La mayoría de la gente piensa en la criptografía como un sistema para cifrar información, ocultar la información de forma que aunque se vea el mensaje, este no se pueda interpretar si no tenemos las claves necesarias para hacerlo. Ya en el artículo sobre claves pública y privada hacía un breve comentario sobre diversos tipos de cifrado de información, los problemas de transmisión de claves y los cifrados simétrico y asimétrico. Esto es indudablemente cierto, pero la criptografía tiene otra serie de utilidades cuya importancia es cuando menos, equiparable en importancia.
Esta parte de la criptografía es la que pretende garantizar la confidencialidad, garantizar que sólo los receptores adecuados van a poder leer el mensaje y nadie más. Las otras utilidades de la criptografía son la integridad, garantizar que un documento o contenido digital no ha sido manipulado y el no repudio, que pretende evitar que alguien pueda negar haber escrito algo que efectivamente es suyo.
Una vez que tengamos resueltos los problemas de confidencialidad, integridad y no repudio en el mundo digital podremos garantizar transacciones seguras y fiables a través de la red.
Como aclaración hay que comentar que también se utiliza el término encriptar (derivado del inglés encrypt, cifrar, codificar) en lugar de cifrar, y con una mayor aceptación popular (en Google aparece el doble de veces encriptación que cifrado), pero a pesar de todo prefiero denominarlo cifrado, no veo la necesidad de adoptar un término en inglés si en español ya hay una palabra que describe con precisión el significado del concepto.
Criptografía de reducción
La criptografía de reducción tiene como objetivo establecer un mecanismo de verificación para comprobar que unos datos digitales no han sufrido modificación.
Un algoritmo criptográfico de reducción extrae un valor resumen de un contenido digital de forma que cualquier cambio en el contenido digital se refleja en dicho valor resumen. La simple modificación de un bit del mensaje es suficiente para que el valor resumen obtenido sea distinto.
La criptografía de reducción se utiliza ampliamente en prácticamente todos los procesos digitales para evitar la corrupción de los datos almacenados o transmitidos. Un ejemplo de criptografía de reducción es CRC. En cada paquete que se transmite por la red, el emisor le añade el valor CRC correspondiente a su contenido. Cuando el receptor recibe el mensaje toma el CRC del emisor y lo compara con el valor CRC de los datos recibidos. Si ambos CRC no coinciden quiere decir que ha habido algún error en la transmisión y el receptor le indica al emisor que vuelva a enviarle los datos. Una forma simple y efectiva de evitar errores de transmisión y almacenamiento.
Otro ejemplo de criptografía de reducción se utiliza en el BIOS (Basic Input Out System), un chip que almacena, entre otras cosas, datos de configuración, utiliza CRC para comprobar que los datos que almacena conservan su integridad.
La criptografía de reducción también tiene debilidades que afectan en mayor menor medida a los algoritmos existentes. Los valores resumen obtenidos, dependiendo del algoritmo utilizado oscilan entre los 128 y 512 bits, o lo que es lo mismo entre 16 y 64 bytes (ocho bits por carácter). Si ya partimos de la base de que un algoritmo de reducción transforma un conjunto de valores mayor, un documento, un correo electrónico, en otro menor, estos 16 o 64 bytes, es inevitable por pura lógica que se generen valores resumen repetidos partiendo de bases diferentes. Estos valores repetidos es lo que se conoce como colisión, y a partir de estas colisiones hay ciertos algoritmos que presentan defectos de diseño que podrían comprometer su seguridad
Firmas digitales
Cuando queremos dar validez personal a un documento, indicar que lo hemos leído o que estamos de acuerdo con su contenido lo que hacemos es firmarlo, estampar en él una marca de carácter personal que dé fe de nuestra presencia, nuestro acuerdo con el contenido o garantice su autenticidad.
La firma, además sirve para identificar a la persona que da su acuerdo y evita que con posterioridad se pueda negar el acuerdo previo con el documento. Nadie puede negar un documento en el que esté presente su firma.
En el mundo digital también existen las mismas necesidades que en, lo que podemos llamar, el mundo real. Por ejemplo en ciertas ocasiones es necesario enviar un documento garantizando que no ha sido manipulado, que no se ha cambiado ni una coma de su contenido original. Si este problema no se pudiera resolver las transacciones digitales carecerían de validez. Este mecanismo de validación de un documento también debe incluir al mismo tiempo algún tipo de información personal de forma que se conozca la identidad de quien efectúa el proceso de validación y no se pueda negar dicha validación.
Un primer paso para una firma digital es generar un resumen mediante un algoritmo de reducción que garantice la integridad del contenido digital.
Certificados Digitales
Un certificado digital es una pareja de claves pública y privada que incorporan una parte de información personal que identifica al propietario y un periodo de validez, pasado el cual el certificado deja de ser válido.
El propietario de un certificado digital puede ser una persona física pero también puede ser cualquier entidad que necesite identificarse en la red. Es una norma habitual en la red que los servidores web que realizan transacciones de carácter económico dispongan de un certificado digital que garantice que realmente nos estamos conectando al servidor correcto.
Como se describe en el el artículo claves pública y privada, todo lo que se firma con la clave pública se descifra con la clave pública y todo lo que se cifra con la clave pública sólo se descifra con la privada. La política que se sigue con los certificados digitales es distribuir la clave pública y guardar celosamente la clave privada.
Certificados digitales firmados
El principal problema que plantean los certificados digitales es garantizar la la identidad del propietario de un certificado. Cualquiera puede crear sus propios certificados digitales poniendo la identidad que quiera por lo que es necesario un mecanismo que garantice que los datos que figuran en un certificado digital corresponden realmente a su propietario, y aquí es donde entran en juego las autoridades certificadoras, entidades encargadas de certificar que los datos de un certificado digital son los correctos.
Las autoridades certificadoras tienen una reputación y credibilidad reconocidas en toda la red. Por ejemplo, los navegadores incorporan las claves públicas de estas autoridades para comprobar si un certificado es correcto.
Cuando queremos un certificado digital reconocido, tenemos que solicitarlo a una de estas autoridades certificadoras cuya misión es verificar que los datos que figuran en el certificado coinciden con los datos que el solicitante acredita. Una vez que el certificador ha comprobado la autenticidad de los datos realiza dos acciones sobre el certificado. En primer lugar le añade sus propios datos al certificado a modo de firma indicando que los datos que constan el él son auténticos. En segundo lugar, mediante un sistema de criptografía de reducción genera un valor resumen del certificado que garantice que no se va a manipular su contenido. De esta forma obtenemos un certificado digital firmado.
Para comprobar la validez de un certificado digital firmado lo que se hace es:
Averiguar la autoridad certificadora que firmó el certificado.
Buscar la clave pública de la autoridad certificadora. Si no se encuentra la clave pública de la autoridad certificadora se le envía un mensaje al usuario indicando que no se reconoce la firma del certificado y por tanto no se puede garantizar su veracidad.
Comprobar la validez de la firma, es decir, si el valor obtenido de la criptografía de reducción es correcto. También se comprueba si el certificado está en su periodo de vigencia. Si el certificado está caducado o trata de utilizarse antes de comenzar su vigencia se origina un error y el certificado se rechaza.
DNI electrónico
Como muestra de la importancia de los certificados digitales podemos comprobar como un un futuro no lejano cada persona tendrá su certificado digital y el uso en la vida cotidiana sera habitual. Los nuevos documentos nacionales de identidad, conocidos como DNI electrónicos han introducido los certificados digitales en la vida cotidiana de las personas y este el el primer paso para su uso generalizado.
El DNI electrónico es lo que se denomina una tarjeta inteligente criptográfica, dispone de un microchip con capacidad para ejecutar pequeños programas y almacenar datos de forma segura, que no se pueden manipular y protegida por un número de acceso (PIN). Los datos que almacena el DNI electrónico son: por un lado los datos que aparecen en la superficie de la tarjeta, los datos personales del titular, imagen digitalizada de la fotografía, imagen digitalizada de la firma manuscrita y la plantilla de la impresión dactilar de los dedos índice de cada mano. Además de los datos habituales en todos los DNI, el modelo electrónico almacena dos certificados X.509, un certificado cualificado para autenticación y otro para firma digital y por supuesto el certificado electrónico de la autoridad emisora que garantiza su autenticidad. Los certificados del DNI incluyen tanto las claves publicas como las privadas. Aunque se podría haber utilizado un único certificado tanto para autenticar como para firmar, se ha optado por introducir dos certificados distintos para que el ciudadano pueda distinguir entre las actividades de autenticación y firma electrónica. Cada pareja de claves se genera dentro del chip durante el proceso de expedición.
