Seguridad informática

Certificado digital

Los certificados digitales permiten realizar de forma remota trámites que antes requerían presencia física.

la explicación es sencilla, pero está basada en otros tres conceptos que debe comprender, y por este orden.

Con estos conceptos construiremos el "castillo de naipes" paso a paso para verlo todo en conjunto.

Si lo desea, puede descargar el esquema completo: Firmas y Certificados Digitales.pdf.

Qué es un certificado digital

Como ya sabemos qué es una firma electrónica, podemos usar ese proceso para que una entidad, en la que todos confiemos, firme digitalmente (certifique) los datos que se quieran certificar.

Certificado de firma

Uno de los certificados más usados es el certificado de firma, que certifica que la firma es de quien dice que es.

Consiste en que la entidad, en la que todos confiemos, firma (certifica) el nombre y apellidos de una persona junto con su clave pública.

De esta forma, el certificado asociada de forma inequívoca y comprobable, la clave pública (que se usa para descifrar el hash de la firma) de esa persona a su nombre. Es decir, queda certificada la autenticidad del firmante.

Esa entidad en la que confiamos, es una Autoridad Certificadora (AC), y su firma con los datos firmados son un Certificado digital.

Por tanto, un Certificado digital es un archivo que empaqueta:

Datos que se quieren certificar.
Firma electrónica (cifra del hash), por una Autoridad certificadora (AC), de los datos que se quiere certificar.

Autoridad Certificadora (AC)

Una de las principales funciones de la AC es certificar el directorio de claves públicas y publicarlo para quien necesite validar una firma.

De esta forma, cuando valida una firma, también está comprobando la autenticidad del firmante. Es decir, comprobando que quien ha firmado es quien dice que es.

Como cada clave pública es única para cada clave privada, cuando haga una validación de firma, puedo comprobar en el directorio (en el que ya confío porque está firmado por la AC) que el nombre, apellidos y DNI corresponde a esa clave pública. Luego puedo saber quién es el que firma.

La AC también debe emitir la lista de certificados revocados (CRL) para la Autoridad de Validación.

Autoridad de Validación (AV)

Cuando queremos comprobar (validar) un certificado digital recurrimos a la Autoridad de Validación. Esta autoridad tiene los certificados emitidos por la AC. En realidad podría ser también la misma AC pero por privacidad y eficiencia se separan los roles.

No solo se encarga de comprobar que la firma corresponde a quien dice que es (Autenticar), sino también de comprobar que el certificado no ha caducado y no ha sido revocado.

Esta autoridad no necesita todos los datos que certifica la AC, sino solamente los hashes, fechas de caducidad y la Lista de Revocación de Certificados (CRL); para comprobar que están vigentes.

Vigencia del certificado

Como hemos mencionado, la AV (o en su caso la AC) autentica el certificado. Es decir, confirma que corresponde a la persona que dice ser.

Pero también tiene otra función muy importante. Supongamos que el certificado ha sido robado o perdido. El usuario comunica inmediatamente a la AC el problema. La AC debe cancelar inmediatamente ese certificado, para evitar la suplantación de identidad.

Si el certificado se validara solo con la clave pública del firmante, no se podrían cancelar los certificados. Por eso se ha establecido que debe existir una Lista de Revocación de Certificados (siglas en Inglés CRL).

Este es el tercer paso de la validación, consultar esta lista a la AV, para ver que el certificado estaba vigente en el momento de la firma. Para ello es necesario mantener una conexión a Internet.

DNI electrónico

Su DNI electrónico está certificado por la Dirección General de la Policía que ejerce la función de Autoridad certificadora, y es la responsable de verle a Vd. físicamente antes de entregarle el DNI físico (plástico firmado con sellos) con sus certificados firmados digitalmente.

Certificados del DNI electrónico

El DNI electrónico es un dispositivo bastante complejo. Tiene varios certificados y distintas claves para establecimiento de conexión con el PC, con otras entidades, etc; pero básicamente y lo más importante son estos dos certificados:

Certificado de autenticación: Es el certificado de los datos asociados a una persona (nombre, núm. DNI, fechas, etc).
Certificado de firma: Es un certificado de las claves que utiliza para firmar.

somos la persona que aparece en la foto y con esos datos.

Certificados de servidores web

Cuando Vd. navega por Internet y accede a una página web con conexión segura (que empieza por HTTPS), su navegador recibe el certificado de la página web y consulta a la AV para comprobar si el certificado es correcto. Es decir, la AV reconoce que la web es quien dice que es.

Los fabricantes de navegadores confían en unas determinadas AC. Por eso tienen ya instalados sus certificados sin necesidad de que Vd. lo haga.

Puede verlos en su navegador entrando en "Ajustes-configuración → Seguridad → Ver certificados".

Estas AC emiten certificados con las claves públicas de sitios en los que confían. Por eso su navegador cuando establece una conexión segura con un certificado no reconocido (que no es capaz de validar), dispara una señal de alerta.