firma electrónica: concepto y requerimientos para su ...mmorales/documents/dsmexico.pdf ·...

Centro de Investigación y de Estudios Avanzados

Del Instituto Politécnico Nacional

Laboratorio de Tecnologías de la Información

Reporte Técnico:

Firma electrónica: concepto y requerimientos parasu puesta en práctica

Miguel Morales Sandoval, Arturo Díaz Pérez y Luis Julián Domínguez Pérez

CINVESTAV TAMAULIPAS. LABORATORIO DE TECNOLOGÍAS DE LA INFORMACIÓN.

Parque Científico y Tecnológico TECNOTAM – Km. 5.5 carretera Cd. Victoria-Soto La Marina.

C.P. 87130 Cd. Victoria, Tamps.

Cd. Victoria, Tamaulipas, México. Junio, 2013

Resumen:

En este documento se describe el concepto de la firma electrónica, desde el punto de vista teórico

y práctico. Se presenta una panorama mundial de su aplicación y particularmente cómo se ha

implementado en México. Así mismo, se presenta una descripción de la infraestructura necesaria y

del proceso para la puesta en operación de esta tecnología. Se describe la propuesta de una estrategia

general para la implementación de la firma electrónica avanzada.

PALABRAS CLAVE: Firma electrónica, Firma digital, Firma electrónica avanzada, PKI, certificado digital

Autor correspondiente: Miguel Morales-Sandoval <[email protected]>

c© Derechos de autor de CINVESTAV-Tamaulipas. Todos los derechos reservados

Fecha de envío: 14 de Junio, 2013

Este documento debería ser citado como: M. Morales-Sandoval, A. Díaz-Pérez y L.J.

Domínguez-Pérez. Firma electrónica: concepto y requerimientos para su puesta en práctica.

Reporte Técnico Número 1. CINVESTAV-Tamaulipas, 2013.

Lugar y fecha de publicación: Ciudad Victoria, Tamaulipas, MÉXICO. Junio 14, 2013

Contenido

Contents i

1 ¿Qué es la firma electrónica? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

1.1 Firma electrónica simple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

1.2 Firma electrónica avanzada - firma digital . . . . . . . . . . . . . . . . . . . . . . . 1

1.3 ¿Para qué se usa la firma digital? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

1.4 Situación de la firma electrónica en el mundo . . . . . . . . . . . . . . . . . . . . . 3

2 Firma digital: conceptos y fundamento teórico . . . . . . . . . . . . . . . . . . . . . . . . . 3

2.1 Esquema general de la firma digital . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

2.2 Seguridad de los esquemas de firma digital . . . . . . . . . . . . . . . . . . . . . . . 6

2.3 Algoritmos criptográficos y recomendaciones de tamaños de llaves . . . . . . . . . . 7

2.4 Certificados digitales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

2.5 Infraestructura de llave pública (PKI) . . . . . . . . . . . . . . . . . . . . . . . . . . 9

3 Firma digital en México . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

3.1 Decreto de la ley de firma electrónica avanzada (FEA) . . . . . . . . . . . . . . . . 11

3.2 Firma digital en los estados de la República Mexicana . . . . . . . . . . . . . . . . . 11

3.3 Aplicaciones de la Firma Electrónica Avanzada (FEA) . . . . . . . . . . . . . . . . . 12

4 Puesta en práctica de la firma electrónica . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

4.1 Componentes básicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

4.2 Estándares . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

5 Conclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Bibliografía 23

1 ¿Qué es la firma electrónica?

1.1 Firma electrónica simple

El término firma electrónica (o firma electrónica simple) implica el uso de cualquier medio electrónico para

firmar un documento. Es este sentido, el simple escaneo de una firma autógrafa y su inserción como

imagen en un documento digital puede considerarse como firma electrónica. Sin embargo, este tipo de

firma electrónica no garantiza los servicios de no repudio, por ejemplo. Otro ejemplo es el uso de un lápiz

electrónico para recabar la firma autógrafa (común para expedir credenciales) o mediante la selección de

algo en una pantalla táctil por parte del firmante. De igual forma, este tipo de firma no provee los servicios

de integridad y no-repudio.

1.2 Firma electrónica avanzada - firma digital

La firma digital o firma electrónica avanzada (FEA) establece que se entiende como tal, aquella firma, que

a través de un certificado digital emitido por una entidad de certificación acreditada, incorpore una serie de

datos electrónicos que identifican y autentifican al firmante a través de la asignación de una llave pública

y otra privada en base a los parámetros de la criptografía asimétrica (o también conocida como de llave

pública). Mediante este proceso, se garantiza que en el caso de sufrir variaciones en la firma y/o gestión

de documentación electrónica, la responsabilidad es del usuario, ya que al tener esta firma bajo su control

exclusivo, el usuario es por tanto el responsable último de todos los procesos asociados a la misma.

La firma digital es un concepto que nace con la criptografía de llave pública [Menezes et al., 1996]

propuesta por W. Diffie y M. Hellman en 1976 [Diffie and Hellman, 1976]. Este concepto permite la

provisión de los servicios de seguridad informática de autenticación y principalmente, no repudio, los cuales

no podían garantizarse con la criptografía simétrica existente en ese tiempo. Para implementar este concepto

se hace uso de la teoría de números del álgebra abstracta, en lo que respecta a la teoría de grupos y campos

finitos [Lidl and Niederreiter, 1986].

1

2 1. ¿Qué es la firma electrónica?

1.3 ¿Para qué se usa la firma digital?

Una firma digital es una firma electrónica que se puede usar para autenticar la identidad de quien envía

un mensaje o quien firma un documento electrónico, así como asegurar que el contenido original del

mensaje o del documento electrónico que ha sido enviado no ha sido modificado. Las firmas digitales

son fácilmente transportables y no pueden imitarse. La firma digital puede aplicarse a cualquier tipo de

información electrónica, ya sea que se encuentre cifrada o en texto claro. En la tabla 1 se muestra una

comparación entre la firma digital y la firma autógrafa. En la tabla 2 se muestra una comparación entre la

firma digital y otros mecanismos de autenticación [Gupta et al., 2004], de donde se puede observar que la

firma digital es un mecanismo eficaz, equiparable al ADN como medio de autenticación.

En términos prácticos y desde el punto de vista legal, una firma digital provee una solución viable para

contar con documentos electrónicos con validez jurídica. Parecido al método de firma basada en papel y

tinta, la firma digital agrega al documento digital la identidad del firmante. Sin embargo, a diferencia de la

firma autógrafa, es considerado imposible falsificar una firma digital en la forma en que si se podría falsificar

una firma autógrafa. Además, la firma digital asegura que cualquier cambio realizado a los datos firmados

no puede ser indetectable.

Con ello, es posible eliminar la necesidad de contar con documentos impresos firmados. Además de

los ahorros en consumo de papel, la firma digital permite automatizar los procesos de manipulación de

los documentos, tales como su distribución y almacenamiento. La implementación de la firma digital esta

regulada de acuerdo a los leyes de cada país. La aceptación y uso de la firma electrónica en el mundo se

Propiedad Firma autógrafa Firma digital

Se puede aplicar a documentoselectrónicos y transacciones No Si

El proceso de verificación de firmadigital puede automatizarse No Si

La firma permite detectaralteraciones en el documento No Si

Está reconocida por la leya Si Si

Tabla 1: Ventajas de la firma electrónica avanzada (firma digital) frente a la firma autógrafa.

aDepende de la legislación de cada país

Firma electrónica 3

Médio de autenticación Fallas en la Tasa de falsos Tasa de falsos Fácil de Altamenteautenticación rechazos aceptados usar seguro

Firma digital �� ♦ ��

Tarjeta inteligente ��♦ ��♦ ��♦ �� ♦♦♦

Passwords �� ♦♦♦♦

Firma escrita ��♦♦ ��♦♦ ��♦♦ �� ♦♦

Voz �♦♦♦♦ ��♦♦ ��♦♦ ��♦ ��♦♦♦

Huella dactilar ��♦ ��♦ ��♦ ��♦ ��♦♦

Geometría de la mano ��♦♦♦ ��♦♦♦ ��♦♦♦ ��♦ ��♦♦

Reconocimiento de rostro ��♦♦♦ ��♦♦♦ ��♦♦♦ ��♦ ��♦♦♦

Patrón de Retina ��♦ ��♦ ��♦ ��♦♦ ��♦

Escaneo de Iris ��♦ ��♦ ��♦ ��♦♦ ��♦

ADN �� ♦♦ ��

Tabla 2: Comparación de tecnologías de autenticación en base a 5 factores de desempeño. Entremás marcas obscuras existan, mejor la métrica ofrecida por el mecanismo de autenticación.

describe en la figura 1, de acuerdo a un estudio realizado por la empresa Adobe Inc.1.

1.4 Situación de la firma electrónica en el mundo

A pesar de las ventajas que ofrece el uso de la firma electrónica, ésta no se ha desarrollado ampliamente tal

como se observa en la figura 1, aún en países desarrollados como Alemania, Suiza o Italia. En la misma

figura se aprecia a México clasificado en la categoría 3, es decir, dentro de los países en una situación poco

clara respecto al uso de la firma electrónica.

En la siguiente sección se describe el concepto de la firma digital desde el punto de vista teórico. En la

sección 3 se describe el panorama de la firma digital en México. En la sección 4 se presenta un sumario de

la infraestructura necesaria para la puesta en práctica de la firma electrónica y un diagrama a bloques de

una estrategia general para implementar un sistema de firma digital.

2 Firma digital: conceptos y fundamento teórico

La criptografía [Menezes et al., 1996] es un conjunto de técnicas que tratan sobre la protección de la

información. El cifrado consiste en aplicar una serie de operaciones a información legible para convertirla en

algo totalmente ininteligible. El proceso de cifrado requiere de una llave (cadena de bits de una longitud

dada) que se emplea para realizar la transformación de los datos originales. La llave es el único medio para

recuperar la información original mediante un proceso de descifrado.

1Información disponible desde la página https://www.echosign.adobe.com/en/misc/international-Esignatures.html

4 2. Firma digital: conceptos y fundamento teórico

Category 1: Países donde bajo la ley, la firma electrónica en los negocios es considerada como igual a la firma autógrafa. Países: Australia,

Canada, Chile, Colombia, Finlandia, India, Irlanda, Japón, Nueva Zelanda, Perú, Filipinas, Portugal, Singapur, Sudáfrica, Corea del Sur,

España, Suiza, Inglaterra, Estados Unidos.

Category 2: Países donde la firma electrónica para las empresas se considera aplicable, pero no necesariamente igual a la firma autógrafa.

Países: Bélgica, China, República Checa, Francia, Polonia, Rumania, Rusia, Taiwán.

Category 3: Los países con una situación poco clara en la práctica sobre el uso de firma electrónica. Países: Argentina, Austria, Brasil,

Dinamarca, Alemania, Hungría, Hong Kong, Indonesia, Israel, Italia, Macao, Malasia, México, Noruega, Suecia, Tailandia, Turquía, EAU,

Uruguay.

Category 4: Países no considerados en el estudio.

Figura 1: Panorama mundial de la aplicación de la firma digital (estudio realizado por Adobe Inc.).

Un criptosistema consiste de una 5-tupla (M,C,K,E,D), donde:

• M representa el conjunto de todos los mensajes sin cifrar (plaintext).

• C representa el conjunto de todos los posibles mensajes cifrados.

• K representa el conjunto de claves que se pueden emplear en el criptosistema.


• E es el conjunto de transformaciones de cifrado o familia de funciones que se aplica a cada elemento

de M para obtener un elemento de C.

• D es el conjunto de transformaciones de descifrado, análogo a E.

Los criptosistemas se clasifican en criptosistemas simétricos o de llave privada y en criptosistemas

asimétricos o de llave pública.

El los criptosistemas de llave pública se emplean dos llaves, una de carácter privado y otra de carácter

público. La llave pública se utiliza para cifrar la información y solamente la llave privada podrá descifrarla.

Este tipo de cifrado es muy común para cifrar llaves simétricas, lo que se conoce como ensobretado o

sobre digital. La llave pública del receptor es del conocimiento de cualquier entidad emisora que quiera

enviar información cifrada a dicho receptor. La llave privada es conocida y salvaguardada únicamente por el

receptor. En los criptosistemas de llave pública, se debe asegurar que el conocimiento de la llave pública no

permitirá obtener la llave privada. La ventaja de los criptosistemas de llave pública es que la llave pública

es la única que se da a conocer sin riesgo de que a partir de ésta se obtenga la correspondiente llave privada

del usuario. La desventaja que presentan es que los esquemas criptográficos de llave pública son más lentos

comparados con los criptosistemas simétricos.

2.1 Esquema general de la firma digital

Con la criptografía de llave pública es posible implementar el concepto de firma digital. En lugar de usar

tinta y papel para firmar un documento, la firma digital usa "llaves" digitales generadas de acuerdo a la

teoría de la criptografía de llave pública. El esquema de operación de firma digital es similar al proceso de

cifrado solo que las llaves pública y privada son invertidas, es decir, la llave privada se emplea para generar la

firma del mensaje o documento electrónico y la llave pública se utiliza para verificar dicha firma. El diagrama

general de la firma digital se muestra en la figura 2.

Para generar la firma digital primero se obtiene un resumen de la información electrónica que se firmará

usando un algoritmo hash, el cual aplica una función unidireccional a cada bit del mensaje o documento

electrónico y produce como salida una cadena binaria, que puede interpretarse como la huella digital del de los

bits de entrada. La función hash es tal que a partir del resumen o huella digital es prácticamente imposible

poder deducir el mensaje o documento electrónico que lo produce. Esta última aseveración depende del


Función HASH

Cifrado con llave privada

del emisor (firmante)

Lk$4h>mh=754#1jkmFIRMA DIGITAL

Fun

ció

n

HA

SH

Descifrado con llave pública

del emisor (firmante)

¿Son iguales?FIRMA VÁLIDA

FIRMA INVÁLIDA

SI

NO

Mensaje o documento electrónico

Generación de firma electrónica avanzada

Verificación de firma electrónica avanzada

Huella Digital

Huella Digital

Huella Digital

Figura 2: Esquema general de la firma digital.

número de bits que se usen para representar al resumen o huella digital que la función hash produce. El

actual estándar para calcular funciones hash es la familia SHA-2, donde el resumen del mensaje puede ser

de entre 200 a 600 bits.

La cadena binaria correspondiente al resumen del mensaje/documento entonces se cifra con la

llave privada del firmante, resultando una nueva cadena binaria que representa la firma digital del

mensaje/documento. Entonces el mensaje/documento junto con la firma se distribuye o almacena. Después,

para realizar el proceso de verificación, se descifra la cadena binaria correspondiente a la firma digital usando

la llave pública del firmante. Este valor descifrado debe corresponder al valor hash original del archivo firmado.

Entonces, solo resta calcular nuevamente el valor hash del mensaje/documento y compararlo con el valor

resultante del descifrado. Si los valores coinciden, la firma digital es considerada auténtica, de lo contrario, la

firma es rechazada, por lo que quién verifica la firma considera como inválido el mensaje/documento, ya que

éste o ha sufrido modificaciones y no corresponde al mensaje/documento originalmente firmado, o se esta

intentando verificar la firma con la llave pública de un usuario distinto al que firmó el mensaje/documento.

2.2 Seguridad de los esquemas de firma digital

En el esquema de firma digital, el firmante posee dos llaves, una pública y una privada, además se

requiere de dos procesos uno de cifrado y otro de descifrado así como de la aplicación de una función


hash. Existen diversos criptosistemas que se han propuesto para llevar a cabo el proceso de generación

y verificación de firma digital, en los que se definen los algoritmos para generar las llaves pública y

privada y los algoritmos de cifrado/descifrado. La seguridad de estos algoritmos se basa en la dificultad

para resolver computacionalmente problemas en el dominio del álgebra abstracta. En particular, los

problemas en los que los esquemas de firma digital basan su seguridad son el problema de la factorización

de números enteros grandes [Rivest et al., 1978] (criptosistema RSA) y el problema del logaritmo

discreto, en grupo multiplicativo [Gal, 2000] (Criptosistema DSA) o en grupo abeliano de curvas elípticas

[Johnson et al., 2001] (Criptosistema ECC).

En general, cualquier esquema de firma digital resulta ser lento, ya que los algoritmos de cifrado,

descifrado y generación de llaves pública y privada realizan diversas operaciones en campos finitos con

números de 512, 1024 o 2048 bits, dependiendo del nivel de seguridad que se maneje y del algoritmo usado.

Actualmente, existen APIs para la incorporación de estos algoritmos en aplicaciones para distintas tecnologías

(Java, .NET, Web, etc.), pero es necesario un claro entendimiento de como operan los esquemas de firma

digital a fin de conseguir no solo implementaciones eficientes sino también implementaciones seguras.

2.3 Algoritmos criptográficos y recomendaciones de tamaños de

llaves

En enero de 2011, el NIST (National Institute of Standards and Technology) emitió el documento SP800-

131A2 donde recomienda algoritmos criptográficos usados para firma electrónica así como las longitudes de

llaves recomendadas para uso práctico en los próximos años. En la tabla 3 muestra esta información.

Para la generación de la firma digital, el uso de llaves con una longitud equivalente a 80 bits de seguridad

es aceptable hasta el año 2010. A partir del año 2011 y hasta el año 2013, el uso de longitudes de llaves

con un nivel de seguridad de 80 bits es arriesgado, sobre todo entre más se acerque la fecha límite que

es diciembre de 2013. Después del año 2013, un nivel de seguridad de 80 bits ya no es permitido. La

recomendación es utilizar un nivel de seguridad igual o mayor a 112 bits, lo que equivales a usar llaves para

DSA y RSA de más de 2048 bits y para ECC, usar llaves de longitud mayor a 224 bits.

2http://csrc.nist.gov/publications/nistpubs/800-131A/sp800-131A.pdf


Generación Nivel de seguridad de 80 bits : Aceptables hastade DSA: ((|p| ≥ 1024) and (|q| ≥ 160)) el año 2010

firma digital and En desuso de 2011 a 2013((|p| < 2048) OR (|q| < 224)) No permitido depués de 2013

RSA: 1024 ≤ |n| < 2048ECC: 160 ≤ |n| < 224

Nivel de seguridad ≥ 112 bits: AceptableDSA: |p| ≥ 2048 and

|q| ≥ 224RSA: |n| ≥ 2048ECC: |n| ≥ 224

Verificación Nivel de seguridad de 80 bits: Aceptables hastade DSA: ((|p| ≥ 1024) and (|q| ≥ 160)) el año 2010

firma digital and En desuso después de 2010((|p| < 2048) OR (|q| < 224))

RSA: 1024 ≤ |n| < 2048ECC: 160 ≤ |n| < 224

Nivel de seguridad ≥ 112 bits AceptableDSA: |p| ≥ 2048 and

|q| ≥ 224RSA: |n| ≥ 2048ECC: |n| ≥ 224

Tabla 3: Algoritmos criptográficos y sus respectivos tamaños de llave recomendados por NIST. ParaDSA, |p| es el número de bits de la llave pública y privada mientras que |q| indica el número de bitsde la firma digital. En el caso de RSA |n| representa el tamaño de la llave pública y para ECC, |n|representa el tamaño de la llave pública y privada.

2.4 Certificados digitales

En implementaciones reales de la firma digital, es necesaria la utilización de certificados digitales a fin de

proveer confianza en el proceso, ya que al igual que en el mundo real, es necesario contar con algo o alguien

que le de validez a la identidad de alguien. De forma análoga a un documento oficial que garantiza la

identidad de una persona, los certificados digitales fungen como identificaciones para un usuario en una

transacción que involucre una firma digital, ya que es el certificado digital de un firmante el que se usa para

verificar las firmas que él genera.

El estándar X.509 especifica, entre otras cosas, formatos para certificados digitales y un algoritmo de

validación de la ruta de certificación. Los formatos de codificación más comunes son DER (Distinguish

Encoding Rules) o PEM (Privacy Enhanced Mail). X.509 es la pieza central de la infraestructura de clave

pública y es la estructura de datos que enlaza la clave pública con los datos que permiten identificar al titular.

Un certificado contiene diversos campos, su estructura es la siguiente:

La estructura de un certificado digital X.509 (versión 3) es la siguiente:

• Certificado


– Versión

– Número de serie

– ID del algoritmo

– Emisor

– Validez

∗ No antes de

∗ No después de

– Sujeto

– Información de clave pública del sujeto

∗ Algoritmo de clave pública

∗ Clave pública del sujeto

– Identificador único de emisor (opcional)

– Identificador único de sujeto (opcional)

– Extensiones (opcional)

∗ ...

• Algoritmo usado para firmar el certificado

• Firma digital del certificado

Una parte importante de los certificados digitales es el campo "Extensions", en el cual se puede agregar

información propia de la aplicación de firma electrónica que se desarrolla, por ejemplo, el ID de empleado,

ID de funcionario o Matricula de estudiante.

2.5 Infraestructura de llave pública (PKI)

Los certificados digitales son emitidos por una autoridad certificadora, en la cual se confía y es ella quién

verifica que una llave pública particular está asociada con un individuo específico, quién posee la llave

privada con la que éste genera las firmas digitales. Los certificados digitales tienen un periodo de validez

10 3. Firma digital en México

aunque también pueden revocarse. Cuando se verifica una firma digital, se debe garantizar que el certificado

usado en el proceso de verificación es auténtico (está firmado digitalmente por la autoridad certificadora

que lo emite) y no ha sido revocado. La creación y administración de certificados digitales requiere de una

infraestructura, que se conoce como PKI (Public Key Infraestructure). Una PKI es el conjunto del hardware,

software, recursos humanos, políticas y procedimientos que se necesitan para crear, administrar, distribuir,

usar, almacenar y revocar certificados digitales.

Generalmente, la implementación de la firma digital se regula en cada país, mismo que define las

autoridades certificadoras y PKI que las aplicaciones deben usar, apegándose a la normatividad vigente

en esos países. Cada país regula qué entidades certificadoras operan, niveles de seguridad y vigencia de los

certificados, así como las CAs subordinadas. En la siguiente sección se presenta el panorama de la firma

digital en México.

3 Firma digital en México

En México, la firma electrónica avanzada usada por el SAT (Secretaría de Administración Tributaria) se

conoce como FIEL y está basada en certificados digitales, PKI, y criptografía de llave pública. Esta

firma fue propuesta inicialmente para usarse en todos los procesos del SAT. Actualmente se usa también

mayoritariamente para implementar trámites burocráticos en gobiernos municipales, estatales y gobierno

federal. Como resultado de ello, en términos legales, la validez de la firma, su seguridad y garantías pasan a

ser las mismas que tendría una firma autógrafa en papel, pero con el consecuente ahorro en gastos por uso

de papel, tiempo y recursos, a la vez que se contribuye a favorecer el desarrollo social y medioambiental.

A pesar de sus ventajas, en muchos países incluidos México, queda un amplio camino por recorrer en lo

referente al estímulo, aceptación y aplicación de la firma digital y es preciso que para divulgar y extender

su usabilidad se realice un mayor esfuerzo desde las instituciones para que tanto los ciudadanos como las

empresas puedan aprovechar las ventajas de la innovadora firma digital [Enciso, 2011]. Es por ello que es

necesario fomentar la utilización de las aplicaciones relacionadas con la identidad y la firma digital, impulsar

la administración electrónica y fomentar la confianza en el entorno digital.

En México, el uso de la firma electrónica ha sido un problema esencialmente de confianza y credibilidad

más que un tema de utilidad y accesibilidad de los medios tecnológicos. Es un aspecto cultural de respaldo


impreso, o de documentación en papel que acredite lo pactado, lo que ha frenado el uso de este mecanismo

de autenticación electrónica [Enciso, 2011].

3.1 Decreto de la ley de firma electrónica avanzada (FEA)

En el diario oficial de la federación, el 11 de enero del año 2012 se publicó el decreto por el que se expide la

Ley de Firma Electrónica Avanzada3. En dicho decreto se menciona (indirectamente) que la firma electrónica

estará basada en el uso de certificados digitales por lo que la criptografía de llave pública y el uso de PKIs es

requerida. También indica los campos que debe contener el certificado digital y las entidades certificadoras

recomendadas4 para emitir los certificados digitales5.

3.2 Firma digital en los estados de la República Mexicana

A partir de este decreto, varios estados de la república mexicana han emitido leyes para el uso de la firma

electrónica, principalmente en trámites y servicios gubernamentales. Algunos estados emitieron dichas leyes

y pusieron en marcha aplicaciones de firma electrónica antes del decreto presidencial. En la figura 3 se

muestra la situación del uso de la firma electrónica en los estados de la república mexicana.

Solo algunos estados como Guerrero, Guanajuato, Sonora, Chiapas, Jalisco y Yucatán cuentan con

infraestructura de llave pública a cargo del gobierno estatal y con un portal en Internet para que los ciudadanos

puedan realizar algunos trámites en línea. Otros estados como Puebla, Durango y Morelos cuentan con una

ley sobre uso de firma electrónica sin embargo no cuentan con una PKI ni con herramientas de software.

En estados como Nuevo León, Coahuila, Veracruz y Tamaulipas, a pesar de no contar con una ley estatal

en materia de firma electrónica, ya incorporan esta tecnología en algunos trámites gubernamentales, como

la emisión de actas de nacimiento, libertad de gravamén, emisión de actas apostilladas, promociones en

juzgados, etc.

3http://dof.gob.mx/nota_detalle.php?codigo=5228864&fecha=11/01/20124http://www.firmadigital.gob.mx5http://www.agn.gob.mx/menuprincipal/archivistica/reuniones/2009/rna/pdf/05_b.pdf


Categoría 1 Categoría 2 Categoría 3 Categoría 4

Estados que cuentan con

una Ley sobre uso de

firma electrónica

avanzada, una Autoridad

de certificación, un portal

en Internet y/o

aplicaciones informáticas

de firma electrónica

avanzada. Estados: Baja

California Norte, Sonora,

Jalisco, Colima,

Guanajuato, Hidalgo,

Guerrero, Chiapas,

Yucatán.

Estados que cuentan con

una Ley sobre uso de

firma electrónica

avanzada. Estados:

Durango, San Luis Potosí,

Estado de México, Distrito

Federal, Morelos, Puebla.

Estados que no cuentan

con una Ley sobre uso de

firma electrónica

avanzada, pero ya la usan

o planean hacerlo

(aplicaciones para

gobierno). Estados:

Coahuila, Nuevo León,

Tamaulipas,

Zacatecas,Veracruz,

Tlaxcala, Aguascalientes.

Estados que no cuentan

con una Ley sobre uso de

firma electrónica

avanzada ni tampoco con

aplicaciones. Estados: Baja

California Sur, Chihuahua,

Sinaloa, Nayarit,

Querétaro, Michoacán,

Oaxaca, Tabasco,

Campeche.

Figura 3: Situación de la firma digital en México (mayo de 2013).

3.3 Aplicaciones de la Firma Electrónica Avanzada (FEA)

Uno de los principales problemas que se perciben en la implementación de FEA en México es que actualmente

los sistemas de la Administración Pública Federal que utilizan firma electrónica, emplean componentes


criptográficos personalizados al 100% con la aplicación, por lo que no pueden ser reutilizados para otros

servicios.

Las aplicaciones de la FEA han sido principalmente para el gobierno (e-governance), a nivel municipal,

estatal y federal. La empresa Seguridata es quien mayormente a provisto las soluciones en cuanto a firma

electrónica se refiere para el gobierno6. Con los sistemas que se han implementado, en la mayoría de los

casos el objetivo ha sido reducir costos de papel y administración de archivos en papel, así como recursos

humanos y gastos de operación para el traslado y administración de los archivos en papel. Para México, la

principal motivación para incorporar la firma electrónica avanzada en procesos gubernamentales han sido:

i) la efectividad en los trámites que los ciudadanos realizan con el gobierno, ii) reducción de costos, y iii)

combate a la corrupción.

Fue el gobierno del estado de Guanajuato la primera administración pública en implementar el mecanismo

de firma electrónica para la prestación de servicios públicos, obteniendo muy buenos resultados en la gestión

de dicho proyecto. En 2008, el estado de México contaba con alrededor de 20 procesos con firma digital. En

Zacatecas, el 10 de diciembre de 2012 se publicó la noticia de la implementación de la firma electrónica para

realizar trámites burocráticos. Se remarcó que se invertirían cerca de 3 millones de pesos con este objetivo,

para que desde Internet puedan realizarse trámites como impresión de actas de nacimiento, certificados de

libertad de gravamen y constancias de inhabilitación, entre otros. Con este proyecto, Zacatecas se colocó

en ese tiempo entre los tres primeros Estados de la República en tener disponible la firma electrónica en sus

administraciones.

El 13 de enero de 2012, en el diario Milenio se publicó la noticia de que con el nuevo esquema de la firma

electrónica avanzada se podrán dinamizar hasta 230 trámites burocráticos por medio de Internet, además

de concretar ahorros considerables en regulación hasta por 100 millones de pesos anuales, en dependencias

del sector público, según el entonces secretario de la Función Pública. El funcionario indicó que el nuevo

mecanismo garantizaría no sólo la rapidez de respuesta de la administración federal, sino también mantendría

una total confidencialidad y evitaría la falsificación de documentos oficiales. El titular de la SFP dijo que

hasta el momento 85 trámites ya usaban la firma electrónica avanzada, y en el periodo 2009-2010 se

documentaron 66 mil millones de pesos en ahorros dentro de la administración pública federal, gracias a la

simplificación de trámites y mejoras procesos de gestión. El funcionario indicó que ahora se podrá hacer con

6http://www.seguridata.com/casos.htm


la firma electrónica avanzada el envío de documentación oficial para licitaciones públicas, que convocan las

dependencias de gobierno. Agregó que incluso se estaba buscando la inclusión de Estados y municipios para

que esta misma firma sirva para trámites locales relacionados con el pago de impuestos. Aseveró que con la

ley de firma electrónica la Secretaría de la Función Pública será la encargada de emitir las firmas electrónicas

tanto para personas físicas, como para morales.

En el periódico la Jornada el 16 de enero de 2012 se publicó sobre los ahorros obtenidos en el Instituto

Mexicano del Seguro Social (IMSS), al generalizarse la firma digital entre empresarios y prestadores de

servicios que concursan por las licitaciones gubernamentales, se dijo que solo haber aplicado algunas de

estas novedades, básicamente en la idea que trae la nueva Ley de Adquisiciones, de licitaciones en reversa,

se hablaba de que se habían ahorrado más de 40 mil millones de pesos.

La Secretaría de Gobernación utiliza tecnología .PDF con firma electrónica para emitir Apostillas,

Legalización de Firmas y Certificación de Diarios Oficiales. El certificado de la firma electrónica se basa

en un certificado emitido por una Autoridad de Certificación confiable (el SAT por ejemplo), no aparece

en la versión de papel pero sí en la versión electrónica de los trámites y es archivada en un e-Registro.

Una vez que el destinatario accede al e-Registro e ingresa la fecha y el código del documento, aparece la

versión electrónica completa y el destinatario puede verificar fácilmente el origen de la firma electrónica y la

veracidad del trámite realizado en el sitio web http://dicoppu.gobernacion.gob.mx/registro/.

Otro caso es en la misma SEGOB, con el trámite de solicitud de publicación de documentos en el Diario

Oficial de la Federación, a través de medios remotos7. Anteriormente, los documentos a publicar debían

presentarse por escrito y contar con la firma autógrafa de la autoridad emisora. Esta situación provocaba

que el trámite de solicitud de publicación se debía realizar de manera presencial o por mensajería, generando

gastos de recursos financieros y humanos en los usuarios. De los beneficios, se tienen los siguientes: reducción

en el tiempo de gestión del trámite de publicación de 15 a 3 minutos, sin contar el tiempo que requería

el público usuario para trasladarse a las oficinas del Diario Oficial de la Federación. La utilización de la

herramienta por parte de la CFE, PEMEX y la SEGOB ha generado ahorros importantes en pago de viáticos

para entrega de documentos, que en casos documentados se tienen ahorros programados de hasta un millón

de pesos mensuales en ese rubro.

Un ejemplo del desarrollo de aplicaciones para creación de certificados digitales, firma, verificación y

7http://oic.segob.gob.mx/work/models/OIC/Resource/25/1/images/firma-electronica-caso-de-exito-2010.pdf


EL usuario instala software

para firma digital.Al ingresar el

archivo .pfx, el usuario está

ingresando tanto su llave pública como

su llave privada. Internamente se

hace una verificación del certificado y a

continuación se procede a realizar la

firma con la llave privada

El ususario descarga e instala software

para generación de llaves y generar el

archivo .req de solicitud de

certificado digital. Se asigna frase de seguridad para la

llave privada.

Datos personales (nombre,

RFC, CURP, etc.)

.req

.key

CAEl usuario lleva el archivo

.req a la CA en medio extraible para solicitar su

certificado digital. La CA le entregara su certificado

digital con extensión .cer

Certificado.cer

EL usuario instala software para

exportar su certificado .cer al

formato pfx(PKC#12)

El archivo pfx agrupa tanto la llave

pública en el certificado como la

llave privada, ya que ambas se necesitan

en el proceso de firma digital.

Archivo.pfx

Contraseña para acceso a llave privada

Archivo a firmar (.doc,

pdf, etc)

Archivo firmado

.p7m

El usuario instala software Visor de archivos firmados (despliega la firma asociada al archivo firmado y si ésta es

correcta o no)

1 2 3 4 5

Figura 4: Diagrama general de operación de la aplicación de firma digital en el estado de Guerrero.

visualización de la firma electrónica en documentos digitales es la que provee el estado de Guerrero8. En

la figura 4 se muestra un diagrama que describe como funciona el sistema de firma digital en el estado

de Guerrero. Todo el software necesario para generar las llaves pública y privada, así como para firmar y

visualizar los archivos firmados es descargado por usuario e instalado en su computadora. El software requiere

del framework .NET de Microsoft para funcionar.

En el paso 2 de la figura 4, el usuario necesita acudir a una autoridad de certificación CA para solicitar su

certificado, con el cual podrá realizar operaciones de firma digital. Es este caso la CA no está especificada,

por lo que el usuario puede contactar a cualquier CA recomendada de acuerdo al decreto de Firma Electrónica

Avanza, entre las cuales están El Banco de México, La Secretaría de Economía, el SAT y la Secretaría de la

Función Pública.

Cualquier usuario puede obtener su par de llaves pública y privada y solicitar su certificado digital al

SAT por ejemplo. En la figura 5 se muestra un diagrama que describe como obtener la firma electrónica

avanzada FIEL en el SAT.

Cabe resaltar que después de obtener las llaves pública y privada en los archivos con extensión .req y

.key, la aplicación que se usa para generar las firmas o verificarlas pareciera ya irrelevante y dependiente

de cada aplicación. Este software sería el encargado de colectar la información que más adelante el usuario

firmará, al proporcionar su llave pública a través de su certificado, su llave privada y la contraseña para poder

acceder a esta última.

En aplicaciones reales como DeclaraNet y CompraNet, las aplicaciones incorporan un módulo de firma

8http://autoridadcertificadora.guerrero.gob.mx/descargas/GuiaUsuario-GeneradorRequerimiento.pdf.


Solicitud de firma electronica avanzada (FIEL) en el SAT

El ususario descargae instala la

aplicación“ Solicitudde certificados

digitales (Solcedi) desde la página del

SAT

Datos personales (nombre, RFC, CURP,

etc.).req

.key

CAEl usuario lleva el archivo

.req al SAT en medio extraible para solicitar su

certificado digital (además de presentar otra

documentación). El SAT entrega al usuario su certificado digital con

extensión .cer, mismo que puede descargarse desde

la página del SAT

Certificado digital

.cerContraseña para

accesoa llave privada

Llave privada reguardada por el

usuario

1 2APLICACIÓN

- PROVISTA POR EL SAT (DeclarNet, CompraNet, etc) - POR LA SFP

-PROVISTA POR UN TERCERO.

EN EL CASO DE LOS MÓDULOS DE FIRMA ELECTRONICA DEL SAT Y LA SFP, ESTOS ESTÁN INTEGRADOS DESDE LAS APLICACIONES QUE

COLECTAN LOS DATOS A FIRMAR (en caso de una declaración o una licitación). EL MÓDULO DE FIRMA SE INVOCA DESDE LA MISMA

APLICACIÓN Y LA FIRMA GENERADA ES UN ARCHIVO QUE SE ALMACENA LOCALMENTE (extensión p7m) O SE ENVÍA A LA

DEPENDENCIA CORRESPONDIENTE.

PARA COMPRANET COMO PARA DECLARANET, SE REQUIERE DE JAVA 6, EL MÓDULO DE FIRMA ELECTRÓNICA USA EL API OPENSSL PARA IMPLEMETAR LOS ALGORITMOS CRIPTOGRÁFICOS REQUERIDOS.

Uso de la FIEL

3

Figura 5: Obtención de la FIEL (Firma Electrónica Avanzada en el SAT).

electrónica avanzada provista por la SFP o por el SAT. En la figura 6 se describe la integración del módulo

de firma electrónica de la secretaría de la función pública (SFP) en aplicaciones como DeclaraNet. Las

aplicaciones que requieran usar este módulo deben registrarse primero. Al hacerlo, se les asigna un ID de

aplicación, mismo que la aplicación usa para invocar al módulo de firma electrónica. Al invocar la aplicación

al módulo de firmado, se carga un applet de Java en el que el usuario debe proporcionar su certificado

digital (archivo con extensión .cer), su llave privada (archivo con extensión .key) y la clave de acceso a

la llave privada. Tras realizar la operación de firma, el módulo regresa el control a la aplicación del usuario

retornando un número de folio o acuse de recibo. En este caso, se supone que el usuario ya cuenta con los

archivos .cer y .key, tal vez tramitados con el SAT o con otra autoridad certificadora.

Finalmente, en la figura 7 se muestra como se realiza la firma electrónica desde la aplicación CompraNet.

Dentro de la aplicación del usuario, éste puede seleccionar la opción ‘Firma Electrónica de Documentos’.

Al hacer esto, se invoca a un applet de Java para arrancar el módulo de firma, tal como se muestra a

la derecha de la figura 7. En este caso los archivos a firmar son archivos PDF generados por la misma

aplicación, almacenados localmente en la computadora del usuario. El usuario elige estos archivos a firmar,

así como su certificado, llave privada y clave de acceso. El resultado es el archivo PDF firmado, ahora con

la extensión .p7m (como en el caso de la aplicación del gobierno de Guerrero). Este archivo se almacena

localmente y debe enviarse como archivo adjunto para los tramites que el mismo usuario realiza con la

aplicación CompraNet.


Módulo de firma electrónica de la SFP

(la aplicación se registra primero para poder hacer uso del servicio. Cuando se invoca el servicio, se deben proporcionar las llaves pública y privada y la contraseña de

acceso a la llave privada. Después de firmar la información, el control regresa a la aplicación con el número de folio de la operación)

Aplicación de firma electrónica en DeclaraNet

(la aplicación se registra primero para poder hacer uso del servicio. Cuando se invoca el servicio, se debe proporcionar las llaves pública y privada y la contraseña de acceso a la llave privada. Después de firmar la información, el control regresa a la aplicación

con el número de folio de la operación)

Aplicación tipo formulario para

recabar la información de la declaración

Información del usuario a incluir en

la Declaración Solicitud de

firma elctrónica

Al solicitar la firma de la declaración, el

navegador CARGA LA APLICACIÓN DE

FIRMA ELECTRÓNICA, para

ello, es necesario tener instalado JAVA

1.5u6 o superior.

Contraseña para acceso a llave

privada

1 2

La aplicación de firma tarda en cargar de 5 a 15

segs. Aparece en la pantalla los recuadros para seleccionar el certificado,

la llaveprivada y la contraseña.

3

Certificado.cer

llave privada .key

Acuse de confirmación, el usuario lo guarda o imprimeTambién se genera el archivo PDF de la declaración, el cual ya estará firmado.Los acuses de confirmación contienen elementos de seguridad que permiten identificar falsificaciones.

(a)(b)

Figura 6: Módulo de firma electrónica provisto por la SFP y usada en la aplicación DeclaraNet.


Aplicación de firma electrónica en CompraNet

Los usuarios se registran primero. Como parte de la información de registro, el usuario debe proporcionar su archivo .cer emitido por el SAT o si es extranjero, el certificado emitido por la SFP. Se requiere que la computadora desde donde se realizan las operaciones cuente con Java 6 o superior.

Archivo a firmar. Es un archivo PDF que contiene el requerimiento de la propuesta técnica y el archivo PDF que contiene el requerimiento de la propuesta Económica (ambos generados por la aplicación de acuerdo a los datos ingresados por el licitante), de conformidad con lo configurado en CompraNet

Certificado digital. El certificado que emite el SAT (para empresas nacionales) o la SFP (para empresas extranjeras). El certificado debe estar vigente y corresponder con al certificado digital generado para la persona física/moral. Si se firma un documento o archivo con un medio de identificación distinto al de la persona física/moral, se invalidará la proposición.

Llave privada. Es el archivo con extensión .key.

Clave de acceso. Se refiere a una contraseña que debe ingresar y que está relacionada con el certificado digital y la llave privada, que en su conjunto integran el medio de identificación electrónica.

Una vez que capture los primeros cuatro campos de la pantalla del módulo, dé clic en “Aplicar firma”y, en el recuadro Mensajes, el módulo indicará si hubo éxito para firmar el documento, en caso afirmativo, le indicará la ruta local (en el propio equipo de cómputo) donde almacenó el documento firmado y que ahora tiene la extensión .p7m y que, para el caso de tratarse de la firma de la proposición, se deberá cargar en CompraNet en el área indicada para envío como archivo adjunto y, para el caso de la firma de una inconformidad, deberá enviarse por correo electrónico, en conjunto con otros datos, a la cuenta de correo electrónico establecida.

Figura 7: Firma electrónica en la aplicación CompraNet.


4 Puesta en práctica de la firma electrónica

En base a lo presentado en las secciones anteriores, a continuación se describe la infraestructura necesaria

para implementar el concepto de firma electrónica avanzada.

4.1 Componentes básicos

Cabe resaltar que es necesario contar con el marco legal para poder operar un sistema de firma electrónica

avanzada. Es la misma ley sobre uso de firma electrónica avanzada la que suele determinar los requerimientos

sobre los certificados digitales y regula las funciones y operación de las autoridades de certificación. De igual

forma, esas leyes regulan la forma en la que se deben implementar cada uno de los módulos que conforman

una aplicación de firma electrónica, la cual se compone de tres módulos básicos:

1. PKI: La infraestructura de llave pública para la creación y administración de los certificados digitales.

Esta PKI puede ser la que provee el SAT, la secretaría de economía, la Secretaría de la Función Pública

o la PKI provista por el gobierno estatal.

2. Módulo de firma electrónica avanzada: Este módulo puede ser el provisto por el SAT o la SFP. También

es posible escribir un módulo propio, ya que es en este módulo donde se realizan las operaciones de

cifrado/descifrado usando APIs de criptografía disponibles como OpenSSL, la API de Java JCE (Java

Cryptographic Extension), o las bibliotecas disponibles para otras tecnologías como .Net Framework

a través de la biblioteca System.Security.Cryptography. Se requiere contar con módulos para la

generación, verificación y visualización de firmas digitales.

3. Dependiendo de la aplicación, se requiere de un repositorio para almacenamiento de los documentos

firmados y el correspondiente software para administrar dicho repositorio, permitiendo entre otras

cosas accesos mediante búsquedas con indexación y proporcionando medidas de control de acceso.

En una aplicación de firma electrónica avanzada, los tres elementos anteriores interactúan continuamente

tal como se ilustra en la figura 8. La secuencia de operaciones y mensajes entre estas entidades se muestra

en la figura 9.

En otro camino muy distinto, se puede explorar el uso de criptografía basada en identidad o criptografía

basada en atributos [Goyal et al., 2006, Mitsunari et al., 2002, Sakai et al., 2000, Joux, 2000] para eliminar

20 4. Puesta en práctica de la firma electrónica

Legislación

Módulo de firma electrónica

Módulo de firma

electrónica para

generación de firma

Usuario

Repostorio

De documentos

firmados Módulo de firma

electronica para

verificación de firma

PKI: creación y administración de

certificados digitales

Agencia

certificadora

Agencia

registradora

Agencia

central

Figura 8: Principales actores en una aplicación de firma electrónica avanzada

la necesidad de contar con certificados digitales y con la infraestructura PKI, aunque en este sentido, no hay

aún estándares por lo que su uso podría no ser aceptado por la industria/empresa.

4.2 Estándares

Como ya se ha mencionado, la implementación de la firma electrónica avanzada requiere de algoritmos

criptográficos. Como en otras aplicaciones, la diversidad de algoritmos y niveles de seguridad que éstos

pueden ofrecer ha originado la creación de estándares que definan qué algoritmos y qué tamaños de llaves

deben usar estos a fin de garantizar la interoperabilidad en las implementaciones y proveer un nivel de

seguridad aceptable. Se necesita también de una convención para codificar por ejemplo los certificados

digitales, los archivos firmados, llaves pública y privada, etc. El estándar más popular es el conocido como

PKCS (Public Key Cryptography Standards), concebido y publicado por los laboratorios RSA. Algunos de

estos estándares son:

1. Codificación de un requerimiento de certificación: PKCS #10.

2. Codificación de un certificado: PKCS #6 y #9.


Otorgamiento de Certificado digital

Solicitud de Certificado digital

Contraseña para acceso

a llave privada

PKI(creación y

administración de certificados digitales)

Módulo de firma electrónica para

generación de firma

Certificado.cer

llave privada

.key

Documento firmado

digitalmente

Usuario firmante

RepostorioDe documentos

firmados

Documento firmado

digitalmente

Acuse

Módulo de firma electronica para

verificación de firma

Usuario verificador

Certificado.cer

del firmante

Validación de la firma

Módulo para visualizar

documentos firmados

ID usuario

Documento firmado

digitalmente

ID usuario

SolicitudDe verificación de certificado

RespuestaVerificación de certificado

1

2

3

4

5

6

8

9

10

7

11

12

Figura 9: Diagrama general de un sistema de firma electrónica avanzada.

3. Codificación de un mensaje firmado, o ensobretado, o firmado y ensobretado: PKCS #7.

4. Estándar para guardar la llave privada protegida con un password: PKCS #5.

5. Especificación de la funcionalidad del algoritmo RSA: PKCS #1.

6. Especificación de la funcionalidad del algoritmo Diffie-Hellman: PKCS #3.

7. Especificación de la sintaxis de la llave privada: PKCS #8.

5 Conclusiones

En este documento se presentó un panorama de lo que es la firma electrónica avanzada y su aplicación en

México. Sin profundizar en la teoría de la criptografía de llave pública, se presentó el concepto de firma

electrónica y las aplicaciones que actualmente se tienen en México de esta tecnología.

A fin de lograr el uso extensivo de la Firma Electrónica, una de las estrategias a seguir es permitir a la

ciudadanía el acceso a los sitios de Internet que ofrezcan servicios básicos como contratación del servicio

22 5. Conclusiones

de energía eléctrica, el pago de las contribuciones, el pago de derechos por expedición de documentos y

el pago por los servicio de agua. Con ello, el uso de la firma electrónica sería más frecuente y cotidiano

permitiendo a la población entender que este mecanismo de autenticación es una realidad en el corto plazo,

construyendo paso a paso los mecanismos de confianza. La seguridad de la información y la protección de los

datos personales contenidos en el uso de la firma electrónica son dos factores fundamentales que se deben

garantizar como condición indispensable para extender el uso de la autenticación electrónica.

Bibliografía

[Gal, 2000] (2000). Digital signature standard (DSS). National Institute of Standards and Technology,

Washington. URL: http://csrc.nist.gov/publications/fips/. Note: Federal Information

Processing Standard 186-2.

[Diffie and Hellman, 1976] Diffie, W. and Hellman, M. (1976). New directions in cryptography. Information

Theory, IEEE Transactions on, 22(6):644 – 654.

[Enciso, 2011] Enciso, L. I. (2011). La implementación de la Firma Electrónica en México. Economía

Informa, (369):97–103.

[Goyal et al., 2006] Goyal, V., Pandey, O., Sahai, A., and Waters, B. (2006). Attribute-based encryption for

fine-grained access control of encrypted data. In Proceedings of the 13th ACM conference on Computer

and communications security, CCS ’06, pages 89–98, New York, NY, USA. ACM.

[Gupta et al., 2004] Gupta, A., Tung, Y., and Marsden, J. R. (2004). Digital signature: use and modification

to achieve success in next generational e-business processes. Information & Management, 41(5):561 –

575.

[Johnson et al., 2001] Johnson, D., Menezes, A., and Vanstone, S. (2001). The elliptic curve digital

signature algorithm (ecdsa). International Journal of Information Security, 1(1):36–63.

[Joux, 2000] Joux, A. (2000). A One Round Protocol for Tripartite Diffie-Hellman. In Proc. International

Symp. Algorithmic Number Theory, pages 385–394.

[Lidl and Niederreiter, 1986] Lidl, R. and Niederreiter, H. (1986). Introduction to finite fields and their

applications. Cambridge University Press, New York, NY, USA.

[Menezes et al., 1996] Menezes, A. J., Vanstone, S. A., and Oorschot, P. C. V. (1996). Handbook of Applied

Cryptography. CRC Press, Inc., Boca Raton, FL, USA, 1st edition.

23

24 BIBLIOGRAFÍA

[Mitsunari et al., 2002] Mitsunari, S., Sakai, R., and Kasahara, M. (2002). A new traitor tracing. IEICE

Trans. Fundamentals, 2:481–484.

[Rivest et al., 1978] Rivest, R. L., Shamir, A., and Adleman, L. (1978). A method for obtaining digital

signatures and public-key cryptosystems. Commun. ACM, 21(2):120–126.

[Sakai et al., 2000] Sakai, R., Ohgishi, K., and Kasahara, M. (2000). Cryptosystems based on pairing. In

Proc. 2000 Symp. Cryptography and Information Security), pages 26–28.

firma electrónica: concepto y requerimientos para su ...mmorales/documents/dsmexico.pdf ·...

Documents