02 mayo 2016

Segunda parte Firma digital

La firma digital es un concepto que nace con la criptografía de llave pública propuesta por Diffie y Hellman, en el artículo publicado el año 1976 con el título “Nuevas direcciones en criptografía”. Este concepto permite la provisión de los servicios de seguridad informática de autenticación y principalmente, no repudio, los cuales no podían garantizarse con la criptografía simétrica existente en ese tiempo. Según Lidl y Niederreiter, en el libro publicado el año 1986 con el título “Introducción a los campos finitos y sus aplicaciones”, para implementar este concepto se hace uso de la teoría de números del álgebra abstracta, en lo que respecta a la teoría de grupos y campos finitos.

La criptografía, descrita por Menezes y sus colegas, en el libro publicado el año 1996 con el título “Manual de criptografía aplicada”, es un conjunto de técnicas que tratan sobre la protección de la información. El cifrado consiste en aplicar una serie de operaciones a información legible para convertirla en algo totalmente ininteligible. El proceso de cifrado requiere de una llave que se emplea para realizar la transformación de los datos originales. La llave es el único medio para recuperar la información original mediante un proceso de descifrado. Los criptosistemas se clasifican en criptosistemas simétricos o de llave privada y en criptosistemas asimétricos o de llave pública. En los criptosistemas de llave pública se emplean dos llaves, una de carácter privado y otra de carácter público. La llave pública se utiliza para cifrar la información y solamente la llave privada podrá descifrarla. Con la criptografía de llave pública es posible implementar el concepto de firma digital. En lugar de usar tinta y papel para firmar un documento, la firma digital usa “llaves” digitales generadas de acuerdo a la teoría de la criptografía de llave pública. El esquema de operación de firma digital es similar al proceso de cifrado solo que las llaves pública y privada son invertidas, es decir, la llave privada se emplea para generar la firma del mensaje o documento electrónico y la llave pública se utiliza para verificar dicha firma.

Morales y sus colegas, en el reporte técnico publicado el año 2013 con el título “Firma electrónica: Concepto y requerimientos para su puesta en práctica”, describen que para generar la firma digital primero se obtiene un resumen de la información electrónica que se firmará usando un algoritmo hash, el cual aplica una función unidireccional a cada bit del mensaje o documento electrónico y produce como salida una cadena binaria, que puede interpretarse como la huella digital del de los bits de entrada. La función hash es tal que a partir del resumen o huella digital es prácticamente imposible deducir el mensaje o documento electrónico que lo produce. Esta última aseveración depende del número de bits que se usen para representar al resumen o huella digital que la función hash produce. El actual estándar para calcular funciones hash es la familia SHA-2, donde el resumen del mensaje puede ser de entre 200 a 600 bits. La cadena binaria correspondiente al resumen del mensaje/documento entonces se cifra con la llave privada del firmante, resultando una nueva cadena binaria que representa la firma digital del mensaje/documento. Entonces el mensaje/documento junto con la firma se distribuye o almacena. Después, para realizar el proceso de verificación, se descifra la cadena binaria correspondiente a la firma digital usando la llave pública del firmante. Este valor descifrado debe corresponder al valor hash original del archivo firmado. Entonces, solo resta calcular nuevamente el valor hash del mensaje/documento y compararlo con el valor resultante del descifrado. Si los valores coinciden, la firma digital es considerada auténtica, de lo contrario, la firma es rechazada, por lo que quién verifica la firma considera como inválido el mensaje/documento, ya que éste o ha sufrido modificaciones y no corresponde al mensaje/documento originalmente firmado, o se está intentando verificar la firma con la llave pública de un usuario distinto al que firmó el mensaje/documento.

García, en la tesis de grado publicada el año 2008 con el titulo “Implementación de firma digital en una plataforma de comercio electrónico”, menciona que un certificado digital es un documento electrónico emitido por una empresa denominada “autoridad de certificación” que garantiza la vinculación entre la identidad de un sujeto o entidad y su clave pública. Una autoridad de certificación o entidad de certificación, es una persona jurídica que presta servicios de emisión, gestión, cancelación u otros servicios inherentes a la certificación digital. Asimismo, puede asumir las funciones de registro o verificación. En Bolivia se tiene como autoridad de certificación a la naciente Agencia de Gobierno Electrónico y Tecnologías de la Información y Comunicación. El proceso para obtener un certificado digital es el siguiente: (1) El solicitante se dirige a una empresa o entidad que tenga el carácter de “prestador de servicios de certificación” y solicita las claves y el certificado digital correspondiente a las mismas. (2) El prestador de servicios de certificación comprueba la identidad del solicitante, bien sea directamente o por medio de entidades colaboradoras. (3) El prestador de servicios de certificación mediante los dispositivos técnicos adecuados crea las claves pública y privada que le corresponde al solicitante, y genera el certificado digital correspondiente a dichas claves. En la interacción señalada, la firma digital es una modalidad de firma electrónica que utiliza una técnica de criptografía asimétrica y que tiene la finalidad de asegurar la integridad del mensaje de datos a través de un código de verificación, así como la vinculación entre el titular de la firma digital y el mensaje de datos remitido.

En la tesis de grado de Santizo, publicada el año 2010 con el título “Implementación y adopción de la firma electrónica en Guatemala”, se menciona que en resumen la firma electrónica es el análogo en el mundo digital para la firma manuscrita y sirve para asegurar la identidad del firmante, que la información no ha sido modificada después de ser firmada, y que el firmante no puede negar que firmó. Los pasos para firmar electrónicamente son los siguientes: (1) El emisor aplica la función de hash a los datos y el resultado es el resumen. (2) El emisor cifra el resumen utilizando su clave privada. A esto es a lo que se le llama “firma”. (3) El emisor adjunta la “firma” y su certificado de identidad al documento. En este punto ya están firmados los datos, ahora el emisor se los envía al receptor. (4) El receptor aplica la función de hash a los datos y con esto obtiene un resumen calculado por el mismo. (5) El receptor descifra el resumen con la clave pública del emisor, que va en el certificado de identidad de éste, con esto el receptor obtiene el resumen que calculó el emisor antes de enviarle los datos. (6) Si el resumen calculado por el receptor coincide con el resumen generado por el emisor, los datos están íntegros y no han sufrido ninguna modificación. (7) A esto únicamente resta ver la información del certificado para estar seguros de la identidad del emisor.

No hay comentarios:

Publicar un comentario en la entrada