La seguridad de la firma digital

Por Néstor Vidal

La internacionalización de las comunicaciones de la última década ha dado a luz en tiempo récord a un actor sustancial en la nueva economía y en nuestro trabajo diario la red de internet. Es así como se calcula que el 63% de la población mundial utiliza internet.

Mientras que en la República Argentina alrededor de 40,13 millones de personas utilizan Internet y 90 de cada 100 personas utilizan teléfono celular.

Disrupción de un medio logístico inusitado e impensado en magnitud, comparable en sus efectos con los caminos romanos (parte central de la solidez de su imperio) o con el descubrimiento de la electricidad o la red de agua pública no puede dejar de plantear un nuevo paradigma dentro del desarrollo de la sociedad futura.

En un mundo virtual pero que maneja realidades, deben tomarse elementos que aseguren que esas realidades puedan ser seguras y perdurables en el tiempo y cuyos interlocutores estén también identificados como el mundo real. En el fondo, los elementos lógicos qué hacen al desarrollo y habilidad de todo sistema son: seguridad política, seguridad jurídica y previsibilidad económica. La seguridad en sus diversas formas se torna imprescindible para el desarrollo del mundo virtual y su paso hacia un nuevo estadío.

LA SEGURIDAD Y LA IDENTIFICACIÓN EN LA RED

Parte de la Revolución cultural que implica internet hace que las personas y las organizaciones tienden a reemplazar los métodos tradicionales de transiciones y comunicaciones basadas en el papel, a sistemas informáticos basados en redes computacionales.

Hoy en día, internet y el correo electrónico son los medios más utilizados de la comunicación, sin embargo, la mayoría de los usuarios no son conscientes de la facilidad con que sus mensajes pueden ser interceptados en internet o en intranets desprotegidos.

Una reciente encuesta de la asociación nacional de consumidores (NCL) de los EE. UU. Refleja que el 63% de los consumidores usuarios de internet, cuando afirman que la posibilidad de que roben sus números de tarjetas de crédito es su mayor preocupación en transacciones de comercios electrónicos.

Dicha tendencia ha creado la necesidad de encontrar procedimientos técnicos y disposiciones legales para asegurar que los documentos electrónicos transmitidos por estas vías sean lo menos tan confiables y reconocidos legalmente como contrapartida en papel.

Es imprescindible garantizar la identidad de los cibernautas, para poder dar certeza de que quien nos envía cierta información o documentación es realmente quien dice ser y no ser un tercero u otro que se ha hecho pasar por él.

Dicha garantía de identidad conlleva otra seguridad jurídica necesaria en todo manejo de cuestiones que requieren de aspectos probatorios. Eso es el no repudio, en cuanto no sea posible la negación del remitente de su participación en el proceso.

Resulta clara la necesidad de definir indudablemente quiénes han participado en un intercambio informático y su facilidad probatoria, sé que la negación de algunas de las partes no reconociendo las obligaciones que ha contraído dejaría a la otra en situación de desprotección ante la prueba casi diabólica de la participación de la otra parte en dicho intercambio.

También resulta necesario garantizar la integridad del documento o información que ha sido remitido dando certeza sobre si ha sido adulterado, observado, modificado o no, por terceras personas ajenas al proceso durante el camino de la transmisión.

Es posible que la comunicación requiera de confiabilidad o secreto, determinando que la información que fue enviada a través del ciberespacio sólo puede ser conocida por su destinatario.

Pues bien, la solución a estos requerimientos en un mundo electrónico parece tenerla en las ciencias exactas: las matemáticas más específicamente la criptografía. Pero ¿qué es la criptografía? Detengámonos unos minutos en entender dicha problemática.

¿QUÉ ES LA CRIPTOGRAFÍA?

Siempre se ha asociado a la criptografía con algo secreto y misterioso utilizado por el espionaje en todas las guerras y, por otro lado, con una matemática indescifrable compleja y no abordable para la mayoría de los mortales.

De hecho, la criptografía toma su denominación del griego y se puede traducir como “la manera de escribir raro” (Criptos, extraño; graphos, escritura).

En sí no es otra cosa que una ciencia que se ha especializado en desarrollar métodos para que nuestros mensajes sean comprensibles exclusivamente para aquellos que nosotros deseemos e ininteligibles para el resto (secretos o confidencial)  asegurando su inalterabilidad – adulteración (integridad) y dándole autenticidad (equivalente digital de la firma), y por lo cual su contenido no puede ser repudiado (negándoselo más tarde), aplicando para ello procedimientos matemáticos (algoritmos) y claves dispositivos criptográficos.

Si bien su origen tiene carácter militar, en la actualidad su interés ha desbordado ampliamente dicho campo, para introducirse en las áreas donde la información es valiosa, como la informática.

Pues bien, ¿cómo han funcionado y cómo funcionan los sistemas criptográficos y específicamente en su aplicación en la web?

 CRIPTOGRAFÍA SIMÉTRICA

Supongamos que necesitamos enviar un mensaje entre 2 lugares muy separados, y que este es confidencial o secreto, por lo que se requiere que nadie lo lea. Para esto se deberá “encriptar o cifrar” el mensaje mediante un procedimiento matemático (algoritmo), que hará que el texto se deforme para que no sea descifrable por terceros desconocidos o no autorizados.

Estos algoritmos necesitan una “contraseña” o “clave” para la encriptación, por lo que, sí se ha incrementado el texto original con una clave, el destinatario necesitará la misma clave y algoritmo para que el mensaje pueda descifrarse y ser leído. Este proceso se llama encriptación simétrica.

Ahora bien, el problema se suscita en la transferencia de esta contraseña o clave el destinatario del mensaje, por lo que se necesita un canal seguro protegido contra la intercepción sin lo cual la clave podría ser conocida por un tercero ajeno al proceso. Pero surge la paradoja que, si ya se posee un canal seguro para comunicarse con el destinatario del mensaje, no se necesitaría la criptografía para comunicarse de forma segura.

Hoy la realidad es que existen pocos canales seguros ya que los servicios de información mundiales, las escuchas telefónicas y otros métodos de interceptación son moneda corriente en nuestros días y por lo cual habría que encontrarse personalmente, supuesto imposible si ambas partes se hallan en distancias considerables y sobre todo si para cada comunicación segura de internet habría que repetir estos encuentros.

La luz para tal dilema surgió en el trabajo publicado en noviembre del año 1976, bajo el título “nuevas direcciones de criptografía”, de los entonces jóvenes investigadores de la universidad de Stanford, Whitfield Diffie y Martín Hellman, quienes desarrollaban una metodología de encriptación llamada inscripción asimétrica o pública.

INFRAESTRUCTURA DE FIRMA DIGITAL

Ahora bien, imaginemos que queremos enviar un documento por correo electrónico hoy en día la dirección de email del sender es falsificable con lo que la única forma de verificar la autenticidad ya es a través de una estructura de firma digital, pero ¿qué es la firma digital?

La llamada firma digital no es otra cosa que una forma de aplicación de un sistema criptográfico asimétrico por el cual se permite identificar indubitablemente a la persona que está enviando el mensaje.

El 11 de diciembre del año 2001, se promulgó en la República Argentina la “ley de firma digital”, sancionada por el congreso el 14 de noviembre anterior, por lo cual se establece que las firmas digitales recibirán el mismo estatus jurídico que las holografías reconociéndose el empleo de la firma electrónica y la firma digital y su eficacia jurídica en las condiciones que establece la citada Ley (artículo 1°.).

CERTIFICADORES LICENCIADOS O AUTORIDADES CERTIFICANTES

Así como en el mundo real ya existen autoridades que certifica la identidad, en el mundo digital hace falta su correlato, para poder brindar la seguridad jurídica necesaria para el funcionamiento del sistema.

En la República Argentina, la Ley 25.506 de Firma Digital determina la necesidad y su reglamentación, efectuada por decreto 2.628 (B.O. 10/12/2002), establece el régimen por el cual serán regidas dichas “Autoridades Certificantes” o “Certificadores Licenciados”

Con la sanción de la Ley de firma digital y el desarrollo que está teniendo internet en todo el mundo, se puede pensar en múltiples aplicaciones prácticas de PKI, como por ejemplo el archivo seguro documentación electrónica firmada digitalmente, el firmado simultáneo de contratos, sistema de votación (con preservación anónima) a través de redes pública, servicio público a través de internet en las áreas de impuestos, biblioteca públicas, denuncias policiales y matriculación de universidades, el dinero digital, trámites on-line, capacitación on-line, teletrabajo, identificación para accesos seguros a redes de inteligencia, e-comerse identificado, Pasaporte y DNI digital. Etc.

EPÍLOGO

Como se puede apreciar, el mundo y la actualidad nos cambia diariamente opuestos a los que rigieron los últimos milenios.

La seguridad y la identidad de las personas es y son un tema muy serio para prever en la red.

Son nuevos desafíos que merecen una rápida y eficaz respuesta tal cual estamos acostumbrados.