Riesgos y seguridad
II Cifrado

Firma digital

1) Utilizar firma digital

Una aplicación de los sistemas de clave pública es la firma digital. El objetivo final es enviar un documento, y poder demostrar quien lo ha enviado. En un papel normal, lo que se hace es firmarlo.

En el caso electrónico, quien envía el mensaje aplica su clave privada y con ello lo firma digitalmente. Sólo la clave pública correspondiente a dicha persona o institución permite comprobar que . Si efectivamente con dicha clave se descifra es señal de que quien dice que envió el mensaje, realmente lo hizo.

Lo vemos paso a paso.

En este caso es Carlos quien quiere enviar un mensaje a Fernando, pero firmado digitalmente. Tomemos nuevamente el mismo mensaje, "hola".

1) Carlos escribe un documento de texto con el siguiente mensaje: "hola".

2) En el programa PGP, Carlos selecciona la opción de firmar digitalmente dicho documento. O lo que es lo mismo, el PGP aplica la clave privada de Carlos, opción [firma digital].


[encriptar] [firma digital] [encriptar y firmar] [desencriptar]

Para ello nuevamente el PGP pide a Carlos el password para poder aplicar la clave privada.

Una vez aplicada la firma digital, el mensaje "hola" con la firma digital se convierte en esto:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

hola

-----BEGIN PGP SIGNATURE-----
Version: PGPfreeware 7.0.3 for non-commercial use <http://www.pgp.com>

iQA/AwUBPIOVallyxNs7kDT0EQIkEgCgsG3yq8lCzjQ90fVH1i8s8chte3wAnjd8
MB7UCwzxEQf0pF4UhMvXglc9
=ARa+
-----END PGP SIGNATURE-----

A continuación Carlos envía dicho mensaje a Fernando

3) Fernando recibe el mensaje y puede leerlo sin problemas pues no está encriptado, sólo firmado digitalmente -nótese que está el "hola" en la parte superior del documento-.

Si Fernando quiere comprobar que el mensaje fue escrito por quien lo envió, que efectivamente corresponde a quien dice, debe usar la opción del PGP [desencriptar]


[encriptar] [firma digital] [encriptar y firmar] [desencriptar]

Y efectivamente el programa muestra a Fernando la siguiente pantalla:

 Ahora las dos a la vez: encriptar y firmar digitalmente

Si Carlos quiere enviar un mensaje a Fernando encriptado de forma que sólo pueda descifrarlo el interesado y además con firma digital debe usar un proceso doble:

  • 1) Carlos obtiene la clave pública de Fernando. Encripta el mensaje con dicha clave.
  • 2) A ese mensaje encriptado, Carlos le aplica su clave privada. Así lo firma digitalmente
  • 3) Fernando recibe el mensaje. En primer lugar aplica su clave privada para ver lo que pone.
  • 4) Fernando utiliza la clave pública de Carlos para comprobar que efectivamente es un mensaje enviado por Carlos

2) La entidad certificadora

Todo esto está muy bien, pero aunque obtengamos la clave pública de una persona ¿quien nos garantiza que la persona es realmente quien dice ser?. De hecho, en esa página de Rediris no tuvimos que hacer nada especial para solicitar la clave pública, sólo instalar el PGP, copiar la clave y pegarla en un formulario de Rediris, que a su vez se encarga de enviarla a otros serviodres de Internet similares. Este sistema sólo garantiza que ese mensaje ha sido enviado por la persona que obtuvo la clave pública, pero no que esa persona es quien dice ser.

Ahí intervienen las autoridades de certificación, con lo que el destinatario tiene la seguridad de quién es la persona que se lo envió. Para usuarios particulares hay certificados de varios tipos.

En el caso de serviodres de comercio electrónico, la entidad certificadora concede los certificados después de haber controlado la correcta configuración del proceso de encriptación (SSL) y haber comprobado los datos de la empresa solicitante. El certificado de servidor seguro se concede a entidades cuyas referencias han sido comprobadas, para asegurar que efectivamente quien recibe los datos encriptados es quien debe de recibirlos.

La Entidad de Certificación garantiza la identidad de los interlocutores mediante la emisión de certificados, permite la firma electrónica y el intercambio de claves de cifrado.

Entidades de certificación como FESTE, Verisign, IPSCA, ACE, etc.

FESTE (http://www.feste.org/); VERISIGN (http://www.verisign.com); IPSCA (http://www.ipsca.com): ACE (http://www.ace.es/)

El proveedor de un servicio de certificación es una entidad de confianza que permite la verificación de identidad de una persona o entidad que quiere utilizar la firma electrónica, o la autenticación de servidores. Ha de dar información sobre la clave pública y otros datos de la persona o entidad incluyéndola los certificados que emita. Debe dar información sobre Uso y Validez de los certificados y ha de ocuparse de mantener actualizada y accesible la lista de revocación de los certificados. Dada la calidad de sus funciones el servicio de certificación ha de ofrecer garantías y demostrar que es una entidad lo suficientemente estable como para que los certificados que emita puedan ser considerados fiables. En el caso de FESTE, cuenta con el apoyo de dos instituciones de gran confianza para la seguridad jurídica, como son el Consejo General del Notariado y el Consejo General de Corredores de Comercio, además del Consejo General de la Abogacía, la Universidad de Zaragoza, y la empresa Intercomputer.

TIPOS DE CERTIFICADOS PERSONALES.

Con objeto de ofrecerle el producto que cubre mejor sus necesidades le ofrecemos varios tipos diferentes de Certificados Personales:

- B1. Certificado de Correo con validez mensual/anual.

En él , ipsCA,relaciona el nombre que introduzca en nuestro cuestionario con una cuenta de correo válida. Permite la firma y encriptación de correo.
No tiene caracter comercial pues no existe comprobación de la identidad del sujeto.

- B2. Certificado Personal con verificación documental.

Es necesaria la comprobación de la identidad del sujeto mediante un documento de identidad válido. Deberá enviarse una fotocopia del documento y abonarse la correspondiente tarifa.

-B3. Certificado Personal Presencial.

La comprobación de la persona será presencial y documental. El individuo deberá presentarse ante el registrador con un documento de identidad válido. y abonar la correspondiente tarifa

Obtenga una firma digital gratis

Observe en las siguientes pantallas un mensaje de correo electrónico que incluye una firma digital (ojo, no es la firma escrita sino el icono de la derecha!). Al hacer click sobre dicho icono comprobamos su autenticidad.

EJERCICIO: Acceda a Thawte y obtenga una firma electrónica válida con la que podrá enviar mensajes firmados digitalmente. (http://www.thawte.com/email)

  En IPSCA gratis durante 3 meses

En IPSCA (http://www.ipsca.com) permiten obtener un "Certificado de Prueba" durante 3 meses. Permite firmar sus correos y cifrar la información sensible antes de enviarla vía e-mail, basándose en la seguridad que aportan los Certificados ipsCA. Con ello conseguirá un doble objetivo: el Emisor se asegurará de que exclusivamente la persona a la que desea enviar el mensaje puede leer sus correos y el Destinatario tendrá la completa seguridad de quién es la persona que se lo envió.

Ejercicio: Obtenga e instale uno de esos certificados

Ir a CiberContaCitar como: Serrano Cinca C. (2003): "Riesgos y seguridad en los sistemas de información", [en línea] 5campus.org, Sistemas Informativos Contables <http://www.5campus.org/leccion/buscar> [y añadir fecha consulta]este  Inicio leccion
[Índice