Índice resumen 5 introduccióN 6 preámbulo 9 la desmaterialización de los actos 9



Descargar 0.81 Mb.
Página30/42
Fecha de conversión01.07.2017
Tamaño0.81 Mb.
1   ...   26   27   28   29   30   31   32   33   ...   42

3.2. Certificados de clave pública.

Si se desea verificar una firma digital, se debe acceder a la clave pública del firmante y estar seguro que ésta corresponde a la respectiva clave privada. Sin embargo, el juego de claves no está intrínsecamente vinculado a ninguna persona; simplemente son un par de números. Por ello, se hace necesario un método convincente para asociar una persona o entidad a un par de claves de manera confiable.


En una transacción que involucra sólo dos partes, simplemente se puede comunicar mediante un canal de comunicación relativamente seguro (como el correo o una comunicación telefónica segura) la clave pública o, con el debido resguardo de la confidencialidad, el par de claves que cada parte usará. Este método para identificarse no es una tarea sencilla, especialmente cuando las partes se encuentran geográficamente distantes entre sí, normalmente se comunican sobre un conveniente pero inseguro canal de comunicación como Internet, no son personas naturales sino personas jurídicas y actúan a través de agentes cuya personería ha de ser comprobada. Un sistema de comunicación “abierto” como Internet, donde transacciones significantes ocurrirán entre extraños que no tienen relación contractual previa y probablemente no contratarán con el otro después, necesita un método de comprobación de la identidad que no se satisface con la sola eficiencia provista por los medios informáticos.
Para comunicar su clave pública, un suscriptor podría efectuar una declaración pública que dijera “la firma verificable con la siguiente clave pública es mía”. Sin embargo, quienes estuvieran interesados en contratar con este suscriptor podrían, con razón, estimar inadmisible dicha declaración, especialmente cuando no exista vínculo previo entre las partes, que establezca con precisión las consecuencias jurídicas de aquélla. Al confiar en una declaración pública efectuada sin mayor respaldo, se corre el riesgo de equivocar la identidad o incluso la propia existencia del suscriptor declarante. También existe el problema conocido como “no repudiación en origen”, o sea, el riesgo que dicho suscriptor, una vez identificado en forma suficiente, niegue haber hecho su firma digital.
La solución a estos problemas está dada por la intervención de una o más “Terceras Partes Confiables” (TTP, “Trusted Third Parties”), nombre que de modo genérico ha sido acuñado para hacer referencia a todas aquellas instituciones que otorgan eficacia al nexo entre un suscriptor determinado y una específica clave pública. En las discusiones tecnológicas no se hace mención a ellas, pero estas instituciones también lo son las ocupadas de los registros en la actualidad. En concreto, fedatarios y registros públicos existentes, por cuanto son las instituciones competentes, por prescripción legal, especialmente para el ejercicio de las funciones de identificación y certificación con efecto jurídico.
La tendencia imperante en algunas aproximaciones al tema, ha apuntado a reconocer tres instituciones fundamentales para el funcionamiento de la firma digital. En primer lugar se encuentra la llamada “Autoridad Estatal”, como aquella entidad a la que se ha otorgado potestad suficiente para actuar en materia referida a la seguridad de las comunicaciones electrónicas; luego, se ubica la llamada “Autoridad de Certificación”, como la persona o institución a la que una o más personas confían la creación y asignación de “certificados” de clave pública; y por último, se distingue el “Servicio De Registro” como la persona, empresa o institución a la que una o más personas u otras entidades confían servicios de seguridad o actividades relacionadas con la seguridad, que preferentemente se ocupa de la identificación y comprobación de los atributos propios de las personas o entidades que encargan los servicios de seguridad, especialmente de la pertenencia a una persona de sus claves privada y pública. De modo alternativo, también se ha descrito a otras entidades relacionadas, como las llamadas “Autoridades de Fechado Digital” (TSA o Time Stamping Authorities), cuya misión es vincular un instante de tiempo a un documento electrónico, para resolver ciertas cuestiones sobre exactitud de hora y fecha.
En la búsqueda de homogeneidad en la terminología, últimamente se ha generalizado la expresión de “Prestador de Servicios de Certificación” (PSC) para aludir a todos quienes de una u otra forma desarrollan tales actividades en relación con la firma digital y también con la firma electrónica. Así ocurre en la legislación española y en el proyecto de ley modelo para las firmas electrónicas propuesto por UNCITRAL. También se recoge en el proyecto sobre firma electrónica que el ejecutivo presentara en nuestro país y al efecto será utilizada de modo abreviado por nosotros, como PCS, prestador o certificador, indistintamente.
Para asociar un juego de claves al eventual suscriptor, el PSC emite un “certificado”, que es un registro informático que detalla la clave pública y la materia del certificado, y confirma que el eventual firmante identificado en el certificado posee la correspondiente clave privada. La función principal de un certificado es vincular un juego de claves con un suscriptor determinado. Para poder confiar en la firma digital del suscriptor indicado en el certificado, el receptor o destinatario del mismo puede usar la clave pública, también detallada en el certificado, para verificar que la firma digital fue creada con la clave privada correspondiente. Si tal verificación es exitosa, se asegura razonablemente que la clave privada es poseída por el suscriptor indicado en el certificado y que la firma digital fue creada por ese suscriptor en particular.
Para garantizar la autenticidad del certificado, el PSC firma digitalmente dicho documento, con lo que se asegura que el certificado ha sido efectivamente enviado por dicho prestador y que no ha sufrido alteraciones en el ínterin. La firma digital del PSC puede ser verificada con el uso de la clave pública de este prestador, registrada en un certificado de otro PSC (que puede o no encontrase en una relación de superior jerárquico), y ese otro certificado puede, a su vez, ser verificado con la clave pública señalada en otro certificado y así sucesivamente, hasta que el interesado o “parte relacionada” esté suficientemente convencido de la autenticidad de la firma digital. En cada caso, el PSC actuante debe firmar digitalmente su propio certificado, durante el período de vigencia del certificado usado para verificar la firma digital de dicho PSC.
Constituye un requisito indispensable para la verificabilidad de la firma digital, creada por el suscriptor respecto de un documento o por un PSC respecto de su certificado, que sea estampada, mediante algún método razonablemente fiable, con una marca o seña temporal (“time-stamp”) que permita determinar si la firma digital fue creada durante el período de vigencia señalado en el certificado. Tal es la llamada función de “horo-datación” que puede ser utilizada en conjunto con una función hash, para dar origen al sellamiento o “sello electrónico”, como un resumen del mensaje que permite validar el texto completo e introduce fecha y hora. Tanto el sellamiento electrónico como las funciones hash son empleados en la prueba de integridad e individualización del documento, para evitar la duplicación o su confusión con otro de la misma fecha y contenido. El sello electrónico, en especial, permite datar y singularizar el documento, al introducir la fecha, el lugar y un número en el sello por un PSC. De tal modo, se avala la existencia del D.E. en un instante determinado, lo que permite al verificador, además de saber si se ha alterado el contenido del documento con posterioridad a la firma, determinar fehacientemente si la firma digital fue ejecutada dentro del período de validez del certificado, tras alertar sobre actuaciones inválidas (y eventualmente, fraudulentas) acaecidas antes o después de la fecha consignada.
Para los fines de verificación de la firma digital, la clave pública y su identificación con un suscriptor determinado se puede hacer disponible en todo momento, entre otros medios, mediante la publicación del certificado en el llamado “repositorio”, que es un registro de certificados y otras informaciones disponibles “en línea” para su consulta y uso en la verificación de firmas digitales. El mensaje presidencial que presentó el proyecto nacional singulariza el repositorio como “un registro público para los efectos de verificar los certificados de firma electrónica ... que es el pilar mismo del sistema de firma electrónica y su eficacia y transparencia son condiciones básicas para la subsistencia de todo el sistema”.
Una vez emitido, el certificado puede acusar la existencia de problemas, tal como en aquellas situaciones en que el suscriptor falsifica su identidad ante la Autoridad de Certificación. En otros casos, un certificado puede dar suficiente fe al momento de ser emitido y ser cuestionado con posterioridad. Si el suscriptor pierde el control de su clave privada, el certificado se torna dudoso, y el PSC (con o sin la solicitud del suscriptor, según las circunstancias) puede suspender (invalidación temporal) o revocar (invalidación permanente) el certificado. Inmediatamente después de suspendido o revocado un certificado, el prestador debe advertir públicamente de la suspensión o revocación, o notificar a las personas interesadas o a quienes han recibido una firma digital verificada con el certificado que está en entredicho. Para tal efecto, los repositorios ofician como listas de revocación y/o suspensión de certificados por pérdida de claves privadas (v.gr., destrucción, extravío, hurto).




Compartir con tus amigos:
1   ...   26   27   28   29   30   31   32   33   ...   42


La base de datos está protegida por derechos de autor ©bazica.org 2019
enviar mensaje

    Página principal