Una firma digital de un documento es el resultado de aplicar cierto argoritmo matemático, denominado función , a su contenido y, seguidamente,
aplicar el algoritmo de firma (en el que se emplea una clave privada) al resultado de la operación anterior, generando la firma electrónica o digital. El software de firma digital debe a
demás efectuar varias validaciones, entre las cuales podemos mencionar:
§ Vigencia del certificado digital del firmante,
§ Revocación del certificado digital del firmante (puede ser
por OCPS o CRL),
§ Inclusión de sello de tiempo.
La función hash es un algoritmo matemático que permite calcular un valor resumen de los datos a ser firmados digitalmente. Funciona en una sola dirección, es decir, no es posible, a partir del valor resumen, calcular los datos originales. Cuando la ent
rada es un documento, el resultado de la función es un número que identifica inequívocamente al texto. Si se adjunta este número al texto, el destinatario puede aplicar de nuevo la función y comprobar su resultado con el que ha recibido. Ello no obstante, este tipo de operaciones no están p
ensadas para que las lleve a cabo el usuario, sino que se
utiliza software que automatiza tanto la función de calcular el valor hash como su verificación posterior.
Una firma digital es un conjunto de datos asociados
a un mensaje que permite asegurar la identidad del firmante y la integridad del mensaje. La firma digital no implica que el mensaje esté encriptado, es decir, que este no pueda ser leído por otras personas; al igual que cuando se firma un documento holográficamente este sí puede ser visua
lizado por otras personas.
El procedimiento utilizado para firmar digitalmente un m
ensaje es el siguiente:
El firmante genera mediante una función matemática una huella digital del mensaje. Esta huella digital se encripta con la clave privada del fir
mante, y el resultado es lo que se denomina firma digital
La cual se enviará adjunta al mensaje original. De esta manera el firmante va a estar adjuntando al documento una marca que es única para ese documento y que sólo él es capaz de producir.
El receptor del mensaje podrá comprobar que el mensaje no fue modificado desde su creación y que el firmante es quién dice serlo a través del siguiente procedimiento:
· En primer término generará la huella digital del mensaje recibido, luego desencriptará la firma digital del mensaje utilizando la clave pública del firmante y obtendrá de esa forma la huella digital del mensaje original; si ambas huellas digitales coinciden, significa que el mensaje no fue alterado y que el firmante
¿Cómo firmo un correo electrónico?
Si ya posee un certificado y desea firmar digitalmente un correo electrónico, proceda de la siguiente forma (de lo contrario, debe contactarse para gestionarlo con una Autoridad Certificante):
- Abra el programa que utiliza para enviar sus correos electrónicos. Siga el procedimiento habitual para escribir el mensaje que desea enviar. A continuación, efectúe los pasos que se indican según el cliente de correo que Ud. utilice:
| Si utiliza Netscape Navigator: | Si utiliza Outlook Express: |
|
|
Por último, ingrese su palabra clave a fin de firmar el mensaje y luego haga un click en Aceptar (OK) para enviar el mensaje firmado.
DONDE RESIDEN LA CLAVE PÚBLICA Y LA PRIVADA?
· En consecuencia, la clave privada se encripta y proteje m
ediante una contraseña y se la guarda en un disco, diskette o, idealmente, en una tarjeta inteligente.
· La clave pública, en cambio, debe ser conocida por todos por tal motivo es enviada a una Autoridad Certificante (que actúa como tercera parte
confiable), quien la incluye en un certificado digital.
A la vista, una firma digital se representa por una extensa e indescifrable cadena de caracteres, esta cadena representa en realidad un número el cu
al es el resultado de un procedimiento matemático aplicado al documento.
¿Qué consideraciones debo tener para utilizar una firma digital?
Sólo se necesita contar con un navegador como Internet Explorer 4.0x o Netscape 4.03 o versiones superiores, tener conexión a Internet y poseer u
na cuenta de correo electrónico que no sea una WebMail (como yahoo, Hotmail, etc).
¿Firmar digitalmente un archivo es encriptarlo?
Si bien en la firma digital como en la encriptación de mensajes intervienen procesos de encripción, estos son dos conceptos completamente distintos. Un archivo puede estar firmado digitalmente y encriptado, puede estar firmado y no encr
iptado o viceversa. La firma digital brinda un mecanismo de seguridad que permite determinar fehacientemente la autoría e integridad de un documento, o sea quién lo firmó y si fue o no alterado ese documento desde que fué firmado.
La encriptación en cambio nos brinda confidencialidad, esto es, la posibilidad de que un documento solamente pueda ser leído por una única pe
rsona. Por lo tanto en función de las necesidades que requiera un documento específico se debe tener en cuenta si este debe ser encriptado, firmado digitalmente o ambas cosas a la vez.
¿Cómo encripto la información que va en un correo electrónico?
La encripción es un mecanismo de seguridad que permite modificar un mensaje de modo que su contenido sea ilegible para cualquier persona excepto para su
destinatario. De modo inverso, la desencripción permitirá hacer legible un mensaje que estaba encriptado. Usando criptografía de clave pública, el emisor del mensaje encriptará el mensaje aplicandole la clave pública del destinatario. Será por tanto el destinatario el único que podrá descifrar el mensaje aplicando su clave privada.
INFRAEXTRUCTURA DE RED
Para que sea de utilidad, la función hash debe satisfacer dos importantes requisitos. Primero, debe ser difícil encontrar dos documentos cuyo valor para la función "hash" sea idéntico. Segundo, dado uno de estos valores, debe ser imposible producir un documento con sentido que de lugar a ese "hash".
Existen funciones "hash" específicamente designadas para satisfacer estas dos importantes propiedades. SHA y MD5 son dos ejemplos de este tipo
de algoritmos.
La codificación del MD5 de 128 bits es representada típicamente como un número de 32 dígitos hexadecimal. El siguiente código de 28 bytes ASCII será tratado con MD5 y veremos su correspondiente hash de salida:
MD5("Esto sí es una prueba de MD5") = e99008846853ff3b725c27315e469fbc
Un simple cambio en el mensaje nos da un cambio total en la codificación hash, en este caso cambiamos dos letras, el «sí» por un «no».
MD5("Esto no es una prueba de MD5") = dd21d99a468f3bb52a136ef5beef5034
Otro ejemplo sería la codificación de un campo vacío:
MD5("") = d41d8cd98f00b204e9800998ecf8427e
Algunos sistemas de cifrado de clave publica se pueden usar para firmar documentos. El firmante cifra el "hash" calculado de un documento con su clave privada y cualquiera que quiera comprobar la firma y ver el documento, no tiene más que usar la clave publica del firmante para descifrar el "hash", y comprobar que es el que corresponde al docum
ento..
Lo nuevo seria La firma digital de TDC será próximamente incorporada el software de Microsoft y Mozilla.
Antes de fin de año, la herramienta de firma digital de TDC será incorporada a Windows XP de Microsoft, como asimismo al navegador Firefox y el programa de correo electrónico Thunderbird, ambos de Mozilla.
La decisión fue adoptada por ambas compañías después que la
asociación estadounidense de certificación contable AICPA certifico la seguridad de la firma digital de TDC.
Con la aparición de Internet y la mayor im
portancia que se le va dando a la información día tras día , la tecnología que antes era utilizada sólo por la Militar o Gobiernos ha cobrado mayor importancia, pero....como funciona ?
Que es Encriptación ?
Toda encriptación se encuentra basada en un Algoritm
o, la función de este Algoritmo es básicamente codificar la información para que sea indescifrable a simple vista , de manera que una letra "A" pueda equivaler a :"5x5mBwE" o bien a "xQE9fq", el trabajo del algoritmo es precisamente determinar como será transformada la información de su estado original a otro que sea muy difícil de descifrar.
Una vez que la información arribe a su destino final, se aplica el algoritmo al contenido codificado "5x5mBwE" o bien a "xQE9fq" y resulta en la
letra "A" o según sea el caso, en otra letra. Hoy en día los algoritmos de encriptación son ampliamente conocidos, es por esto que para prevenir a otro usuario "no autorizado" descifrar información encriptada, el algoritmo utiliza lo que es denominado llave ("key") para controlar la encriptación y decrepitación de información. Algunos algoritmos son DES0(algoritmo simétrico) AES que posiblemente suplantará a DES y uno de los más conocidos RSA(algoritmo asimétrico)
Que función tiene la llave ("key") ?
Existen dos tipos de llaves ("key's"), pero la de mayor uso en Internet es denominada "public key" o algoritmo asimétrico. El nombre "public" proviene de su funcionamiento: existe una llave pública que es dada a conocer a cualquier persona
que así lo desee (todo Internet), esta llave pública es utilizada por los emisores de mensajes para encriptar información , sin embargo, existe otra llave ( su pareja por llamarla de alguna manera) única que es conocida exclusivamente por el destinatario del mensaje, y es mediante esta llave única | secreta que el destinatario descifra ("decripta") los mensajes encriptados por el emisor.
Firmas Digitales ("Digital Signatures")
Una firma digital utiliza el mismo funcionamiento del "public key" o algoritmo asimétrico mencionado anteriormente.
Como se mencionó, existe una "llave pública" y una "llave secreta", en el caso de firmas digitales la llave pública que es ampliamente conocida es capaz de identificar si la información proviene de una fuente fidedigna. En otras palabras, la llave pública será capaz de reconocer si la información realmente proviene de la "llave secre
ta" en cuestión. Ejemplo:
El departamento de compras posee las llaves públicas de todos los empleados de la compañía, si llega un pedimento con la dirección de email del Director de Finanzas, Cómo puede asegurarse el departamento de compras que en realidad esta persona realizó el pedimento y no alguna otra que sobrepuso el email ?. La
llave secreta del director de finanzas debe de encontrarse solo en su computadora, por lo tanto al enviar el mensaje electrónico esta llave pública se añadió al email, y por lo tanto las llave publicas determinarán si la llave secreta coincide con la del director.
FIRMAS DIGITALES EN INTERNET
En el caso anterior de un Intranet, todas las llaves públicas provienen de una fuente fidedigna, esto es, las llaves "publicas" que posee el departamento de compras son autenticas ya que TODAS pertenecen sólo a empleados dentro de la compañía, la única posibilidad de fraude que existe, es si alguien trata de forjar la "llave secreta" de un empleado para hacerse pasar por otro.
Pero que sucede cuando este departamento de compras empiece a realizar transacciones en Internet ?
Ellos anuncian su "llave publica" para todos los usuarios de Internet, y como solo ellos poseen la "llave secreta" sólo ellos podrán descifrar ("decriptar") la información. Pero ahora, surge la siguiente pregunta: Quien le garantiza a los usuarios de Internet que esta "llave publica" REALMENTE proviene de este departamento de compras ?
Para esto existen los certificados digitales que son emitidos por "agencias autorizadas" como Thawte o Versing las cuales dan el VoBo("Visto Bueno") sobre la "llave publica".
Existen pocas compañías que realizan este servicio, pero debido a la naturaleza de las "llaves publicas" siempre debe de existir una agencia central que sea capaz de decir "Si, esta llave publica proviene del departamento de compras" eso es todo su servicio, esto garantiza a los usuarios finales de "Internet" que la "llave publica" ha sido reconocida por una autoridad confiable Thawte o Versing
La secuencia de eventos es la siguiente:
1. Se adquiere un "Certificado Digital" de Thawet o Versing( Costo aprox:$100-$350 Dlls U.S Anuales,variación depende de su uso)
2. Se coloca este certificado digital ("llave publica") en el servidor de paginas y se configura para que éste envíe información encriptada según sea necesario.
3. Cuando un usuario en Internet solicite información encriptada de nuestro sitio se envía esta "llave publica" para que pueda encriptar la información y enviarla de una manera segura al sitio.
4. Al recibir la "llave publica" el navegador ("Netscape" o "Explorer") del usuario final corrobora que en realidad esta "llave publica" proviene de quien dice, en este caso, la "llave publica" dice: "Soy la llave publica de osmosislatina.com y fui emitida por Verisign mi serie es:u7767DbXs4br342Dbnn6".
5. El navegador corrobora con Verisign (en este caso) y continua o avisa al usuario final el estado de la "llave publica".
NOTA: Si el navegador ("Netscape" o "Explorer") no corrobora la veracidad del "certificado digital" no implica que la información será enviada de manera insegura , la encriptación seguirá siendo valida. Lo que sucederá es que cuando sus visitantes entren a páginas que requieran encriptación (transacciones financieras) , el Navegador desplegara un mensaje a sus visitantes indicándoles que la fuente de encriptación ("llave publica") es insegura; esto se debe a que nadie puede avalar su "llave publica", de nuevo lo anterior no implica que la encriptación es invalida solo insegura.
· En ocasiones lo anterior es suficiente para hacer desconfiar al usuario final o inclusive exponerse a que un tercero este generando esta "llave publica"
Encriptación de 40-bits y 128-bits.
Existen varios niveles de encriptación, pero las combinaciones más comunes son 40-512 bits ("llave secreta--llave pública") y 128-1024 bits ("llave secreta--llave pública"). La versión 128-1024 bits es el tipo de encriptación más fuerte que existe en el mercado. Actualmente U.S.A prohibe la exportación de productos con este tipo de Tecnología, pero cabe mencionar que ya existen varios productos producidos en Europa con esta Tecnología que no poseen tales restricciones de exportación.
La gran mayoría de los sitios en Internet utilizan la encriptación 40-512 bits, la encriptación 128-1024 bits es utilizada generalmente en transacciones de alto riesgo, como las bancarias.
Es segura la encriptación que existe hoy en día ?
Depende quien la intente observar !, aunque la información sea enviada encripatada, cualquier persona en Internet con entrenamiento mínimo puede interceptar esta información encriptada, sin embargo, para observarla requiere de su "llave privada".
Y es aquí donde depende quien intente observar esta información, considere que una computadora personal (PC) puede realizar millones de operaciones por segundo, debido a esto, no es tan ilusorio generar una "llave privada" a partir de cierta información interceptada ; las "llaves privadas" generalmente constan de 40-bits, en una PC es posible (aunque tardado) procesar estas 2^40 alternativas, ahora bien, si se tienen varios servidores en paralelo realizando trillones de operaciones por segundo probablemente sea posible procesar estas 2^40 alternativas en cuestión de minutos.
Lo anterior es una de la razones por las que U.S.A cuida (cuidaba!) con tanto recelo la exportación de encriptación de 128-bits, la cual es 3 veces más poderosa (2^128 alternativas) que la de 40-bits.
Públicamente se conoce que en los servidores más poderosos del mercado es posible descubrir una "llave privada" en cuestión de días de procesamiento. Esto obviamente detiene aquellas personas ("hackers") con servidores "comunes" y en este caso hasta oficinas de seguridad gubernamentales en "decriptar" información con este tipo de encriptación
BIBLIOGRAFIA:
http://www.conocimientosweb.net/dt/article2096.html
http://www.osmosislatina.com/aplicaciones/seguridad.htm
