SERVICIOS AVANZADOS

FECHADO DIGITAL

La sociedad digital precisa de la instauración de una nueva y especializada figura, denominada autoridad de fechado (TSA, time-stamping authority), aquella tercera parte que asocia cada acto a un instante absoluto del tiempo. Los temas cubiertos en el presente artículo han sido desarrollados en la FNMT dentro del proyecto PKITS de la Comunidad Europea, liderado precisamente por la Fábrica Nacional de Moneda y Timbre, con la participación de Correos, el MAP y la Universidad de Politécnica de Catalunya. Los resultados de PKITS han sido aceptados por el subcomité 27 de ISO como documento base para la elaboración de una norma internacional sobre «Time-Stamping Services and Protocols».

José A. Mañas / Manuel Heras

«Una de las ventajas del arrepentimientoes que no tiene efecto retroactivo.»

—Noel Clarasó

Es el tiempo una dimensión harto curiosa por la que transitamos sin posibilidad de detenernos ni de desandar lo andado. En esta dimensión ocurren cosas que quedan inmediatamente ordenadas relativamente entre sí: unas cosas ocurren antes que otras sin que ninguna quede libre de la clasificación, ni se pueda alterar el orden una vez pasado el momento. Y sobre esta dimensión tiempo también hemos creado un convenio de tiempo absoluto, el día y la hora. Este concepto absoluto es muy cómodo para datar eventos independientemente y poder posteriormente saber su ubicación relativa en la dimensión tiempo. El concepto de tiempo absoluto también permite delimitar cómodamente segmentos temporales. En todo rigor, esto del tiempo absoluto es un convenio algo absurdo como sabemos por la Teoría de la Relatividad, pero suficientemente bueno para organizar nuestra vida social.

Y buena parte de la organización de nuestra sociedad se basa en estos dos conceptos: orden relativo de ocurrencia y período efectivo. Así se sabe en un juicio que un acto sólo puede ser causa de otro si ocurrió antes, sabemos que las autorizaciones valen durante un cierto período de tiempo, que los plazos vencen, etc. Y hay enormes ventajas para el que logre controlar el tiempo a su antojo y revisar un testamento después del fallecimiento, o una orden de compra de acciones después de saber que han subido en bolsa, o declinar la recepción de un pedido, o ... multitud de pequeñas o grandes cosas en nuestra vida que nos gustaría con harta frecuencia cambiar si pudiéramos volver al pasado y hacer unos pequeños ajustes.

El mundo físico está bastante bien adaptado al paso del tiempo: ni es fácil resucitar a los muertos, ni borrar la memoria de los testigos, ni hacer que el dinero de un pago efectuado regrese a nuestro bolsillo para pensárnoslo dos veces. Y para cuando el mundo físico cojea, hemos desarrollado figuras y procedimientos sociales que lo consolidan de forma vinculante para las partes, apareciendo figuras como los notarios que dan fe de actos sociales en tal fecha y hora.

En el mundo digital el tiempo pasa de otra forma, si es que tan siquiera pasa. Los relojes de los ordenadores son fácilmente manipulables, los documentos son fácilmente editables, etc. Pero si intentamos hacer del comercio electrónico una realidad y digitalizar buena parte de nuestra actividad social, debemos encontrar el remedo de aquella seguridad física a la que nos hemos acostumbrado y en la que hemos basado nuestras leyes. Y en este punto aparecen los sistemas de fechado digital que intentan correlacionar la existencia de los bits a los eventos humanos de referencia en general, y en particular al convenio de tiempo absoluto.

No es muy difícil: si queremos demostrar que un cierto documento digital existe antes de una cierta fecha, basta publicarlo en un periódico de amplia difusión (y si no hay espacio para el documento íntegro, o si no queremos hacer público el documento sino sólo que conste su existencia, basta con publicar su resumen hash). Si queremos demostrar que tenemos un cierto documento después de una cierta fecha, basta insertar en él alguna información que no se sabía anteriormente (el tiempo en Alcañiz o la cotización de la Bolsa de Madrid). Y si queremos delimitar un período de tiempo, basta combinar ambas técnicas. En resumen, no es difícil vincular bits a hechos públicos.

 

 

Timestamp1.jpg (19337 bytes)

 

AUTORIDADES

Pero los procedimientos del párrafo anterior no se adecúan a una sociedad con millones de individuos ejecutando millones de actos susceptibles de requerir una datación vinculante. Aparece como mucho más efectivo asociar cada acto a un instante absoluto del tiempo y a partir de ahí sacar las consecuencias pertinentes: antes, después, dentro del período, etc.

Un sistema de fechado digital toma el resumen hash de un documento, lo junta con información de la fecha y hora (con la precisión que corresponda a la calidad del servicio que se presta, indicando en todo caso la zona horaria en que se trabaja para lograr una interpretación universal) y el conjunto se firma digitalmente. No vale que lo firme cualquiera, pues bien pudiera el interesado firmar hoy y repetir la firma pasado mañana, cambiando el documento un poquito pero dejando la fecha igual (postdatado).

Aparece pues una tercera parte que avala con su autoridad que no se firma sino con la fecha y hora actuales; se denomina autoridad de fechado (TSA, time-stamping authority) y se compromete a tener un reloj razonablemente en hora, y a no fechar sino con la fecha y hora que es en cada momento. Lo que se fecha es el resumen del documento y lo que se obtiene es un certificado de tiempo que es prueba universal de que aquel documento existía en tal fecha.

El fechado no habla de propiedad de la información, ni tan siquiera de la información en sí. En principio, cualquiera puede extraer un resumen de un certificado de tiempo y emitir otro. La TSA no se mete a determinar el contenido del documento ni la identidad del sujeto que lo somete a fechado, más allá de la identificación necesaria para poder cobrar y para mantener un registro digno de actividad. Ver contenidos y responder de la propiedad es tema de notarios (NA, notary authorities) que son otras autoridades diferentes, aunque parece natural que usen profusamente los servicios de una TSA para fechar sus actos notariales. Tener fechas convincentes es también importante para las autoridades de certificación (CA) que cumplen un papel notarial cuando revocan certificados (publicación de CRL), aunque curiosamente no es imprescindible cuando se emiten certificados (nótese que los certificados no son vinculantes, ni dejan de serlo, son simplemente cartas de identificación; lo importante son los actos avalados por esos certificados, lo vinculante es que un notario da fe de la existencia y validez de un certificado como aval de un acto, tirando de la cadena de certificados que haga falta hasta tener evidencia suficiente de la identidad del sujeto). No obstante la frase anterior, sería en extremo desagradable y desconcertante que una CA emitiera certificados con indicaciones de tiempo fuera de lugar.

En un entramado de clave pública aparecen otras autoridades, con nombre muy diversos y aún poco estabilizados, que pueden tener ciertas funciones notariales que requerirán servicios de fechado. Por ejemplo, aparece como natural que una autoridad de registro (RA) que va a ser el brazo armado de interfaz entre autoridades y usuarios remotos, sea capaz de fechar sus actos. Recordemos nuestras oficinas de Correos de toda la vida que fechan certificados, acusan recibo, etc.

 

PROTOCOLOS

Hay tres protocolos criptográficos disponibles para desplegar un servicio de fechado digital.

En primer lugar existe un protocolo básico en el que la TSA se limita a recoger el resumen, concatenarlo con la fecha y hora, y firmar el conjunto digitalmente. Y ya está. Este es el protocolo desarrollado en el grupo de trabajo PKIX del IETF de Internet [PKIX].

Existe un segundo protocolo, vinculado, que pone en entredicho la confianza que merece la TSA y además de insertar la fecha y hora serializa los actos de firma. La idea es que cada vez que se fecha un documento se incluye entre lo firmado el resumen hash del certificado de tiempo anterior y una referencia al próximo certificado de tiempo que se vaya a emitir [Haber91]. El certificado queda doblemente vinculado, atrapado en el tiempo en términos relativos: después de, antes de. El usuario que recibe uno de estos certificados tiene a la autoridad como avalista a y otros usuarios como referencia (tantos como desee antes y después, tirando del hilo de vínculos cuantos saltos requiera). Este es el sistema utilizado por [Surety], un servicio privado de notaría que lleva varios años en operación en EE.UU., y que incluye referencias externas publicando cada domingo en un periódico de amplia difusión el resumen hash del último certificado emitido en la semana.

Timestamp2.jpg (21636 bytes)

El tercer protocolo se denomina distribuido y consiste en no usar un fechador, sino muchos. Lo que hace el cliente es dirigirse a un conjunto de fechadores para que fechen por separado, usando el conjunto de fechados singulares como certificado confiable. El fechado individual pudiera ser básico o vinculado. La confianza deriva de la acumulación de evidencias. Este protocolo se suele adornar de multitud de detallitos, tales como disponer de un conjunto potencial de fechadores y usar el resumen hash del documento a fechar para seleccionar los que van a fechar un documento concreto, o requerir verificación de sólo un subconjunto de fechados singulares, etc.

 

¿QUÉ OCURRE SI ...? ANÁLISIS DE RIESGOS

No es el mundo perfecto y toda cautela es poca, pues si el servicio de fechado va a ser tan esencial en el mundo digital como lo es en el mundo tradicional, habrá que estar prevenido antes de que el sistema sea repudiable, lo fechado discutible, y la confianza se desvanezca.

Uno de los primeros riesgos que se vienen a la cabeza a la vista de que romper sistemas criptográficos es un deporte universal es averiguar si el sistema sería capaz de sobrevivir a la caída de las funciones resumen (hash) que se usan como objeto de forma, o la destrucción de un sistema de firma digital. Si estamos firmando el resumen hash de un documento y se descubre alguna vez un ataque que permite generar otros documentos con igual resumen pero diferente contenido, el sistema se viene abajo, además con efecto retroactivo, pues cualquier certificado de tiempo emitido alguna vez puede referirse al documento que existía entonces o a uno nuevo que acabamos de cocinar. La solución se logra requiriendo el uso de más de un resumen hash, simultáneamente, de forma que si el algo H1 se ve comprometido nos queda el respaldo de los demás algoritmos utilizados. Al menos dos resúmenes aparecen como necesarios.

La siguiente pregunta es: si, por ejemplo, usamos 2 resúmenes H1 y H2, y H1 se ve comprometido, ¿no estamos en la misma situación de debilidad en la que sólo dependemos de H2? La respuesta es afirmativa si no hacemos nada; pero podemos resucitar de alguna forma la confianza si reaccionamos rápidamente y ejecutamos un ciclo de novación introduciendo un nuevo resumen H3. La idea es la siguiente: el primer certificado de tiempo, basado en H1(D) + H2(D) es válido durante la ventana <t1, t2>. Si en el instante t1.5, intermedio, se reventara H1, podemos emitir un nuevo certificado basado en H2(D) + H3(D) que incluyera el primer certificado como parte del nuevo, siendo el período del nuevo <t1.5, t3>. Ahora tenemos un sistema confiable en el período <t1, t3> pues aunque H3 no se evaluó en t1, si ha sido evaluado antes de que H2 se haya visto comprometido y por tanto el nuevo certificado de tiempo avala indirectamente el período primero de cobertura.

En el párrafo anterior hemos introducido el protocolo de novación como solución particular a un posible incidente; pero en realidad de trata de un protocolo de aplicación más amplia. Aunque algún atrevido pudiera emitir certificados de tiempo sin límite temporal (firmo esto para la eternidad) lo más probable es que las autoridades de fechado quieran limitar su responsabilidad y decir que emiten un aval por un período limitado, período que puede venir determinado por la previsión de utilización del documento fechado (por ejemplo en transacciones fiscales hay un período de reclamación definido), o pudiera venir limitado por la cautela propia de la impredecible solidez de los algoritmos criptográficos empleados.

Si por cualquier razón se necesita extender el certificado de tiempo más allá de lo previsto en el momento de fechar, aparece la necesidad de novar el certificado, que quiere decir extender el período de validez desde el inicio del primer certificado hasta un nuevo final más dilatado en el tiempo. Criptográficamente es simple: en el nuevo fechado se incluye explícitamente el primer certificado. Como el nuevo certificado se ha emitido antes de que el primero se extinguiera, se da fe del valor del primero, se da fe del período del nuevo y para el usuario final el certificado vale durante la suma de ambos períodos.

La novación se puede provocar siempre que se tema por la solvencia de un algoritmo matemático. Así, vale para prevenir la caída de algoritmos hash, o para reemplazar un algoritmo de firma digital venido a menos, o para usar una nueva longitud de clave, ...

Los mecanismos anteriores permiten a una autoridad de confianza gestionar el tiempo. Pero hay otro riesgo más sibilino ¿y si la autoridad no fuera de tanta confianza? ¿Qué pasa con los certificados emitidos por un país dedicado al terrorismo internacional? ¿O por un notario corrupto? ¿O por una empresa privada que entre en conflicto de intereses? ¿O por dos países que rompen sus buenas relaciones? ¿O ...? Estos nuevos problemas se pueden resolver con el denominado protocolo de sincronización. Si la autoridad A1 fecha regularmente sus registros de actuación con una autoridad A2, la confianza en A2 induce credibilidad sobre A1, con un margen de error que es el período que diste entre dos ciclos consecutivos de sincronización. Si A1 mintiera, chapuceando con el reloj, o emitiendo certificados postdatados, o alguna otra tropelía, en el momento en que sincroniza su actividad queda congelada. Típicamente, A1 será auditada por A2, y viceversa, de forma que A1 y A2 induzcan confianza mutua a los clientes de una y otra. El esquema se reproduce inductivamente si A2 a su vez sincroniza con A3, etc. etc. Así cabe pensar en una red mundial de autoridades de fechado, todas ellas sincronizadas entre sí, directa o indirectamente, para establecer un sistema universalmente fiable, por ejemplo con períodos de solvencia de 24 horas.

Nótese que este sistema universal de autoridades sincronizadas es infinitamente más simple de establecer y operar que el muy parecido de establecimiento de una red universal de autoridades de certificación con avales cruzados de reconocimiento. En el reconocimiento mutuo de dos autoridades de certificación aparece la problemática de aunar dos políticas de certificación (practice statements), lo que suele requerir abogados que analizan las implicaciones e imponen cautelas, dificultando la automatización de una red universal con confianza indirecta entre autoridades no reconocidas previamente. Regresando a nuestras autoridades de fechado, la función es infinitamente más simple y basta un formato homogéneo de representación de certificados para que las autoridades sincronicen. La actividad humana de peritaje aparece cuando sea necesaria una verificación de la coherencia de los certificados de tiempo emitidos por dos autoridades lejanas, tomando en consideración las calidades de servicio de cada una de ellas y las empleadas por terceras autoridades intermedias que se hubieran utilizado en el proceso de sincronización.

También deben las autoridades sincronizarse regularmente con el mundo real, incorporando eventos impredecibles tales como datos meteorológicos, noticias, resultados deportivos, etc. Si estos datos se insertan en los registros de actividad o como un documento más que queda fechado, establecemos un «después de» en la cadena de tiempo.

Timestamp3.jpg (33003 bytes)

En algunos casos los usuarios no se limitarán a que su agente fechador se sincronice razonablemente a menudo con otras autoridades en previsión de problemas futuros. Un ciudadano que haga su liquidación de impuestos normalmente se limitará al acuse de recibo de su agencia tributaria; pero una empresa multinacional probablemente acumule ella misma más evidencias en sus transacciones internacionales, solicitando el fechado de la transacción a autoridades en los diferentes países involucrados. El protocolo distribuido permite este ejercicio.

Los procedimientos descritos de novación y sincronización son las principales medidas cautelares que sostienen la confianza universal en un sistema de fechado digital. Además, cabe esperar de las autoridades de fechado un comportamiento y unas prácticas de seguridad acordes con su papel de garantes de terceras partes: seguridad de sus equipos, sus documentos, sus empleados, etc. etc. en las que no queremos extendernos por obvias, pero que no conviene olvidar.

 

TIPOS DE DOCUMENTOS

Lo más habitual es que los sistemas de fechado trabajen sobre resúmenes de documentos, de forma que el contenido en sí del documento sea transparente al sistema de fechado. Esto simplifica enormemente las explicaciones y delimita muy claramente la responsabilidad asumida por una autoridad de fechado. Pero a veces un tratamiento tan displicente no es ideal para los clientes. Permítasenos exponer brevemente 3 situaciones más elaboradas: documentos con formato, intercambios EDI e información multimedia.

Timestamp4.jpg (21705 bytes)

Una primera consideración a hacer sobre lo que se fecha se refiere a que un documento en formato digital combina contenido (semánticamente relevante) y forma (instrucciones de formateado). Así, puede ocurrir que un documento fechado en WinWord 6.0 no se pueda verificar si se transfiere a WordPerfect 5.0 o si se imprime y se reconstruye. ¿Sería posible fechar sólo el contenido semánticamente relevante, independiente de la forma? Para ello sería necesario ir a algún formato normalizado de representación abstracta, del tipo SGML, que captura la estructura sin precisar la presentación final. Otra forma de afrontar el problema es usar el procedimiento de novación para extender, en presencia de un fedatario, el certificado de tiempo emitido para un formato a un nuevo formato (se fecha el nuevo formato, incluyendo el certificado previo). La ventaja del primer método mencionado es que simplificaría las labores de archivo documental. Imagine el lector lo que esto puede suponer en la Administración Pública con la cantidad de documentos que archivan a lo largo del año. El segundo método sólo se puede aplicar a un número muy reducido de documentos por la tremenda sobrecarga que implica de trabajo y archivo.

Los mensajes EDI son estructuras de datos fuertemente normalizadas que se utilizan como soporte en las relaciones de comercio electrónico entre empresas. Al ser estructuras convenidas por las partes e interpretadas automáticamente por los sistemas que se relacionan aparece la posibilidad y conveniencia de que el fechado digital sea parte explícita de la estructura, si bien su interpretación es opcional, sirviendo para ratificar un contenido que es extraíble por si mismo. EDIFACT provee unos campos de cabecera y cola destinados a servicios de seguridad. Parece natural aplicar los protocolos de fechado previamente descritos al contenido del mensaje y almacenar los certificados de tiempo en dichos campos marco.

El caso de los documentos multimedia es extremadamente más complejo, pues esta información es muy voluminosa, lo que requiere el uso de algoritmos muy ligeros. Al mismo tiempo, un documento multimedia consta fácilmente de varios flujos de información que, a su vez, se expanden ampliamente en el tiempo (por ejemplo, una película empieza y termina en instantes muy distantes en el tiempo). Aparece un problema de segmentación de la información que puede requerir un fechado autónomo por segmento, de cara a una posible reestructuración o reempaquetamiento.

Un problema muy interesante aparece cuando la información se está produciendo en tiempo real y se requiere un fechado ágil y que pueda ser verificado por el receptor igualmente en tiempo real: no podemos esperar al final para saber si lo que estamos viendo es cierto o fraudulento. En este contexto, un firmado digital clásico (tipo RSA) o es muy débil o requiere excesiva potencia de cálculo e introduce una excesiva sobrecarga de datos. Se hace necesario recurrir a técnicas más elaboradas de firma y verificación.

Por último, la información multimedia se presta a transformaciones que no son inicuas: los datos son comprimidos para almacenarlos y transmitirlos, se cambian de un formato a otro, se trasladan de uno a otro soporte (ej. de digital a papel y vuelta a digital), etc. Todas estas transformaciones no son identidades en el sentido matemático, sino verdaderas alteraciones de los datos que simplemente están por debajo del umbral de discriminación de los humanos, que somos los últimos receptores. ¿Sería posible fechar sobre resúmenes menos estrictos que un hash tradicional? Si somos capaces de extraer una serie de características que identifiquen el documento de forma acorde con la percepción humana, entonces podemos fechar estas características antes que una representación concreta, de forma que el fechado sea verificable incluso si el documento se ve alterado de forma aceptable.

 

AGRADECIMIENTOS

Los temas cubiertos en este artículo han sido desarrollados en la FNMT dentro del proyecto PKITS [PKITS] de la Comunidad Europea. Nuestro agradecimiento a todos los miembros del equipo de trabajo.

PKITS es un proyecto que busca la identificación y caracterización de los servicios necesarios para el despliegue de un sistema europeo de terceras partes (ETS – European TTP Service). PKITS enfoca los requisitos funcionales y no funcionales para la provisión de servicios de fechado en tres escenarios: datos en general, mensajes EDI e información multimedia.

El proyecto ha sido liderado por la Fábrica Nacional de Moneda y Timbre (FNMT), participando en el mismo el Organismo Autónomo de Correos, el Ministerio de Administraciones Públicas (MAP) y la Universidad Politécnica de Catalunya.

___________________________________________________________________________________________________________________________

José A. Mañas

Catedrático de Ingeniería de Sistemas Telemáticos

E.T.S.I. Telecomunicación.

Universidad Politécnica de Madrid

<jmanas@dit.upm.es>

 

Manuel Heras

Consultor independiente

<mherasg@nexo.es>

 

REFERENCIAS

1. [PKITS] PKITS, «Public Key Infrastructure with Time-Stamping», ETS II Project 23.192, 1998.<http://www.fnmt.es/pkits/>

2. [PKIX] Internet Engineering Task Force for an X.509 Public Key Infrastructure <http://www.ietf.org/html.charters/pkix-charter.html>

3. [Haber91] S. Haber and W.S. Stornetta, «How to Time-Stamp a Digital Document», Advances in Cryptology - Crypto’90 Proceedings, Springer-Verlag, 1991, pp. 437-455.

4. [Surety] Surety Inc. <http://www.surety.com/>                                                                          

                                                                                   

Retroceder

 VOLVER