Inicio / Protege tu empresa / Blog / Descubre por qué un certificado digital es capaz de identificarte a ti o a cualquiera

Descubre por qué un certificado digital es capaz de identificarte a ti o a cualquiera

Publicado el 14/07/2014, por INCIBE
Descubre por qué un certificado digital es capaz de identificarte a ti o a cualquiera

El secreto de la robustez de los certificados digitales es que el propietario o suscriptor del certificado debe ser el único en conocer su clave privada, ya que de no ser así no se podría asegurar la identidad del mismo.

¿Qué podemos hacer usando un certificado digital? Un certificado nos permite cifrar información antes de enviarla y descifrarla cuando la recibimos cifrada. Su principal particularidad es que, dado el par de claves pública y privada, un mensaje cifrado utilizando la clave privada del emisor (solo conocida por su propietario) sólo podrá ser descifrado con su respectiva clave pública que es conocida por todos; esto garantiza la autenticidad del mensaje, la integridad del mismo y el no repudio. Sin embargo, un mensaje cifrado utilizando la clave pública del destinatario (conocida por todos) solo podrá ser descifrado utilizando su clave privada, garantizando de esta forma su confidencialidad.

¿Cómo se emplea esta característica para identificar inequívocamente a alguien en internet? La respuesta es sencilla pero resulta mucho más fácil de comprender empleando un pequeño ejemplo de cómo se implementa y valida la firma digital. Vamos a ver cómo «funciona por dentro» una herramienta que utiliza firma digital para enviar un correo con un certificado digital. Algo que parece tan sencillo de hacer con un simple clic, realiza una serie de pasos internos que pasaremos a analizar para comprender mejor su funcionamiento.

Antonio, dispone de un certificado digital, y quiere enviar un mensaje firmado a Ana. Para ello, en primer lugar remite a Ana su clave pública para que pueda verificar posteriormente su firma. Después escribe el mensaje, y una vez redactado, a través de una función matemática, convierte de forma automática el texto en un conjunto de caracteres de longitud fija. El resultado que se obtiene se conoce como función hash. Posteriormente, transforma la salida de dicha función utilizando su clave privada a través de diferentes fórmulas matemáticas e incluye el resultado al pie del mensaje. Esta información transformada constituye su firma digital.

Cuando Ana recibe el mensaje firmado de Antonio, utiliza la clave pública de Antonio (que previamente le ha enviado) para verificar la firma digital incluida en el mensaje obteniendo el resultado de la función de hash. A continuación, calcula por su parte la función hash del mensaje y la compara con la obtenida en el descifrado. Si los valores son iguales, la firma es correcta.

De este modo, Ana comprueba sin lugar a dudas dos aspectos del mensaje recibido. El primero, que el remitente es Antonio, ya que la firma ha sido cifrada con su clave privada. El segundo, que el mensaje no ha sido alterado en el transcurso de la comunicación, ya que en caso contrario los resultados de las dos funciones hash no coincidirían.

imagen que explica de forma grafica el proceso de firma digital del correo que se acaba de exponer

¿Cómo sabemos que quien firma el documento es quien dice ser? Por ejemplo, ¿Cómo tiene la certeza la Agencia Tributaria de que somos quienes decimos ser cuando queremos descargar el borrador de nuestra declaración? En este punto entran en escena las Autoridades de Certificación (en adelante AC).

Una AC es una entidad reconocida a nivel nacional o internacional, que se encarga de generar y gestionar certificados digitales, asegurando la identidad del propietario de todos y cada uno de los que emitan. Para ello, las AC emplean lo que se conoce como «cadena de confianza», la cual establece una relación de dependencia jerárquica entre los certificados, y permite conocer sin lugar a dudas qué entidad ha emitido un certificado digital concreto.

¿Cómo se identifica la cadena de confianza de un certificado? Es fácil identificar la cadena de confianza en cualquier certificado emitido por una AC reconocida. A continuación, se muestra una captura de pantalla de la información de jerarquía de un certificado digital real, concretamente la que utiliza la Agencia tributaria en su página web, que ha sido emitido por la AC Camerfirma. Para acceder a esta información de cualquier certificado, podemos hacerlo mediante el visor de certificados del que dispone cualquier sistema operativo o navegador.

Imagen captura de pantalla de los detalles del certificado de la agencia tributaria que se ha expuesto anteriormente

De esta forma coloquialmente hablando Camerfirma, como entidad acreditada para ellos, «da fe» de que efectivamente es el certificado de la Agencia Tributaria.

¿Qué pasaría si un certificado fuera vulnerado? Este hecho haría que el certificado afectado dejase de considerarse legítimo.

¿Cómo se gestiona esta situación? Las AC disponen de mecanismos de validación para constatar esta situación. Cuando una AC recibe una notificación sobre un posible compromiso de una clave emplea estos mecanismos de validación para verificar si el certificado ha sido vulnerado. Los sistemas de validación son públicos y están disponibles en internet, de modo que cualquiera que los consultase recibiría un mensaje de que dicho certificado se ha revocado, y por tanto, no debe ser aceptado como válido en ningún caso.

¿Cuáles son los mecanismos de validación de los certificados? Existen dos mecanismos de validación de certificados, las Listas de Certificados Revocados (sus siglas en inglés CRL) y el Protocolo de Estado de Certificados Online (sus siglas en inglés OCSP).

Es fundamental validar cualquier certificado contra cualquiera de estos servicios antes de aceptarlo como válido. La mayoría de aplicaciones que los emplean realizan estas comprobaciones de forma automática (navegadores, visores pdf, etc.), alertando al usuario en caso de que se identifique cualquier irregularidad en el certificado. Se muestra un ejemplo de una advertencia realizada por un navegador cuando detecta irregularidades en un certificado digital SSL (Mozilla Firefox).

Imagen captura de pantalla de conexión no verificada por el certificado

Con esto es todo, os esperamos en próximas entradas del blog. Quedamos a la espera de vuestros comentarios y valoraciones.

Etiquetas: