Blog

Una mirada holísitica de la Firma Digital

Publicador de contenidos

null Certificados Digitales para Firma Digital de persona física.

Ciclo de vida, posibles fraudes y cómo validar correctamente la Firma Digital.

24 mar 2021

vafirma

Un Certificado Digital es un documento electrónico que vincula la identidad de un sujeto con su clave pública y es emitido por una Autoridad Certificadora .

 

 

El Certificado Digital contiene distintas secciones de datos, algunas obligatorias y otras opcionales que dependen del escenario de uso. Las secciones se especifican en las políticas de certificación publicadas por el regulador ,generalmente bajo el nombre “Perfil de Certificado”. Los certificados digitales forman parte de la infraestructura de PKI y es importante recordar que la Clave Pública asociada al certificado está vinculada uno a uno con una Clave Privada.  En este anterior post te cuento qué es PKI, los componentes de su infraestructura y cómo se relacionan con los certificados digitales.

A modo de ejemplo, el certificado digital que se encuentra en la cédula de identidad uruguaya tiene un perfil definido por la Unidad de Certificación Electrónica,  en su política de certificación de firma de personas físicas.

Tal como se muestra en la figura:

img 3

Fig. 1 Perfil de certificado especificado en Política de certificación.

La siguiente imagen muestra el Certificado Digital  contenido en mi cédula de identidad digital uruguaya. Podemos ver información relacionada a aspectos técnicos de la infraestructura bajo la cual fue creado, tales como tipos de algoritmos empleados: 

Fig. 2 Certificado Digital Infraestructura

Encontramos información sobre la autoridad certificadora que lo emitió y el período de vigencia:

El período de vigencia está definido por el regulador, en cumplimiento con buenas prácticas y estándares internacionales. Éstos apuntan a limitar el período demasiado extenso de validez, para prevenir posibles fraudes. Tener instancias de verificación de prueba de vida del dueño del certificado, y regeneración de clave privada, mitigan casos de suplantaciones de identidad o ataques de fuerza bruta.  
En Uruguay los certificados de firma de persona física duran 2 años, salvo el emitido en documento de identidad que dura 5 años. 

 

Fig 3. Certificado Digital Autoridad Emisora

Encontramos Información sobre el sujeto, en este caso una persona física. Cómo también información técnica sobre su clave pública. El “largo” en Bits, de las llaves ( en este caso 2048)  incide directamente en la seguridad de la infraestructura. A mayor largo más difícil es que un tercero pueda “descifrar” nuestra clave en un período de tiempo determinado. Por eso el período de validez también está ligado a este punto. 
 

Fig. 4 Certificado Digital Sujeto

Finalmente encontramos información sobre ámbito de uso del certificado, como también donde se encuentra publicada la política que lo regula, punto de acceso a las listas de revocación entre otros. 

Fig. 6 Certificado Digital Extensiones. 

 

¿Cómo se genera el Certificado Digital?

 

Para obtener un certificado de firma digital es necesario:

  • 1-  Comparecer ante un agente de registro de una autoridad certificadora e identificarse.
Ejemplo:  En Uruguay  lo puedes hacer en las oficinas a ABITAB, ANTEL, Correo Uruguayo, o en la propia DNIC.
  • 2- El agente de registro validará tus datos y enviará una solicitud de emisión de certificado a la Autoridad Certificadora, la solicitud incluye la clave pública del solicitante. 

  • 3- Con la información obtenida la Autoridad Certificadora crea un documento con la estructura del certificado, la cual incluye la clave pública del suscriptor.


 

  • 4- La Autoridad Certificadora firma toda la información, de modo de asegurar que no sea modificada y garantizar que fue ella quien emitió el certificado. La firma es anexada al documento. 

  • 5- El certificado generado junto con el par de claves (pública y privada)  generadas es entregado al usuario de forma presencial (o remoto en algunos casos, dependiendo tipo de certificado y ámbito de uso)  en un dispositivo criptográfico seguro para su uso. 

Ejemplo: En uruguay puede ser en la cédula de identidad, token, o puede estar almacenado de forma segura en la nube de la Autoridad Certificadora, manteniendo exclusivo control del suscriptor para su uso. 

 

Para realizar una firma solo es necesario utilizar la Clave Privada.

La misma se encuentra almacenada en el dispositivo criptográfico que nos entregaron y está protegida por un PIN que fue solicitado al momento del registro.

Una vez alcanzada la fecha de expiración del certificado digital u otras causales como robos o extravíos, el certificado es revocado, quedando en una "lista negra" para impedir su uso.  

 

Uso del certificado digital y proceso de verificación y validación de firma. 

 

A la hora de firmar digitalmente debemos utilizar un sistema informático que contemple la funcionalidad de firma con certificados digitales. 

Ejemplo:  Adobe Reader se puede hacer configuraciones para tal fin. www.VaFirma.com puedes firmar documentos sin configuraciones previas. 

El  sistema informático necesita acceder a  nuestra clave privada para poder realizar la firma. Por eso es necesario contar con el dispositivo criptográfico y saber el pin que la protege. 

Ejemplo: Cedula Digital, o Token, firma en la nube. 

Muchas veces tenemos que instalar algún programa adicional (driver) que nos facilite la lectura.

Entonces veamos los pasos

 

Paso 1:  “A” logra firmar el documento con su clave privada

 

Paso 2: Luego firmado el documento con la clave privada, procede a enviarlo al destinatario “B”

 

                                 
 

Paso 3:  "B" debe obtener la clave pública del certificado de "A" y valida la firma del documento para verificar su integridad. 

 

            

 

Paso 4:  "B" verifica estructura y estado de revocación del certificado de "A" para verificar su Identidad. También verifica la cadena de certificación para validar la identidad de la Autoridad Certificadora emisora del Certificado Digital de "A". 

 

 

Observaciones: 

 

¿De dónde saca el certificado "B"?  Está contemplado en los estándares de firma que usan los sistemas informáticos (Pades, Cades, Xades). Muchas veces del propio documento firmado. 

¿De donde saca la clave pública de "B"? Como vimos al comienzo, la clave pública se encuentra en el certificado de "B".

Es importante validar la cadena de certificación o confianza para verificar correctamente la identidad del firmante. Esto significa que tengo que validar la firma del certificado para verificar la Autoridad Certificadora que lo emitió. Del mismo modo valido la identidad de la Autoridad Certificadora emisora hasta llegar a la raíz de la confianza. 

La correcta estructura del certificado también es un punto importante de verificación como así también que se esté usando para el propósito definido en su perfil. 

Verificar también la vigencia del certificado, esto quiere decir que este dentro del período de validez definido y que no haya sido revocado.

La validación de firmas es un proceso clave que deben facilitar los sistemas informáticos, es importante que utilicemos sistemas confiables  que hagan una validación completa de forma correcta. 
 

 

¿Dónde encontramos los posibles fraudes?

 

La mayoría de los ataques se encuentran en entornos no seguros  entendiendo el entorno del firmante como no seguro y el entorno de los sistemas de las Autoridades Certificadoras como seguros. El usuario ya sea en el punto de creación de firma o verificación de firma es el eslabón más débil de la cadena de seguridad. Por eso la importancia de informar, sensibilizar y capacitar en el uso correcto de las herramientas. 

El hecho que una firma digital actúe como evidencia de no repudio implica que sólo el firmante pueda haber realizado dicha firma. Es por esta razón que si un atacante se hace de nuestra Clave Privada puede operar en nuestro nombre. Es importante que la Calve Privada este siempre almacenada en un medio seguro (cédula de identidad digital, token criptográfico) que siempre esté bajo nuestro poder y que adicionalmente tenga un pin que la proteja. 

A la hora de verificar la identidad del firmante, si no validamos correctamente la cadena de certificación, puede ser que sea una firma válida, pero que haya sido emitido por una autoridad certificadora no acreditada a nombre de la víctima con fines fraudulentos, incluso  a partir de un certificado acreditado, generar otro subordinado. Es por esto que es clave el proceso de validación de  firma junto con la  verificación correcta de identidad.

Pueden haber vulnerabilidades relacionadas a la verificación del estado de revocación del certificado siendo este uno de los puntos más complejos. Asegurarnos que el certificado no ha sido revocado, si es posible chequear la firma 24hs luego de la fecha de realización es una buena practica en determinados contextos, de forma de asegurarnos completamente que las listas de revocación están actualizadas. 

 

Conclusión

 

Ahora que entendemos un poco mejor cómo funciona por detrás la firma digital está claro que es necesario una validación correcta de todos los puntos para mantener garantías. Y que las medidas de seguridad tomadas son ampliamente mayores a las tomadas en el “mundo papel”, cómo también el uso de estas tecnología agrega una comprobada e importante mitigación de fraudes de suplantación de identidad.

Te invito a utilizar el validador de VaFirma que contempla las validaciones descritas e incluye validación de documentos firmados por distintas Autoridades Certificadoras acreditadas en Latinoamérica.