Certificado Digital (I)

Problema de confianza

Para verificar una firma digital necesitamos la clave

pública del emisor, pero…

¿Podemos confiar en qué la persona que me

envía su clave pública es verdaderamente
quién dice que es?

Miguel Ángel Cifo Alfaro 1

 Certificado Digital (II)
Problema de confianza

A la hora de acceder a la página web de nuestro

banco y enviar información sensible...

¿Podemos confiar en qué la página que

estoy visitando es realmente la del banco?

Miguel Ángel Cifo Alfaro 2

 Certificado Digital (III)
La eficacia de las operaciones de cifrado y firma digital basadas en
criptografía de clave pública solo está garantizada si se mantiene
la confidencialidad de la clave privada y existe un sistema de
comunicación de claves públicas que evite confusiones entre
distintos usuarios.
Para garantizar la unicidad de claves privadas suelen utilizarse
soportes físicos como tarjetas inteligentes (smartcards) que
garantizan la imposibilidad de duplicación de las claves. Además al
estar protegidas por un número personal (PIN) o similar, se protege
el acceso a la información de la tarjeta en caso de extravío.
Para asegurar la propiedad de la clave pública se utilizan los
certificados digitales que asocian una clave pública con la identidad
de su propietario.

Miguel Ángel Cifo Alfaro 3

 Certificado Digital (IV)
Un certificado digital es un archivo que se utiliza para
firmar digitalmente archivos y mensajes que permite
verificar la identidad del firmante.

Los certificados digitales contienen información sobre la

persona o entidad a la que identifican (nombre, dirección,
mail, etc.), su clave pública y la firma digital de una
autoridad certificadora u organismo de confianza que en
España es la Fabrica Nacional de Moneda y Timbre (FNMT).

Los certificados digitales se utilizan para realizar trámites

online (declaración de la renta, consultar nuestra vida
laboral, etc), compras y comunicaciones seguras, banca
online, etc.
Miguel Ángel Cifo Alfaro 4
 Certificado Digital (V)
PKI (infraestructura de clave pública)

PKI es una combinación de hardware, software, y

políticas y procedimientos de seguridad, que permiten la
ejecución con garantías de operaciones criptográficas,
como el cifrado, la firma digital, y el no repudio de
transacciones electrónicas.
Trabajamos con CERTIFICADOS DIGITALES.

Miguel Ángel Cifo Alfaro 5

 Certificado Digital (VI)
PKI (infraestructura de clave pública)
• Autoridad de certificación (CA): emite y elimina los
certificados digitales.
o Ej: Fábrica Nacional de Moneda y Timbre (FNMT)
• Autoridad de registro (RA): controla la generación de
certificados, procesa las peticiones y comprueba la identidad de los
usuarios, mediante el requerimiento de la documentación de identificación
oportuna.
o Ej: Ayuntamientos, oficinas de Hacienda, etc.
• Autoridad de repositorio: almacenan los certificados
emitidos y eliminados.

• Software necesario.
o Ej: Internet Explorer, Firefox, software de firma ...
• Seguridad telemática.(seguridad en las telecomunicaciones)
o Protocolo HTTPS …

Miguel Ángel Cifo Alfaro 6

 Certificado Digital (VII)
¿Qué es un certificado digital?
• Documento que contiene:
o Información de una persona o entidad.
o Su clave pública.
o Firma digital de una Autoridad de Certificación (organismo de
confianza).

• Se almacena en...:
o Un fichero (*.pfx, *.cer).
o Una tarjeta inteligente (ej: DNIe)

• Se instala en el navegador web

o Desde él, lo podemos importar/exportar

• Permite firmar electrónicamente gestiones a través de internet.

Miguel Ángel Cifo Alfaro 7

 Certificado Digital (VIII)
El formato estándar para los certificados digitales es X.509
y se puede distribuir de dos formas:
◼ Con clave privada (ptx ó p12): distribución segura,
utilizada como medio de copia de seguridad de certificados
(importación y exportación).
◼ Con clave pública (cer o crt): distribución no segura,
utilizada para que otros usuarios puedan verificar la
identidad en los archivos o mensajes firmados.

Diferencias tipos de formato

Exportación de certificado

Miguel Ángel Cifo Alfaro 8 8

 Certificado Digital (IX)
¿Qué es un certificado digital?

• Estándar X.509

“Internet X.509 Public Key Infrastructure Certificate and Certificate

Revocation List (CRL) Profile”, definido por el “Network Working Group” y
definido en la RFC 5280. El estándar surgió originalmente en el año 1988,
aunque la última versión vigente, X.509 v3, se aprobó en 2008.

Las claves definidas por RSA únicamente son secuencias

que permiten realizar el cifrado y descifrado de
información, sin embargo el estándar X.509 establece
parámetros para identificar al propietario del certificado, a
su emisor (la autoridad de Certificación), fechas de
emisión, caducidad, etc.

Ver los campos de un certificado

Más sobre los campos de un certificado
Miguel Ángel Cifo Alfaro 9
 Certificado Digital (X)
Autoridades de certificación

Autoridad de certificación CA → vincula una clave pública a La idea es que dos usuarios
puedan confiar entre sí, si
una entidad particular E (servidor, persona...)
ambos tienen relación con
una tercera parte que
E debe registrar su clave pública con CA: pueda dar fe de la fiabilidad
de los dos, para ello esta
● E proporciona una prueba de identidad a CA tercera parte avalará el
● CA crea un certificado que vincula a E con su clave pública certificado firmándolo
digitalmente.
● El certificado contiene la clave pública de E firmada
digitalmente por CA → CA afirma “Esta es la clave pública
de la entidad E”

Miguel Ángel Cifo Alfaro 10

 Certificado Digital (XI)
Autoridades de certificación

Miguel Ángel Cifo Alfaro 11

 Certificado Digital (XII)
Autoridades de certificación
Cuando Alicia quiere la clave pública de Roberto, ya no tiene que
pedírsela a él (problema MITM), sino que obtiene el certificado (de
Roberto, de un repositorio de Internet, de otra persona...)
Tan sólo tiene que aplicar la clave pública de CA al certificado de
Roberto para obtener la clave pública de Roberto

Miguel Ángel Cifo Alfaro 12

 Certificado Digital (XIII)
Cadena de confianza

Se establece una relación entre certificados que permite asegurar, sin duda alguna,
que dicho certificado ha sido emitido por una Autoridad de Certificación.
Las CA disponen de un certificado conocido como
Certificado Raíz (Root CA), y como su nombre indica es el
certificado que validará todos y cada uno de los
certificados emitidos por la CA; sin embargo, este
certificado no es el que firmará los certificados de
suscriptor (o certificados finales), sino se empleará
únicamente para firmar los denominados Certificados
Subordinados (Sub-CA), y estos últimos firmarán los
certificados de suscriptor (o finales).

Miguel Ángel Cifo Alfaro 13

 Certificado Digital (XIV)
Cadena de confianza

Miguel Ángel Cifo Alfaro 14

 Certificado Digital (XV)
Certificados
Los certificados se emiten
para:

• Personas
• Páginas web
• Equipos
...

Miguel Ángel Cifo Alfaro 15

 Certificado Digital (XVI)
Firma electrónica
• Utilizando el software autofirma podemos firmar
documentos con nuestro certificado digital.

• En la firma electrónica, el emisor utiliza su clave privada para codificar los

datos a firmar, envía el resultado al receptor y éste procede a validarla
empleando la clave pública del emisor, que va adjunta en la propia
firma. Partiendo de la premisa de que la clave original es privada, se
demuestra que los datos fueron firmados realmente por el emisor, que
está identificado mediante el certificado que está asociado a las claves.
• Podemos verificar la firma de la clave pública que ha hecho la
autoridad de certificación, por lo tanto podemos asegurar quién ha
firmado el documento.

Miguel Ángel Cifo Alfaro 16

 Certificado Digital (XVII)
Validar firma electrónica
La validación de una firma electrónica es el proceso por el que se comprueba:
• La identidad del firmante
• La integridad del documento firmado
• La validez temporal del certificado utilizado

• Las dos primeras verificaciones se pueden realizar desde una aplicación sin
conexión a internet simplemente utilizando el certificado incluido en la misma
firma.
• Pero, ¿cómo sabemos si ese certificado es válido?, ¿estaba revocado en el
momento de la firma? O ¿si la Autoridad que lo emitió es de confianza?
• El proceso de validación de la firma no puede separarse del proceso de
validación del certificado usado para la firma. Y por eso, la validación de la
firma, implica también la validación del certificado.

Miguel Ángel Cifo Alfaro 17

 Certificado Digital (XVIII)
Validación del certificado
Las plataformas de validación son sistemas online que permiten validar los
certificados electrónicos.

• La información sobre los Certificados electrónicos revocados (no vigentes) se

almacena en las denominadas listas de revocación de certificados (CRL)
mantenidos por las Autoridades de Validación.
• La validación o verificación del estado de un certificado se puede realizar a
través de internet accediendo al servicio que proporciona la Autoridad de
Validación o de Certificación que ha emitido el certificado. Por ejemplo, para el
caso de los certificados de Clase 2 emitidos por la FNMT puedes verificar el
estado del certificado accediendo a la página. Comprobar Estado de Certificado.

Miguel Ángel Cifo Alfaro 18

 Certificado Digital (XIX)
VALIDe
VALIDe (Aplicación de Validación de
firma y certificados Online de @firma)
es la plataforma de validación que la
Administración General del Estado pone a
nuestra disposición.
Además, ofrece los siguientes servicios:
• Validación de firmas electrónicas
• Generación de firmas electrónicas en
múltiples formatos
• Visualización de firmas con la ayuda del
Visor

Miguel Ángel Cifo Alfaro 19

 Certificado Digital (XX)
¿Cómo conseguir tu certificado digital?
https://www.sede.fnmt.gob.es/certificados
1. Consideraciones previas y configuración del navegador. Para evitar problemas a la hora de
solicitar/descargar el certificado, por favor consulte este apartado y siga las instrucciones indicadas.
2. Solicitud vía internet de su Certificado. Al finalizar el proceso de solicitud, usted recibirá en su cuenta
de correo electrónico un Código de Solicitud que le será requerido en el momento de acreditar su
identidad y posteriormente a la hora de descargar su certificado.
3. Acreditación de la identidad en una Oficina de Registro. Una vez completada la fase anterior y esté
en posesión de su Código de Solicitud, para continuar con el proceso deberá Acreditar su Identidad
en una de nuestras Oficinas de Registro.
4. Para su comodidad, puede usted hacer uso de nuestro servicio LOCALIZADOR DE OFICINAS.
5. NOTA: En las oficinas de la AEAT, algunas oficinas de la Seguridad Social y en el Ayto. Madrid se
requiere de cita previa.
6. Descarga de su Certificado de Usuario. Aproximadamente 1 hora después de que haya acreditado su
identidad en una Oficina de Registro y haciendo uso de su Código de Solicitud, desde aquí podrá
descargar e instalar su certificado.
Miguel Ángel Cifo Alfaro 20
 Certificado Digital (XXI)
Capa de Socket Seguros (SSL)

Proporciona seguridad en la capa de transporte a cualquier

aplicación basada en TCP
Es protocolo que se utiliza entre navegadores de Internet y
servidores de comercio electrónico, por ejemplo
(https://...)

Servicios de seguridad:
● Autenticación del servidor
● Cifrado de datos
● Opcional – Autenticación del cliente

Miguel Ángel Cifo Alfaro 21

Capa de Socket Seguros (SSL)

Autenticación del servidor:

1. Los navegadores incluyen claves públicas de autoridades
de certificación de confianza

Miguel Ángel Cifo Alfaro 22

Capa de Socket Seguros (SSL)

Autenticación del servidor:

2. El navegador solicita su certificado al servidor, que habrá sido

emitido por alguna autoridad de certificación de confianza

3. El navegador utiliza la clave pública de CA para extraer del

certificado la clave pública del servidor

Miguel Ángel Cifo Alfaro 23

Capa de Socket Seguros (SSL)

Sesión SSL cifrada:

1. El navegador genera una clave de sesión simétrica, la cifra con la
clave pública del servidor (que acaba de obtener del certificado) y se
la envía al servidor.
2. Con su clave privada, el servidor descifra el mensaje y obtiene la
clave de sesión.
3. El navegador y el servidor conocen la clave de sesión, con la que
cifrarán todos los datos que tengan que intercambiar

Miguel Ángel Cifo Alfaro 24

Capa de Socket Seguros (SSL)

Miguel Ángel Cifo Alfaro 25

Ejercicio

Un usuario inocente quiere comprar un billete en renfe.es, pero un

atacante malvado le ha hecho un ataque MITM.

Miguel Ángel Cifo Alfaro 26

Ejercicio

1. Cuando el navegador del usuario envía un mensaje a renfe.es pidiéndole el certificado,

en realidad ese mensaje le llega al hacker.
2. Para que nadie note nada, el hacker reenvía la petición a renfe.es.
3. renfe.es envía su certificado al usuario, aunque el mensaje llega de nuevo al hacker.
4. El hacker envía el certificado al usuario inocente.
5. Llega el momento clave. El navegador del usuario va a generar la clave de sesión que
usará para cifrar toda la comunicación con renfe.es y poder enviar los datos bancarios
con tranquilidad, pero el hacker ha interceptado el mensaje.

¿Funcionaría este ataque y podría obtener el hacker los datos bancarios del
usuario inocente?

Miguel Ángel Cifo Alfaro 27

Ejercicio

Miguel Ángel Cifo Alfaro 28