Una firma digital,
es un bloque de caracteres que acompaña a un documento
(o fichero) acreditando quién es su autor (autenticación)
y que no ha existido ninguna manipulación posterior de
los datos (integridad). Para firmar un documento digital, su autor
utiliza su propia clave secreta (sistema criptográfico
asimétrico), a la que sólo él tiene acceso,
lo que impide que pueda después negar su autoría
(no revocación). De esta forma, el autor queda vinculado
al documento de la firma. Por último la validez de dicha
firma podrá ser comprobada por cualquier persona que disponga
de la clave pública del autor.
Para una
mejor comprensión de la firma digital pasaré a
informar sobre lo que se entiendo por los sistemas de encriptación
utilizados en la firma digital.
Hay dos
tipos de encriptación, la encriptación simétrica
que obliga a los dos interlocutores (emisor y receptor) del
mensaje a utilizar la misma clave para encriptar y desencriptar
el mismo (como por ejemplo el criptosistema "DES" desarrollado
por IBM, Data Encryption Standard), y la encriptación
asimétrica o criptografía de claves públicas
la cual está basada en el concepto de pares de claves,
de forma tal que cada uno de los elementos del par (una clave)
puede encriptar información que solo la otra componente
del par (la otra clave) puede desencriptar. El par de claves
se asocia con un sólo interlocutor, así un componente
del par (la clave privada) solamente es conocida por su propietario
mientras que la otra parte del par (la clave pública)
se publica ampliamente para que todos la conozcan (en este caso
destaca el famoso criptosistema RSA cuyas iniciales son las
de sus creadores Rivest, Shamir y Adelman). En este sentido
convendría señalar que U.S.A ha permitido hasta
hace poco la exportación de productos criptográficos
que hicieran uso de claves de más de 40 bits, ahora sí
permiten la exportación de dichos productos pero siempre
que estos incluyan un sistema de recuperación de claves
o de depósito de claves (key scrow). Esta política
realizada por la Administración Clinton parece que no
ha caído bien entre los fabricantes de software y activistas
norteamericanos. No sólo en U.S.A. ha sido mal acogida,
a Alemania por ejemplo, no le ha sentado nada bien que un gobierno
o agencia extranjera pueda tener acceso a las claves de los
usuarios alemanes, parece por tanto, que esta política
puede entrar en conflicto con las leyes de otros Estados, ya
que la mayoría de los Estados europeos no restringen
la utilización de esta técnica.
Retomando
el tema, parece que los algoritmos de encriptación asimétrica
son 100 veces más lentos que los algoritmos de encriptación
simétrica. Por ello, los algoritmos actuales encriptan
el mensaje mediante claves simétricas y envían
la propia clave simétrica dentro del mensaje pero encriptada
según algoritmos de claves asimétricas.
b.) ¿Cómo
se realiza una firma digital?
El software
del firmante aplica un algoritmo hash unidireccional sobre el
texto a firmar, obteniendo un extracto de longitud fija, y absolutamente
específico para ese mensaje. Un mínimo cambio
en el mensaje produciría un extracto completamente diferente,
y por tanto no correspondería con el que originalmente
firmó el autor. Los algoritmos hash más utilizados
son el MD5 ó SHA-1. El extracto conseguido, cuya longitud
oscila entre 128 y 160 bits (según el algoritmo utilizado),
se somete a continuación a cifrado mediante la clave
secreta del autor. El algoritmo más utilizado en este
procedimiento de encriptación asimétrica es el
RSA. De esta forma obtenemos un extracto final cifrado con la
clave privada del autor el cual se añadirá al
final del texto o mensaje para que se pueda verificar la autoría
e integridad del documento por aquella persona interesada que
disponga de la clave pública del autor.
c.) ¿Cómo
se comprueba la validez de la firma digital?
Como he
comentado antes es necesario la clave pública del autor
para poder verificar la validez del documento o fichero. El
procedimiento sería el siguiente: el software del receptor
previa introducción en el mismo de la clave pública
del remitente (obtenida a través de una autoridad de
certificación), descifraría el extracto cifrado
del autor, a continuación calcularía el extracto
hash que le correspondería al texto del mensaje, y si
el resultado coincide con el extracto anteriormente descifrado
se consideraría válida, en caso contrarío
significaría que el documento ha sufrido una modificación
posterior y por tanto no es válido.
Hasta este
momento hemos conseguido la autenticación del documento,
su integridad y la imposibilidad de repudio del mismo por parte
del autor. A través de otros mecanismos como por ejemplo
los que utiliza el SET (Secure Electronic Transfer protocol)
se conseguiría obtener los servicios de seguridad que
la ISO destaca como primordiales para la seguridad en las redes
telemáticas. Sin embargo existe un punto débil
que ya he destacado anteriormente. Si todos estos medios de
seguridad están utilizando el procedimiento de encriptación
asimétrico, habrá que garantizar tanto al emisor
como al receptor la autenticación de las partes, es decir
que estas son quienes dicen ser, y sólo a través
de autoridad de certificación (CA Certification Authority)
podrá corregirse dicho error, certificando e identificando
a una persona con una determinada clave pública. Estas
autoridades emiten certificados de claves públicas de
los usuarios firmando con su clave secreta un documento, valido
por un período determinado de tiempo, que asocia el nombre
distintivo de un usuario con su clave pública.
d.) ¿Que
es una Autoridad de Certificación?
Es esa tercera
parte fiable que acredita la ligazón entre una determinada
clave y su propietario real. Actuaría como una especie
de notario electrónico que extiende un certificado de
claves el cual está firmado con su propia clave, para
así garantizar la autenticidad de dicha información.
Sin embargo ¿quién autoriza a dicha autoridad?,
es decir, ¿cómo sé que la autoridad es
quién dice ser?, ¿deberá existir una autoridad
en la cúspide de la pirámide de autoridades certificadoras
que posibilite la autenticación de las demás?.
En USA la
ley de Utah sobre firma digital da una importancia fundamental
a las Autoridades Certificantes, definidas como las personas
facultadas para emitir certificados. Pueden ser personas físicas
o empresas o instituciones públicas o privadas y deberán
obtener una licencia de la Division of Corporations and Commercial
Code. Están encargadas de mantener los registros directamente
en línea (on-line) de claves públicas.
Para evitar
que se falsifiquen los certificados, la clave pública
de la CA debe ser fiable: una CA debe publicar su clave pública
o proporcionar un certificado de una autoridad mayor que certifique
la validez de su clave. Esta solución da origen a diferentes
niveles o jerarquías de CAs.
En cuanto
a los Certificados, son registros electrónicos que atestiguan
que una clave pública pertenece a determinado individuo
o entidad. Permiten verificar que una clave pública pertenece
a una determinada persona. Los certificados intentan evitar
que alguien utilice una clave falsa haciéndose pasar
por otro.
Contienen
una clave pública y un nombre, la fecha de vencimiento
de la clave, el nombre de la autoridad certificante, el número
de serie del certificado y la firma digital del que otorga el
certificado. Los certificados se inscriben en un Registro (repository),
considerado como una base de datos a la que el público
puede acceder directamente en línea (on-line) para conocer
acerca de la validez de los mismos. Los usuarios o firmantes
son aquellas personas que detentan la clave privada que corresponde
a la clave pública identificada en el certificado. Por
lo tanto, la principal función del certificado es identificar
el par de claves con el usuario o firmante, de forma tal que
quien pretende verificar una firma digital con la clave pública
que surge de un certificado tenga la seguridad que la correspondiente
clave privada es detentada por el firmante.
La Autoridad
Certificante puede emitir distintos tipos de certificados:
1.Certificados
de identificación: identifican y conectan un nombre a
una clave pública.
2.Certificados
de autorización: ofrecen otro tipo de información
correspondiente al usuario, como por ejemplo la dirección
comercial, antecedentes, catálogos de productos, etc.
3. Otros
certificados colocan a la Autoridad Certificante en el roll
de notario, pudiendo ser utilizados para dar fe de la validez
de un determinado hecho o que un hecho efectivamente ha ocurrido.
4. Otros
certificados permiten determinar día y hora en que el
documento fue digitalmente firmado (Digital time-stamp certificates).
El interesado
en operar dentro del esquema establecido por la ley, deberá,
una vez creado el par de claves, presentarse ante la autoridad
certificante (o funcionario que ella determine) a efectos de
registrar su clave pública, acreditando su identidad
o cualquier otra circunstancia que le sea requerida para obtener
el certificado que le permita 'firmar' el documento de que se
trate. Por ejemplo, para realizar una operación financiera
de importancia con un banco, éste puede requerir al interesado
un certificado del que surja, además de la constatación
de su identidad, el análisis de sus antecedentes criminales
o financieros. Esto quiere decir que la firma digital del interesado
sólo será aceptada por la otra parte si cuenta
con el certificado apropiado para la operación a realizar.
Esta función normalmente es delegada a Empresas que se
dedican a verificara los datos del que obtiene el certificado,
a estas empresas de las denomina Entidades de Registro Colaboradoras
(nuestro caso)
Los Repository
o Registros son la base de datos a la que el público
puede acceder on-line para conocer la validez de los certificados,
su vigencia o cualquier otra circunstancia que se relacione
con los mismos. Dicha base de datos debe incluir, entre otras
cosas, los certificados publicados en el repositorio, las notificaciones
de certificados suspendidos o revocados publicadas por las autoridades
certificantes acreditadas, los archivos de autoridades certificantes
autorizadas y todo otro requisito exigido por la División.
Para ser reconocido, el repositorio debe operar bajo la dirección
de una autoridad certificante acreditada.
e.) ¿Que
son los Servidores de Certificados?
Son aplicaciones
destinadas a crear, firmar y administrar certificados de claves,
y que permiten a una empresa u organización constituirse
en autoridad de certificación para subvenir sus propias
necesidades. Los productos más famosos son Netscape Certificate
Server y OpenSoft.
f.) Situación
actual de las Autoridades de Certificación
Actualmente
existen varias autoridades de certificación, Verisign
es la más conocida Internacionalmente. En España
nos encontramos con varias empresas que han introducido ya este
tipo de servicio. La más utilizada en España es
IPS (Internet Publishing Services), seguida de la americana
Verisign, sin embargo Banesto fue posiblemente la primera CA
española, actualmente ya emite certificados para SSL
y S/MIME (medios para garantizar la seguridad en las redes telemáticas).
Posteriormente ACE (Autoridad de Certificación Española)
ha comenzado a emitir también dichos certificados, pero
su objetivo prioritario es emitir certificados SET a través
de los bancos aunque actualmente los certificados X509 están
siendo muy solicitados. Está además participando
en los desarrollos de PKIS (Public Key Cryptography Standard:
estándares de criptografía de clave pública)
o documentos que definen el estándar en el cifrado de
clave pública, ya que se plantea un sistema de registro
distribuido con la participación de los Bancos. Así
tenemos que Argentaria utiliza una CA en Argenvía, su
Banca electrónica. FESTE (Fundación para el Estudio
de la Seguridad de las Telecomunicaciones). es una autoridad
de certificación avalada por los notarios y corredores
de comercio, es decir, por los fedatarios de las operaciones
mercantiles. FESTE pone su énfasis en la garantía
de las instituciones. De esta forma han aunado sus fuerzas para
convertirse en la autoridad certificadora de la seguridad de
los contratos mercantiles españoles. Como arbitro han
elegido al ex-político y abogado Miguel Roca, y el camino
a seguir incluye hablar con los ministros competentes para asegurárselos
como garantes en la consecución de sus objetivos, entre
los que se encuentra lograr la realización de la legislación
pertinente en materia de seguridad mercantil telemática,
ya que según comenta M. Roca "en España ni
siquiera hay un proyecto legislativo en esta materia. Aunque
esto no debe de extrañar porque el entorno europeo tiene
la misma deficiencia, a excepción de Alemania e Italia
que están desarrollando modelos muy distintos ".(es muy
posible que dicha autoridad sea absorbida por ACE)
Por otro
lado en el entorno académico y en distintas universidades
Españolas se están produciendo interesantes avances.
En la UPC (Universidad Politécnica de Cataluña),
la UPM (Universidad Politécnica de Madrid), en Red IRIS
y en el CSIC se han puesto en marcha diferentes autoridades
de certificación, lo cual no hace sino demostrar que
nuestro país es muy activo desde el punto de vista tecnológico.
Sin embargo
las múltiples CA´s que hay en nuestro país a la
larga puede derivar en:
1. Que existan
una o dos autoridades fuertes que autoricen al resto.
2. que existan
muchas CA´s que se certifiquen mutuamente, es decir, que deberán
a su vez estar certificadas por una autoridad superior llamada
Root, única para todos.
Por tanto
parece ser que la situación actual está por desarrollarse
y reglamentarse, luego sólo podremos hablar de pruebas
y tests hasta que exista una ley o se tome por la comunidad
Internacional una solución al respecto.
g.) Requisitos
de las autoridades de certificación según el grupo
de trabajo sobre comercio electrónico de la comisión
de las naciones unidas para el derecho mercantil internacional
El plenario
de la Comisión de las Naciones Unidas para el Derecho
Mercantil Internacional (CNUDMI/UNCITRAL), que celebró
su 29º periodo de sesiones en Newyork del 28 de marzo al 14
de Junio de 1996. Examinó el proyecto de ley Modelo sobre
distintos aspectos del intercambio electrónico de datos(EDI),
aprobándolo con la denominación de Ley Modelo
sobre comercio electrónico. Tras un debate la Comisión
encomendó al Grupo de Trabajo , ahora denominado "sobre
Comercio Electrónico". que se ocupara de examinar las
cuestiones relativas a la firmas digitales y las autoridades
de certificación.
La Comisión
pidió a la secretaria que preparara un estudio de antecedentes
sobre cuestiones relativas a las firmas digitales y a los proveedores
de servicios, basándose en un análisis de las
leyes que se estaban elaborando en varios países. Dicho
estudio quedó recogido en el documento A/CN.9/WGIV/WP.71
de 31 de Diciembre de 1996. El grupo de trabajo celebró
su 31 periodo de sesiones en Newyork del 18 al 28 de febrero
de 1997 centrando su debate en el proyecto de prácticas
internacionales uniformes sobre autenticación y certificación
de la Cámara de Comercio Internacional y las directrices
sobre firmas digitales publicadas por la American Bar Asociation
(contenido de dicho debate se encuentra en el anexo 1 ).
Dentro de
esta sesión se abrió el debate sobre la necesidad
o no de autorización y del establecimiento de requisitos,
ya sean referidos a la propia entidad o al certificado. A tal
efecto se ofreció el debate a partir de los criterios
que se mencionan en el párrafo 44 del WP.71:
1.Independencia
(ausencia de interés financiero o de otro tipo en las
transacciones subyacentes).
2. Recursos
y capacidad financiera para asumir la responsabilidad por el
riesgo de pérdida
3. Experiencia
en tecnologías de clave pública y familiaridad
con procedimientos de seguridad apropiados.
4. Longevidad
(conservación de certificados).
5. Aprobación
del equipo y los programas.
6. Mantenimiento
de un registro de auditoria y realización de auditorias
por una entidad independiente.
7. existencia
de un plan para casos de emergencia.
8. Selección
y administración del personal.
9. Disposiciones
para proteger su propia clave privada
10. Seguridad
interna.
11. Disposiciones
para suspender las operaciones, incluida la notificación
a los usuarios.
12. Garantías
y representaciones.
13. Limitación
de la responsabilidad.
14. Seguros.
15. Capacidad
para intercambiar datos con otras autoridades certificadoras.
16. Procedimientos
de revocación.
El valor
otorgado por el grupo de trabajo sobre estos principios es el
de factores a tener en cuenta en la confiabilidad de una determinada
Autoridad de Certificación.
