Disponible la nueva versión "donationware" 7.3 de OrganiZATOR
Descubre un nuevo concepto en el manejo de la información.
La mejor ayuda para sobrevivir en la moderna jungla de datos la tienes aquí.

Notas sobre Internet

[Home]  [Inicio]  [Índice]


6.5  Certificados digitales

§1  Sinopsis

Como el lector habrá adivinado rápidamente, todo este sistema del cifrado y las firmas electrónicas ( A6.4), conduce al problema de verificar si la clave pública es realmente de quien dice ser.  Generalmente los usuarios de esta tecnología añaden su clave pública a los mensajes salientes con objeto de que los receptores no tengan que consultarla en algún repositorio de claves públicas, pero ¿Cómo puede estar seguro el receptor de que el mensaje no ha sido enviado por un intruso que pretende suplantar la personalidad del supuesto remitente?  Pensemos en una orden de traspaso de saldo bancario u orden de pago por Internet, por citar un ejemplo.

§2  Certificados digitales

Para resolver (en parte) el problema se idearon los identificadores digitales (que se han traducido al español como Certificados Digitales).  En esencia, el sistema consiste en que la parte de clave pública que acompaña al mensaje va a su vez "certificada" (viene a su vez cifrada y firmada) por un organismo o autoridad en quien sí confiamos, o cuya clave pública si conocemos sin margen de duda (algo así como conseguir un certificado notarial de una firma o la compulsa de un documento).

En organizaciones privadas o públicas, esta persona puede ser un director de seguridad o gabinete de certificación.  En Internet, se trata de compañías multinacionales que se encargan de esta labor, se denominan CA ("Certification Authorities") [1].  Funcionan como notarios que nos proporcionan certificados digitales de nuestra propia firma pública, mediante el pago de cierta cantidad por supuesto.

El procedimiento operativo será entonces el siguiente:  Recibimos un mensaje firmado; la clave pública del remitente viene cifrada y firmada por una autoridad de certificación; decimos que viene acompañado de un "Certificado" de la compañía "X" de certificación, cuya clave pública conocemos sin lugar a dudas.  El receptor usa la clave pública en que confía para verificar que el "Certificado" es auténtico;  el certificado le señala a su vez que la clave pública del remitente es auténtica.  Hecho esto, la utiliza para comprobar que la firma (o el documento) es auténtica.

Si queremos que nos certifiquen la firma (para incluirla en nuestros mensajes), acudimos a una de estas autoridades de certificación y, previo pago, obtenemos un certificado.  Es un fichero de varios miles de bits que contiene la información indicada en la tabla adjunta.

Información de identificación del firmante:
Nombre, Dirección, Empresa.

Clave pública del firmante.

Fechas de validez (caducidad) del certificado.

Número de certificado

Firma digital de la Autoridad de Certificación e información de la misma.


En el cuadro siguiente se muestra la firma digital de un documento (un correo electrónico) de Hispasec, una consultora de seguridad    www.hispasec.com.

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.2
iQCVAwUBPMnQhutaAupcB1VZAQHsoAQAlPU/H8tARnyh1l3DT3EGdg9SorYTwW2u
oDv4KFHlIcoXfzqku12Rwt47rolLvGVlCEjM/0ZPvICDqb+yq1L204WsK0NGsh16
ZyaKeM/E1MKsNMMNZXItJv/pWX7ayzYbSezDCuJaUBApZvVorOJRgxcxP+MzkBc1
bPz05gO9row=
=UmlY
-----END PGP SIGNATURE-----


Para comprobar que el correo es precisamente de quien dice ser (Hispasec), en el mismo mensaje se incluye una línea señalando que la clave pública está en su sitio Web:

Llave pública PGP en www.hispasec.com/claves/NoticiasHispasec.asc

Una vez consultada, la citada clave pública tiene el siguiente aspecto:

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: PGPfreeware
6.5.3 for non-commercial use <http://www.pgp.com>

mQCNAzxOrToAAAEEAMtBJCAL9PI1txpv1clYuF288vPd0kqHbbawW7TzxWwAUpN1 QkwNXNaGXJDQfjW9SOM3OL1mA83z/lZjEHXSwoH51FbysFleecTzJ4E46he6zULa CI253aUJDAwubdb2sE7frJ+nMF1Tpw6u0hnh4pSiL2W5tdAh2etaAupcB1VZAAUR tDBOb3RpY2lhcyBIaXNwYXNlYyAtIDIwMDIgPG5vdGljaWFzQGhpc3Bhc2VjLmNv bT6JAJUDBRA8Tq5eFxV8KKYYQ6EBAdBsBACYT25i0WAq77ll1SF2d2r7iwQ2Kwh1 798gF1WqJzIE0PUA3lIQBzlJjtTde51U5X2gQcxElIDmkD/Hai0gydfbQ+wEd8V2 uNt15jiv1hWbiu5YtJXlGoxQCPeAZ5tRWanlXgSvEDodwnJFFdFocC1cIYNt+9ue mx1p11IXBHshwg==
=AZVA
-----END PGP PUBLIC KEY BLOCK-----

§3  La pirámide de confianzas

Fácilmente se comprende que comienza a construirse una "pirámide de confianzas".  Si no se confía en la autoridad de certificación, se deberá establecer un nivel superior que la avale en el que "si" confiemos, etc.

Se dice que un certificado es raíz cuando ya no tenemos necesidad de verificarlo. La principal tarea consiste precisamente establecer esta pirámide de confianzas.  En la realidad cotidiana de Internet, los certificados producidos por estas compañías de certificación bien conocidas se consideran certificados "raíz", pero se admite que pueden establecerse jerarquías superiores. Se piensa, por ejemplo, que las Naciones Unidas certificaran a los gobiernos de los diversos países. Por ejemplo al de EEUU, el cual certificaría a los organismos federales y a los gobiernos de los estados, los que a su vez certificarían los organismos locales, etc.

  Inicio.


[1]  En la legislación española se denominan Prestadores de Servicios de Certificación (PSC).