Natalia Quiroga

10-0321

Tema 3: La firma en documentos electrónicos

La firma electrónica

La firma electrónica, como la firma hológrafa (autógrafa, manuscrita), puede

vincularse a un documento para identificar al autor, para señalar conformidad

(o disconformidad) con el contenido, para indicar que se ha leído y, en su

defecto mostrar el tipo de firma y garantizar que no se pueda modificar su

contenido.

La firma electrónica cu mple con todas las características mencionadas en

la firma autógrafa, pero permite hacerlo en m edios electrónic os con

seguridad técnica y jurídica.

Existen dos tipos: firma electrónica simple y firma electrónica avanzada.

Ambas tienen diferentes niveles de seguridad, pues sirven para diferentes

fines.

Firma Firma Firma

Autógrafa Electrónica Electrónica

Simple Avanzada
E l e m e n t o s  f o r m a l e s
La firma como signo

personal.
El animus signandi,

voluntad de asumir el
 contenido de un

documento.
E l e m e n t o s  f u n c i o n a l e s
Identificación
Autentificación
Confidencialidad X
Integridad X X
No repudio X X

Es una aplicación de encripción simétrica que se basa en el intercambio de

una clave entre dos partes, en la cual las personas involucradas deben

conocer y utilizar la misma clave y por seguridad mantenerla en secreto.

rantiza confidencialidad (capacidad de mantener un documento electrónico

sólo visible al destinatario e inaccesible a todos los demás) y autenticación

(reconocimiento y/o compromiso de una persona específica sobre el

contenido del documento electrónico).

Ejemplos de firma electrónica simple son los números de identificación

personal (NIP) como llave que se comparte con el banco para hacer

transacciones en cajeros automáticos o a través de internet; la clave para

entrar a la cuenta de correo electrónico (de la que toma parte el prestador del

servicio) o a alguna biblioteca virtual, así como las contraseñas que se

utilizan para acceso a otros servicios por internet.

El acuerdo previo que se requiere para intercambiar la clave supone un

contacto, de preferencia físico, entre ambas partes y presupone la firma de

una responsiva para que se atribuya como tuyo todo aquello que reciba la

otra parte.
¡Información que va y viene con máxima seguridad!

Es una aplicación de la criptografía asimétrica, en específico del Sistema

Criptográfico de Clave Pública RSA (siglas derivadas de las iniciales de los

apellidos de los autores Ronald Rivest, Adi Shamir y Len Adleman, 1977,) el

sistema asimétrico más conocido y utilizado.

Se basa en el uso de un juego de clave o llaves, un par de números

matemáticamente relacionados, uno para la pública y otro para la privada. Un

programa de cómputo los produce y se los proporciona al solicitante, quien

puede dar a conocer la primera y debe mantener en secreto la segunda.

Cada clave es la función inversa de la otra, es decir, lo que una clave hace

sólo la otra clave puede deshacerlo. Así, para enviar un mensaje privado, el

emisor lo encripta (cierra) con la clave pública del receptor y sólo el

receptor puede desencriptarlo (abrirlo) con su propia clave privada, que

nadie más conoce.

Las claves del sistema RSA pueden ser empleadas en ambas direcciones, de

tal manera que el emisor puede encriptar datos utilizando su clave privada,

los cuales sólo podrán ser desencriptados con su clave pública que comparte

con el o los receptores.

La Biometría
La biometría es la ciencia que se dedica a la identificación de individuos a

partir de una característica anatómica o un rasgo de su comportamiento.

Desde hace muchos años, y dada la importancía que tiene en nuestra

sociedad la tecnología, se están aplicando multitud de aplicaciones

informáticas a la biometría, con lo que podemos hablar de "Biometría

Informática". La "Biometría Informática" es la aplicación de técnicas

biométricas a la autentificación e identificación automática de personas en

sistemas de seguridad informática. Las técnicas biométricas se basan en

medir al usuario directa o indirectamente para reconocerlo automáticamente

aplicando técnicas estadísticas y de Inteligencia Artificial (lógica borrosa,

redes neuronales, etc).

a principal ventaja de esta tecnología es que es mucho más segura y cómoda

que los sistemas tradicionales basados en los passwords o tarjetas. El

acceso a través de la biometría a un PC o a una sala restringida no depende

de algo que sabemos o que tenemos y que nos pueden robar o copiar,

depende de lo que somos. Esto hace que el riesgo de robo de los elementos

necesarios para acceder a algo protegido biométricemante sea mucho menor

que en el caso tradicional, y que en el caso de que suceda algo identificar sin

lugar a dudas al causante.

Existen dos tipo de biometrías diferenciadas claramente.

Biometría estática: se basa en la anatomia del usuario.

- Huellas Digitales.

- Geometría de la mano.

- Termografía.
- Análisis del iris.

- Análisis de retina.

- Venas del dorso de la mano.

- Reconocimiento Facial.

- etc ...

Biometria dinámica: se basa e el comportamiento particular de cada usuario.

- Patrón de Voz.

- Firma manuscrita.

- Dinámica de tecleo.

- Cadencia del paso.

- Análisis gestual.

- etc

Todas las categorías incluidas en cada uno de los diferentes tipos creo que

son facilmente identificables por el nombre y no os voy a aburrir con una

explicación de lo obvio.

Firma Digital

La firma digital hace referencia, en la transmisión de mensajes telemáticos y

en la gestión de documentos electrónicos, a un método criptográfico que

asocia la identidad de una persona o de un equipo informático al mensaje o

documento. En función del tipo de firma, puede, además, asegurar la

integridad del documento o mensaje.

 Una firma digital es un conjunto de datos asociados a un mensaje que

permite asegurar la identidad del firmante y la integridad del mensaje. La

firma digital no implica que el mensaje esté encriptado, es decir, que este no

pueda ser leído por otras personas; al igual que cuando se firma un

documento holográficamente este sí puede ser visualizado por otras

personas.El procedimiento utilizado para firmar digitalmente un mensaje es el

siguiente: el firmante genera mediante una función matemática una huella

digital del mensaje. Esta huella digital se encripta con la clave privada del

firmante, y el resultado es lo que se denomina firma digital la cual se enviará

adjunta al mensaje original. De esta manera el firmante va a estar adjuntando

al documento una marca que es única para ese documento y que sólo él es

capaz de producir.El receptor del mensaje podrá comprobar que el mensaje

no fue modificado desde su creación y que el firmante es quién dice serlo a

través del siguiente procedimiento: en primer término generará la huella

digital del mensaje recibido, luego desencriptará la firma digital del mensaje

utilizando la clave pública del firmante y obtendrá de esa forma la huella

digital del mensaje original; si ambas huellas digitales coinciden, significa que

el mensaje no fue alterado y que el firmante es quien dice serlo.

% La firma digital se compone de una clave privada y una pública. Estas

claves son indisociables y están ligadas una a la otra. La clave privada

solo es conocida por el propietario y nunca debe ser comunicada a

otros interlocutores. La clave pública es conocida por el resto de los

interlocutores y generalmente es administrada por un tercer agente, la

autoridad de certificación. La autoridad de certificación es un agente

reconocido y autorizado que genera una secuencia de datos

 (certificado digital) que vinculan la identidad de una persona o

entidad jurídica con su clave pública, de forma que es posible

garantizar la identidad del interlocutor a través de combinar la

información presente en la firma digital y en el certificado.

% Para dar a conocer nuestra clave pública se la enviaremos a todos nuestros

interlocutores mediante el envío de nuestro certificado digital (que

contiene la clave pública) y ello les permitirá que validen la firma.

% Así, lo que se hace en el emisor es lo que muestra el cuadro anterior:

% - El emisor calcula un resumen del mensaje a firmar, llamado hash o digest.

% - Con la clave privada se realiza una operación sobre este hash. El

resultado de esta operación se conoce como Firma Digital. El emisor

envía al destinatario el documento y la firma digital.

% Así, lo que se hace en el emisor es lo que muestra el cuadro anterior:

% - El emisor calcula un resumen del mensaje a firmar, llamado hash o digest.

% - Con la clave privada se realiza una operación sobre este hash. El

resultado de esta operación se conoce como Firma Digital. El emisor

envía al destinatario el documento y la firma digital.

% El receptor, por su parte, realiza dos operaciones, como muestra el cuadro

adjunto:

% - Con la clave pública (obtenida del certificado digital del emisor)

comprueba que la firma digital es correcta. Para realizar esta

comprobación utiliza la clave pública y la firma digital para obtener el

hash del documento y, a la vez, vuelve a calcular el hash sobre el

 documento recibido. Si ambos son iguales, entonces la firma es válida

y el receptor tiene certeza absoluta que el documento no ha sido

modificado (integridad).

% - Además, mediante el certificado emitido por una Autoridad de

Certificación, el receptor sabe que quien envió el mensaje factura es

quien dice ser (autenticidad).

% Es importante destacar que en ningún caso puede deducirse una clave de

la otra, es decir, la clave pública (que se utiliza para validar la firma) no

permite al receptor deducir la clave privada (que se utiliza para firmar),

de forma que aunque nuestra clave publica sea conocida por todos

nuestros interlocutores, ninguno de ellos podrá firmar en nuestro

nombre, pues no conocerán nuestra clave privada.

% Certificados Digitales

% Un certificado digital es un documento digital mediante el cual un

tercero confiable (una autoridad de certificación) garantiza la vinculación

entre la identidad de un sujeto o entidad y su clave pública.

% Si bien existen variados formatos para certificados digitales, los más

comúnmente empleados se rigen por el estándar UIT-T X.509. El certificado

contiene usualmente el nombre de la entidad certificada, número de serie,

fecha de expiración, una copia de la clave pública del titular del certificado

(utilizada para la verificación de su firma digital) y la firma digital de la

autoridad emisora del certificado de forma que el receptor pueda verificar que
 esta última ha establecido realmente la asociación.

Un certificado emitido por una entidad de certificación autorizada, además de

estar firmado digitalmente por ésta, debe contener por lo menos lo siguiente:

% Nombre, dirección y domicilio del suscriptor.

% Identificación del suscriptor nombrado en el certificado.

% El nombre, la dirección y el lugar donde realiza actividades la entidad de

certificación.

% La clave pública del usuario.

% La metodología para verificar la firma digital del suscriptor impuesta en el

mensaje de datos.

% El número de serie del certificado.

% Fecha de emisión y expiración del certificado.

La Encriptación

•La encriptación es básicamente transformar datos en alguna forma que no

sea legible sin el conocimiento de la clave o algoritmo adecuado. El

propósito de esta es mantener oculta la información que consideramos

privada a cualquier persona o sistema que no tenga permitido verla.

La encriptación en general requiere el uso de información secreta para su

funcionamiento la cual es llamada "llave". Algunos sistemas de

encriptación utilizan la misma llave para codificar y descodificar los

datos, otros utilizan llaves diferentes.

La técnica de encriptación a aplicar se basa en la complejidad de la

información a ocultar, es decir, entre mas compleja.

Como funciona:
•EncryptionString

•Consiste en tomar un mensaje y una clave de usuario, después sigue la

combinación de estos y se produce una cadena modificada.

•Texto a codificar: ENCRYPTION

•Caracteres del Texto: E N C R Y P T I O NCódigos ASCII:

69 78 67 82 89 80 84 73 79 78

•Contraseña KEY: K E Y K E Y K E Y K

•Caracteres de KEY: 75 69 89 75 69 89 75 69 89 75

•Suma de Códigos ASCII: 144 147 156 157 158 169 159 142 168 153

•En caracteres:  “ œ  ? © Ÿ ? ¨ ™

Transposition

En este método los mismos caracteres que son usados para la creación del

mensaje, son también usados para la encriptación.

Por ejemplo: si quisieras encriptar la frase “Necesito sacarme 100” El

mensaje puede ser escrito en dos columnas de la siguiente forma.

Luego si juntas la primera columna y después la segunda se quedaría de la

siguiente forma: NCSTSCRE OEEIOAA M10.

Esto ya es más difícil de leer y toma mas tiempo romper el código y descifrar

la palabra.

Y esto se vulva cada ves mas difícil si agregas mas columnas y alteras el

orden al escribirlos en línea.

Así como los ejemplos pasados, existen muchos tipos de encriptación, que

por el momento solamente mencionaremos su nombre.

•Substitution

•Caesar Chipre

•Monoalphabetic Substitutions

•Gronsfeld

•RSA

•DES

•Chaffing & Winnowing

•SKIPJACK

•BÍFIDO

•WLBYKYAAOTB

•Cifrado exponencial

• Blowfish
Diferencia entre Firma Electrónica y Firma Digital

a diferencia radica en el valor probatorio atribuido a cada uno de ellos, dado

que en el caso de una "Firma Digital" si un documento firmado

digitalmente es verificado correctamente, se presume salvo prueba en

contrario que proviene del suscriptor del certificado asociado y que no fue

modificado.

Por el contrario, en el caso de la firma electrónica, se invierte la carga

probatoria con respecto a la firma digital, esto es, en caso de ser desconocida

la firma corresponde a quien invoca su autenticidad acreditar su validez.

Por ejemplo, si entre dos partes que celebran un contrato firmado

digitalmente, una de ellas alegase la invalidez de alguna de las dos firmas, le

corresponde a ésta demostrar ante la ley la invalidez de la misma. En caso

de no tener la capacidad de demostrarlo, para la ley argentina esa firma

digital es válida.

Si en lugar de ello, las partes firmasen el contrato con firma electrónica, ante

el mero alegato de una de ellas sobre la invalidez de alguna de las firmas,

corresponde a la parte que clama por su validez demostrar ante la ley

la autenticidad de la misma. En caso de no tener la capacidad de

demostrarlo, para la ley argentina esa firma electrónica no es válida.

%
http://www.cuentame.inegi.gob.mx/comercio/firma/index.html

www.larevistainformatica.com/que-es-encriptacion-informatica.htm

http://212.145.157.8/web/Comercio.nsf/WPT/3F67B215152928F7C12570050

03AA322?OpenDocument