Clave pública y validez en el tiempo
Tengo un par de dudas que durante bastante tiempo me rondan la cabeza:
Clave pública
¿De dónde consigue la clave pública el receptor de una firma electrónica? Hasta donde yo sé, una firma electrónica incluye el hash del documento a firmar cifrado con la clave privada. Por lo tanto, ¿cómo consigue la clave pública aquella persona que quiera validar esa firma? ¿O es que también se incluye el certificado con su clave pública? En este caso, ¿cómo se obtiene? ¿Simplemente accediendo al valor del campo correspondiente?
Validez en el tiempo de una firma:
A día de hoy, existe gran variedad de componentes de firma (applets/activeX), y por lo que veo muy pocos hacen uso de un sellado de tiempos (utilizando un tercero de confianza) en el proceso de firma.
Por ello, cuando yo firmo digitalmente un documento, en teoría el componente de firma debería comprobar que mi certificado no está revocado, o como mínimo no está caducado. Pero, suponiendo que yo consiga hacer la firma (por ejemplo porque el applet/activX no compruebe esto) ¿Cómo puede comprobar el receptor de esa firma si la firma es correcta? Porque mi duda sobre todo es que al no haber un origen de tiempos "fiable" que diga cuándo se realizó dicha firma, a la hora de verificarlo no se puede saber si el certificado estaba revocado o no.
En los casos que yo he visto, en aplicaciones web por ejemplo, es que yo como usuario me descargo un applet y realizo la firma. Ese applet comprueba que mi certificado no está caducado pero ya está:no queda ni referencia temporal (como mucho el servidor ha tomado su propia hora como referencia para saber si el certificado está caducado o no), pero en ningún caso se comprueba si el certificado está revocado. Luego, cuando alguien quiera verificar esa firma, como mucho podrá ver que el certificado que se utilizó está revocado o no, y si lo está, se puede saber en qué fecha se revocó, pero la firma en sí no parece que se pueda saber cuándo se realizó.
¿Me podrías contestar a estas dudas?
Clave pública
¿De dónde consigue la clave pública el receptor de una firma electrónica? Hasta donde yo sé, una firma electrónica incluye el hash del documento a firmar cifrado con la clave privada. Por lo tanto, ¿cómo consigue la clave pública aquella persona que quiera validar esa firma? ¿O es que también se incluye el certificado con su clave pública? En este caso, ¿cómo se obtiene? ¿Simplemente accediendo al valor del campo correspondiente?
Validez en el tiempo de una firma:
A día de hoy, existe gran variedad de componentes de firma (applets/activeX), y por lo que veo muy pocos hacen uso de un sellado de tiempos (utilizando un tercero de confianza) en el proceso de firma.
Por ello, cuando yo firmo digitalmente un documento, en teoría el componente de firma debería comprobar que mi certificado no está revocado, o como mínimo no está caducado. Pero, suponiendo que yo consiga hacer la firma (por ejemplo porque el applet/activX no compruebe esto) ¿Cómo puede comprobar el receptor de esa firma si la firma es correcta? Porque mi duda sobre todo es que al no haber un origen de tiempos "fiable" que diga cuándo se realizó dicha firma, a la hora de verificarlo no se puede saber si el certificado estaba revocado o no.
En los casos que yo he visto, en aplicaciones web por ejemplo, es que yo como usuario me descargo un applet y realizo la firma. Ese applet comprueba que mi certificado no está caducado pero ya está:no queda ni referencia temporal (como mucho el servidor ha tomado su propia hora como referencia para saber si el certificado está caducado o no), pero en ningún caso se comprueba si el certificado está revocado. Luego, cuando alguien quiera verificar esa firma, como mucho podrá ver que el certificado que se utilizó está revocado o no, y si lo está, se puede saber en qué fecha se revocó, pero la firma en sí no parece que se pueda saber cuándo se realizó.
¿Me podrías contestar a estas dudas?
1 respuesta
Respuesta de josuealcalde
1
Clave pública
Un certificado incluye la clave pública.
Debes tener el certificado para comprobar la firma. El certificado se envía en conexi
Validez en el tiempo de una firma
Es decir, las firmas que hacen se caducan con el certificado.
Evidentemente, nada te impide firmar la fecha junto al mensaje, pero no es algo estándar. En un e-mail, por ejemplo, supongo que se firme el contenido junto a la parte invariable de la cabecera que incluiría la fecha de emisión (aunque no estoy muy seguro de esto).
Un certificado incluye la clave pública.
Debes tener el certificado para comprobar la firma. El certificado se envía en conexi
Validez en el tiempo de una firma
Es decir, las firmas que hacen se caducan con el certificado.
Evidentemente, nada te impide firmar la fecha junto al mensaje, pero no es algo estándar. En un e-mail, por ejemplo, supongo que se firme el contenido junto a la parte invariable de la cabecera que incluiría la fecha de emisión (aunque no estoy muy seguro de esto).
Clave pública:
Podría ser dos, uno o los que quieras. Nada te impide guardar en un mismo fichero la firma, el certificado y el propio documento. Eso ya depende del tipo de documento, de la especificación, de para que lo quieras...
Validez en el tiempo.
La firma no incluye una marca de tiempo, es decir, la especificación de una firma digital es coger todo el documento, hacer un hash y encriptarlo con la clave privada.
Es decir, eso asegura la integridad del documento. Nadie lo va a poder cambiar.
La especificación en ningún momento habla de tiempos.
Sin embargo, el emisor puede incluir la fecha igual que en un documento tradicional y firmarla.
Claro, que el emisor puede falsificar esa fecha...
De todas formas, ¿estas preguntas tienen algún objetivo o es simple curiosidad?
Podría ser dos, uno o los que quieras. Nada te impide guardar en un mismo fichero la firma, el certificado y el propio documento. Eso ya depende del tipo de documento, de la especificación, de para que lo quieras...
Validez en el tiempo.
La firma no incluye una marca de tiempo, es decir, la especificación de una firma digital es coger todo el documento, hacer un hash y encriptarlo con la clave privada.
Es decir, eso asegura la integridad del documento. Nadie lo va a poder cambiar.
La especificación en ningún momento habla de tiempos.
Sin embargo, el emisor puede incluir la fecha igual que en un documento tradicional y firmarla.
Claro, que el emisor puede falsificar esa fecha...
De todas formas, ¿estas preguntas tienen algún objetivo o es simple curiosidad?
Gracias por tu respuesta, pero me gustaría "centrar" un poco más mis dudas:
Supongamos que el proceso de firma y verificación de la firma no se realiza en una transacción "quasi-simultanea" en el tiempo, sino que alguien firma un documento, lo deja almacenado y un año después alguien quiere verificarlo.
Clave pública:
¿El certificado debería almacenarse junto a la firma? ¿Y por lo tanto serían dos "ficheros"?
Validez en el tiempo de una firma:
Yo puedo firmar "HOY" con mi certificado que es válido, pero si en 6 meses lo revoco, ¿cómo puede alguien saber un año después que la firma es válida cuando va a realizar la verificación de la misma? En este caso, al comprobar el certificado, se vería que está revocado, e incluso se podría saber con qué fecha está revocado, pero volviendo a la duda original, ¿cómo se puede saber con certeza que la firma se realizó en una fecha determinada?
Muchas gracias
Supongamos que el proceso de firma y verificación de la firma no se realiza en una transacción "quasi-simultanea" en el tiempo, sino que alguien firma un documento, lo deja almacenado y un año después alguien quiere verificarlo.
Clave pública:
¿El certificado debería almacenarse junto a la firma? ¿Y por lo tanto serían dos "ficheros"?
Validez en el tiempo de una firma:
Yo puedo firmar "HOY" con mi certificado que es válido, pero si en 6 meses lo revoco, ¿cómo puede alguien saber un año después que la firma es válida cuando va a realizar la verificación de la misma? En este caso, al comprobar el certificado, se vería que está revocado, e incluso se podría saber con qué fecha está revocado, pero volviendo a la duda original, ¿cómo se puede saber con certeza que la firma se realizó en una fecha determinada?
Muchas gracias
Muchas gracias. El motivo de mis preguntas es "curiosidad", aunque hace un tiempo trabajaba en temas relacionados con firma digital y siempre me ha rondado por la cabeza la duda de si realmente una PKI y los procedimientos que a día de hoy existen son tan fiables como a día de hoy parecen.
