La infraestructura de clave pública (PKI) es un conjunto de componentes y políticas necesarios para crear, gestionar y revocar certificados digitales. Incluye autoridades de certificación, autoridades de registro, usuarios finales, repositorios y autoridades de validación. Las autoridades de certificación emiten los certificados digitales mientras que las autoridades de registro verifican la identidad de los usuarios finales.
2. Infraestructuras de Clave Pública
(ICPs o PKIs, Public Key Infrastructures)
El modelo basado en Terceras Partes Confiables
Definiciones:
Es un conjunto de protocolos, servicios y estándares
que soportan aplicaciones basadas en criptografía de
clave pública.
El hardware, software, personas, políticas y
procedimientos necesarios para crear, gestionar,
almacenar, distribuir y revocar certificados.
Una infraestructura de clave pública, es el conjunto de
componentes y políticas necesarias para crear,
gestionar y revocar certificados digitales que pueden
ser utilizados para autenticar cualquier aplicación,
persona, proceso u organización de la red de una
empresa, extranet o Internet.
3. Prestadores de Servicios de Certificación
(PSCs)
● Son entidades que despliegan y mantienen Entornos de
Confianza en ámbitos bien definidos
– Ponen a disposición de sus usuarios herramientas para
solicitar la obtención de certificados digitales de forma
telemática.
– Gestionan el ciclo de vida de los certificados electrónicos
emitidos.
– Dan servicios de consulta de estado de certificados, Time
Stamping, etc.
– Pueden poseer infraestructuras de Autoridad de Registro
(RA), o delegar este servicio.
– Definen jerarquías de certificación que permiten dar servicio
a sus usuarios.
– Definen sus políticas de funcionamiento en Documentos de
Prácticas de Certificación (DPC).
●
Ejemplos: FNMT, DGP (eDNI), Firma Profesional, etc.
4. Prestadores de Servicios de
Certificación Reconocidos
● Se denominan Prestadores de Servicios de Certificación
Reconocidos a los PSCs admitidos por la ley 59/2003 de
firma electrónica.
– La administración mantiene una lista de los PSC
españoles reconocidos para trabajar con la
Administración General del Estado (en adelante AGE) en
la dirección:
● http://www.minetur.gob.es/telecomunicaciones/es-ES/S
ervicios/FirmaElectronica/Paginas/Prestadores.aspx
● http://forja-ctt.administracionelectronica.gob.es/we
bdav/site/ctt-map/users/soporte_afirma/public/@Firma
V5p0_ANEXO_PSC.pdf
● Según la Ley 59/2003 la equivalencia entre firma electrónica
y firma manuscrita se da cuando la firma ha sido generada
con un “certificado reconocido”.
– Los certificados reconocidos son los certificados emitidos
por los PSCs Reconocidos publicados en la lista anterior.
5. Servicios de Certificación
● Consulta de Estado de Certificados (CRLs).
– La CA ha de publicar el estado de los certificados (válido, revocado, suspendido) mediante
las herramientas y protocolos pertinentes.
● CRL (Certificate Revocation List)
● OCSP (Online Certificate Status Protocol)
● TimeStamping
– En toda transacción de firma se ha de constatar el instante de tiempo para que sea válida,
y además ese instante de tiempo ha de estar acreditado por un Tercero de Confianza
denominado Autoridad de Fechado Digital (TSA).
● Certificación de RA’s.
– Formación y acreditación de Autoridades de Registro para la gestión de solicitudes de
certificados. Se provee de las herramientas software y hardware necesarias a los
registradores.
● Custodia a largo plazo
– Almacenamiento y conservación de transacciones de firma en el tiempo proporcionando
los métodos de disponibilidad pertinentes (según criterios de seguridad del BOE).
● Outsourcing
– Suministro de servicios de CA para entidades privadas que lo necesiten.
– Incluyen un convenio de formación e implantación de RA’s exclusivas para estas entidades
privadas.
6. Algunos de los servicios del PKI
Registro de claves:
Emisión de un nuevo certificado para una clave pública.
Revocación de certificados:
Cancelación de un certificado.
Selección de claves:
Publicación de la clave pública
Evaluación de la confianza:
Determinación sobre si un certificado es válido
Recuperación de claves:
Posibilitación de recuperar las claves de un usuario.
La norma es:
Internet Certificate and CRL Profile RFC 3280
– http:www.ietf.org
7. Componentes de la Infraestructuras de Clave Pública
(ICPs o PKIs, Public Key Infrastructures)
Las ICPs están compuestas por distintas terceras partes en los que todos los demás usuarios de la
infraestructura confían:·
Autoridades de Certificación (CAs)
Gestión de Certificados ·
Autoridades de Registro (RAs)
Autoriza la asociación entre una clave pública y el titular de un certificado
Entidades finales /Usuarios /Suscriptores (a quien se pretende identificar)
Son los titulares de los Certificados
Los repositorios (Directorios)
Almacenan y distribuyen certificados y estados: expirado, revocado, etc.
Autoridad de Validación
Suministra información de forma online (en tiempo real) acerca del estado de un
certificado
Emisores de CRLs.
Otras Terceras Partes Confiables como por ejemplo
Las Autoridades de Fechado Digital.
Las partes utilizadoras
Verifican certificados y firmas
10. Autoridad de Certificación
Entidad fiable, encargada de garantizar de forma unívoca y segura la identidad asociada a una clave
pública
Representan la fuente de credibilidad de la infraestructura de llave pública.
Son quienes emiten los certificados, firmándolos digitalmente con su llave privada.
Certifican que la llave pública asignada en un certificado a una entidad final, corresponde
realmente a dicha entidad final.
Recibe y procesa peticiones de certificados de los usuarios finales
Proporciona las herramientas y servicios necesarios para gestionar su ciclo de vida:
emisión, suspensión y revocación.
Consulta con una Autoridad de Registro para determinar si acepta o rehúsa la petición de
certificado
Gestiona Listas de Revocación de Certificados (CRLs)
Renueva certificados
Proporciona:
Servicios de backup y archivo seguro de claves de cifrado
Infraestructura de seguridad para la confianza, políticas de operación segura, información
de auditoría.
Nomenclatura CNI: Entidad de Certificación (EC)
11. Autoridad de Registro
Realiza el proceso de registro de las entidades finales por encargo de la autoridad
de certificación.
Verifica la identidad del usuario
– Requiere presencia física del solicitante de un certificado en la Autoridad de
Registro, donde a través de la documentación pertinente se verificará que el
solicitante del certificado y la persona presentada son la misma persona y
que la información es verídica.
– Valida los atributos del sujeto que solicita el certificado
Gestiona el registro de usuarios y sus peticiones de certificación/revocación, así
como los certificados respuesta a dichas peticiones
Indica a la CA si debe emitir un certificado
Autoriza la ASOCIACIÓN entre una clave pública y el titular de un certificado
Son numerosas y dispersas geográficamente para facilitar la accesibilidad de los
usuarios finales.
Son formadas y certificadas por la Autoridad Certificadora que les proporciona una
licencia de funcionamiento.
Nomenclatura CNI: Entidad de Registro (ER)
12. Métodos de Registro
Registro Presencial
El usuario se persona a Autoridad de Registro, y le entrega toda
la documentación que requiera.
Si la Autoridad de Registro aprueba la solicitud, pasa los datos a
la Autoridad de Certificación para que emita el certificado.
Una vez emitido, la Autoridad de Registro suministra en
certificado al usuario
13. Gestión del ciclo de vida de un certificado
● Revocación
● Expiración
● Renovación (extensión periodo
validez del certificado, respetando el
plan de claves)
● Reemisión del par claves del usuario
● Actualización de datos del certificado
14. Repositorios (directorios LDAP o X500)
Permite guardar información sobre PKI,
como puedan ser
Certificados, y
CRLs para su acceso por parte de las entidades
finales o de sus delegados.
Tienen por finalidad que la entidad final
obtenga la confirmación sobre:
El estatus de revocación de los certificados de otros
usuarios, y
La validación del “Certification Path”, o cadena de
certificados.
15. Autoridad de Validación (VA)
Suministra información de forma online acerca del estado de un
certificado.
La VA suele proporcionar dos servicios de validación:
La descarga de CRLs para que el usuario las interprete él
mismo, o
A través del protocolo OCSP (Online Certification Status
Protocol).
Los usuarios y las aplicaciones que deseen obtener el
estado de un certificado, sólo tienen que realizar una
petición OCSP contra la VA para obtener dicho estado.
La CA actualiza la información de la VA cada vez que se modifica
el estado de un certificado, con lo que, a diferencia de las CRLs, se
dispone de información en tiempo real.
Nomenclatura CNI: Entidad de Validación (EV)
16. OCSP: Online Certificate Status
Protocol
Protocolo que permite el acceder al estado
del certificado de manera online
IETF RFC 2560
17. Emisores de CRLs o “Certificate
Revocation List Issuers”
Los emisores de Listas de Revocación de
Certificados actúan en nombre de la Autoridad
de Certificación, siendo de carácter opcional
aunque sumamente convenientes.
Son listas de los Certificados que han dejado
de ser válidos y por tanto en los que no se
puede confiar.
Los Certificados son revocados en los casos
que:
a) La llave privada se vea comprometida,
b) Hayan cambiado los atributos del certificado.
18. Autoridad de Sellado de Tiempo (TSA -
TIME STAMPING AUTHORITY )
● Esta autoridad garantiza la existencia de un documento en un
determinado instante de tiempo.
● Asocia un tiempo “certificado” a los documento
– Esta garantía se obtiene gracias a la firma electrónica de la propia entidad y a la
confianza y fiabilidad que deben transmitir los mecanismos establecidos para la
obtención de una unidad temporal precisa.
● La TS@ del MINHAP es una plataforma de sellado de tiempo,
sincronizada con la hora legal provista por el Real Observatorio
de la Armada, con las funcionalidades de sellado, validación y
resellado de sellos de tiempo.
– Mediante la emisión de un sello de tiempo sobre un documento, se generará una
evidencia, que determinará la existencia de ese documento en un instante
determinado.
● Enlace
– http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CTT_G
eneral&langPae=es&iniciativa=201
20. ¿Qué es el Código de Verificación
Electrónica (CVE)?
● El CVE es un código seguro originado mediante un
algoritmo matemático que combina letras y números y
que asocia de forma unívoca cada copia impresa de
una certificación con su documento electrónico original.
● De esta manera, si tuviera que presentar la
certificación impresa ante un tercero, éste podrá
verificar su validez (es decir, cotejar la copia impresa
frente al original) introduciendo ese CVE desde la
opción 'Verficación de Certificaciones’ del Servicio de
Notificaciones Electrónicas del Portal 060.
● Enlace
– http://www.boe.es/diario_boe/preguntas_frecuentes/cve.php
21.
22. ¿Cómo puedo verificar la integridad de
una certificación en papel que incluya
un CVE
● Cuando cargue el fichero de una certificación (fichero XML) a través de la
funcionalidad disponible en la pestaña ‘Carga Certificación’, el servicio
procederá a su validación y, de ser correcta, generará un documento PDF
con su contenido e incluyendo un Código de Verificación Electrónica (CVE).
● Ese CVE asocia la copia impresa al documento electrónico original,
permitiéndole presentar la copia ante un tercero que se lo pudiera
requerir.
● Con el objeto de que ese tercero pueda validar la autenticidad e integridad
de la copia impresa, éste podrá introducir el CVE a través de la opción
‘Verificación de Certificaciones’ disponible en el Servicio de Notificaciones
Electrónicas del Portal 060 https://notificaciones.060.es
● Si el CVE es correcto, el servicio recuperará el documento electrónico
original en formato PDF pudiendo proceder al cotejo de su contenido con
el de la copia impresa (además podrá descargarse la certificación en
formato XML o acceder a la notificación/comunicación asociada - si ésta
fue aceptada por el receptor).
23. Enlaces
● Junta de andalucia
– https://www.juntadeandalucia.es/haciendayadmini
stracionpublica/clara/portada.html
– https://ws024.juntadeandalucia.es/ae/
● Universidad de Cádiz
– https://oficinavirtual.uca.es/oficinaVirtual/jsp/index
.jsf
– http://ae.uca.es/catalogo
● PAE
– http://administracionelectronica.gob.es/