La firma digital es una herramienta que aplicada a un documento digital de cualquier tipo (mensaje de correo electrónico, pdf, foto, transferencia, etc.) nos asegura la validez del mismo, su autenticidad, integridad y garantiza el no-repudio de esta información. Los certificados AC raíz emitidos por las autoridades certificadoras son el método de propagación de confianza utilizado para validar las identidades y darle validez a las firmas digitales. De esta forma, podemos estar seguros de que un mensaje de correo electrónico firmado digitalmente no ha sido modificado por el camino y el emisor es quién dice ser y no otra persona u organización.
La firma digital en un documento electrónico tiene la misma validez jurídica que la de un documento físico firmado de puño y letra. Hay gran cantidad de casos de uso para la firma digital como operaciones bancarias, firma de contratos, documentos de comercio exterior, declaraciones impositivas y declaraciones juradas entre otros. Es fundamental tener esto en cuenta al abordar la pericia de mensajes de correo electrónico u otros documentos digitales intercambiados entre las partes de un litigio o en una empresa cuyas comunicaciones estemos investigando.
Criptografía asimétrica
La firma digital se fundamenta sobre la criptografía asimétrica o criptografía de clave pública. Este sistema criptográfico consiste en la generación de un par de claves (pública y privada) con las que podremos crear mensajes cifrados utilizando nuestra clave privada y el receptor podrá descifrarlo utilizando nuestra clave pública. Este sistema garantiza la inviolavilidad de la comunicación ya que si el mensaje es manipulado en el camino, la clave pública no servirá.
La clave privada consiste en un número aleatorio. A partir de esta clave privada se podrá generar la clave pública. De esta forma clave privada y pública quedan enlazadas de forma unidireccional, no siendo posible deducir la clave privada partiendo de la pública.
Propagación de Confianza
Para que las claves sean útiles es necesario hacérselas llegar a los destinatarios designados. Este proceso se conoce como propagación de confianza. Mencionaremos cinco métodos conocidos, aunque solo nos detendremos en el último de ellos.
Establecimiento de una red de confianza: este es el sistema más básico. Acá, cada persona o institución comparte con sus contraparte sus claves públicas. Se utiliza mayormente en sistemas PGP para el envío de correos privados y cifrados.
Uso de criptografía basada en identidad: un sistema centralizado gestiona las claves. Estas claves a su vez están relacionadas a identidades reales de personas u organizaciones.
Uso de criptografía basada en certificados: acá el usuario tiene su clave privada y su propia clave pública. La clave pública se la envía a una Autoridad de certificación. Esta se asegura de generar un certificado, utilizando criptografía basada en identidad, que certifique la validez de los datos.
Uso de criptografía sin certificados: en este modelo la clave privada es creada por una autoridad y es parcial. La clave privada final depende de la clave privada parcial y un número aleatorio calculado por el usuario. Esto garantiza un mayor nivel de seguridad.
Infraestructura de clave pública o PKI y certificados AC raíz
El último modelo de propagación está basado en la emisión de certificados. Es una infraestructura en la que existen varias entidades certificadoras que brindan soporte en forma de recursos, servicios y políticas a la utilización de claves públicas para la autorización de las partes participantes de una transacción o comunicación. Los certificados SSL/TLS tan comunes en las páginas web están asegurados de esta manera. Por ejemplo: la web peritosinformaticos.ar cuenta con uno de estos certificados de seguridad SSL, lo que puede verse en el candado de seguridad junto a la url.
En este modelo combinamos los modelos de critografía basada en certificados con los modelos de criptografía basada en identidad y le sumamos las autoridades certificadoras (CA). Acá los usuarios generan su propio par de claves publica y privada y le solicitan a la CA que genere certificados de la identidad del usuario y de su clave pública. Para ello una persona debe presentarse físicamente ante al autoridad certificadora para que esta constate su identidad. Una vez generado el certificado, este puede ser distribuido y el usuario podrá ya emitir comunicaciones o transacciones seguras no repudiables.
En Argentina se pueden iniciar los trámites ante las siguientes autoridades certificadoras:
- BOX CUSTODIA DE ARCHIVOS S.A.
- DIGILOGIX S.A.
- ENCODE S.A.
- LAKAUT S.A.
- AUTORIDAD CERTIFICANTE ONTI
- MINISTERIO DE MODERNIZACIÓN (en trámite de modificación su denominación conforme Decreto N° 50/2019)
Para la emisión de los mensajes firmados digitalmente desde nuestra computadora, siempre contando con los certificados correspondientes, se realiza a través de algún software como por ejemplo puede ser XolidoSign Desktop.