Certificados Digitales

El Certificado Digital es el nico medio que permite garantizar tcnica y

legalmente la identidad de una persona en Internet. Se trata de un requisito
indispensable para que las instituciones puedan ofrecer servicios seguros a
travs de Internet. Adems:
El certificado digital permite la firma electrnica de documentos. El receptor de
un documento firmado puede tener la seguridad de que ste es el original y no
ha sido manipulado y el autor de la firma electrnica no podr negar la autora
de esta firma.
El certificado digital permite cifrar las comunicaciones. Solamente
destinatario de la informacin podr acceder al contenido de la misma.

el

En definitiva, la principal ventaja es que disponer de un certificado le ahorrar

tiempo y dinero al realizar trmites administrativos en Internet, a cualquier
hora y desde cualquier lugar.

Certificados X.509
El formato de certificados X.509 es un estndar del ITU-T (International
Telecommunication Union-Telecommunication Standarization Sector) y el
ISO/IEC (International Standards Organization / International Electrotechnical
Commission) que se public por primera vez en 1988. El formato de la versin
1 fue extendido en 1993 para incluir dos nuevos campos que permiten soportar
el control de acceso a directorios. Despus de emplear el X.509 v2 para
intentar desarrollar un estndar de correo electrnico seguro, el formato fue
revisado para permitir la extensin con campos adicionales, dando lugar al
X.509 v3, publicado en 1996.

1. Los elementos del formato de un certificado X.509 v3 son:

1) Versin. El campo de versin contiene el nmero de versin del certificado

codificado. Los valores aceptables son 1, 2 y 3.

2) Nmero de serie del certificado. Este campo es un entero asignado por

la autoridad certificadora. Cada certificado emitido por una CA debe tener un
nmero de serie nico.
Identificador del algoritmo de firmado. Este campo identifica el algoritmo
empleado para firmar el certificado (como por ejemplo el RSA o el DSA).
3) Nombre del emisor. Este campo identifica la CA que ha firmado y emitido
el certificado.
Periodo de validez. Este campo indica el periodo de tiempo durante el cual el
certificado es vlido y la CA est obligada a mantener informacin sobre el
estado del mismo. El campo consiste en una fecha inicial, la fecha en la que
el certificado empieza a ser vlido y la fecha despus de la cual el certificado
deja de serlo.
4) Nombre del sujeto. Este campo identifica la identidad cuya clave pblica
est certificada en el campo siguiente. El nombre debe ser nico para cada
entidad certificada por una CA dada, aunque puede emitir ms de un
certificado con el mismo nombre si es para la misma entidad.
5) Informacin de clave pblica del sujeto. Este campo contiene la clave
pblica, sus parmetros y el identificador del algoritmo con el que se emplea
la clave.
6) Identificador nico del emisor. Este es un campo opcional que permite
reutilizar nombres de emisor.
7) Identificador nico del sujeto. Este es un campo opcional que permite
reutilizar nombres de sujeto.
8) Extensiones.
Las extensiones del X.509 v3 proporcionan una manera de asociar informacin
adicional a sujetos, claves pblicas, etc. Un campo de extensin tiene tres
partes:

Tipo de extensin. Es un identificador de objeto que proporciona la

semntica y el tipo de informacin (cadena de texto, fecha u otra estructura
de datos) para un valor de extensin.

Valor de la extensin. Este subcampo contiene el valor actual del campo.

Indicador de importancia. Es un flag que indica a una aplicacin si es

seguro ignorar el campo de extensin si no reconoce el tipo. El indicador
proporciona una manera de implementar aplicaciones que trabajan de modo
seguro con certificados y evolucionan conforme se van aadiendo nuevas
extensiones.

El ITU y el ISO/IEC han desarrollado y publicado un conjunto de

extensiones estndar en un apndice al X.509 v3:
Limitaciones bsicas. Este campo indica si el sujeto del certificado es una CA
y el mximo nivel de profundidad de un camino de certificacin a travs de esa
CA.
Poltica de certificacin. Este campo contiene las condiciones bajo las que la
CA emiti el certificado y el propsito del certificado.
Uso de la clave. Este campo restringe el propsito de la clave pblica
certificada, indicando, por ejemplo, que la clave slo se debe usar para firmar,
para la encriptacin de claves, para la encriptacin de datos, etc.
Este campo suele marcarse como importante, ya que la clave slo est
certificada para un propsito y usarla para otro no estara validado en el
certificado.
El formato de certificados X.509 se especifica en un sistema de notacin
denominado sintaxis abstracta uno (Abstract Sintax One o ASN-1).
Para la transmisin de los datos se aplica el DER (Distinguished Encoding
Rules o reglas de codificacin distinguible), que transforma el certificado en
formato ASN-1 en una secuencia de octetos apropiada para la transmisin en
redes reales.

2. Listas de Anulacin de Certificados X.509

El formato de listas de anulacin de certificados X.509 es un estndar del ITU-T
y la ISO/IEC que se public por primera vez en 1988 como versin 1.

El formato fue modificado para incluir campos de extensin, dando origen al al

formato X.509 v2 CRL.
Los campos bsicos de un formato X.509 CRL (vlidos para las
versiones 1 y 2) son:
1) Versin. Debe especificar la versin 2 si hay algn campo de extensin.
2) Firma. El campo contiene identificador del algoritmo empleado para
firmar la CRL.
3) Nombre del generador. Este campo contiene el nombre de la entidad
que ha generado y firmado la CRL.
4) Esta actualizacin. Fecha y hora de la generacin de la CRL.
5) Prxima actualizacin. Indica la fecha y hora de la prxima
actualizacin. El siguiente CRL puede ser generado antes de la fecha
indicada pero no despus de ella.
6) Certificado del usuario. Contiene el nmero de serie de un certificado
anulado.
7) Fecha de anulacin. Indica la fecha efectiva de la anulacin.
Existe tambin un conjunto de campos de entrada de extensin en las CRLs
X.509 v2, como el cdigo de razn, que identifica la causa de la anulacin: sin
especificar, compromiso de clave, compromiso de la CA, cambio de afiliacin,
superado (el certificado ha sido reemplazado), cese de operacin (el certificado
ya no sirve para su propsito original), certificado en espera (el certificado est
suspendido temporalmente) y elimina de la CRL (un certificado que apareca en
una CRL previa debe ser eliminado).
Adicionalmente tambin se ha aadido un conjunto de extensiones para las
X.509v2 CRL con los mismos subcampos que en los certificados X.509v3. Estas
extensiones permiten que una comunidad o entidad se defina sus propios
campos de extensin privados.
3. Autoridades Certificadoras
Una autoridad certificadora es una organizacin fiable que acepta solicitudes
de certificados de entidades, las valida, genera certificados y mantiene la
informacin de su estado.

Una CA debe proporcionar una Declaracin de Prcticas de Certificacin

(Certification Practice Statement o CPS) que indique claramente sus polticas y
prcticas relativas a la seguridad y mantenimiento de los certificados, la
responsabilidades de la CA respecto a los sistemas que emplean sus
certificados y las obligaciones de los subscriptores respecto de la misma.

Las labores de un CA son:

Admisin de solicitudes. Un usuario rellena un formulario y lo enva a

la CA solicitando un certificado. La generacin de las claves pblica y
privada son responsabilidad del usuario o de un sistema asociado a la
CA.

Autentificacin del sujeto. Antes de firmar la informacin

proporcionada por el sujeto la CA debe verificar su identidad.
Dependiendo del nivel de seguridad deseado y el tipo de certificado se
debern tomar las medidas oportunas para la validacin.

Generacin de certificados. Despus de recibir una solicitud y validar

los datos la CA genera el certificado correspondiente y lo firma con su
clave privada. Posteriormente lo manda al subscriptor y, opcionalmente,
lo enva a un almacn de certificados para su distribucin.

Distribucin de certificados. La entidad certificadora puede

proporcionar un servicio de distribucin de certificados para que las
aplicaciones tengan acceso y puedan obtener los certificados de sus
subscriptores. Los mtodos de distribucin pueden ser: correo
electrnico, servicios de directorio como el X.500 o el LDAP, etc.

Anulacin de certificados. Al igual que sucede con las solicitudes de

certificados, la CA debe validar el origen y autenticidad de una solicitud
de anulacin. La CA debe mantener informacin sobre una anulacin
durante todo el tiempo de validez del certificado original.

Almacenes de datos. Hoy en da existe una nocin formal de almacn

donde se guardan los certificados y la informacin de las anulaciones. La
designacin oficial de una base de datos como almacn tiene por objeto
sealar que el trabajo con los certificados es fiable y de confianza.

4. Cmo se utilizan los certificados digitales para el cifrado de

mensajes
Del mismo modo que los certificados digitales hacen posible las firmas digitales
al hacer que las claves pblicas estn disponibles para el proceso de
comprobacin, los certificados digitales tambin hacen posible el cifrado de
mensajes al hacer que las claves pblicas estn disponibles, de forma que
puedan utilizarse las claves para el proceso de cifrado. Como se ha explicado
en la seccin "Criptografa mediante claves pblicas y cifrado de mensajes"
en Descripcin de la criptografa mediante claves pblicas, un remitente puede
tener acceso a la clave pblica del destinatario, lo que permite al remitente
cifrar el mensaje, sabiendo que slo el destinatario podr descifrarlo. Esta vez
es el certificado digital del destinatario el que hace posible que se realice el
cifrado. Como ocurre con las firmas digitales, la clave pblica de los
certificados digitales hace posible la operacin. La figura siguiente muestra la
secuencia de cifrado con los elementos auxiliares de los certificados digitales.

1. Se captura el mensaje.
2. Se recupera la clave pblica del certificado digital del destinatario.
3. Se genera la clave de sesin simtrica de un nico uso.
4. Se realiza la operacin de cifrado en el mensaje mediante la clave de sesin.
5. Se cifra la clave de sesin mediante la clave pblica del destinatario.
6. Se incluye la clave de sesin cifrada en el mensaje cifrado.
7. Se enva el mensaje.

La figura siguiente muestra la secuencia de descifrado, con la incorporacin de los

elementos auxiliares de los certificados digitales.

1. Se recibe el mensaje.
2. Se recuperan del mensaje el mensaje cifrado y la clave de sesin cifrada.
3. Se recupera la clave privada del destinatario del certificado digital del
destinatario.
4. Se descifra la clave de sesin mediante la clave privada del destinatario
obtenida a partir del certificado digital del destinatario.
5. Se descifra el mensaje con la clave de sesin descifrada.
6. Se devuelve el mensaje sin cifrar al destinatario.

5. Cmo se utilizan los certificados digitales para las firmas digitales y

el cifrado de mensajes
Las firmas digitales y el cifrado de mensajes se complementan uno a otro. La
figura siguiente muestra la secuencia de firma y cifrado, con la incorporacin
de los elementos auxiliares de una firma digital.

1. Se captura el mensaje.
2. Se calcula el valor de hash del mensaje.
3. Se recupera la clave privada del remitente del certificado digital del remitente.
4. Se recupera la clave pblica del destinatario del certificado digital del
destinatario.
5. Se cifra el valor de hash con la clave privada del remitente.
6. Se anexa al mensaje el valor de hash cifrado como una firma digital.
7. Se genera la clave de sesin simtrica de un nico uso.
8. Se realiza la operacin de cifrado en el mensaje mediante una clave de sesin.
9. Se cifra la clave de sesin mediante la clave pblica del destinatario.
10. Se incluye la clave de sesin cifrada en el mensaje cifrado.
11. Se enva el mensaje.

La figura siguiente muestra la secuencia de descifrado y comprobacin de la

firma digital, con la incorporacin de los elementos auxiliares de la criptografa
mediante claves pblicas.

1. Se recibe el mensaje.
2. Se recuperan del mensaje el mensaje cifrado y la clave de sesin cifrada.
3. Se recupera la clave privada del destinatario del certificado digital del
destinatario.
4. Se descifra la clave de sesin mediante la clave privada del destinatario
obtenida a partir del certificado digital del destinatario.
5. Se descifra el mensaje con la clave de sesin descifrada.
6. Se recupera del mensaje la firma digital que contiene el valor de hash cifrado.
7. Se calcula el valor de hash del mensaje.
8. Se recupera la clave pblica del remitente del certificado digital del remitente.
9. Se descifra con la clave pblica del remitente el valor de hash cifrado.
10. Se compara el valor de hash descifrado con el valor de hash obtenido en la
recepcin.
11. Si los valores coinciden, el mensaje es vlido.

12. Se devuelve el mensaje sin cifrar al destinatario.

Si entiende cmo los certificados digitales hacen posible la criptografa

mediante claves pblicas y cmo funciona la criptografa mediante claves
pblicas para ofrecer los servicios bsicos de seguridad para las firmas
digitales y el cifrado de mensajes, entender cmo funciona la seguridad de los
mensajes con S/MIME. Juntos, estos conceptos conforman el ncleo
fundamental de la seguridad de los mensajes.