|
Econet : Chistes | Diccionario de Informatica | Ecoideas | Home | Imagenes | Imagenes de Arte | Enlaces | Grifitis| Faq's | Notas| Poesia| Reflexiones | Reciclaje| Software | Virus |Contactenos | |
| FIRMA ELECTRONICA | |
Preocupa a los usuarios la seguridad que se encuentran en
Internet. Sabemos que protocolos como SSL y SET contribuyen a mejorar la seguridad, pero,
¿cómo funcionan? En esta
nota veremos de forma sencilla los conceptos de criptografía que intervienen en la firma
digital y que se utilizan en SET y SSL. Estos
conceptos tienen un uso muy amplio, e intervienen también en aspectos tan novedosos como
la generación de firmas de software, lo que permite garantizar que el software no se ha
modificado desde su generación y por tanto lo protege de los virus. Con la integración
de algoritmos de cifrado de clave pública dentro del estándar EMV de tarjeta chip, y la
anunciada convergencia con el estándar SET pronto se generalizará a los medios de pago
convencionales. La firma electrónica definirá el futuro documento nacional de identidad
electrónico y las relaciones comerciales del futuro. La firma
manuscrita La firma
manuscrita permite certificar el reconocimiento o conformidad sobre un documento por parte
del firmante, de forma que tiene una gran importancia desde el punto de vista legal.
Aunque existen diferentes formas de mostrar o demostrar conformidad con diferentes
actuaciones, o de cerrar acuerdos entre personas o empresas, la firma manuscrita, tiene un
reconocimiento particularmente alto. Se considera que la firma, pese a que puede ser
falsificada, tiene peculiaridades que la hacen fácil de realizar, fácil de comprobar y
vincula a quien la realiza. La firma
manuscrita tiene las siguientes propiedades: Sólo puede
ser realizada por una persona La puede
comprobar cualquier persona, con la referencia de una muestra Cuando la
firma se realiza sobre un documento, la propia irreproducibilidad del papel y de las
tintas permite distinguir cuando se trata del documento original y cuando se trata de una
fotocopia o de cualquier otra reproducción. El problema
del reconocimiento de firma se resuelve, cuando ésta es manuscrita, mediante la
comparación con una muestra (la del documento de identidad, la de la tarjeta de
crédito). Ocasionalmente, puede solicitarse una autentificación de firma, que se obtiene
en los bancos y otras entidades. Así que
nuestra firma figura en el documento de identidad, en el carnet de conducir, en nuestras
tarjetas de crédito, en las solicitudes y formularios que rellenamos, en los contratos
que establecemos, en las certificaciones que hacemos. La firma
figura en todas las ocasiones en las que debe reconocerse conformidad o presencia del
firmante. Algo que es
tan fácil de hacer y comprobar en el mundo real, no es tan sencillo en el mundo virtual.
Requiere el uso de la Criptografía y el empleo de propiedades matemáticas de los
mensajes codificados Criptografía El objetivo
básico de la criptografía es encontrar sistemas que permitan hacer llegar determinada
información considerada secreta, desde un lugar origen a otro destino, de forma tan
segura que, si el mensaje es interceptado, un atacante no pueda reconocer el mensaje. A partir de
este planteamiento, la criptología clásica determinaba algoritmos y manipulaciones del
mensaje, que se realizaban habitualmente sobre textos escritos y que se recogían en
manuales de difusión controlada, de forma que los procedimientos y las claves eran, a su
vez, objetos a proteger, ya que en caso de caer en manos del "enemigo", toda la
red de comunicaciones quedaba expuesta. El uso de computadoras facilita enormemente la
labor de los criptólogos y la de los criptoanalistas: la de los que quieren proteger la
información, y la de los que desean revelarla. De esta
forma se plantean nuevas formas de protección, más válidas cuando el documento está en
forma de registro (almacenado o transmitido), que cuando se transcribe a un papel para su
envío. Estas formas de protección parten del supuesto de que los criptoanalistas
atacantes disponen, al menos, de los mismos medios que los criptólogos que protegen la
información. Uno de los objetivos de la criptografía moderna es encontrar algoritmos
basados en principios matemáticos (como la imposibilidad de tratamiento computacional de
determinados problemas complejos) que, siendo públicos (es decir, supuestamente conocidos
por un criptoanalista atacante) permitan garantizar la inviolabilidad de los mensajes
protegidos por ellos, al menos durante el tiempo en que pueda ser útil el conocimiento de
la información protegida.
Los aspectos
débiles de cada mecanismo se van analizando con el objetivo de encontrar otro más
seguro, lo que lleva a realizar equivalencias de símbolos con letras, diptongos y
triptongos, transposiciones y dispersiones de símbolos que eliminen patrones
estadísticos. Todos estos mecanismos se debían resolver mediante la capacidad mental del
criptoanalista y la ayuda de un block de notas y algunas tabulaciones de símbolos, hasta
la llegada de las computadoras. Cifrado
simétrico En 1977 se
publica el Data Encryption Standard, a partir de un encargo del Ministerio de Defensa
norteamericano a IBM. El DES especifica diferentes variantes de tratamiento del DEA: Data
Encryption Algorithm. Este algoritmo, basado en los principios de substitución y
transposición de bits, tiene la propiedad de que, utilizando el mismo algoritmo y la
misma clave, permite obtener el texto cifrado a partir del texto en claro y viceversa. Por
este motivo, puesto que el algoritmo es público, es necesario mantener el secreto de la
clave entre las partes que intervienen. A este tipo de algoritmos se les denomina
simétricos o de clave secreta. El cifrado
simétrico es el más fácil de entender, porque se parece a la forma en que guardamos las
cosas en la vida real. Veamos un ejemplo: Supongamos que tenemos una caja con una
cerradura. Si hacemos una sola copia de la llave y se la damos a nuestro interlocutor,
disponemos de un mecanismo para intercambiar objetos o mensajes de forma confidencial y
segura con él. De esta forma se puede comprobar que el envío lo hemos hecho nosotros
porque somos los únicos que hemos podido introducir el documento (el uso de la caja
actúa como firma) y además sabemos que nadie más puede conocer su contenido mientras
viaja (uso como sobre seguro). El mayor
problema aparece cuando deseamos que un conjunto numeroso de interlocutores puedan
mantener comunicaciones entre ellos. En este caso son necesarias muchas cajas y el doble
de llaves. No pueden tenerse cajas y llaves iguales para interlocutores distintos, ya que
ello conllevaría el riesgo de suplantación o de pérdida del secreto en el mensaje. Este
mecanismo es práctico para establecer un sistema de Firma Electrónica. El
responsable de las claves, comunica mediante un sistema seguro, la clave secreta al
usuario. Además, custodia esa clave de forma segura en su sistema informático. Cuando
recibe un mensaje cifrado del usuario, puede descifrarlo utilizando la misma clave, con lo
cual tiene la certeza de que proviene ciertamente de dicho usuario.
Usos de la
Firma Electrónica De forma
semejante a los compromisos adquiridos con la firma manuscrita, que se valoran de forma
diferente según los documentos a los que se incorpora, la firma electrónica irá
adquiriendo nuevas aplicaciones en el futuro. En la actualidad, la firma electrónica se
utiliza como llave del sistema de telefonía celular digital, con la peculiaridad de que
el diseño y administración del sistema se reserva a la operadora de comunicaciones. En
este caso la llave electrónica autentifica al usuario y constituye su compromiso de pago
por los servicios de tráfico recibidos. Otra
interesante aplicación de este sistema se puede apreciar en las actuales transmisiones de
video codificado. Es el sector de la redifusión de televisión, en el que por la
existencia de múltiples sistemas de codificación incompatibles, más rápidamente se ha
detectado la necesidad de compatibilizar sistemas. Por ello, comienza a llevarse a cabo la
unificación de métodos de control de claves, lo que conduce a una aproximación al
concepto de entidad de certificación. Varias compañías de teledifusión distintas
pueden utilizar el mismo decodificador y la llave autentifica al usuario frente a cada uno
de ellos. La
posibilidad de que el software pueda ser firmado y que la firma se pueda comprobar para
garantizar que el software está libre de virus o que no se han introducido modificaciones
al paquete de software desde que lo generó la casa de software que lo liberó, está
teniendo amplia difusión desde que es tan fácil obtener software en Internet. De esta
forma se tiene la seguridad de que no ha sufrido modificaciones en tránsito. Igualmente,
en Internet se ha hecho muy popular el empleo del protocolo de seguridad SSL (Secure
Sockets Layer, Capa de Comunicaciones Socket Segura) que hace uso de un sistema de firma
electrónica que permite garantizar la identidad del centro servidor web. Además
gracias a este protocolo también se tiene la garantía de que las comunicaciones
intercambiadas entre el servidor web y el visualizador se realizan de forma cifrada. Las
entidades de tarjetas de crédito VISA y MasterCard, junto con otros socios, están
desarrollando un nuevo protocolo, el SET (Secure Electronic Transactions, Transacciones
Electrónicas Seguras), que mediante la firma electrónica permite autenticar a los
intervinientes: el titular de la tarjeta, el comercio y la entidad a través de la que se
compensan los pagos. En el intercambio electrónico de datos, un sistema de clave pública
permite firmar electrónicamente los documentos. La firma electrónica puede ser un
requisito exigido por las entidades para atender las instrucciones de determinados
documentos, cuando estos implican el movimiento de dinero.
Otros usos
de la firma electrónica vendrán con el tiempo. La firma electrónica puede ser el
sistema común de pagos del futuro. Cabe pensar en una tarjeta chip que constituya el
dispositivo de cifrado y de custodia de claves, y que mediante un número secreto
autentifique a su usuario (para evitar su uso por terceros). Si esta tarjeta se utiliza en
los documentos electrónicos, certificará el compromiso adquirido por el firmante
respecto a ellos. Si se utiliza en transacciones económicas de bajo importe, no existe
necesidad de comunicación con el banco y equivale al tradicional "anótalo en mi
cuenta" de las tiendas de barrio. De esta
forma se vuelve al sentido primitivo del "pagaré" como compromiso de pago, pero
con base electrónica. Cuando el fin de un pago requiera ser comprobado por el
comerciante, a través de un sistema de comunicaciones puede solicitarse a la entidad
financiera la certificación de la firma y la existencia de saldo. El mismo dispositivo
podrá ser utilizado en todo tipo de operaciones, constituyéndose en un Documento
Nacional de Identidad Electrónico. |
|
Comentarios o Sugerencias |
|
Webmasters: Alex Sarmiento & Uriel Callejas |
|
Ultima Actualización: Diciembre de 2000 |
|
Asimismo,
no debe ser posible obtener las claves a partir del conocimiento de fragmentos cifrados y
en claro del mensaje. La evolución ha venido marcada por la capacidad de los propios
criptoanalistas de descifrar mensajes protegidos de determinada forma y su búsqueda de
sistemas que a ellos mismos les impida el ataque a determinados textos protegidos. Por
ejemplo, los sistemas de transposición de letras del alfabeto son débiles debido a que
las frecuencia de aparición de las letras de un mensaje sigue una distribución
estadística que permite determinar fácilmente la mayor parte de las letras sustituidas,
completando el resto con la información parcial obtenida. 
Un
sistema derivado de éste es el que se emplea en las tarjetas de crédito y débito,
haciendo uso de un número secreto (o PIN: Personal Identification Number), que se combina
con el contenido de las pistas magnéticas y diferentes claves secretas de las terminales
electrónicas en las que se utilizan, lo que permite validar la propia tarjeta, la
terminal y el usuario. Este sistema es suficientemente bueno cuando existe un responsable
único del sistema de validación, aunque exige un alto nivel de seguridad mecánica y de
confianza en el personal que interviene, de manera que todas las claves se mantengan
secretas y se distribuyan de forma segura cuando sea necesario
En
el sector bancario es donde más rápidamente se ha detectado la conveniencia de un
sistema de administración de claves de uso general y se ha identificado como servicio que
debe suministrar una Entidad de Certificación. El EDI Financiero comienza a incorporar
elementos de seguridad basados en la firma electrónica.