Son documentos digitales emitidos por una entidad y para un tercero. Dicha entidad (Autoridad de Certificación AC) garantiza los datos contenidos en el citado documento relativos a una persona física o jurídica.
Son el equivalente digital de un documento de identidad o un pasaporte.
Mediante un conjunto de claves asociadas a una identidad, un Certificado sirve para identificarse ante terceros, y previene la fácil suplantación de la identidad en Internet. Este hecho lo convierte en herramienta clave para la identificación de las partes contratantes en el comercio electrónico.
2. ¿Qué elementos contiene un Certificado Digital?
Un certificado digital esta compuesto por los siguientes elementos:
 |
Identificador del proveedor de servicios de certificación que expide el certificado |
|
Nombre o pseudónimo del titular |
|
Un Atributo específico del titular, como su dirección, capacidad de actuar en nombre de una empresa, solvencia, número de CUIT u otro código de identificación fiscal, o la existencia de garantías de pago o de licencias y permisos específicos |
|
Un dispositivo de verificación de firma que corresponda a un dispositivo de creación de firma bajo control del titular |
|
Período de validez del certificado |
|
Un código único que identifica al certificado |
|
La firma electrónica del proveedor de servicios de certificación que expide el certificado |
|
Los límites de uso del certificado, si procede |
|
Los límites de la responsabilidad del proveedor de servicios de certificación y del valor de las transacciones para las que tiene validez el certificado. |
Un certificado digital contiene un código numérico visible por todo el mundo que lo necesite (clave pública), indisociable de la persona registrada, junto con otro código, éste privado (clave privada), al alcance sólo de la persona certificada.
Este sistema de doble tipo de claves (públicas y privadas) es la base de la Certificación Digital.
3. ¿Para qué sirven los Certificados Digitales?
Los certificados digitales sirven para garantizar:
1) la identidad del emisor y del receptor de la información (autentificación
de las partes)
2) que el mensaje no ha sido manipulado en el camino (integridad de la
transacción)
3) que sólo emisor y receptor vean la información (confidencialidad)
4) que una vez aceptada la comunicación, ésta no pueda ser negada de haber
sido emitida (no-repudio).
4. ¿Podemos confiar en los Certificados Digitales?
La confianza en el sistema viene dada por la confianza y prestigio que tenga quien garantiza los datos contenidos en el certificado. Por eso se dice que la Autoridad de Certificación ejerce de "tercera parte de confianza" (Trusted Third Party o TTP).
En la práctica, mediante un certificado se puede:
1) Asegurar la entrada a sitios restringidos en la World Wide Web (en
lugar de los peligrosos controles por palabras clave)
2) Firmar mensajes asegurando su procedencia y autoría
3) Encriptar la comunicación de manera que sólo el destinatario pueda
verla.
5. ¿Quién emite los Certificados Digitales?
Los certificados están emitidos por una Autoridad de Certificación (AC), que puede ser una entidad oficial que quiere garantizar la identidad de aquellos para los que emite el certificado, una compañía para registrar sus empleados para acceder a sus sistemas informáticos, una universidad para los estudiantes, o un municipio para sus ciudadanos.
Para ello, dicha AC debe disponer a su vez de un certificado digital para firmar los certificados que emita. Este certificado puede provenir de una entidad superior, caso que se denomina certificación jerárquica.
6. ¿Cuándo se puede emitir un Certificado Digital?
La emisión se realiza siempre cuando se ha comprobado la identidad del solicitante.
La emisión y la identificación pueden recaer sobre entidades diferentes. La labor de identificación del solicitante la puede realizar una Autoridad de Registro (AR), que es la entidad de confianza en la que se basa la mayor parte de la credibilidad del certificado.
7. ¿De qué depende la "calidad" de los certificados emitidos?
La labor de identificación puede ser más o menos completa, dando lugar a la aparición de diferentes grados de "calidad" de certificado.
Cada Autoridad de Certificación debe publicar los procedimientos que sigue para la identificación y emisión de los diferentes tipos de certificado, para demostrar esta calidad. Estos procedimientos son recogidos en un documento denominado CPS (Prácticas de Certificación).
8. ¿Qué tipos de Certificados se emiten en Internet?
En Internet se están definiendo tantos tipos de certificados como usos se puedan imaginar: certificados que garantizan la titularidad de una tarjeta de crédito, o la pertenencia a un club, o la afiliación a un determinado entorno, etc.
Se suele hablar de tres tipologías de certificado, en función de la calidad de la comprobación de los datos del solicitante:
 |
Seguridad Baja: no existe ninguna comprobación de los datos que se aportan. Se denomina también de clase "PILOTO", y sirve para probar el sistema, y máximo para encriptar la comunicación que deseemos enviar a un tercero. No tiene valor probatorio, y su uso es meramente promocional. |
|
Seguridad Media: se comprueban los datos aportados por el solicitante con las bases de datos aportadas por terceros. Se dirigen a asociaciones, corporaciones o empresas que deseen securizar la entrada de asociados o empleados a sus sistemas de información corporativos. Son de uso interno y se suelen usar para Intranets seguras, acceso a servicios telemáticos restringidos y aplicaciones corporativas o para clientes. |
|
Seguridad Alta: Se realiza una identificación física del solicitante y un registro consistente de los datos que aporta. En función de la calidad de los procedimientos de registro (que son públicos), se puede usar más o menos como prueba irrefutable de la identidad de una persona o entidad. Según la directiva comunitaria sobre firma digital, tiene valor probatorio ante la ley y es la garantía del funcionamiento futuro del comercio electrónico entre empresas. |
9. ¿Cómo se solicita un Certificado Digital?
10. ¿Cuánto cuesta un Certificado Digital?
11. ¿Qué duración tiene la validez de un Certificado Digital?
12. ¿Dónde tiene validez un Certificado Digital?
13. ¿En qué soporte se guarda el certificado digital?
14. ¿Quién/es es responsable del certificado digital?
La responsabilidad en la que se incurre es de tipo jerárquica.
El poseedor del certificado es responsable de notificar variaciones en los datos certificados, pérdida del mismo, o cualquier otra posible incidencia que sólo conozca él mismo.
La Autoridad de Registro (y de manera extensible, sus empleados) es responsable de realizar una identificación consistente y completa, seguir los trámites con fidelidad, y realizar las labores de revocación, modificación y renovación de manera correcta y fiel, siendo responsable directa de los datos que certifica.
La Autoridad de Certificación es responsable de emitir, con calidad técnica y de manera segura e irrepetible por otros medios o en otras circunstancias, el doble par de claves, pública y privada, que constituye el eje del certificado, así como de poner a salvo su propia clave privada, y garantizar la calidad técnica del sistema informático, y el libre y fácil acceso a las listas y directorios de claves públicas para la verificación de firmas emitidas por la misma.
15. ¿Qué es la criptografía de clave pública?En la criptografía tradicional para la transmisión de comunicación, el emisor y el receptor de un mensaje usaban la misma metodología para cifrar y descifrar, mediante claves secretas que además tenían que transmitirse de alguna manera (poco segura). Es la criptografía denominada simétrica o de "clave privada".
Para evitar sus evidentes riesgos, se desarrolló en 1976 un sistema que es intrínsecamente inviolable: la criptografía de clave pública, y sus dos aplicaciones básicas (firma digital y encriptación).
En este sistema, cada persona dotada de un certificado digital dispone de un par de claves, una pública que está puesta al alcance de todo posible usuario del sistema, y una clave privada, que sólo posee la persona certificada.
En este sistema, no es necesario enviar ningún código secreto. El único requerimiento es que cada clave pública debe estar asociada a una identidad siguiendo un proceso de reconocimiento fiable.
Por este sistema, una persona puede enviar un mensaje firmado con su clave privada a otra, y ésta segunda saber que realmente era la primera la que lo enviaba, ya que la firma en cuestión era la única que podía ser reconocida por la clave pública del emisor (la cual debe haber obtenido el receptor para poderlo comprobar. Existen directorios públicos de los emisores de certificados para este fin).
Igualmente, un emisor puede encriptar un mensaje con la clave pública del receptor, de manera que éste último sea la única persona que lo puede leer, ya que sólo él posee la clave privada que permite desencriptarlo.
En este sistema, la clave privada se halla relacionada matemáticamente con la pública de manera irrepetible, siendo el sistema muy seguro.
16. ¿Puedo ver un ejemplo de uso de cifrado?
Alicia quiere enviar un mensaje secreto a Roberto. Busca su clave pública en algún directorio, y encripta y manda el mensaje (de manera muy fácil gracias a los nuevos navegadores de Netscape y Microsoft). Como viaja encriptado, es indescifrable para todo aquel que llegara a capturar la información. Cuando Roberto recibe el mensaje, lo desencripta con su clave privada, y puede estar seguro de que nadie más ha visto el texto. Sólo Roberto puede leer el mensaje.
17. ¿Puedo ver un ejemplo de uso de firma digital?
Para firmar un mensaje, Alicia usa su clave privada. De hecho, la firma es una mezcla de ésta clave y un resumen del texto firmado. Esta firma se adjunta al texto, y Roberto, cuando la recibe, puede comprobar que corresponde con la clave pública de Alicia, y estar absolutamente seguro de la identidad del emisor.
La comprobación de la calidad del certificado puede hacerse en línea, y así descubrir además si ha sido revocado o modificado en algún aspecto (como se hace con la comprobación en línea de las tarjetas de crédito).
18. ¿Qué es una clave privada?
En las estructuras de criptografía y certificación por clave pública (PKI), la clave privada es el elemento secreto relacionado por procedimientos matemáticos con el otro elemento (clave pública), y guardado por la persona certificada con garantías de seguridad.
Sirve básicamente para desencriptar mensajes recibidos, aunque también se usa para crear la firma digital.
19. ¿Qué es una clave pública?
En las estructuras de criptografía y certificación por clave pública (PKI), la clave pública es la parte que debe ser puesta al alcance de cualquier persona que la requiera, relacionada por procedimientos matemáticos con el otro elemento (clave privada), y guardada siempre por la Autoridad de Certificación en su directorio.
Sirve básicamente para encriptar, aunque también se usa para verificar firmas digitales.
20. ¿Qué es una firma digital?
Es la mezcla de un resumen del texto encriptado con la clave privada del emisor, que se adjunta al documento que se firma, y constituye un método seguro de garantizar autoría y emisión del mismo.
21. ¿Qué valor tiene la firma digital?
Técnicamente puede demostrarse que ofrece más garantías que la firma real, ya que no puede duplicarse ni puede ser imitada. Pero debido a la calidad del proceso de registro que se siga en cada caso, tiene la calidad que éste le aporte, y la seguridad con la que se han generado las claves.
En breve plazo, tendrá valor legal probatorio al transponerse la directiva comunitaria sobre firma digital, y será la manera de transmitir documentos digitales de manera segura y con valor legal para promocionar el comercio electrónico entre empresas.