Firma Digital UNIVERSIDAD DE CONCEPCIÓN FACULTAD DE INGENIERIA.

UNIVERSIDAD DE
CONCEPCIÓN
FACULTAD DE INGENIERIA.
Departamento de Ingeniería Civil
Informática y Ciencias de la
Computación.
Trabajo # 2
Firma Digital
Alumnos:
Profesor:
Asignatura:
Fecha
Entrega:
Oscar Mancilla R.
Jaime Terán M.
Sr. Yussef Farrán L.
Informática y Sociedad
25-04-2005
Índice
Introducción
3
¿Como Funciona?
4
Claves privadas y claves públicas
¿Donde residen la clave pública y la privada?
Certificados
6
¿Para qué se utilizan los certificados?
¿Qué contiene un certificado?
Autoridades certificadoras en Chile
Aplicaciones de la firma digital
7
Preguntas Frecuentes sobre Firma Digital
8
Conclusión
9
Referencias
10
Introducción
La firma digital es una herramienta tecnológica, creada a finales
de los 70, que nos permite garantizar la autoría e integridad de los
documentos digitales, posibilitando que éstos gocen de una
característica que únicamente era propia de los documentos
impresos. Corresponde a un conjunto de datos asociados a un
mensaje digital que permite garantizar la identidad del firmante y la
integridad del mensaje. Usarla no implica asegurar la confidencialidad
del mensaje; es decir, un documento firmado digitalmente puede ser
visualizado por otras personas, al igual que cuando se firma
manualmente. Es un instrumento con características técnicas y
normativas, ésto significa que existen procedimientos técnicos que
permiten la creación y verificación de firmas digitales, y existen
documentos normativos que respaldan el valor legal que dichas
firmas poseen.
La utilización de esta tecnología amplía el espectro de
posibilidades de la red. En este documento se analizará la generación
de firmas, su funcionamiento y el cómo utilizarlas en nuestros
documentos cotidianos.
¿Cómo funciona?
Funciona utilizando complejos algorítmos matemáticos que
relacionan el documento firmado con información propia del firmante,
y permiten que terceras partes puedan reconocer la identidad del
firmante y asegurarse de que los contenidos no han sido modificados
y son exactamente lo que el emisor envió. El procedimiento se
describe a continuación:
1. Generación de la firma:
a. Antes de firmar, se debe disponer de una clave privada.
b. La clave privada del remitente, junto con el documento,
generan la firma digital del mismo
c. El resultado, una firma que es única para dicho
documento y que sólo él es capaz de producir, se enviará
adjunta al mensaje original.
2. Verificación del mensaje:
a. En primer lugar, el receptor debe conocer la clave pública
del remitente.
b. Utilizando la clave pública, el receptor genera una firma
con en mensaje original.
c. Si ambas firmas digitales coinciden (la que se recibio y la
que se generó), significa que no hubo alteración y que el
firmante es quien dice serlo.
Claves privadas y claves públicas
En la elaboración de una firma digital y en su correspondiente
verificación se utilizan complejos procedimientos matemáticos
basados en criptografía asimétrica (también llamada criptografía de
clave pública).
En un sistema criptográfico asimétrico, cada usuario posee un
par de claves propio. Estas dos claves, llamadas clave privada y clave
pública; términos que fueron utilizados en el procedimiento descrito
anteriormente, poseen la característica de que si bien están
fuertemente relacionadas entre sí, no es posible calcular la primera a
partir de los datos de la segunda, ni tampoco a partir de los
documentos cifrados con la clave privada.
El sistema opera de tal modo que la información cifrada con una
de las claves sólo puede ser descifrada con la otra. De este modo si
un usuario cifra determinada información con su clave privada,
cualquier persona que conozca su clave pública podrá descifrar la
misma.
En consecuencia, si es posible descifrar un mensaje utilizando la
clave pública de una persona, entonces puede afirmarse que el
mensaje lo generó esa persona utilizando su clave privada (probando
su autoría).
Las claves públicas y privadas, además de firmar
electrónicamente documentos, también se utilizan para encriptar
información. Esto es, codificando un documento con la clave pública
del destinatario, de modo que él, con su clave privada, sea el único
capáz de descifrar la información. Como se puede observar, este
procedimiento no indica quién envió el documento, solo indica para
quién. Esta falencia se puede areglar mezclando las dos técnicas.
¿Donde residen la clave pública y la privada?
La generación del par de claves (pública y privada) es un
proceso sencillo, pero que requiere de precauciones especiales.
Cuando se crea el par, una de las claves, que es en realidad una
secuencia muy larga de caracteres, es designada como clave privada,
o sea la que en el futuro se empleará para firmar los mensajes, por
ello su almacenamiento requiere máxima seguridad debido a que no
debe ser conocida ni utilizada por nadie, excepto por su titular (quien
la generó). En consecuencia, la clave privada se encripta y protege
mediante una contraseña y se la guarda en un disco, diskette o en
algún otro dispositivo como tarjetas magnéticas. La clave pública, en
cambio, debe ser conocida por todos, por tal motivo es enviada a una
Autoridad Certificante (que actúa como tercera parte confiable),
quien la incluye en un certificado digital.
De manera informal, y para transacciones no tan críticas, uno
puede crear su par de claves y guardarlas o publicarlas de la manera
mas conveniente para uno. Por ejemplo, un usuario podría disponer
de su clave pública en su sitio web, así, se le podrían enviar archivos
encriptados sin ningún problema.
Certificados
Los certificados son documentos digitales que dan fe de la
vinculación entre una clave pública y un individuo o entidad. Permiten
verificar que una clave pública específica pertenece, efectivamente, a
un individuo determinado. Los certificados ayudan a prevenir que
alguien utilice una clave para hacerse pasar por otra persona. En
algunos casos, puede ser necesario crear una cadena de certificados,
cada uno certificando el previo, para que las partes involucradas
confíen en la identidad en cuestión.
¿Para qué se utilizan los certificados?
Un certificado puede utilizarse para identificarse en cualquier
tipo de transacción o comunicación electrónica. Permite garantizar
que un mensaje emitido ha sido enviado por el titular del certificado y
que no ha sufrido ninguna alteración. También se puede utilizar un
certificado ajeno para extraer la clave pública de alguien y así poder
utilizarla para enviarle un mensaje encriptado a esa persona, como se
describió en la sección anterior.
¿Qué contiene un certificado?
En su forma más simple, los certificados contienen una clave
pública y un nombre. Habitualmente, un certificado también contiene
una fecha de expiración, el nombre de la Autoridad Certificante que
emitió ese certificado, un número de serie y alguna otra información.
Pero lo más importante es que el certificado propiamente dicho está
firmado
digitalmente
por
el
emisor
del
certificado.
El formato de los certificados está definido por el estándar
internacional ITU-T X.509. De esta forma, los certificados pueden ser
leídos o escritos por cualquier aplicación que cumpla con el
mencionado estándar.
Autoridades certificadoras en Chile.
Según la información del sitio web del SII, actualmente existen
3 entidades certificadoras aprobadas por el Ministerio de Economía en
nuestro país: Acepta.com, E-CertChile y Cnc-once. Para obtener las
claves correspondientes, el primer paso es contactarse con uno de
estos organismos certificadores para ingresar una solicitud con
validación presencial del solicitante y que contiene datos como
nombre, RUN, password y dirección de correo electrónico, entre
otros. Los valores alcanzan los 50 dólares para personas
naturales.
Estas empresas, además de entregar el servicio de
certificación de firmas para personas naturales, también ofrecen
certificación de servidores o sitios web, entre otros.
Aplicaciones de la firma digital
Cualquier procedimiento que se suele realizar previa validación
de notario, por ejemplo, o quizás alguna compra, o simplemente
envios de mensajes dentro de una organización, todos ellos se
benefician del uso de la firma digital. En nuestro país, el SII ha sido
pionero en la utilización de esta tecnología. Desde el 2001, se ha
comenzado a utilizar en la clásica operación renta. Se impementó
debido a que algunos usuarios consideraban vulnerable el sistema
tradicional, que correspondía a un número de rut y a una clave. Se
considera la implementación de la firma digital como el primer gran
avance del e-government a nivel nacional. La firma digital es el
primer paso para productos mas complejos, como la boleta o la
factura electrónica.
Otras aplicaciones corresponden a la firma de mensajes
electrónicos. En esta caso, se debe disponer de algún software que
sea capaz de firmar digitalmente un documento. Típicamente se
escribe el mensaje y luego se indica la opción de firmar digitalmente
antes del envío. El receptor, como ya se ha indicado, deberá disponer
de la clave pública del emisor con el objeto de verificar la
autenticidad del mensaje.
Preguntas Frecuentes Sobre Firma Digital
¿Cómo se ve una firma digital?
A la vista, una firma digital se representa por una extensa e
indescifrable cadena de caracteres, esta cadena representa en
realidad un número el cual es el resultado de un procedimiento
matemático aplicado al documento.
¿Qué consideraciones se debe tener para utilizar una firma digital?
Sólo se necesita contar con un navegador como Internet
Explorer 4.0x o Netscape 4.03 o versiones superiores, tener conexión
a Internet y poseer una cuenta de correo electrónico que no sea una
WebMail (como yahoo, uolmail, etc).
¿Firmar digitalmente un archivo es encriptarlo?
Si bien en la firma digital como en la encriptación de mensajes
intervienen procesos de encripción, estos son dos conceptos
completamente distintos. Un archivo puede estar firmado
digitalmente y encriptado, puede estar firmado y no encriptado o
viceversa. La firma digital brinda un mecanismo de seguridad que
permite determinar fehacientemente la autoría e integridad de un
documento, o sea quién lo firmó y si fue o no alterado ese documento
desde que fue firmado. La encriptación en cambio nos brinda
confidencialidad, esto es, la posibilidad de que un documento
solamente pueda ser leído por una única persona. Por lo tanto en
función de las necesidades que requiera un documento específico se
debe tener en cuenta si este debe ser encriptado, firmado
digitalmente o ambas cosas a la vez.
¿Tiene el mismo valor que la firma manuscrita?
El 25 de marzo del año 2002, el Presidente de la República
promulgó la Ley 19.799, sobre documentos electrónicos, firma
electrónica y los servicios de certificación para dicha firma. El
propósito principal de esta normativa es establecer un marco legal
que otorgue a los actos y contratos celebrados por medios
electrónicos, el mismo reconocimiento y protección ante la ley que
aquel que reciben los que son celebrados de la manera convencional,
en otras palabras, los que utilizan el papel como soporte, es decir,
Chile acepta la firma digital como un procedimiento válido de
autentificación
Conclusión
La firma digital como herramienta tecnológica es el equivalente
a la firma manuscrita tradicional de los documentos. Su
implementación requiere de autoridades certificadoras, quienes
aseguran que una persona y su firma son quienes dicen ser. Un gran
espectro de tareas se pueden agilizar usando ésta información.
Además, la firma digital es la base tecnológica para otro tipo de
productos, se podría pensar en un pronto voto electrónico, por
ejemplo.
Hacer el procedimiento de manera electrónica tiene ventajas
para todos: menos papeles y mas agilidad en las transacciones, sin
embargo, su uso no depende de la tecnología o de las leyes, depende
de la capacidad de adaptación y de confianza que los usuarios tengan
con algo tan sensible como la privacidad de sus datos.
Referencias

http://www.pki.gov.ar/index.php?option=com_frontpage&Itemi
d=1

http://ca.sgp.gov.ar/faq.html#Que%20es%20una%20firma%2
0digital

Acepta.com

http://www.uvirtual.cl/prensa/reportajes/firma_digital.htm