Elaboración de firma electrónica

Elaboración de firma electrónica
 .  (Foto: IDC online)

Firma electrónica


Conforme al punto 3.25 de la norma oficial mexicana referida, se entiende como "firma electrónica" los datos en forma electrónica consignados en un mensaje de datos, adjuntados o lógicamente asociados al mismo, que puedan ser utilizados para identificar al firmante en relación con el mensaje de datos e indicar que el firmante aprueba la información recogida en el mensaje de datos. En esta materia, la criptografía tiene como función primordial transformar un mensaje en un mensaje inentendible para todos, excepto para el destinatario del mismo, en el cual un mensaje (M) se transforma en un criptograma (C) mediante un algoritmo de encripción (E) utilizando una llave (K).

Los mensajes encriptados C=E(M,K) se transforman en el mensaje original con un algoritmo de desencripción D(C, k) y para la encripción/desencripción de los mensajes se utilizan "llaves digitales".

Por ejemplo, el mensaje de datos dice: Cruz Azul va a quedar campeón.

Para transformarlo se deberá seguir el siguiente: "Procedimiento de Encripción": sustituir cada letra del mensaje de datos por otra letra "K" posiciones adelante en el alfabeto. Por ejemplo, si K = 2, entonces la letra "a" se sustituye por la "c", "b" por "d", etcétera.

Por lo tanto, el mensaje encriptado (Criptograma), será: etwb cbwn xc c swgfct ecorgqp

A continuación se presenta mediante esquemas el procedimiento para la elaboración de la firma electrónica y el relativo al envío de mensajes de datos con dicha firma, relativo al efecto de mostrar, con claridad el funcionamiento de esta figura, que será la más utilizada en el futuro inmediato, tanto en operaciones mercantiles como en gestiones ante autoridades.

Significado de los símbolos o figuras

Criptografía tradicional o simétrica

Elementos de una firma fiable Existen una serie de requisitos indispensables para tener fiabilidad en una firma, como son el que:

  • los datos de creación de la firma, en el contexto en que son utilizados, corresponden exclusivamente al firmante;
  • los datos de creación de la firma estaban, en el momento de la firma, bajo el control exclusivo del firmante;
  • es posible detectar cualquier alteración de la firma electrónica hecha después del momento de la firma;
  • cuando uno de los objetivos del requisito legal de la firma consista en dar seguridad en cuanto a la integridad de la información a que corresponde, es posible detectar cualquier alteración de esa información hecha después del momento de la firma;
  • la detección de falta de integridad de la firma;
  • la detección de falta de integridad en el mensaje de datos, y
  • control exclusivo del firmante.
Validación de la integridad del mensaje o de la transacción recibida a través de huellas digitales

Nota: Dos transacciones o mensajes distintos producen una huella digital distinta, y dos mensajes o transacciones iguales, producen la misma huella digital. La longitud de la huella digital es por lo general de 16 a 20 bytes dependiendo del algoritmo utilizado (MD5, MD2,SHA-1).

Integridad del mensaje adicional a la encripción asimétrica

Integridad del mensaje adicional a la encripción asimétrica

Métodos asimétricos que permiten obtener una firma electrónica fiable (FEF)

  • Existen dos llaves, una pública y una privada que están matemáticamente relacionadas;
  • las llaves pública y privada se generan de la computadora del usuario;
  • la llave privada se guarda y no se debe dar a conocer a nadie;
  • la llave pública se puede dar a conocer a los socios comerciales o contrapartes;
  • no es posible conociendo una llave pública, obtener la privada correspondiente, y
  • lo que se encripta con la clave privada sólo puede desencriptarse con la llave pública y viceversa.
Criptografía de llave pública o asimétrica, más integridad del mensaje

Integridad del mensaje más encripción asimétrica

Autenticidad de documentos firmados

Autenticidad de documentos firmados

Cómo debe proceder el firmante

Forma de generar llaves asimétricas

Certificado digital X.509

Creación del Certificado digital X.509 (medio de identificación)

Autenticidad del certificado digital

El proceder de quien confía en un certificado digital


Actuar con diligencia para verificar que el certificado no ha sido revocado Lista de certificados revocados

Estándares que contemplan los conceptos definidos: PKCS (Public key criptography standards) y Edifact

PKCS:
Encripción utilizando RSA:
#3 : Diffie-Hellman Key Agreement Standard
#5 : Password-Based Encryption Standard
#6 : Extended-Certificate Syntax Standard
#7 : Cryptographic Message Syntax Standard
#8 : Private-Key Information Syntax Standard
#9 : Selected Attribute Types
#10 : Certification Request Syntax Standard
#11 : Cryptographic Token Interface Standard
#12 : Personal Information Exchange Syntax Standard
#13 : Elliptic Curve Cryptography Standard

EDIFACT:
ISO 9735-5: Security rules for batch EDI (autenticidad, integridad y no rep.)
ISO 9735-6: Secure authentication an ack. Message (AUTACK)
ISO 9735-7: Security rules for batch EDI (confidencialidad)
ISO 9735-9: Security key and certificate management message (KEYMAN)
ISO 9735-10: Security rules for interactive EDI

Requisitos de validez para considerar una transacción válida

Existen una serie de elementos que se consideran indispensables para considerar una transacción electrónica como válida, es decir, el proceso de autenticación de

  • la firma;
  • lo que queremos saber de una transacción: qué, quién, y cuándo; y
  • lo que queremos lograr: autenticidad e integridad de la firma electrónica y el no repudio de la misma y contenido del mensaje de datos.
Cambio de paradigma

Tipo de documento/Atributo En papel Electrónico
Confidencialidad Sobres/boveda Encriptación
Integridad/Autenticidad Original y copias Firma digital
No repudio Firma autógrafa/sellos Firma digital


Elementos que validan la información de la transacción electrónica

Conclusión

Es importante entender claramente este proceso electrónico, pues de ello depende el cuidado que se exija a los prestadores de servicios de certificación, respecto de la conservación y confidencialidad de los datos proporcionados cuando contrate este servicio para constituir la firma electrónica, y emisión de los correspondientes certificados digitales, tanto del representante legal de su empresa, y/o persona física con la que realice transacciones comerciales a través de medios electrónicos.