Siguiente: Diversos esquemas de autentificación Un nivel arriba: Firmas digitales Anterior: Firmas digitales

Firmado con llave pública

Supongamos un esquema de llave pública. En grupo de usuarios ${\cal U}$ cada uno U posee una pareja (e_U,d_U) formada por sus llaves pública y secreta, respectivamente. Cualquier mensaje m hacia U se encripta como c=F(m,e_U) y U lo desencripta como m=G(c,d_U). En un tal esquema, se considera el esquema de firmado $({\cal M},{\cal F},{\cal L},{\cal R},{\cal V})$, donde

• ${\cal M}$ es el conjunto de mensajes,
• ${\cal F}$ coincide con ${\cal M}$ (que a su vez coincide con el de cifrados),
• ${\cal L}$ coincide con ${\cal U}$,
• ${\cal R}=\left(\mbox{\it rub}_U:m\mapsto G(m,d_U)\right)_{U\in{\cal U}}$, y
• ${\cal V}=\left(\mbox{\it ver}_U\right)_{U\in{\cal U}}$ donde $\forall U\in{\cal U}:\ \begin{array}[t]{rcl} \mbox{\it ver}_U(m,f)=\mbox{\it S... ...ox{\it ver}_U(m,f)=\mbox{\it No} &\Leftrightarrow& m\not=F(f,e_U) \end{array}$

Si además de firmar se ha de encriptar, se puede proceder como sigue: Firmar y luego encriptar

1.

Dado el mensaje m el remitente calcula la firma correspondiente, f= G(m,d_R).

2.

Encripta la pareja (m,f) usando la llave pública del destinatario: $c=F(\alpha(m,f),e_D)$, donde $\alpha:{\cal M}\times{\cal M}\to{\cal M}$ es una función de apareamiento.

3.

El destinatario, recibe c y lo desencripta con su llave secreta: $\alpha(m,f)=G(c,d_D)$.

4.

El destinatario verifica la firma: $\mbox{\it ver}_R(m,f)=(m=F(f,e_R)?)$.

¡El orden es importante! El procedimiento siguiente es inseguro. Encriptar y luego firmar

1.

Dado el mensaje m el remitente lo encripta usando la llave pública del destinatario: c=F(m,e_D).

2.

Calcula la firma correspondiente al mensaje cifrado, f= G(c,d_R).

3.

El destinatario, recibe la pareja (c,f). Verifica la firma: $\mbox{\it ver}_R(c,f)=(c=F(f,e_R)?)$.

4.

El destinatario queda convencido que el remitente es R.

5.

El destinatario desencripta con su llave secreta: m=G(c,d_D).

En efecto, si un intruso S recibe la pareja (c,f), entonces

1.

calcula su propia firma correspondiente al mensaje cifrado: f'= G(c,d_S).

2.

El destinatario, recibe la pareja (c,f'). Verifica la firma, usando la llave de S: $\mbox{\it ver}_R(c,f')=(c=F(f,e_S)?)$.

3.

El destinatario queda convencido que el remitente es S.

4.

El destinatario desencripta con su llave secreta: m=G(c,d_D).

S pues ha suplantado a R.
Siguiente: Diversos esquemas de autentificación Un nivel arriba: Firmas digitales Anterior: Firmas digitales