Firma, certificados y sellado

 

¿Qué es un certificado digital?

Las PKI utilizan certificados digitales para vincular cada clave pública con su usuario (esto es, el propietario de la clave privada). En una transacción, los certificados digitales son credenciales para verificar las identidades de los usuarios. Igual que un pasaporte certifica la identidad de alguien como ciudadano de un país, el propósito de un certificado digital es establecer la identidad de los usuarios dentro del ecosistema. La identidad de los firmantes se verifica con certificados digitales. Por tanto, para mantener la confianza del sistema es de vital importancia proteger la autenticidad e integridad de cada certificado.

 

¿Qué es una autoridad de certificación?

En una infraestructura de clave pública (Public Key Infrastructure, PKI), las autoridades de certificación (Certificate Authority, CA) establecen una cadena de confianza jerárquica. Las CA emiten credenciales digitales para certificar la identidad de los usuarios. Las CA son objeto de sofisticados ataques porque garantizan la seguridad de una PKI y los servicios protegidos. Para mitigar el riesgo de ataques contra las CA se necesitan controles (físicos y lógicos) y mecanismos como los HSM.

 

¿Qué es la firma de código?

En la criptografía de clave pública, la firma de código es una aplicación de la firma digital basada en certificados para que una organización verifique la identidad del proveedor de software y certifique la integridad del software.

Las firmas digitales son un proceso criptográfico probado para que editores de software y equipos de desarrollo protejan a usuarios finales de peligros como amenazas persistentes avanzadas (APT) del tipo Duqu 2.0. Las firmas digitales garantizan la integridad y autenticidad del software. Mediante firmas digitales, los usuarios finales verifican la identidad de los proveedores y validan la integridad del paquete de instalación. Durante la instalación, todos los sistemas operativos modernos buscan y validan firmas digitales. Ante advertencias de código sin firmar, los usuarios finales pueden abandonar la instalación.

 

¿Qué es una firma digital?

Las firmas digitales proporcionan un proceso criptográfico probado para que editores de software y equipos de desarrollo internos protejan a usuarios finales de los peligros como ataques avanzados de malware. Con firmas digitales, los usuarios finales verifican la identidad del proveedor de software, la integridad del software y la autenticidad de la documentación.

Las firmas digitales son algo más que versiones electrónicas de las firmas tradicionales: aplican técnicas criptográficas para garantizar seguridad, transparencia, confianza y validez legal. Como parte de la criptografía de clave pública, las firmas digitales se aplican en muchos entornos: presentación de declaraciones de impuestos, ejecución de contratos, emisión de facturas electrónicas, publicación de código actualizado, etc.

Con firma digital, las organizaciones preservan la integridad comercial, protegen derechos de autor y facilitan la concesión de licencias. Por ejemplo, Microsoft puede utilizar firmas para garantizar que su software no es emitido por empresas no afiliadas. También es importante para garantizar la seguridad de la cadena de suministro y el origen de los componentes. Combinada con PKI, es una poderosa herramienta para garantizar que el software no se manipula ni contamina antes de desplegarlo en productos o sistemas.

 

¿Qué es el sellado de tiempo?

El sello de tiempo es un complemento cada vez más valioso de la firma digital. Con sellos de tiempo, las organizaciones registran el momento de firma de un elemento digital (mensaje, documento, transacción, software, etc.). Para algunas aplicaciones, el momento de una firma digital es fundamental: transacciones de bursátiles, emisión de billetes de lotería, procedimientos legales, etc. Los sellos de tiempo permiten demostrar que el certificado de firma era válido cuando se utilizó. Por ello, son necesarios incluso cuando el tiempo no es intrínseco a la aplicación. La creciente importancia de las soluciones de firma digital ha creado la correspondiente demanda de sellado de tiempo. Por ello, programas como Microsoft Office soportan sellado de tiempo.

 

La importancia de la seguridad

Para que el sellado de tiempo añada valor, el sello de tiempo debe ser seguro.

 

Riesgos de un sellado de tiempo inseguro

  • La desconfianza en procesos electrónicos resulta en costosos registros en papel para respaldar registros electrónicos.
  • Si manipula el reloj de la computadora, un atacante puede comprometer fácilmente un proceso de sellado de tiempo basado en software. De este modo, invalida todo el proceso de firma.
  • Con procesos inseguros de sellado de tiempo o firma digital, las organizaciones se exponen a problemas de cumplimiento y desafíos legales.
  • Los usuarios pueden acceder a certificados y claves privadas de firma incluso tras revocarlos. Sin sellos de tiempo, las organizaciones no pueden probar si las firmas se crearon antes o después de revocar un certificado.