Los sistemas seguros de correo electrónico y servidores web emplean protocolos especiales que hacen uso de algoritmos de cifrado de clave pública, lo que da lugar a la firma electrónica y a que se satisfagan las funciones de seguridad de Integridad, Identificación del Firmante, Prueba de Conformidad con lo firmado, Momento de la Firma y otras.
De forma sencilla, la Entidad de Certificación es un servidor de credenciales, que garantiza que cada usuario es quien dice ser, y que pueden utilizarse sin restricciones elementos criptográficos que garantizan la confidencialidad.
Algunos de los protocolos utilizados son SSL (Secure Sockets Layer), PEM (Private Enhanced Mail) y S/MIME (Secure/Multipurpose Internet Mail Extension), ya soportados por un buen número de programas visualizadores y de programas de correo. Para el buen funcionamiento de estos sistemas, es necesario contar con un procedimiento que permita verificar fehacientemente la identidad de los usuarios y de otorgar un certificado electrónico que vincula los datos de los usuarios con su clave pública. Cuando un participante comunica a otro su certificado, indica la Entidad de Certificación utilizada. La llave pública de la Entidad de Certificación debe ser conocida por todos y es la única que necesita ser conocida previamente. Habitualmente está incorporada al software de realización y verificación de firmas electrónicas, o es posible obtenerla a partir de sistemas de difusión públicos, tales como servidores Web.
La Entidad de Certificación debe ser una Entidad de Confianza (Trusted Third Party), Conocida ampliamente, cuya Política de Certificación incluya cláusulas aceptables por los diferentes interlocutores, que permita, entre otras cosas, la Verificación de identidad, que dé información sobre Uso y validez de los certificados y que realice Gestión de certificados revocados (para impedir que claves privadas expuestas puedan tener vigencia) y ofrezca la Lista de certificados expedidos.
Dado que en una red existe más de una Entidad de Certificación, la selección de las autoridades de certificación adecuadas para cada uso vendrá dada por las características de su Política de Certificación, o por la del reconocimiento de alguna de ellas por parte de entidades que aceptan sus certificados. Se están desarrollando sistemas jerárquicos en los cuales todas las autoridades de certificación que pertenezcan a una jerarquía dada puedan realizar certificaciones mutuas.
Los parámetros que definen a una Entidad de Certificación son su dirección de red y su clave pública. Además es necesario especificar en su identificación: Entidad Emisora del Certificado, Departamento u Organización responsable de la custodia de la clave privada y Ubicación (Ciudad, País), así como una dirección de e-mail de contacto.
Puesto que al realizar la comprobación de la identidad del usuario en la primera certificación es necesario realizar unas actividades especiales, la Entidad de Certificación lleva asociada una Entidad de Registro.
Esta Entidad de Registro mantiene información sobre los aspectos relevantes del registro y sobre los procedimientos de identificación utilizados, así como la vinculación del registro con la identidad que garantiza la Entidad de Certificación.
Además de este tipo de Entidades de Registro, existen otras, que demuestran la realización en el tiempo de determinados Actos Electrónicos: Certificaciones en presencia de un fedatario (como en el caso de contratos firmados ante notario), Certificaciones de Acreditación respecto a la capacidad suficiente para obrar o para representar a terceros, Registro de contratos o transmisiones patrimoniales.
Algunas de estas entidades tienen actividades independientes y adicionales a las de las autoridades de certificación, que se centran en la Autenticación de los Intervinientes y las funciones derivadas.
Una vez que se ha decidido activar el modo seguro de los servidores web, es preciso generar la pareja de claves que constituye el componente criptográfico básico del protocolo SSL, basado en criptografía de clave pública.
El procedimiento consiste básicamente en tres pasos:
Para generar la solicitud, debe ejecutarse la opción correspondiente del software servidor (algunos de los que disponen modo seguro son FasTrack de Netscape, Internet Information Server de Microsoft, Secure Server de Oracle, o el popular Apache el más instalado sobre plataformas Linux), el cual influirá en los pasos concretos a seguir.
Estos pasos deben permitir generar las claves criptográficas, rellenar un formulario con los datos que formarán parte del certificado, obtener la solicitud en un formato compatible (DER o PEM) y enviarlo por correo electrónico a la Entidad de Certificación.
En algunos casos, como por ejemplo, con Microsoft Internet Information Server, es preciso obtener previamente el certificado de la Entidad de Certificación (en formato DER), lo que debe llevarse a cabo mediante Microsoft Internet Explorer, puesto que comparten la estructura de datos de almacenamiento de certificados.
Tras enviar la solicitud de certificado a la Entidad de Certificación, debe procederse al registro. El Registro consiste en verificar la identidad del solicitante, comprobando la adecuada cumplimentación de los datos del formulario.
Si los requerimientos de seguridad exigen la autenticación del usuario (a través del Explorer o el Navigator), o la firma electrónica avanzada usando aplicaciones especializadas, es preciso instalar certificados personales para cada uno de los usuarios que sea preciso autenticar.
Los pasos a seguir son, en esencia, los mismos que en el caso de servidores, aunque se activan de forma un poco diferente a la de aquellos. Habitualmente los servidores web de la Entidad de Certificación describen el proceso e incluyen las explicaciones y el software necesario para activar la generación de claves en el browser.
Una vez generada, sobre el web, la solicitud de certificado, hay que acudir a la Entidad de Registro para que compruebe la veracidad de los datos y autorice la generación de certificado.
La Entidad de Certificación podrá enviar un correo electrónico indicando la disponibilidad del certificado que podrá obtenerse a través del propio servidor web.
Otra ventaja de los certificados de cliente es que pueden ser utilizados tanto para autenticación de usuarios, cuando están accediendo a un servidor web, como para cifrar y firmar correo electrónico, apoyados en la codificación S/MIME (extensiones de seguridad de Correo Elecrónico).
Los certificados de persona expedidos por nuestra CA permite la generación en un solo paso, facilitando el proceso.
Nota legal - © 2006 Albalia Interactiva S.L.