03
diciembre
2019

Certificados Digitales

s/mime

Certificados Digitales

Un Certificado Digital es una forma de identidad virtual, muy similar a un pasaporte, una licencia de conducción, o cualquier otra forma de identificación. Puede entenderse como una credencial digital que proporciona información sobre la identidad de un ente, así como otros datos de respaldo.

Una entidad, denominada Autoridad de Certificación (Certification Autority, por sus siglas en inglés), es quien emite un Certificado Digital. La misma garantiza la veracidad de la información en un certificado, y su validez por un período específico de tiempo.

Debido a que el Certificado Digital hace coincidir una clave pública con un individuo en particular, y su autenticidad está garantizada por la Autoridad de Certificación, entonces se convierte en la solución al problema de cómo encontrar la clave pública de un usuario y saber que es válida. En este sentido, los Certificados Digitales brindan soporte para la criptografía de clave pública, porque contienen las claves de las entidades identificadas en el mismo.

Un usuario obtiene la clave pública de otro, porque ambos se encuentran relacionados propiamente por el Certificado Digital. El usuario sabe que es válida la clave, porque una Autoridad de Certificación confiable ha emitido dicho Certificado.

Cuando se emite un Certificado, la Autoridad de Certificación emisora firma el certificado con su propia clave privada, y para validar su autenticidad, un usuario utilizando la clave pública de esa Autoridad de Certificación, comprueba el Certificado, para determinar si fue en realidad firmado por dicha Autoridad.

Estructura

Para que un Certificado Digital sea útil, tiene que estar estructurado de manera clara y confiable, a fin de que la información contenida pueda recuperarse y entenderse fácilmente. La estandarización de su estructura está dada para que sea comprensible por todos, independientemente de quién lo haya emitido.

De forma general, la estructura de los Certificados Digitales se ajusta al estándar X.509 de la Unión Internacional de Telecomunicaciones (UIT), que propone, entre otros, los siguientes campos:

  • Número de versión: referido a la versión del estándar X.509 a la que se ajusta el Certificado.
  • Número de serie: identificador único del Certificado emitido por la Autoridad de Certificación.
  • Identificador del algoritmo del Certificado: referido al algoritmo de la clave pública específico que la Autoridad de Certificación ha utilizado para firmar el Certificado Digital.
  • Nombre del emisor: La identidad de la Autoridad de Certificación que emitió el Certificado.
  • Período de validez: corresponde al tiempo durante el cual el Certificado Digital es válido, y las fechas de inicio y vencimiento.
  • Nombre del sujeto: o propietario del Certificado Digital.
  • Información de la clave pública del sujeto: clave pública asociada con el propietario del Certificado Digital y los algoritmos específicos de la clave pública asociados con ella.
  • Identificador único del emisor: Información que se puede utilizar para identificar de forma exclusiva al emisor del Certificado Digital.
  • Identificador único del sujeto: Información que se puede utilizar para identificar de forma exclusiva al propietario del Certificado Digital.
  • Extensiones: Información adicional relacionada con el uso y manejo del certificado.
  • Firma Digital de la autoridad de certificación: La Firma Digital realizada con la clave privada de la Autoridad de Certificación utilizando el algoritmo del certificado especificado anteriormente.

Es oportuno destacar que los Certificados Digitales pueden ser empleados no solo en computadoras de oficina, sino también en laptops, tablets y smartphones, pues su estructura los hace comprensible para cualquier dispositivo y aplicación que cumpla con el estándar.

Certificados Digitales y PKI

Uno de los beneficios de la infraestructura de las claves públicas (PKI) es que reduce la administración de las claves, porque un par de ellas reemplaza a numerosas otras simétricas. Este beneficio se ve reforzado por los Certificados Digitales, que permiten que las claves públicas se distribuyan y administren.

La PKI proporciona los medios para utilizar los Certificados Digitales emitiéndolos y haciéndolos accesibles a través de un directorio; también permite su validación verificando su autenticidad, y garantizando su confiabilidad a través de las Autoridades de Certificación.

Debido a que los Certificados Digitales proporcionan acceso a las claves públicas de los remitentes y los destinatarios para el intercambio de mensajes seguros, la PKI los emplea para la administración simplificada de las claves, mediante el empleo de una Autoridad de Certificación, al eliminar la necesidad de intercambiar claves manualmente.

La Autoridad de Certificación emisora de un Certificado Digital garantiza su validez, firmándolo digitalmente con su propia clave pública. Verificar la autenticidad de un Certificado significa, por tanto, verificar la Firma Digital de la Autoridad de Certificación que lo emitió. De no ser posible, se asume que el Certificado no es confiable.

Los Certificados Digitales requieren de una infraestructura funcional para gestionarlos en cada contexto particular. La revocación de los Certificados es otro de los servicios que la PKI proporciona como parte del proceso de verificación.

La Infraestructura de las Claves Públicas (PKI) es inseparable de los Certificados Digitales. La PKI es responsable de emitir los certificados, garantizar la distribución de estos a través de un directorio, validarlos y revocarlos. Debido a que la PKI garantiza que los Certificados Digitales sean confiables, la PKI es una parte integral de los mismos.

Certificados Digitales y Firma Digital

La relación de la clave pública con la clave privada de un usuario le permite al destinatario autenticar y validar el mensaje del remitente. Los Certificados Digitales brindan soporte a la criptografía de las claves públicas al proporcionar un medio confiable para distribuir y acceder a las claves públicas.

Cuando se firma un mensaje, el remitente utiliza su clave privada (asociada con su clave pública) y disponible en su Certificado Digital. A su vez, cuando el destinatario está validando una Firma Digital, obtiene la clave pública del Certificado Digital del remitente, para realizar la comprobación.

Una secuencia lógica de la Firma Digital con la adición de los elementos de soporte de los Certificados Digitales puede describirse como:

  • Se escribe el mensaje.
  • Se calcula su valor de Hash.
  • Se toma del Certificado Digital del remitente su clave privada, y se cifra con ella el valor de Hash del mensaje.
  • Se agrega al mensaje el valor Hash cifrado como una Firma Digital.
  • Se envía el mensaje.

En la recepción del mensaje, para la verificación de la Firma Digital empleando los Certificados Digitales, la secuencia sería:

  • Se recibe el mensaje.
  • Se recuperan (separan) el mensaje y el valor Hash cifrado que contiene la Firma Digital.
  • Se calcula el valor Hash del mensaje.
  • Se toma del Certificado Digital del remitente su clave pública, y se descifra con ella el valor Hash cifrado.
  • El valor Hash descifrado se compara con el valor Hash del mensaje, calculado en su recepción. Si los valores coinciden, el mensaje es válido.

Como se muestra en estas secuencias, los Certificados Digitales proporcionan acceso a las claves públicas para la verificación de la Firma Digital.

Certificados Digitales y Cifrado

Del mismo modo que los Certificados Digitales admiten Firmas Digitales al hacer que las claves públicas estén disponibles para el proceso de verificación, también facilitan el cifrado de mensajes, al hacer que las claves públicas estén disponibles para que puedan usarse para el proceso de cifrado.

Un remitente puede acceder a la clave pública del destinatario, lo que le permite encriptar el mensaje, sabiendo que solo el destinatario puede descifrarlo. Esta vez es el Certificado Digital del destinatario el que hace posible el cifrado. Al igual que con las Firmas Digitales, la clave pública del Certificado Digital hace posible la operación.

La secuencia de cifrado con los elementos de soporte de los Certificados Digitales puede describirse como:

  • Se escribe el mensaje.
  • Se genera una clave de sesión simétrica única.
  • La operación de cifrado del mensaje se realiza utilizando la clave simétrica de sesión generada.
  • Se obtiene la clave pública del Certificado Digital del destinatario.
  • La clave de sesión se cifra utilizando la clave pública del destinatario.
  • La clave de sesión cifrada se adiciona al mensaje cifrado.
  • Se envía el mensaje.

A su vez, en el destinatario del mensaje, la secuencia lógica de descifrado con la adición de los elementos de soporte de los Certificados Digitales sería:

  • Se recibe el mensaje.
  • Se separan (recuperan independientemente) el mensaje cifrado y la clave de sesión cifrada.
  • Se obtiene del Certificado Digital del destinatario su clave privada, y con ella se descifra la clave de sesión cifrada.
  • Se descifra el mensaje cifrado con la clave de sesión descifrada, y se muestra al destinatario.

Complementariedad

Haciendo uso de los Certificados Digitales y la Firma Digital el cifrado de los mensajes pueden complementarse entre sí, lo que constituye en su conjunto el núcleo fundamental de la seguridad de los mensajes electrónicos.

Es oportuno puntualizar como se mencionó anteriormente, que para firmar electrónicamente un mensaje, se hace uso del Certificado Digital del remitente, mientras que para cifrarlo, se emplea el Certificado Digital del destinatario.

La secuencia de firma y cifrado, mediante el uso de los Certificados Digitales, puede describirse como:

  • Se escribe el mensaje.
  • Se calcula el valor Hash del mensaje.
  • Se obtiene del Certificado Digital del remitente su clave privada, y se cifra con ella el valor Hash del mensaje.
  • El valor Hash cifrado se agrega al mensaje como una Firma Digital.
  • Se genera una clave de sesión simétrica única, y con ella se cifra el mensaje (que ya contiene la Firma Digital).
  • Se obtiene del Certificado Digital del destinatario su clave pública, y con ella se cifra la clave simétrica única de sesión generada.
  • La clave de sesión cifrada se adiciona al mensaje cifrado.
  • Se envía el mensaje.

Al recibir el mensaje, la secuencia de descifrado y verificación de la firma digital quedaría como:

  • Se recibe el mensaje.
  • Se identifican (separan) el mensaje cifrado y la clave de sesión cifrada.
  • Del Certificado Digital del destinatario se obtiene su clave privada, y se descifra con ella la clave de sesión cifrada.
  • Se descifra el mensaje cifrado con la clave de sesión descifrada.
  • Del mensaje descifrado se recupera (separan) propiamente el mensaje y el valor Hash cifrado que contiene la Firma Digital.
  • Se calcula el valor Hash del mensaje.
  • Del certificado digital del remitente se recupera su clave pública, y con ella se descifra el valor Hash cifrado.
  • El valor Hash descifrado se compara con el valor Hash calculado en la recepción. Si los valores coinciden, el mensaje es válido.
  • Se muestra el mensaje sin cifrar al destinatario.

Los Certificados Digitales en el contexto actual, contribuyen a disminuir uno de los principales desafíos a que se enfrentan los medios electrónicos, que es el de asegurar la identidad de las partes que intervienen en cualquier operación, tanto para el usuario que accede a un servicio, como para la organización que lo presta.

En este sentido, los Certificados Digitales aportan un grado de fiabilidad y confianza al envío de información por medios electrónicos, al garantizar la integridad del contenido, y la autenticación del remitente y el receptor de la información.