TEORIA 2 FIRMA DIGITAL Y PKI

1. Explica qué es una firma digital y cómo funciona.

2. ¿Por qué crees que no se cifra todo el documento y solo el hash?
3. ¿Qué es un PKI?
4. ¿Qué es un certificado digital?
5. Id a FNMT y ver qué tipos de certificados se pueden solicitar
6. Nombra y explica brevemente los componentes de una PKI
7. ¿Qué es un certificado X509? Partes
8. ¿Qué son los protocolos OCSP y SCVP?

1.

La firma digital define los algoritmos que se emplearán para garantizar que los datos
intercambiados entre cliente y servidor no han sido alterados.

Algunas veces RSA puede ser usado para realizar intercambio de claves y firma digital:

- RSA
- ECDSA (Elliptic Curve Digital Signature Algorithm).
- DSS (Digital Signature Standard)

2.

Sobretodo porque el mensaje como un documento es demasiado extenso para cifrarlo.

3.

Una PKI (del inglés, Public Key Infrastructure) engloba todo el software y componentes de
hardware junto con los usuarios, políticas y procedimientos que permiten la creación y gestión de
los certificados digitales basados en la criptografía asimétrica o de clave pública.

4.

Un certificado digital es un documento digital mediante el cual un tercero confiable (una autoridad
de certificación) garantiza la vinculación entre la identidad de un sujeto o entidad y su clave
pública. Un certificado digital es la única forma, con plena validez jurídica y legal, de garantizar la
identidad de un usuario o empresa en el mundo web. Es una condición casi obligatoria para que las
administraciones públicas y cualquier institución que se precie pueda ofrecer un servicio seguro a
los usuarios.
5.

- Certificado personal o de persona física, que acredita la identidad del titular.

- Certificado de representante: La FNMT-RCM emite tres tipos de certificados de representante que

son cualificados de acuerdo al Reglamento (UE) Nº 910/2014, del Parlamento Europeo y del
Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza
para las transacciones electrónicas en el mercado interior.

- Certificado para Administrador único o solidario: Cuando existe un único administrador para la
empresa.

- Para persona jurídica: Se expide a las personas físicas como representantes de las personas
jurídicas para su uso en sus relaciones con las Administraciones públicas, entidades y organismos
públicos, vinculados o dependientes de las mismas.

- Para entidad sin personalidad jurídica: Se expide a las personas físicas como representantes de las
entidades sin personalidad jurídica en el ámbito tributario y otros previstos en la legislación vigente.

- Certificados de servidor SSL/TLS, wildcard y SAN multidominio: Proporcionan cifrado TLS,

además de garantizar la autenticidad y seguridad del servidor.

- Certificado de sello de entidad: permite firmar de forma fácil y ágil documentos y facturas de
forma desatendida y/o automatizada, además de acceder a diversos servicios de las administraciones
públicas. Su solicitante, exclusivamente, deberá ser representante legal de la entidad.

- Certificados de sede y sello para la Administración Pública

6.

Los componentes más habituales de una PKI son:

- La autoridad de certificación (CA, del inglés, Certification Authority): es la encargada de emitir y

revocar certificados. Es la entidad de confianza que da legitimidad a la relación de una clave
pública con la identidad de un usuario o servicio.

- La autoridad de registro (RA, del inglés, Registration Authority): es la responsable de verificar el

enlace entre los certificados, concretamente, entre la clave pública del certificado y la identidad de
sus titulares.

- Los repositorios: son las estructuras encargadas de almacenar la información relativa a la PKI. Los
dos repositorios más importantes son el repositorio de certificados y el repositorio de listas de
revocación de certificados. En una lista de revocación de certificados (CRL, del inglés, Certificate
Revocation List) se incluyen todos aquellos certificados que por algún motivo han dejado de ser
válidos antes de la fecha establecida dentro del mismo certificado. El protocolo OCSP (Online
Certificate Status Protocol) permite comprobar la validez de los certificados de forma online,
obteniendo una información más adecuada y reciente que la de una CRL.

- Los usuarios y entidades finales: son aquellos que poseen un par de claves (pública y privada) y un
certificado asociado a su clave pública. Este certificado electrónico es un conjunto de datos que
permiten la identificación del titular del certificado, intercambiar información con otras personas y
entidades de manera segura así como firmar electrónicamente los datos que se envían de tal forma
que se pueda comprobar su integridad y procedencia.

7.

Un certificado digital, para cumplir el estándar X.509 , que es el más utilizado en este tipo de
infraestructura, debe contener la siguiente información:

- Certificado o Versión o Número de serie del certificado o Id del algoritmo utilizado por el CA para
firmar (típicamente RSA o DSA) o Emisor (CA) o Validez
 No antes de
 No después de o Sujeto, (sujeto titular) expresado en notación DN (Distinguished Name),
compuesto por CN (Common Name), OU (Organizational Unit), O (Organization) y C (Country).
El sujeto puede ser una persona, un servidor o un servicio. o Información de clave pública del sujeto
 Algoritmo de clave pública
 Clave pública del sujeto o Identificador único de emisor (opcional) o Identificador único
de sujeto (opcional) o Extensiones (opcional)

- Algoritmo usado para firmar el certificado

- Firma digital del certificado

8.

El protocolo OCSP permite tener las listas actualizadas constantemente, pero a diferencia de las
CRL, se necesita una conexión a la red. El servicio OCSP ofrece información estandarizada sobre el
estado de un certificado digital, es decir si esta activo o revocado. Este servicio estara disponible
para todas las aplicaciones cliente que sepan gestionar el protocolo. Cada vez son mas dichas
aplicaciones y existen herramientas para que los desarrolladores accedan de forma fácil a este
servicio.

SCCP es un protocolo ligero que permite una comunicación eficiente con un sistema Cisco Call
Manager. El Call Manager actúa como un proxy de señalización para llamadas iniciadas a través de
otros protocolos como H.323, SIP, RDSI o MGCP.