LA FIRMA DIGITAL

archivo del portal de recursos para estudiantes
robertexto.com

Roberto Ricardo Wechsberg
Comisario General (R) y profesor de la Facultad de Ciencias de la
Criminalística de la Universidad de la Policía federal Argentina(1.U.P.F.A.).

Artículo extraído del N° 14  (julio de 2004) de la publicación Policía y Criminalística de la Policía Federal Argentina. 

IMPRIMIR

 

La internacionalización de las comunicaciones de la última década ha dado a luz en tiempo récord a un actor substancial en la nueva economía y en nuestro trabajo diario: la Red Internet.  Es así que se calcula que en noviembre de 2001, había más de 36 millones de servidores activos, 1.600 millones de páginas y más de 500 millones de usuarios asiduos, de los cuales alrededor de 3 millones son argentinos.

Dicha irrupción de un medio logística inusitado e impensado en su magnitud, comparable en sus efectos con los caminos romanos (parte central de la solidez de su imperio) o con el descubrimiento de la electricidad o la red de agua pública, no puede dejar de plantear un nuevo paradigma dentro del desarrollo de la sociedad futura.

En un mundo virtual pero que maneja realidades, deben tomarse elementos que aseguren que esas realidades puedan ser seguras y perdurables en el tiempo y cuyos interlocutores estén tan bien identificados como en el mundo real.  En el fondo, los elementos lógicos que hacen al desarrollo y viabilidad de todo sistema son: Seguridad Política, Seguridad Jurídica y Previsibilidad Económica. La seguridad en sus diversas formas se torna imprescindible para el desarrollo del mundo virtual y su paso hacia un nuevo estadio.

 

La seguridad y la identificación en la red

Parte de la revolución cultural que implica Internet hace que las personas y las organizaciones tiendan a reemplazar los métodos tradicionales de transacciones y comunicaciones basados en el papel, a sistemas informáticos basados en redes computacionales.

Hoy en día, Internet y el correo electrónico son medios muy utilizados para la comunicación, quizá los más usados; sin embargo, la mayoría de los usuarios no son conscientes de la facilidad con que sus mensajes pueden ser interceptados en Internet o en lntranets desprotegidos.

Una reciente encuesta de la Asociación Nacional de Consumidores (NCL) de los EE.UU. refleja que 43% de los consumidores usuarios de Internet en EE.UU. afirman que la posibilidad de que roben sus números de tarjetas de crédito es su mayor preocupación en transacciones de comercio electrónico.

Dicha tendencia ha creado la necesidad de encontrar procedimientos técnicos y disposiciones legales para asegurar que los documentos electrónicos transmitidos por estas vías sean por lo menos tan confiables y reconocidos legalmente como su contrapartida en papel.

Es imprescindible garantizar la identidad de los cibernautas, para poder dar certeza de que quien nos envía cierta información o documentación es realmente quien dice ser y no un tercero u otro que se ha hecho pasar por él.

Dicha garantía de identidad conlleva otra seguridad jurídica necesaria en todo manejo de cuestiones que requieren de aspectos probatorios. Ello es el no repudio, en cuanto no sea posible la negación del remitente de su participación en el proceso.

Resulta clara la necesidad de definir indudablemente quiénes han participado en el intercambio informática y su factibilidad probatoria, ya que la negación de alguna de las partes no reconociendo las obligaciones que ha contraído, dejaría a la otra en situación de desprotección ante la prueba casi diabólica de la participación de la otra parte en dicho intercambio.

También resulta necesario garantizar la integridad del documento o información que ha sido remitido dando certeza sobre si ha sido adulterado, observado, modificado o no, por terceras personas ajenas al proceso durante el camino de transmisión.

Es posible que la comunicación requiera de confidencialidad o secreto, determinando que la información que fue enviada a través del ciberespacio sólo pueda ser conocida por su destinatario.

Pues bien, la solución a estos requerimientos en un mundo electrónico parecen tenerla las ciencias exactas: las matemáticas, más específicamente la criptografía.  Pero, qué es la Criptografía.  Detengámonos unos minutos en entender dicha problemática.

 

¿Qué es la Criptografía?

Siempre se ha asociado a la Criptografía con algo secreto y misterioso utilizado por el espionaje en todas las guerras y, por otro lado, con una matemática indescifrable, compleja y no abordable para la mayoría de los mortales.

De hecho, la Criptografía toma su denominación del griego y se puede traducir como "la manera de escribir raro" (criptos, extraño; graphos, escritura).

En sí no es otra cosa que una ciencia que se ha especializado en desarrollar métodos para que nuestros mensajes sean comprensibles exclusivamente para aquellos que nosotros deseemos e ininteligibles para el resto (secreto o confidencialidad) asegurando su inalterabilidad-adulteración (integridad) y dándole autenticidad (equivalente digital de la firma), y por lo cual su contenido no puede ser repudiado (negándolo más tarde), aplicando para ello procedimientos matemáticos (algoritmos) y claves y dispositivos criptográficos.

Si bien su origen tiene carácter militar, en la actualidad' su interés ha desbordado ampliamente dicho campo, para introducirse en las áreas donde la información es valiosa, como la informática.

Pues bien, ¿cómo han funcionado y funcionan los sistemas criptográficos y específicamente en su aplicación en la web?  Veamos:

 

Criptografía Simétrica

Supongamos que necesitamos enviar un mensaje entre dos lugares muy separados, y que éste es confidencial o secreto, por lo que se requiere que nadie lo lea.  Para esto se deberá "encriptar o cifrar" el mensaje mediante un procedimiento matemático (algoritmo), que hará que el texto se deforme para que no sea descifrable por un tercero desconocido o no autorizado.

Estos algoritmos necesitan una "contraseña" o "clave" para la encriptación, por lo que, si se ha encriptado el texto original con una clave, el destinatario necesitará la misma clave y el mismo algoritmo para que el mensaje pueda descifrarse y ser leído.  Este proceso se llama encriptación simétrica.

Ahora bien, el problema se suscita en la transferencia de esta contraseña o clave al destinatario del mensaje, por lo que se necesita un canal seguro, protegido contra la intercepción, sin lo cual la clave podría ser conocida por un tercero ajeno al proceso.  Pero surge la paradoja que, si ya se posee un canal seguro para comunicarse con el destinatario del mensaje, no se necesitaría la criptografía para comunicarse en forma segura.

La realidad es que existen pocos canales seguros ya que los servicios de información mundiales, las escuchas telefónicas y otros métodos de interceptación son moneda corriente en nuestros días y por lo cual habría que encontrarse personalmente, supuesto imposible si ambas partes se hallan a una distancia considerable y sobre todo, si para cada comunicación segura en Internet habría que repetir estos encuentros.

La luz para tal dilema surgió en un trabajo publicado en noviembre de 1976, bajo el título "Nuevas Direcciones en Criptografía" de los entonces jóvenes investigadores de la Universidad de Stanford, Whitfield Diffie y Martin Heliman, quienes desarrollan una metodología de encriptación llamada encriptación asimétrica o pública.

 

Sistemas de criptografía asimétrica

¿Cómo funciona en la práctica la criptografía de clave pública o PKI?

El usuario del sistema genera un par de claves consistentes en una pública y otra privada, utilizando algoritmos asimétricos.  Dichas claves tienen la característica de que lo que cierra una, abre la otra y viceversa.  La clave pública se distribuye alrededor del mundo (a través de Autoridades Certificantes que publican estas claves juntamente con los certificados de a quiénes pertenecen), mientras que la clave privada permanece secreta bajo toda circunstancia (no debe divulgarse a nadie bajo ningún concepto), y se almacena en general encriptada en un medio magnético, en un Token o en una Smart Card (Tarjeta Inteligente con Chip).

Como hemos dicho, un mail o mensaje que haya sido encriptado con la clave pública, sólo puede ser desencriptado con la correspondiente clave privada o viceversa, no es posible descifrarlo usando la misma clave pública.  Tampoco es posible computar en un tiempo razonable (computacionalmente posible) la clave secreta cuando se conoce solamente la clave pública.

Por lo cual, el único que podrá leer este mensaje encriptado es el destinatario, porque es el único que posee la contrapartida de la clave pública.

Los sistemas de clave pública se dicen "computacionalmente seguros", por lo que la seguridad resulta de la longitud del módulo, recursos computacionales y tiempo disponible, etc.  Dado suficiente tiempo y poder de cálculo, son descifrables, por lo que para estar seguro actualmente habrá que utilizar algoritmos asimétricos de 1024 o 2048 bits hacia arriba, así como confiar en soportes lógicos cuyo código fuente sea accesible y se pueda recompilar. la seguridad estaría preservada en el mediano plazo, aun frente al ataque de los superordenadores más veloces, dado que el incremento del tamaño de la clave aumenta exponencialmente la carga de trabajo del Hacker.

 

Infraestructura de firma digital

Ahora bien, imaginemos que queremos enviar un documento por correo electrónico.

Hoy en día, la dirección de e-mail del sender es falsificada, con lo que la única forma de verificar su autenticidad es a través de una estructura dé firma digital.  Pero, qué es firma digital.

La llamada "firma digital" no es otra cosa que una forma de aplicación de un sistema criptográfico asimétrico por el cual se permite identificar indubitablemente a la persona que está enviando el mensaje.

Cuando un mensaje se cifra primero con la clave pública y después se descifra con la clave privada, se consigue el cifrado del mismo, es decir su confidencialidad.

Pues bien, también es posible utilizar las claves en orden inverso: primero la privada y luego la pública y este proceso dará la posibilidad de identificar a la persona que envíe y, a su vez, permitirá el no repudio posterior del mensaje.  Este proceso se ha dado en llamar "firma digital".  De hecho, cuando dicho mensaje llegue al destinatario, éste lo desencriptará con la clave pública del remitente que conocía de antemano o que llegó con el mismo mensaje mediante el Certificado de Autoridad Certificante que lo respalda.  Si el resultado es un mensaje legible, entonces sólo pudo haberío encriptado quien dice ser el remitente, pues nadie más conoce esa clave privada.  Sirviendo este proceso para autentificar a quien envió el mensaje y a su vez, que éste no fue modificado durante su traslado.

Resumiendo, podemos decir que una estructura de firmas digitales nos permite:

-          Confidencialidad e integridad de los datos: el que recibe el mensaje puede estar seguro de que éste no ha sido modificado u observado por un tercero.

-          - Identificación: el receptor de un mensaje firmado puede estar seguro de la identidad del remitente del mismo.

-          - No repudio: el remitente del mensaje no puede negar haberío enviado, con lo cual adquiere valor probatorio ante un hipotético conflicto.

Estas ventajas volcadas en el uso comercial de lnternet y del correo electrónico, como hemos dicho, darán un desarrollo inimaginable a la web, ya que se podrán firmar contratos a distancia, órdenes de compra, de pago, etc.

El 11 de diciembre de 2001 se promulgó en la Argentina la "Ley de Firma Digital", sancionada por el Congreso Nacional el 14 de noviembre anterior, por la cual se establece que las firmas digitales recibirán el mismo estatus jurídico que las ológrafas, reconociéndose el empleo de la firma electrónica y de la firma digital y su eficacia jurídica en las condiciones que establece la citada ley (art. 12).

 

Certificadores licenciados o Autoridades certificantes

Pues bien, dentro de la cadena de seguridad que impone una estructura de PKI es substancial el papel de identificación de la persona.  Esto es así ya que, si falla el eslabón donde se vinculó a la persona con su clave pública, toda la estructura cae y de hecho tenemos ejemplos en la realidad de estas circunstancias, sumiendo al mundo de la web en la inseguridad.

Así como en el mundo real ya existen autoridades que certifican identidad, en el mundo digital hace falta su correlato ' para poder brindar la seguridad jurídica necesaria para el funcionamiento del sistema.

Para ello, entonces, es necesario la creación de Autoridades Certificantes o Certificadores Licenciados como lo llama la ley, que registren a las personas y emitan los así llamados Certificados (datos de identidad y clave pública de la persona, firmados digitalmente por la AC), garantizando la vinculación entre la persona real o institución y su clave pública.

En la Argentina, la ley 25.506 de Firma Digital determina esa necesidad y su reglamentación, efectuada por decreto 2.628 (B.O. 1011212002), establece el régimen por el cual serán regidas dichas "Autoridades Certificantes" o "Certificadores Licenciados".

Con la sanción de la ley de firma digital y el desarrollo que está teniendo Internet en todo el mundo, se puede pensar en múltiples y diversas aplicaciones prácticas de PKI, como por ejemplo el archivo seguro de documentación electrónica firmada digitalmente, el firmado simultáneo de contratos, sistemas de votación (con preservación del anonimato) a través de redes públicas, servicios públicos a través de Internet en las áreas de impuestos, bibliotecas públicas, denuncias policiales y matriculación en universidades, el dinero digital, trámites on-line, capacitación on-line, teletrabajo, identificación para accesos seguros a redes de inteligencia, e-commerce identificado, pasaporte digital, etc.

Las personas que cuenten con la firma electrónica podrán efectuar "muchos trámites que ahora las obligan a realizar desplazamientos", como cambiar datos del empadronamiento, consultar su situación fiscal con el gobierno, presentar recursos a multas, presentar licencias urbanísticas de obras menores o solicitar permisos, etc.

 

Epílogo

Como se puede apreciar, nos espera un mundo y un tiempo diametralmente opuestos a los que rigieron los últimos milenios.

La seguridad y la identidad de las personas serán y ya son un tema muy serio a prever en la red.

Todas las organizaciones deberán adaptarse a estos nuevos paradigmas para poder servir adecuadamente a la ciudadanía.

Son nuevos desafíos que merecen una rápida y eficaz respuesta tal cual estamos acostumbrados.

 

Bibliografía

- Carrión, Hugo Daniel.  "Análisis Comparativo de la Legislación y Proyectos a Nivel Mundial Sobre Firmas y Certificados Digitales (distintas soluciones)".

- Comité Notarial del Mercosur.  Consejo Federal del Notariado Argentino.  "Capacidad, certificación de firmas y documento electrónico.  Régimen legal y doctrina". 2001. - Díaz Col odrero, Jorge V., Dr. "La revolución de mercado electrónico con la introducción de la tecnología de la Firma Digital". 2003.

- Martínez Nadal, Apolonia.  "La ley de firma electrónica".  Civitas Ediciones, S.L. 2000. - RSA Laboratories.  Public Key Cryptography Standards.  RSA Data Security.  Nov. 1993.

LIBRERÍA PAIDÓS

central del libro psicológico

REGALE

LIBROS DIGITALES

GRATIS

música
DVD
libros
revistas

EL KIOSKO DE ROBERTEXTO

compra y descarga tus libros desde aquí

VOLVER

SUBIR