Ayuntamiento de Zaragoza

Presupuestos Participativos

Certificado digital

El desarrollo de las técnicas criptográficas nos ha permitido que Internet sea un medio seguro de comunicación. A pesar de ello, conviene tener claros ciertas normas básicas de seguridad y conceptos que a continuación se van a comentar.

¿Qué normas básicas de seguridad se deberían tener siempre en cuenta?

  1. No asumir la identidad de la otra parte sin previa identificación: autentificación
  2. Evitar que los mensajes puedan ser leídos por alguien que no interviene en la comunicación: confidencialidad
  3. Evitar que la información pueda ser modificada durante su transmisión: integridad de datos
  4. Poder probar que el emisor envió realmente el mensaje, es decir, que éste no pueda negar que lo ha enviado: no repudio

¿Qué mecanismos nos permiten aplicar estas normas de seguridad?

La confidencialidad se asegura cifrando el mensaje. La integridad de los datos, la autentificación y el no repudio se garantizan con la firma digital. Y para poder tanto cifrar un mensaje como firmarlo es necesario un certificado digital.

¿En qué consiste el cifrado?

Un algoritmo criptográfico es una función matemática que junto con una clave (un número, palabra o frase) permite el cifrado y descifrado de la información.

El concepto de cifrado digital es muy sencillo: dado un mensaje en claro, es decir, mensaje reconocible, si se le aplica un algoritmo de cifrado se generará como resultado un mensaje cifrado que sólo se podrá descifrar por aquellos que conozcan el algoritmo utilizado y la clave correspondiente.

Existen dos tipos de cifrado: el cifrado simétrico (o de clave secreta) y el asimétrico (o de clave pública).

El cifrado simétrico es aquel que emplea la misma clave tanto para cifrar como para descifrar el mensaje. Su ventaja es la rapidez del proceso de cifrado. Y su principal desventaja radica en la distribución segura de dicha clave ya que para descifrar el mensaje el destinatario necesita la misma clave secreta con la que el remitente lo ha cifrado.

El cifrado asimétrico solventa este problema ya que emplea un par de claves: una clave pública para cifrar y su correspondiente clave privada para descifrar. Así, cuando alguien quiera mandar un mensaje seguro deberá cifrarlo con la clave pública del destinatario. Tan sólo el destinatario, poseedor de la correspondiente clave privada, podrá descifrarlo y, por lo tanto, ver su contenido.

Este método tiene un par de inconvenientes: por un lado, el proceso de cifrado y descifrado es mucho más lento que en los algoritmos de clave simétrica y, por otro lado ¿cómo podemos asegurar que la clave pública que empleamos para cifrar la información se corresponde con la correspondiente clave privada del destinatario?

Para solucionar este problema entran en juego los certificados digitales.

¿Qué es un certificado digital?

Éste no es más que un fichero que contiene principalmente información personal junto con una clave pública (la cual está ligada a su correspondiente clave privada que sólo el dueño del certificado debe poseer). Un certificado digital es el equivalente electrónico a un Documento de Identidad que nos permite identificarnos, firmar y cifrar electrónicamente documentos y mensajes.

Un certificado sirve para:

  • Autentificar de forma electrónica la identidad del usuario ante terceros.
  • Cifrar datos para que sólo el destinatario del documento pueda acceder a su contenido.
  • Firmar digitalmente de forma que se garantice la integridad de los datos y su procedencia.

 

La autentificación se consigue gracias a que el certificado asocia los datos del usuario a una clave pública que permite a otros verificar que esa clave es válida. Luego se verá como se asocian los datos con la clave pública (Autoridades de Certificación).

Respecto al cifrado de la información, como ya se ha comentado, se emplea la clave pública del destinatario la cual se obtiene del certificado digital de dicho destinatario.

El proceso de firma se comenta a continuación.

¿Y en qué se basa la firma digital?

Ya se ha comentado que para cifrar los datos se emplea la clave pública del destinatario, de modo que tan sólo este, único poseedor de la clave privada correspondiente, puede descifrarlos.

La firma electrónica también es un proceso de cifrado pero en el que se emplea la clave privada del remitente o firmante en vez de la clave pública del destinatario.

Cualquiera que tenga acceso a la correspondiente clave pública del firmante (es decir, todo aquel que tenga el certificado digital del firmante) podrá verificar que el documento realmente ha sido firmado por él.

Hay que destacar que en el proceso de firmado no se oculta la información, ya que realmente se firma un resumen de dicho mensaje, dejando su contenido en claro. Si se desea ocultar el contenido del mensaje firmado, también habrá que cifrarlo (como ya se ha comentado, empleando la clave pública del destinatario).

¿Y qué papel desempeñan las Autoridades de Certificación?

Queda una cuestión, ¿quién asegura que los datos del certificado digital de un individuo o entidad son correctos? Aquí juegan su papel las Autoridades de Certificación y Autoridades de Registro. Son entidades que validan y garantizan los datos de los certificados que emite firmándolos con su propia clave privada. Depende ya de cada uno que nos fiemos o no de la Autoridad que ha emitido el certificado. Existen autoridades internacionales de reconocido prestigio como Verisign, y también nacionales como la Fábrica Nacional de Moneda y Timbre, y la Agencia de Certificación Electrónica.