“ Firma Digital: ¿Es suficientemente segura?


Ana Lilia Careaga Mercadillo, Octubre 2010

Abstract A digital signature is an electronic signature that can be used to authenticate the identity of the sender of a message or the signer of a document, and also to ensure that the original content of the message or document that has been sent is unchanged. Digital signatures are easily transportable, cannot be imitated by someone else, and can be automatically time-stamped. Digital signatures employ a type of symmetric cryptograhy and another asymmetric as the so called “hash”.Technically, the digital signature process smashes the digital data and all its aspects into a handful of lines of code. This process is called hashing, and the resulting set of coding is called a message digest. The digital signature software then encrypts the message digest. On the other end, a decryption program is required to turn the message digest back into an "unhashed" document. Additional to this another signing algorithm is given by the private key and a signature verifying either accepts or rejects the message's claim to authenticity by a public key.This article will describe all this procedure.

------------------------------------------------------------------------------------------------------------Introducción A partir de que el hombre comprendió la importancia de la información como elemento de poder nació la criptografía .La criptografía es la técnica que altera las representaciones lingüísticas de un mensaje de manera que sólo el destinatario sea capaz de conocer su contenido. Desde épocas remotas, las elites del poder y del conocimiento han buscado que la información, al ser transmitida, resulte incomprensible para todos aquellos que no sean el destinatario. Cada civilización, ha buscado y desarrollado sus técnicas para hacer incomprensibles textos que, de alguna manera, comprometían su permanencia .En Egipto, por ejemplo, la criptografía alcanzó la categoría de ciencia y los sacerdotes egipcios hicieron uso de ella con una profusión que ha resultado desesperante para los modernos investigadores. En las tumbas del antiguo Egipto existen múltiples ejemplos de escritura cifrada, a los cuales, además de su valor práctico, se le atribuía un valor mágico y religioso. En la Grecia clásica, los éforos (gobernantes) espartanos transmitían sus instrucciones a sus estrategas (generales) utilizando un bastón: el escitalo. El historiador griego Plutarco describe el escitalo o scitala espartana como una vara de la que se preparaban dos o más bastones idénticos. Las órdenes se escribían en una tira de pergamino o papiro enrollada a lo largo del bastón. Desenrollada, solamente contenía una sucesión de letras inconexas que se enviaba al destinatario .Para poder leer el mensaje éste debía tener en su poder una copia del bastón. Al colocar de nuevo la cinta en el bastón aparecía el mensaje.

En la época del Imperio romano, Julio César empleó un código secreto que consistía en sustituir cada letra del mensaje por otra que en el alfabeto estuviese desplazada en tres lugares .El código César1 fue empleado en las diversas batallas que hicieron crecer el imperio. El emperador Augusto utilizó un sistema similar. En lugar de sustituir una letra por otra letra situada tres lugares después, la sustituía por la siguiente letra del alfabeto. Pero fue en el siglo XV cuando el abate español Tritemio (Johannes Trithemius) , con su obra Polygraphiae libri , dio gran impulso a la criptografía. El abad benedictino ideó un cuadrado en el que en cada línea aparecía el alfabeto, pero la línea inferior empezaba una letra después, y repetía el ciclo. Este cuadrado se le conoce actualmente como cuadrado de Vigenère2 y fue desarrollado posteriormente ampliamente por Giovan Battista Bellaso. El arte de la criptografía alcanzó un gran esplendor en el Renacimiento. En España, los Reyes Católicos iniciaron la "cifra", y en la República de Venecia, por su parte, tenía sus secretarios de cifra, tan hábiles en el criptoanálisis o desciframiento (“desencriptación”) de los mensajes de sus adversarios que hicieron decir a Felipe II que Venecia "tenía brujos". En Francia, el cardenal Richelieu empleaba la "gran cifra" para su correspondencia con los ministros y comandantes de los ejércitos, y la "pequeña cifra" para hacerlo con las autoridades de menor categoría. Las continuas guerras e innumerables confabulaciones y conspiraciones de la época dieron lugar a que las cortes de las grandes potencias europeas organizaran sus correspondientes y expertos departamentos de criptoanálisis: son famosos el siniestro Cabinet Noir, de París, y la Geheime Kabinets - Kanzlei, de Viena. Estos departamentos eran tan eficientes que, al leer la historia de la criptografía de la época, casi parece que el intercambio de mensajes cifrados no era más que una especie de pasatiempo social, puesto que los criptogramas se interceptaban y resolvían con demasiada frecuencia. El siglo XVIII no fue una época de grandes avances criptográficos. No obstante, el siglo que le siguió fue contrastante: el telégrafo, inventado por Samuel Morse a principios del siglo XIX, y la aparición de la radio revolucionaron las comunicaciones y obligaron a la criptografía a desarrollarse como ciencia. Ambos medios eran fáciles de interceptar lo que dio lugar a que en los ámbitos militares y diplomáticos se buscaran nuevas maneras de mantener en secreto importantes mensajes. Numerosos eventos criptográficos definieron el destino de las guerras, por ejemplo cuando el trasatlántico Lusitania fue hundido por los alemanes en 1915. Este hecho polarizó la opinión pública norteamericana apoyando la entrada de los Estados Unidos en la guerra. El presidente T. Woodrow Wilson, quien había
1

Como dato curioso, más de 1500 años después, un cifrado similar al de César fue utilizado por la reina María Estuardo de Escocia, para conspirar j contra su prima Isabel Los mensajes cifrados de María fueron fácilmente descifrados mediante sencillos análisis estadísticos por los agentes de Isabel I, y así pues quedó al descubierto la conspiración de la reina escocesa.- María perdió la cabeza en su ejecución el 8 de febrero de 1587 2 El sistema de cifrado de Vigenère es un sistema polialfabético o de sustitución múltiple, de clave privada o secreta. Este tipo de criptosistemas aparecieron para sustituir a los monoalfabéticos o de sustitución simple, basados en el Algoritmo de Cesar

fomentado activamente la no beligerancia de su país, se oponía. Sin embargo, el 17 de enero de 1917 los servicios secretos ingleses interceptaron un telegrama cifrado del ministro de Asuntos Exteriores de Alemania, Arthur Zimmermann, dirigido al conde Heinrich A. von Bernstorff, embajador alemán en Washington. El mensaje se había cifrado por medio del código 0075, un diccionario de lista doble de 10000 palabras o frases que los ingleses ya habían conseguido descifrar parcialmente. En él se hacía referencia a otro telegrama que debía enviarse a México. Los ingleses consiguieron interceptar este segundo telegrama y observaron que se había cifrado con otro código, el 13040, que constaba de 25000 palabras, esto representó un grave error criptográfico ya que permitió a los ingleses descifrar el mensaje. El resultado fue sorprendente: si México declaraba la guerra a los EU para recuperar sus antiguos territorios de Nuevo México, Arizona y Texas, Alemania le apoyaría. Wilson se vio forzado a entrar en guerra contra Alemania. Entonces se podría inferir que un error de criptografía decidió el destino de esta guerra. En 1938, un año antes del inicio de la Segunda Guerra Mundial, el gobierno británico reunió en Bletchley Park , situada a 80 kilómetros al noroeste de Londres, un reducido grupo de criptoanalistas, naciendo así la Estación X. La misión de este grupo conocido como Capitan Ridley's Shooting Party era romper la cifra de la máquina de codificación nazi llamada Enigma Inventada en 1918 para transacciones bancarias. Enigma era utilizada por el partido nazi para cifrar la mayor parte de sus comunicaciones secretas, de hecho los alemanes habían aumentado la complejidad de su diseño y la clave de cifrado era cambiada diariamente. Fue aquí donde se construyó la famosa computadora Colossus. A finales de los años 40, el pionero en la teoría de la información, Claude .E. Shannon, sugirió el uso de una mezcla de transposiciones y sustituciones. Ya en los 70, IBM retomó la sugerencia de Shannon y desarrolló un sistema al que bautizó LUCIFER. En 1976, el gobierno de los EU adoptó una variante de este sistema, el DES (Data Encryption Standard), su ventaja es el poder usar claves aleatorias lo que dificulta el criptoanálisis. Sin embargo, tanto como emisor y receptor deben conocer la clave, ésta, al ser enviada, aun es susceptible de ser interceptada. En 1975, dos ingenieros de la Universidad de Stanford, Whitfield Diffie y Martín Hellman comenzaron una gran revolución, al diseñar la criptografía de clave pública, la cual , junto con una privada es posible cifrar y descifrar un mensaje y actualmente es la base de los sistemas modernos de criptografía , sobre la cual se basa la firma digital. En la actualidad, es común realizar transacciones bancarias o trámites legales a través de Internet, sin embargo aún existe mucha desconfianza sobre la seguridad de las comunicaciones y más aún de la certeza jurídica de las transacciones comerciales. La pregunta que siempre nos hacemos ante esta situación es la siguiente: ¿Es suficientemente segura la red para realizar transacciones con contenido económico y jurídico? Evidentemente la seguridad total no existe, pero

hoy en día existen implementados sistemas criptográficos capaces de garantizar altos niveles de seguridad en la red, mayores incluso que en el negocio tradicional. Lo anterior se basa precisamente en la firma digital y en los proveedores de servicios de certificación que a continuación se describirán. -------------------------------------------------------------------------------------------------------------¿Qué es la firma digital? Los términos de firma digital y firma electrónica se utilizan con frecuencia como sinónimos, pero este uso en realidad es incorrecto. Mientras que la firma digital hace referencia a una serie de métodos criptográficos, la firma electrónica es un término fundamentalmente legal y más amplio desde un punto de vista técnico ya que puede contemplar métodos no criptográficos. En este artículo haremos referencia exclusivamente a la firma digital .La firma digital es una herramienta tecnológica que permite garantizar la autoría e integridad de los documentos digitales, posibilitando que éstos posean la misma característica que la firma autógrafa (de puño y letra) exclusiva de los documentos en papel. Las firmas digitales se pueden transmitir fácilmente y es posible marcarlas con sello de hora y fecha automáticamente de manera que ni el emisor ni el receptor puedan negarlo. La firma digital es resultado de la aplicación de un algoritmo matemático conocido como “función resumen” o “función hash” y seguido a ello la aplicación de otro que emplea una clave privada y otra pública y que es propiamente una técnica de la criptografía moderna llamada asimétrica. Función Hash La función hash o función resumen es un algoritmo matemático que permite calcular un valor resumen de los datos o texto a ser firmados digitalmente con el fin de asegurar su integridad (que el documento no haya sido alterado en su contenido). Funciona en una sola dirección, es decir, no es posible, a partir del valor resumen, calcular los datos originales. Cuando la entrada es un documento, el resultado de la función es un número que identifica inequívocamente al texto. Si se adjunta este número al texto, el destinatario puede aplicar de nuevo la función y comprobar su resultado con el que ha recibido. Con este número es posible asegurar la integridad y confidencialidad del documento asegurando que éste no ha sido cambiado o alterado. Aunque el algoritmo es en sí algo complicado, a manera de ejemplo didáctico podríamos explicar el número hash o resumen de la siguiente manera: 1. Se asigna a cada carácter ASCII un número (normalmente en hexadecimal, pero en este ejemplo lo haremos en su forma decimal)

2. Si sustituimos cada letra o carácter ASCII del texto de “Don Quijote de la Mancha”, por el número previamente asignado tendremos una tabla donde habrá una equivalencia numérica (criptografía simétrica).

3. Aplicamos cierto algoritmo matemático previamente establecido, por ejemplo restamos algebraicamente los dos primeros términos y lo multiplicamos por el tercero. Al final de cada renglón realizamos la suma de todos los resultados obtenidos en el renglón y posteriormente sumamos algebraicamente todas las columnas del mensaje .El resultado de esta operación será un único número, llamado hash o resumen

4. Si alguien alterara el documento original, el número resumen diferirá del original y con ello se comprobaría la no integridad y no confidencialidad del documento .En este ejemplo, con tan solo omitir el acento de “rincón” el número resumen cambia de -11, 399 a 3,121

¿Qué es la criptografía (“encriptación”) asimétrica? Una vez aplicada la función hash al documento a firmar, lo siguiente es aplicar cierto algoritmo adicional basado en la criptografía asimétrica para asegurar, además de la confidencialidad e integridad del documento, su autenticidad, es decir que el que dice enviar el mensaje sea el que realmente dice ser, y viceversa, el que recibe el mensaje sea el verdadero destinatario; para ello se emplean las técnicas de criptografía asimétrica. La criptografía asimétrica es un método de cifrado o encriptación que emplea un par de claves para el envío de mensajes: una clave pública y otra privada Ambas son requeridas para enviar el mensaje pero mientras la pública puede ser entregada a cualquier persona, la privada es sólo del propietario. Mediante un programa de cómputo, cualquier persona puede obtener un par de números matemáticamente relacionados, a los que se denomina “llaves”. Una llave es un número de gran tamaño, que se puede conceptualizar como un mensaje digital, como un archivo binario, o como una cadena de bits o bytes.Resumiendo, lo que está codificado con una clave (llave) privada necesita su correspondiente clave (llave) pública para ser decodificado. Y viceversa, lo codificado con una clave pública sólo puede ser decodificado con su clave privada. Algo importante de este método es que garantiza que esta pareja de claves sólo se genera una vez por lo que es imposible que dos personas obtengan la misma pareja de claves, por otra parte, se están renovando continuamente. La llave pública está basada en un algoritmo matemático que emplea las llamadas “funciones trampa” como es el caso de los números primos .Hacer cálculos con números primos resulta fácil, pero su inversión es extremadamente difícil. Por ejemplo, multiplicar dos números primos juntos es fácil, pero factorizarlos no lo es. Los algoritmos de encriptación asimétrica más conocidos son:

RSA (Rivest, Shamir, Adleman): Creado en 1977, hoy es el algoritmo de mayor uso en la encriptación asimétrica. Tiene dificultades para encriptar grandes volúmenes de información, por lo que es usado por lo general en conjunto con algoritmos simétricos. Es el más empleado en la firma digital. La seguridad de este algoritmo radica en el problema de la factorización de números primos enteros. Los mensajes enviados se representan mediante números, y el funcionamiento se basa en el producto, conocido, de dos números primos grandes elegidos al azar y mantenidos en secreto. Actualmente estos primos son del orden de 10200, y se prevé que su tamaño aumente con el aumento de la capacidad de cálculo de los procesadores. Diffie-Hellman (& Merkle): No es precisamente un algoritmo de encriptación sino un algoritmo para generar llaves públicas y privadas en ambientes inseguros.

ECC (Elliptical Curve Cryptography): Es un algoritmo que se utiliza poco, pero tiene importancia cuando es necesario encriptar grandes volúmenes de información.

Función Hash

Fuente: Mendivil, Ignacio: El ABC de los Documentos Electrónicos Seguros

Las llaves públicas se obtienen de empresas de certificación autorizadas las cuales son entidades de confianza responsables de emitir y revocar los Certificados Digitales. Algunas de las empresas de certificación más empleadas son Verisign y Thawate.

¿ Qué es un Certificado Digital? El Certificado Digital es un documento firmado por la Autoridad Certificadora (AC), el documento contiene el nombre de un sujeto y su llave pública .El Certificado Digital tiene un costo aproximado de 100 a 350 USD anuales, dependiendo de su uso y se coloca en el servidor de páginas seguras, como “https”3 y se configura para que se envíe al firmante la clave pública con encriptación a través del navegador. La información siempre pasa por medio del lector del certificado digital. Los certificados digitales aseguran tanto la integridad como la confidencialidad de las claves. ¿Qué sigue? La criptografía de llave pública está provocando un fuerte cambio en las comunicaciones modernas como el correo electrónico. Hoy, cualquiera puede
Hypertext Transfer Protocol Secure (ó HTTPS) es una combinación del protocolo http y protocolos criptográficos. Se emplea para lograr conexiones más seguras en la Web, generalmente para transacciones de pagos o cada vez que se intercambie información sensible (por ejemplo, claves) en Internet.
3

hacerse un criptosistema seguro, como el famoso PGP -Pretty Good Privacy-4, distribuido gratuitamente en Internet. Sin embargo, aún se siguen buscando nuevas técnicas que aumenten la seguridad y eviten la intrusión de la información. La pregunta a formularse, entonces, sería: ¿qué sigue? Lo que sigue se denomina criptografía cuántica5 la cual está basada en el principio de incertidumbre de Heisenberg, que dice que por el mero hecho de observar, se cambia lo que se está observando; es decir, no se pueden conocer dos propiedades distintas de una partícula subatómica (en nuestro caso, un fotón) en un mismo instante de tiempo. Lo anterior quiere decir que esta técnica será capaz de detectar a un intruso antes de que se transmita la información privada de la llave. La seguridad de la criptografía cuántica está basada en la teoría de la mecánica cuántica, a diferencia de la criptografía de clave pública tradicional la cual se basa en algoritmos de funciones matemáticas complejas. ---------------------------------------------------------------------------------------------------------CONCLUSIONES Teniendo en cuenta el desarrollo cada vez mayor de las comunicaciones y de una tendencia global a la agilización de trámites y operaciones, la firma digital asume un rol protagónico indiscutido, constituyendo el mecanismo esencial para proveer seguridad y desarrollar la confianza en las redes abiertas como loe Internet6. De modo que, frente a la exigente demanda de un mundo informatizado surge una respuesta que goza aceptación internacionalmente .De lo antedicho, notamos que ante un inminente avance tecnológico hay una fuerte apuesta a que en un futuro no muy distante prácticamente todas las gestiones se realicen vía Internet. Tanto es así que hoy en día la firma digital es utilizada con todo tipo de información, ya sea texto, audio o imágenes y su aplicación resulta ser sumamente versátil proyectando sus beneficios tanto en el ámbito legal como en el comercial. Por otro lado su implementación práctica ofrece al usuario la posibilidad de realizar cualquier tipo de operación, incluso a larga distancia, disminuyendo costos y complicaciones.

PGP es un sistema de criptografía híbrido que usa una combinación de funciones tomadas de la criptografía de clave pública y de la criptografía simétrica El programa PGP es gratuito para el uso no comercial y accesible en www.pgpi.com. Es el sistema más utilizado en todo el mundo tanto por usuarios particulares como por grandes empresas 5 La criptografía cuántica emplea láseres para emitir la información en los fotones que se condicen a través de fibras ópticas. 6 Citado por Dr. Jorge Alberto Lopez Fidanza disponible en La Web en: http://www.salvador.edu.ar/juri/aequitasNE/nrotres/Firma%20digital%20Trab%20alumnos%20Dr%20Lopez%20Fidanza.pdf

4