Un certificado es un documento, en formato electrónico – fichero, que establece o relaciona que una determinada clave pública corresponde a una determinada Identidad (persona física, persona jurídica, aplicación, servidor, página web, elemento, etc. ).
¿Qué es una PKI?
Una PKI (Public Key Infrastructure) o Infraestructura de Clave Pública es el hardware, software, personas, políticas y procedimientos de seguridad necesarios para el desarrollo de servicios de confianza por parte de los Proveedores de Servicios de Confianza.
Su principal función es la gestión de la emisión y la revocación de certificados, pero también proporciona otros servicios de valor añadido importantes como puede ser el sellado de tiempo, la validación de certificados y la copia y recuperación de claves.
¿Qué es una Autoridad de Certificación?
Es el núcleo de la PKI. Es el sistema con las capacidades criptográficas para generar y emitir certificados. La Autoridad de Certificación tiene su propio certificado con el que firma los certificados que ha emitido para que se pueda comprobar que han sido emitidos por esa CA.
La custodia de este sistema es vital, puesto que es el emisor de los certificados. Un ataque exitoso contra este sistema rompería toda la cadena de confianza creada. Es el sistema más protegido. Cuando un usuario da su confianza a una CA asume que todos los certificados emitidos por la misma son auténticos y correctos.
¿Qué es una Autoridad de Registro?
Es la parte del sistema PKI encargada de recoger las solicitudes relativas a los certificados digitales, comprobar y autenticar la identidad de los solicitantes y si todo es correcto, entonces hacer progresar las solicitudes hasta la Autoridad de Certificación. Las Autoridades de Registro pueden considerarse como “sucursales” de las Autoridades de Certificación para el registro y validación de solicitudes.
¿Qué es un Repositorio de Certificados?
Es un componente del sistema PKI en el cual se localiza la información relacionada con los procesos de certificación.
Algunos Proveedores de Servicios de Confianza lo hacen disponible para descarga de certificados una vez generados, para recuperación de certificados perdidos, y también para la publicación de las llamadas Listas de Certificados Revocados o CRLs.
¿Qué es una CRL - Lista de Certificados Revocados?
Las CRLs son unas listas en las que cada Autoridad de Certificación publica todos aquellos certificados emitidos por ella que han sido revocados por algún motivo.
La revocación ha podido ser realizada por la propia Autoridad de Certificación o tras aviso o petición del propio usuario propietario del certificado. Los motivos más habituales para revocar un certificado son que el usuario sospeche de que sus claves u ordenador ha podido verse comprometido o que la Autoridad de Certificación hubiera detectado alguna irregularidad con el proceso de certificación que requiera la anulación del certificado emitido.
Todo servicio o aplicación que haga uso de certificados, debe consultar las CRLs antes de aceptar una autenticación o firma producida por un usuario, con objeto de descartar primeramente que no sea una autenticación o firma fraudulenta.
Una alternativa al uso de las CRLs es la consulta on-line a las llamadas Autoridades de Validación.
¿Qué es una Autoridad de validación?
Forma parte de un sistema PKI. Proporciona el estado de validez de un certificado digital en un instante determinado de tiempo para permitir determinar si el certificado es válido en el momento actual, es decir, si está Revocado o No Revocado. El objetivo es el mismo que con las CRLs, pero permite chequearlo de forma online. Está basado en el llamado protocolo OCSP (Online Certificate Status Protocol). Un sistema que deba validar un certificado sabe dónde ir a validarlo habitualmente porque la URL de la VA forma parte de uno de los campos del certificado.
¿Qué es una Autoridad de Sellado de Tiempo?
Forma parte de un sistema PKI. Su función es incluir una firma a un documento que proporcione certeza sobre la existencia de esos datos en un momento dado.
¿Qué es un certificado reconocido?
Un certificado reconocido es aquel que ha sido expedido por un prestador de servicios de certificación que cumpla los requisitos establecidos en la Ley 59/2003, de 19 de diciembre, de firma electrónica, en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten.
¿Qué es un dispositivo de creación de firma?
Es un dispositivo, que puede ser de tipo hardware o software que sirve para aplicar los datos de creación de firma (claves privadas) sobre un documento o información de forma que se genere una firma electrónica
¿Qué es un dispositivo seguro de creación de firma?
Consideramos un dispositivo de creación de firma seguro cuando garantiza la seguridad de las claves privadas que se emplean en la Firma Electrónica. Esto es, se deben cumplir, al menos, con los requisitos previstos en el artículo 24.3º Ley 59/2003, los cuales son:
a) Que los datos utilizados para la generación de firma pueden producirse sólo una vez y asegura razonablemente su secreto.
b) Que existe una seguridad razonable de que los datos utilizados para la generación de firma no pueden ser derivados de los de verificación de firma o de la propia firma y de que la firma está protegida contra la falsificación con la tecnología existente en cada momento.
c) Que los datos de creación de firma pueden ser protegidos de forma fiable por el firmante contra su utilización por terceros.
d) Que el dispositivo utilizado no altera los datos o el documento que deba firmarse ni impide que éste se muestre al firmante antes del proceso de firma.
Por ejemplo, un ordenador no se considera dispositivo seguro de firma y el DNI electrónico se considera dispositivo seguro.
¿Qué es la firma electrónica?
“La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante (Art. 3.1 Ley 59/2003)”. Es decir, mediante la firma electrónica, una entidad puede verificar que la información recibida ha sido originada por quién dice haberla originado.
¿Qué es una firma electrónica avanzada?
"La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control (Art. 3.2 Ley 59/2003)”. Es decir, además de identificar al firmante, la firma electrónica avanzada protege la integridad de los datos intercambiados.
¿Cómo puedo firmar para que tenga validez jurídica como la firma manuscrita (firma electrónica reconocida)?
Para que la firma electrónica tenga la misma validez que la firma manuscrita debe poder considerarse como Firma Electrónica Reconocida. Según el Art.3.3 de la Ley 59/2003 "firma electrónica reconocida es la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma . Es decir, los elementos que se necesitan para poder realizar una firma electrónica reconocida son:
• La existencia de un Prestador de Servicios de Certificación, reconocido y regulado por el Ministerio de Industria, Energía y Turismo.
• Estar en disposición de un certificado electrónico reconocido (ver definición más arriba)
• Un dispositivo seguro de creación de firma que garantice y proteja el momento de realizar las operaciones criptográficas (ver definición más arriba).