6.5 Certificados digitales
§1 Sinopsis
Como el lector habrá adivinado rápidamente, todo este sistema del cifrado y las firmas electrónicas
( A6.4), conduce al problema de
verificar si la clave pública es realmente de quien dice ser. Generalmente los usuarios de esta tecnología añaden
su clave pública a los mensajes salientes con objeto de que los receptores no tengan que consultarla en algún repositorio
de claves públicas, pero ¿Cómo puede estar seguro el receptor de que el mensaje no ha sido enviado por un intruso que
pretende suplantar la personalidad del supuesto remitente? Pensemos en una orden de traspaso de saldo bancario u
orden de pago por Internet, por citar un ejemplo.
§2 Certificados digitales
Para resolver (en parte) el problema se idearon los identificadores digitales (que se han traducido al español como Certificados Digitales). En esencia, el sistema consiste en que la parte de clave pública que acompaña al mensaje va a su vez "certificada" (viene a su vez cifrada y firmada) por un organismo o autoridad en quien sí confiamos, o cuya clave pública si conocemos sin margen de duda (algo así como conseguir un certificado notarial de una firma o la compulsa de un documento).
En organizaciones privadas o públicas, esta persona puede ser un director de seguridad o gabinete de certificación. En Internet, se trata de compañías multinacionales que se encargan de esta labor, se denominan CA ("Certification Authorities") [1]. Funcionan como notarios que nos proporcionan certificados digitales de nuestra propia firma pública, mediante el pago de cierta cantidad por supuesto.
El procedimiento operativo será entonces el siguiente: Recibimos un mensaje firmado; la clave pública del remitente viene cifrada y firmada por una autoridad de certificación; decimos que viene acompañado de un "Certificado" de la compañía "X" de certificación, cuya clave pública conocemos sin lugar a dudas. El receptor usa la clave pública en que confía para verificar que el "Certificado" es auténtico; el certificado le señala a su vez que la clave pública del remitente es auténtica. Hecho esto, la utiliza para comprobar que la firma (o el documento) es auténtica.
Si queremos que nos certifiquen la firma (para incluirla en nuestros mensajes), acudimos a una de estas autoridades de certificación y, previo pago, obtenemos un certificado. Es un fichero de varios miles de bits que contiene la información indicada en la tabla adjunta.
Información de identificación del firmante: Nombre, Dirección, Empresa. Clave pública del firmante. Fechas de validez (caducidad) del certificado. Número de certificado Firma digital de la Autoridad de Certificación e información de la misma. |
En el cuadro siguiente se muestra la firma digital de un documento (un correo electrónico) de Hispasec, una
consultora de seguridad
www.hispasec.com.
-----BEGIN PGP
SIGNATURE----- |
Para comprobar que el correo es precisamente de quien dice ser (Hispasec), en el mismo mensaje se incluye una
línea señalando que la clave pública está en su sitio Web:
Llave pública PGP en www.hispasec.com/claves/NoticiasHispasec.asc
Una vez consultada, la citada clave pública tiene el siguiente aspecto:
-----BEGIN PGP PUBLIC KEY BLOCK----- =AZVA -----END PGP PUBLIC KEY BLOCK----- |
§3 La pirámide de confianzas
Fácilmente se comprende que comienza a construirse una "pirámide de confianzas". Si no se confía en la autoridad de certificación, se deberá establecer un nivel superior que la avale en el que "si" confiemos, etc.
Se dice que un certificado es raíz cuando ya no tenemos necesidad de verificarlo. La principal tarea consiste precisamente establecer esta pirámide de confianzas. En la realidad cotidiana de Internet, los certificados producidos por estas compañías de certificación bien conocidas se consideran certificados "raíz", pero se admite que pueden establecerse jerarquías superiores. Se piensa, por ejemplo, que las Naciones Unidas certificaran a los gobiernos de los diversos países. Por ejemplo al de EEUU, el cual certificaría a los organismos federales y a los gobiernos de los estados, los que a su vez certificarían los organismos locales, etc.
[1] En la legislación española se denominan Prestadores de Servicios de Certificación (PSC).