Certificados Digitales - Libre

Anglica Gonzlez Arrieta Dpto. de Informtica y Automtica Facultad de Ciencias Plaza de la Merced, s/n. 37008 Salamanca, Espaa angelica@usal.
es
3.- Certificado digital

Hemos visto que con un sistema de cifrado de claves asimtricas se aseguran todos los parmetros que superan las amenazas en las comunicaciones electrnicas a travs de canales inseguros. Uno de los mayores problemas en el sistema de cifrado de clave asimtrica es cmo aseguramos la vinculacin de una clave pblica a una persona o entidad en concreto. Para dar respuesta a esta necesidad surgen los certificados electrnicos.
3.1.- Concepto El certificado electrnico es un documento electrnico que contiene diversos datos, entre ellos el nombre de un usuario y su clave pblica, emitido por una entidad de confianza, que identifica a su propietario ante terceros previniendo la suplantacin de su identidad. Como emisor y receptor confiarn en esa AC, el usuario que tenga un certificado expedido por ella se autenticar ante el otro, en tanto que su clave pblica est firmada por dicha autoridad. Constituye una verdadera "cdula de identidad" digital, que permite al propietario del mismo, demostrar que su identidad se corresponde con su clave pblica. Es equivalente a un DNI o pasaporte en el mundo de las nuevas tecnologas. El certificado electrnico es un documento firmado electrnicamente por un prestador de servicios de certificacin (entidad de confianza) que vincula unos datos de verificacin de firma a un firmante y confirma su identidad. Una de las certificaciones ms usadas y un estndar en la actualidad en infraestructuras de clave pblica PKIs (Public-Key Infrastructure) es X.509. Los certificados electrnicos pueden ser emitidos por varias entidades o autoridades, como pueden ser los Colegios Profesionales (FESTE para abogados y notarios), Cmaras de Comercio (CAMERFIRMA), Agencia de Certificacin (ACE), Universidades o entidades financieras, entre otras muchas. Dichas entidades o autoridades se denominan Autoridades de Certificacin (AC) o Prestadores de Servicios de Certificacin (PSC).
3.2.- Prestadores de servicios de certificacin (PSC) Es aquella persona fsica o jurdica que, cumpliendo los requisitos que determina la legislacin establecida sobre firma electrnica, est capacitado para emitir certificados electrnicos.
Copyright D. Anglica Gonzlez Arrieta - 1
Anglica Gonzlez Arrieta Dpto. de Informtica y Automtica Facultad de Ciencias Plaza de la Merced, s/n. 37008 Salamanca, Espaa angelica@usal.es
En la legislacin espaola a los prestadores de servicios de certificacin se les denomina "terceras partes de confianza" o "prestador de servicios de certificacin". Esta denominacin se origina por las propias funciones que realizan, y que est dirigida a que los usuarios de esta infraestructura tengan la seguridad de que el sujeto con el que se contacta es quin dice ser sin posibilidad de error. Es importante seleccionar como tercera parte de confianza una que realmente nos ofrezca la suficiente garanta. Existen diversos tipos de prestadores de servicios de certificacin: Autoridad de Certificacin. Entidad de confianza responsable de emitir y revocar certificados a terceros, firmndolos electrnicamente para acreditar la vinculacin. Autoridad de validacin. Entidad que permite verificar la validad y vigencia de un certificado. Autoridad de Registro. Entidad que acredita la identidad fsica y sus caractersticas como paso previo a la emisin de certificados. Autoridad de Sellado de Tiempo. Entidad que vincula la referencia temporal a los documentos.
3.3.- Contenido de un certificado electrnico La entidad de confianza exige los requisitos para identificar con garantas absolutas al sujeto del certificado. Si es una persona particular, por ejemplo, le exigir que se persone con su DNI. El certificado contiene normalmente: Datos del emisor: quien emite el certificado. Nombre de la entidad certificada: empresa, persona, , es decir, quien es el usuario. Una copia de la clave pblica del titular, o sea, la clave pblica. Fecha de emisin y caducidad del certificado. Uso: autenticacin, firma, cifrado, etc. Firma electrnica de la autoridad emisora del certificado de forma que el receptor pueda verificar que esta ltima ha establecido realmente la asociacin
3.4.- Tipos de certificados Certificado personal, que acredita la identidad del titular. Certificado de pertenencia a empresa, que adems de la identidad del titular acredita su vinculacin con la entidad para la que trabaja. Certificado de representante, que adems de la pertenencia a empresa acredita tambin los poderes de representacin que el titular tiene sobre la misma. Certificado de persona jurdica, que identifica una empresa o sociedad como tal a la hora de realizar trmites ante las administraciones o instituciones. Certificado de atributo, que permite identificar una cualidad, estado o situacin. Este tipo de certificado va asociado al certificado personal. (p.ej. Mdico, Director, Casado, Apoderado de ... , etc.). Certificado de servidor seguro, utilizado en los servidores web que quieren proteger ante terceros el intercambio de informacin con los usuarios. Certificado de firma de cdigo, para garantizar la autora y la no modificacin del cdigo de aplicaciones informticas.
Los certificados se pueden clasificar atendiendo a diferentes diferentes criterios: Objeto de la certificacin Firma digital, intercambio de claves para confidencialidad, identidad del usuario, atributos de usuario, credenciales de pago electrnico, etc. Tipo de entidad identificada (certificados de identidad) Un ciudadano, una organizacin, un equipo informtico, una aplicacin (applet), etc. Aplicacin para la que puede utilizarse el certificado: mensajera segura, servicios web, acceso remoto, etc. Nivel de garanta del certificado. Por entidad certificadora FNMT, Verisign, ... Por nivel de seguridad Clase 1 CA, clase 1S CA, clase 2CA
3.5.- Custodia de claves y soporte de los certificados Un aspecto importante en certificados digitales es el referido a la custodia de la clave privada asociada a la clave pblica. Lo que comnmente conocemos como certificado digital, consta en realidad de tres elementos importantes: 1. La clave privada: se trata de una clave generada de forma aleatoria a partir de unos algoritmos matemticos de una determinada longitud. En la actualidad se suele emplear para claves personales el algoritmo RSA y claves de 1.024 bits. Esta clave debe ser conocida y manejada nicamente por el usuario de esta. 2. La clave pblica: esta clave esta generada en base a la anterior, si bien resulta extremadamente complejo inferir la clave privada una vez conocida esta clave pblica. El objetiva de esta clave es permitir su intercambio, por lo cual su naturaleza es pblica. 3. La clave pblica generada se incorpora, junto con los datos del usuario del certificado (nombre, DNI, empresa, ) a un documento formado en base al estndar X509 v.3. Este documento es firmado por una Autoridad de Certificacin, que de esta manera certifica la autenticidad de todos los datos contenidos en l. Este documento firmado por la Autoridad de Certificacin es el certificado digital propiamente dicho.
La seguridad del sistema de firmas radica por tanto en la proteccin de la clave privada. Esta clave puede ser almacenada de diferentes formas: Almacn en claro. Almacn en repositorios especiales. Almacn PKCS12 / PEM. Almacn en Tarjetas de memoria. Almacn en Tokens criptogrficos. Almacn en HSM.
Almacn en claro: La clave privada se almacena en el disco sin ninguna proteccin, salvo, en su caso, la proteccin habitual para ficheros sensibles. Almacn en repositorios especiales: Microsoft, dispone de un gestor de claves y certificados propio, el cual te permite proteger la clave privada con una contrasea. El principal problema radica en la dependencia a una plataforma y la escasa seguridad del proceso. Almacn PKCS12 / PEM: se trata de archivos contenedores de la clave privada, la clave pblica y el certificado. La clave privada puede ser protegida por contrasea.
Almacn en Tarjetas de memoria: algunas tarjetas chip de memoria permiten el almacn y recuperacin de claves y certificados. Su principal ventaja es su portabilidad y su desventaja es que las operaciones criptograficas se realizan fuera de la tarjeta. Almacn en tokens criptogrficos: las tarjetas criptogrficas dotan de la misma portabilidad que la tarjeta de memoria con el aadido de que las operaciones criptogrficas se realizan en la propia tarjeta, por lo que la clave privada nunca sale de la misma. Almacn en HSM: el hardware criptogrfico otorga la misma funcionalidad que los tokens pero estn optimizados para realizar procesos en batch. Es recomendable su uso cuando se realicen muchas operaciones criptogrficas y se quiera dotar al sistema de una gran seguridad. Adems puede acompaarse de aceleradores criptogrficos que optimicen su funcionalidad.
Software
Tarjeta Criptogrfica
HSM Hardware Security Modules
Token USB Criptogrfico
Para la utilizacin de las claves de firma se recomienda en trminos absolutos el uso de algn Hardware Criptogrfico HSM, por su mayor eficiencia (en trminos de velocidad y seguridad) frente a la alternativa de almacenamiento software. No obstante depender del alcance del proyecto la decisin respecto al medio a emplear, si bien debemos tener en cuenta que la ley de firma electrnica exige la utilizacin de dispositivos seguros de creacin de firma para la generacin de firmas reconocidas .
Los certificados en software residen en los contenedores de certificados de los navegadores. En estos contenedores reside la clave privada que slo es accesible por parte del contenedor para los procesos de firma. En algunos navegadores se puede establecer la necesidad de una contrasea para acceder a la clave privada. En los certificados en tarjeta criptogrfica el par de claves del certificado residen dentro del chip de la tarjeta criptogrfica. La clave privada no puede abandonar el chip una vez es grabado. Todos los procesos de firma que requieren la clave privada se ejecutan dentro del propio chip. Un ejemplo es la tarjeta de identificacin del Documento Nacional de Identidad electrnico espaol (DNIe). Certificados en otros dispositivos. Tambin se pueden contener los certificados en tokens USB, en telfonos mviles, etc.
3.6.- Modelos de confianza Un certificado requiere de un proceso de validacin que garantice que la clave pblica y su propietario estn bien asociados. La solucin consiste en confiar en una tercera entidad que ya haya realizado la comprobacin. El modelo de confianza define el proceso que hay que seguir en dicha comprobacin. Modelos de confianza: Directa: (es el ms sencillo) el usuario confa en que la clave es vlida porque conoce su procedencia y no requiere de la actuacin de un tercero para ello. Jerrquico: interviene una autoridad intermedia, la Autoridad de Certificacin, que da fe de que la asociacin entre la clave pblica y la identidad de quien dice ser su propietario es correcta.
Basada en modelo de confianza directo a comienzos de los aos 90 hacen su aparicin dos sistemas o aplicaciones de correo electrnico seguro: PEM: Private Enhanced Mail PGP: Pretty Good Privacy
De los dos, ha sido PGP quien se ha convertido en un estndar de hecho en clientes de e-mail seguro en entornos cerrados. La gestin de claves en PGP se basa en la confianza mutua y es adecuada solamente para entornos privados o intranet.
Los amigos de tus amigos sern mis amigos?
Desde la versin 5.0 hasta las actuales los esquemas de cifrado local, cifra asimtrica y firma digital han cambiado muy poco aunque presentan mayores prestaciones. No obstante, recuerde que algunas prestaciones slo estarn activadas en versiones comerciales.
Como es de lgica este modelo de confianza no es vlido en la administracin electrnica, por lo que no lo vamos a ver en este curso.
3.7.- Obtencin, gestin y revocacin de un certificado en formato software en modelos de confianza jerrquicos a) VeriSign VeriSign Inc proporciona servicios de infraestructura inteligente que permiten a las personas y empresas ponerse en contacto, conectarse y reforzar la seguridad de las transacciones comerciales que se realizan en las complejas redes globales actuales. Ofrecen los servicios que hacen posible que ms de 3.000 empresas y 400.000 sitios web puedan realizar sus actividades comerciales con seguridad, fiabilidad y de manera eficiente. VeriSign Espaa se fund en 2003 para proporcionar servicios de seguridad en Internet a empresas, pequeos negocios y a particulares. Entre las ofertas de VeriSign Espaa se incluyen servicios de sitio seguro, seguridad gestionada y autenticacin. VeriSign Espaa permite a cualquier empresa o particular que desee establecer o aumentar su identidad en lnea a travs de confidencialidad en la red, mejorar y desarrollar funciones de comercio electrnico. http://www.verisign.es Copyright D. Anglica Gonzlez Arrieta - 7
b) Certificado FNMT El proyecto CERES (CERtificacin ESpaola) que lidera la Fbrica Nacional de Moneda y Timbre (FNMT) consiste en establecer una Entidad Pblica de Certificacin, que permita autentificar y garantizar la confidencialidad de las comunicaciones entre ciudadanos, empresas u otras instituciones y administraciones pblicas (AAPP) a travs de las redes abiertas de comunicacin.
Son los certificados electrnicos ms utilizados por parte de los ciudadanos en sus relaciones con la administracin. En la pgina Web de la Agencia tributaria (www.aeat.es) encontramos una lista de entidades emisoras de certificados de usuario autorizados.
3.8.- Certificados revocados
Para que una firma digital que vamos a realizar con el certificado digital sea vlida, debe comprobarse adems que el certificado era vlido en el momento de la firma, esto es: Que el certificado sea confiable. Que se encuentre dentro del periodo de validez. Que no se encuentre suspendido ni revocado.
Tenemos que hacer mencin a: CRL (Certificate Revocation List) Incluye toda la lista de certificados no vlidos de una Autoridad de Certificacin. En local debe comprobarse que el certificado de firma no est en la lista. OCSP (Online Certificate Status Protocol) Es una consulta en lnea sobre el estado de un certificado. Responde si el certificado es valido en este momento.
3.9.- Certificados APE El personal de las Administraciones Pblicas (AAPP) deber disponer de medios para relacionarse electrnicamente con los ciudadanos. Deber disponer de sistemas de firma electrnica que le permitan firmar electrnicamente documentos en los actos administrativos. En el artculo 19.2 de la LAECSP se recoge: "Cada Administracin Pblica podr proveer a su personal de sistemas de firma electrnica, los cuales podrn identificar de forma conjunta al titular del puesto de trabajo o cargo y a la Administracin u rgano en la que presta sus servicios." En el artculo 22 del Real Decreto 1671/2009 se concretan las caractersticas de los sistemas de firma electrnica basados en certificados facilitados al personal de la Administracin General del Estado o de sus organismos pblicos: "Los sistemas de firma electrnica basados en certificados facilitados especficamente a sus empleados por la Administracin General del Estado o sus organismos pblicos vinculados o dependientes slo podrn ser utilizados en el desempeo de las funciones propias del puesto que ocupen o para relacionarse con las Administraciones pblicas cuando stas lo admitan. La firma electrnica regulada en el presente artculo deber cumplir con las garantas que se establezcan en las polticas de firma que sean aplicables. Los certificados emitidos para la firma, se denominarn certificado electrnico de empleado pblico y tendrn, al menos, el siguiente contenido: a) Descripcin del tipo de certificado en el que deber incluirse la denominacin certificado electrnico de empleado pblico. b) Nombre y apellidos del titular del certificado. c) Nmero del documento nacional de identidad o nmero de identificacin de extranjero del titular del certificado. d) rgano u organismo pblico en el que presta servicios el titular del certificado. e) Nmero de identificacin fiscal del rgano u organismo pblico en el que presta sus servicios el titular del certificado. "
El Certificado APE es el certificado para personal adscrito a la Administracin Pblica, para la autenticacin y firma electrnica por parte del personal al servicio de las administraciones pblicas. Vincula al empleado con un Organismo. Sirve para autenticarse en el Organismo, y para la firma electrnica en actos administrativos. Es un mecanismo que facilitar el uso de la administracin electrnica dentro de los organismos, y permitir funciones adicionales que habilita la LAECSP como la firma del funcionario habilitado en nombre del ciudadano. Adems de estos certificados, dentro del conjunto de certificados APE se utilizan dos certificados especiales: Copyright D. Anglica Gonzlez Arrieta - 10
o Certificados de sede electrnica. Son certificados de servidor que sirven exclusivamente para identificar las sedes electrnicas, las webs de los organismos donde se pueden realizar trmites electrnicos. Se utilizan para establecer un canal seguro e identificar la sede con la que se conecta el ciudadano. o Certificados de sello electrnico, para la actuacin administrativa automatizada. Su nico propsito es la firma electrnica en actos administrativos automatizados. Estn vinculados a un organismo, y precisan una Resolucin del responsable del organismo para su creacin. Sirven para por ejemplo la firma electrnica de acuses de recibo, certificados que solicita el ciudadano, etc.

Certificados Digitales - Libre

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Certificados Digitales - Libre

Cargado por

Copyright:

Formatos disponibles

Anglica Gonzlez Arrieta Dpto. de Informtica y Automtica Facultad de Ciencias Plaza de la Merced, s/n. 37008 Salamanca, Espaa angelica@usal.

3.- Certificado digital

Copyright D. Anglica Gonzlez Arrieta - 1

Copyright D. Anglica Gonzlez Arrieta - 2

Copyright D. Anglica Gonzlez Arrieta - 3

Copyright D. Anglica Gonzlez Arrieta - 4

HSM Hardware Security Modules

Token USB Criptogrfico

Copyright D. Anglica Gonzlez Arrieta - 5

Copyright D. Anglica Gonzlez Arrieta - 6

Copyright D. Anglica Gonzlez Arrieta - 8

3.8.- Certificados revocados

Copyright D. Anglica Gonzlez Arrieta - 9

Copyright D. Anglica Gonzlez Arrieta - 11

También podría gustarte