Identidad electrónica y firmas digitales: ¿por qué son diferentes?

Navega tus respuestas
9

Parece (al menos para mí) que es generalmente aceptado que "identidad electrónica" y "firmas digitales" son una cosa diferente. Por ejemplo, en la tarjeta de identificación de Estonia hay dos certificados: uno para la identidad y otro para la firma.

Se corresponden con las acciones del mundo real de "mostrar" su tarjeta de identificación a las autoridades y firmar un documento, respectivamente.

Sin embargo, no entiendo por qué tienen que ser diferentes. La misma tecnología con la misma infraestructura es / puede ser utilizada para ambos. ¿Por qué no puede usar su firma digital para identificarse (o su par de claves de identidad electrónica para firmar digitalmente un documento)?

En ambos casos, utiliza su clave privada para firmar algo.

Por supuesto, hay implicaciones, por ejemplo, puede pensar que alguien simplemente está verificando su identidad, pero de hecho puede estar firmando un documento que no desea firmar. Pero uno puede ofrecerle que firme un documento inofensivo (por ejemplo, "por favor firme este recibo digital" sin sentido), pero en realidad puede estar firmando un préstamo. Las personas pueden ser engañadas a través de la interfaz de usuario para firmar / identificar digitalmente de cualquier manera (Pregunta relacionada: ¿Cuáles son las formas de evitar que eso suceda?)

¿La distinción es necesaria únicamente para proteger al propietario o hay un factor más importante para dividir una solución de tecnología única en dos?

    
pregunta Bozho 14.07.2015 - 20:55
fuente

2 respuestas

4

Hay varias razones para usar diferentes claves para la firma y la autenticación:

  1. Cuando se usan dos claves, se pueden emitir certificados asociados de diferentes CA que permiten a los sitios web solicitar al usuario solo el certificado de autenticación al iniciar sesión.

  2. Los certificados pueden emitirse con un uso de clave diferente: la autenticación no necesita repudio y la firma no necesita acceso a un cliente ssl.

  3. Por lo general, las dos claves están protegidas por diferentes PIN con una política de PIN diferente. La clave de autenticación tiene una política de PIN simple: después de que una aplicación se autentica con el PIN, la clave se puede usar hasta que se cierre la sesión. Por otro lado, la clave de firma generalmente requiere que se ingrese el PIN antes de cualquier operación con la clave.

Nunca he usado eID de Estonia, pero en algunos eID diferentes, las claves se emiten desde diferentes CA, con diferentes indicadores de uso de clave y diferentes políticas de PIN como se describe en los puntos 1 a 3.

Editar: Otra razón para usar diferentes claves:

  1. Una tarjeta inteligente podría configurarse para rechazar la importación de claves para una ranura de firma y permitir una ranura de autenticación, o podría admitir diferentes mecanismos de cifrado para diferentes ranuras ...
respondido por el Vasil Badev 14.07.2015 - 22:55
fuente
1

Una firma digital es un mecanismo tecnológico mediante el cual puede hacer varias cosas, una de ellas es probar su identidad a otra entidad: este es un protocolo de autenticación.

Su identidad es una propiedad inherente a, por ejemplo, usted mismo; la noción de "identidad electrónica" realmente significa "algo que designa su identidad y es susceptible de un mecanismo de autenticación".

Puede haber mecanismos de autenticación que no usen firmas. Cada vez que escribe una contraseña en un sitio web, está utilizando un mecanismo de este tipo: su "identidad electrónica" es su cuenta registrada.

Por el contrario, hay usos de firmas digitales que no están diseñados para la autenticación, sino para el no repudio: usted no solo demuestra su identidad a otra persona, sino que también entrega una prueba que podría validarse después por un tercero que no forma parte del protocolo inicial.

Por lo tanto, las dos nociones son bastante distintas.

Desafortunadamente, parece que algunas personas viven solo para abusar de la terminología. Una clave privada que posee y que podría usar en varios protocolos de autenticación ha sido descrita, en ocasiones y por personas distintas, como "identidad digital", "identidad electrónica", "firma digital", "certificado digital" y miles de otros términos . Mucha confusión se extiende a partir de eso.

En el caso de la tarjeta de identificación de Estonia, es plausible que los dos certificados, y en realidad las dos claves privadas correspondientes, se mantengan separadas como una aplicación un tanto ciega y semi maníaca del principio de "un uso para cada clave ".

    
respondido por el Tom Leek 14.07.2015 - 21:18
fuente

Lea otras preguntas en las etiquetas

¿En qué situaciones puede element.setAttribute permitir XSS? ¿Hay otras formas de cifrar archivos que no sean TrueCrypt y BitLocker [cerrado]