23 de julio de 2008 | 
Autor: 
Hace más de 9 años que instalé mi primer PGP (Pretty Good Privacy) para firmar y encriptar un correo de Ibercaja. Desde entonces, ha llovido bastante, pero las gotas de agua recién comienzan a llegar a Perú, por lo que habría que tomar medidas para no inundarnos.
Promulgada la Ley de firmas digitales en Perú, y sancionado por el tío Alan el tercer y supuestamente último Reglamento de esta Ley, que además lleva la coletilla de Reglamento Final, y esperemos que así sea, ya se ha dado el primero paso para que la criptografía entre en nuestros hogares: se ha designado a INDECOPI para que sea el director de orquesta de todo este embrollo.
El siguiente paso es acreditar a aquellos que deseen emitir certificados para firmas digitales. Nada más fácil, visite usted la web de INDECOPI, y con ayuda de S. Hopkins y un experto traductor de hebreo podrá entender qué es lo INDECOPI le solicita.
El otro aspecto, que necesariamente debemos tratar en esta discusión, se refiere al concepto y uso de las firmas digitales.
Una firma digital, a diferencia de lo que algunos Padres de la Patria supusieron cuando sus asesores redactaron el proyecto de Ley del mismo nombre, no es una firma hecha con Photoshop más o menos parecida a la rúbrica que se pretende imitar. La firma digital es nuestra huella digital en el espacio virtual; pero no sólo eso, además es una medida de seguridad extrema acerca de nuestras comunicaciones cuando utilizamos el correo electrónico.
Y, ¿cómo funciona esto?. Veamos cómo obtener una firma digital y cómo usarla. Ojo!, en este momento en Perú ninguna firma digital es válida, ni incluso las extranjeras, ya que todavía no se ha desarrollado el Reglamento que las normaliza, autoriza y valida. Aún así, ya podemos comenzar a hacer castillitos de arena para ver si seremos capaces de adaptarnos al futuro próximo.
Lo primero es conseguir un certificado digital para un determinado correo electrónico. Actualmente, podemos obtener estos certificados de forma gratuita con Entidades Certificadoras extranjeras, por ejemplo, COMODO; cuando existan en Perú, la forma de proceder será idéntica.
Se emite un certificado para cada cuenta de correo que usted desee afiliar al sistema. Si desea 2 cuentas con firma, necesitará 2 certificados. Siga las instrucciones que le proporciona el emisor del certificado: básicamente utilizar el mismo navegador durante todo el proceso, dar unos clics en los enlaces que le llegarán por correo y aceptar la instalación del certificado. Nada del otro mundo. Tiempo estimado: entre 2 y 10 minutos. Con su programa de correo, jale el certificado, que ya se encuentra instalado en su computadora y listo. De forma ordinaria, la forma de jalarlo es examinando las propiedades de seguridad de la cuenta de correo en la que quiere instalarlo.
Con su flamante certificado instalado, ya se encuentra en disposición de enviar mensajes firmados digitalmente o cifrados. Al hacerlo, el destinatario del mensaje recibirá un correo similar a:
Antiguamente, si el correo además de firmado, estaba encriptado, habia que buscar la llave pública del remitente en un repositorio de llaves para poder ver el mensaje original. Los nuevos clientes de correo se suelen encargar de esta tarea, desenmarañando los documentos o mensajes encriptados.
Llaves. En todo certificado emitido para sus correos, usted tendrá 2 llaves, claves o llámelas como desee. Cuando usted envía un correo encriptado, usará (de forma automática a través de su programa de correo) su llave privada, que siempre debe tener a buen recaudo y el destinatario podrá descifrar su mensaje con su llave pública.
Los métodos criptográficos utilizados a dia de hoy son completamente inviolables. Esto además de ser fabuloso, tiene su desventaja en el tiempo de cifrado, que se puede tornar infinito para documentos pesados. No pasa nada!, para eso existen algoritmos que nos simplifican la vida. Si ya ha escuchado algo de MD5, HASH o palabrejas de esa guisa, deben traerle sin cuidado. Básicamente se trata de métodos internos que usted no tiene por qué conocer. En todo caso, y como referencia muy básica, le diré que para ganar tiempo cifrando documentos, HASH realiza un extracto comprimido de una sola dirección con una longitud determinada de bits (¿Ya escuchó encriptado a 128 o 256 bits?), y cuando usted envía el mensaje, lo que realmente está cifrando con su llave privada, sólo es ese extracto. Los métodos MD4, 5 y otros básicamente se refieren a la longitud de bits del extracto realizado por HASH.
En resumen, vaya haciendo pruebas con certificados digitales gratuitos del extranjero, envíe y reciba correo firmado, cifrado, firmado y cifrado. Si le gusta cómo llegan y se reciben sus mensajes, suba un peldaño e instale PGP en su computadora.
Por último, tenga en cuenta que con las firmas digitales, nuestras relaciones con el mastodónico Estado deberán simplificarse extraordinariamente, al igual que las relaciones comerciales establecidas en nuestro ámbito, así como otras muchas cosas más…. SUNAT, JUSTICIA, TRABAJO son algunos de los organismos que deben ponerse a trabajar inmediatamente para adaptar sus normativas legales a las firmas digitales.
Esperaremos a ver que nos depara el futuro (Terminator IX).
Publicado en InterNet | 
Etiquetas: 128 bits, 256 bits, comodo, criptografÃa, Firma digital, hash, INDECOPI, llave pública, llave privada, MD5, PGP, SSL, Vertisign
Saludos Antonio:
Quisiera saber cómo uno puede obtener un certificado digital en Perú, la ley menciona RENIEC e INDECOPI, tal vez tú que sabes de tema me puedas ayudar..mil gracias
Greta,
Actualmente, no puedes obtener un certificado digital web o de email que sea reconocido por las autoridades peruanas. INDECOPI tiene que elegir y acreditar todavía a los emisores de los mismos.
Esto no quita que sí puedas obtener certificados digitales para tus páginas web o tu correo, válidos en la mayoría de países, y por supuesto en Internet. Ya que básicamente lo que se intenta asegurar es la seguridad y confidencialidad del mensaje, amén de la identidad, puedes acudir a cualquier certificadora extranjera.
Si estás interesada en email certificado, puedes acudir, por ejemplo, a esta página de COMODO para solicitar tu certificado gratuito.
Hola, me gustaria saber si puedo conseguir certificados gratuitos para word, o si es que ya existe una entidad acreditada en el Perú para emitir certificados digitales.
Gracias de antemano por tu respuesta.
David.
Más que un certificado lo que puedes hacer es firmar digitalmente un documento Word. Para ello, y de forma muy resumida, necesitas tu certificado digital (puedes conseguirlo en comodo.com o freessl.com). Una vez lo hayas instalado en tu máquina, te vas a Word y en HERRAMIENTAS-OPCIONES-FIRMAS DIGITALES agregas tu certificado. En la esquina inferior izquierda aparecerá el loguito de firma digital.
Saludos!