La Firma Digital en el Correo Electrónico

Cómo surge la necesidad de una firma digital

En el uso del correo electrónico, existen dos preguntas claves que dispararon el tema e iniciaron la búsqueda de una solución a este problema:
1) Cómo me aseguro que el email viene de quien dice ser el remitente ? 2) Cómo se que el contenido del email no fue alterado en el trayecto ?

Primer Intento de solución: Clave Secreta (Simétrica)

Este método pretende que cada usuario maneje una clave secreta por cada dirección de email a contactar. Asegura la indentidad e integridad del contenido, ya que los únicos poseedores de las claves son el remitente y el destinatario.

Se puede calcular la cantidad de claves necesarias con la siguiente ecuación, n*(n-1) / 2. Siendo n la cantidad de usuarios, para mil usuarios el resultado es 499500 claves. Evidentemente este método no sirve más que para un reducido grupo de usuarios. Por lo tanto se busca una solución más práctica al problema.

Un Nuevo Modelo: Clave Pública (Asimétrica)

Con este método, se expide un certificado para el usuario, en el que se obtiene una clave privada y una pública. De esta forma, cada propietario maneja dos claves solamente en forma independiente de la cantidad de usuarios.

Las claves están relacionadas por un algoritmo matemático que impide su violación por medios computacionales en tiempos razonables. Si el mensaje se cifra con la clave privada, sólo puede abrirse con la clave pública y viceversa.

PKI. Infraestructura de Clave Pública

Esta clase de Infraestructura es también conocida como de clave pública o por su equivalente en inglés Public Key Infrastructure. La normativa crea el marco regulatorio para el empleo de la Firma Digital en la instrumentación de los actos internos del Sector Público Nacional, que no produzcan efectos jurídicos individuales en forma directa, otorgándole a esta nueva tecnología similares efectos que a la firma hológrafa.

La disposición establece la configuración de la siguiente estructura:

• Organismo Licenciante (OL)

Es la Autoridad Certificante Raíz que emite certificados de clave pública a favor de aquellos organismos o dependencias del Sector Público Nacional que deseen actuar como Autoridades Certificantes Licenciadas.

• Organismo Auditante (OA)

Es el órgano de control, tanto para el Organismo Licenciante como para las Autoridades Certificantes Licenciadas.

• Autoridad Certificada Licenciada (ACL)

Son aquellos organismos o dependencias del Sector Público Nacional que soliciten y obtengan la autorización, por parte del Organismo Licenciante, para actuar como Autoridades Certificantes de sus propios agentes.

• Suscriptores

Personas que tramitan y obtienen un certificado digital.

PKI. Definición de Firma Digital. Contenido de un Certificado Digital

La firma digital es el instrumento que permitirá, entre otras cosas, determinar de forma fiable si las partes que intervienen en una transacción son realmente las que dicen ser, y si el contenido del contrato ha sido alterado o no posteriormente. También es un conjunto de datos asociados a un mensaje que permite asegurar la identidad del firmante y la integridad del mensaje.

La firma digital no implica que el mensaje esté encriptado, es decir, que éste no pueda ser leído por otras personas; al igual que cuando se firma un documento holográficamente éste puede ser visto por otras personas.

Una de las características sobresalientes y que constituye el pilar de la firma digital, es la condición de No Repudio. El No Repudio.ofrece seguridad inquebrantable de que el autor del documento, en el futuro no puede retractarse de haberlo enviado, ni tampoco de las opiniones o acciones consignadas en él.

La lista que se detalla a continuación es parte de la información que describe al certificado, es pública y puede ser verificada por cualquiera en cualquier momento.

Versión, Numero de Serie, Algoritmo de Firma, Emisor, Válido Desde, Válido Hasta, Asunto, Clave , Restricciones Básicas, Restricción de longitud de ruta, Algoritmo de identificación, Huella digital.

PKI. Responsabilidad de los usuarios

Todo propietario de un certificado digital debe velar por la integridad del sistema de clave pública. Por este motivo, a continuación se detallan algunos de los cuidados que deberán observar para mantener la confiabilidad del sistema.

• Control exclusivo de sus datos. Resguardo total e inviolable de su clave privada.
• Debe contar con un dispositivo de creación de firma confiable.
• Solicitar revocación inmediata, en caso de estar comprometida la privacidad del certificado.
• Informar al ente certificante cualquier cambio en los datos del certificado objeto de una verificación.

Las aplicaciones más populares

Dentro de las aplicaciones de la firma digital, a modo de ejemplo enunciamos las que sobresalen por su popularidad en la vida cotidiana.

• Correo Seguro, por ejemplo en el intercambio de documentación significativa y relevante para las partes.
• Sitios Web Seguros, por ejemplo el home banking. El candado cerrado en la barra de estado asegura la confidencialidad del canal.
• Instalación de Software Seguro, por ejemplo cuando se escanea con un antivirus on line tipo Panda o Norton y se solicita permiso para instalar el software necesario.

Finalmente, en el siguiente enlace podrá observar un video corto de cómo fue presentado el tema, en la charla organizada por el Estudio Jurídico Sanitá Giammona de la ciudad de Rosario, el 29 de Septiembre de 2006.