La firma digital es un mecanismo criptográfico que permite verificar la autenticidad del origen de un mensaje y confirmar que no ha sido alterado. Se usa en documentos electrónicos y software para detectar falsificaciones. Existe un algoritmo de generación de firma y otro de verificación asociado. Las firmas digitales deben ser únicas, infalsificables, verificables, innegables y viables. En Perú, la ley y el reglamento establecen al INDECOPI como autoridad para acreditar entidades de certificación digital.
3. Es un mecanismo Criptográfico
que permite al receptor de un
mensaje
firmado
digitalmente
determinar la entidad originadora
de dicho mensaje (autenticidad de
origen y no repudio), y confirmar
que el mensaje no ha sido alterado
desde que fue firmado por el
originador
4. • En aquellas áreas donde es
importante poder verificar la
autenticidad y la integridad de
ciertos datos.
Ejemplo:
• documentos
electrónicos
o
software, ya que proporciona una
herramienta para detectar la
falsificación y la manipulación
del contenido.
5. Un algoritmo de generación de firma digital
también llamado simplemente algoritmo de generación de
firma, es un método para producir firmas digitales.
también llamado simplemente algoritmo de verificación, es un
método que permite la verificación de que una firma digital es
auténtica.
consiste en un algoritmo de generación de firma y su
algoritmo de verificación asociado.
es un algoritmo de generación de firma digital, junto con un
método para formatear los datos en mensajes que puedan ser
firmados.
6. • Únicas: Las firmas deben poder ser generadas solamente
por el firmante y por lo tanto infalsificable. Por tanto la firma
debe depender del firmante
• Infalsificables: Para falsificar una firma digital el atacante
tiene que resolver problemas matemáticos de una
complejidad muy elevada, es decir, las firmas han de ser
computacionalmente seguras. Por tanto la firma debe
depender del mensaje en sí.
• Verificables: Las firmas deben ser fácilmente verificables
por los receptores de las mismas y, si ello es
necesario, también por los jueces o autoridades
competentes.
• Innegables: El firmante no debe ser capaz de negar su
propia firma.
• Viables: Las firmas han de ser fáciles de generar por parte
del firmante.
7. En función del modo en el que se construye la firma
Podemos construir esquemas de firma digital basándonos en
distintos tipos de técnicas:
• la supuesta seguridad de dispositivos físicos
• criptografía de clave simétrica.
• criptografía de clave asimétrica.
En función de si usa información aleatoria
Algunos esquemas de firma son deterministas y otros usan bits
aleatorios. Las firmas que usan bits aleatorios probablemente
revelan menos información sobre la clave secreta, sin
embargo, por otra parte, obligan al signatario a tener una fuente
segura de bits aleatorios. Observar que si la fuente de bits
aleatorios es revelada, no sólo la firma sino también la clave
secreta puede que sea comprometida. Firma Bloqueada
8. En función de si necesita el mensaje original para la
verificación de la firma
Podemos clasificar los esquemas de firma digital en
función de si es necesario tener el mensaje original para
verificar la firma, dando lugar a los siguientes tipos:
• Esquemas de firma digital con recuperación de
mensaje
• Esquemas de firma digital con apéndice
En función de la intervención o no de una entidad
árbitro
Existen dos métodos para establecer protocolos de firma
digital:
• firma digital con árbitro
• firma digital sin árbitro.
9. Normalmente la verificación de la firma no se ciñe exclusivamente a
verificar con el algoritmo de verificación, que la firma digital se
corresponde con el mensaje que se quería firmar. Además hay que
evaluar una serie de factores que dan la validez real de la firma:
• Hay que verificar que la clave usada por el signatario es válida.
Normalmente las claves para firmar suelen tener mecanismos que sólo
las hacen válidas durante cierto periodo de tiempo. Este tiempo se
limita mediante uno o varios mecanismos, por ejemplo:
Fechas de caducidad (para criptografía de clave pública con
certificados, con tiempos de vigencia de certificados), estableciendo
mecanismos que permiten comprobar que la clave no ha sido revocada
por el firmante (Así como: para criptografía de clave pública con
certificados, con OCSP o CRL).
• En algunas ocasiones la firma lleva un sello de tiempo (en inglés
timestamping). Este sello de tiempo establece el momento en el que
se ha realizado la firma. Este sello se puede utilizar por los
protocolos para establecer periodos de tiempos después del cual la
firma no es válida.
Ejemplo podríamos establecer un sistema en el que las firmas sólo
son válidas durante 30 minutos después de haberse producido
10. La Ley 27269, de Firmas Digitales:
• Esta norma fue modificada por la Ley 27310 para
permitir que pudieran ser incorporados los certificados
digitales de origen extranjero; el DS Nº 052-2008-PCM,
reglamento de la Ley de Firmas y Certificados
Digitales; y el DS Nº 105-2012-PCM, que fija
disposiciones para facilitar la puesta en marcha de la
firma digital y modifica el DS Nº 052-2008-PCM
(Reglamento de la Ley de Firma). Esta norma busca
acelerar los procesos de adopción de la firma digital en
el E-GOV
11. • El Reglamento de Firmas y Certificados Digitales, aprobado por el Decreto
Supremo Nº 019-2002-JUS, designó al INDECOPI como la Autoridad
Administrativa Competente de la Infraestructura Oficial de Firma Digital.
• Esta condición fue ratificada por el Reglamento que reemplazó a
aquel, aprobado por el Decreto Supremo Nº 004-2007-PCM publicado el 14
de enero de 2007 en el diario oficial El Peruano, así como por el
Reglamento vigente, sancionado por el Decreto Supremo Nº 052-2008PCM, publicado el 19 de julio de 2008.
• En tal condición, el INDECOPI –a través de la Comisión de Reglamentos
Técnicos y Comerciales– ha aprobado:
1) la Guía de Acreditación para Entidades de Certificación Digital;
2) la Guía de Acreditación para Entidades de Verificación/ Registro de
Datos;
3) la Guía de Acreditación para Prestadoras de Servicios de Valor Añadido.
• Cada guía contiene el conjunto sistematizado de requisitos a ser cumplidos
por la empresa u organismo que desee obtener, de la Comisión de
Normalización de Fiscalización de Barreras Comerciales No Arancelarias de
INDECOPI, su acreditación como Entidad de Certificación Digital, como
Entidad de Registro/Verificación de Datos o como Prestadora de Servicios
de Valor Añadido.