Firma Digital Seguridad en las Tics

Universidad Central del Ecuador Facultad de Ingeniería – Escuela de Ciencias Seguridad en las TICS

Firma Digital/Ing. César Morales Mejía

3.- Firma Digital http://www.informatica.gov.ec/index.php/sistemas/transversales/firma-digital

3. 1.- ¿Qué es una firma digital? La firma digital puede ser definida como una secuencia de datos electrónicos (bits) que se obtienen mediante la aplicación a un mensaje determinado de un algoritmo (fórmula matemática) de cifrado asimétricos o de clave pública, y que equivale funcionalmente a la firma autógrafa en orden a la identificación del autor del que procede el mensaje. Desde un punto de vista material, la firma digital es una simple cadena o secuencia de caracteres que se adjunta al final del cuerpo del mensaje firmado digitalmente.

Es la equivalencia digital de la firma manuscrita, tiene la misma validez legal y se encuentra amparada por la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos.

3.2.- Características y aplicaciones de la firma digital



Características Identidad. Reconoce unívocamente a un emisor como autor del mensaje. Integridad. El documento no puede ser alterado de forma alguna durante la transmisión. No repudio. El emisor no puede negar en ningún caso que un documento no fue firmado. Confidencialidad. Solo las partes puedan leer el documento (si fuera el caso).

3.3.- Aplicaciones de la firma digital

Con la firma electrónica pueden realizarse diferentes tipos de transacciones a través de la Internet sin necesidad de desplazarse, ni hacer filas de forma que los trámites públicos se agilitan aumentando la transparencia, lo que se traduce en ahorros significativos de tiempo y dinero. Las aplicaciones de la firma digital son diversas entre las que se tienen:

Trámites ciudadanos (Gobierno electrónico) Compras públicas Gestión documental Operaciones bancarias Dinero (pago) electrónico Balances electrónicos Trámites judiciales y notariales Comercio electrónico Facturación electrónica

3.4.- Funcionamiento de la firma digital El proceso de firma digital de un mensaje electrónico comprende en realidad dos procesos sucesivos: la firma del mensaje por el emisor del mismo y la verificación de la firma por el receptor del mensaje. Esos dos procesos tienen lugar de la manera que se expresa a continuación, en la que el emisor del mensaje es designado como Angel y el receptor del mensaje es designado como Blanca: Firma digital de un mensaje electrónico.

1º.- Angel crea o redacta un mensaje electrónico determinado (por ejemplo, una propuesta comercial). 2º.- Angel aplica a ese mensaje electrónico una función hash (algoritmo), mediante la cual obtiene un resumen de ese mensaje.



3º.- Angel cifra ese mensaje-resumen utilizando su clave privada.

4º.- Angel envía a Blanca un correo electrónico que contiene los siguientes elementos: El cuerpo del mensaje, que es el mensaje en claro (es decir, sin

cifrar). Si se desea mantener la confidencialidad del mensaje, éste se cifra también pero utilizando la clave pública de Blanca (receptor). La firma del mensaje, que a su vez se compone de dos

elementos:

o El hash o mensaje-resumen cifrado con la clave privada de Angel .

o El certificado digital de Angel, que contiene sus datos personales y su clave pública, y que está cifrado con la clave privada del Prestador de Servicios de Certificación.



Verificación por el receptor de la firma digital del mensaje. 1º.- Blanca recibe el correo electrónico que contiene todos los elementos mencionados anteriormente. 2º.- Blanca en primer lugar descifra el certificado digital de Angel. incluido en el correo electrónico, utilizando para ello la clave pública del Prestador de Servicios de Certificación que ha expedido dicho certificado. Esa clave pública la tomará Blanca, por ejemplo, de la página Web del Prestador de Servicios de Certificación en la que existirá depositada dicha clave pública a disposición de todos los interesados. 3º.- Una vez descifrado el certificado, Blanca podrá acceder a la clave pública de Angel, que era uno de los elementos contenidos en dicho certificado. Además podrá saber a quién corresponde dicha clave pública, dado que los datos personales del titular de la clave (Angel) constan también en el certificado. 4º.- Blanca utilizará la clave pública del emisor (Angel) obtenida del certificado digital para descifrar el hash o mensaje-resumen creado por Angel . 5º.- Blanca aplicará al cuerpo del mensaje, que aparece en claro o no cifrado, que también figura en el correo electrónico recibido, la misma función hash que utilizó Angel con anterioridad, obteniendo igualmente Blanca un mensaje-resumen. Si el cuerpo del mensaje también ha sido cifrado para garantizar la confidencialidad del mismo, previamente Blanca deberá descifrarlo utilizando para ello su propia clave privada (recordemos que el cuerpo del mensaje había sido cifrado con la clave pública de Blanca)



6º.- Blanca comparará el mensaje-resumen o hash recibido de Angel con el mensaje-resumen o hash obtenido por ella misma. Si ambos mensajes-resumen o hash coinciden totalmente significa lo siguiente:

El mensaje no ha sufrido alteración durante su transmisión, es decir, es íntegro o auténtico.

El mensaje-resumen descifrado por Blanca con la clave pública de Angel ha sido necesariamente cifrado con la clave privada de Angel y, por tanto, proviene necesariamente de Angel.

Como el certificado digital nos dice quién es Angel, podemos concluir que el mensaje ha sido firmado digitalmente por Angel , siendo Angel una persona con identidad determinada y conocida.

Por el contrario, si los mensajes-resumen no coinciden quiere decir que el mensaje ha sido alterado por un tercero durante el proceso de transmisión, y si el mensaje-resumen descifrado por Blanca es ininteligible quiere decir que no ha sido cifrado con la clave privada de Angel . En resumen, que el mensaje no es auténtico o que el mensaje no ha sido firmado por Angel sino por otra persona.

Finalmente, hay que tener en cuenta que las distintas fases del proceso de firma y verificación de una firma digital que han sido descritas no se producen de manera manual sino automática e instantánea, por el simple hecho de introducir la correspondiente tarjeta magnética en el lector de tarjetas de nuestro ordenador y activar el procedimiento.



3.5.- Forma de adquirir una firma digital en el Ecuador

Para solicitar un Certificado de Firma Electrónica en la Entidad de Certificación del Banco Central del Ecuador, http://www.bce.fin.ec En general se tiene los siguientes pasos: 1. Llenar el formulario de solicitud sea como persona natural, jurídica -

derecho privado o funcionario público. 2. Completar toda la documentación requerida, por cada uno de los

solicitantes. 3. Enviar la solicitud o solicitudes a las oficinas de la Entidad de

Certificación en Quito, Guayaquil o Cuenca. 4. Realizar el pago del certificado y dispositivo portable seguro -

TOKEN. Los costos de los certificados: Emisión del Certificado de Firma Electrónica , $43,00 válido por dos años. Dispositivo Portable Seguro –TOKEN, $26,00 válido por diez años Renovación del Certificado , $22,00 válido por dos años más.

En caso de olvido de la clave o password de protección del certificado el usuario deberá cancelar el valor por renovación.

3.5.1.- Modelo de solicitud

Formulario de solicitud de firma digital:

ECIBC-0267

ENTIDAD DE CERTIFICACIÓN DE INFORMACIÓN - ECIBC Solicitud de Emisión de Certificado de Firma Electrónica

PERSONA NATURAL

Lugar y fecha de solicitud:

1 Datos Personales

Nombres completos:

Apellidos completos:

Cédula de ciudadanía:

RUC (En caso de disponerlo):

Actividad económica:

Dirección domicilio: Ciudad:

Sector:

Teléfono domicilio:

Celular:



Dirección e-mail:

Dirección oficina: Ciudad:

Teléfonos oficina: Extensión: Fax:

2 Contestar Obligatoriamente

Pregunta 1: Nombre de la institución donde realizó sus estudios primarios

Respuesta 1:

Pregunta 2: Nombre de la institución donde realizó sus estudios secundarios

Respuesta 2:

Pregunta 3: Color favorito

Respuesta 3:

Firma del solicitante:

.................................................................

3 Indicaciones

1. Llene la solicitud manteniendo la confidencialidad del mismo, en letra imprenta legible a máquina o en computador, todos los campos son obligatorios.

2. Adjuntar copia clara a color de la cédula de ciudadanía y papeleta de votación actualizada, para extranjeros, certificado de empadronamiento

3. Adjuntar una copia de la factura de luz, agua o teléfono del domicilio de cualquiera de los últimos tres meses, que certifique la dirección domiciliaria.

4. Copia del registro único de contribuyentes (RUC) en caso de disponerlo. 5. Envíe el formulario y las copias en sobre cerrado con la etiqueta “Solicitud Certificado Digital” a la

Dirección de la Entidad de Certificación de Información del Banco Central del Ecuador en las oficinas de Quito, Guayaquil o Cuenca, donde les sea factible el retiro del dispositivo.

6. Para mayor información, visite nuestra página Web www.bce.fin.ec/Entidad de Certificación., comuníquese al teléfono 02) 2572522 Exts. 2437 / 2743 / 7206 Quito, (04) 2566333 Ext.2028 Guayaquil, (07) 2831255 Ext. 226 Cuenca, o, envíe su correo electrónico a la dirección: [email protected]

La información consignada en esta solicitud será verificada, se le enviará un correo electrónico indicando la fecha y hora para la emisión del certificado, que se emite en forma presencial, en las oficinas de la ECIBC, para lo cual el solicitante deberá presentar los documentos originales (Cédula de ciudadanía y papeleta de

votación).

Uso exclusivo ECIBC

N° ING. N°TK FECHA EMISION

FECHA DE RECEPCIÓN VERIFICACIÓN INGRESO ECI

4.- Explicación algo más Formal Anteriormente vimos que la criptografía asimétrica permitía autentificar información, es decir, poder asegurar que un mensaje m proviene de un emisor A y no de cualquier otro. Asimismo vimos que la autentificación debía hacerse empleando una función resumen y no codificando el mensaje completo. Ahora estudiaremos dichas funciones resumen, también conocidas como MDC (modification detection codes), que nos van a permitir crear firmas digitales. Sabemos que un mensaje m puede ser autentificado codificando con la llave

privada el resultado de aplicarle una función resumen, (r(m)). Esa

información adicional (que denominaremos firma o signatura del mensaje m)

mailto:[email protected]



sólo puede ser generada por el poseedor de la clave privada . Cualquiera

que tenga la llave pública correspondiente estarla en condiciones de decodificar y verificar la firma. Para que sea segura, la función resumen r(x) debe cumplir además ciertas características: r(m) es de longitud fija, independientemente de la longitud de m. Dado m, es fácil calcular r(m). Dado r(m), es computacionalmente intratable recuperar m. Dado m, es computacionalmente intratable obtener un m’ tal que r(m) =

r(m’). 4.1.- Algoritmo MD5, Se trata de uno de los más populares algoritmos de generación de signaturas, debido en gran parte a su inclusión en las primeras versiones de PGP. Resultado de una serie de mejoras sobre el algoritmo MD4, diseñado por Ron Rivest, procesa los mensajes de entrada en bloques de 512 bits, y produce una salida de 128 bits. Siendo m un mensaje de b bits de longitud, en primer lugar se alarga m hasta que su longitud sea exactamente 64 bits inferior a un múltiplo de 512. El alargamiento se lleva a cabo añadiendo un 1 seguido de tantos ceros como sea necesario. En segundo lugar, se añaden 64 bits con el valor de b, empezando por el byte menos significativo. De esta forma tenemos el mensaje como un número entero de bloques de 512 bits, y además le hemos añadido información sobre su longitud 4.2.- Algoritmo SHA-1 El algoritmo SHA-1 fue desarrollado por la NSA, para ser incluido en el estándar DSS (Digital Signature Standard). Al contrario que los algoritmos de cifrado propuestos por esta organización, SHA-1 se considera seguro y libre de puertas traseras, ya que favorece a los propios intereses de la NSA que el algoritmo sea totalmente seguro. Produce firmas de 160 bits, a partir de bloques de 512 bits del mensaje original. El algoritmo es similar a MD5, y se inicializa igual que éste, añadiendo al final del mensaje un uno seguido de tantos ceros como sea necesario hasta completar 448 bits en el último bloque, para luego yuxtaponer la longitud en bytes del propio mensaje. A diferencia de MD5, SHA-1 emplea cinco registros de 32 bits en lugar de cuatro 4.3.- Encriptación Cuántica La criptografía cuántica es una nueva área dentro de la criptografía que hace uso de los principios de la física cuántica para transmitir información de forma tal que solo pueda ser accedida por el destinatario previsto.



La criptografía cuántica se basa sobre el principio de incertidumbre de de Heisenberg. Veamos ahora como se puede aprovechar dicho principio para transmitir una clave en forma segura.



5.- Formatos básicos para Firma

5.1.- PKCS#7/CMS Es uno de los formatos tradicionales más extendidos CMS es la evolución de PKCS#7, si bien, prácticamente idénticos CMS a partir de los estándares de IETF, sobre todo, del RFC 3852 Se trata de un formato de encapsulamiento codificado en ASN-1 / VER, aunque también puede ser codificado en Base64 Habitualmente, una firma en CMS puede representarse en su modalidad Attached (habitual) o Dettached, en función de que incluya o no el propio documento. CMS permite incluir diferentes firmantes en la firma bajo dos modalidades: encadenada y mancomunada. La firma propiamente dicha es un compendio de datos formales referidos al



tipo de firma así como de atributos firmados y no firmados bajo una estructura dada. 5.2.- XML DSIG Es el formato de mayor expansión, Usado frecuentemente en aplicaciones on-line, es el formato es XML DSig Funcionalmente y estructuralmente, es bastante similar al CMS, pero la codificación original de firmas y certificados se realiza en B64 En toda firma XML, según el estándar XML DSig, existirían 3 modos de firma:

Enveloped: en el que la firma se añade al final del documento XML como un elemento más. Se firma todo lo inmediatamente anterior al documento. Envoloping, en el que el documento se incluye dentro de la firma en la que se referencia lo firmado como objeto insertado en la firma. Ya que se referencian los objetos, este modelo permitiría distinguir lo que se firma, pudiendo firmar el objeto entero o partes de él (asignando un id diferenciador). Detached, en el que la firma y el documento se separan en dos archivos, la URL donde se encuentra el documento puede aparecer en la propia firma.

5.3.-PDF Una de las principales ventajas del formato PDF es la capacidad de gestionar firmas. En realidad se trata de una implementación de PKCS#7 La creación y validación de firmas electrónicas se ha ido mejorando a lo largo de las versiones hasta convertirse en la herramienta genérica que realiza un mejor tratamiento Con PDF es posible realizar las denominadas firmas longevas, de gran importancia. 6.- BIBLIOGRAFIA

http://www.idsegura.com/pdf/intro_Firmas_Digitales.pdf http://www.informatica.gov.ec/index.php/sistemas/transversales/firma-digital

Apuntes Varios

Firma Digital Seguridad en las Tics

Documents

Transcript of Firma Digital Seguridad en las Tics