2. Ayuda a Emprendedores
con Sergio Fernández

4. Mitos y realidades de la seguridad y
la confianza en Blockchain
Tomás García-Merás Capote

5. Acerca del ponente: Tomás García-Merás
• Colaborador de NWC10Lab como experto en criptografía.
• Actualmente gerente de ventas para sector público en atSistemas.
• Ha participado en numerosos proyectos relacionados con la confianza y la seguridad
del sector público español: FNMT-RCM, Ministerio de Asuntos Exteriores, Unión
Europea y Cooperación, Ministerio del Interior, Ministerio de Política Territorial y
Función Pública, CIEMAT, Metro de Madrid, Senado de España, Casa de Su
Majestad el Rey, Cuerpo Nacional de Policía, Red.es, etc.
• clawgrip@hotmail.com
• https://www.linkedin.com/in/tomas-gmeras/
• En sus ratos libres colabora con el proyecto MAME bajo el seudónimo “ClawGrip”.

6. Huellas digitales y claves
asimétricas
Las tecnologías que sustentan Blockchain y la firma electrónica

7. Huellas digitales (I)
• Es un número de longitud limitada (normalmente entre 256 y 512 bits) que identifica
unívocamente a un binario.
• Es imposible encontrar dos binarios con la misma huella (y no solo depende del
número de bits de esta…).
• Es una función matemática de un solo sentido, puedo calcular la huella a partir del
binario, pero no el binario a partir de la huella.
Ejemplo de huella digital de un texto usando SHA-1:
“Telefónica Flagship Store” = d691fdd0722f166d9fc5e262d2fcd3ebbadb8c55
“Telefonica Flagship Store” = 6ffc14b20dc7756a3ecf354e4288e31a9da401fc
Tengo esta huella: bb95f82af8d1ab5d3e9a6a748fbd34a639b62115
¿Puedo modificar un binario para que esta sea su huella?
¿Puede crear o generar un binario que tenga exactamente esta huella?
¡NO!

8. Huellas digitales (II)
• Fijémonos en el ejemplo anterior. Solo cambia una tilde, pero la huella es
completamente distinta.
• ¡Cualquier cambio en el binario, por insignificante que sea, va a alterar por completo
la huella digital!
• Esta característica nos va a permitir usar las huellas digitales como garante de la
integridad de la información electrónica, sin necesidad de almacenar copias de
referencia de los originales:
• Si tengo la huella digital de un documento, generada en un momento dado, puedo detectar
cualquier cambio ulterior en este, ya que cualquier modificación, por pequeña que sea, hará
que la nueva huella no coincida con la que tengo.
Ejemplo de huella digital de un texto usando SHA-1:
“Telefónica Flagship Store” = d691fdd0722f166d9fc5e262d2fcd3ebbadb8c55
“Telefonica Flagship Store” = 6ffc14b20dc7756a3ecf354e4288e31a9da401fc

9. MUY SEGUROS
SEGUROS
INSEGUROS
Huellas digitales (III)
• La seguridad de la huella depende principalmente de su irreversibilidad, y un
algoritmo de huella se considera vulnerable cuando es posible tener dos documentos
con la misma huella.
• Con el tiempo se van creando algoritmos más seguros (nuevas fórmulas matemáticas):
• CRC, LRC, etc.
• MD2
• MD5
• SHA-1
• SHA-2 (SHA-224, SHA-256, SHA-384, SHA-512)
• SHA-3 (SHA3-224, SHA3-256, SHA3-384, SHA3-512, SHAKE-128, SHAKE-256)

10. Huellas digitales (y IV)
• ¿Cómo pasa un algoritmo de huella digital
a ser inseguro?´¡Cuando se consiguen
tener dos binarios con la misma huella¡
• Se descubren nuevas vías matemáticas que
facilitan la reversibilidad de la fórmula de
cálculo.
• Se dispone de más potencia de cálculo para el
cálculo de estas nuevas vías matemáticas.
• Por ejemplo: La ruptura del algoritmo
SHA-1.
• Consiguieron, uniendo la potencia de cálculo
de 200 PS3 con Linux, generar en tan solo 20
horas de proceso dos binarios con la misma
huella.
• Puso en jaque toda la seguridad de Internet.

11. Criptografía asimétrica (I)
• Concepto mucho más simple: Dos claves de cifrado que se complementan entre sí: Lo
que cifro con la primera solo se puede descifrar con la segunda, y lo que cifro con la
segunda solo se puede descifrar con la primera.
• ¿Qué ocurre si una de las claves solo la conozco yo (que llamaré clave privada) y doy a
conocer a todo el mundo la otra (que llamaré clave pública)?
• Si cifro algo con la clave privada, todo el mundo puede comprobar que efectivamente se ha
hecho con ella, porque pueden usar la clave pública para descifrarlo y comprobarlo.
• En resumen: Solo el que tenga la clave privada puede haber hecho ese cifrado, y ese es un aspecto
universalmente comprobable (con la clave pública).
• Si alguien cifra algo con la clave pública… Solo el que tenga la clave privada va a poder
descifrarlo.
• Puedo enviar información cifrada a un destinatario evitando la problemática de la distribución de claves.
Si quiero que me envíes una información cifrada, me reservo la clave pública solo para mí y te doy la
clave pública para que cifre la información. Da igual que esta clave pública caiga en malas manos.
• Hay distintos algoritmos de criptografía asimétrica:
• DSA (en desuso), RSA (usado para firma electrónica), ECDSA (usado en Blockchain)

12. Criptografía asimétrica (y II)
• La criptografía asimétrica también puede tener problemas de seguridad…
• Que se encuentre la forma de descifrar una información cifrada con una clave sin conocer su
clave complementaria.
• Que se encuentre la forma de derivar una clave a partir de su complementaria.
• Que se pueda descubrir la clave de descifrado por “fuerza bruta” (probando todas las claves
posibles):
• Las posibles combinaciones dependen de la longitud de las claves:
• Clave de 1024: 21024 combinaciones, de 2048: 22048, y así sucesivamente.
• La velocidad de ir probando combinaciones depende de la potencia de computación.
Por ejemplo, la implementación del algoritmo de generación de pares de claves de ciertos chips
de Infineon (¡usados en muchos DNIe!) hicieron que se pudiese inferir la clave privada a partir
de la pública:
https://www.incibe-cert.es/alerta-temprana/vulnerabilidades/cve-2017-15361

13. Y si juntamos huellas digitales y claves
asimétricas… ¡Firma electrónica!
• Sigamos el hilo: Si solo yo tengo acceso a una clave privada y cifro con ella la huella
digital de un documento…
• Solo yo he podido hacerlo, ya que solo yo tengo la clave privada, y cualquier puede
comprobar esto usando la clave pública, que es de libre distribución.
• Podemos comprobar, gracias a la huella digital sobre qué documento hice el proceso, ya que
tenemos la huella digital. Es más, podemos asegurar que este documento no se ha
modificado ni una coma, ya que si hubiese sido así la huella digital no coincidiría
(integridad).
• La firma electrónica es la base de Blockchain
• Los usuarios firman las transacciones usando sus claves privadas.
• Estas claves privadas definen la posesión de activos (Bitcoin), modelos de identidad (asociar una clave
privada particular a una persona o máquina en concreto), autenticidad de la información…
• Las huellas digitales nos garantizan la integridad de la información, incluso de aquella que está fuera
de la cadena de bloques.

14. Integridad, identidad y no
repudio
Las bases de la confianza

15. Integridad
• Tenemos que tener la seguridad de que la información asociada a las transacciones
electrónicas no es alterada o modificada.
• ¡Huellas digitales al rescate! Si la huella digital coincide, todo está en orden.
• Blockchain lleva el concepto de huellas digitales desde una única transacción sobre un
único documento (firma electrónica) a una secuencia de operaciones con múltiples
documentos: Cada huella añadida al sistema está realizada sobre la transacción anterior
en el tiempo.
• No garantizamos únicamente la integridad de una transacción, sino de todo un sistema en el que
las transacciones se suceden en el tiempo, con la ventaja de que, al encadenar huellas digitales,
la última de estas huellas es capaz de proporcionar integridad a toda la cadena.
• No todo está resuelto con las huellas digitales: Referencias longevas.
• Imaginemos… Yo creo mis referencias en la cadena de bloques usando huellas digitales en
formato SHA-3, pero los matemáticos un día descubren una forma de revertirlas ¿Qué pasa
entonces?

16. Identidad digital (I)
• La identidad va siempre ligada a la
clave privada, pero hay distintos
modelos:
• La clave privada como “título al
portador”.
• Modelo usado en Bitcoin, el que tiene la
clave privada, tiene la propiedad de los
bitcoins.
• Modelos de identidad “auto
soberana”.
• La red de Blockchain trabaja con sus propias identidades, construidas a partir de los consensos dentro de
la propia red, sustentados por evidencias acreditadas en la cadena de bloques.
• Modelos de identidad basados en autoridades.
• Autoridades en el ámbito privado: Proveedores de identidad comunes (Facebook, Google, LinkedIn, etc.).
• Autoridades reconocidas (CNP, FNMT-RCM, etc.).

17. Emisores
Testimonios
Atributos Core
Otros
Atributos
Prestadores
Servicios
Persona
Claves
Privadas
Testimonios
Cifrados
Persona
Alegaciones firmadas
(Persona)
Autenticación: Soy yo
Alegación: Soy así
Puedo hacerlo
Testimonios firmados
(Emisor)
Soy yo
Soy así
Puedo hacerlo
Validación
ALASTRIA ID
En detalle
Proxy
MetaIdMngr
Registry
MetaIdMngr
Proxy
MetaIdMngr
Proxy
Contracts

18. Identidad digital (III): Autoridades privadas
• Los proveedores de identidad “usuales” no trabajan con criptografía asimétrica, por lo
que no son aptos para usarse en Blockchain o firma electrónica “con garantías”.

19. Identidad digital (y IV): Autoridades reconocidas
• Persona física vs. Persona
física en representación
de persona jurídica.
• Identidad: Cuerpo
Nacional de Policía,
Fábrica Nacional de
Moneda y Timbre, etc.
• Registros: CORPME, etc.
• Sellos.
• Certificados profesionales:
Colegios profesionales,
etc.

20. No repudio
• ¿Qué es?
• Yo no he sido
• Tu no has sido
• ¿Cómo se garantiza?
• Claves intransferibles.
• Custodia adecuada de la clave
privada.
• Dispositivos Seguros de
Creación de Firmas (SSCD).
• Clausulados legales
convencionales: Política de
Firma, Declaración de
Prácticas de Certificación, etc.

21. Identidad digital y no repudio: ¿Qué dice la ley? (I)
• Identidad auto soberana

22. Identidad digital y no repudio: ¿Qué dice la ley? (y II)
• Identidad reconocida
• Ley 59/2003
• Leyes 39 y 40 de 2015
• Reglamento eIDAS (Reglamento (UE) N.º 910/2014) – Obliga a todos los estados miembros

23. Y un último escollo… El tiempo
• ¿Es relevante el tiempo en mis transacciones
electrónicas? ¿Tiene el momento re realización
repercusiones jurídicas?
• ¿Qué tecnologías tengo para el control “del
momento”?
• Servidores de hora (NTP), servidores de hora con firma
electrónica…
• ¿Real Observatorio de la Armada?
• Sellos de tiempo y marcas de hora…
• Autoridades de sellado de tiempo.
• ¿Qué significa realmente el momento declarado en el
sello de tiempo de un bloque en Blockchain?
• El momento de finalización del minado de la transacción.
• Políticas, políticas, políticas…

24. ¡Muchas gracias!
clawgrip@hotmail.com
https://www.linkedin.com/in/tomas-gmeras/

25. Tu Red de Contactos

28. bit.ly/DiscordDigital

29. ¡Gracias!