Firma electrónica
Conforme al punto 3.25 de la norma oficial mexicana referida, se entiende como "firma electrónica" los datos en forma electrónica consignados en un mensaje de datos, adjuntados o lógicamente asociados al mismo, que puedan ser utilizados para identificar al firmante en relación con el mensaje de datos e indicar que el firmante aprueba la información recogida en el mensaje de datos. En esta materia, la criptografía tiene como función primordial transformar un mensaje en un mensaje inentendible para todos, excepto para el destinatario del mismo, en el cual un mensaje (M) se transforma en un criptograma (C) mediante un algoritmo de encripción (E) utilizando una llave (K).
Los mensajes encriptados C=E(M,K) se transforman en el mensaje original con un algoritmo de desencripción D(C, k) y para la encripción/desencripción de los mensajes se utilizan "llaves digitales".
Por ejemplo, el mensaje de datos dice: Cruz Azul va a quedar campeón.
Para transformarlo se deberá seguir el siguiente: "Procedimiento de Encripción": sustituir cada letra del mensaje de datos por otra letra "K" posiciones adelante en el alfabeto. Por ejemplo, si K = 2, entonces la letra "a" se sustituye por la "c", "b" por "d", etcétera.
Por lo tanto, el mensaje encriptado (Criptograma), será: etwb cbwn xc c swgfct ecorgqp
A continuación se presenta mediante esquemas el procedimiento para la elaboración de la firma electrónica y el relativo al envío de mensajes de datos con dicha firma, relativo al efecto de mostrar, con claridad el funcionamiento de esta figura, que será la más utilizada en el futuro inmediato, tanto en operaciones mercantiles como en gestiones ante autoridades.
Significado de los símbolos o figuras
Criptografía tradicional o simétrica
Elementos de una firma fiable Existen una serie de requisitos indispensables para tener fiabilidad en una firma, como son el que:
- los datos de creación de la firma, en el contexto en que son utilizados, corresponden exclusivamente al firmante;
- los datos de creación de la firma estaban, en el momento de la firma, bajo el control exclusivo del firmante;
- es posible detectar cualquier alteración de la firma electrónica hecha después del momento de la firma;
- cuando uno de los objetivos del requisito legal de la firma consista en dar seguridad en cuanto a la integridad de la información a que corresponde, es posible detectar cualquier alteración de esa información hecha después del momento de la firma;
- la detección de falta de integridad de la firma;
- la detección de falta de integridad en el mensaje de datos, y
- control exclusivo del firmante.
Nota: Dos transacciones o mensajes distintos producen una huella digital distinta, y dos mensajes o transacciones iguales, producen la misma huella digital. La longitud de la huella digital es por lo general de 16 a 20 bytes dependiendo del algoritmo utilizado (MD5, MD2,SHA-1).
Integridad del mensaje adicional a la encripción asimétrica
Integridad del mensaje adicional a la encripción asimétrica
Métodos asimétricos que permiten obtener una firma electrónica fiable (FEF)
- Existen dos llaves, una pública y una privada que están matemáticamente relacionadas;
- las llaves pública y privada se generan de la computadora del usuario;
- la llave privada se guarda y no se debe dar a conocer a nadie;
- la llave pública se puede dar a conocer a los socios comerciales o contrapartes;
- no es posible conociendo una llave pública, obtener la privada correspondiente, y
- lo que se encripta con la clave privada sólo puede desencriptarse con la llave pública y viceversa.
Integridad del mensaje más encripción asimétrica
Autenticidad de documentos firmados
Autenticidad de documentos firmados
Cómo debe proceder el firmante
Forma de generar llaves asimétricas
Creación del Certificado digital X.509 (medio de identificación)
Autenticidad del certificado digital
El proceder de quien confía en un certificado digital
Actuar con diligencia para verificar que el certificado no ha sido revocado Lista de certificados revocados
Estándares que contemplan los conceptos definidos: PKCS (Public key criptography standards) y Edifact
PKCS:
Encripción utilizando RSA:
#3 : Diffie-Hellman Key Agreement Standard
#5 : Password-Based Encryption Standard
#6 : Extended-Certificate Syntax Standard
#7 : Cryptographic Message Syntax Standard
#8 : Private-Key Information Syntax Standard
#9 : Selected Attribute Types
#10 : Certification Request Syntax Standard
#11 : Cryptographic Token Interface Standard
#12 : Personal Information Exchange Syntax Standard
#13 : Elliptic Curve Cryptography Standard
EDIFACT:
ISO 9735-5: Security rules for batch EDI (autenticidad, integridad y no rep.)
ISO 9735-6: Secure authentication an ack. Message (AUTACK)
ISO 9735-7: Security rules for batch EDI (confidencialidad)
ISO 9735-9: Security key and certificate management message (KEYMAN)
ISO 9735-10: Security rules for interactive EDI
Requisitos de validez para considerar una transacción válida
Existen una serie de elementos que se consideran indispensables para considerar una transacción electrónica como válida, es decir, el proceso de autenticación de
- la firma;
- lo que queremos saber de una transacción: qué, quién, y cuándo; y
- lo que queremos lograr: autenticidad e integridad de la firma electrónica y el no repudio de la misma y contenido del mensaje de datos.
Tipo de documento/Atributo | En papel | Electrónico |
Confidencialidad | Sobres/boveda | Encriptación |
Integridad/Autenticidad | Original y copias | Firma digital |
No repudio | Firma autógrafa/sellos | Firma digital |
Elementos que validan la información de la transacción electrónica
Conclusión
Es importante entender claramente este proceso electrónico, pues de ello depende el cuidado que se exija a los prestadores de servicios de certificación, respecto de la conservación y confidencialidad de los datos proporcionados cuando contrate este servicio para constituir la firma electrónica, y emisión de los correspondientes certificados digitales, tanto del representante legal de su empresa, y/o persona física con la que realice transacciones comerciales a través de medios electrónicos.