Firma Electrónica. Regulación. Conceptos.

Por Leonor Guini. Abogada UBA. Posgrado Abogada especialista en Alta Tecnología UCA 2005. Con amplia trayectoria de proyectos jurídicos en el ámbito público y privado. Certificada por la Asociación Española de Calidad como Delegada en Protección de Datos, cargo que desempeña actualmente en Gire SA como DPO Externa. Actualmente se desempeña como adjunta del Posgrado de “Derecho Informático” de la UBA

Firma Electrónica:

Se entiende por firma electrónica al conjunto de datos electrónicos integrados, ligados o asociados de manera lógica a otros datos electrónicos, utilizados por el signatario como su medio de identificación, que carezca de algunos de los requisitos legales para ser considerada firma digital. En caso de ser desconocida la firma electrónica corresponde a quien la invoca acreditar su validez (artículo 5°, Ley N° 25.506).

Firma digital

Se entiende por firma digital al resultado de aplicar a un documento digital un procedimiento matemático que requiere información de exclusivo conocimiento del firmante, encontrándose ésta bajo su absoluto control. La firma digital debe ser susceptible de verificación por terceras partes, tal que dicha verificación simultáneamente permita identificar al firmante y detectar cualquier alteración del documento digital, posterior a su firma.(art.2 de la ley N° 25.506)

Documento Digital o Electrónico: 

Se entiende por documento digital a la representación digital de actos o hechos, con independencia del soporte: utilizado para su fijación, almacenamiento archivo. Un documento digital también satisface el requerimiento de escritura (artículo 6°, Ley N° 25.506).

Criptografía simétrica

Solo utiliza una clave para cifrar y descifrar. Ésta debe ser previamente conocida por todas las partes involucradas. 

Podemos imaginar este sistema como algo similar a la seguridad de nuestra casa. Tenemos una llave para cerrar la puerta y estamos tranquilos que solo las personas con esa misma llave la van a poder abrir. Tenemos la ventaja que podemos compartirla con cualquier persona de confianza, pero también existe la posibilidad de que se extravíe, o de que alguien la robe. Esa es la principal desventaja de la criptografía simétrica.

Criptografía asimétrica

Esta metodología tiene como base la utilización de dos claves diferentes, pero vinculadas matemáticamente entre sí, utilizadas para cifrar y descifrar el mensaje. Una de ellas debe ser pública, propia de cada participante pero puesta a disposición de cualquier usuario, sea participante en el intercambio de  información o no. La otra es una clave privada, también propia de cada uno de ellos, pero que debe permanecer en secreto y nunca ser revelada. Al requerir que cada usuario posea un par de claves, y que una de ellas no se comunique nunca a nadie, todo el proceso se vuelve más seguro.

Una característica importante de este sistema es que nos permite garantizar la privacidad de un mensaje. El emisor puede cifrar con la clave pública del destinatario (que, como vimos, tiene a su disposición) y con esto se asegura que solo ese destinatario podrá descifrarlo con su clave privada.

La criptografía asimétrica, también conocida como criptografía de clave pública o criptografía de llave pública, es uno de los elementos esenciales para el funcionamiento de Bitcoin y consiste en usar dos llaves distintas para poder cifrar y descifrar mensajes encriptados.

La idea detrás de la criptografía asimétrica es que una llave (la llave privada) se puede utilizar para cifrar un mensaje, y otra llave (la llave pública) se puede utilizar para descifrar el mensaje.

En Bitcoin, la criptografía asimétrica se utiliza principalmente para demostrar la propiedad de una cantidad específica de bitcoins. Así, cuando una persona quiere transferir sus bitcoins debe firmar la transacción con su llave privada y compartir su llave pública con los demás participantes de la red, de modo que cualquier persona pueda confirmar que quien firmó el mensaje efectivamente tenga la llave privada correspondiente y que, por ende, es el legítimo propietario de los bitcoins que se están transfiriendo.

Funciones hash.-

Si imaginamos el envío de un documento extenso que queremos firmar digitalmente, nos daremos cuenta de que cifrar el documento entero es una pérdida de tiempo, ya que los medios de encriptación de llave pública son lentos, pues precisan un gran proceso de cómputo.

Para solventar este aspecto aparecen las funciones hash, que son unas funciones matemáticas que realizan un resumen del documento a firmar. Su forma de operar es comprimir el documento en un único bloque de longitud fija, bloque cuyo contenido es ilegible y no tiene ningún sentido real. Tanto es así que por definición las funciones hash son irreversibles, es decir, que a partir de un bloque comprimido no se puede obtener el bloque sin comprimir, y si no es así no es una función hash. Estas funciones son además de dominio público.

Un mensaje resumido mediante una función hash y encriptado con una llave privada es lo que en la vida real se denomina firma digital.

Un hash es una cadena de números y letras, producida por funciones hash. Una función hash es una función matemática que toma una cantidad variable de caracteres y la convierte en una cadena con un número fijo de caracteres. Incluso un pequeño cambio en una cadena crea un hash completamente nuevo.

Las funciones hash más conocidas y usadas son:

– MD2, abreviatura de Message Digest 2, diseñado para ordenadores con procesador de 8 bits. Todavía se usa, pero no es recomendable, debido a su lentitud de proceso.

– MD4, abreviatura de Message Digest 4, desarrollado por Ron Rivest, uno de los fundadores de RSA Data Security Inc. y padre del sistema asimétrico RSA. Aunque se considera un sistema inseguro, es importante porque ha servido de base para la creación de otras funciones hash. Un sistema de ataque desarrollado por Hans Dobbertin posibilita el crear mensajes aleatorios con los mismos valores de hash (colisiones), por lo que ya no se usa. De hecho, existe un algoritmo que encuentra una colisión en segundos.

– MD5, abreviatura de Message Digest 5, también obra de Ron Rivest, que se creó para dar seguridad a MD4, y que ha sido ámpliamente usado en diversos campos, como autenticador de mensajes en el protocolo SSL y como firmador de mensajes en el programa de correo PGP. Si embargo, fué reventado en 1996 por el mismo investigador que lo hizo con MD4, el señor Dobbertin, que consiguió crear colisiones en el sistema MD5, aunque por medio de ataques parciales. Pero lo peor es que también consiguió realizar ataques que comprometían la no-colisión, por lo que se podían obtener mensajes con igual hash que otro determinado. A pesar de todo esto, MD5 se sigue usando bastante en la actualidad.

– SHA-1, Secure Hash Algorithm, desarrollado como parte integrante del Secure Hash Standard (SHS) y el Digital Signature Standard (DSS) por la Agencia de Seguridad Nacional Norteamericana, NSA. Sus creadores afirman que la base de este sistema es similar a la de MD4 de Rivest, y ha sido mejorado debido a ataques nunca desvelados. La versión actual se considera segura (por lo menos hasta que se demuestre lo contrario) y es muy utilizada como algoritmo de firma, como en el programa PGP en sus nuevas claves DH/DSS (Diffie-Hellman/Digital Signature Standard). Destacar también que en la actualidad se están estudiando versiones de SHA con longitudes de clave de 256, 384 y 512 bits.

– RIPEMD-160, desarrollada por un grupo de investigadores europeos, entre los que se encuentra Hans Dobbertin (el reventador de MD4-MD5) y otros investigadores incluidos en el proyecto RIPE (RACE Integrity Primitives Evaluation). Su primera versión adolece de las mismas debilidades que MD4, produciendo colisiones, pero las versiones mejoradas actuales son consideradas seguras. Maneja claves muy robustas, normalmente de 160 bits, aunque existen versiones de 128 y se están planteando nuevas de 256 y 320 bits. Es muy rápido, no está patentado y su código fuente es abierto, de libre acceso.

Infraestructura de Clave Pública o PKI

PKI son los siglas de Public Key Infrastructure (infraestructura de clave pública), o lo que es lo mismo, todo lo necesario, tanto de hardware como de software, para las comunicaciones seguras mediante el uso de certificadas digitales y firmas digitales. De esta manera se alcanzan los cuatro objetivos de la seguridad informática : autenticidad, confidencialidad, integridad y no repudio.

El Decreto 182/19 establece que la Infraestructura de Firma digital de la República Argentina está formada por: CAPÍTULO II DE LA INFRAESTRUCTURA DE FIRMA DIGITAL

ARTÍCULO 4°.- Componen la Infraestructura de Firma Digital de la República Argentina (IFD RA):

1. La Autoridad Certificante Raíz de la REPÚBLICA ARGENTINA.

2. El Ente Licenciante conformado por la SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS y la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA dependiente de la SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS.

3. Los certificadores licenciados, incluyendo sus autoridades certificantes y sus Autoridades de Registro, según los servicios que presten.

4. Las autoridades de sello de tiempo.

5. Los suscriptores de los certificados.

6. Los terceros usuarios.

7. Los certificadores reconocidos por la Autoridad de Aplicación.

8. El Organismo Auditante establecido en el artículo 34 de la Ley N° 25.506 y su

modificatoria.

9. Los prestadores de servicios de confianza.

Por Res.399/16 de la IFD RA. La infraestructura tecnológica que soporta los servicios del certificador utilizada tanto en el establecimiento principal como en el alternativo destinado a garantizar la continuidad de sus operaciones, deberá estar situada en territorio argentino, bajo el control del certificador licenciado y afectada exclusivamente a las tareas de certificación.

Leave a Reply

Your email address will not be published. Required fields are marked *