Firma PGP de páginas HTML

Según Red Iris, el objetivo de la firma mediante PGP para páginas HTML es comprobar que la información no ha sido modificada, para tener la seguridad de que la información que contiene un documento está tal y como fue publicada por sus propietarios, y es original.

Existen dos métodos matemáticos fundamentales para obtener esta firma digital: la criptografía de clave pública y el programa PGP. El primero de ellos se basa en la existencia de dos claves o funciones matemáticas en las que solamente es posible decodificar un mensaje empleando la clave complementaria. Se llama de clave pública porque una de ellas se hace pública y cualquier persona puede acceder a ella para comprobar que el documento es original y la otra se mantiene en secreto para firmar los documentos. El programa PGP (Pretty Good Privacy) nos permite encriptar los contenidos de una página html mediante claves, con el objeto de autentificar la información publicada en la misma.

Junto con esta firma digital funcionan los Certificados Digitales, que permiten a las empresas evitar problemas de falsificación y suplantación de contenidos en sus páginas web. Según el portal web.uservers.net, empresa dedicada al alojamiento web, los pasos a dar por la organización propietaria del sitio web para solicitar el Certificado Digital son:

• Completar una solicitud de CSR (Solicitud de Firma de Certificado) con los datos de la empresa que es dueña del sitio seguro. Si es un diseñador / consultor de Internet quien solicita el Certificado en nombre de un cliente, es necesario que facilite los datos de su cliente.
• Verificar los datos de registro del nombre de dominio. El dominio que se va a asegurar debe estar registrado en el Registro Mercantil, si se trata de una sociedad, o a nombre del profesional que lo solicita.
• Pagar la cuota de instalación del nombre de dominio, que incluye la generación de llaves para el dominio y firma de CSR, asignar una dirección IP para el dominio y la instalación del certificado.
• Enviar por fax la documentación que en algunos casos requerirá la autoridad certificadora (Thawte, Verisign, etc.). Suelen pedir un recibo de teléfono a nombre de la empresa que se está certificando, pero varía dependiendo del caso.
• La autoridad certificadora contactará telefónicamente con el profesional o responsable de la entidad solicitante días después de realizarse el pago del dominio.
• Una vez que el procedimiento esté completo, la autoridad certificadora enviará el certificado digital firmado y lo instalará en la cuenta. A partir de este punto podrá acceder a sus páginas usando https:// antes del nombre de dominio.

Otro protocolo de seguridad para páginas web que funciona junto a los Certificados Digitales es el Secure Socket Layer (SSL), que a diferencia de PGP codifica las páginas cuando se visualizan y no cuando se construyen.

Según el sitio hispasec.com, PGP es el software de cifrado más utilizado a nivel mundial. PGP Enterprise Security se vende por suscripción, y todos los sistemas operativos (Windows 95, 98, NT y Macintosh) se incluyen en un único CD. También existen versiones para el usuario que se pueden descargar a través del sitio web de Network Associates (www.nai.com) de forma gratuita, aunque no todas sus versiones lo son.

Aplicaciones del sistema PGP

Otra de las posibilidades del sistema PGP es la firma digital, para certificar la identidad de cualquier usuario. Esta aplicación es muy útil en el entorno del Comercio Electrónico, para corroborar y resguardar la identidad del usuario. La firma digital es un código único que utiliza el comprador para realizar compras online.

Para obtener las claves que se usan para firmar digitalmente los documentos y el certificado digital es necesario dirigirse a una empresa o entidad que tenga el carácter de "Prestador de Servicios de Certificación¿ (Fábrica Nacional de Moneda y Timbre, Agencia de Certificación Electrónica, o la Fundación para el estudio de la Seguridad de las Telecomunicaciones), que comprobará la identidad del solicitante y le entregará una tarjeta con una banda magnética. Con un lector de bandas adecuado conectado a un ordenador personal, se podrá utilizar la información de la tarjeta para firmar digitalmente los mensajes electrónicos. Obtener la firma digital en la Fábrica Nacional de Moneda y Timbre es completamente gratuito para los ciudadanos.

La firma PGP se utiliza igualmente para autentificación y protección de mensajes de correo electrónico, de forma que el usuario podrá asegurarse de que el mensaje proviene de quién dice ser y que sea exclusivamente él quien lo lea. Los principales motivos que han impulsado la extensión del sistema PGP son:

• Facilidad de uso e instalación.
• Aplicable tanto en el ámbito empresarial como en el personal.
• Actualizaciones disponibles permanentemente en la web oficial de PGP (www.pgpi.org).
• Compatible con los sistemas operativos más utilizados: MAC, Windows, Unix, MS-DOS, etc.
• Versiones básicas gratuitas.