Una vez se ha construido la cadena original, el siguiente paso es la generación del sello digital, este viene explicado en el Diario Oficial del 28 de Julio de 2017 para el comprobante CFDI 3.3 y es como sigue:
, el siguiente paso es la generación del sello digital, este viene explicado en el Diario Oficial del 28 de Julio de 2017 para el comprobante CFDI 3.3 y es como sigue:
Para toda cadena original a ser sellada digitalmente, la secuencia de algoritmos a aplicar es la siguiente:
I. Aplicar el método de digestión SHA-2 256 a la cadena original a sellar incluyendo los nodos Complementarios. Este procedimiento genera una salida de 256 bits (32 bytes) para todo mensaje. La posibilidad de encontrar dos mensajes distintos que produzcan una misma salida es de 1 en 2²56, y por lo tanto en esta posibilidad se basa la inalterabilidad del sello, así como su no reutilización. Es de hecho una medida de la integridad del mensaje sellado, pues toda alteración del mismo provoca una digestión totalmente diferente, por lo que no se debe reconocer como válido el mensaje.
a. SHA-2 256 no requiere semilla alguna. El algoritmo cambia su estado de bloque en bloque de acuerdo con la entrada previa.
II. Con la clave privada correspondiente al certificado digital del firmante del mensaje, encriptar la digestión del mensaje obtenida en el paso I utilizando para ello el algoritmo de encripción RSA.
Nota: La mayor parte del software comercial podría generar los pasos I y II invocando una sola función y especificando una constante simbólica. En el SAT este procedimiento se hace en pasos separados, lo cual es totalmente equivalente. Es importante resaltar que prácticamente todo el software criptográfico comercial incluye APIs o expone métodos en sus productos que permiten implementar la secuencia de algoritmos aquí descrita. La clave privada sólo debe mantenerse en memoria durante la llamada a la función de encripción; inmediatamente después de su uso debe ser eliminada de su registro de memoria mediante la sobrescritura de secuencias binarias alternadas de “unos” y “ceros”.
III. El resultado es una cadena binaria que no necesariamente consta de caracteres imprimibles, por lo que debe traducirse a una cadena que sí conste solamente de tales caracteres. Para ello se utiliza el modo de expresión de secuencias de bytes denominado “Base 64”, que consiste en la asociación de cada 6 bits de la secuencia a un elemento de un “alfabeto” que consta de 64 caracteres imprimibles. Puesto que con 6 bits se pueden expresar los números del 0 al 63, si a cada uno de estos valores se le asocia un elemento del alfabeto se garantiza que todo byte de la secuencia original puede ser mapeado a un elemento del alfabeto Base 64, y los dos bits restantes forman parte del siguiente elemento a mapear. Este mecanismo de expresión de cadenas binarias produce un incremento de 33% en el tamaño de las cadenas imprimibles respecto de la original.
Por tanto, los caracteres utilizados en el alfabeto de Base 64 son:
A, B, C, D, E, F, G, H, I, J, K, L, M, N, O, P, Q, R, S, T, U, V, W, X, Y, Z, a, b, c, d, e, f, g, h, i, j, k, l, m, n, o, p, q, r, s, t, u, v, w, x, y, z, 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, +, /
Y en el orden descrito les corresponden los índices del 0 al 63 en un arreglo de 64 elementos. Para traducir de binario a Base 64, se examina la secuencia binaria evaluando 6 bits a la vez; si el valor de los primeros 6 bits es 0, entonces se imprime la letra A; si es 1, entonces se imprime la letra B y así sucesivamente hasta completar la evaluación de todos los bits de la secuencia binaria evaluados de 6 en 6.
La función inversa consiste en reconstruir la secuencia binaria original a partir de la cadena imprimible que consta de los elementos del alfabeto de Base 64. Para ello se toman 4 caracteres a la vez de la cadena imprimible y sus valores son convertidos en los de los tres caracteres binarios correspondientes (4 caracteres B64 x 6 bits = 3 caracteres binarios x 8 bits), y esta operación se repite hasta concluir la traducción de la cadena imprimible.
Ejemplo de Sello digital generado con un certificado de 2048 bits:
AM0PWKyhvpj1Pf7AJVzAAGjaYU0t6r5hjk0DOj+wISCSdA2LZj7jmnBKivivgU8J5svcto9kABfNm246HG2y8Q6YcQJmB6Dw2bUBoZfrPE54yP+S5MfPtCw5QhS948Pc91gJcLPrHmaRXINaEqq0mTGWr4aWSAZxcb9Dql9KnvLcXt30KISnbc2+4m9RtpsTPLk2joKFGxf8eejGL69vO8txtmLqioInFDhTPWQcIKMdUutUbREsSsQSfmOuoQdVBCCMY7SUK2ZtGDaCnshQSOVz/GHGfLQT4Qj0hetPtaDi60YPM5Mf3cekonBHb4jc2+FuCJW+JKCsnI7sJ4+iYg==
Referencia diario Oficial 28 Julio 2017
0 comentarios