FIREL

 

Encriptación (Cifrado) Simétrica y Asimétrica - Explicado Fácilmente




1. Los Personajes y sus Analogías (¿Quién es quién?)

Tu analogía inicial es muy buena. Vamos a desarrollarla como si fuera el proceso de identificación para firmar un contrato de compraventa de una casa.

  • Tú (El Firmante): Eres la persona que quiere firmar el documento (el contrato de la casa).

  • La Autoridad Certificadora (AC) o Proveedor de Certificados (PSC): En México, la Suprema Corte de Justicia de la Nación (SCJN) actuó como tu AC. Tu analogía del notario es perfecta. El notario (la AC) es una entidad de máxima confianza reconocida por la ley que verifica tu identidad y te expide una credencial oficial.

  • El Certificado Digital (.cer): Este archivo ES tu credencial de elector digital. Contiene:

    • Tu nombre (o razón social).

    • Tu RFC.

    • Una clave única (número de serie del certificado).

    • La fecha de expedición y caducidad.

    • La firma digital del notario (de la AC). Esto es crucial: el certificado lleva la firma de la SCJN, que le dice a todo el mundo: "Yo, la SCJN, certifico que esta credencial pertenece a esta persona y es auténtica".

    • ¿Para qué sirve? Para que OTRAS PERSONAS puedan verificar tu identidad. Tú se lo das a quien quiera que necesite comprobar que fuiste tú quien firmó. Es público (no tiene contraseña).

  • La Llave Privada (.key): Esta es la pluma con tinta única e irrepetible con la que firmas físicamente el contrato. Esta llave:

    • NUNCA se debe compartir. Es tu secreto absoluto.

    • Se genera como un par con tu Llave Pública (que está dentro de tu Certificado .cer).

    • Matemáticamente, lo que se cifra con la llave privada solo se puede descifrar con la llave pública, y viceversa. Esto es la base de la firma.

    • El archivo .key suele estar protegido por una contraseña (que estableciste al crearlo).

  • El Archivo .pfx o .p12 (Contenedor de Claves): Este es la caja fuerte donde guardas tu Credencial (.cer) y tu Pluma de Firma (.key) juntas para mayor seguridad y portabilidad. Es mucho más práctico y seguro manejar un solo archivo contrasenañado que dos por separado. Lo usas para instalar tu firma en un software específico (como el SAT, o un programa para firmar PDFs).

  • El Hash o Resumen Digital: Imagina que el contrato de la casa (el documento) pasa por una máquina trituradora mágica que lo convierte en una pequeña cadena de letras y números única (ej: a3f8d9...). Esta máquina es un algoritmo matemático.

    • Si cambias una sola coma en el documento original, la máquina trituradora producirá una cadena completamente diferente.

    • El hash no es el documento, es solo su "huella digital" única. Es pequeño y fácil de manejar.

  • La Firma Digital (el proceso): No es un archivo, es la acción. Es el proceso de tomar la "huella digital" (hash) del documento y cifrarla con tu "pluma única" (llave privada). El resultado de esta operación (la huella digital cifrada) es lo que comúnmente llamamos "la firma" que se adjunta al documento.

2. El Proceso Paso a Paso para Firmar un Documento (por ejemplo, un PDF)

Ahora, juntemos todas las analogías en el acto de firmar:

Paso 1: Preparación (Obtener las Herramientas)
Tú fuiste con el notario (la SCJN) y te dio tu credencial (.cer), tu pluma de firma (.key) y la caja fuerte (.pfx). Tienes todo listo.

Paso 2: Crear la Huella Digital (El Hash)
Abres el documento PDF que quieres firmar. El programa de firma (ej. Adobe Acrobat, Firmador del SAT) pasa el documento por la "máquina trituradora" (algoritmo de hash) para generar su huella digital única.

Paso 3: Firmar la Huella (Cifrado con la Llave Privada)
El programa toma esa huella digital y la cifra usando tu llave privada (.key), para lo cual te pedirá la contraseña que la protege. El resultado es un "bloque de datos cifrado" que es tu firma única para ese documento específico.

Paso 4: Adjuntar la Firma y la Credencial
El programa adjunta al documento PDF tres cosas:

  1. La Firma: El bloque de datos cifrado del paso anterior.

  2. Tu Certificado (.cer): Tu credencial pública, para que quien verifique pueda saber quién firmó.

  3. Una Estampa de Tiempo (Opcional pero recomendable): Como un periódico del día de hoy que prueba que firmaste en una fecha y hora específicas, incluso después de que tu certificado haya caducado.

El documento original no se modifica, simplemente se le añade esta "cápsula" de firma. Ahora es un documento electrónico firmado.

3. ¿Cómo Verifica Alguien tu Firma?

Esta es la parte más elegante. Alguien recibe el PDF firmado y quiere verificar que es auténtico.

  1. Extrae la Huella Digital Firmada: El software de verificación abre la "cápsula" de firma y extrae el bloque de datos cifrado (tu firma).

  2. Obtiene tu Credencial: También extrae tu certificado público (.cer) que va adjunto.

  3. Verifica la Credencial: Lo primero que hace es comprobar que tu certificado es válido y fue emitido por una AC confiable (como la SCJN), y que no está revocado o caducado. Es como verificar que tu credencial de elector es real y no está reportada como robada.

  4. Descifra la Firma: Usa la llave pública de tu certificado para descifrar el "bloque de datos cifrado". Si se puede descifrar correctamente, solo puede significar una cosa: que fue cifrado con la llave privada que forma par con esta pública. Es decir, prueba que fuiste tú quien poseía la llave privada quien firmó.

  5. Vuelve a Calcular la Huella: El programa calcula de nuevo el hash del documento tal como está ahora. Si el documento fue alterado después de firmarlo, este hash nuevo será diferente.

  6. Compara las Huellas: Compara la huella que acaba de calcular con la huella original que obtuvo en el paso 4 (al descifrar tu firma).

    • Si coinciden: ¡Éxito! El documento es íntegro (no ha sido alterado) y la firma es válida.

    • Si no coinciden: Fracaso. El documento ha sido modificado después de la firma y la firma se considera inválida.

Resumen de Correcciones y Aclaraciones Finales

  • Firma Digital vs. Firma Electrónica: En México, la "Firma Electrónica" es un concepto más amplio (una simple imagen de tu firma escaneada es una firma electrónica). La "Firma Electrónica Avanzada" (FIEL) es lo que tienes tú, que cumple con los requisitos legales de ser única, vinculante al firmante, under control único, y capaz de detectar alteraciones. Es la que tiene valor jurídico equivalente a una firma autógrafa.

  • Tu analogía estaba muy bien. Solo precisemos:

    • Certificado (.cer): Es exactamente tu credencial de elector digital.

    • Firma Digital: Es el proceso completo de generar el hash y cifrarlo. El resultado es como el sello de tinta que pones sobre tu firma autógrafa en el papel, pero con un poder de verificación muchísimo mayor.

    • La SCJN ya no emite certificados para el público en general. Actualmente, la AC principal para trámites fiscales y mercantiles en México es el SAT, que emite la FIEL. Tu certificado de la SCJN es válido para los trámites para los que fue expedido.

Espero que esta explicación te haya aclarado el panorama. ¡Tienes una herramienta muy poderosa en tus manos

Comentarios

Publicar un comentario

Entradas más populares de este blog

firma digitales PKI utilizando solo javascript y node,

Puedes hacerme una aplicacion de firma digitales PKI utilizando solo javascript y node,   Crear una aplicación de firma digital basada en Infraestructura de Clave Pública (PKI) utilizando JavaScript y Node.js implica varios pasos importantes. A continuación, te proporcionaré una guía básica para implementar una solución simple de firma digital utilizando Node.js. Esta aplicación incluirá la generación de claves, la creación de una firma digital y la verificación de dicha firma. Requisitos Previos Node.js instalado en tu máquina. Familiaridad básica con JavaScript y Node.js. Paquete crypto de Node.js para operaciones criptográficas. Paso 1: Configuración del Proyecto Crea un nuevo directorio para tu proyecto y navega a él: mkdir digital-signature-app cd digital-signature-app Inicializa un nuevo proyecto de Node.js: npm init -y Instala las dependencias necesarias: Aunque el paquete crypto es parte de Node.js, necesitaremos algunas utilidades adicionales para manejar archivos ...
Leer más

convertir un certificado .key a formato PEM utilizando solo la Web Crypto API

 es posible convertir un certificado .key a formato PEM utilizando solo la Web Crypto API, sin la necesidad de utilizar una biblioteca adicional como Forge. Aquí te dejo un ejemplo completo de cómo hacerlo: html Copiar Editar <!DOCTYPE html > < html > < head > < title >Convertir certificado .key a formato PEM </ title > < meta charset = "utf-8" > </ head > < body > < h1 >Convertir certificado .key a formato PEM </ h1 > < input type = "file" id = "fileInput" > < br > < textarea id = "output" rows = "10" cols = "80" > </ textarea > < script > const fileInput = document . querySelector ( '#fileInput' ); const outputTextarea = document . querySelector ( '#output' ); fileInput. addEventListener ( 'change' , () => { const file = fileInput. files [ 0 ]; const reader = n...
Leer más

Pilares de la firma electronica-pki-RSA

pilares de la firma electronica 1. Autenticidad (o Identificación del Firmante) Este pilar asegura que se puede identificar de manera inequívoca a la persona que realiza la firma. ¿Cómo se logra?  Generalmente mediante la vinculación del acto de firma con un certificado digital emitido por un Prestador de Servicios de Confianza Cualificado (PSCCo). Este certificado acredita la identidad del firmante tras un proceso de verificación presencial o equivalente. Objetivo:  Responder a la pregunta:  "¿Quién firmó el documento?" . Impide que alguien pueda suplantar la identidad del firmante. 2. Integridad Garantiza que el documento firmado no ha sido alterado o modificado de ninguna manera después del momento de la firma. ¿Cómo se logra?  A través de algoritmos criptográficos (como el Hash o resumen digital). Cuando se firma un documento, se genera un "resumen único" del mismo. Cualquier cambio mínimo en el documento original resultaría en un resumen completamente diferente...
Leer más