Emisores de certificados
Cualquier individuo o institución puede generar un certificado digital pero si éste emisor no es reconocido por quienes interactuaran con el propietario del certificado, es casi igual a que si no hubiese sido firmado. Por ello los emisores deben acreditarse para así ser reconocidos por otras personas, comunidades, empresas o países y que su firma tenga validez.
La gran mayoría de los emisores tiene fines comerciales, y otros, gracias al sistema de Anillo de confianza pueden otorgar gratuitamente certificados en todo el mundo, como:
CAcert.org, emisor administrado por la comunidad con base legal en Australia.
Thawte, sólo para certificados personales. Emisor propiedad de Verisign.
Pero para que un certificado digital tenga validez legal, el prestador de Servicios de Certificación debe acreditarse en cada país de acuerdo a la normativa que cada uno defina.
Encargados de autorizar la creación de una Autoridad de certificación o Prestador de Servicios de Certificación de algunos paises son:
En Guatemala, la Superintendencia de Administración Tributaria, (SAT)
En Chile, el Ministerio de Economía.
En España: el Ministerio de Industria, Turismo y Comercio y Agència Catalana de Certificació.
En Venezuela, la SUSCERTE - MCT (Superintendencia de Servicios de Certificación Electrónica)
En Perú, el INDECOPI (Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual)
En la República Dominicana el Indotel (Instituto Dominicano de las Telecomunicaciones)
En Colombia, Certicámara ( La Sociedad Cameral de Certificación Digital Certicámara S.A.)
En México, la Secretaría de Economía.
domingo, 20 de enero de 2008
certificado digital - formato de certificado digital
Formato de certificado digital
Un certificado emitido por una entidad de certificación autorizada, además de estar firmado digitalmente por ésta, debe contener por lo menos lo siguiente:
Nombre, dirección y domicilio del suscriptor.
Identificación del suscriptor nombrado en el certificado.
El nombre, la dirección y el lugar donde realiza actividades la entidad de certificación.
La clave pública del usuario.
La metodología para verificar la firma digital del suscriptor impuesta en el mensaje de datos.
El número de serie del certificado.
Fecha de emisión y expiración del certificado.
Un certificado emitido por una entidad de certificación autorizada, además de estar firmado digitalmente por ésta, debe contener por lo menos lo siguiente:
Nombre, dirección y domicilio del suscriptor.
Identificación del suscriptor nombrado en el certificado.
El nombre, la dirección y el lugar donde realiza actividades la entidad de certificación.
La clave pública del usuario.
La metodología para verificar la firma digital del suscriptor impuesta en el mensaje de datos.
El número de serie del certificado.
Fecha de emisión y expiración del certificado.
certificado digital - ¿Qué es?
¿Qué es un certificado digital?
Un Certificado Digital es un documento digital mediante el cual un tercero confiable (una autoridad de certificación) garantiza la vinculación entre la identidad de un sujeto o entidad y su clave pública.
Si bien existen variados formatos para certificados digitales, los más comúnmente empleados se rigen por el estándar UIT-T X.509. El certificado contiene usualmente el nombre de la entidad certificada, un número serial, fecha de expiración, una copia de la clave pública del titular del certificado (utilizada para la verificación de su firma digital), y la firma digital de la autoridad emisora del certificado de forma que el receptor pueda verificar que esta última ha establecido realmente la asociación.
Un Certificado Digital es un documento digital mediante el cual un tercero confiable (una autoridad de certificación) garantiza la vinculación entre la identidad de un sujeto o entidad y su clave pública.
Si bien existen variados formatos para certificados digitales, los más comúnmente empleados se rigen por el estándar UIT-T X.509. El certificado contiene usualmente el nombre de la entidad certificada, un número serial, fecha de expiración, una copia de la clave pública del titular del certificado (utilizada para la verificación de su firma digital), y la firma digital de la autoridad emisora del certificado de forma que el receptor pueda verificar que esta última ha establecido realmente la asociación.
firma digital - aplicaciones
Aplicaciones
Mensajes con autenticidad asegurada
Mensajes sin posibilidad de repudio
Contratos comerciales electrónicos
Factura_Electrónica
Desmaterialización de documentos
Transacciones comerciales electrónicas
Invitación electrónica
Dinero electrónico
Notificaciones judiciales electrónicas
Voto electrónico
Decretos ejecutivos (gobierno)
Créditos de seguridad social
Contratación pública
Sellado de tiempo
Mensajes con autenticidad asegurada
Mensajes sin posibilidad de repudio
Contratos comerciales electrónicos
Factura_Electrónica
Desmaterialización de documentos
Transacciones comerciales electrónicas
Invitación electrónica
Dinero electrónico
Notificaciones judiciales electrónicas
Voto electrónico
Decretos ejecutivos (gobierno)
Créditos de seguridad social
Contratación pública
Sellado de tiempo
firma digital - formato de la firma electrónica
Formato de la firma electrónica
Las normas TS 101 733 y TS 101 903 definen los formatos técnicos de la firma electrónica. La primera se basa en el formato clásico PKCS#7 y la segunda en XMLDsig firma XML especificada por el consorcio W3C.
Bajo estas normas se definen tres modalidades de firma:
Firma básica: Incluye el resultado de operación de hash y clave privada, identificando los algoritmos utilizados y el certificado asociado a la clave privada del firmante. A su vez puede ser "attached" o "detached", "enveloped" y "enveloping"
Firma fechada: A la firma básica se añade un sello de tiempo calculado a partir del hash del documento firmado por una TSA (Time Stamping Authority)
Firma validada o firma completa: A la firma fechada se añade información sobre la validez del certificado procedente de una consulta de CRL o de OCSP realizada a la Autoridad de Certificación.
La firma completa libera al receptor de la firma del problema de ubicar al Prestador de Servicios de Certificación y determinar los procedimientos de validación disponibles.
Las normas TS 101 733 y TS 101 903 definen los formatos técnicos de la firma electrónica. La primera se basa en el formato clásico PKCS#7 y la segunda en XMLDsig firma XML especificada por el consorcio W3C.
Bajo estas normas se definen tres modalidades de firma:
Firma básica: Incluye el resultado de operación de hash y clave privada, identificando los algoritmos utilizados y el certificado asociado a la clave privada del firmante. A su vez puede ser "attached" o "detached", "enveloped" y "enveloping"
Firma fechada: A la firma básica se añade un sello de tiempo calculado a partir del hash del documento firmado por una TSA (Time Stamping Authority)
Firma validada o firma completa: A la firma fechada se añade información sobre la validez del certificado procedente de una consulta de CRL o de OCSP realizada a la Autoridad de Certificación.
La firma completa libera al receptor de la firma del problema de ubicar al Prestador de Servicios de Certificación y determinar los procedimientos de validación disponibles.
firma digital - la solución
La solución
Un algoritmo efectivo debe hacer uso de un sistema de clave pública para cifrar sólo la firma. En particular, el valor "hash" se cifra mediante el uso de la clave privada del firmante, de modo que cualquiera pueda comprobar la firma usando la clave pública correspondiente. El documento firmado se puede enviar usando cualquier otro algoritmo de cifrado, o incluso ninguno si es un documento público. Si el documento se modifica, la comprobación de la firma fallará, pero esto es precisamente lo que la verificación se supone que debe descubrir.
El Digital Signature Algorithm es un algoritmo de firmado de clave pública que funciona como hemos descrito. DSA es el algoritmo principal de firmado que se usa en GnuPG.
Un algoritmo efectivo debe hacer uso de un sistema de clave pública para cifrar sólo la firma. En particular, el valor "hash" se cifra mediante el uso de la clave privada del firmante, de modo que cualquiera pueda comprobar la firma usando la clave pública correspondiente. El documento firmado se puede enviar usando cualquier otro algoritmo de cifrado, o incluso ninguno si es un documento público. Si el documento se modifica, la comprobación de la firma fallará, pero esto es precisamente lo que la verificación se supone que debe descubrir.
El Digital Signature Algorithm es un algoritmo de firmado de clave pública que funciona como hemos descrito. DSA es el algoritmo principal de firmado que se usa en GnuPG.
firma digital - las posibilidades de red
Las posibilidades de red
Para que sea de utilidad, la función hash debe satisfacer dos importantes requisitos:
Primero: debe ser difícil encontrar dos documentos cuyo valor para la función "hash" sea idéntico.
Segundo: dado uno de estos valores, debería ser difícil recuperar el documento que lo produjo.
Algunos sistemas de cifrado de clave pública se pueden usar para firmar documentos. El firmante cifra el documento con su clave privada y cualquiera que quiera comprobar la firma y ver el documento, no tiene más que usar la clave pública del firmante para descifrarla.Existen funciones "hash" específicamente designadas para satisfacer estas dos importantes propiedades. SHA y MD5 son dos ejemplos de este tipo de algoritmos. Para usarlos un documento se firma con una función "hash", cuyo resultado es la firma. Otra persona puede comprobar la firma aplicando la misma función a su copia del documento y comparando el resultado con el del documento original. Si concuerdan, es casi seguro que los documentos son idénticos.
Claro que el problema está en usar una función "hash" para firmas digitales que no permita que un "atacante" interfiera en la comprobación de la firma. Si el documento y la firma se enviaran descifrados, este individuo podría modificar el documento y generar una firma correspondiente sin que lo supiera el destinatario. Si sólo se cifrara el documento, un atacante podría manipular la firma y hacer que la comprobación de ésta fallara. Una tercera opción es usar un sistema de cifrado híbrido para cifrar tanto la firma como el documento. El firmante usa su clave privada, y cualquiera puede usar su clave pública para comprobar la firma y el documento. Esto suena bien, pero en realidad no tiene sentido. Si este algoritmo hiciera el documento seguro también lo aseguraría de manipulaciones, y no habría necesidad de firmarlo. El problema más serio es que esto no protege de manipulaciones ni a la firma, ni al documento. Con este método, sólo la clave de sesión del sistema de cifrado simétrico es cifrada usando la clave privada del firmante. Cualquiera puede usar la clave pública y recuperar la clave de sesión. Por lo tanto, resulta obvio usarla para cifrar documentos substitutos y firmas para enviarlas a terceros en nombre del remitente.
Para que sea de utilidad, la función hash debe satisfacer dos importantes requisitos:
Primero: debe ser difícil encontrar dos documentos cuyo valor para la función "hash" sea idéntico.
Segundo: dado uno de estos valores, debería ser difícil recuperar el documento que lo produjo.
Algunos sistemas de cifrado de clave pública se pueden usar para firmar documentos. El firmante cifra el documento con su clave privada y cualquiera que quiera comprobar la firma y ver el documento, no tiene más que usar la clave pública del firmante para descifrarla.Existen funciones "hash" específicamente designadas para satisfacer estas dos importantes propiedades. SHA y MD5 son dos ejemplos de este tipo de algoritmos. Para usarlos un documento se firma con una función "hash", cuyo resultado es la firma. Otra persona puede comprobar la firma aplicando la misma función a su copia del documento y comparando el resultado con el del documento original. Si concuerdan, es casi seguro que los documentos son idénticos.
Claro que el problema está en usar una función "hash" para firmas digitales que no permita que un "atacante" interfiera en la comprobación de la firma. Si el documento y la firma se enviaran descifrados, este individuo podría modificar el documento y generar una firma correspondiente sin que lo supiera el destinatario. Si sólo se cifrara el documento, un atacante podría manipular la firma y hacer que la comprobación de ésta fallara. Una tercera opción es usar un sistema de cifrado híbrido para cifrar tanto la firma como el documento. El firmante usa su clave privada, y cualquiera puede usar su clave pública para comprobar la firma y el documento. Esto suena bien, pero en realidad no tiene sentido. Si este algoritmo hiciera el documento seguro también lo aseguraría de manipulaciones, y no habría necesidad de firmarlo. El problema más serio es que esto no protege de manipulaciones ni a la firma, ni al documento. Con este método, sólo la clave de sesión del sistema de cifrado simétrico es cifrada usando la clave privada del firmante. Cualquiera puede usar la clave pública y recuperar la clave de sesión. Por lo tanto, resulta obvio usarla para cifrar documentos substitutos y firmas para enviarlas a terceros en nombre del remitente.
Suscribirse a:
Comentarios (Atom)