Fechado Electrónico
| Autor | José A. Mañas |
| Cargo | Dept. de Ingeniería de Sistemas Telemáticos E. T. S. I. Telecomunicación U. Politécnica de Madrid |
| Páginas | 3-21 |
I.Resumen
Un servicio de fechado electrónico permite asociar una fecha a un documento, de forma verificable y que preserve la integridad del documento.
Existen varios mecanismos para instrumentar el servicio, involucrando al prestador del servicio en diferentes grados de responsabilidad.
El servicio de fechado se basa fuertemente en técnicas criptográficas, lo que introduce una serie de riesgos que se deben mitigar por medio de prácticas operativas tales como el fechado múltiple, la sincronización de prestadores, la novación de certificados o la acumulación de resúmenes criptográficos.
Los mecanismos técnicos de fechado se hayan actualmente en curso de normalización internacional y se están desarrollando al tiempo recomendaciones para su buen uso.
II.Introducción
Los servicios de fechado electrónico, en inglés timestamping services (TSS) , y en otras ocasiones denominados sellos de tiempo, son un conjunto de servicios de seguridad orientados a vincular inequívocamente la existencia de un documento a un instante de tiempo, de forma que aunque no se pueda saber con cuánta anterioridad se disponía del documento, si se pueda afirmar y demostrar que en cierto momento estaba disponible. El servicio debe incorporar una garantía de integridad, en el sentido de que si el documento se modifica posteriormente, la manipulación se detecta. Así, un documento electrónico fechado en tal momento es prueba de que existía en esta forma en tal momento.
Los documentos fechados son una prueba en manos del receptor del documento, y constituyen la base de un servicio de no repudio usualmente asociado al servicio de firma electrónica. Nótese que, mientras la firma es un servicio ejercido por el remitente, el fechado es un servicio ejercido por cualquiera de las partes y ambos servicios en conjunto proporcionan la prueba necesaria que vincula al remitente, pudiendo ser utilizada por el receptor en caso de disputa.
-
¿Qué?
Dado el carácter electrónico de los documentos que se trasiegan por las redes, estos son fácilmente manipulables (se pueden editar alterando el original, de hecho no existe ninguna forma fiable de determinar qué es original, qué es copia, qué es copia fidedigna, qué es copia manipulada, etc. Ni tan siquiera saber qué documento entre dos parecidos es anterior entre ellos. Debido a estas deficiencias en el medio se impone la necesidad de la firma electrónica como garantía de origen y del fechado como ubicación temporal, siendo la integridad garantizada por ambos servicios.
Se puedan firmar documentos sin fecharlos o utilizando otros medios para ubicarlos en el tiempo. Por ejemplo, una cadena de intercambios electrónicos vinculados entre sí no requiere del fechado de cada intercambio, bastando la relación entre ellos para derivar argumentaciones de causalidad (causaefecto) .
Se pueden fechar documentos sin firmarlos, si disponemos de otros medios de autenticación. Por ejemplo, un vídeo puede grabar lo que hacen o dicen los actores sin requerir su firma [electrónica] para quedar vinculados a sus actos.
No obstante, en el intercambio documental electrónico sin presencia física, parece evidente la necesidad de aunar ambos servicios y así se recoge la opción de firmar y fechar simultáneamente en un acto de emisión. Esto vincula el remitente; pero es muy habitual que sea el receptor quien feche o sea el emisor quien requiera firma y fecha como acuse de recibo.
-
Cuándo?
Aunque existe una idea de tiempo absoluto y universal, el interés práctico se limita a establecer una relación causal entre acontecimientos. Esto es así en la física (teoría de la relatividad) y en la práctica comercial. Lo importante es saber si un acto se realizó en plazos o si un acto fue anterior o posterior a otro.
Pero, desde un punto de vista práctico, es difícil instrumentar un servicio de fechado que vincule todas las actividades del mundo y por tanto es habitual recurrir al reloj para marcar cuándo ocurren las cosas y, posteriormente poder ordenarlas en el tiempo sobre la base de la hora grabada. Esto nos lleva a un problema delicado que es el de la calidad de los relojes utilizados. Un primer requisito sobre un proveedor de servicios de fechado es que tenga un reloj bien sincronizado, donde la precisión de la hora es un parámetro de calidad del servicio. Cabe pensar que sea más costoso un servicio que garantice la fecha al segundo, que uno que no se comprometa más allá de ±1 hora.
Un segundo requisito sobre la hora es que sea fiable. Si es el propio signatario que va a quedar vinculado el que dice qué hora es, la manipulación es fácil. O la hora la marca alguien desinteresado (una tercera parte de confianza en la jerga del ramo) o la fecha marcada es reconocida por las partes afectadas, por ejemplo firmando el documento después de haberlo fechado. El efecto es que nos podemos encontrar con que el autor firma electrónicamente un documento, a continuación lo fecha un servicio de fechado que avala la que el documento se firmó antes de tal fecha, y una firma electrónica superpuesta por la que el autor reconoce la fecha insertada.
-
¿Qué más?
No son la firma electrónica y el fechado los únicos servicios de seguridad que se pueden prestar. Otros servicios comúnmente asociados son los de confidencialidad y los de almacenamiento o custodia. Obviamente, por razones de oportunidad de negocio, pueden existir entes que proporcionen paquetes integrados de servicios; pero también pueden existir servicios desintegrados. En el desarrollo de la normativa se ha procurado no imponer ningún modelo de negocio, especificando los servicios de forma independiente.
Así, los servicios de fechado se independizan de los servicios de confidencialidad por medio de una técnica denominada resúmenes (en inglés hash) por la...
Para continuar leyendo
Solicita tu prueba