2. es un fichero informático generado por una
entidad de servicios de certificación que
asocia unos datos de identidad a una persona
física, organismo o empresa confirmando de
esta manera su identidad digital en Internet.
3. El certificado digital es válido principalmente
para autenticar a un usuario o sitio web en
internet por lo que es necesaria la
colaboración de un tercero que sea de
confianza para cualquiera de las partes que
participe en la comunicación. El nombre
asociado a esta entidad de confianza
es Autoridad Certificadora pudiendo ser un
organismo público o empresa reconocida en
Internet.
4. El certificado digital tiene como función
principal autenticar al poseedor pero puede
servir también para cifrar las comunicaciones
y firmar digitalmente. En algunas
administraciones públicas y empresas
privadas es requerido para poder realizar
ciertos trámites que involucren intercambio
de información delicada entre las partes.
5. Breve Reseña
En la actualidad es cada vez más frecuente el
uso de Documentos Digitales para cualquier tipo
de trabajo o trámite a realizar. Cabe recordar
que:
A los niños se les enseña en los Colegios a buscar
información en computadoras y hacer trabajos
de investigación y resúmenes.
En las Oficinas se ha transformado en un
elemento de trabajo indispensable para
cualquier tipo de tarea.
En las Casas de Altos Estudios ya se los considera
una herramienta de trabajo básica.
6. El Certificado Digital es un Documento Digital
que nos permite:
Identificarnos.
Firmar digitalmente un Documento Digital.
Trabajar con Documentos Digitales firmados
digitalmente teniendo certeza respecto del
remitente y el destinatario.
Efectuar transacciones de tipo comercial con
total seguridad y sustento legal.
Mantener la confidencialidad de la información
entre el Remitente y el Destinatario utilizando
cifrado.
7. Caso 1:
Usted puede autorizar a su hijo/a un paseo
firmando digitalmente dicha autorización y
enviándola por correo electrónico al Colegio. Del
Colegio podrían enviarle Boletines o Notificaciones
si se usted pudiese confiar en quién es el emisor y
que la información no ha sufrido cambios.
Observación:
Es importante poder verificar que un mensaje o
documento ha sido enviado por una persona
determinada (identificación) y que no ha sido
modificado (integridad).
Conclusión:
Deberá firmar digitalmente los documentos.
8. Caso 2:
Los sistemas de espionaje como ECHELON,
CARNIVORE u otros detectan e investigan
cualquier mensaje o documento que circule por
Internet o vía conversaciones telefónicas que
posea alguna de las palabras consideradas
importantes. Tal es el caso de las palabras que
colocaré a continuación y que provocarán que
este documento (que no está cifrado) sea
analizado por alguno de los sistemas de espionaje
(cada sistema de espionaje tiene una
especialidad). Algunas palabras importantes son:
Malvinas, Militar, Bomba (tenga en cuenta que si
se refiere a bombas de crema es igual), y una
infinidad más pues el espionaje no es solamente
de tipo militar sino también de índole comercial.
9. Observación:
Los mensajes de correo que circulan entre los
servidores de correo del emisor y del
destinatario son equipos en los cuales dichos
mensajes pueden ser abiertos y espiados.
Conclusión:
Para mantener la confidencialidad el método
más seguro es cifrar el mensaje.
10. Caso 3:
A usted no le gustaría que su trabajo de
investigación o una carta de índole personal
puedan ser vistos por personas ajenas a su
interés.
Observación:
Los documentos inherentes a un trabajo de
índole privado o secreto deben ser tratados
en forma confidencial, por lo tanto deberán
ser cifrados para que sólo las personas que
correspondan puedan leerlos.
Conclusión:
En este caso, deberemos cifrar los mensajes.
11. Caso 4:
Cuando enviamos nuestros datos (personales,
domiciliarios, o comerciales) a un sitio Web para
registrarnos o efectuar una compra estos pueden
ser accedidos por cualquier persona sin que
podamos rastrear por quiénes.
Observación:
Para realizar Comercio Electrónico es
indispensable que se pueda garantizar que la
persona que tuvo acceso a nuestros datos
personales pueda ser identificada. Ya sea para
efectuar un reclamo o para algún tipo de acción
legal.
Conclusión:
Deberá cifrarse la información para que pueda
ser accedida únicamente por el destinatario.
12. Caso 5:
Hay algunos sitios en la Web que permiten acceso a las
cuentas bancarias teniendo como única llave de acceso una
clave secreta de 4 u 8 caracteres. Este nivel de seguridad es
muy frágil pues probar las combinaciones posibles no lleva
mucho tiempo a un computador. Estos Bancos, dada la
fragilidad del sistema de protección, no permiten el
movimiento de dinero entre diferentes cuentas del mismo
Banco ni con otros Bancos (aunque sean del mismo Grupo de
Empresas).
Observación:
Es necesario un medio de identificación más seguro.
Conclusión:
La firma digital junto con algunos sistemas biométricos
(reconocimiento de Iris y otros) son los medios más seguros
en actualidad. Sólo la firma digital puede ser usada en
cualquier computador sin requerir equipamiento especial.
13. Caso 6:
La lista de casos es tan grande como la
utilización que nos imaginemos a partir de
poder confiar en los documento digitales tal
como confiamos en los documentos en papel,
y más pues en los documentos digitales
firmados puede garantizarse la integridad.
14. Proteger la Clave Privada
La Clave Privada debe ser celosamente
protegida. Para ello debemos impedir que la
misma corra riesgo de ser utilizada por otras
personas. Si por alguna causa sospechamos
que nuestra Clave Privada ha caído en manos
ajenas, debemos Revocarla logrando con ello
que caduque su validez.
15. Firmar los Documentos Digitales
Cada vez que enviamos un correo, o cualquier
otro tipo de Documento Digital podemos
utilizar nuestro Certificado Digital para que la
persona que lo recibe sepa con seguridad
quién se lo ha mandado y que el mensaje
original no ha sido modificado. Para ello
debemos firmar digitalmente el Documento
Digital.
16. Cifrar los Documentos Digitales
Si la persona a la que le enviaremos el correo
también tiene un Certificado Digital,
podremos cifrar (o encriptar) el mensaje para
que sólo pueda ser descifrado (o
desencriptado) por el destinatario. También
se asegura que el mensaje no ha sufrido
modificaciones.
17. ¿Cómo se protege la Clave Privada?
Para proteger la Clave Privada debemos cuidar que:
No debe quedar guardada en ningún computador ni
medio de almacenamiento (disco o disquete) sobre el
cual no tengamos absoluto control.
No debe ser expuesta, ni siquiera temporalmente, a
disposición de otras personas.
El computador debe estar libre de programas intrusos
como (virus, gusanos, troyanos, espías y otros).
Hay algunos programas de correo electrónico que
fuerzan al usuario a conservar en el computador la
Clave Privada. Debe revisar el modo de
comportamiento de su programa de correo
electrónico antes de configurarlo para utilizar su
Certificado Digital.
18. Consultar la Lista de Certificados Revocados
Cada vez que se use conviene verificar la
validez de un Certificado Digital chequeando
la Lista de Certificados Revocados, puesto
que el dueño del Certificado o la Autoridad
de Certificación puede haberlo revocado por
alguna razón.
19. Es el equivalente digital de un Documento de
Identidad o un Pasaporte.
Un Certificado Digital es un Documento Digital
emitido por una Autoridad de Certificación a
solicitud de una Autoridad de Registro que
garantiza la veracidad de los datos contenidos
referentes a una persona física o jurídica.
El Certificado Digital está compuesto de 2
partes. Una de ellas es Privada (Porción Privada)
y la otra parte es Pública (Porción Pública).
Estas dos partes son generadas en el mismo
momento por el usuario ejecutando un programa
provisto por la Autoridad de Certificación desde
su sitio en la web.
20. Los procedimientos para la Obtención de su
Certificado Digital, para interiorizarse de los
aspectos operativos de la tarea.
Según qué datos están verificados por la
Autoridad de Registro y cuál fue el
procedimiento de verificación, se otorgan
diferentes Clases de Certificado Digital.
Podemos encontrar que los Certificados Digitales
también se utilizan, entre otras cosas, para:
Verificar autenticidad de un Sitio Web.
Verificar autenticidad e integridad de un
programa de computación.
Verificar el Momento en que fue firmado o
enviado un Documento Digital.
21. Un Certificado Digital con las características
de Seguridad necesarias, debe utilizar las
más modernas y estables metodologías que la
Criptografía pueda ofrecer. Es por ello que
internacionalmente se acepta a la
Criptografía Asimétrica como la metodología
más adecuada para la generación de un
Certificado Digital.
Por esta razón un Certificado Digital está
compuesto de un par de claves:
22. Clave Privada:
La posee únicamente su dueño. También se la
llama también Porción Privada y junto con la
Clave Pública (o Porción Pública) conforma un
par de claves único.
Clave Pública:
Esta es llamada también Porción Pública y es
publicada en la Web por la Autoridad de
Certificación, después de ser aprobada por esta.
Para aprobar un Certificado Digital, la Autoridad
de Certificación firma con su Clave Privada
(también llamada Clave Privada Raíz) la Clave
Pública del Certificado Digital (no necesita
conocer la Clave Privada del Certificado Digital
para hacer esto).
23. Las Claves Privada y Pública conforman un
par único.
¿Qué diferencia existe entre un Par de Claves
y un Certificado Digital?
El par de Claves es generado por el usuario
en su propio computador. Pues bien cuando
la Autoridad de Certificación recibe y firma la
Clave Pública del Usuario utilizando su propia
Clave Privada (también llamada Clave Privada
Raíz) convierte al Par de Claves en un
Certificado Digital.
24. Los certificados pueden ser clasificados según
qué medios hayan sido utilizados para verificar
la veracidad de los datos.
Clase 0: Se utilizan para probar el procedimiento
de firma digital. Son gratuitos.
Clase 1: Certifican que la persona que posee el
Certificado es quien dice ser, y que la dirección
de correo electrónico está bajo su control. Para
cerciorarse la identidad de la persona la
Autoridad de Registro solicita un documento que
lo acredite.
Clase 2: Certifican que la persona que posee el
Certificado es quien dice ser, y que la dirección
de correo electrónico está bajo su control.
25. Para cerciorarse la identidad de la persona, la
Autoridad de Registro requiere que el solicitante
se presente con Documentación de Identificación
Oficial en el ámbito nacional. Además Certificado
Digital SA puede proveer un Escribano Público a
fin de registrar el hecho en actas notariales.
Con cualquiera de las Clases de Certificado
nombradas anteriormente pueden firmarse los
mensajes de correo electrónico.
Un Certificado Digital puede manifestar además
que su dueño tiene membresía en algún grupo de
afinidad. Por ejemplo los poseedores de un
certificado clase 2 emitidos por intermediación
de un club de fútbol pueden usarse para comprar
o recibir en la Web de beneficios especiales para
los miembros del club.
26. Órgano Licenciante
Es el organismo del Estado que habilita a una
Empresa de Certificación Digital como
Autoridad de Certificación.
Entidad Auditante
Es la Entidad que ha sido designada para
efectuar la Auditoría y Control de la Autoridad
de Certificación.
27. Autoridad de Certificación
La Autoridad de Certificación es responsable de
brindar las herramientas para poder emitir, con
calidad técnica y de manera segura e irrepetible
por otros medios o en otras circunstancias, el
par de claves, pública y privada, que constituye
el eje del certificado, así como de:
Aprobar o Rechazar las Solicitudes generadas por
la Autoridad de Registro.
Poner a salvo su propia clave privada (Clave
Privada Raíz) que es la que utiliza para aprobar
las Solicitudes.
Garantizar la calidad técnica del sistema
informático.
28. Proveer el libre y fácil acceso a las listas y
directorios de claves públicas para la
verificación de firmas emitidas por la misma
Publicar las Claves Públicas que ha aprobado
y las Revocaciones de Certificados Digitales
que ha realizado. La potestad para Emitir
Certificados Digitales le es concedida por el
Órgano Licenciante y la calidad del servicio
es controlada por una Entidad Auditante.
29. Este esquema ya está siendo usado en el
Ámbito Público, sin embargo las leyes que
regulan la actividad privada están en vías de
promulgación. Es por ello que en el Ámbito
Privado se aplica actualmente la legislación
que rige el Acuerdo de Partes.
30. Autoridad de Registro
La Autoridad de Registro es responsable de
realizar la identificación de la persona física o
jurídica en forma fehaciente y completa, debe
efectuar los trámites con fidelidad a la realidad.
Además es quien se encarga de solicitar la
Aprobación, y/o Revocación de un Certificado
Digital. Su objetivo primario es asegurarse de la
veracidad de los datos que fueron utilizados para
solicitar el Certificado Digital.
Observación:
En algunos casos la Autoridad de Registro
funciona como un área de la Autoridad de
Certificación.
31. Requerimientos de Seguridad necesarios para el
intercambio de Documentos Digitales
Autentificación: Identificar al Emisor y el
Receptor en un intercambio de documentación.
Integridad: Se debe poder asegurar que el
Documento Digital no ha sido alterado.
Confidencialidad: Sólo el Emisor y el Receptor
pueden acceder al contenido del Documento
Digital.
No Repudio: No puede negarse la participación en
un intercambio de información o transacción.
32. Criptografía
Es la ciencia que se ocupa de la escritura
secreta.
Si la clave de cifrado es igual a la clave de
descifrado hablaremos de Criptografía
Simétrica, por el contrario si las claves de
cifrado y de descifrado son diferentes
hablaremos de Criptografía Asimétrica.
33. Criptografía Simétrica
Es aquella que usa para cifrar una clave igual
a la usada para descifrar.
Define un conjunto de métodos que permiten
efectuar una comunicación segura entre un
Emisor y un Receptor una vez que se ha
consensuado una Clave Secreta, con la cual
se cifrará el mensaje en el origen y se
descifrará en el destino.
34. Ventajas: Gran velocidad de Cifrado /
Descifrado.
Desventajas: El Emisor debe enviar la Clave
Secreta por algún medio seguro al Receptor.
35. Criptografía Asimétrica
Es aquella que usa para cifrar una clave
diferente a la usada para descifrar. Provee
métodos que permiten efectuar una
comunicación segura entre un Emisor y un
Receptor utilizando dos claves diferentes por
cada uno, una para cifrar que se llama clave
pública y otra para descifrar que es la clave
privada.
36. Una clave pública se corresponde con una
única clave privada. En la práctica no puede
hallarse una clave privada utilizando la clave
pública, pues requiere un tiempo de
computación absolutamente descomunal aun
para los más grandes supercomputadores.
37. Ventajas: La clave de cifrado no es igual a la
de descifrado, por lo tanto puede ser
conocida públicamente. No es necesario
efectuar ningún intercambio de clave de
descifrado.
Desventajas: Requiere mayor potencia de
cómputo para cifrar / descifrar que el
método simétrico.
38. Cifrado
Para Cifrar un Documento Digital se utiliza la
Clave Pública de la persona que recibirá el
Documento Digital Cifrado. El proceso de cifrado
se hace notablemente más lento cuanto más
grande es el Documento Digital que se cifra, o
cuanto más grande es la Clave Pública que se
utiliza (512 bits, 1024, 2048, etc).
Tengamos en cuenta que una clave pública se
corresponde con una única clave privada. En la
práctica no puede hallarse una clave privada
utilizando la clave pública, pues requiere un
tiempo de computación absolutamente
descomunal aun para los más grandes
supercomputadores.
39. Firma Digital
Para Firmar Digitalmente un Documento Digital
se utiliza la Clave Privada del Certificado
Digital. El proceso de firma es rápido y puede
ser usado con grandes volúmenes de datos sin
observarse un decrecimiento importante de la
velocidad del computador.
Después de firmarse un Documento Digital
puede verificarse su integridad usando la Clave
Pública correspondiente a la Clave Privada
usada para firmar.
El proceso de firma consiste en cifrar una
cadena de texto llamada digesto, que es
confeccionada utilizando funciones que
resumen un texto a una cadena de caracteres
de longitud fija predeterminada.
40. GLOSARIO DE TÉRMINOS Y CONCEPTOS
¿Qué se entiende por Documento Digital?
Cuando se habla de Documento Digital se
hace referencia a cualquier tipo de
información que está almacenada de tal
forma que puede usarse o procesarse en
computadoras. Algunos ejemplos son:
Textos: Cartas, Notas, Facturas, Recibos,
Comprobantes, Contratos, Legajos,
Mensajes, Correo Electrónico.
Imágenes: Fotos, Dibujos, Fax.
Grabaciones: Voces, Música, Videos.