DigiSign Data Security Logo   Productos, servicios, consultoría Seguridad en la transmisión de información y en el comercio electrónico Noticias sobre Seguridad, Criptografía, etc.
  Temas de hacking y seguridad Pagina Central Preguntas Frecuentes y Ayudas
  Ir a la Página Superior
 

Certificados de clave pública

En base a documentación de RSA Data Security

 

Los certificados de clave pública
Utilización de los Certificados
Emisión de Certificados

 

Los certificados de clave pública

Los certificados son documentos digitales que atestiguan que una clave pública pertenece a determinado individuo o entidad. Permiten la verificación en caso de reclamos de que una clave pública dada pertenece fehacientemente a una determinada persona. Los certificados ayudan a evitar que alguien utilice una clave falsa haciéndose pasar por otro.

En su forma más simple, los certificados contienen una clave pública y un nombre, la fecha de vencimiento de la clave, el nombre de la autoridad certificante, el número de serie del certificado y quizás otros datos. Esencialmente, contiene la firma digital del que otorga el certificado.

El formato más ampliamente aceptado de un certificado está definido como el estándar internacional ITU (CCITT) X.509.  De este modo, los certificados se pueden leer con una aplicación que cumpla con el X.509.  Mayores refinamientos se encuentran en el conjunto de estándares PKCS y el estándar PEM.  La autoridad certificante emite los certificados que están firmados con la clave privada de esa autoridad certificante.

Utilización de los Certificados

Se da a conocer un certificado para generar confianza en la legitimidad de su clave pública. Quien verifique la firma también puede verificar el certificado del firmante para asegurarse de que no haya habido falsificaciones o representaciones falsas. Estos pasos se pueden llevar a cabo con mayor o menor rigor de acuerdo con el contexto.

La forma más segura de usar la autenticación consiste en adjuntar uno o más certificados con cada mensaje firmado. El receptor del mensaje puede verificar el certificado utilizando la clave pública de la autoridad certificante y, una vez que así se asegura de la clave pública del remitente, verifica la firma del mensaje.

Puede haber dos o más certificados adjuntos a un mensaje formando una cadena jerárquica donde un certificado confirma la veracidad del certificado previo. Al final de una cadena de certificados jerárquicos se encuentra una Autoridad Certificante de primera línea en la cual se confía y que no necesita ser confirmada por nadie. La clave pública de la autoridad de primera línea debe ser conocida ampliamente, por ejemplo, por medio de una publicación.

Cuanto más conocido es el remitente, menor es la necesidad de adjuntar y verificar certificados.

Si Alicia envía mensajes a Juan todos los días, ella puede adjuntar una cadena de certificados el primer día para que Juan las verifique. Juan almacena la clave pública de Alicia y no se necesitan más certificados ni verificaciones en lo sucesivo.

Un remitente, cuya compañía es conocida para el receptor puede adjuntar un solo certificado (emitido por la compañía), mientras que un remitente cuya compañía es desconocida para el destinatario deberá adjuntar dos certificados.

Una buena regla de oro consiste en adjuntar la cantidad de certificados necesarios, de modo que la autoridad máxima de la cadena sea conocida por el receptor.

De acuerdo con los estándares PKCS para la criptografía con clave pública, cada firma apunta a un certificado que otorga validez a la clave pública del firmante. Específicamente, cada firma contiene el nombre del emisor del certificado y el número de serie del certificado. De este modo, aún si no se adjuntaran certificados al mensaje, el verificador puede utilizar esa cadena preestablecida de certificados para controlar la condición de la clave pública.

Emisión de Certificados

Los certificados los emite una Autoridad Certificante (AC), que puede ser cualquier administración central de confianza que pueda confirmar las identidades de aquellos a quienes otorga los certificados. Una compañía puede emitir certificados a sus empleados, una universidad a sus estudiantes, una ciudad a sus ciudadanos, etc.

Para evitar que se falsifiquen los certificados, la clave pública de la AC deber ser confiable: una AC debe publicar su clave pública o proporcionar un certificado de una autoridad mayor que atestigüe la validez de su clave. Esta solución da origen a jerarquías de ACs.

La emisión de certificados funciona del siguiente modo:

  • Alicia genera su propio par de claves y envía su clave pública a una AC apropiada, con alguna prueba de su identidad.
  • La AC corrobora la identificación y toma otras medidas necesarias para asegurarse de que el pedido haya procedido de Alicia.
  • La AC le envía a Alicia un certificado que atestigua que la clave le pertenece, junto con la jerarquía de certificados que verifican la clave pública de esa AC.
  • Alicia puede presentar esta cadena de certificados cuando desee demostrar la legitimidad de su clave pública.


Como la AC debe controlar la identificación, las organizaciones hallarán más cómodo actuar como AC para sus propios miembros y empleados. Algunas AC podrán emitir certificados a individuos que no pertenezcan a ella.

Distintas AC pueden emitir certificados de acuerdo con diferentes niveles de pedido de identificación. Una AC puede exigir una licencia de conductor, otra querrá un pedido formal por escrito, otra las huellas digitales de los solicitantes. Cada AC podrá publicar sus propios requisitos de identificación de modo que los verificadores puedan conferir a la relación nombre-clave el nivel apropiado de seguridad.

Un ejemplo de los requisitos de emisión de un certificado es, por ejemplo, el OCE (Ambiente de Colaboración Abierto - 'Open Collaborative Enviroment') de Apple Computer. Los usuarios del sistema pueden generar un par de claves y pedir el certificado de la clave pública. El pedido de certificación debe hacerse por escrito.
 
 

Volver al Comienzo de Página