Dado que el no repudio es imposible de lograr simplemente por software ¿Por qué existe la firma digital?
Permítame aclarar un poco (esta parte es de libro de eschaefe pág. 64):
1. Cuando B se conecta al sitio web A, comprueba la validez de su certificado y, a continuación, puede enviar a B su clave pública RSA y también su clave pública de firma digital.
2. A puede enviar claves B AES para cifrado y MAC mediante cifrado con claves públicas B RSA.
3. El intercambio de mensajes ocurre y B firma MAC a través de sus claves privadas DSS.
4. A lee el mensaje, comprueba el MAC y la firma.
Problema:
Si B decide que quiere esquivar la transacción, puede publicar su clave privada para RSA y negar que envió el mensaje (repudio)
Sin embargo, desde que se realizó la firma, A puede desafiar esa afirmación.
Sin embargo si B decide publicar sus claves privadas para firmar, puede reclamar que su firma está falsificada. Y de nuevo el problema es el mismo.
En mi opinión, este es exactamente el problema que la firma digital debía resolver, sin embargo, esta es la misma situación que si no hubiera una firma digital.
También podemos firmar la firma y hacer esto tantas veces como queramos, sin embargo, la publicación de todas las claves privadas nos lleva al paso 1.
¿Qué hemos resuelto exactamente con la firma digital si no podemos lograr la garantía de no repudio del software?