Firma digital

Firmas digitales con GPG : Las firmas digitales no son garabatos difíciles de copiar, sino funciones criptográficas complejas de claves secretas difíciles de adivinar o deducir.

Hemos empezado a emitir los certificados de asistencia a los eventos que realiza el LUGMen firmados digitalmente.

Una firma digital cumple las mismas funciones que esperamos que cumpla una firma convencional, a saber:

 

Demostrar la autenticidad de la fuente de un documento firmado

Una firma convencional puede verificarse (por ejemplo, si está registrada en un banco). Si encontramos en un documento la firma de una persona, y ella coincide con la firma que esa persona registrara, podemos estar bastante seguros de que el documento procede de esa persona, ya que suponemos que a simple vista o con la ayuda de un perito calígrafo puede distinguirse una falsificación.

Las firmas digitales también pueden registrarse (de un modo distribuido, no necesariamente en una entidad de registro como un banco) y por lo tanto, también pueden verificarse. Como es extremadamente difícil (si la persona que emite la firma sigue buenas prácticas de seguridad) que un falsificador produzca una firma digital válida, cuando encontramos en un documento la firma digital de una persona, podemos estar muy seguros de que el documento procede de esa persona (siempre que la verificación de la firma sea satisfactoria).

Impedir el repudio de un documento firmado

Suponemos nuevamente que es difícil falsificar una firma convencional. Si tenemos un documento firmado por una persona, esta no puede luego alegar que no firmó, pues bastará comparar la firma con la registrada para probar que la firma es auténtica.

Como las firmas digitales también pueden registrarse y compararse, y son extremadamente difíciles de falsificar (si se siguen buenas prácticas de seguridad), la presencia de la firma digital de una persona en un documento constituye una salvaguarda de que la persona que firmó no pueda luego repudiar el documento firmado.

Demostrar la integridad de un documento

Los documentos convencionales se suelen redactar de tal manera que sea difícil agregar, cambiar o borrar parte de su contenido. Por ejemplo, se rellenan las líneas al final con signos “////”, y toda enmienda o raspadura debe ser testada para considerarla válida.

Los documentos firmados digitalmente no requieren estar redactados de manera especial para que se pueda demostrar que no han sido modificados luego de firmados, ya que la firma digital sólo es válida cuando el documento que la incluye es igual al documento contra el cual se generó la firma. Por lo tanto, la presencia de una firma digital en un documento, verificada satisfactoriamente nos permite estar muy seguros de que el documento firmado es el mismo que el originalmente firmado.

Cómo verificar la firma digital del LUGMen

  1. Se necesitan 3 cosas:
  2. El documento firmado a verificar
  3. La firma digital que supuestamente corresponde a ese documento

 

La clave pública del LUGMen (Huella de clave: 9DDC 2607 4A5D BED1 F44C 068B 447A 02FA B160 6029).

El programa GNU Privacy Guard (también conocido como GnuPG o GPG)

Algunos comentarios antes de seguir:

  • La clave pública es una clave no secreta (por eso la publicamos) asociada a una clave privada secreta (esa no la publicamos). Lo que nosotros firmamos usando la clave secreta ustedes pueden verificarlo con la clave pública correspondiente.
  • Todo la eficacia de la firma digital reside en asegurarse de que la clave pública que uno usa para verificar una firma digital es la que corresponde verdaderamente a la persona que emitió la firma digital.
    Escapa a esta introducción explicar el concepto de red de confianza en el cual se basa GPG para asegurar la autenticidad de las claves públicas. Por lo tanto, deberán confiar más o menos a ciegas (o leer textos más avanzados) en que la clave pública que publicamos en esta página es verdaderamente la clave pública del LUGMen.
  • Muchos programas de correo electrónico (no Outlook Express ni Outlook como de costumbre) se integran con GPG de tal manera que desde la misma interfaz de usuario del programa de correo se pueden verificar las firmas digitales de los mensajes de correo electrónico.

Primero se debe incorporar la clave pública a la lista de claves públicas conocidas por GPG. Esta lista de claves conocidas se llama “anillo de claves” ( keyring en inglés, la traducción es horrible pero es la que usa el programa).

gpg –armour –import lugmen-public-key.txt

lugmen-public-key.txt es el archivo que contiene la clave pública del LUGMen, (el que se bajaron de esta página).

Ahora ponemos:

gpg –verify certificado.png.asc certificado.png

En el comando anterior, certificado.png es la imagen del certificado de asistencia que recibieron por correo electrónico, y certificado.png.asc es la firma digital de ese certificado, la cual también recibieron por correo electrónico.

Este art. fue obtenido del  grupo de usuarios de Linux de Mendoza . E s una organización informal y participativa dedicada a la difusión del uso y conocimiento del sistema operativo GNU/Linux y otros proyectos de Software Libre relacionados.

Agradecimiento

Agradecemos a la C.P. Gabriela Olivera quien nos remite el siguiente artículo sobre firma digital.

© Copyright Colegio de Calígrafos Públicos de la Ciudad de Buenos Aires. Todos los derechos reservados.