Se puede decir que todo se ha digitalizado. En una época en la que la gente cultiva granjas virtuales y cuida peceras en línea, ¿por qué no iba a ser evidente la necesidad de una "firma virtual"? Cuando se trata de sustituir tu "John Hancock" por un sello de tiempo, el riesgo de que la seguridad se vea comprometida aumenta. Por suerte, existen medidas de seguridad que pueden minimizar fácilmente el riesgo.
¿Qué es un sello de tiempo?
Una marca de tiempo es la hora a la que un ordenador registra un evento, no la hora del evento en sí. Las marcas de tiempo se utilizan en archivos de registro o en sistemas de archivos donde se emplea para la creación o modificación de un archivo o directorio.
Sellado de tiempo de confianza
El sellado de tiempo de confianza es un proceso que realiza un seguimiento de la creación y modificación de datos. Estos datos pueden ser un documento o un programa. Este proceso se realiza de forma segura y se registra para que nadie pueda modificar los datos, incluido el propietario, sin ser advertido. Garantiza la integridad de los datos.
¿Por qué lo necesitamos?
Cuando se firma un documento legal, en casi todos los casos hay un notario presente para presenciar el acto de la firma. El notario se asegura de que ha validado la fecha y la identidad del firmante. El notario también firma el documento y proporciona un sello de tiempo (fecha/hora). El notario mantiene un registro del acto con fines de auditoría.
Las empresas que desean utilizar o utilizan firmas digitales (PKI) para firmar datos (por ejemplo, documentos PDF) dan por sentado que existe un sistema de no repudio total.
Por desgracia, esta suposición puede resultar costosa y tener consecuencias jurídicas negativas.
Cuando firme digitalmente, por ejemplo, un documento PDF, en el campo de firma verá la persona o personas que lo firmaron, así como la fecha y hora en que se añadió (firmó) la firma al documento. Esta fecha y hora es la marca de tiempo (2011.05.25 a las 18:23.21) del documento firmado.
Cuando verificamos esta firma digital en Adobe Acrobat observamos algo interesante.
(Hora marcada con el reloj del ordenador local)
"Esto significa que en el momento en que se creó la firma, la marca de tiempo procedía del ordenador local del firmante. Esto no tiene nada de malo. Pero existe un problema importante desde el punto de vista legal.
Fraude
Son las 5 de la tarde y queremos firmar un documento. Lamentablemente, nuestro certificado de firma ha caducado o ha sido revocado hace 10 minutos. Podemos solucionarlo cambiando el reloj del ordenador a las 4 de la tarde. Nuestro certificado volverá a ser válido y podremos firmarlo.
Para evitar este cambio de reloj, podríamos desactivar la configuración del reloj en el ordenador del firmante, pero esta no es la solución ideal, ya que no aborda el problema de la manipulación de la fecha y la hora.
Solución
Una solución mejor es utilizar una Autoridad de Sellado de Tiempo (TSA), también conocida como Servidor de Sellado de Tiempo (TSS). Utiliza el Protocolo de Sellado de Tiempo(TSP)(RFC 3161) o incluso mejor(Norma ANSI ASC X9.95). La norma nacional estadounidense X9.95-2005 Trusted Time Stamps se desarrolló sobre la base de RFC 3161 e ISO/IEC 18014.
Un TSS es un ordenador conectado a la red que mantiene la hora exacta y crea sellos de tiempo. Cuando se firma digitalmente un documento PDF y se utiliza un TSS, se impide que todo el mundo, incluido el firmante, manipule el sello de tiempo. Incluso si el reloj del ordenador se cambia antes de la firma, el sello de tiempo sigue siendo proporcionado por el TSS y tiene la hora y fecha exactas.
(Firma con sello de tiempo)
Conclusión
El uso de un TSS nos permite firmar digitalmente los datos y garantizar el no repudio. Además, la autenticidad del documento está protegida y no puede ser manipulada. Esencialmente, funciona como un notario informatizado.
