En la actualidad es posible firmar digitalmente, bien sea a través de nuestro DNI o de muchos otros tipos de dispositivos. Se puede hacer incluso instalando un software en el teléfono móvil o en el ordenador de casa. Si pensamos cómo es este procedimiento nos imaginamos que ese documento que acabamos de firmar digitalmente queda inapelablemente asociado a algo parecido a mi firma en un papel, y aún más seguro. Pero si profundizamos un poco podemos ver que en realidad es más seguro y más inseguro, dependiendo de cómo entendamos la seguridad.

La firma digital es más segura porque, a diferencia de la firma tradicional, los procedimientos matemáticos y algoritmos asociados a ésta la hacen que sea matemáticamente casi imposible imitar. Al mismo tiempo es más insegura y vulnerable porque depende de unos procedimientos y algoritmos que el individuo usa pero, en el 99% de los casos, no comprende, mientras que la firma tradicional está completamente controlada por el individuo. Dependiendo de la configuración del dispositivo que se use y del escaso conocimiento de las operaciones que se realizan, puede ocurrir que un dispositivo firme digitalmente por mí y esto tenga trascendencia económica, legal o ambas. Entonces, ¿por qué decimos que la firma digital es tan segura?.

Durante la firma digital se utiliza un documento electrónico conocido como certificado digital X.509. No nos asustemos, X.509 es simplemente el nombre de una norma y un certificado digital es esencialmente un documento con el que la firma digital obtiene una seguridad criptográfica fuerte. Esta seguridad criptográfica proviene del uso de una serie de claves y de algoritmos de cifrado.

¿resulta segura la firma digital? | Julian Burgess
¿resulta segura la firma digital? | Julian Burgess

 

La realidad de los algoritmos criptográficos es bien compleja, pero vamos a intentar aproximarnos a cómo se consigue esta seguridad mediante criptografía. En primer lugar necesitamos dotar a nuestro documento firmado digitalmente de autenticación. Llegue a donde llegue ese documento queremos que pueda comprobarse que quien lo envía es la persona que lo ha firmado digitalmente.

Para dotar de autenticación a la firma digital -que no es más que una serie de bytes asociada al mensaje- se aplican dos tipos de algoritmos criptográficos diferentes al documento que se quiere firmar. Por último, cada uno de estos tipos de algoritmos depende de una clave concreta y, en el caso del algoritmo más relevante, esa clave es el contenido más importante -pero no el único- del ya famoso certificado digital X.509.

Aunque matemáticamente sea impecable, no todo son matemáticas. Existen graves problemas de seguridad relacionados con la generación de esas claves, cómo se guardan esos certificados, cuánto tiempo son válidos y cómo se mantienen. En realidad, parece que hacemos uso de ellos pero sin saber muy bien qué tenemos entre manos ni cómo funciona.
Para poder comprender este tipo de documentos, saber cómo se utiliza el certificado y qué tipo de datos contiene, se ha desarrollado una app gratuita para Android: TutorX.509. La herramienta, diseñada y desarrollada por Víctor Fernández Santo Domingo como Proyecto de Final de Carrera en la UNED, pretende ser útil no sólo para estudiantes de criptografía, sino para todos los interesados en la seguridad de las comunicaciones y redes, y en la criptografía estándar de X.509 en particular. La app, que además permite utilizar certificados reales para entender mejor su funcionamiento, es un producto asociado a diversos proyectos de investigación llevados a cabo en el Departamento de Ingeniería Eléctrica, Electrónica y Control en relación a la mejora del aprendizaje en materia de seguridad de la información y de las comunicaciones.

Dejar respuesta