t03 03 certificados_digitales
TRANSCRIPT
Identificación digital y certificados digitales
Identificación digital
●¿Cómo nos identificamos en un entorno digital?
− Nombre de usuario/contraseña− Sistemas biométricos− Certificados digitales
● ¿Como garantizar la identidad de las partes?
− Cualquiera puede generar un par de claves y pretender que su clave pública es la de otra persona
● Un certificado digital es un documento emitido y firmado por la Autoridad de Certificación que confirman la identidad de una persona física o jurídica, vinculada con una clave pública asociada a la clave privada.
● Tienen dos objetivos:
− 1- Que la clave pública del suscriptor pueda ser accesible por los verificadores o participes interesados en validar y verificar la firma digital del suscriptor.
− 2- Que los participes puedan confiar en que la clave pública que recibe el verificador sea realmente la del suscriptor.
● Cada certificado está identificado por un número de serie único y tiene un periodo de validez que está incluido en el certificado.
¿Qué es un certificado digital?
Tipos de certificados
●No existe un criterio estándar que nos permita clasificar de manera única de clasificación de todos los certificados disponibles en el mercado
●Podemos clasificarlos por distintos criterios
− Según el tipo de identidad que incorporan
− Según el ámbito de aplicación
− Según el soporte...
Tipos de certificados
● Certificado Electrónico: – Vincula una clave pública a un firmante.
● Certificado Reconocido:– Son los expedidos como tales y cumplen los
requisitos establecidos en esta ley en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la calidad de los servicios que se prestan.
Según a quién se le emitan
● Certificados de Persona Física (ciudadano)
− Está orientado a ciudadanos (terceros físicos) y están fundamentalmente pensados para trámites personales aunque, en determinadas circunstancias, pueden ser usados en el ámbito profesional.
− Ej: Certificado de eDNI o el de la FNMT.
Certificados de Persona jurídica
● Puede actuar como solicitante:
− Un representante legal de la empresa (administrador único, solidario o mancomunado, o un consejero delegado)
− Un representante voluntario (apoderado), en cuyo caso es necesario que se extienda un poder notarial específico que le faculte a solicitar dicho certificado en representación de la empresa.
● Su uso está pensado para todo tipo de organizaciones, ya sean empresas, administraciones u otro tipo de organizaciones, todas ellas con una identidad de tipo jurídico.
− Ej:certificado de pertenencia a organización.
− Certificados de pertenencia a empresas
− Certificado de representante (acredita los poderes de representación)
Certificados Electrónicos para Empresas● El certificado de persona jurídica
− Identifica una empresa o sociedad. * Puede actuar como solicitante:
· Un representante legal de la empresa (administrador único, solidario o mancomunado, o un consejero delegado) o · Un representante voluntario (apoderado), en cuyo caso es necesario que se extienda un poder notarial específico que le
faculte a solicitar dicho certificado en representación de la empresa.
● El certificado de pertenencia a empresa − Es un certificado de persona jurídica que, además de la identidad del titular, acredita su
vinculación con la entidad para la que trabaja, en virtud del cargo que ocupa en la misma.− Los certificados personales aportan la ventaja de contener información añadida sobre la
empresa a la que pertenece la persona. − Usos:
* Firmar todo tipo de documentos, garantizando la identidad del emisor, el no repudio de origen, la integridad y confidencialidad del contenido.
* Asegurar la autenticación de su titular en un control de acceso.
− Lo puede solicitar la propia persona física titular del certificado siempre que esté autorizado por un representante de la entidad o bien, la propia empresa a favor de sus empleados.
●El certificado de representante, − Además de la pertenencia a empresa, acredita también los poderes de representación que
el titular tiene sobre la misma.* El titular del certificado se identifica no sólo como persona física perteneciente a una empresa, sino como
administrador de la misma.* Con este certificado se pueden realizar trámites para bonificaciones por acciones de formación, Agencia
Estatal Tributaria, etc.
●El certificado de Factura Electrónica − Es un certificado reconocido de persona física con poderes de representación de una
organización únicamente para firmar Facturas Electrónicas.●Existen otros certificados de empresa que emiten diferentes prestadores como los certificados de apoderamiento especial, los certificados de colegiado, etc
Según el ámbito de aplicación● Certificado de Servidor seguro
− Permiten conocer la identidad de un sitio web ( quién o qué organización es la responsable jurídica de la página en cuestión)
* Podemos saber si realmente estamos accediendo a un sitio legítimo, y que no estamos siendo víctimas de un engaño.
− Permiten cifrar las comunicaciones (protocolo https) de forma que se crea un canal seguro de comunicación entre nuestro navegador y el sitio web al cual nos estamos conectado.
● Certificado de firma de código (Software)● Certificado de atributos (cualidad, cargo, estado situación)
− La diferencia fundamental, o elemento que los diferencia de un certificado electrónico de propósito general, son los atributos que incorporan, como es el caso de los siguientes:
* Certificado de pertenencia a empresa
* Certificado de representante
* Certificado de funcionario o certificado de empleado público
* Certificado de apoderado
● Certificado de sede electrónica administrativa ● Certificado de factura electrónica
● Certificado de cifrado de contenidos● Certificado de sello de empresa o certificado de sello electrónico para la actuación
automatizada
●Certificado en un fichero, instalable en cualquier equipo (.p12)
●Token USB●DNI electrónico (DNIe)●Certificado en tarjeta criptográfica (tarjeta inteligente)
●Tarjeta TIBC (Tarjeta Inteligente para Bancos y Cajas de Ahorro)
Tipos de certificados según el soporte
Para ver los certificados en el navegador
Certificados de “servidores”
Certificados de “autoridades”
¿Qué es un certificado raíz?● Un certificado raíz es un certificado emitido por la Autoridad de Certificación para sí misma.
● En este certificado consta la clave pública de la Autoridad de Certificación y por tanto será necesario para comprobar la autenticidad de cualquier certificado emitido por ella.
● Es el certificado origen de la cadena de confianza. ● Entidades raices
●FNMT●Verisign●http://www.verisign.es/ ●Global Sign: ●https://www.globalsign.com/●Entrust; www.entrust.net/
Certificados “Raiz”
Jerarquías de certificación
¿Qué información contiene un certificado ?
● Nombre habitual del propietario de la clave de firma● Identificador único del propietario ● Clave pública correspondiente a la clave privada de firma● Identificación de los algoritmos de clave pública● Número del certificado● Nombre de la Entidad Certificadora● Limitaciones de aplicación de las claves● Capacidad de representación por terceras partes● Fecha y hora de emisión y aceptación del certificado● Fecha y hora de expiración del certificado● Firma de la Autoridad Pública de Certificación como emisora del certificado
● Versión de la DPC bajo la cual se haya emitido el certificado
Certificado X.509v3 contiene:
El Almacén de Certificados● Es donde se guardan los certificados● Siempre que vayamos a realizar un proceso de firma electrónica o identificación digital basadas en certificados, será necesario que esos certificados estén disponibles en el ordenador para la aplicación que va a realizar la firma.
● Los certificados se guardan en el “Almacén de Certificados”.● Para los certificados contenidos en una tarjeta digital, como el DNI electrónico, la propia tarjeta es el almacén.
● Los certificados software se guardan en un almacén del sistema operativo o en el propio de la aplicación.
●Para poder usarlo primero es necesario importar o cargar el certificado en el almacén correspondiente
− En Windows, Google Chrome utiliza el almacén de certificados del sistema operativo.
− Firefox y Opera utiliza su propio almacén de certificados
Copia de seguridad del certificado
●La realización de una copia es fundamental para no quedarse sin certificado en caso de incidencias con el equipo o una reinstalación del mismo
●El usuario deberá realizar la copia de seguridad del certificado con su clave privada desde el almacén del navegador y dejarlo bien configurado.
●Pero además deberá darlo de alta (importarlo) en el almacén del sistema operativo que esté usando
●Para impedir que se pueda exportar el certificado más clave privada por otra persona y configurar un acceso seguro a la clave privada mediante un PIN de protección
Copia de seguridad del certificado
La realización de una copia es fundamental para no quedarse sin certificado en caso de incidencias con el equipo o una reinstalación del mismo El usuario deberá realizar la copia de seguridad del
certificado con su clave privada desde el almacén del navegador y dejarlo bien configurado.
Pero además deberá darlo de alta (importarlo) en el almacén del sistema operativo que esté usando• Para impedir que se pueda exportar el
certificado más clave privada por otra persona y configurar un acceso seguro a la clave privada mediante un PIN de protección
Copia de seguridad del certificado personal
Para realizar la copia el usuario ha de exportar el certificado junto con la clave privada Es muy importante elegir la opción “Exportar la
clave privada” en este paso ya que la opción sin clave privada realmente no sirve
Dar de alta un certificado en el almacen de certificados
Doble clic sobre la copia de seguridad de nuestro certificado (.p12)
Como obtener el certificado en fichero
http://www.cert.fnmt.es/index.php?cha=cit&sec=3&lang=es
• Quien no quiera usar su certificado electrónico en esta dirección si te registra te emiten un certificado electrónico:
• http://www.trustcenter.de/en/products/tc_internet_id.htm
TIPOS DE FICHEROS DE CERTIFICADOS (I)
*.p12 Corresponde al estándar PKCS7#12 que
define un formato de fichero habitual para almacenar claves privadas juntas con su correspondiente certificado, protegido por un PIN similar al usado para proteger el acceso a un teléfono móvil
PKCS (Public Key Certificate Standards) se refiere al grupo de estándares elaborados por la empresa RSA Security que son los estándares de facto en las PKIs actuales
*.crt Formato para almacenar certificados X.509v3
TIPOS DE FICHEROS DE CERTIFICADOS (II)*.cer
Formato muy frecuente para la distribución de certificados X.509.
Es típico que una autoridad de certificación distribuya su certificado raíz con este formato. – Certificado codificado en CER (Canonical encoding
rules).*.p7b
Formato de estructura de firma electrónica PKCS#7, pero que no embebe el documento electrónico firmado, solamente el certificado y/o lista de certificados revocados.
Privacy Enhanced Mail security certificate. Formato que desarrollo específicamente en su
momento para el uso de certificados con correo electrónico.
Actualmente también se usa para distribución de claves privadas.
Certificado codificado en Base64, encerrado entre "-----BEGIN CERTIFICATE-----" y "-----END CERTIFICATE-----"
TIPOS DE FICHEROS DE CERTIFICADOS (II)*.cer
Formato muy frecuente para la distribución de certificados X.509.
Es típico que una autoridad de certificación distribuya su certificado raíz con este formato. – Certificado codificado en CER (Canonical encoding
rules).*.p7b
Formato de estructura de firma electrónica PKCS#7, pero que no embebe el documento electrónico firmado, solamente el certificado y/o lista de certificados revocados.
Privacy Enhanced Mail security certificate. Formato que desarrollo específicamente en su
momento para el uso de certificados con correo electrónico.
Actualmente también se usa para distribución de claves privadas.
Certificado codificado en Base64, encerrado entre "-----BEGIN CERTIFICATE-----" y "-----END CERTIFICATE-----"
Tipos de ficheros de certificados (III)
.*.keyFormato para la distribución de claves privadas.*.pem• DER - Certificado codificado en DER
(Distinguished Encoding Rules)• .P7C - Estructura PKCS#7 SignedData sin
datos, solo certificado(s) o CRL(s)• .PFX - Ver .p12
Clases de certificadosCertificados de Clase 1:
Corresponde a los certificados más fáciles de obtener e involucran pocas verificaciones de los datos que figuran en él: • Sólo el nombre y la dirección de correo electrónico
del titular Son emitidos únicamente a individuos No se verifica la identidad de éstos y por tanto no
permite autentificarla. Confirman que el nombre o seudónimo y el sujeto del
certificado forman un nombre de sujeto inequívoco.
Clases certificados (II)Certificados de Clase 2:
Son emitidos únicamente a individuos Confirman que la información proporcionada por el Suscriptor no entra en
conflicto con la información de las bases de datos fiables propiedad de una AC (Autoridad de Certificacion) o una AR (Autoridad de Registro Local), incluida la identidad del sujeto y otros datos del Suscriptor
La Autoridad Certificadora comprueba además el Documento de identidad o permiso de conducir que incluya fotografía, el número de la Seguridad Social y la fecha de nacimiento.
a) Certificados de Clase 2 no reconocidos (Clase 2 tipo 1), Usados para transaciones de bajo riesgo como servicios de suscripción
de la Sociedad de la Información. b) Certificados de Clase 2 reconocidos (Clase 2 tipo 2),
Pueden ser usados como soporte de firmas electrónicas legalmente reconocidas
Obtienen una razonable seguridad de la identidad del Suscriptor, comparando automáticamente el nombre del solicitante, dirección y otra información personal contenida en la solicitud de certificado, con la información contenida en las bases de datos propiedad de la EE o ERL.
Clase de certificador (III)Certificados de Clase 3, se emiten a:
Individuos: Requiere la presentación de evidencias
probatorias de la identidad del sujeto, personándose ante una Entidad de Registro Local (ERL) o su delegado, como puede ser un notario público.
Organizaciones: Se emiten a individuos con capacidad de firma
dentro de una organización, probada esta capacidad de firma por evidencia notarial, y de la propia organización a través de organizaciones empresariales que confirmen su identidad.
Clases de certificados (IV)
• Certificados de Clase 4: – Que a todas las comprobaciones
anteriores suma la verificación del cargo o la posición de una persona dentro de una organización.
Estados de los Certificados ElectrónicosEmisión (válido)
Inicio de su vigencia Caducado :
– cuando se ha superado la fecha de vigencia del certificado. Normalmente un certificado suele tener un período de vigencia de 2 a 3 años desde la fecha de emisión. En el caso de la FNMT, por ejemplo, son 2 años.
Por Finalización(expiración) del periodo de validez Requiere la renovación del certificado
Revocación de certificados:– Cuando ha sido rechazado, o bien por la Autoridad Certificadora que lo
emite o bien por el propio titular. El motivo de la revocación es variado (extravío, robo, caducidad, certificado copiado por terceros, etc)
La clave privada asociada al certificado se ha visto comprometida (extravío, robo, copia...)
Cambio de datos asociados al certificado• Puede ser revocado por la CA o por el propio titular
Estados de un certificado● Suspensión de certificados:
− Cuando se ve afectado por una investigación o procedimiento judicial o administrativo, por lo que se procede a cancelar la validez del certificado durante un cierto período de tiempo, pudiendo volverse a levantar la suspensión dentro del período de validez del certificado.
* Revocación temporal
* Mismas actuaciones que revocación, salvo que es reversible.
● CRLs:
− Listas firmadas por la CA incluyendo referencias a certificados revocados por ella.
● Un certificado caducado, revocado o suspendido no tiene validez, por lo que las firmas realizadas con este tipo de certificados dejan de tener valor desde el momentode su revocación.
Validación de certificados●¿Qué es la validación de un certificado?
− Es la verificación de que el certificado es válido, integro y no ha sido comprometido.
●¿Por qué se debe validar un certificado?− Es la forma de garantizar que en el momento de realizar una
firma o una autenticación, el estado del certificado era válido y por lo tanto también la operación en la que participó.
●¿Cómo se lleva a cabo?− Validación de integridad del certificado
* Cumplimiento del estándar X.509v3* Fecha de caducidad.* Firma del emisor.
●Consulta del estado del certificado− Válido.− Revocado.− Suspendido.
●Validación de la cadena de certificación●
Validación de certificados (II). Métodos de consulta
● CRL (Certificate Revocation List)− Listas firmadas que publican los certificados
comprometidos.− Son emitidas por el PSC emisor de los certificados.− Pueden ser completas, segmentadas, indirectas, etc.− Pueden ser publicadas por HTTP/S, LDAP, FTP, etc.− Tiempo de latencia alto.
● OCSP (Online Certificate Status Protocol)− Protocolo en línea para consulta de estado de certificados.− Es independiente del protocolo de comunicación.− Es el método más fiable
Pasos para obtener un certificado digital
1 Acceso a la Web de la autoridad de certificación y cumplimentación de un formulario con los datos que pida al usuario.
2 Generación de un par de claves en la máquina local, (privada /pública)
3 Envío de la clave pública a la autoridad de certificación para que ésta cree el certificado
La clave privada ni siquiera se facilita a la CA, es totalmente personal, no debe salir jamás de las manos de su titular.
4 Personarse en la autoridad de registro para acreditar la identidad (esto se hace normalmente presentando el DNI).
En caso de personas jurídicas se exigirá la correspondiente documentación (escrituras, poderes de quien solicita el certificado, etc.).
Pasos para obtener un certificado digital (II)
5 Obtener el certificado (vía descarga del mismo en Internet, envío por correo electrónico, etc.) Para la descarga suele ser habitual que al usuario se le entregue un PIN de descarga en el acto presencial anterior En el caso de la FNMT, se descarga e instala
automáticamente en el navegador desde el cual se solicitó.
6 Realizar una copia de seguridad del certificado electrónico y la clave privada y guardar el fichero a buen recaudo.– Ésta se realizará generalmente en un fichero .p12
que incluye certificado y clave privada,
Pasos para obtener un certificado digital (III)
7 Configurar el almacén de certificados de manera segura.
Este paso es importante porque tras la primera descarga de la CA el nivel de seguridad del almacén no es muy elevado precisamente para permitir tareas como la copia de seguridad.
Certificados utilizables por los ciudadanos● El DNIe para personas físicas● Sistemas de firma electrónica avanzada
− Los basados en certificado reconocido, admitidos por las Administraciones Públicas para personas físicas, personas jurídicas y entes sin personalidad jurídica como es el caso de las comunidades de bienes.
− La firma electrónica reconocida, las Administraciones están también obligadas a aceptarla siempre y cuando la autoridad de certificación dé acceso gratuito a su lista de revocados.
− Los certificados deben de tener incorporado el Número de Identificación Fiscal de su titular, y deberán de incorporar la identidad de la persona que solicita y se responsabiliza de custodiar el certificado, ya sea persona física, jurídica o ente sin personalidad jurídica.
● Se posibilita la admisión de otros sistemas de firma electrónica incluso la de aquellos que no se basen en sistemas de criptografía asimétrica y por tanto no impliquen la existencia de certificados electrónicos.
Certificados utilizables por la Administración en sus actuaciones
● Para actuación no automatizada se exige firma electrónica del funcionario actuante.
− Podría ser firma electrónica basada en el DNI electrónico o
− Algún otro sistema de firma avanzada o reconocida
* Es más aconsejable que se proporcionen claves y certificados específicos para la actividad administrativa.
− También se admiten otros sistemas de firma electrónica.
Para actuaciones automatizadas
●Cuando hacemos trámites con las sedes electrónicas y no interviene un funcionario en el trámite, solo los equipos informáticos
●Para actuación automatizada. Se admiten dos opciones:
− 1) Sello electrónico* Firma electrónica avanzada de la Administración
Pública u órgano administrativo.
− 2) Código seguro de verificación (CSV) vinculado a la Administración Pública u órgano firmante del documento.
* El CSV es un código estampado en un documento impreso que permite verificar la autenticidad e integridad de ese documento en papel comparándolo con el documento electrónico original en la sede electrónica correspondiente.
* El CSV permite la generación en papel de “copias auténticas” de documentos
Certificados a utilizar por la Administración como receptora de transacciones electrónicas de los ciudadanos
● Ha de ser un certificado de dispositivo seguro. − Su uso permite el establecimiento de una conexión cifrada entre
el navegador y el servidor de la Administración y sirve para identificar a éste ante el primero.
● La información contenida en el certificado incluye− El nombre del titular de la sede electrónica (servidor Web),− Nombre del dominio y/o − Dirección IP y la persona que lo solicita y que es responsable de
su custodia.● El soporte de las claves criptográficas puede ser
− Un elemento lógico como sería el caso de un fichero o − Una pieza específica de hardware (HSM).
● Se distingue del certificado para componente informático ya que éste identifica sólo al servidor que aloja a determinada aplicación informática, pero no necesariamente a la Administración titular del mismo, ni requiere la consignación de persona física solicitante.
Certificado de Empleado Público●La Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los servicios Públicos en el capítulo II Sección III “Identificación electrónica de las Administraciones Públicas y autenticación del ejercicio de su competencia”, en su artículo 19 trata la “Firma electrónica del personal al servicio de las Administraciones Públicas”.
●En el punto 1, establece que la identificación y autenticación del ejercicio de la competencia de la Administración Pública, cuando utilice medios electrónicos se hará mediante firma electrónica del personal a su servicio de alguna de las dos formas siguientes:
− Mediante la firma electrónica basada en el Documento Nacional de Identidad.− Mediante sistemas de firma electrónica con que la Administración Pública provea a su
personal y que identifique conjuntamente al titular del puesto de trabajo y a la Administración.
●Este segundo caso, es concretado para el personal de la Administración General del Estado por el RD 1671/2009 que desarrolla parcialmente la ley 11/2007, con el Certificado Electrónico de Empleado Público.
●En el artículo 22, el RD establece que:− Esos sistemas de firma estarán basados en certificados electrónicos que se denominarán
Certificados Electrónicos de Empleado Público− Sólo podrán usarse en el desempeño de las funciones propias del puesto que ocupen los
empleados o para relacionarse con las Administraciones públicas cuando éstas lo admitan− Además de los datos identificativos del titular el certificado de Empleado Público deberá
contener el Órgano u organismo público en el que presta servicios el titular del certificado y el número de identificación fiscal del organismo.
Identificación por Funcionario Público● Los funcionarios públicos pueden identificar con sus propios sistemas de firma electrónica a ciudadanos que no dispongan de ellos.
● De acuerdo con el artículo 22 de la Ley 11/2007, de 22 de junio, cuando se requiera la identificación o autenticación del ciudadano mediante algún mecanismo electrónico contemplado en la ley y del cual el ciudadano no disponga, tal identificación o autenticación podrá ser válidamente realizada por funcionarios públicos mediante el uso del sistema de firma electrónica del que estén dotados.
● Para que esta identificación pueda hacerse legalmente deben darse dos condiciones:− 1.- El ciudadano debe identificarse y prestar su consentimiento expreso, debiendo quedar
constancia de ello para los casos de discrepancia o litigio− 2.- La administración deberá mantener un registro actualizado de los funcionarios que están
habilitados para realizar este tipo de identificación y autenticación del ciudadano.● El RD 1671/2009 de 6 de noviembre establece en el artículo 16.2 que ese registro podrá extender, mediante el correspondiente Convenio de colaboración, sus efectos a las relaciones con otras Administraciones públicas.
● El RD también dispone que, además de la obligación de que el funcionario esté habilitado para poder identificar a un ciudadano ante otro órgano u organismo destinatario de la actuación para la que se ha de realizar la identificación y autenticación, es necesario que el sistema de firma electrónica utilizado también sea admitido por el órgano destinatario.
● Cuando el funcionario deba identificar a un ciudadano ante el Departamento ministerial u organismo al que él está destinado, bastará con que sea habilitado para ello por el mismo Departamento ministerial u organismo. No será necesaria, si está habilitado por éste último, su inclusión en el registro de funcionarios habilitados.
Enlaces●Enlace con FAQ de la FNMT sobre certificados
− https://www.sede.fnmt.gob.es/certificados − https://www.cert.fnmt.es/certificados
●Video de certificado electrónico − http://www.youtube.com/watch?v=EU6vgU077xU
&feature=related●Portal de EA de la Junta de Andalucía
− https://ws024.juntadeandalucia.es/ae/● En este vídeo puedes ver como obtener un certificado de la
FNMT
− https://www.youtube.com/watch?v=wRzx5moH0jU
− http://www.youtube.com/watch?v=CiTqUZG0E_s ● Identidad Electronica
− https://www.youtube.com/watch?feature=player_embedded&v=8XUG4-faBq0