Firma y certificados digitales

Tenemos ahora como propósito tratar de explicar y discutir un poco el concepto de firma digital, que nos llevará al de certificado digital.

Primero consideremos que existe la necesidad de comunicación entre dos entes, por ejemplo dos personas que están en dos países diferentes, por lo tanto una de las mejores formas de comunicación es por Internet. Uno de los problemas más sentidos es ¿cómo saber que efectivamente la persona con quien me estoy comunicando es precisamente la que dice ser?. Este problema lo llamaremos el problema de verificación de Identidad o la autenticación.

Veamos como se ha resuelto este problema en la práctica. Por ejemplo cuando dos personas tienen que validar la identidad pero no se conocen anteriormente. Por ejemplo si una persona va a recoger un boleto de avión a una agencia de viajes y tiene que acreditar su identidad, digamos que el boleto esta a nombre de Jesús Angel, el empleado de la agencia de viajes acepta la identidad de quien dice ser Jesús Angel si cumple ciertos requisitos, por ejemplo si le muestra una identificación oficialmente válida (el pasaporte por ejemplo para casi todo el mundo), el empleado compara la foto de la identificación con la apariencia del portador y decide si acepta que quien es portador es realmente Jesús Angel si la foto es parecida al portador.

La firma tradicional tiene varias características, la principal de ellas es que es aceptada legalmente, esto quiere decir que si alguna persona firmó un documento adquiere tanto los derechos como las obligaciones que de él deriven, y si estas obligaciones no son acatadas el portador del documento tiene el derecho de reclamación mediante un litigio. La autoridad competente acepta las responsabilidades adquiridas con sólo calificar a la firma como válida.

Podemos resumir que existen dos procedimientos importantes, el primero el proceso de firma, que es el acto cuando una persona “firma” manualmente un documento. Y el proceso de verificación de la firma, que es el acto que determina si una firma es válida o no.

Por otro es importante hacer notar que la firma comprueba la identidad de una persona, de tal modo que así se sabe quién es la persona quien firmó, y que esta persona no puede negar las responsabilidades que adquiere en un documento firmado.

Antes de continuar es bueno mencionar algunos conceptos necesarios para explicar lo que sigue. Particularmente sobre la criptografía. La criptografía como ciencia, estudia los problemas básicos de la seguridad en la transmisión de la información por un canal inseguro. La criptografía se divide en criptografía simétrica y criptografía asimétrica. La criptografía simétrica resuelve el problema de la confidencialidad y usa algoritmos como TDES y AES para transmitir información cifrada, y que solo con una única clave simétrica puede leer el contenido de la información. Esta clave la llamaremos “clave simétrica” y tienel una longitud de 128 bits. El problema aquí es que antes de realizar la conexión segura es necesario que ambos lados tengan la misma clave simétrica. La criptografía asimétrica consiste en algoritmos basados en problemas de un solo sentido, es decir que por un lado sea muy fácil realizarlo, pero la inversa sea “difícil” de realizarlo, como es problema de la factorización entera, es fácil realizar el producto de dos números pero es “difícil” factorizar un número producto de dos números primos grandes. En este caso tenemos dos claves en cada caso que se le asocian a una entidad, un usuario por ejemplo. Una clave pública que sirve para cifrar información y solo quien tiene la clave privada asociada a esta clave pública puede descifrar el mensaje. Esto es usado para intercambiar claves simétricas. Por otra parte con la clave privada se firman documentos y se verifica la firma con la clave pública.

Es claro que la clave pública puede ser conocida por cualquier persona, sin embargo la clave privada es solo conocida por el dueño a quien se le asociaron el par de claves. La clave privada debe de guardarse de manera confidencial, ya sea en su computadora personal ó en algún dispositivo personal.

En la práctica la criptografía simétrica y asimétrica se usan conjuntamente. La simétrica para intercambiar grandes volúmenes de información por su rapidez. Y la asimétrica para el intercambio de las claves simétricas y la firma digital.

Con todo lo anterior ya es muy fácil definir los conceptos de firma digital y de certificado digital.

Firma digital: es un número natural, de mas o menos 300 dígitos que tiene las mismas propiedades que la firma convencional. Es decir es posible asociar un número único a cada persona o entidad, existe un método de firma y un método de verificación de la firma. Esta firma digital resuelve satisfactoriamente el problema de autenticación y no rechazo.

Certificado Digital: es un archivo de aproximadamente 1k de tamaño que contiene, primero los datos del propietario, después su clave pública y la firma digital de una autoridad competente. Cuando una persona solicita un certificado digital, se generan su par de claves, la pública y la privada. La clave pública viene en el certificado digital explícitamente. La clave privada queda en custodia del propietario del certificado. El tercer elemento importante que tiene el certificado digital es la firma digital de una autoridad certificadora quien esta como aval de que los datos corresponden al propietario. El certificado digital queda muy parecido entonces a un documento oficial de identificación como un pasaporte o una licencia de conducir.

Otra importante característica del certificado digital es que contiene además de lo ya mencionado, el nombre de los algoritmos que se usan para la firma digital.

La firma convencional es usada cuando la comunicación es personal, si esta comunicación fuese por ejemplo por teléfono no es posible usar la firma convencional. La firma digital esta precisamente diseñada para poder ser usada a grandes distancias, y principalmente cuando esta comunicación esta hecha por dos computadoras e Internet, además puede ser usada por muchos dispositivos electrónicos.

Cabe también mencionar que aunque la firma convencional puede ser enviada vía fax o por un documento que copie el garabato, ésta no es válida legalmente. Esta firma convencional se usa solo por conveniencia de alguna corporación o institución, por ejemplo al usar un sello que estampa la firma de algún ejecutivo, es usada sólo por la rapidez que representa usarla, pero legalmente no es válida. Sólo es válida aquella que es derivada del puño y letra de la persona. Por su parte la firma digital garantiza ser mejor que la convencional y seria de gran beneficio si esta tuviese validez legal.

Quizá la mayor diferencia entre la firma convencional y la firma digital es que la primera en su método de verificación existe una gran probabilidad de error, según algunos hasta del 20%, y en el caso de la firma digital, este error es inapreciable. Es una fuerte razón para que la firma digital tenga valor legal.