Firma digital

El concepto de firma digital nació como una oferta tecnológica para acercar la operatoria social usual de la firma ológrafa (manuscrita) al marco de lo que se ha dado en llamar el ciberespacio o el trabajo en redes.
Consiste en la transformación de un mensaje utilizando un sistema de cifrado asimétrico de manera que la persona que posee el mensaje original y la clave pública del firmante, pueda establecer
de forma segura, que dicha transformación se efectuó utilizando la clave privada correspondiente a la pública del firmante, y si el mensaje es el original o fue alterado desde su concepción.
El fin, de la firma digital, es el mismo de la firma ológrafa: dar asentimiento y compromiso con el documento firmado; y es por eso que a través de la legislación, se intenta acercarla, exigiéndose ciertos requisitos de validez.

Función de una firma digital
Primero se produce un resumen del mensaje, luego se encripta este resumen. Si estamos utilizando criptografía asimétrica lo encriptamos con nuestra clave privada.
De esta forma la única persona que conozca la clave privada será capaz de firmar digitalmente en nuestro nombre.

Como comprobar una firma digital
Desencriptamos la firma digital, usando la clave publica si han utilizado un método asimétrico. Obtenemos el resumen del mensaje original.
Hacemos un hash sobre el mensaje original.
Comprobamos nuestro resumen con el obtenido al desencriptar y si coinciden la firma digital es valida.

Ventajas Ofrecidas por la Firma Digital
Gracias a la firma digital, los ciudadanos podrán realizar transacciones de comercio electrónico seguras y relacionarse con la Administración con la máxima eficacia jurídica, abriéndose por fin las puertas a la posibilidad de obtener documentos como la cédula de identidad, carnet de conducir, pasaporte, certificados de nacimiento, o votar en los próximos comicios cómodamente desde su casa.
Ahora bien, en un contexto electrónico, en el que no existe contacto directo entre las partes, ¿resulta posible que los usuarios de un servicio puedan presentar un documento digital que ofrezca las mismas funcionalidades que los documentos físicos, pero sin perder la seguridad y confianza de que estos últimos están dotados? La respuesta, por fortuna, es afirmativa, ya que el uso de la firma digital va a satisfacer los siguientes aspectos de seguridad:

Integridad de la información: la integridad del documento es una protección contra la modificación de los datos en forma intencional o accidental. El emisor protege el documento, incorporándole a ese un valor de control de integridad, que corresponde a un valor único, calculado a partir del contenido del mensaje al momento de su creación. El receptor deberá efectuar el mismo cálculo sobre el documento recibido y comparar el valor calculado con el enviado por el emisor. De coincidir, se concluye que el documento no ha sido modificado durante la transferencia.

Autenticidad del origen del mensaje: este aspecto de seguridad protege al receptor del documento, garantizándole que dicho mensaje ha sido generado por la parte identificada en el documento como emisor del mismo, no pudiendo alguna otra entidad suplantar a un usuario del sistema. Esto se logra mediante la inclusión en el documento transmitido de un valor de autenticación (MAC, Message autentication code). El valor depende tanto del contenido del documento como de la clave secreta en poder del emisor.

No repudio del origen: el no repudio de origen protege al receptor del documento de la negación del emisor de haberlo enviado. Este aspecto de seguridad es más fuerte que los anteriores ya que el emisor no puede negar bajo ninguna circunstancia que ha generado dicho mensaje, transformándose en un medio de prueba inequívoco respecto de la responsabilidad del usuario del sistema.

Imposibilidad de suplantación: el hecho de que la firma haya sido creada por el signatario mediante medios que mantiene bajo su propio control (su clave privada protegida, por ejemplo, por una contraseña, una tarjeta inteligente, etc.) asegura, además, la imposibilidad de su suplantación por otro individuo.

Auditabilidad: permite identificar y rastrear las operaciones llevadas a cabo por el usuario dentro de un sistema informático cuyo acceso se realiza mediante la presentación de certificados,

El acuerdo de claves secretas: garantiza la confidencialidad de la información intercambiada ente las partes, esté firmada o no, como por ejemplo en las transacciones seguras realizadas a través de SSL.

Certificado digital

Un Certificado Digital es un documento digital mediante el cual un tercero confiable garantiza la vinculación entre la identidad de un sujeto o entidad y su clave pública.
Esta entidad certificadora debe firmar la llave publica.
Si bien existen variados formatos para certificados digitales, los más comúnmente empleados se rigen por el estándar UIT-T X.509. El certificado
contiene usualmente el nombre de la entidad certificada, un número serial, fecha de expiración, una copia de la clave pública del titular del certificado (utilizada para la verificación de su firma digital), y la firma digital de la autoridad emisora del certificado de forma que el receptor pueda verificar que esta última ha establecido realmente la asociación.

Quien da certificados
Tiene que haber una tercera parte, de confianza para emisor y receptor, que certifique a ambos.
Estas terceras partes reciben el nombre de “Trusted Third Parties (TTP)”, terceras partes de confianza. Su labor, básicamente, consiste en identificar a usuarios, empresas o servicios con una determinada clave pública.
Las entidades que emiten certificados reciben el nombre de “Certification Authority (CA)”, las cuales han de ser de confianza y pueden estar certificadas por ellas mismas o por otra
CA superior.

En que consiste un certificado

Básicamente un certificado esta compuesto por varios campos:

Identidad del propietario.
Clave pública.
Periodo de validez.
Identidad y clave pública de la CA que lo expidió.
Firma digital del certificado. Esta firma esta realizada por la CA.
Revocaciones de certificados.

La seguridad de un certificado reside en la confidencialidad de la clave privada. Al ser los certificados de dominio publicó cualquiera puede comprobarlos y lo único que le certifican es quien es el propietario de una determinada clave pública. Ese propietario es laúnica” persona que conoce la clave privada correspondiente a la pública certificada.
La persona que conozca una determinada clave privada puede certificarse utilizando el certificado de la correspondiente clave pública y de esta forma ofrecer una “falsa” seguridad a la persona que ha verificado el certificado (Suplantación de personalidad).
Cuando un certificado ha sido revocado la CA que lo expidió lo coloca en su “Certification
Revocation Lists (CRL)”, lista de revocación de certificados.

Comprobación de certificados

Cuando queremos establecer una comunicación con “alguien” debemos poseer su clave pública.
Una vez conseguida debemos asegurarnos que es quien dice ser. Para ello solicitamos su certificado y comprobamos su validez de la siguiente forma:

1. Comprobamos su caducidad.

2. Comprobamos que CA lo expidió.

3. Comprobamos el certificado de la CA, así como todos los certificados de CA’s superiores que haya, si se da el caso, certificado a la CA anterior.

4. Comprobamos que el certificado no fue manipulado, comprobando la firma digital de la CA.

5. Comprobamos CRL de la CA para verificar que no ha sido revocado.

Después de todo esto podemos establecer una conexión “segura” y “autenticada”.

Fuente: Tareas