Universidad Nacional Autónoma de México
Dirección General de Servicios de Cómputo Académico
Año 7 Núm. 74, Publicación Mensual, 27 de Noviembre de 2008

ARTÍCULOS

 

Año 4, Número 44, Noviembre de 2005

Firma electrónica avanzada y certificado digital
¿moda o necesidad?

Roberto David López Ramírez

 

Cada día, las compañías e individuos utilizan Internet para realizar millones de transacciones en línea. Cada uno de nosotros compartimos archivos e información confidencial, ya sea por la red o mediante el correo electrónico. Actualmente, los clientes de diversas empresas, como los bancos, ya se encuentran habituados a verificar la información de su cuenta o a realizar pagos en las computadoras, desde la comodidad del hogar utilizando este medio.

Internet es una herramienta que reemplaza como un riesgo potencial, al teléfono o al fax en las transacciones u operaciones diarias pero, a su vez, se ha convertido en un medio para interceptar mensajes, robar información sensitiva, o realizar fraudes organizacionales o individuales.

El auge de las tecnologías de la comunicación y, en concreto, las relativas a Internet, ha supuesto un nuevo paradigma, en el que surgen herramientas que facilitan el trabajo a través de la red. Por eso se hace necesario, sobre todo en algunas operaciones (transferencias bancarias, consulta de expedientes o aquéllas que involucren la circulación de información con datos confidenciales por su naturaleza), garantizar al usuario una seguridad “razonable”.

La seguridad en los intercambios de información en Internet comprende tres aspectos principales: privacidad, integridad y autenticación. La privacidad hace referencia a que la información enviada no es accesible a un tercero; la integridad asegura que el contenido no sea alterado; y finalmente, la autenticación garantiza la identidad de su remitente.

Para cumplir totalmente con el aspecto de la seguridad surge el concepto de Infraestructura de Llave Pública (PKI), el cual es un sistema para firmar de manera digital, basado en una clave pública, que resuelve los problemas posibles de seguridad que una simple firma escrita no cumple.

En términos generales, PKI es un conjunto de hardware, software, personas especializadas, políticas y procedimientos necesarios para crear, administrar, almacenar, distribuir o revocar certificados.

El propósito básico de una infraestructura PKI es el de proporcionar claves y certificados confiables, donde se integren los tres aspectos señalados anteriormente, al compartir información en Internet para lograr la habilitación de la autenticación, la no repudiación (garantiza que el firmante no puede negar la autoría del mensaje), y la confidencialidad.

Las claves manejadas en una infraestructura PKI son de dos tipos: públicas o privadas y se asignan a cada usuario dependiendo del sistema de encripción usado: simétrico o asimétrico.

Por encripción entendemos las técnicas matemáticas avanzadas, utilizadas en los procesos de ocultación y cifrado de la información. Los algoritmos comúnmente utilizados son RSA (Rivest-Shamir-Adleman) y la Criptografía de Curva Elíptica (ECC), por mencionar los más generales.

Los métodos simétricos únicamente emplean claves públicas, mientras que los métodos asimétricos usan un par de claves, una pública y una privada; así al compartir información con otra entidad se tiene la posibilidad, a diferencia del método simétrico, de reconocer en cualquier momento a quien pertenece la información recibida, emitida y sobre todo constatar que proviene de una fuente confiable, conocida y reconocida por un tercero.

Los sistemas basados en clave pública deben tener la plena seguridad de que cada vez que ellos confíen en una clave de este tipo, la clave privada asociada pertenezca al sujeto o entidad con la que ellos se comunicaron. Esta relación se realiza mediante el uso de certificados, que proporcionan un mecanismo para lograr la confianza en la relación entre una clave pública y la entidad propietaria de la clave privada correspondiente.

Un certificado es una declaración firmada digitalmente que trata con una clave pública de sujeto particular, y es firmado por quien envía el mensaje (quien posee otro par de claves privada y pública).

Normalmente, los certificados también contienen otra información relacionada con la clave pública de sujeto, como son los datos de la identidad de la persona con acceso a la clave privada correspondiente. Por lo tanto, cuando se emite un certificado por parte de la Autoridad Certificadora, ésta da testimonio de la validez de la correlación entre la clave pública de sujeto y su información de identidad.

Es necesario destacar que un certificado tiene un tiempo de vida válido y limitado, que viene implícito en su contenido firmado, por el hecho de que es utilizado en el proceso de validar datos firmados. Además, existe la firma de Autoridad de Registro, entendida como la entidad que identifica al solicitante de un certificado, con la finalidad de suministrar a la Autoridad Certificadora los datos verificados del solicitante para que pueda emitir el certificado correspondiente.

La confianza depositada en las Autoridades Certificadoras debe sustentarse en una serie de prácticas internas y validación de las mismas, por parte de entidades encargadas de auditarlas. El control interno en las autoridades certificadoras es un aspecto muy importante dentro de la infraestructura de certificados que no está en el alcance de este documento; sin embargo, representa un punto crítico en este contexto.

En ese sentido, la Firma Electrónica Avanzada (FEA) es uno de los principales caminos de la infraestructura de llave pública, por el hecho de que hace seguras las comunicaciones en Internet para las organizaciones o individuos.

La Firma Electrónica Avanzada integra datos en forma electrónica, asociados a un mensaje de datos, los cuales son utilizados para acreditar la identidad del firmante en relación con el mensaje, e indican que éste asume como propia la información contenida en él, lo que produce los mismos efectos jurídicos que la firma autógrafa.

Para llevar a cabo el proceso de la FEA se requiere de un certificado digital, emitido por una Autoridad Certificadora, donde se avale que la firma es válida al momento de efectuar una operación.

Parece claro que existe una necesidad de disponer de algún mecanismo que permita autenticar la generación de documentos electrónicos, y saber en cualquier momento si el documento enviado fue generado por el emisor quien dice ser y si la información que contiene no fue alterada.

El hecho de que un certificado digital sirva como un identificador infalsificable estandarizado en el mundo digital, abre una amplia gama de aplicaciones en todos los ámbitos, en los que es necesaria la autenticación de usuarios, constituyéndose como una alternativa que carece de las debilidades de los esquemas basados únicamente en mecanismos de autenticación de usuario-clave de acceso.

Entre los beneficios del uso e implementación de la FEA podemos destacar la oportunidad en la información —tanto en la recepción como en su trámite y envío—, el ahorro en el consumo del papel, una importante reducción de la probabilidad de falsificación, procesos administrativos más rápidos y eficientes, y la posibilidad de encontrar el material requerido de manera ágil y oportuna. Actualmente, nuestras aplicaciones institucionales de misión crítica, como son los sistemas de administración escolar, de personal, de presupuesto, etcétera, ya son seguros y funcionales, pero incrementarán indudablemente la seguridad de su uso e información con el uso de la FEA y el sistema institucional de identidades electrónicas.

Para mayor información:

http://www.dgelu.unam.mx/

Inicio | Contacto |