocemos, mientras que la firma avanzada permite identificar al firmante y
detectar cualquier cambio posterior de datos que pudiese producirse. Este tipo de firma es la que se conoce como
firma digital.

¿Cómo funciona?

La firma digital es una firma tecnológicamente específica y creada mediante los denominados sistemas de
criptografía de clave asimétrica y cuyo funcionamiento se basa en que el titular posee dos claves: una clave
pública y una clave privada. La primera de ellas debe ser
conocida por todos, mientras que la clave privada sólo la
conoce el emisor y está asociada a la información que envía.

Una clave es un número de gran tamaño, que se

puede conceptualizar como un mensaje digital, como un
archivo binario, o como una cadena de bits o bytes. Las dos
claves se necesitan y se complementan para conseguir que el
mensaje cifrado aparezca como el original. Es decir, La clave
pública y privada tienen características únicas, su generación
es siempre en parejas y están relacionadas de tal forma que
todo lo que sea encriptado por una de ellas sólo podrá ser
desencriptado por la otra.
Marcos Espinoza Illanes A6790-3

Mediante un algoritmo cualquier persona puede obtener un par de números matemáticamente

relacionados, denominados claves. Existen diversas formas de almacenar una clave privada: en un archivo en el
disco rígido de una PC o en una tarjeta inteligente (smartcard).

El Algoritmo de operaciones matemáticas mencionado hace que se proteja la información que queremos
enviar mediante el cifrado de datos, se oculta el texto al aplicarle unas instrucciones al mensaje y se convierte en
un galimatías de números y letras (mensaje cifrado). El mensaje resultante sólo podrá ser descifrado por los que
conozcan las instrucciones y la clave utilizada.

Para este proceso, la firma digital utiliza las denominadas funciones hash, que aplicándola al mensaje
genera un conjunto de datos asociados que se denomina
resumen o huella digital. A la huella digital se le aplica la
clave privada y el resultado es lo que se denomina firma
digital que se enviará con el mensaje original. De esta
manera, el receptor recibe el mensaje y la firma digital.
Aplicando la misma función al mensaje que el emisor y
descifrando la firma digital con la clave pública del
firmante, el receptor generará 2 resúmenes iguales lo
que le permite comprobar y asegurar la autoría y que el
mensaje recibido es el mensaje original.

Por lo tanto, para firmar un documento se aplica

sobre el mismo, una función unidireccional de resumen
(función hash) para obtener un valor hash, que no es
más que el resumen del documento. Para obtener la
firma digital, se encripta el valor hash con la clave privada del firmante. La creación de la firma digital se lleva a
cabo a través de un algoritmo que combina los caracteres que conforman la clave privada con los caracteres del
documento. De este modo se obtiene la “firma digital”. Juntos, el documento y la firma digital constituyen el
documento firmado.
Marcos Espinoza Illanes A6790-3

De este modo, una firma digital nos asegura:

 la integridad del mensaje recibido, al no poder modificarse;

 su autenticación, al equivaler a la firma manuscrita y,
 el no repudio en origen, ya que el emisor no puede negar haber enviado el mensaje, al haber sido creado
por medios que sólo él controla y conoce.

Para que una firma electrónica equivalga y tenga el mismo valor jurídico que la firma manuscrita, debe estar basada
en un certificado reconocido y generada mediante un dispositivo seguro de creación firma (firma avanzada
reconocida).

Es importante señalar que, a diferencia de la firma autógrafa, todas las firmas digitales generadas por una
persona son diferentes entre sí. En otras palabras la firma digital cambia con cada documento firmado. Por otra
parte, si dos personas firman un mismo documento, también se producen dos diferentes documentos firmados, ya
que la clave privada utilizada es diferente.

¿Cómo validar un documento?

Para validar la autenticidad de un documento firmado, el receptor del mismo debe crear un valor hash del
documento transmitido y también debe desencriptar la firma digital con la clave pública del firmante, una vez que
obtiene los valores hash, los compara para determinar la autenticidad del documento firmado.

Si el documento o la firma es modificada, aunque sea ligeramente, el procedimiento de autenticación

indicará que el documento firmado no es auténtico.

Si dos personas deciden reconocer legalmente la validez de la firma digital en los documentos electrónicos
emanados de su intercambio electrónico de información, deben intercambiar sus claves públicas para que ambos
puedan autenticar documentos firmados por ellos. Si estos individuos quisieran reconocer formalmente la validez
de la firma digital, en caso de que no exista un marco legislativo que regule su aplicación, tendrían que suscribir un
acuerdo formal, con firma autógrafa, donde se acepten las técnicas a utilizar y sobre todo donde conste el
reconocimiento y aceptación de sus respectivas claves pública.
Marcos Espinoza Illanes A6790-3

Es claro que una persona, en el

proceso de autenticar un documento
firmado digitalmente debe contar con un
archivo que contenga la clave pública del
supuesto firmante. Es decir que para
autenticar un documento firmado por 10
personas se deberá contar con 10 archivos
o con una base de datos conteniendo las
10 claves públicas de los posibles
firmantes. Si este número aumenta a 100,
1000 o a un 1.000.000 el problema crece
en forma considerable. Por otra parte, es
sumamente importante determinar con
seguridad la identidad del titular de cada
clave pública. Una solución a este problema de manejo de claves se basa en el concepto conocido como Certificado
Digital.

¿Qué son los Certificados Digitales?

El Certificado Digital es en un documento

firmado digitalmente por una persona o entidad
denominada Autoridad Certificante (AC), mediante el
cual se atestigua que una clave pública pertenece a
un determinado individuo o entidad. En general,
contiene la identidad de la persona (nombre), su
clave pública y el nombre de la AC. Todos estos datos
son previamente validados por la AC, asegurando de
esta forma la veracidad de la información.

La idea es que quienquiera que conozca la

clave pública de la AC puede autenticar un
Certificado Digital de la misma forma que se
autentica cualquier otro documento firmado, como
se ilustra en la siguiente figura.

Si el Certificado es auténtico y confiamos en la AC, entonces, podemos confiar en que el sujeto identificado
en el Certificado Digital posee la clave pública que se señala en dicho certificado. Los certificados ayudan a evitar
que alguien utilice una clave falsa haciéndose pasar por otro

Así pues, si un sujeto firma un documento y anexa su certificado digital, cualquiera que conozca la clave
pública de la AC podrá autenticar el documento, como se ilustra en la siguiente figura.
Marcos Espinoza Illanes A6790-3

Se recomienda que los Certificados Digitales tengan un período de validez, luego del cual deberán ser
renovados.

Ahora bien, puede suceder que en algún momento el titular de una clave pública no desee utilizar más la
firma digital, o haya extraviado el soporte en el cual se encontraba guardada su clave privada. Para estos casos se
recomienda efectuar la revocación del Certificado Digital y aquí surge la necesidad de contar con un archivo,
directorio o base de datos que contengan los certificados revocados y por cada uno de ellos la fecha y hora en la
que fueron revocados. Una primera aproximación a este directorio de certificados revocados es la conocida como
“Lista de Certificados Revocados” o CRL por sus siglas en inglés. Un CRL es un archivo, firmado por la Autoridad
Certificante, que contiene la fecha de emisión del CRL y una lista de certificados revocados, cada uno de ellos con la
fecha de revocación.

Un CRL puede ser autenticado como cualquier otro documento firmado digitalmente, en este caso con la
clave pública de la Autoridad Certificante. Una vez autenticado, podemos confiar en su contenido y determinar con
certeza si un certificado está revocado o no, esto es hasta la fecha definida por “Ultima Actualización”.

Conclusiones

Los negocios en crecimiento están acudiendo cada vez más a menudo a Internet para explotar las amplias
posibilidades de este medio. Así, el comercio electrónico y las reservas "on line", entre otras, son ya prácticas
habituales de las empresas más innovadoras, que establecen así relaciones profesionales y comerciales con
personas o entidades que no conocen directamente. Por su parte, las administraciones públicas son cada vez más
conscientes de la cantidad de burocracia que podría agilizarse vía Internet.

Sin embargo, la aparente falta de seguridad de la red frena el crecimiento de la utilización profesional de
Internet. Gran parte de las y los internautas, por ejemplo, se muestran reticentes a dar "on line" sus datos
personales y bancarios. Al mismo tiempo, la falta de confidencialidad lleva a que las tramitaciones se prefieran
Marcos Espinoza Illanes A6790-3

realizar cara a cara, y no en un medio en el que cualquiera de las partes no se pueda identificar fácilmente. En
definitiva, se necesita un instrumento que dé credibilidad, seguridad y compromiso a los negocios electrónicos.

Nacen así las firmas digitales que, al igual que las manuscritas, permiten identificar de forma fiable a la
persona emisora. Además, permiten proteger la información contra posibles manipulaciones, y verificar de este
modo que lo que llega pertenece realmente a quien lo ha firmado. La firma digital, pues, es fundamental para que
cualquier acuerdo "on line" (compras, contratos, etc.) se lleve a cabo con la máxima seguridad.

La metodología en la que se basan las firmas digitales se conoce como "encriptación asimétrica". Gracias a
ella, los mensajes son codificados en complicadísimos algoritmos matemáticos que garantizan la seguridad de las
firmas digitales y que vinculan a la persona autora de la información con los datos enviados.

Quien posee una firma digital tiene, en realidad, dos claves:

 Privada: exclusiva de la persona o empresa propietaria, mediante la cual encripta y firma sus
mensajes.
 Pública: que puede ser conocida abiertamente; es utilizada por quien la recibe para descodificar la
información y comprobar que no ha sido modificada.

Así, para firmar digitalmente un documento, se usa la clave privada y la persona destinataria abre el
mensaje con su clave pública, comprobando que realmente esa información pertenece a quien la ha firmado.

En estos acuerdos/contratos realizados a través de Internet es necesario también un ente intermediario,

una tercera parte de confianza que acredite que la firma pertenece realmente a quien la ha mandado y que
garantice la autoría de las informaciones remitidas.

Bibliografía

 http://www.confirma.com.ar/Downloads/Firma%20Digital.pdf
 http://noticias.juridicas.com/articulos/20-Derecho%20Informatico/200604-4959142921063871.html
 http://www.segu-info.com.ar/proyectos/p1_firma-digital.htm