Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Trabajo Final
Firma Digital
Braicovich Gustavo Ariel
Universidad Nacional de Comahue
Departamento de Informtica y Estadstica
Materia: Seguridad Informtica I
Profesor: Jorge Eduardo Sznek
Primer cuatrimestre de 1999
Resumen
Este documento es un trabajo de investigacin bibliogrfica sobre firma digital, una disciplina
resultante de la aplicacin de la criptografia para resolver los problemas de autenticacin e integridad de
los documentos electrnicos. El objetivo es presentar los principios y problemas del uso de la firma
digital en reemplazo de la firma manuscrita.
Palabras clave
Firma digital, autenticidad, no repudiacin, integridad.
Contenido
1 Introduccin.
2 Firma digital
2.1
Definiciones
3 Aplicaciones
4 Beneficios y costos
5 Caractersticas deseables de la firma digital
6 Como trabaja la firma digital
6.1
Creacin de la firma digital
6.2
Verificacin de la firma digital
6.3
Algoritmos Hash
7 Certificados digitales
7.1
Suspencin y revocacin de certificados
8 Recibos electrnicos
9 Autoridad registradora
10 Agentes certificadores
10.1 Autoridad registradora central
11 Un mtodo alternativo de firma digital
12 El campo legal
12.1 Efectos legales de la firma digital
13 Firma digital en la Repblica Argentina
13.1 Normas sobre documentos electrnicos y firma digital en la repblica Argentina
13.2 Iniciativas
13.3 Anteproyecto de ley en la Repblica Argentina
14 ABA Guidelines
15 Algoritmos de firma digital
15.1 DSA
15.1.1 Seguridad del DSA
15.2 PGP
15.3 RSA
16 Conclusiones
17 Referencias
18 Links
Firma Digital
Trabajo Final
1 Introduccin
La validacin de los documentos legales, financieros y de otros tipos esta dada por la presencia de
una firma manuscrita autorizada. Hoy en da cuando millones de personas en todo el mundo utilizan las
redes para realizar transacciones bancarias, compras y hasta declaracin de impuestos necesitamos un
reemplazo para las firmas manuscritas.
Bsicamente lo que se requiere es un sistema mediante el cual una parte pueda enviar un mensaje
"firmado" a otra parte de modo que:
1. El receptor pueda verificar la identidad proclamada del transmisor (autenticacin).
2. El transmisor no pueda repudiar despus el contenido del mensaje (no repudiacin).
3. El receptor no haya podido confeccionar o modificar el mensaje l mismo (integridad).
4. Ninguna otra persona pueda modificar el mensaje (integridad).
Esto se soluciona mediante la tcnica denominada firma digital.
El concepto de firma digital fue introducido por Diffie y Hellman en 1976. La firma digital puede
ayudar en la autenticacin e integridad de los datos enviados entre dos personas que tengan desconfianza
mutua, as como tambin puede evitar la no repudiacin del emisor.
Un sistema seguro de firma digital consistir en dos partes: por un lado un mtodo para firmar
documentos de forma que no sea posible la falsificacin, y por otro lado, un mtodo para verificar que la
firma fue generada por quin se dice.
Ahora, esta tecnologa no es muy importante si no se cuenta con un marco legal que regule el uso de
la firma digital en los documentos electrnicos. Se debe contar con una base legal para tratar a los
documentos firmados digitalmente como un documento firmado autgrafamente.
2 Firma digital
Una firma digital es un bloque de caracteres que acompaa a un documento, fichero o mensaje,
acreditando quin es su autor ("autenticacin") y que no ha existido ninguna manipulacin posterior de
los datos ("integridad").
Para firmar un documento digital, su autor utiliza su propia clave secreta, a la que slo l tiene acceso,
lo que impide que pueda despus negar su autora ("no revocacin"). De esta forma, el autor queda
vinculado al documento que firma.
Cualquier persona puede verificar la validez de una firma si dispone de la clave pblica del autor [1].
Las firmas digitales son creadas y verificadas por medio de la criptografia, que es una rama de la
matemticas aplicada involucrada en la transformacin (encriptacin) de mensajes en formas
aparentemente ilegibles y de muy difcil retroceso (es decir, es muy difcil obtener el mensaje original a
partir del mensaje encriptado sin contar con el algoritmo y los datos apropiados).
2.1 Definiciones
1. La UTAH DIGITAL SIGNATURE ACT define a la firma digital como: La transformacin de un
mensaje empleando un criptosistema asimtrico tal que una persona que posea el mensaje inicial y
la clave pblica del firmante pueda determinar con certeza la autenticidad del autor y la integridad
del mensaje [2].
2. En Alemania se define como: Un sello integrado en datos digitales, creado con una clave privada,
que permite identificar al propietario de la firma y comprobar que los datos no han sido falsificados.
[3]
3.
La comisin redactora del anteproyecto de ley de firma digital de la Repblica Argentina [a]
ARTICULO 2º define: La firma digital es el resultado de la transformacin de un documento
Firma Digital
Trabajo Final
digital por medio de una funcin de digesto seguro1 de mensaje, este ltimo encriptado con la clave
privada del suscriptor, de forma tal que la persona que posea el documento digital inicial, el digesto
encriptado y la clave pblica del suscriptor pueda determinar con certeza que la transformacin fue
realizada utilizando la clave privada correspondiente a dicha clave pblica y que el documento
digital no ha sido modificado desde que se efectu la transformacin.
En el procedimiento de firma digital intervienen:
a) una clave privada para firmar digitalmente.
b) la correspondiente clave pblica para verificar dicha firma digital.
c) el certificado de clave pblica que identifica al titular de dicha clave.
Las firmas digitales slo pueden ser creadas durante la vigencia del respectivo certificado de clave
pblica.
En sistema de correo electrnico: Despus de que una parte genera un mensaje, lo debera firmar
usando su clave privada. El mensaje seria enviado a la segunda parte, la cual verifica la firma del
mensaje recibido y puede confirmar que el mensaje fue firmado por la primer parte. Adems la
segunda parte puede estar segura de que el mensaje no fue alterado despus de que fue firmado.
En sistemas legales: Con frecuencia es necesario fijar una marca o estampilla de tiempo a un
documento para indicar la fecha y hora en la cual el documento fue ejecutado o entro en efecto. Se
debera fijar al documento una marca electrnica de tiempo y luego debera ser firmado. La
aplicacin de la firma al documento protege y confirma la integridad del documento y su marca de
tiempo.
La firma digital podra tambin ser usada en la distribucin de software. Una firma digital debera ser
aplicada al software despus de que a sido validada y aprobado para su distribucin. Antes de instalar
1 Una funcin de digesto seguro es lo que conmunmente se llama, y aqu llamaremos, una funcion hash
segura.
Braicovich Gustavo Ariel
Firma Digital
Trabajo Final
el software en una computadora, la firma debera ser verificada para estar seguros de que ningn
cambio desautorizado fue echo (tal como la adicin de un virus). La firma digital debera ser
verificada peridicamente para asegurar la integridad del software.
Estos ejemplos muestran como la firma digital pude ser usada en una variedad de aplicaciones para
mejorar la integridad de los datos y las aplicaciones.
4 Beneficios y costos
El uso de la firma digital en el comercio en general presenta tanto beneficios como costos. Los costos
consisten principalmente de [5]:
Costos del producto: Un persona que desea utilizar la firmante digital requerir software, y
probablemente tendr que pagar a una Autoridad de Certificacin algn precio por la emisin de un
certificado. As como tambin incurrir en gastos para software de verificacin y posiblemente para
acceso a certificados y a la lista de revocacin de certificados en un repositorio.
En el lado positivo, la principal ventaja ganada es una autenticacin de mensajes mas confiable. La
firma digital, si es apropiadamente implementada y utilizada ofrece soluciones prometedoras a los
problemas de:
Impostores: Para minimizar el riesgo de comerciar con impostores o personas quienes intentan
escapar a las responsabilidades diciendo que no han emitido un documento argumentando que han
sido plagiados.
Integridad del mensaje: Para minimizar el riesgo de saboteo y falsificacin de mensajes sin que sea
detectado, y para alejar falsos reclamos de que un mensaje fue alterado despus de que se enviado.
Requerimientos legales formales: Para fortalecer la perspectiva de que los requerimientos legales de
forma, tal como escritura, firma, y un documento original, son satisfecho, dado que la firmas digital
son funcionalmente son equivalentes con las formas de papel.
Sistemas abiertos: Para la retencin de un alto grado de seguridad en la informacin, incluso cuando
se enva la informacin por canales de comunicacin ampliamente usados.
Teniendo en cuenta las alternativas tal como, firmas en papel, imgenes computarizadas de firmas
escritas a mano, o firmas tipeadas tal como "s/John Smith", los beneficios de la firmas digitales valen mas
que su costos.
Las firmas digitales deben tener las mismas caractersticas que las firmas manuales:
Ser fcil y barata de producir.
Ser fcil de reconocer, tanto por parte del firmante como de otros.
Ser imposible de rechazar por parte del firmante.
Ser infalsificable, al menos en la teora.
Aunque se intenta que ambas tengan el mismo funcionamiento, hay dos caractersticas distintivas:
Firma Digital
Trabajo Final
la firma digital supera a la firma manuscrita en cuanto que permite la integridad de los datos de una
forma ms efectiva. Con la firma digital se puede verificar que el documento no ha sido alterado
desde que fue firmado, hecho que no lo permite la firma manuscrita.
Otra diferencia de la firma digital sobre la manuscrita, es que si dos documentos son diferentes
entonces la firma digital es diferente. En otras palabras la firma digital cambia de documento a
documento, si un sujeto firma dos documentos diferentes producir dos documentos firmados
diferentes. Si dos sujetos firman un mismo documento, tambin se producen dos diferentes
documentos firmados.
Algoritmo
RSA de
generacin
de claves
Clave privada
Clave pblica
Creacin de la firma digital: es el proceso mediante el cual se obtiene la firma a partir del
documento que se desea firmar y una clave privada.
Firma Digital
Trabajo Final
Clave privada
Algoritmo
RSA de
firmado
digital
Documento
Firma digital
Documento firmado
Documento
Firma digital
Figura 2: Firmado de documentos electronicos
Generalmente, la firma digital es ligada a su mensaje y almacenada o trasmitido con este. Sin
embargo, puede tambin ser enviado o almacenado como un elemento de datos separados, siempre que
este mantenga una asociacin confiable con su mensaje. Puesto que una firma digital es nica para su
mensaje, es intil si esta totalmente desconectada de su mensaje.[5]
Algoritmo
RSA de
verificacin
Documento firmado
SI o NO
es
autentico
Documento
Firma digital
Figura 3: Verificacin de documentos firmados
Firma Digital
Trabajo Final
Ahora bien, si la parte del documento o la parte de la firma es modificada, aunque sea ligeramente,
entonces, el procedimiento de verificacin lo detectara e indicar que el documento no es autentico. Si
una clave pblica verifica un documento firmado, entonces quiere decir que el documento fue firmado
con la correspondiente clave privada.
En realidad, a diferencia de la firma autgrafa la cual es una biometria y efectivamente prueba el acto
personal de firmado, la firma digital solo prueba que se utiliz la clave privada del sujeto y no prueba que
necesariamente fue firmado por el propietario de la firma. En consecuencia, no es posible hacer
irrefutable que un individuo firm un documento, en realidad tenemos que hacer irrefutable que es el
individuo el responsable de que el documento hubiese sido firmado con su clave privada. En otras
palabras, si un documento firmado verifica con la clave pblica de un sujeto, entonces el sujeto, aunque
no lo haya hecho, debe de reconocer el documento como autentico. Por lo tanto el sujeto debe de
responsabilizarse de mantener su clave privada en total secreto y no revelrsela a nadie, pues de hacerlo,
se vuelve responsable del mal uso de la misma
Debe poder convertir un mensaje de longitud arbitrara M en uno de longitud fija h(M)
Debe ser unidireccional, es decir, dado un valor Y debe ser computacionalmente imposible encontrar
M tal que h(M)=Y
Se debe poder asegurar que es computacionalmente imposible encontrar dos mensajes M y M' tales
que h(M) = h(M'). A esta propiedad se la denomina imposibilidad de colisin.
Firma Digital
Trabajo Final
Documento firmado
Documento
Documento
Funcin
Hash
Firma digital
Resultado hash
Clave privada
Algoritmo
RSA de
firmado
digital
Firma digital
Firma digital
Clave pblica
Funcin
hash
Algoritmo
RSA de
autenticacin
Resultado
hash
SI o NO
es
autentico
7 Certificados Digitales
Si dos personas desean intercambiar documentos electrnicos firmados digitalmente, antes, deben de
intercambiarse sus claves pblicas para que ambos puedan verificar escritos firmados por ellos. Si estos
Firma Digital
Trabajo Final
individuos quisieran reconocer formalmente la validez de la firma digital entonces tendran que sostener
un acuerdo formal, con firma autgrafa, en donde se reconozca la aceptacin de las tcnicas a utilizar y
sobre todo del reconocimiento y aceptacin, por parte de cada sujeto, de su clave publica. Esto no es una
tarea fcil ya que los sujetos podran estar a una distancia geogrfica muy grande.
Adems, un sujeto debera guardar por ejemplo en un archivo, las claves publicas junto con el
nombre y otros datos de todos los supuestos firmantes que le mandan documentos, ya que es necesario
para el proceso de verificar un documento firmado. Es decir, el sujeto que verifique documentos firmados
por 10 individuos deber contar con 10 archivos o con una base de datos conteniendo las 10 claves
pblicas de los posibles firmantes . Este nmero puede crecer considerablemente. Una solucin a este
problema de manejo de claves se basa en el concepto conocido como Certificado Digital.
Como se menciono, para verificar una firma digital , el receptor del mensaje debe obtener la clave
publica y tiene que asegurarse que la clave publica corresponde a la clave privada del firmante. Sin
embargo, un par de claves publica y privada no tiene una asociacin consustancial con alguna persona; es
simplemente un par de nmeros. La asociacin entre una persona particular y un par de claves puede ser
echa mediante lo que se denomina Certificado Digital.
El Certificado Digital es en si un documento firmado digitalmente por una persona o entidad
denominada Autoridad Certificadora, dicho documento establece una relacin entre un sujeto y su clave
pblica. Es decir, Los Certificados son registros electrnicos emitidos por la Autoridad Certificante que
atestiguan que una clave pblica pertenece a determinado individuo o entidad. Permiten verificar que una
clave pblicadada pertenece fehacientemente a una determinada persona. En su forma ms simple,
contienen una clave pblica y un nombre, la fecha de vencimiento de la clave, el nombre de la autoridad
certificante y su firma digital y el nmero de serie del certificado. [6]
Una Autoridad certificadora puede ser definida como una tercera parte fiable que acredita, actuando
como una especie de notario que extiende un certificado de claves (firmado con su propia clave), la
ligazn entre una determinada clave y su propietario real [1].
Verisign[b] y Thawte[c] son las autoridades de certificacin ms reconocidas a nivel mundial. En
Espaa destacan IPS[d], ACE[e]y FESTE[f].
Cualquier persona que conozca la clave pblica de la Autoridad certificadora puede verificar un
Certificado Digital de la misma forma que se autentifica cualquier otro documento firmado, como se
ilustra en la siguiente figura.
Clave pblica
de la AC
Algoritmo
RSA de
verificacin
SI o NO
es
autentico
Certificado Digital
ID
Firma digital
de la AC
Figura 6: Autenticidad del Certificado Digital
Si el Certificado es autentico y la autoridad certificadora es confiable, entonces, podemos confiar en
que el sujeto identificado en el Certificado Digital posee la clave pblica que se seala en dicho
certificado, cualquiera que conozca la clave pblica de la AC podr verificar el documento, como se
ilustra en la siguiente figura.
10
Firma Digital
Trabajo Final
Clave AC
Autenticacin
Certificado Digital
ID
ID
Firma digital
Firma digital
Clave
Autenticacin
SI o NO
es
autentico
Documento firmado
Documento
Firma digital
Figura 7: Autenticidad de documentos firmados
Para que los certificados estn al alcance de todas las personas que desean autenticar documentos,
debe ser publicado en un repositorio o echo disponible de alguna otra manera. Los repositorios son bases
de datos a las que el pblico puede acceder directamente en lnea (on-line). La recuperacin puede ser
realizado automticamente considerando que el programa de verificacin directamente busca en el
repositorio los certificados necesarios [5].
Existen aplicaciones destinadas a crear, firmar y administrar certificados de claves, y que permiten a
una empresa u organizacin constituirse en autoridad de certificacin para suplir sus propias necesidades.
A estas aplicaciones se las denomina servidores de certificados.
Uno de los productos ms utilizados es Netcape Certificate Server [g].
El estndar, internacional aceptado, para Certificados Digitales, es el denominado X.509 de la CCITT.
Los campos bsicos del certificado X.509 se ilustran en la siguiente figura.
Certificado Digital
ID
Firma digital
Version:
1
Nmero de Serie:
251...
Nombre de Emisor: AC
Invalido antes de:
Fecha UTC
Invalido despues de: Fecha UTC
Nombre de Sujeto: Juan Prez
Clave pblica:
82736...
11
Firma Digital
Trabajo Final
en formato UTC, contiene el ao, mes, da, hora, minutos y segundos siempre en relacin a la hora del
meridiano de Greenwich[6].
Algunos programas, como PGP, no utilizan autoridades de certificacin externas, sino que delegan en
el propio usuario la responsabilidad de certificar claves conforma a su criterio, estableciendo lo que se
denomina una red de confianza (Web of Trust) totalmente descentralizada, pero con el apoyo de una red
de servidores de claves.
La Global Trust Register [h] es un directorio que contiene las principales claves pblicas del mundo
que permite verificar la validez de certificados X.509 y claves pblicas PGP. [1]
CRL
Firma Digital
12
Firma Digital
Trabajo Final
Un CRL puede ser autenticado como cualquier otro documento firmado digitalmente, en este caso con
la clave pblica de la Autoridad Certificadora. Una vez autenticado, podemos confiar en su contenido y
determinar con certeza si un certificado esta revocado o no, esto es hasta la fecha definida por "Ultima
Actualizacin". El CRL es muy til en algunos casos, por ejemplo:
1.
2.
3.
4.
5.
En caso de encontrar que, el nmero de serie de B, si esta en el CRL, entonces , el sujeto A no puede
confiar en el documento firmado, en caso contrario, el sujeto A si puede confiar en l.
Ahora bien, supongamos que el sujeto B, revoca su certificado el da 15 de marzo de 1997 y refuta la
valides del documento el da 17 de Marzo de 1997. Ntese que el nmero de serie del certificado del
documento B aparece en el CRL del da 16. Cuales serian entonces los elementos de prueba que el sujeto
A tendra que demostrar para mostrar que recivio un documento legitimo:
1. Que el documento recibido, es autentico, de acuerdo al procedimiento de la figura 7.
2. Que al 14 de Marzo de 1997, el certificado del sujeto B no haba sido revocado, mediante el CRL de
ese da.
3. Que recibi el documento antes del 14 de marzo de 1997.
Los puntos 1 y 2 son fcilmente demostrables por el sujeto A, pero el punto 3 no, aun cuando la fecha
del firmado del documento este explcitamente descrito en el cuerpo del documento. Ntese que, el que
un documento firmado este fechado, esto no significa que el documento fue firmado en esa fecha sino
solo la voluntad del firmante para reconocerla como la fecha en la que se firmo el documento. En los
documentos electrnicos firmados digitalmente el problema es mas complejo puesto que el sujeto B
puede argumentar que el documento fue echo en forma apcrifa (no autentica) despus del da 15 y
simplemente se especifico Marzo 13 como la fecha de firmado, La solucin a este problema se la conoce
como "Recibo Electrnico" o simplemente recibo.
8. Recibo Electrnico
El recibo es un documento firmado digitalmente que contiene un mensaje y a continuacin contiene
una fecha. Al firmante del recibo le llamaremos "Emisor del Recibo". Supongamos que el emisor del
recibo es una persona o entidad en la que todos confiamos y de la que conocemos su clave pblica. A esta
persona o entidad la denominaremos "Autoridad de Oficiala de Partes" y su funcin es la de recibir
mensajes electrnicos, concatenarles la fecha actual, y el resultado se firma con su clave privada. El
resultado es una prueba de que un mensaje electrnico existi a una determinada fecha como se ilustra en
la siguiente figura.
Clave
pblica del
emisor de
recibo
Algoritmo
RSA de
firmado digital
Firma digital
Recibo
Contenido a
recibir
Contenido a
recibir
Fecha UTP
Fecha UTP
Firma digital
Figura 10: Emisin de recibos
13
Firma Digital
Trabajo Final
Ahora bien, que pasa si el sujeto A es quien refuta haber recibido dicho documento. Entonces el sujeto
B tiene que probar:
1.
2.
3.
Para probar el punto 1, parece irremediable que el sujeto B requiere de un recibo del sujeto A
atestiguando el documento recibido con la fecha del 13 de Marzo. El punto 2, se prueba mediante el
documento firmado, y el punto 3 mediante el CRL del da 14 o posterior. Hay un aspecto adicional y se
refiere a que el recibo del sujeto A es en si un documento firmado que exige el mismo tratamiento del
documento firmado por B y recibido por A. El circulo se rompe sin embargo, pues el sujeto B puede
verificar el recibo de A y solicitar a la Autoridad de Oficiala de Partes un recibo atestiguando el recibo de
A. Un flujo mas sencillo y seguro es el que se ilustra en la siguiente figura
Sujeto B
Sujeto A
Documento
Documento
2
Firma de B
Documento
Oficialia de
Partes
Documento
3
Firma de B
Firma de B
Firma de A
Firma de A
Documento
Documento
Firma de B
Firma de B
Firma de B
Firma de A
Firma de A
Firma de A
UTC
UTC
UTC
Firma de ADP
Firma de ADP
Firma de ADP
14
Firma Digital
Trabajo Final
del CRL es inadecuado. Tambin puede resultar inadecuado que el CRL sea de un tamao tal, que la
transmisin o manejo resultasen en procesos lentos.
Esto es particularmente importante para aplicaciones del sector financiero, en donde se debe de actuar
de inmediato ante el intercambio electrnico de transacciones financieras. La solucin a este problema la
ofrece la denominada "Autoridad Registradora".
9 Autoridad Registradora
La "Autoridad Registradora" es un ente o persona en la que todos confiamos y que ofrece servicios
electrnicos de consulta a un CRL actualizadas al instante. La AR recibe solicitudes de consulta sobre el
estado de revocacin de un Certificado Digital y responde indicando si esta o no revocado, en caso de
estar revocado, proporciona la fecha UTC de revocacin del certificado. El procedimiento se ilustra en la
siguiente figura.
Consulta certificado
por nmero de serie
CRL
Estado
Firma
Fecha UTC
Fecha
Clave
Clave privada de la AR
Firma
El estado puede ser "no
revocado" o puede ser
"revocado"y contener la
fecha UTC de la revocacin
10 Agentes Certificadores
Como se puede apreciar en las secciones anteriores, una de las principales funciones de la Autoridad
Certificadora es la de precisamente "dar fe digital"' de la liga entre el sujeto y la clave publica. Es lgico
pensar que el procedimiento consiste en que el sujeto pruebe su identidad y, en caso de representar a una
persona moral, los poderes legales para hacerlo. Adems el sujeto debe de manifestar su voluntad de
aceptar su clave pblica y probar (mediante autofirmado de un mensaje) que es propietario de la
correspondiente clave privada. Adems de la documentacin sustentadora, es conveniente que el sujeto
entregue a la AC un documento electrnico conteniendo sus datos y su clave pblica. A dicho documento
le denominamos " Requerimiento de Certificacin".
En principio, se propone que el proceso de certificacin, sera un procedimiento que requiera de la
presencia fsica del sujeto, junto con la documentacin sustentadora y un requerimiento de certificacin.
Sin embargo la AC es una sola persona o entidad, esto significara que los sujetos deberan de presentarse
15
Firma Digital
Trabajo Final
ante esta persona o entidad. Esto no es viable, pues los servicios electrnicos se prestan entre puntos
geogrficamente separados.
La solucin a este problema son los denominados "Agentes Certificadores". Un Agente certificador
es una persona o entidad autorizada por la AC y la auxilia en el procedimiento de "dar fe" de que los
requisitos que un sujeto tiene que satisfacer sean satisfechos de acuerdo a un procedimiento establecido.
16
Firma Digital
Trabajo Final
12 El campo legal
Uno de los aspectos decisivos para afianzar el comercio electrnico est constituido por el entorno
jurdico, es decir, las leyes que sirvan de soporte para las transacciones, e introduzcan el concepto de
seguridad jurdica en el mercado digital.
Muchas personas son reacias al uso de la firma digital porque no ven con buenos ojos el que un
consentimiento se trasmita en forma de bits. Sin embargo, aquellas personas que tienen por norma
documentar sus transacciones con contratos escritos podrn comprobar en poco tiempo, que la firma
digital aporta una eficacia probatoria igual, o incluso superior a la que aporta la firma manuscrita.
La firma digital es el instrumento que permitir, entre otras cosas, determinar de forma fiable si las
partes que intervienen en una transaccin son realmente las que dicen ser, y si el contenido del contrato ha
sido alterado o no posteriormente.
Las primera ley que ha regulado los aspectos jurdicos de la firma digital como instrumento probatorio
se aprob en Utah. Posteriormente surgieron proyectos legislativos en Georgia, California y Washington.
En Europa, el primer pas que ha aprobado una Ley sobre la materia ha sido Alemania.
Es evidente que la eficacia de estas leyes radica en su uniformidad, ya que si su contenido difiere en
cada estado, ser difcil su aplicacin a un entorno global como Internet. Por ello, el esfuerzo a realizar a
partir de ahora deber centrarse en la consecucin de un modelo supraestatal, que pueda ser implantado
de manera uniforme en las leyes nacionales. Tal tarea puede encomendarse a organismos internacionales
como UNCITRAL, que ya dispone de experiencia en iniciativas similares en materia de Intercambio de
Datos Electrnicos (EDI) [3].
Para comprende el significado legal de la firma digital puede remitirse a ABA Guidelines [i], donde se
explica el valor de la firma digital en aplicaciones legales. Adems se publican las base de la tecnologa
de firma digital , y examina como, con alguna infraestructura legal e institucional, la tecnologa de firma
digital puede ser aplicada como una alternativa informtica robusta a la firma tradicional.
17
Firma Digital
Trabajo Final
Ministerio de Justicia
Actualmente se est trabajando en una comisin del Ministerio de Justicia para hacer un
anteproyecto de ley sobre firma digital. El anteproyecto partir del Decreto 427/98 y de la
traduccin realizada por la propia comisin del Proyecto de Directiva Europea [l] en materia de
firmas digitales (5/98).
En el Parlamento Argentino se presento en julio el primer proyecto de ley sobre firmas digitales por
los diputados Arnaldo Estrada y Juan Manuel Valcarcel.
18
Firma Digital
Trabajo Final
14 ABA Guidelines
Las lneas de gua ABA al igual que la Utah Act son un intento de avanzar en el reconocimiento
legal de las firmas digitales y establecen una infraestructura institucional para el soporte de la
autenticacin digital.
Las lneas de gua ABA sobre firma digital han sido redactadas por el Comit de Seguridad de
Informacin de la Divisin Comercio Electrnico, Seccin de Ciencias y Tecnologa de la American Bar
Association (ABA) [i]. El Comit explora los aspectos de seguridad de informacin y legales, del
comercio electrnico y otras cuestiones relacionadas a la tecnologa de informacin.
La seccin de ciencias y tecnologas de la American Bar Association ha producido el primer vistazo
general del uso de la criptografia, firmas electrnicas , y entidad de autenticacin sobre una red abierta tal
como Internet. El documento resultante es llamado la "Digital Signature Guideline".
Estas lneas de gua buscan establecer un manto seguro con la intencin de (1) minimizar la incidencia
de falsificacin electrnica, (2) permitir y fomentar la autenticacin confiable de documentos
computacionalmente, (3) facilitar el comercio por medio de la comunicacin computarizada. Y (4) dar
efecto legal a la importancia general del estndar tcnico para autenticacin de mensajes computarizados.
15.1 DSA
Un algoritmo muy extendido es el Digital Signature Algorithm (DSA) definido en el Digital Signature
Standard (DSS), el cual fue propuesto por el U.S. National Institute of Standards and Technology (NIST).
Este algoritmo se basa en la funcin exponencial discreta en un campo de elementos finito, la cual tiene la
caracterstica de ser difcilmente reversible (logaritmo discreto).
Como ya se dijo, la criptografia de clave publica hace uso de dos claves: una clave publica y una
privada. Las dos estn matemticamente relacionadas, pero la clave privada no pude ser determinada a
partir de la clave publica. En un sistema implementado con tecnologa de clave publica, cada parte tiene
su propio par de claves publica - privada. La clave privada es secreta, mientras que la publica pude ser
conocida por cualquiera .
19
Firma Digital
Trabajo Final
El DSS define un sistema criptografico de clave publica para generar y verificar las firmas digitales.
La clave privada es generada aleatoriamente. Usando esta clave y un procedimiento matemtico definido
en el standard, se genera la clave publica. El DSS es usado con el Secure Hash Standard (SHS), para
generar y verificar firmas digitales [4].
El standard de hash seguro (SHS), especifica un algoritmo de hash seguro para usar con el standard de
firma digital (DSS)
La firma y la verificacin de un documento sigue el patrn descripto anteriormente en la utilizacin de
una funcin hash:
1. Para generar la firma, el poseedor de la clave privada aplica el Algoritmo Hash Seguro (SHA), como
es definido en el SHS, al mensaje. As obtenemos un extracto o resumen del mensaje.
2. El poseedor de la clave privada aplica la clave privada al resumen del mensaje usando la tcnica
matemtica especificada en el DSA para producir una firma digital.
Cualquier parte con acceso a la clave publica, el mensaje, y la firma puede verificar la firma usando el
DSA.
Este algoritmo al igual que el RSA proporciona los servicios de no repudio, integridad y
autenticacin, pero no posee la capacidad para proporcionar el servicio de confidencialidad de la
informacin. Si se requiere la confidencialidad, el firmante deber primero aplicar DES al mensaje y
despus firmarlo usando DSA.
En [10] se especifican los parmetros y algoritmos del DSA.
15.1.1 Seguridad del DSA
En un principio el DSS utilizaba una clave de 512 bits. Esto no pareca suficientemente seguro para la
potencia de clculo de los ordenadores actuales. Posteriormente el NIST revis el DSS para permitir el
uso de claves de 1024 ms bits. Con estos valores de la clave el ataque exhaustivo no asegura romper la
firma en un tiempo razonable. Sin embargo algunos investigadores alertan sobre la posible existencia de
"puertas traseras" en el DSS que podra hacer que la clave fuera fcilmente rota.
Otro tema acerca de la seguridad del DSS es que no ha sido suficientemente estudiado hasta el
momento. El estudio pblico de cualquier algoritmo de cifrado permite la aparicin de pequeos errores
que tenga el algoritmo.
15.2 PGP
PGP es un programa gratuito para usos no comerciales que aporta las siguientes funciones:
PGP es -ante todo- un instrumento para mantener nuestra privacidad en Internet, es decir, para que
todo lo que escribamos, afirmemos u opinemos se mantenga en el estricto mbito de lo privado, cuando
esa sea nuestra intencin [11].
15.3 RSA
El Rivest-Shamir-Adelman (RSA) es, probablemente, el mas importante y ampliamente usado
algoritmo de clave publica. El esquema propuesto por RSA es el que se utilizo para describir el uso
de la firma digital en la seccin 8, y provee tanto el servicio de firma digital como de
confidencialidad.
El algoritmo utiliza la funcin potencia tanto para encriptar como para desencriptar. . Hoy da,
512 bits es considerado dbil, 1024 bits o mas es considerado seguro al menos para muchos
propsitos.
El uso de las claves no se diferencia entre si. Es decir que una clave podra ser usada como
pblica o privada indistintamente.
Generacin de la firma: y=x^e, (modulo m)
Desencriptacin de la firma: x=y^d, (modulo m)
20
Firma Digital
Trabajo Final
Donde:
El modulo m usado aqu es obtenido usando dos nmeros primos grandes , p y q, diferentes
uno del otro. La seguridad del RSA se basa en la dificultad de factorizar enteros grandes. El
receptor publica a m como parte de la clave publica pero mantiene a p y q secretas [12].
16 Conclusiones
La firma digital podra ser vista o evaluada desde dos punto de vista. El primero, es desde el punto de
vista de la tecnologa de firma digital, y el segundo punto de vista, es el respaldo legal que tiene el uso de
esta.
Si miramos la tecnologa de firma digital, nos encontramos con numerosos algoritmos de firma
digital que se estn utilizando hoy da, los cuales difieren en cuanto a seguridad, practicidad, velocidad y
si provee o no confidencialidad de la informacin. En este sentido contamos con suficientes productos
como para seleccionar l mas adecuado a nuestras necesidades. Adems la mayora de los algoritmos
estn suficientemente probada su robustez a la falla (es decir, son extremadamente difcil de quebrar).
Si la meta era buscar un reemplazante digital de la firma manuscrita, creo que se logro y hasta se
supero en algunos aspectos ya que, por ejemplo, la firma digital permite comprobar la integridad de los
datos, sea se puede verificar que los datos no fueron alterados despus de que fueron firmados.
Por otro lado la firma digital no valdra de mucho si no se cuenta con un respaldo legal que regule el
uso de la firma digital. Y es este, para m, el punto ms dbil de la firma digital ya que en muchos pases
ni si quiera se encuentra legalizado el uso de la misma.
Como ya mencione en un pas tecnolgicamente avanzados como Estados Unidos recin La primera
ley para regular los aspectos jurdicos de la firma digital como instrumento probatorio se aprob hace
poco tiempo en Uta. Posteriormente surgieron proyectos legislativos en Georgia, California y
Washington. En Europa, el primer pas que aprob una Ley sobre la materia fue Alemania.
A diferencia de lo sucedido en los Estados Unidos y la Comunidad Europea, en la Argentina recin
s esta comenzando a trabajar en una ley para regular el uso de la firma digital. Existe hoy da un
anteproyecto de firma digital que permitir legalizar la misma.
El problema del respaldo legal de la firma digital no termina ah, ya que se necesita una uniformidad
de las leyes, debido a que sus contenidos varan de un pas a otro y es difcil su aplicacin en un entorno
global como Internet.
Podemos concluir que si bien la tecnologa esta madura en cuanto a la generacin y verificacin de la
firma digital, creo que en cuanto a la base legal recin estamos dando los primeros pasos, y esto retiene en
cierto grado, el uso masivo de la firma digital. Adems, este poco uso trae aparejado que mucha gente ni
siquiera conozca la existencia de la firma digital. Es mas, realic una suerte de encuesta en la universidad
para saber que se conoca del tema en la regin, y arrojo que la gran mayora de los estudiantes ni siquiera
haba escuchado nombrar a la firma digital, y los pocos que algo haban escuchado, no saban de que se
tratab.
No obstante esto, se ve que en pocos tiempos la situacin cambiara, y la firma digital pasara a ser un
instrumento comn cuando se realicen transacciones bancarias, compras, y cualquier operacin que
requiera una firma. Todo esto viene adems impulsado por el vertiginoso crecimiento del uso de las redes
de comunicacin, tal como Internet, que acerca cada vez mas gente a la necesidad de usar la firma digital
para las operaciones (va la red) que la necesitan. Es mas, seguramente en un corto tiempo tendr la
popularidad de la firma manuscrita.
21
Firma Digital
Trabajo Final
17 Referencias
[1] Kriptpolis: Firmas Digitales
HTTP://www.Kriptopolis.com/FirmaD.html
[2] Mauricio Devoto: Firma Digital
HTTP://www.it-cenit.org.ar/links/firma.html
[3] Xavier Rivas: Definiciones
HTTP://www.asertel.es/cs/06041004.html
[4] The Center For Decision Support: Digital Signature Standard
HTTP://www.bilbo.isu.edu/security/isl/dss_fact.htm
[5] American Bar Associations: Digital Signature Guidelines
HTTP://www.Abanet.org/sctech/ds_ms.doc
[6] Ignacio Mendivl: El ABC de los Documentos Electrnicos Seguros
HTTP://www.seguridad.com/temasabc.htm
[7] Prctica del Laboratorio de Redes de Ordenadores 1997/98: Firma Digital
HTTP://www.a01-unix.gsyc.inf.uc3m.es/~aie/Iro9798/firma_digital.html
[8] Organismo Licenciante
HTTP://www.pki.gov.ar/Doc.html
[9] Mauricio Devoto - Pablo Andrs Palazzi: La contratacin electrnica el la Argentina
HTTP://www.gmw.ac.uk/~t16345/argentina.html
[10] Estndar de Firma Digital (DSS)
HTTP://www.a01-unix.gsyc.inf.uc3m.es/~aie/Iro9798/DSS.html
[11] Kriptpolis: Introduccin a PGP
HTTP://www.kriptopolis.com/introd.html
[12]Material de clase: Authentication
Bibliografia1/Autentic/methauth.htm
18 Links
[a] Anteproyecto de ley de firma digital en la Repblica Argentina
HTTP://www.colegio_escrivanos.org.ar/anteproyecto.html
[b] Autoridad de Certificacin Verisign
HTTP://www.verisign.com
[c] Autoridad de Certificacin thawte
HTTP://www.thawte.com
[d] Autoridad de Certificacin Espaola IPS
HTTP://www.ips.es
[e] Autoridad de Certificacin Espaola ACE
HTTP://www.ace.es
[f] Autoridad de Certificacin Espaola FESTE
HTTP://www.feste.com
[g] Servidor de certificados Nescaper
HTTP://home.net.scape.com/certificate/v1.0/index.html
[h] La Global Trust Registers
HTTP://www.cl/cam.ac.uk/research/security/trust-register/index.html
[i] ABA Guideline
HTTP://www.abanet.org/sctech/ds-ms.doc
[j] Resolucin 45/97; Secretaria de la funcin publica
HTTP://www.sfp.gov.ar/firma.html
[k] Decreto 427/98; Poder ejecutivo de la Nacin
HTTP://infoleg.mecon.ar/txtnorma/50410.htm
[l] Proyecto de la directiva Europea
HTTP://memebers.theglobe.com/boletin/directiva.htm
[m] Ministerio de economa, obras y servicios pblicos
HTTP://www.mecon.ar
22