Certificado digital

Clave Pública y Clave Privada

La encriptación con clave pública y clave privada involucra matemáticamente a un par de claves, una pública conocida por todos y una privada solo conocida por su dueño. Se trata de un sistema de encriptación asimétrico, donde un mensaje es encriptado y desencriptado a través de una pareja de claves ligadas matemáticamente, frente a una encriptación simétrica donde la encriptación y desencriptación se realiza a través de una única clave que debe de ser conocida por ambas partes, emisor y receptor.

La ventaja principal de este sistema de dualidad de claves reside en que la clave para desencriptar no tiene que ser enviada al destinatario, evitando que pueda ser interceptada en su transmisión y utilizada por un tercero para conocer el contenido de la comunicación.

Las claves privadas están en posesión de las personas o entidades titulares de la mismas, mientras que las claves públicas están gestionadas por un agente intermedio que actúa de garante. Estos agentes intermedios se denominan Entidades de Certificación.

El concepto de la dualidad de claves es básico para entender el modelo solución propuesto que no es otro que el que subyace del concepto de PKI (Public Key Infraestructure) o (Infraestructura de Clave Pública) sobre el cual se basan los principales sistemas de seguridad en la red.

Firma Digital

La firma digital es el proceso mediante el cual se garantiza que el mensaje no ha sido alterado en su transmisión (integridad), y además, que sólo el emisor es realmente quien dice ser (autenticación), y que el mensaje necesariamente ha sido enviado por el emisor y no por otro (no repudio).

La firma digital se basa en el cifrado, con la clave privada del emisor, de un resumen del mensaje, que acompañará a dicho mensaje, ya se transmita éste, cifrado o en claro.

El emisor genera un resumen del mensaje a través de una función HASH segura conocida. A continuación cifra ese resumen con su clave privada (por lo tanto solo será posible descifrarlo con su clave pública), y envía tanto el mensaje como el resumen cifrado al receptor. El receptor a la llegada del mensaje, utilizando la función HASH conocida, generará, a su vez, otro resumen a partir del mensaje. Por otra parte, descifrara el resumen enviado, con la ayuda de la clave pública del emisor.

Simplemente, se trata ya de comparar ambos resúmenes, y si coinciden, se puede asegurar que el contenido no ha sido alterado en ningún momento de la transmisión (integridad), y que además el emisor solo puede ser el poseedor de la clave privada que correspondiese a la clave publica con la que se descifro el resumen (autenticación y no repudio).

Certificados digitales o Certificados electrónicos

Un certificado digital es una credencial electrónica emitida y firmada (digitalmente) por una Autoridad de Certificación. El certificado digital contiene la clave pública de una determinada persona o identidad a la que queda vinculada. Esta vinculación es “certificada” por la Autoridad de Certificación que es la emisora del certificado.

Los elementos básicos de un certificado digital son los siguientes:

• La identidad del usuario

• Tipo de Certificado

• El número de serie de certificado

• Algoritmo de Firma Digital o “hash”

• La fecha de expiración del mismo

• Clave pública del usuario

• La identidad de la Autoridad de Certificación emisora del mensaje.

• Firma digital de la Autoridad de Certificación

En “e-puertobilbao” cada usuario dispondrá de su propio certificado digital, firmado por la Autoridad Certificadora, que en este caso será la Autoridad Portuaria de Bilbao. En el proceso de solicitud de los certificados digitales los usuarios deberán de acreditar su identidad ante la Autoridad de Registro que se determine, que igualmente será también la Autoridad Portuaria de Bilbao.

Entidad de Certificación

El reto al que se enfrentan los sistemas de seguridad en la red pasados en la criptografía asimétrica y en la utilización de certificados digitales es el de la autenticidad de las claves, es decir, ¿quién garantiza que la clave de un interlocutor, que se obtiene libremente en la plataforma, es realmente de él?. ¿Qué ocurriría si alguien envía su clave pública afirmando ser alguien que realmente no es?

Básicamente, queda por resolver el problema de la distribución de claves de forma que se garantice que pertenecen a sus legítimos propietarios. Es aquí donde entra en juego el concepto de Autoridad de Certificación, una tercera parte de confianza reconocida, que firma digitalmente las claves e identidades de usuarios y sistemas.

La especificación técnica de la solución de seguridad para la plataforma “e-puertobilbao” se presenta como una alternativa centralizada en donde un elemento central de la comunidad de usuarios creada entorno a “e-puertobilbao”, como es la Autoridad Portuaria de Bilbao, se designa como Autoridad de Certificación, asumiendo las funciones de generación, emisión y mantenimiento de los certificados. Esta solución implicará la generación de unos certificados digitales “propios”, que aunque técnicamente cumplirían los estándares X.509, no serían unos certificados validos más que para operar dentro de la plataforma.

En “e-puertobilbao” cada usuario deberá guardar su clave privada, de forma que solo él pueda disponer de ella. La clave pública de los usuarios (recogida dentro de sus certificados digitales) será de común conocimiento por parte del resto de los usuarios ya que estará publicada en las listas de certificados de la Autoridad de Certificación.