2. Identificación digital
●¿Cómo nos identificamos en un
entorno digital?
− Nombre de usuario/contraseña
− Sistemas biométricos
− Certificados digitales
3. ● ¿Como garantizar la identidad de las partes?
− Cualquiera puede generar un par de claves y pretender
que su clave pública es la de otra persona
● Un certificado digital es un documento emitido y firmado por la
Autoridad de Certificación que confirman la identidad de una
persona física o jurídica, vinculada con una clave pública
asociada a la clave privada.
● Tienen dos objetivos:
− 1- Que la clave pública del suscriptor pueda ser accesible
por los verificadores o participes interesados en validar y
verificar la firma digital del suscriptor.
− 2- Que los participes puedan confiar en que la clave
pública que recibe el verificador sea realmente la del
suscriptor.
● Cada certificado está identificado por un número de serie único
y tiene un periodo de validez que está incluido en el certificado.
¿Qué es un certificado
digital?
4.
5. Tipos de certificados
● No existe un criterio estándar que nos permita
clasificar de manera única de clasificación de
todos los certificados disponibles en el mercado
● Podemos clasificarlos por distintos criterios
− Según el tipo de identidad que incorporan
− Según el ámbito de aplicación
− Según el soporte...
6. Tipos de certificados
● Certificado Electrónico:
– Vincula una clave pública a un firmante.
● Certificado Reconocido:
– Son los expedidos como tales y cumplen los
requisitos establecidos en esta ley en cuanto a
la comprobación de la identidad y demás
circunstancias de los solicitantes y a la calidad
de los servicios que se prestan.
7. Según a quién se le emitan
● Certificados de Persona Física (ciudadano)
− Está orientado a ciudadanos (terceros físicos) y
están fundamentalmente pensados para
trámites personales aunque, en determinadas
circunstancias, pueden ser usados en el ámbito
profesional.
− Ej: Certificado de eDNI o el de la FNMT.
8. Certificados de Persona jurídica
● Puede actuar como solicitante:
− Un representante legal de la empresa (administrador
único, solidario o mancomunado, o un consejero
delegado)
− Un representante voluntario (apoderado), en cuyo caso
es necesario que se extienda un poder notarial
específico que le faculte a solicitar dicho certificado en
representación de la empresa.
● Su uso está pensado para todo tipo de organizaciones, ya
sean empresas, administraciones u otro tipo de
organizaciones, todas ellas con una identidad de tipo jurídico.
− Ej:certificado de pertenencia a organización.
− Certificados de pertenencia a empresas
− Certificado de representante (acredita los poderes de
representación)
9. Certificados Electrónicos para Empresas● El certificado de persona jurídica
− Identifica una empresa o sociedad.
* Puede actuar como solicitante:
· Un representante legal de la empresa (administrador único, solidario o mancomunado, o un consejero delegado) o
· Un representante voluntario (apoderado), en cuyo caso es necesario que se extienda un poder notarial específico que le
faculte a solicitar dicho certificado en representación de la empresa.
● El certificado de pertenencia a empresa
− Es un certificado de persona jurídica que, además de la identidad del titular, acredita su
vinculación con la entidad para la que trabaja, en virtud del cargo que ocupa en la misma.
− Los certificados personales aportan la ventaja de contener información añadida sobre la
empresa a la que pertenece la persona.
− Usos:
* Firmar todo tipo de documentos, garantizando la identidad del emisor, el no repudio de origen, la integridad
y confidencialidad del contenido.
* Asegurar la autenticación de su titular en un control de acceso.
− Lo puede solicitar la propia persona física titular del certificado siempre que esté autorizado por
un representante de la entidad o bien, la propia empresa a favor de sus empleados.
●El certificado de representante,
− Además de la pertenencia a empresa, acredita también los poderes de representación que
el titular tiene sobre la misma.
* El titular del certificado se identifica no sólo como persona física perteneciente a una empresa, sino como
administrador de la misma.
* Con este certificado se pueden realizar trámites para bonificaciones por acciones de formación, Agencia
Estatal Tributaria, etc.
●El certificado de Factura Electrónica
− Es un certificado reconocido de persona física con poderes de representación de una
organización únicamente para firmar Facturas Electrónicas.
●Existen otros certificados de empresa que emiten diferentes prestadores como los
certificados de apoderamiento especial, los certificados de colegiado, etc
10. Según el ámbito de aplicación
● Certificado de Servidor seguro
− Permiten conocer la identidad de un sitio web ( quién o qué organización
es la responsable jurídica de la página en cuestión)
* Podemos saber si realmente estamos accediendo a un sitio legítimo,
y que no estamos siendo víctimas de un engaño.
− Permiten cifrar las comunicaciones (protocolo https) de forma que se crea
un canal seguro de comunicación entre nuestro navegador y el sitio web al
cual nos estamos conectado.
● Certificado de firma de código (Software)
● Certificado de atributos (cualidad, cargo, estado situación)
− La diferencia fundamental, o elemento que los diferencia de un
certificado electrónico de propósito general, son los atributos que
incorporan, como es el caso de los siguientes:
* Certificado de pertenencia a empresa
* Certificado de representante
* Certificado de funcionario o certificado de empleado público
* Certificado de apoderado
● Certificado de sede electrónica administrativa
● Certificado de factura electrónica
● Certificado de cifrado de contenidos
● Certificado de sello de empresa o certificado de sello electrónico para la actuación
automatizada
11. ●Certificado en un fichero, instalable en
cualquier equipo (.p12)
●Token USB
●DNI electrónico (DNIe)
●Certificado en tarjeta criptográfica
(tarjeta inteligente)
●Tarjeta TIBC (Tarjeta Inteligente para
Bancos y Cajas de Ahorro)
Tipos de certificados según el
soporte
16. ¿Qué es un certificado raíz?
● Un certificado raíz es un certificado emitido por la Autoridad de
Certificación para sí misma.
● En este certificado consta la clave pública de la Autoridad de
Certificación y por tanto será necesario para comprobar la
autenticidad de cualquier certificado emitido por ella.
● Es el certificado origen de la cadena de confianza.
● Entidades raices
●
FNMT
●
Verisign
●
http://www.verisign.es/
●
Global Sign:
●
https://www.globalsign.com/
●
Entrust; www.entrust.net/
21. ¿Qué información contiene un
certificado ?
● Nombre habitual del propietario de la clave de firma
● Identificador único del propietario
● Clave pública correspondiente a la clave privada de firma
● Identificación de los algoritmos de clave pública
● Número del certificado
● Nombre de la Entidad Certificadora
● Limitaciones de aplicación de las claves
● Capacidad de representación por terceras partes
● Fecha y hora de emisión y aceptación del certificado
● Fecha y hora de expiración del certificado
● Firma de la Autoridad Pública de Certificación como emisora del
certificado
● Versión de la DPC bajo la cual se haya emitido el certificado
26. El Almacén de Certificados
● Es donde se guardan los certificados
● Siempre que vayamos a realizar un proceso de firma
electrónica o identificación digital basadas en certificados,
será necesario que esos certificados estén disponibles en el
ordenador para la aplicación que va a realizar la firma.
● Los certificados se guardan en el “Almacén de Certificados”.
● Para los certificados contenidos en una tarjeta digital,
como el DNI electrónico, la propia tarjeta es el almacén.
● Los certificados software se guardan en un almacén del
sistema operativo o en el propio de la aplicación.
●Para poder usarlo primero es necesario importar o cargar el
certificado en el almacén correspondiente
− En Windows, Google Chrome utiliza el almacén de certificados del
sistema operativo.
− Firefox y Opera utiliza su propio almacén de certificados
27. Copia de seguridad del
certificado
●La realización de una copia es fundamental para no
quedarse sin certificado en caso de incidencias con el
equipo o una reinstalación del mismo
●El usuario deberá realizar la copia de seguridad del
certificado con su clave privada desde el almacén del
navegador y dejarlo bien configurado.
●Pero además deberá darlo de alta (importarlo) en el
almacén del sistema operativo que esté usando
●Para impedir que se pueda exportar el certificado más
clave privada por otra persona y configurar un acceso
seguro a la clave privada mediante un PIN de protección
28. Copia de seguridad del certificado
La realización de una copia es fundamental para no
quedarse sin certificado en caso de incidencias con el
equipo o una reinstalación del mismo
El usuario deberá realizar la copia de seguridad del
certificado con su clave privada desde el almacén
del navegador y dejarlo bien configurado.
Pero además deberá darlo de alta (importarlo) en el
almacén del sistema operativo que esté usando
• Para impedir que se pueda exportar el
certificado más clave privada por otra persona y
configurar un acceso seguro a la clave privada
mediante un PIN de protección
29. Copia de seguridad del certificado personal
Para realizar la copia el usuario ha de
exportar el certificado junto con la clave
privada
Es muy importante elegir la opción “Exportar la
clave privada” en este paso ya que la opción
sin clave privada realmente no sirve
30. Dar de alta un certificado en
el almacen de certificados
Doble clic sobre la copia de seguridad de
nuestro certificado (.p12)
31.
32. Como obtener el certificado
en fichero
http://www.cert.fnmt.es/index.ph
p?cha=cit&sec=3&lang=es
• Quien no quiera usar su certificado
electrónico en esta dirección si te
registra te emiten un certificado
electrónico:
• http://www.trustcenter.de/en/produc
ts/tc_internet_id.htm
33. TIPOS DE FICHEROS DE
CERTIFICADOS (I)
*.p12
Corresponde al estándar PKCS7#12 que
define un formato de fichero habitual para
almacenar claves privadas juntas con su
correspondiente certificado, protegido por un
PIN similar al usado para proteger el acceso a
un teléfono móvil
PKCS (Public Key Certificate Standards) se
refiere al grupo de estándares elaborados
por la empresa RSA Security que son los
estándares de facto en las PKIs actuales
*.crt
Formato para almacenar certificados X.509v3
34. TIPOS DE FICHEROS DE CERTIFICADOS (II)
*.cer
Formato muy frecuente para la distribución de certificados
X.509.
Es típico que una autoridad de certificación distribuya su
certificado raíz con este formato.
– Certificado codificado en CER (Canonical encoding
rules).
*.p7b
Formato de estructura de firma electrónica PKCS#7, pero
que no embebe el documento electrónico firmado,
solamente el certificado y/o lista de certificados
revocados.
Privacy Enhanced Mail security certificate.
Formato que desarrollo específicamente en su
momento para el uso de certificados con correo
electrónico.
Actualmente también se usa para distribución de
claves privadas.
Certificado codificado en Base64, encerrado entre
"-----BEGIN CERTIFICATE-----" y "-----END
CERTIFICATE-----"
35. TIPOS DE FICHEROS DE CERTIFICADOS (II)
*.cer
Formato muy frecuente para la distribución de certificados
X.509.
Es típico que una autoridad de certificación distribuya su
certificado raíz con este formato.
– Certificado codificado en CER (Canonical encoding
rules).
*.p7b
Formato de estructura de firma electrónica PKCS#7, pero
que no embebe el documento electrónico firmado,
solamente el certificado y/o lista de certificados
revocados.
Privacy Enhanced Mail security certificate.
Formato que desarrollo específicamente en su
momento para el uso de certificados con correo
electrónico.
Actualmente también se usa para distribución de
claves privadas.
Certificado codificado en Base64, encerrado entre
"-----BEGIN CERTIFICATE-----" y "-----END
CERTIFICATE-----"
36. Tipos de ficheros de
certificados (III)
.*.key
Formato para la distribución de claves
privadas.
*.pem
• DER - Certificado codificado en DER
(Distinguished Encoding Rules)
• .P7C - Estructura PKCS#7 SignedData sin
datos, solo certificado(s) o CRL(s)
• .PFX - Ver .p12
37. Clases de certificados
Certificados de Clase 1:
Corresponde a los certificados más fáciles de obtener
e involucran pocas verificaciones de los datos que
figuran en él:
• Sólo el nombre y la dirección de correo electrónico
del titular
Son emitidos únicamente a individuos
No se verifica la identidad de éstos y por tanto no
permite autentificarla.
Confirman que el nombre o seudónimo y el sujeto del
certificado forman un nombre de sujeto inequívoco.
38. Clases certificados (II)
Certificados de Clase 2:
Son emitidos únicamente a individuos
Confirman que la información proporcionada por el Suscriptor no entra en
conflicto con la información de las bases de datos fiables propiedad de una
AC (Autoridad de Certificacion) o una AR (Autoridad de Registro Local),
incluida la identidad del sujeto y otros datos del Suscriptor
La Autoridad Certificadora comprueba además el Documento de identidad o
permiso de conducir que incluya fotografía, el número de la Seguridad Social
y la fecha de nacimiento.
a) Certificados de Clase 2 no reconocidos (Clase 2 tipo 1),
Usados para transaciones de bajo riesgo como servicios de suscripción
de la Sociedad de la Información.
b) Certificados de Clase 2 reconocidos (Clase 2 tipo 2),
Pueden ser usados como soporte de firmas electrónicas legalmente
reconocidas
Obtienen una razonable seguridad de la identidad del Suscriptor,
comparando automáticamente el nombre del solicitante, dirección y otra
información personal contenida en la solicitud de certificado, con la
información contenida en las bases de datos propiedad de la EE o ERL.
39. Clase de certificador (III)
Certificados de Clase 3, se emiten a:
Individuos:
Requiere la presentación de evidencias
probatorias de la identidad del sujeto,
personándose ante una Entidad de Registro
Local (ERL) o su delegado, como puede ser un
notario público.
Organizaciones:
Se emiten a individuos con capacidad de firma
dentro de una organización, probada esta
capacidad de firma por evidencia notarial, y de
la propia organización a través de
organizaciones empresariales que confirmen su
identidad.
40. Clases de certificados (IV)
• Certificados de Clase 4:
– Que a todas las comprobaciones
anteriores suma la verificación del cargo
o la posición de una persona dentro de
una organización.
41. Estados de los Certificados Electrónicos
Emisión (válido)
Inicio de su vigencia
Caducado :
– cuando se ha superado la fecha de vigencia del certificado. Normalmente
un certificado suele tener un período de vigencia de 2 a 3 años desde la
fecha de emisión. En el caso de la FNMT, por ejemplo, son 2 años.
Por Finalización(expiración) del periodo de validez
Requiere la renovación del certificado
Revocación de certificados:
– Cuando ha sido rechazado, o bien por la Autoridad Certificadora que lo
emite o bien por el propio titular. El motivo de la revocación es variado
(extravío, robo, caducidad, certificado copiado por terceros, etc)
La clave privada asociada al certificado se ha visto comprometida
(extravío, robo, copia...)
Cambio de datos asociados al certificado
• Puede ser revocado por la CA o por el propio titular
42. Estados de un certificado
● Suspensión de certificados:
− Cuando se ve afectado por una investigación o procedimiento
judicial o administrativo, por lo que se procede a cancelar la validez
del certificado durante un cierto período de tiempo, pudiendo
volverse a levantar la suspensión dentro del período de validez del
certificado.
* Revocación temporal
* Mismas actuaciones que revocación, salvo que es reversible.
● CRLs:
− Listas firmadas por la CA incluyendo referencias a certificados
revocados por ella.
● Un certificado caducado, revocado o suspendido no tiene validez, por lo
que las firmas realizadas con este tipo de certificados dejan de tener valor
desde el momentode su revocación.
43. Validación de certificados
●¿Qué es la validación de un certificado?
− Es la verificación de que el certificado es válido, integro y no
ha sido comprometido.
●¿Por qué se debe validar un certificado?
− Es la forma de garantizar que en el momento de realizar una
firma o una autenticación, el estado del certificado era válido
y por lo tanto también la operación en la que participó.
●¿Cómo se lleva a cabo?
− Validación de integridad del certificado
* Cumplimiento del estándar X.509v3
* Fecha de caducidad.
* Firma del emisor.
●Consulta del estado del certificado
− Válido.
− Revocado.
− Suspendido.
●Validación de la cadena de certificación
●
44. Validación de certificados (II). Métodos
de consulta
● CRL (Certificate Revocation List)
− Listas firmadas que publican los certificados
comprometidos.
− Son emitidas por el PSC emisor de los certificados.
− Pueden ser completas, segmentadas, indirectas, etc.
− Pueden ser publicadas por HTTP/S, LDAP, FTP, etc.
− Tiempo de latencia alto.
● OCSP (Online Certificate Status Protocol)
− Protocolo en línea para consulta de estado de certificados.
− Es independiente del protocolo de comunicación.
− Es el método más fiable
45. Pasos para obtener un
certificado digital
1 Acceso a la Web de la autoridad de certificación y
cumplimentación de un formulario con los datos que pida al
usuario.
2 Generación de un par de claves en la máquina local,
(privada /pública)
3 Envío de la clave pública a la autoridad de certificación
para que ésta cree el certificado
La clave privada ni siquiera se facilita a la CA, es
totalmente personal, no debe salir jamás de las manos
de su titular.
4 Personarse en la autoridad de registro para acreditar la
identidad (esto se hace normalmente presentando el DNI).
En caso de personas jurídicas se exigirá la
correspondiente documentación (escrituras, poderes
de quien solicita el certificado, etc.).
46. Pasos para obtener un certificado
digital (II)
5 Obtener el certificado (vía descarga del mismo en
Internet, envío por correo electrónico, etc.) Para la
descarga suele ser habitual que al usuario se le
entregue un PIN de descarga en el acto presencial
anterior
En el caso de la FNMT, se descarga e instala
automáticamente en el navegador desde el cual
se solicitó.
6 Realizar una copia de seguridad del certificado
electrónico y la clave privada y guardar el fichero a
buen recaudo.
– Ésta se realizará generalmente en un fichero .p12
que incluye certificado y clave privada,
47. Pasos para obtener un certificado
digital (III)
7 Configurar el almacén de certificados de manera
segura.
Este paso es importante porque tras la primera
descarga de la CA el nivel de seguridad del almacén
no es muy elevado precisamente para permitir
tareas como la copia de seguridad.
48. Certificados utilizables por los ciudadanos
● El DNIe para personas físicas
● Sistemas de firma electrónica avanzada
− Los basados en certificado reconocido, admitidos por las
Administraciones Públicas para personas físicas, personas jurídicas y
entes sin personalidad jurídica como es el caso de las comunidades de
bienes.
− La firma electrónica reconocida, las Administraciones están también
obligadas a aceptarla siempre y cuando la autoridad de certificación dé
acceso gratuito a su lista de revocados.
− Los certificados deben de tener incorporado el Número de Identificación
Fiscal de su titular, y deberán de incorporar la identidad de la persona
que solicita y se responsabiliza de custodiar el certificado, ya sea
persona física, jurídica o ente sin personalidad jurídica.
● Se posibilita la admisión de otros sistemas de firma electrónica
incluso la de aquellos que no se basen en sistemas de criptografía
asimétrica y por tanto no impliquen la existencia de certificados
electrónicos.
49. Certificados utilizables por la
Administración en sus actuaciones
● Para actuación no automatizada se exige firma
electrónica del funcionario actuante.
− Podría ser firma electrónica basada en el DNI
electrónico o
− Algún otro sistema de firma avanzada o
reconocida
* Es más aconsejable que se proporcionen
claves y certificados específicos para la
actividad administrativa.
− También se admiten otros sistemas de firma
electrónica.
50. Para actuaciones
automatizadas
● Cuando hacemos trámites con las sedes electrónicas y no
interviene un funcionario en el trámite, solo los equipos
informáticos
● Para actuación automatizada. Se admiten dos opciones:
− 1) Sello electrónico
* Firma electrónica avanzada de la Administración
Pública u órgano administrativo.
− 2) Código seguro de verificación (CSV) vinculado a la
Administración Pública u órgano firmante del documento.
* El CSV es un código estampado en un documento
impreso que permite verificar la autenticidad e
integridad de ese documento en papel comparándolo
con el documento electrónico original en la sede
electrónica correspondiente.
* El CSV permite la generación en papel de “copias
auténticas” de documentos
51. Certificados a utilizar por la Administración
como receptora de transacciones
electrónicas de los ciudadanos
● Ha de ser un certificado de dispositivo seguro.
− Su uso permite el establecimiento de una conexión cifrada entre
el navegador y el servidor de la Administración y sirve para
identificar a éste ante el primero.
● La información contenida en el certificado incluye
− El nombre del titular de la sede electrónica (servidor Web),
− Nombre del dominio y/o
− Dirección IP y la persona que lo solicita y que es responsable de
su custodia.
● El soporte de las claves criptográficas puede ser
− Un elemento lógico como sería el caso de un fichero o
− Una pieza específica de hardware (HSM).
● Se distingue del certificado para componente informático ya que
éste identifica sólo al servidor que aloja a determinada aplicación
informática, pero no necesariamente a la Administración titular del
mismo, ni requiere la consignación de persona física solicitante.
52. Certificado de Empleado Público
●La Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los
servicios Públicos en el capítulo II Sección III “Identificación electrónica de las
Administraciones Públicas y autenticación del ejercicio de su competencia”, en su
artículo 19 trata la “Firma electrónica del personal al servicio de las
Administraciones Públicas”.
●En el punto 1, establece que la identificación y autenticación del ejercicio de la
competencia de la Administración Pública, cuando utilice medios electrónicos se
hará mediante firma electrónica del personal a su servicio de alguna de las dos
formas siguientes:
− Mediante la firma electrónica basada en el Documento Nacional de Identidad.
− Mediante sistemas de firma electrónica con que la Administración Pública provea a su
personal y que identifique conjuntamente al titular del puesto de trabajo y a la
Administración.
●Este segundo caso, es concretado para el personal de la Administración General
del Estado por el RD 1671/2009 que desarrolla parcialmente la ley 11/2007, con el
Certificado Electrónico de Empleado Público.
●En el artículo 22, el RD establece que:
− Esos sistemas de firma estarán basados en certificados electrónicos que se denominarán
Certificados Electrónicos de Empleado Público
− Sólo podrán usarse en el desempeño de las funciones propias del puesto que ocupen los
empleados o para relacionarse con las Administraciones públicas cuando éstas lo admitan
− Además de los datos identificativos del titular el certificado de Empleado Público deberá
contener el Órgano u organismo público en el que presta servicios el titular del certificado
y el número de identificación fiscal del organismo.
53. Identificación por Funcionario Público
● Los funcionarios públicos pueden identificar con sus propios sistemas de firma
electrónica a ciudadanos que no dispongan de ellos.
● De acuerdo con el artículo 22 de la Ley 11/2007, de 22 de junio, cuando se requiera
la identificación o autenticación del ciudadano mediante algún mecanismo
electrónico contemplado en la ley y del cual el ciudadano no disponga, tal
identificación o autenticación podrá ser válidamente realizada por funcionarios
públicos mediante el uso del sistema de firma electrónica del que estén dotados.
● Para que esta identificación pueda hacerse legalmente deben darse dos condiciones:
− 1.- El ciudadano debe identificarse y prestar su consentimiento expreso, debiendo quedar
constancia de ello para los casos de discrepancia o litigio
− 2.- La administración deberá mantener un registro actualizado de los funcionarios que están
habilitados para realizar este tipo de identificación y autenticación del ciudadano.
● El RD 1671/2009 de 6 de noviembre establece en el artículo 16.2 que ese registro
podrá extender, mediante el correspondiente Convenio de colaboración, sus efectos
a las relaciones con otras Administraciones públicas.
● El RD también dispone que, además de la obligación de que el funcionario esté
habilitado para poder identificar a un ciudadano ante otro órgano u organismo
destinatario de la actuación para la que se ha de realizar la identificación y
autenticación, es necesario que el sistema de firma electrónica utilizado también sea
admitido por el órgano destinatario.
● Cuando el funcionario deba identificar a un ciudadano ante el Departamento
ministerial u organismo al que él está destinado, bastará con que sea habilitado para
ello por el mismo Departamento ministerial u organismo. No será necesaria, si está
habilitado por éste último, su inclusión en el registro de funcionarios habilitados.
54. Enlaces
●Enlace con FAQ de la FNMT sobre certificados
− https://www.sede.fnmt.gob.es/certificados
− https://www.cert.fnmt.es/certificados
●Video de certificado electrónico
− http://www.youtube.com/watch?v=EU6vgU077xU
&feature=related
● Portal de EA de la Junta de Andalucía
− https://ws024.juntadeandalucia.es/ae/
● En este vídeo puedes ver como obtener un certificado de la
FNMT
− https://www.youtube.com/watch?v=wRzx5moH0jU
− http://www.youtube.com/watch?v=CiTqUZG0E_s
● Identidad Electronica
− https://www.youtube.com/watch?
feature=player_embedded&v=8XUG4-faBq0