Primero que nada, antes de empezar a tratar el tema que nos compete,
debemos dejar en claro que, hay tres conceptos parecidos, relacionados
entre sí, que podrían fácilmente confundir al lector.
Dichos conceptos son Firma Electrónica, Firma Digitalizada y Firma
Digital, esta última será la que abordaremos. Pero daremos una breve
explicación de de los otros conceptos para entender las diferencias.
Firma Electrónica
La firma
electrónica es un concepto jurídico, equivalente electrónico al de la
firma manuscrita, donde una persona acepta el contenido de un mensaje
electrónico a través de cualquier medio electrónico válido. Ejemplos:
Usando una firma
biométrica.
Firma con un lápiz
electrónico al usar una tarjeta de crédito o débito en una tienda.
Marcando una
casilla en una computadora, a máquina o aplicada con el ratón o con el
dedo en una pantalla táctil.
Usando una firma
digital.
Usando usuario y
contraseña.
Usando una tarjeta
de coordenadas.
La firma
electrónica a su vez puede tener diferentes técnicas para firmar un
documento, así tenemos las siguientes: Código secreto o de ingreso: es
la necesidad de una combinación determinada de números o letras, que son
sólo conocidas por el dueño del documento, o lo que todos usamos, por
ejemplo en los cajeros automáticos, es el famoso PIN (Personal
Identification Number). Métodos basados en la Biometría: se realiza el
acceso al documento mediante mecanismos de identificación física o
biológica del usuario o dueño del documento. La forma de identificación
consiste en la comparación de características físicas de cada persona
con un patrón conocido y almacenado en una base de datos. Los lectores
biométricos identifican a la persona por lo que es (manos, ojos, huellas
digitales y voz).
En el perfeccionamiento del cifrado de mensajes,
llegamos a lo que se conoce como criptografía. Esta consiste en un
sistema de codificación de un texto con claves de carácter confidencial
y procesos matemáticos complejos, de manera que para el tercero resulta
incomprensible el documento si desconoce la clave decodificadora, que
permite ver el documento en su forma original. De ahí es que surgen dos
tipos de criptografía:
de clave secreta o simétrica: las
partes en los dos procesos de cifrado y descifrado comparten una clave
común previamente acordada. Debe ser conocida solamente por ambas partes
para evitar que un tercero ajeno a la operación pueda descifrar el
mensaje transmitido y de esa forma haga caer toda la seguridad del
sistema.
Por ese motivo surgió el sistema de
clave asimétrica o de doble clave, clave pública y clave privada. Este
sistema fue creado en 1976. Tal como lo indica su nombre el sistema
posee dos claves: una de ellas sólo es conocida por el autor del
documento y la otra puede ser conocida por cualquier persona. Y si bien
esas dos claves se encuentran relacionadas matemáticamente mediante un
algoritmo, no es posible por medio de la clave pública, conocer la clave
privada, por lo menos en los estándares tecnológicos actuales. Una firma
electrónica crea un historial de auditoría que incluye la verificación
de quién envía el documento firmado y un sello con la fecha y hora.
Firma Digitalizada
La firma digitalizada es un tipo de
firma que permite identificar al firmante en un documento electrónico
incluyendo el aspecto gráfico de la firma manuscrita.
Según la legislación de firma
electrónica y dependiendo de la técnica adoptada, puede ser considerada
firma electrónica simple, o firma electrónica avanzada. En el marco de
la firma electrónica simple se incluyen firmas escaneadas o
digitalizadas, únicamente en su aspecto gráfico. En el marco de la firma
electrónica avanzada se incluye además información grafométrica obtenida
en tiempo real de un dispositivo idóneo asociado al sistema de firma
vinculándolo con el documento de forma indisoluble, cifrando cierta
información para que los datos de generación de firma no estén a
disposición del promotor del sistema.
Los dispositivos utilizados son
tabletas digitalizadoras, conectadas a ordenadores personales y tabletas
generalistas, preferentemente dotadas con tecnología sensible a la
presión del puntero de firma. Los teléfonos inteligentes se agrupan
frecuentemente en el mismo grupo tecnológico que las tabletas
generalistas.
Gran parte de los procesos internos en
los que sea necesaria la firma (autorizaciones, recibos, pedidos,
contratos, etc.) podrán llevarse a cabo sin imprimir el documento en
papel y sin necesitar almacenar físicamente los documentos. La búsqueda
de documentos se simplifica, puesto que ya sólo hay que buscar el
documento en el sistema informático.
Si se preservan ciertos principios en
la gestión de firmas electrónicas avanzadas digitalizadas, estas firmas
pueden ser consideradas prueba en juicio con procedimientos equivalentes
a las firmas manuscritas sobre documentos en papel, y es posible
realizar el cotejo de firmas previsto en la legislación procesal por los
expertos y peritos previstos en dicha legislación. Con frecuencia, los
sistemas de gestión que se adhieren a dichos principios se denominan
sistemas FMDA (Firma Manuscrita Digitalizada Avanzada).
Firma Digital
Una firma digital es un mecanismo criptográfico que permite al receptor
de un mensaje firmado digitalmente determinar la entidad originadora de
dicho mensaje (autenticación de origen y no repudio), y confirmar que el
mensaje no ha sido alterado desde que fue firmado por el originador
(integridad).
La
firma digital se aplica en aquellas áreas donde es importante poder
verificar la autenticidad y la integridad de ciertos datos, por ejemplo
documentos electrónicos o software, ya que proporciona una herramienta
para detectar la falsificación y la manipulación del contenido.
Propiedades necesarias
Se han
establecido una serie de propiedades necesarias que tiene que cumplir un
esquema de firma para que pueda ser utilizado.La validez de una firma se
ampara en la imposibilidad de falsificar cualquier tipo de firma radica
en el secreto del firmante. En el caso de las firmas escritas el secreto
está constituido por características de tipo grafológico inherentes al signatario
y por ello difíciles de falsificar. Por su parte, en el caso de las
firmas digitales, el secreto del firmante es el conocimiento exclusivo
de una clave (secreta) utilizada para generar la firma. Para garantizar
la seguridad de las firmas digitales es necesario a su vez que estas
sean:
Únicas: Las firmas deben poder ser generadas solamente por el
firmante y por
lo tanto infalsificable. Por tanto la firma debe depender
del firmante.
Infalsificables: Para
falsificar una firma digital el atacante tiene que resolver.
problemas matemáticos de una complejidad muy elevada, es
decir, las firmas han de ser computacionalmente seguras. Por tanto la
firma debe depender del mensaje en sí.
Verificables: Las firmas deben ser fácilmente verificables por los
receptores de las mismas y, si ello es necesario, también por los jueces
o autoridades competentes.
Innegables: El firmante no debe ser capaz de negar su propia firma.
Viables: Las firmas han de ser fáciles de generar por
parte del firmante.
Clasificación
En función del
modo en el que se construye la firma
Podemos
construir esquemas de firma digital basándonos en distintos tipos de
técnicas:
·Basándonos en la supuesta seguridad de dispositivos
físicos
·Basándonos en criptografía de clave simétrica.
·Basándonos en criptografía de clave asimétrica.
Basándonos en la supuesta seguridad de
dispositivos físicos
Un
dispositivo, como una tarjeta inteligente, se dice que es resistente a
modificaciones (en inglés tamper resistant) si se cree que es
difícil acceder a la clave secreta almacenada en él.
Basándonos en criptografía de clave
simétrica
Se han
propuesto distintos protocolos de firma basados en la criptografía de
clave secreta. Sin embargo, a partir de la aparición de la criptografía
asimétrica están en recesión debido a su superioridad tanto conceptual
como operacional en la mayoría de los contextos de uso.
Los esquemas
de firma digital de clave simétrica son los siguientes:
Firma de Desmedt
Firma de Lamport-Diffie
Firma de clave simétrica de Rabin
Firma de Matyas-Meyer
Estos esquemas
están basados en el uso una función de un solo sentido (en
inglés one-way function). La gran desventaja de este tipo de
esquemas es el tamaño de las claves y de las firmas y del hecho de que
sólo pueden ser usadas un número fijo de veces (frecuentemente una sola
vez). Merkle ha propuesto optimizaciones para este tipo de algoritmos.
Bleichenbacher y Maurer han proporcionado una generalización de estos
métodos.9 Estos esquemas han
servido como primitivas usadas en construcciones más complejas.
Basándonos en criptografía de clave asimétrica
Se han
propuesto distintos protocolos de firma basados en la criptografía de
clave asimétrica. Los más importantes son los siguientes:
El uso de
criptografía asimétrica para firma digital se basa en el concepto
de funciones de un solo sentido con trampa (en inglés trapdoor one-way
functions). Son funciones fáciles de computar en una sola dirección
y difíciles de computar en otra dirección, excepto para alguien que
conozca la información 'trampa'. La información puede entonces ser
firmada digitalmente si el signatario transforma la información
con su clave secreta (la información trampa). El verificador puede
verificar la firma digital aplicando la transformación en el sentido
fácil usando la clave pública.
HASH
Es el resultado de aplicar cierto
algoritmo matemático, denominado función hash, a su contenido y,
seguidamente, aplicar el algoritmo de firma (en el que se emplea una
clave privada) al resultado de la operación anterior, generando la firma
electrónica o digital. El software de firma digital debe además efectuar
varias validaciones, entre las cuales se pueden mencionar:
Vigencia del certificado
digital del firmante,
Revocación del certificado
digital del firmante (puede ser por OCSP o CRL),
Inclusión de sello de
tiempo.
¿Qué es una función Hash? Una función
hash es método para generar claves o llaves que representen de manera
unívoca a un documento o conjunto de datos. Es una operación matemática
que se realiza sobre este conjunto de datos de cualquier longitud, y su
salida es una huella digital, de tamaño fijo e independiente de la
dimensión del documento original. El contenido es ilegible.
Es posible que existan huellas digitales iguales para objetos
diferentes, porque una función hash tiene un número de bits definido. En
el caso del SHA-1, tiene 160bits, y los posibles objetos a resumir no
tienen un tamaño límite. A partir de un hash o huella digital, no
podemos recuperar el conjunto de datos originales. Los más conocidos son
el MD5 y el SHA-1, aunque actualmente no son seguros utilizarlos ya que
se han encontrado colisiones. Cifrar una huella digital se conoce como
firma digital.
Requisitos que deben cumplir las funciones hash:
Imposibilidad de obtener el texto original a partir de la huella
digital.
Imposibilidad de encontrar un conjunto de datos diferentes que
tengan la misma huella digital (aunque como hemos visto
anteriormente es posible que este requisito no se cumpla).
Poder
transformar un texto de longitud variable en una huella de tamaño
fijo (como el SHA-1 que es de 160bits).
Facilidad
de empleo e implementación.
Ejemplos de funciones Hash
MD5
Es una función hash de 128 bits. Como todas las funciones hash, toma
unos determinados tamaños a la entrada, y salen con una longitud fija
(128bits). El algoritmo MD5 no sirve para cifrar un mensaje. La
información original no se puede recuperar, ya que está específicamente
diseñado para que a partir de una huella hash no se pueda recuperar la
información. Actualmente esta función hash no es segura utilizarla,
nunca se debe usar.
SHA-1
Es parecido al famoso MD5, pero tiene un bloque de 160bits en lugar de
los 128bits del MD5. La función de compresión es más compleja que la
función de MD5, por tanto, SHA-1 es más lento que MD5 porque el número
de pasos son de 80 (64 en MD5) y porque tiene mayor longitud que MD5
(160bits contra 128bits).
SHA-1 es más robusto y seguro que MD5, pero ya se han encontrado
colisiones, por tanto, actualmente esta función hash no es segura
utilizarla, nunca se debe usar.
SHA-2
Las principales diferencias con SHA-1 radica en en su diseño y que los
rangos de salida han sido incrementados. Dentro de SHA-2 encontramos
varios tipos, el SHA-224, SHA-256, SHA-384 y SHA-512. El más seguro, es
el que mayor salida de bits tiene, el SHA-512, que tiene 80 rondas
(pasos), como el SHA-1 pero se diferencia de éste en:
Tamaño de
salida 512 por los 160 de SHA-1.
Tamaño del
bloque, tamaño de la palabra y tamaño interno que es el doble que
SHA-1.
Como ocurre con todos los cifrados y hash, cuanto más seguro, más lento
su procesamiento y uso, debemos encontrar un equilibrio entre seguridad
y velocidad.
Software
Si quieres comprobar o realizar la función hash a un archivo o texto,
podréis encontrar el md5sum y el sha1sum por defecto instalados en
sistemas operativos Linux. Si utilizas un sistema operativo Microsoft
Windows podéis bajar el Snap MD5 que es un todo en uno (tiene
para MD5 y para SHA-1).
Factores implicados en la verificación de la firma
Normalmente la verificación de la firma no se ciñe exclusivamente a
verificar con el algoritmo de verificación, que la firma digital se
corresponde con el mensaje que se quería firmar. Además hay que evaluar
una serie de factores que dan la validez real de la firma:
Hay
que verificar que la clave usada por el signatario es válida.
Normalmente las claves para firmar suelen tener mecanismos que sólo las
hacen válidas durante cierto periodo de tiempo. Este tiempo se limita
mediante uno o varios mecanismos, por ejemplo: fechas de caducidad (por
ejemplo, para criptografía de clave pública con certificados, con
tiempos de vigencia de certificados), estableciendo mecanismos que
permiten comprobar que la clave no ha sido revocada por el firmante (por
ejemplo, para criptografía de clave pública con certificados, con OCSP o
CRL).
En
algunas ocasiones la firma lleva un sello de tiempo (en inglés
timestamping). Este sello de tiempo establece el momento en el que se ha
realizado la firma. Este sello se puede utilizar por los protocolos para
establecer periodos de tiempos después del cual la firma no es válida.
Por ejemplo podríamos establecer un sistema en el que las firmas sólo
son válidas durante 30 minutos después de haberse producido.
Legislación
En nuestro país la firma digital
esta legislada por la ley 25.506 sancionada el 14 de noviembre de 2001 y
promulgada el 11 de diciembre del mismo año.
El
ministerio de modernización, dependiente directamente de presidencia de
la nación, establece en su página oficial que se muestra a continuación
https://pki.jgm.gov.ar/app/Default.aspx, que las condiciones de emisión de certificados digitales se encuentran
establecidas en la Política Única de Certificación de la Oficina
Nacional de Tecnologías de la Información (ONTI -https://www.argentina.gob.ar/onti ), como
así también todo lo concerniente a la implementación de firma
digital para la administración pública, proveyendo allí diversos
tutoriales que permiten conocer cómo gestionar e implementar la firma
digital bajo la legislación vigente en nuestro país.
El
ministerio de modernización en la página
https://www.argentina.gob.ar/firmadigital muestra un video
explicativo del porque la necesidad de utilizar la firma digital.
Para
ver el video posicionese con la flecha del mouse sobre la imagen y
presione el botón derecho del mouse y de un clic donde dice reproducir y
automáticamente comenzara el video.
Preguntas para contestar :
1_Defina monitoreo?
2_Que ámbitos comprende el monitoreo?
a) Ámbito ambiental
b)Ámbito de seguridad
c)Ámbito de administración de redes informáticas
d)Todas las opciones anteriores
3) A la hora de evaluar un monitor de red
cual de estas opciones no se debe tener en cuenta?
