¿Qué son la firma digital, los certificados digitales y las marcas de tiempo?

Para vincular las claves públicas con su usuario asociado (propietario de la clave privada), las infraestructuras de claves públicas (PKI) utilizan certificados digitales. Los certificados digitales son las credenciales que facilitan la verificación de identidades entre los usuarios en una transacción. Así como un pasaporte certifica la identidad de alguien como ciudadano de un país, el propósito de un certificado digital es establecer la identidad de los usuarios dentro del ecosistema. Puesto que los certificados digitales se usan para verificar la identidad de quien firma la información, es de vital importancia proteger la autenticidad y la integridad del certificado para mantener la confianza del sistema.

Una Autoridad Certificadora (CA) es el componente central de una infraestructura de clave pública (PKI) responsable de establecer una cadena de confianza jerárquica. Las autoridades de certificación (CA) emiten las credenciales digitales que se utilizan para certificar la identidad de los usuarios. Las CA respaldan la seguridad de una PKI y los servicios que soportan y, por lo tanto, pueden ser el foco de sofisticados ataques dirigidos. Para mitigar el riesgo de ataques en contra de las autoridades de certificación, se utilizan controles físicos y lógicos, así como mecanismos de fortalecimiento, como los módulos de seguridad de hardware (HSM), para garantizar la integridad de una PKI.

En la criptografía de clave pública, la firma de código es una aplicación de la firma digital basada en certificados para que una organización verifique la identidad del proveedor de software y certifique la integridad del software.

Las firmas digitales son un proceso criptográfico probado para que editores de software y equipos de desarrollo protejan a usuarios finales de peligros como amenazas persistentes avanzadas (APT) del tipo Duqu 2.0. Las firmas digitales garantizan la integridad y autenticidad del software. Mediante firmas digitales, los usuarios finales verifican la identidad de los proveedores y validan la integridad del paquete de instalación. Durante la instalación, todos los sistemas operativos modernos buscan y validan firmas digitales. Ante advertencias de código sin firmar, los usuarios finales pueden abandonar la instalación.

¿Qué es el sellado de tiempo?

El sello de tiempo es un complemento cada vez más valioso de las prácticas de firma digital, que permite a las organizaciones registrar cuándo se firmó un elemento digital, como un mensaje, documento, transacción o software. Para algunas aplicaciones, el momento de una firma digital es fundamental, como en el caso de las transacciones de acciones, la emisión de billetes de lotería y algunos procedimientos legales. Incluso cuando el tiempo no es intrínseco a la aplicación, el sello de tiempo es útil para el mantenimiento de registros y los procesos de auditoría, ya que proporciona un mecanismo para demostrar si el certificado digital era válido en el momento en que se utilizó. La creciente importancia de las soluciones de firma digital ha creado una demanda correspondiente de sellado de tiempo, por lo que muchos programas de software, como Microsoft Office, admiten funciones de sello de tiempo.

La importancia de la seguridad

Para que el sellado de tiempo añada valor, el sello de tiempo debe ser seguro.

Riesgos de un sellado de tiempo inseguro

• La desconfianza en procesos electrónicos resulta en costosos registros en papel para respaldar registros electrónicos.
• Si manipula el reloj de la computadora, un atacante puede comprometer fácilmente un proceso de sellado de tiempo basado en software. De este modo, invalida todo el proceso de firma.
• Con procesos inseguros de sellado de tiempo o firma digital, las organizaciones se exponen a problemas de cumplimiento y desafíos legales.
• Los usuarios pueden acceder a certificados y claves privadas de firma incluso tras revocarlos. Sin sellos de tiempo, las organizaciones no pueden probar si las firmas se crearon antes o después de revocar un certificado.

Obtenga más información sobre la marca de tiempo para los certificados de firma de código.