Autenticación a través de certificados digitales más firma

Suponiendo que desea saber qué pasaría si se envía un mensaje sin una firma digital adjunta.

Una firma digital adjunta con un mensaje permite a la parte receptora validar la autenticidad y la integridad de los datos recibidos.

Si la parte A envía un mensaje firmado digitalmente a la parte B

1. La autenticidad es cuando B puede estar seguro de que el mensaje fue enviado por A y no es un mensaje falsificado. Las técnicas de firma digital implican el uso de la clave privada del remitente, por lo tanto, si la firma se puede validar utilizando la clave pública del remitente, entonces se puede deducir que realmente fue firmada por la parte remitente.

2. La integridad es cuando B puede asegurarse de que el mensaje enviado por A no se haya alterado en su ruta. La firma digital de un mensaje también depende del contenido del mensaje (esta es la principal diferencia entre las firmas normales y las firmas digitales). Esta dependencia está presente porque también se toma un hash del mensaje mientras se genera la firma digital. Esto garantiza que si se modifica el contenido, la validación de la firma fallará.

Se debe tener en cuenta que, en este escenario, la confidencialidad del mensaje enviado de A a B no está protegida, ya que no se utiliza el cifrado de datos.

Por lo tanto, si el mensaje se envía sin firmas digitales, no se lograrán las propiedades mencionadas anteriormente.

es posible que desee consultar esta respuesta para obtener una mejor explicación de los conceptos de criptografía

Un certificado es de datos públicos; La gente se las sigue mostrando. Cuando habla con un servidor SSL, una de las primeras cosas que hace el servidor es mostrar su certificado. A cualquiera.

Por lo tanto, mostrar un certificado no prueba su identidad. Lo que importa es la clave privada . La clave privada está no en el certificado (*). Al calcular una firma, demuestra dominio de la clave privada, es decir, demuestra que es usted mismo.

El certificado en sí mismo es un contenedor para la clave pública. Cuando miro el certificado de Google (el que usan para sus servidores), puedo validarlo (contra las claves públicas de CA) para obtener cierta seguridad sobre el contenido del certificado, que realmente equivale a: " this public la clave es propiedad de esa entidad ". Así aprendo la clave pública de Google. Sin embargo, no me dice en absoluto que quien me entregó el certificado es Google. Todos pueden obtener el certificado de Google; incluso puede verlo en su navegador web simplemente conectándose a su servidor. Lo que me dice que estoy hablando con el servidor de Google es que el servidor parece poder producir una firma válida en un desafío que le envío; y puedo verificar esa firma con la clave pública de Google (y conozco la clave pública de Google gracias al certificado). Para poder producir una firma válida se requiere el conocimiento de la clave privada; en ese caso, la clave privada de Google, que, como su nombre indica, solo la conoce Google.

^{(*) Hay una cantidad considerable de confusión implícita para algunas personas que llaman "certificado" qué es realmente el certificado Y la clave privada correspondiente. La terminología descuidada desafortunadamente está muy extendida.}