Que é un certificado?


Un certificado é un documento, en formato electrónico - ficheiro, que establece ou relaciona que unha determinada clave pública corresponde a unha determinada Identidade (persoa física, persoa xurídica, aplicación, servidor, páxina web, elemento, etc. ).


Que é unha PKI?

Unha PKI (Public Key Infrastructure) ou Infraestrutura de Clave Pública é o hardware, software, persoas, políticas e procedementos de seguridade necesarios para o desenvolvemento de servizos de confianza por parte dos Provedores de Servizos de Confianza.
A súa principal función é a xestión da emisión e a revogación de certificados, pero tamén proporciona outros servizos de valor engadido importantes como pode ser o selado de tempo, a validación de certificados e a copia e recuperación de claves.


Que é unha Autoridade de Certificación?

É o núcleo da PKI. É o sistema coas capacidades criptográficas para xerar e emitir certificados. A Autoridade de Certificación ten o seu propio certificado co que asina os certificados que emitiu para que se poida comprobar que foron emitidos por esa CA.

A custodia deste sistema é vital, posto que é o emisor dos certificados. Un ataque exitoso contra este sistema rompería toda a cadea de confianza creada. É o sistema máis protexido. Cando un usuario dá a súa confianza a unha CA asume que todos os certificados emitidos por esta son auténticos e correctos.


Que é unha Autoridade de Rexistro?

É a parte do sistema PKI encargada de recoller as solicitudes relativas aos certificados dixitais, comprobar e autenticar a identidade dos solicitantes e se todo é correcto, entón facer progresar as solicitudes ata a Autoridade de Certificación. As Autoridades de Rexistro poden considerarse como "sucursais" das Autoridades de Certificación para o rexistro e validación de solicitudes.


Que é un Repositorio de Certificados?

É un compoñente do sistema PKI no cal se localiza a información relacionada cos procesos de certificación.

Algúns Provedores de Servizos de Confianza fano dispoñible para descarga de certificados unha vez xerados, para recuperación de certificados perdidos, e tamén para a publicación das chamadas Listas de Certificados Revogados ou CRLs


Que é unha CRL - Lista de Certificados Revogados?

As CRLs son unhas listas nas que cada Autoridade de Certificación publica todos aqueles certificados emitidos por ela que foron revogados por algún motivo.

A revogación puido ser realizada pola propia Autoridade de Certificación ou tras aviso ou petición do propio usuario propietario do certificado. Os motivos máis habituais para revogar un certificado son que o usuario sospeite de que as súas claves ou ordenador puido verse comprometido ou que a Autoridade de Certificación tivese detectado algunha irregularidade co proceso de certificación que requira a anulación do certificado emitido.

Todo servizo ou aplicación que faga uso, debe consultar as CRLs antes de aceptar unha autenticación ou firma producida por un usuario, co obxecto de descartar primeiramente que non sexa unha autenticación ou firma fraudulenta.

Unha alternativa ao uso das CRLs é a consulta on-line ás chamadas Autoridades de Validación.


Que é unha Autoridade de validación?

Forma parte dun sistema PKI. Proporciona o estado de validez dun certificado dixital nun instante determinado de tempo para permitir determinar se o certificado é válido no momento actual, é dicir, se está Revogado ou No Revogado. O obxectivo é o mesmo que coas CRLs, pero permite chequearlo de forma online. Está baseado no chamado protocolo OCSP (Online Certificate Status Protocol). Un sistema que deba validar un certificado sabe onde ir a validalo habitualmente porque a URL da VAI forma parte dun dos campos do certificado.


Que é unha Autoridade de Selado de Tempo?

Forma parte dun sistema PKI. A súa función é incluír unha firma a un documento que proporcione certeza sobre a existencia deses datos nun momento dado.


Que é un certificado recoñecido?

Un certificado recoñecido é aquel que foi expedido por un prestador de servizos de certificación que cumpra os requisitos establecidos na Lei 59/2003, do 19 de decembro, de firma electrónica, en canto á comprobación da identidade e demais circunstancias dos solicitantes e á fiabilidade e as garantías dos servizos de certificación que presten.


Que é un dispositivo de creación de firma?

É un dispositivo, que pode ser de tipo hardware ou software que serve para aplicar os datos de creación de firma (claves privadas) sobre un documento ou información de forma que se xere unha firma electrónica


Que é un dispositivo seguro de creación de firma?

Consideramos un dispositivo de creación de firma seguro cando garante a seguridade das claves privadas que se empregan na Firma Electrónica. Isto é, débense cumprir, polo menos, cos requisitos previstos no artigo 24.3 º Lei 59/2003, os cales son:
a) Que os datos utilizados para a xeración de firma poden producirse só unha vez e asegura razoablemente o seu segredo.
b) Que existe unha seguridade razoable de que os datos utilizados para a xeración de firma non poden ser derivados dos de verificación de firma ou da propia firma e de que a firma está protexida contra a falsificación coa tecnoloxía existente en cada momento.
c) Que os datos de creación de firma poden ser protexidos de forma fiable polo asinante contra a súa utilización por terceiros.
d) Que o dispositivo utilizado non altera os datos ou o documento que deba asinarse nin impide que este se mostre ao asinante antes do proceso de firma.
Por exemplo, un ordenador non se considera dispositivo seguro de firma e o DNI electrónico considérase dispositivo seguro.


Que é a firma electrónica?

"A firma electrónica é o conxunto de datos en forma electrónica, consignados xunto a outros ou asociados con eles, que poden ser utilizados como medio de identificación do asinante (art.º 3.1 Lei 59/2003) ". É dicir, mediante a firma electrónica, unha entidade pode verificar que a información recibida foi orixinada por quen di tela orixinado.


Que é unha firma electrónica avanzada?

"A firma electrónica avanzada é a firma electrónica que permite identificar o asinante e detectar calquera cambio ulterior dos datos asinados, que está vinculada ao asinante de xeito único e aos datos a que se refire e que foi creada por medios que o asinante pode manter baixo o seu exclusivo control (art.º 3.2 Lei 59/2003) ". É dicir, ademais de identificar o asinante, a firma electrónica avanzada protexe a integridade dos datos intercambiados.


Como podo asinar para que teña validez xurídica como a firma manuscrita (firma electrónica recoñecida)?

Para que a firma electrónica teña a mesma validez que a firma manuscrita debe poder considerarse como Firma Electrónica Recoñecida. Segundo o Art.3.3 da Lei 59/2003 "firma electrónica recoñecida é a firma electrónica avanzada baseada nun certificado recoñecido e xerada mediante un dispositivo seguro de creación de firma. É dicir, os elementos que se necesitan para poder realizar unha firma electrónica recoñecida son:
  • A existencia dun Prestador de Servizos de Certificación, recoñecido e regulado polo Ministerio de Industria, Enerxía e Turismo.
  • Estar en disposición dun certificado electrónico recoñecido (ver definición máis arriba).
  • Un dispositivo seguro de creación de firma que garanta e protexa o momento de realizar as operacións criptográficas (ver definición máis arriba).
Ministerio de Economía y Competitividad - Fondo Europeo de Desenvolvemento Rexional