ES2870153T3 - Método y sistema de creación de una firma electrónica de un documento asociado a una persona por la huella de voz de la persona y método correspondiente para verificar la firma electrónica - Google Patents

Método y sistema de creación de una firma electrónica de un documento asociado a una persona por la huella de voz de la persona y método correspondiente para verificar la firma electrónica Download PDF

Info

Publication number
ES2870153T3
ES2870153T3 ES17198408T ES17198408T ES2870153T3 ES 2870153 T3 ES2870153 T3 ES 2870153T3 ES 17198408 T ES17198408 T ES 17198408T ES 17198408 T ES17198408 T ES 17198408T ES 2870153 T3 ES2870153 T3 ES 2870153T3
Authority
ES
Spain
Prior art keywords
document
person
voice recording
pronounceable
electronic signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES17198408T
Other languages
English (en)
Inventor
Fabrizio Leoni
Luca Boldrin
Igor Marcolongo
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Infocert SpA
Original Assignee
Infocert SpA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Infocert SpA filed Critical Infocert SpA
Application granted granted Critical
Publication of ES2870153T3 publication Critical patent/ES2870153T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Biomedical Technology (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioethics (AREA)
  • Storage Device Security (AREA)
  • Collating Specific Patterns (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Un método para crear una firma electrónica de un documento (2) asociado a una persona (1) por medio de la huella de voz de la persona (1); dicho método de creación comprende las etapas de: generar el documento (2) en formato electrónico; determinar un resumen de mensaje (8) del documento (2) por medio de una función hash (9); generar una lista de palabras que asocia a cada posible byte del resumen de mensaje (8) del documento (2) una palabra pronunciable correspondiente; crear una secuencia alfanumérica pronunciable (11) partiendo del resumen de mensaje (8) del documento (2) sustituyendo cada byte del resumen de mensaje (8) del documento (2) por la palabra pronunciable correspondiente de la lista de palabras; grabar la voz de la persona (1) para generar una grabación de voz de autenticación (13) mientras la persona (1) lee en voz alta la secuencia alfanumérica pronunciable (11); asociar la grabación de voz de autenticación (13) al documento (2) en formato electrónico; el método de creación está caracterizado por que comprende la etapa adicional de comprimir el resumen de mensaje (8) en un número fijo y preestablecido de bytes antes de sustituir cada byte del resumen de mensaje (8) del documento (2) por la palabra pronunciable correspondiente de la lista de palabras.

Description

DESCRIPCIÓN
Método y sistema de creación de una firma electrónica de un documento asociado a una persona por la huella de voz de la persona y método correspondiente para verificar la firma electrónica
Sector técnico
La presente invención se refiere a un método y a un sistema para crear una firma electrónica de un documento asociado a una persona por la huella de voz de la persona y a un método correspondiente para verificar la firma electrónica.
Técnica anterior
En informática, la firma electrónica representa el conjunto de datos en formato electrónico incluidos en otros datos electrónicos o bien conectados a los mismos a través de una asociación lógica y que el firmante utiliza para firmar los otros datos electrónicos en sí (es decir, para suscribirlos a efectos de confirmar su autenticidad).
La firma electrónica se puede basar en diversas tecnologías, entre las cuales, la más extendida es el cifrado de clave pública (en cuyo caso normalmente se utiliza el término "firma digital" en el caso de que se cumplan todos los requisitos establecidos por la ley italiana).
Un esquema típico de firma electrónica basado en la tecnología de clave pública consiste en tres algoritmos: un algoritmo para generar la clave, que produce un par de claves, es decir, la clave pública de verificación de la firma y la clave privada propiedad del firmante y que se utiliza para firmar el documento; un algoritmo de firma, que, tras haber recibido una entrada con un mensaje y una clave privada, calcula el código hash del mensaje y, cifrando el código hash del mensaje con la clave privada, produce una firma digital; y, por último, un algoritmo de verificación, que, tras haber recibido una entrada con el mensaje, la clave pública y la firma digital, acepta o rechaza la propia firma digital.
Cuando un usuario desea crear una firma para un documento, procede de la siguiente manera: con la ayuda de una función hash (pública), deriva el resumen de mensaje del documento (es decir, un archivo de dimensiones relativamente pequeñas que contiene una especie de código de verificación relativo al propio documento) y luego usa su propia clave privada y el resumen de mensaje del documento para generar una nueva cadena utilizando un algoritmo de firma proporcionado para este fin (por ejemplo, el algoritmo RSA bien conocido en la bibliografía): el resultado de esta codificación es la firma digital. La función hash se realiza de tal manera que minimiza la probabilidad de obtener, a partir de diferentes textos, un único y mismo valor del resumen de mensaje y es una función unidireccional (es decir, a partir del resumen de mensaje es imposible volver a obtener el texto original).
En este punto, la firma se adjunta al documento junto con la clave pública para crear el denominado "sobre de firma digital". Cualquiera puede verificar la autenticidad de un documento teniendo disponible la firma digital, el documento y la clave pública; para llevar a cabo la verificación, se vuelve a calcular el resumen de mensaje del documento y se utiliza una función de verificación de firma que establece con certeza si la firma digital se ha producido con el valor hash específico utilizando la clave privada correspondiente.
La titularidad de la firma digital está garantizada por los "certificadores" (que en Italia están regulados por la Sección II del Decreto Legislativo n.° 82/2005 y por el Reglamento UE 910-2014 eIDAS), es decir, están sujetos a requisitos particulares de integridad y son quienes pueden garantizar la fiabilidad organizativa, técnica y financiera.
En particular, los certificadores tienen la función de llevar los registros de las claves públicas para verificar la titularidad de la firma del firmante de un documento electrónico.
La adquisición de un par de claves para los sujetos privados (una clave privada, introducida en el dispositivo de firma seguro y una clave pública, para el certificado) normalmente es de pago y requiere la suscripción de un contrato con un certificador. Claramente es de crucial importancia que la liberación se produzca tras cierta identificación previa del firmante por parte del certificador para que la asociación que hace el certificado entre la clave pública y los datos demográficos del titular de la firma sea certera.
Al igual que una firma autógrafa en papel, también se puede repudiar la firma digital; es decir, no se garantiza el posterior no reconocimiento por parte del firmante; en otras palabras, posteriormente, el firmante podría declarar que la firma digital ha sido colocada en contra de su voluntad por un tercero, que se ha apoderado de la clave privada de forma más o menos fraudulenta.
La solicitud de patente n.° US2004102959A1 describe un método de autenticación de un archivo que contempla asociar al archivo una muestra de voz de autenticación de un usuario que indica la aprobación por parte del usuario del contenido del archivo.
La solicitud de patente n.° US2015172286A1 constituye el estado de la técnica más reciente y describe un método y un sistema para crear una firma electrónica de un documento asociado a una persona por medio de la huella de voz de la persona según lo establecido en la parte de pre-caracterización de las reivindicaciones independientes 1 y 12.
En particular, la solicitud de patente n.° US2015172286A1 describe un método que comprende: determinar un resumen de mensaje del documento por medio de una función hash (por ejemplo, "7km3wa2k9jv8em395m7b3"), grabar la voz de la persona para generar una grabación de voz de autenticación de la voz de la persona mientras la persona está leyendo en voz alta la parte inicial (por ejemplo, los primeros doce caracteres, es decir, "7km3wa2k9jv8") del resumen de mensaje del documento, y asociar la grabación de voz de autenticación al documento.
Sin embargo, la lectura del resumen de mensaje del documento (o de parte del resumen de mensaje del documento) puede ser problemática para las personas que no están acostumbradas a leer códigos alfanuméricos en voz alta y, por lo tanto, puede dar lugar a errores de interpretación (por ejemplo, la lectura en voz alta de la consonante "m" puede confundirse con la lectura en voz alta la consonante "n", y viceversa), lo que podría reducir la confianza en la grabación de voz de autenticación.
Descripción de la invención
El objetivo de la presente invención es proporcionar un método y un sistema para crear una firma electrónica de un documento asociado a una persona por medio de la huella de voz de la persona y un método correspondiente para verificar la firma electrónica, permitiendo dicho método y sistema de creación de la firma electrónica incrementar la confianza en la grabación de voz de autenticación.
De acuerdo con la presente invención, se proporciona un método y un sistema para crear una firma electrónica de un documento asociado a una persona por la huella de voz de la persona y un método correspondiente para verificar la firma electrónica, de acuerdo con lo especificado en las reivindicaciones adjuntas.
Breve descripción de los dibujos
La presente invención se describirá a continuación con referencia a los dibujos adjuntos, que ilustran un ejemplo no limitativo de realización de la misma y en los que:
• la Figura 1 es una vista esquemática de una persona que firma electrónicamente el contenido de un documento por medio de la huella de voz de conformidad con el método para crear una firma electrónica según la presente invención;
• la Figura 2 es una vista esquemática de la implementación del método para crear una firma electrónica según la presente invención;
• la Figura 3 es una vista esquemática de la implementación de una asociación entre el documento y una grabación de voz a través de una firma electrónica convencional; y
• la Figura 4 es una vista esquemática de un sobre de firma criptográfica obtenido siguiendo la asociación de la Figura 3.
Realizaciones preferidas de la invención
En la Figura 1, se designa con el número de referencia 1 a una persona que tiene que firmar electrónicamente un documento electrónico 2. El documento electrónico 2 puede estar constituido por cualquier objeto digital que haya que suscribir (por ejemplo, un documento en formato electrónico, tal como un contrato de compra, un archivo multimedia, una grabación de voz de una conversación, una transacción electrónica, un vale, etc.); en otras palabras, por "documento electrónico 2" se entiende cualquier tipo de objeto digital que se quiere suscribir.
A la persona 1 se le puede asociar una clave privada 3 y una clave pública 4 correspondiente, que, en conjunto, forman un sistema de cifrado asimétrico y que normalmente un tercero certificador le proporciona a la persona 1 después de una verificación previa de la identidad de la persona 1 (por ejemplo, las claves 3 y 4 son generadas por el certificador externo en SSCD (por sus siglas en inglés de "Secure Signature-Creation Device", dispositivo de creación de firmas seguras) y el tercero certificador proporciona un certificado, que asocia, mediante la verificación de identidad, la clave pública 4 y la persona 1); normalmente, la persona 1 utiliza las dos claves 3 y 4 para poner, de un modo totalmente conocido, una firma digital en un documento electrónico (por lo tanto, las dos claves 3 y 4 se pueden utilizar potencialmente para poner en el documento 2, de un modo totalmente conocido, la firma digital de la persona 1).
En otras palabras, la clave pública 4 y la clave privada 3 constituyen unas herramientas de firma digital de la persona física 1; es decir, "pertenecen" a la persona 1 y se han generado a petición de la persona 1.
Las dos claves 3 y 4 son generadas por un algoritmo proporcionado para este fin con la garantía de que la clave privada 3 es la única que es capaz de verificar correctamente los mensajes cifrados con la clave pública asociada 4.
La clave privada 3 se debe mantener confidencial (es decir, no se debe entregar ni revelar a nadie) en la medida en que debe ser utilizada solo por la persona 1 para descifrar los mensajes que recibe y para firmar los mensajes que envía; en su lugar, la clave pública 4 es utilizada por otros usuarios para cifrar los mensajes que envían a la persona 1 y para verificar la firma digital de la persona 1 y así establecer la autenticidad de la propia firma digital.
Por lo general, la clave privada 3 se almacena en un dispositivo físico (habitualmente una tarjeta inteligente, pero también podría ser un teléfono móvil o bien un servidor informático) propiedad de o disponible para la persona 1, y por lo tanto existe el riesgo real de que un tercero obtenga acceso fraudulentamente a la clave privada 3.
Como se describirá a continuación, la utilización (y por tanto la presencia) de las dos claves 3 y 4 asociadas unívocamente a la persona 1 no es necesaria para la implementación de la presente invención.
El servicio de generación de la firma electrónica del documento 2 lo presta un prestador de servicios 5 (que puede ser el mismo certificador que ha generado las dos claves 3 y 4 asociadas unívocamente a la persona 1, o bien puede ser otro sujeto independiente del certificador que ha generado las dos claves 3 y 4) que posee una clave privada 6 propia y una clave pública correspondiente 7, que juntas forman un sistema de cifrado asimétrico; el proveedor de servicios 5 puede ser un organismo certificador acreditado o bien puede incluso no ser un organismo certificador acreditado. Las dos claves 6 y 7 son generadas por un algoritmo proporcionado para este fin por el proveedor de servicios 5, con la garantía de que la clave privada 6 es la única capaz de descifrar correctamente los mensajes cifrados con la clave pública 7 asociada y viceversa. En otras palabras, la clave pública 7 y la clave privada 6 "pertenecen" al proveedor de servicios 5, que las usa, tal y como se describe más adelante, para la firma electrónica del documento 2.
Según lo ilustrado en la Figura 2, la primera etapa que se realiza, después de la generación del documento 2 en formato electrónico, consiste en determinar un resumen de mensaje 8 del documento 2 por medio de una función hash 9. En tecnología informática, una función hash criptográfica es un algoritmo matemático que transforma datos de longitud arbitraria (documento 2) en una cadena binaria (el resumen de mensaje 8) de un tamaño fijo denominado "valor hash", "suma de verificación" o "resumen de mensaje".
Los algoritmos hash que se utilizan están hechos para hacer que la probabilidad de obtener el mismo valor de resumen de mensaje de diferentes textos sea estadísticamente cero (es decir, el resumen de mensaje es sustancialmente único para cada texto) y son unidireccionales y, por lo tanto, no reversibles (es decir, a partir del resumen de mensaje es prácticamente imposible volver a obtener el texto original). A modo de ejemplo, la función hash 9 que se utiliza podría ser parte de la familia "SHA-2", por ejemplo, el algoritmo "SHA-256".
A continuación, se crea una secuencia alfanumérica pronunciable 11 partiendo del resumen de mensaje 8 del documento 2 y utilizando un algoritmo de transformación 12. En otras palabras, el resumen de mensaje 8 del documento 2 se transforma (de una manera generalmente no reversible) por medio del algoritmo de transformación 12 en una secuencia alfanumérica pronunciable 11 que corresponde al propio resumen de mensaje 8 y puede ser leída fácilmente por la persona 1 (a diferencia del resumen de mensaje 8, que es difícil de leer).
Según una realización preferida, la creación de la secuencia alfanumérica pronunciable 11 partiendo del resumen de mensaje 8 del documento 2 contempla la generación de una lista de palabras que asocia a cada posible byte del resumen de mensaje 8 del documento 2 una palabra pronunciable correspondiente, y luego sustituir cada byte del resumen de mensaje 8 del documento 2 por la palabra pronunciable correspondiente de la lista de palabras (en consecuencia, la lista de palabras se compone de 256 palabras diferentes).
Preferentemente, el resumen de mensaje 8 se comprime en un número fijo y preestablecido de bytes antes de que cada byte del resumen de mensaje 8 del documento 2 sea sustituido por la palabra pronunciable correspondiente de la lista de palabras. Según una posible realización, se puede proporcionar una serie de listas de palabras en diferentes idiomas de manera que la persona 1 pueda elegir el idioma que le resulte más cómodo.
Se debe enfatizar que ya hay diversas herramientas de software disponibles en el mercado (es decir, algoritmos de transformación 12) que transforman un resumen de mensaje (es decir, una cadena hash) en una secuencia alfanumérica pronunciable (es decir, en una cadena pronunciable). A modo de ejemplo, es posible utilizar la herramienta de software conocida como Humanhash que está disponible gratuitamente en la siguiente dirección: "https://github.com/zacharyvoase/human-hash"; a través de esta herramienta de software, el resumen de mensaje: "43c89e34eba31994be4fdcfb81994eb12dea99de7dd3 2003be4e80835c8eb 894" obtenido por medio del algoritmo hash SHA-256 se transforma en la secuencia alfanumérica pronunciable "berilio-igual a-magnesio". La herramienta de software Humanhash garantiza una unicidad estadística de la secuencia alfanumérica pronunciable de aproximadamente 1 de 4,3 * 109.
Una vez generada la secuencia alfanumérica pronunciable 11 que corresponde al resumen de mensaje 8 del documento 2, se pide a la persona 1 que lea (obviamente de una manera claramente audible) la secuencia alfanumérica pronunciable 11 ante un micrófono para generar una grabación de voz de autenticación 13 correspondiente (en formato digital, por ejemplo, utilizando el estándar MP3). Según una posible realización, la grabación de voz de autenticación 13 se somete (en tiempo real o retardado) a un procedimiento de reconocimiento de voz para reconstruir lo dicho por la persona 1 y verificar que existe una correspondencia entre lo dicho por la persona 1 y el contenido de la secuencia alfanumérica pronunciable 11; en caso de falta de correspondencia (total o más probablemente parcial), se pide a la persona 1 que vuelva a leer la secuencia alfanumérica pronunciable 11. De este modo, es posible corregir cualquier posible error de lectura (más o menos involuntario) cometido por la persona 1 al leer en voz alta la secuencia alfanumérica pronunciable 11.
La grabación de voz de autenticación 13 está asociada al documento 2 en formato electrónico como prueba de que el propio documento 2 ha sido firmado precisamente por la persona 1 quien está efectivamente presente y no por un tercero. Según una realización preferida (pero no vinculante), la grabación de voz de autenticación 13 se cifra utilizando la clave pública 7 del proveedor de servicios 5 que proporciona el servicio de firma electrónica para crear una grabación de voz de autenticación cifrada 14; según una realización diferente (obviamente no vinculante), para crear la grabación de voz de autenticación cifrada 14, la grabación de voz de autenticación 13 podría cifrarse utilizando la clave pública 4 de la persona 1 o bien utilizando cualquier otra clave de cifrado de la persona 1 diferente de las claves 3 y 4.
Se debe enfatizar que preferentemente (pero no obligatoriamente) debería garantizarse criptográficamente (por ejemplo, con la firma digital de un tercero, una marca de tiempo, la firma digital de la persona 1, etc.) la asociación entre el documento 2 y la grabación de voz de autenticación cifrada 14 (o, como alternativa, la grabación de voz de autenticación 13) de manera que no haya duda sobre el hecho de que la grabación de voz de autenticación cifrada 14 (o, como alternativa, la grabación de voz de autenticación 13) asociada al documento 2 no se modificará después de su asociación al propio documento 2.
Según una realización preferida (pero no vinculante) ilustrada en las Figuras 3 y 4, la asociación entre la grabación de voz de autenticación cifrada 14 (o, como alternativa, la grabación de voz de autenticación 13) y el documento 2 se obtiene por medio de una firma digital. En otras palabras, la asociación entre la grabación de voz de autenticación cifrada 14 (o, como alternativa, la grabación de voz de autenticación 13) y el documento 2 se obtiene introduciendo la grabación de voz de autenticación cifrada 14 (o, como alternativa, la grabación de voz de autenticación 13) en el denominado atributo firmado de una firma digital del documento 2.
Por ejemplo, el documento 2 y la grabación de voz de autenticación cifrada 14 (o, como alternativa, las grabaciones de voz de autenticación 13) se recogen en un nuevo documento acumulativo 15 que se firma electrónicamente por medio de una clave privada 16 para obtener una firma digital 17 y generar, por tanto, un sobre de firma criptográfica 18 (por ejemplo, un archivo con la extensión "p7m") que contiene el documento acumulativo 15 (es decir, el documento 2 y la grabación de voz de autenticación cifrada 14, tal y como se ilustra en la Figura 4), la firma digital 17, los atributos y el certificado.
Según una realización preferida, la clave privada 16 utilizada para crear la firma digital 17 es independiente de la clave pública 7 con la que se cifra la grabación de voz de autenticación 13; a saber, la clave privada 16 utilizada para crear la firma digital 17 no se correlaciona funcionalmente con la clave pública 7 con la que se cifra la grabación de voz de autenticación 13.
Según una posible realización, la clave privada 16 utilizada para crear la firma digital 17 pertenece al proveedor de servicios 5; como alternativa, la clave privada 16 utilizada para crear la firma digital 17 pertenece a la persona 1.
En la realización preferida descrita anteriormente, se le pide a la persona 1 que lea una secuencia alfanumérica en voz alta (es decir, la secuencia alfanumérica pronunciable 11), que se deriva del resumen de mensaje 8 y es diferente del propio resumen de mensaje 8. Según una realización alternativa, se le podría pedir a la persona 1 que lea en voz alta el resumen de mensaje 8 directamente (es decir, se omite la etapa de generar la secuencia alfanumérica pronunciable 11); de hecho, el resumen de mensaje 8 es complejo y largo, pero no imposible, de leer para la persona física 1.
En la realización preferida descrita anteriormente, se crea la grabación de voz de autenticación cifrada 14 (cifrada por medio de la clave pública 7) y se asocia al documento 2. Según una realización alternativa, se crea la grabación de voz de autenticación no cifrada 13 (que puede consultar libremente cualquier persona ya que no tiene ningún tipo de cifrado) y se asocia al documento 2.
Por lo general, la clave pública 4 y la clave privada 3 (obviamente cuando está prevista) se generan antes de la generación de la firma electrónica del documento 2 y también pueden ser utilizadas por la persona 1 para la firma electrónica de otros documentos. Del mismo modo, la clave pública 6 y la clave privada 7 (obviamente cuando está prevista) también se generan antes de la generación de la firma electrónica del documento 2 y también son utilizadas por el proveedor de servicios 5 para la firma electrónica de otros documentos. De la misma manera, la clave privada 16 (obviamente cuando está prevista) también se genera antes de la generación de la firma electrónica del documento 2 y también es utilizada por el proveedor de servicios 5 o por la persona 1 (dependiendo de quién sea el propietario de la clave 16) para la firma electrónica de otros documentos.
Según una realización preferida, la grabación de voz de autenticación 13 (que, en el caso de un cifrado previo, se obtiene descifrando la grabación de voz de autenticación cifrada 14 utilizando la clave privada 6 del proveedor de servicios 5) se utiliza en una etapa de verificación posterior o bien en el caso de que se ponga en duda la autenticidad de la firma electrónica, es decir, en el caso de que la persona 1 repudie la firma electrónica.
Si se puede localizar a la persona 1, se le pide que vuelva a leer la secuencia alfanumérica pronunciable 11 en voz alta para crear una grabación de voz comparativa con la que comparar la grabación de voz de autenticación 13 para verificar si las dos grabaciones de voz provienen de la misma persona, es decir, si tienen la misma huella de voz (obviamente, la grabación de voz comparativa puede comprender la lectura de cualquier otro tipo de texto además o en lugar de la secuencia alfanumérica pronunciable 11); esta comparación puede realizarse por medio de un software y/o por medio de un experto (en particular, cuando sea una autoridad judicial la que requiera la verificación).
Si no se puede localizar a la persona 1, es posible utilizar, para la comparación, una grabación de voz comparativa que se haya adquirido previamente haciendo que la persona 1 lea un texto estándar en voz alta (obviamente diseñado para proporcionar una imagen completa y exhaustiva de la huella de voz de la persona física 1); esta grabación de voz comparativa puede grabarse y almacenarse en el momento de generar la clave privada 3 y la clave pública 4, o bien (más probablemente) puede grabarse y almacenarse en un momento completamente distinto del momento de generación de la clave privada 3 y la clave pública 4 (que, como ya se ha mencionado, incluso podría no existir).
Ciertamente es preferible, aunque no es estrictamente obligatorio, adquirir la grabación de voz comparativa, a más tardar, en el momento de la creación de la firma electrónica, en la medida en que, después de la creación de la firma electrónica, la persona 1 podría ya no estar localizable (ya sea por elección propia o por motivos de fuerza mayor) o, si la persona 1 está localizable, él o ella podría no estar disponible (ya sea por elección propia o por motivos de fuerza mayor) para proporcionar la grabación de voz comparativa.
Cabe señalar que la huella de voz es el conjunto de características de la voz de un individuo que permiten la identificación del mismo. Aunque no hay consenso sobre lo que podría ser un conjunto exhaustivo de tales características, se conocen algunas mediciones que pueden caracterizar razonablemente a individuos diferenciados en grupos suficientemente limitados de individuos (por ejemplo, de unos pocos cientos).
Según una posible realización, antes de la firma del documento 2 (por ejemplo, pero no exclusivamente, simultáneamente a la generación de la clave privada 3 y la clave pública 4 de la persona física 1) también se graba y almacena una grabación de voz comparativa haciendo que la persona 1 lea en voz alta un texto estándar. Esta grabación de voz comparativa se puede utilizar cuando sea necesario verificar el origen de la grabación de voz de autenticación 13 adquirida en el momento de la firma electrónica del documento 2. Según una posible realización, siempre se puede hacer una comparación (utilizando el software apropiado) entre la grabación de voz de autenticación 13 y la grabación de voz comparativa en el momento de la firma del documento 2 para verificar preliminarmente (e independientemente de las objeciones posteriores) si existe una correspondencia (al menos aceptable) entre la huella de voz de la grabación de voz de autenticación 13 y la huella de voz de la grabación de voz comparativa. Evidentemente, en caso de falta de correspondencia entre la huella de voz de la grabación de voz de autenticación 13 y la huella de voz de la grabación de voz comparativa, la firma electrónica del documento 2 queda suspendida a la espera de verificaciones adicionales. De este modo, la posibilidad de que la firma electrónica sea generada de manera fraudulenta por un tercero que haya obtenido ilegalmente la posesión de la clave privada 3 de la persona física 1 se reduce significativamente (si no se descarta prácticamente).
En la realización descrita anteriormente, la grabación de voz de autenticación 13 se asocia al documento 2 en formato electrónico por medio de un cifrado asimétrico (es decir, utilizando una firma electrónica) en la medida en que el cifrado asimétrico es un sistema muy extendido. Sin embargo, es evidente que la grabación de voz de autenticación 9 puede asociarse al documento 2 en formato electrónico utilizando cualquier otro tipo de sistema de asociación que no sea el cifrado asimétrico.
Las modalidades descritas anteriormente para la firma electrónica del documento 2 normalmente se pueden lograr utilizando herramientas de software más o menos automatizadas (es decir, más o menos autónomas). En otras palabras, todo el proceso de adquisición de la firma electrónica del documento 2 puede implicar solo a la persona 1 que interactúa con una herramienta de software, o bien también puede implicar a un supervisor humano (habitualmente conectado remotamente) que controla el proceso (incluso sin intervenir directamente salvo en caso de dificultades).
Resumiendo lo que se ha expuesto anteriormente, la firma electrónica que se crea mediante la adquisición de la grabación de voz de autenticación 13 puede ser una firma electrónica avanzada, una firma electrónica cualificada o bien una firma electrónica digital; el discriminante está vinculado a las modalidades de verificación de la identidad de la persona 1 (es decir, a las modalidades de inscripción) antes de la creación de la firma electrónica, es decir, si antes de la creación de la firma electrónica se ha verificado o no la identidad de la persona 1 y, en caso de haberse verificado, si la identidad de la persona 1 se ha verificado de manera más o menos fiable. El método para crear una firma electrónica descrito anteriormente presenta numerosas ventajas.
En primer lugar, el método para crear una firma electrónica descrito anteriormente permite un aumento significativo de la confianza en la firma electrónica en la medida en que se mejora significativamente el proceso de validación. De hecho, considerando que es posible que un tercero se apodere de la clave privada 3 de la persona 1, es extremadamente difícil, si no prácticamente imposible, que un tercero pueda reproducir de manera extremadamente fiel la huella de voz de la persona física 1. En otras palabras, la firma electrónica tradicional tiene integrado, si no la sustituye, un contenido (la grabación de voz de autenticación 13) que se deriva directamente de los datos biométricos de la persona física 1.
Asimismo, el método para crear una firma electrónica descrito anteriormente es particularmente seguro en la medida en que el dato biométrico de la persona 1 (es decir, la huella de voz de la persona) no se extrae en sí mismo (como ocurre, por ejemplo, con las huellas dactilares o los escaneos de iris) y, por tanto, es siempre el mismo para todas las firmas electrónicas, pero está "personalizado" para el documento 2 en la medida en que se le pide a la persona 1 que lea en voz alta un texto (la secuencia alfanumérica pronunciable 11) que se deriva directamente del resumen de mensaje 8 del documento 2 y, por tanto, cambia (sustancialmente) incluso en el caso de modificaciones menores del propio documento 2. En consecuencia, la grabación de voz de autenticación 13 de un documento 2 no se puede utilizar de ninguna manera para otro documento 2 diferente (aunque sea ligeramente).
Cabe señalar que la huella de voz es extremadamente competitiva en el plano comercial en comparación con otras tecnologías biométricas (por ejemplo, huellas dactilares) en la medida en que la detección de la huella de voz, incluso aunque sea muy precisa, se vale de herramientas estándar (micrófonos ordinarios) y no requiere equipo específico. Además, la grabación de la voz de una persona es un método común y generalizado que nunca se percibe como "invasivo" de la esfera de privacidad de la persona y, por tanto, siempre se acepta fácilmente. En cambio, la adquisición de huellas dactilares con frecuencia se asocia con controles policiales (históricamente, las huellas dactilares se adquirían en caso de detención) y, por lo tanto, con frecuencia se percibe como "invasivo" de la esfera de privacidad de la persona.

Claims (13)

REIVINDICACIONES
1. Un método para crear una firma electrónica de un documento (2) asociado a una persona (1) por medio de la huella de voz de la persona (1); dicho método de creación comprende las etapas de:
generar el documento (2) en formato electrónico;
determinar un resumen de mensaje (8) del documento (2) por medio de una función hash (9);
generar una lista de palabras que asocia a cada posible byte del resumen de mensaje (8) del documento (2) una palabra pronunciable correspondiente;
crear una secuencia alfanumérica pronunciable (11) partiendo del resumen de mensaje (8) del documento (2) sustituyendo cada byte del resumen de mensaje (8) del documento (2) por la palabra pronunciable correspondiente de la lista de palabras;
grabar la voz de la persona (1) para generar una grabación de voz de autenticación (13) mientras la persona (1) lee en voz alta la secuencia alfanumérica pronunciable (11);
asociar la grabación de voz de autenticación (13) al documento (2) en formato electrónico; el método de creación está caracterizado por que comprende la etapa adicional de comprimir el resumen de mensaje (8) en un número fijo y preestablecido de bytes antes de sustituir cada byte del resumen de mensaje (8) del documento (2) por la palabra pronunciable correspondiente de la lista de palabras.
2. El método de creación de acuerdo con la reivindicación 1 y que comprende las etapas adicionales de:
someter, en tiempo real o retardado, la grabación de voz de autenticación (13) a un procedimiento de reconocimiento de voz para reconstruir lo que ha dicho la persona (1);
verificar que existe una correspondencia entre lo dicho por la persona (1) y el contenido de la secuencia alfanumérica pronunciable (11); y
pedir a la persona (1), en caso de falta total o parcial de correspondencia, que vuelva a leer la secuencia alfanumérica pronunciable (11).
3. El método de creación de acuerdo con la reivindicación 1 o 2 y que comprende la etapa adicional de adquirir, a más tardar en el momento de creación de la firma electrónica, una grabación de voz comparativa haciendo que la persona (1) lea un texto estándar en voz alta.
4. El método de creación de acuerdo con la reivindicación 1, 2 o 3 y que comprende la etapa adicional de cifrar la grabación de voz de autenticación (13) antes de asociar la grabación de voz de autenticación (13) al documento (2) en formato electrónico de tal manera que se asocie al documento (2) en formato electrónico una grabación de voz de autenticación cifrada (14).
5. Método de creación de acuerdo con la reivindicación 4 y que comprende la etapa adicional de cifrar la grabación de voz de autenticación (13) por medio de una clave pública (7) perteneciente a un proveedor de servicios (5) o bien por medio de una clave pública (4) perteneciente a la persona (1), para llevar a cabo un cifrado asimétrico de la grabación de voz de autenticación (13).
6. El método de creación de acuerdo con una cualquiera de las reivindicaciones 1 a 5 y que comprende la etapa adicional de usar una firma electrónica (17) para asociar la grabación de voz de autenticación (13) al documento (2).
7. El método de creación de acuerdo con la reivindicación 6 y que comprende la etapa adicional de crear un sobre de firma criptográfica (18) que contiene el documento (2) y la grabación de voz de autenticación (13).
8. El método de creación de acuerdo con la reivindicación 6 o 7 y que comprende la etapa adicional de cifrar la grabación de voz de autenticación (13) por medio de una clave pública (7; 4) que no se correlaciona funcionalmente con una clave privada (16) utilizada para generar la firma electrónica que asocia la grabación de voz de autenticación (13) al documento (2).
9. El método de creación de acuerdo con una cualquiera de las reivindicaciones 1 a 8, en donde la asociación entre el documento (2) y la grabación de voz de autenticación (13) está garantizada criptográficamente.
10. Método para crear una firma electrónica según cualquiera de las reivindicaciones 1 a 9, que además comprende un método de verificación; comprendiendo dicho método de verificación las etapas de:
extraer una grabación de voz de autenticación (13) asociada al documento (2);
obtener una grabación de voz comparativa creada grabando la voz de la persona (1); y
comparar la grabación de voz de autenticación (13) con la grabación de voz comparativa para verificar si las dos grabaciones de voz provienen o no de la misma persona, es decir, si tienen o no la misma huella de voz.
11. Método de acuerdo con la reivindicación 10 y que comprende la etapa adicional de obtener la grabación de voz comparativa haciendo que la persona (1) lea en voz alta un resumen de mensaje (8) del documento (2) u otra secuencia alfanumérica derivada del propio resumen de mensaje (8) utilizado durante la creación de la firma electrónica.
12. Método de acuerdo con la reivindicación 10 y que comprende la etapa adicional de obtener la grabación de voz comparativa haciendo que la persona (1) lea en voz alta un texto estándar diferente de un resumen de mensaje (8) del documento (2) o de otra secuencia alfanumérica derivada del propio resumen de mensaje (8) utilizado durante la creación de la firma electrónica.
13. Un sistema para crear una firma electrónica de un documento (2) asociado a una persona (1) por medio de la huella de voz de la persona (1); dicho sistema de creación comprende:
un primer dispositivo para recibir el documento (2) en formato electrónico;
un segundo dispositivo para determinar un resumen de mensaje (8) del documento (2) por medio de una función hash (9);
en donde el segundo dispositivo contiene una lista de palabras que asocia a cada posible byte del resumen de mensaje (8) del documento (2) una palabra pronunciable correspondiente;
en donde el segundo dispositivo crea una secuencia alfanumérica pronunciable (11) partiendo del resumen de mensaje (8) del documento (2) sustituyendo cada byte del resumen de mensaje (8) del documento (2) por la palabra pronunciable correspondiente de la lista de palabras;
un tercer dispositivo para grabar la voz de la persona (1) para generar una grabación de voz de autenticación (13) mientras la persona (1) lee en voz alta la secuencia alfanumérica pronunciable (11) derivada del propio resumen de mensaje (8); y
un cuarto dispositivo para asociar la grabación de voz de autenticación (13) al documento (2) en formato electrónico;
estando el sistema de creación caracterizado por que el segundo dispositivo comprime el resumen del mensaje (8) en un número fijo y preestablecido de bytes antes de sustituir cada byte del resumen del mensaje (8) del documento (2) por la palabra pronunciable correspondiente de la lista de palabras.
ES17198408T 2016-10-25 2017-10-25 Método y sistema de creación de una firma electrónica de un documento asociado a una persona por la huella de voz de la persona y método correspondiente para verificar la firma electrónica Active ES2870153T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
IT102016000107548A IT201600107548A1 (it) 2016-10-25 2016-10-25 Metodo e sistema di creazione di una firma elettronica di un documento associata ad una persona mediante l'impronta vocale della persona stessa e relativo metodo di verifica della firma elettronica

Publications (1)

Publication Number Publication Date
ES2870153T3 true ES2870153T3 (es) 2021-10-26

Family

ID=58162980

Family Applications (1)

Application Number Title Priority Date Filing Date
ES17198408T Active ES2870153T3 (es) 2016-10-25 2017-10-25 Método y sistema de creación de una firma electrónica de un documento asociado a una persona por la huella de voz de la persona y método correspondiente para verificar la firma electrónica

Country Status (3)

Country Link
EP (1) EP3316162B1 (es)
ES (1) ES2870153T3 (es)
IT (1) IT201600107548A1 (es)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109272287A (zh) * 2018-08-31 2019-01-25 业成科技(成都)有限公司 系统控制方法、电子签核系统、计算机及可读存储介质
CN111695161B (zh) * 2020-06-11 2023-05-12 江苏海洋大学 一种基于声纹表征参数的数字签名方法
CN115664867B (zh) * 2022-12-27 2023-04-07 成都天府通数字科技有限公司 基于第三方认证的电子合约签署装置和方法
US20240354494A1 (en) * 2023-04-18 2024-10-24 Dropbox, Inc. Generating, applying, and verifying audio signatures for digital documents

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002080116A1 (en) * 2001-03-28 2002-10-10 Ron Shimon Estrin Authentication methods, apparatus, media and signals
US7502934B2 (en) * 2003-12-16 2009-03-10 Sap Aktiengesellschaft Electronic signatures
TWI412941B (zh) * 2008-11-25 2013-10-21 Inst Information Industry 產生及驗證一訊息之一語音簽章之裝置、方法及其電腦程式產品
US9438589B2 (en) * 2012-04-19 2016-09-06 Martin Tomlinson Binding a digital file to a person's identity using biometrics

Also Published As

Publication number Publication date
EP3316162B1 (en) 2021-02-24
EP3316162A1 (en) 2018-05-02
IT201600107548A1 (it) 2018-04-25
EP3316162A8 (en) 2018-11-21

Similar Documents

Publication Publication Date Title
US9716698B2 (en) Methods for secure enrollment and backup of personal identity credentials into electronic devices
US7930554B2 (en) Remote authentication and transaction signatures
US10594688B2 (en) Privacy-enhanced biometrics-secret binding scheme
US9124433B2 (en) Remote authentication and transaction signatures
ES2779750T3 (es) Sistema de firma electrónica para un documento electrónico que utiliza un circuito de autenticación de terceros
CN100566255C (zh) 提高智能密钥设备安全性的方法和系统
ES2763186T3 (es) Un método implementado en ordenador para certificar automáticamente documentos con garantías de integridad y autenticidad y programas de ordenador del mismo
JP5676592B2 (ja) 参照点を使用した及び使用しない頑強なバイオメトリック特徴抽出
US20030115475A1 (en) Biometrically enhanced digital certificates and system and method for making and using
US8775809B2 (en) Fuzzy biometrics based signatures
ES2870153T3 (es) Método y sistema de creación de una firma electrónica de un documento asociado a una persona por la huella de voz de la persona y método correspondiente para verificar la firma electrónica
US20120191977A1 (en) Secure transaction facilitator
CN101957898A (zh) 信息处理设备、信息处理方法及程序
ES2910352T3 (es) Procedimiento de autenticación fuerte de un individuo
ES2749606T3 (es) Procedimiento y sistema para la protección de registros de información de usuario para su uso en procesos electorales
BRPI0808238A2 (pt) Aparelho de identificação, sistema de identificação e autenticação e método para identificar uma pessoa"
CN116094724A (zh) 一种用于电子身份的注册及认证方法及装置
ES2972228T3 (es) Autenticación de firma manuscrita digitalizada
JP2003134108A (ja) 電子署名システム、電子署名検証装置、電子署名検証方法、プログラム、及び記録媒体
JP4495957B2 (ja) 生体照合を用いた個人認証装置、生体照合を用いた個人認証システム、及び生体照合を用いた個人認証方法
CN109117646A (zh) 一种保护指纹细节点模板数据库隐私的方法
JP2020022150A (ja) 情報処理システム及び情報処理方法
CN1965279A (zh) 生物统计模板的秘密保护体系
JP3828729B2 (ja) 署名文送付装置、署名文認証装置及びそれらの装置の実現に用いられるプログラムを記録したコンピュータ読み取り可能な記録媒体
Johnson Privacy enhanced remote voice verification