Sistemas de certificación electrónica en España (2010) by Elena M. Mayo

Informe Técnico – Technical Report SEGURIDAD DE LA INFORMACIÓN 04 de enero de 2010

SISTEMAS DE CERTIFICACIÓN ELECTRÓNICA EN ESPAÑA

Elena Martín Mayo

Licenciatura en Documentación Universidad de Salamanca

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

INDICE GENERAL 1

METODOLOGÍA .................................................................................... - 1 -

INTRODUCCIÓN ................................................................................... - 2 -

HISTORIA ........................................................................................... - 3 -

3.1

EL NACIMIENTO DE UN SECTOR ........................................................ - 3 -

3.2

¿40 BITS O 128 BITS?...................................................................... - 5 -

3.3

EL SECTOR PRIVADO DE LA CERTIFICACIÓN EN ESPAÑA ...................... - 7 -

3.4

CONTEXTO LEGAL DE LA CERTIFICACIÓN EN ESPAÑA ........................ - 10 -

3.5

LA CERTIFICACIÓN EN COMUNIDADES AUTÓNOMAS Y CORPORACIONES DE

DERECHO PÚBLICO .................................................................................. - 14 3.6

EXPECTATIVAS .............................................................................. - 15 -

MARCO LEGISLATIVO ......................................................................... - 17 -

CERTIFICADO ELECTRÓNICO ............................................................... - 19 -

5.1

¿QUÉ SON? ................................................................................... - 19 -

5.2

TIPOS DE CERTIFICADOS ............................................................... - 19 -

5.3

AUTORIDADES DE CERTIFICACIÓN .................................................. - 20 -

5.3.1

PROCESO .................................................................................. - 20 -

5.4

CARACTERÍSTICAS DE UNA AC........................................................ - 21 -

5.5

FUNCIONAMIENTO DE UNA AC ........................................................ - 21 -

5.6

ENTIDADES EMISORAS .................................................................. - 22 -

5.7

MODELOS DE CONFIANZA .............................................................. - 22 -

5.8

FORMATOS DE CERTIFICADOS ........................................................ - 23 -

5.9

CLASIFICACIÓN DE LOS CERTIFICADOS ........................................... - 23 -

5.10

CERTIFICADO DIGITAL X.509 ......................................................... - 24 -

5.10.1

FORMATO DEL CERTIFICADO DIGITAL X.509 ................................. - 24 -

5.10.2

CAMPOS DEL CERTIFICADO DIGITAL X.509 ................................... - 24 -

FIRMA DIGITAL .................................................................................. - 26 -

6.1

¿QUÉ ES? ..................................................................................... - 26 -

6.2

GARANTÍAS .................................................................................. - 27 -

6.3

TIPOS .......................................................................................... - 27 -

6.4

¿CÓMO SE GENERA? ...................................................................... - 28 -

CÓMO OBTENER EL CERTIFICADO ELECTRÓNICO .................................. - 29 -

7.1

CERTIFICADO DE LA FÁBRICA NACIONAL DE MONEDA Y TIMBRE ........ - 29 -

7.1.1

SOLICITUD VÍA INTERNET ........................................................... - 30 -

7.1.2

ACREDITACIÓN DE LA IDENTIDAD ............................................... - 32 -

7.1.3

DESCARGA DEL CERTIFICADO ..................................................... - 32 -

7.1.4

COPIA DE LA CLAVE PRIVADA Y DEL CERTIFICADO ........................ - 34 -

Elena Martín Mayo

Sistemas de certificación electrónica en España

7.1.5 7.2

Seguridad de la información 2009/2010

ANTES DE UTILIZARLO ............................................................... - 37 OTROS PRESTADORES DE SERVICIOS ............................................. - 38 -

7.2.1

ANCERT – AGENCIA NOTARIAL DE CERTIFICACIÓN ........................ - 38 -

7.2.2

ANF AC ..................................................................................... - 39 -

7.2.3

CAMERFIRMA ............................................................................. - 40 -

7.2.4

FIRMA PROFESIONAL .................................................................. - 40 -

7.2.5

IZENPE, S.A. ............................................................................. - 41 -

UTILIZACIÓN DEL CERTIFICADO .......................................................... - 42 -

8.1

PROCESADORES DE TEXTO............................................................. - 42 -

8.1.1

OPEN OFFICE ............................................................................. - 43 -

8.1.2

MICROSOFT OFFICE ................................................................... - 44 -

8.2

NAVEGADORES ............................................................................. - 46 -

8.2.1

MOZILLA FIREFOX ...................................................................... - 46 -

8.2.2

INTERNET EXPLORER .................................................................. - 46 -

8.3

GESTORES DE CORREO ELECTRÓNICO ............................................. - 48 -

8.3.1

MOZILLA THUNDERBIRD ............................................................. - 49 -

8.3.2

OUTLOOK EXPRESS .................................................................... - 51 -

8.3.3

WINDOWS MAIL ......................................................................... - 53 -

CÓMO CIFRAR Y FIRMAR SIN CERTIFICADO .......................................... - 55 -

9.1

APLICACIÓN BASADA EN UN MODELO DE CONFIANZA DIRECTO: PGP.. - 55 -

9.1.1

FIRMAR Y CIFRAR FICHEROS ....................................................... - 58 -

9.1.2

FIRMAR Y CIFRAR MENSAJES ....................................................... - 59 -

9.1.3

GENERAR NUEVAS CLAVES .......................................................... - 60 -

9.2

PROTECCIÓN DE MEMORIAS USB: REMORA USB DISK GUARD ............ - 62 -

CONCLUSIONES ............................................................................ - 65 -

BIBLIOGRAFÍA .............................................................................. - 66 -

Elena Martín Mayo

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

INDICE DE FIGURAS Figura 1.

Esquema del proceso ........................................................ - 21 -

Figura 2.

Alerta de seguridad .......................................................... - 22 -

Figura 3.

Solicitud de certificado ...................................................... - 30 -

Figura 4.

Nivel de seguridad ............................................................ - 31 -

Figura 5.

Contraseña ...................................................................... - 31 -

Figura 6.

Código de solicitud ........................................................... - 31 -

Figura 7.

Descargar certificado ........................................................ - 33 -

Figura 8.

Importar certificado con clave privada exportable................. - 34 -

Figura 9.

Cómo exportar el certificado .............................................. - 35 -

Figura 10.

Exportar certificado con clave privada ................................. - 36 -

Figura 11.

Agregar firma .................................................................. - 43 -

Figura 12.

Introducción del PIN ......................................................... - 43 -

Figura 13.

Referencias a un documento con firma electrónica ................ - 44 -

Figura 14.

Firmar un documento Word ............................................... - 45 -

Figura 15.

Mozilla Firefox. Opciones – Avanzado - Cifrado ..................... - 46 -

Figura 16.

Mozilla Firefox. Administrador de certificados ....................... - 46 -

Figura 17.

Nuestro certificado instalado en Explorer ............................. - 47 -

Figura 18.

Otras personas ................................................................ - 47 -

Figura 19.

Entidades emisoras .......................................................... - 47 -

Figura 20.

Certificado. General .......................................................... - 48 -

Figura 21.

Certificado. Detalles ......................................................... - 48 -

Figura 22.

Certificado. Ruta de certificación ........................................ - 48 -

Figura 23.

Ver certificados en Thunderbird .......................................... - 49 -

Figura 24.

Autoridad certificadora ...................................................... - 50 -

Figura 25.

Sus certificados ................................................................ - 50 -

Figura 26.

Incorporar parte pública de un contacto .............................. - 50 -

Figura 27.

Redactar mensaje firmado y cifrado digitalmente ................. - 51 -

Figura 28.

Cifrar, firmar y revocación ................................................. - 51 -

Figura 29.

Seguridad en Outlook Express ........................................... - 52 -

Figura 30.

Cifrar y/o firmar un mensaje ............................................. - 52 -

Figura 31.

Cifrado ............................................................................ - 52 -

Figura 32.

Windows Mail. Herramientas-Opciones ................................ - 53 -

Figura 33.

Opciones-Seguridad ......................................................... - 53 -

Figura 34.

Opciones Avanzadas ......................................................... - 54 -

Figura 35.

Nuevo mensaje cifrado y firmado ....................................... - 54 -

Elena Martín Mayo

III

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

Figura 36.

Cifrar y firmar desde el menú ............................................ - 54 -

Figura 37.

Extracción de PGP Self ...................................................... - 56 -

Figura 38.

Instalación ...................................................................... - 56 -

Figura 39.

Nombre y dirección .......................................................... - 56 -

Figura 40.

Frase de paso .................................................................. - 56 -

Figura 41.

PGPKeys ......................................................................... - 56 -

Figura 42.

Cuadro de diálogo ............................................................ - 57 -

Figura 43.

PGPtools ......................................................................... - 57 -

Figura 44.

PGP Options .................................................................... - 57 -

Figura 45.

Opción PGP ..................................................................... - 58 -

Figura 46.

Seleccionar clave pública ................................................... - 58 -

Figura 47.

Elección de destinatario .................................................... - 58 -

Figura 48.

Frase de paso para cifrar ................................................... - 58 -

Figura 49.

Firma y frase de paso ....................................................... - 59 -

Figura 50.

Validez de firma confirmada .............................................. - 59 -

Figura 51.

Datos.txt “prueba1” .......................................................... - 59 -

Figura 52.

Datos.txt “prueba2” .......................................................... - 59 -

Figura 53.

Firma no válida ................................................................ - 59 -

Figura 54.

Mensaje nuevo ................................................................. - 60 -

Figura 55.

Keys – New Key ............................................................... - 60 -

Figura 56.

Generar nuevas claves ...................................................... - 60 -

Figura 57.

Exportar la clave de uno de los contactos ............................ - 61 -

Figura 58.

Nombre y ubicación .......................................................... - 61 -

Figura 59.

Fichero ........................................................................... - 61 -

Figura 60.

Pubring ........................................................................... - 61 -

Figura 61.

Selección de clave ............................................................ - 61 -

Figura 62.

Secring ........................................................................... - 61 -

Figura 63.

Icono USB disk guard ....................................................... - 62 -

Figura 64.

Acceso ............................................................................ - 62 -

Figura 65.

Remora. Cifrar ficheros ..................................................... - 63 -

Figura 66.

Remora. Descifrar ficheros ................................................ - 63 -

Figura 67.

Remora. Cifrar directorios ................................................ - 63 -

Figura 68.

Remora. Descifrar directorios ............................................. - 63 -

Figura 69.

Remora. Configuración ...................................................... - 63 -

Figura 70.

Remora. Salir .................................................................. - 63 -

Figura 71.

Cifrando fichero ............................................................... - 63 -

Figura 72.

Descifrando fichero ........................................................... - 64 -

Figura 73.

Cómo salir ....................................................................... - 64 -

Elena Martín Mayo

RESUMEN La certificación electrónica en España tuvo su aparición en 1995 por iniciativas llevadas a cabo por Banesto. Desde entonces, se ha ido evolucionando lentamente hasta la actualidad y, aunque se tiene una idea general sobre lo que son los certificados electrónicos y la firma digital, se desconocen los servicios de los que nos podemos beneficiar. Es por ello, por lo que se explicará detalladamente lo que estos son y se ahondará en ciertos usos para el mejor aprovechamiento de los certificados electrónicos y las firmas digitales.

PALABRAS CLAVE Certificado electrónico; firma digital; DNIe; X.509; Ley 59/2003 de Firma Electrónica; utilización.

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

1 METODOLOGÍA Toda la realización del trabajo se ha visto enormemente facilitada por las nociones básicas adquiridas años atrás con la realización del curso Firma digital y DNI electrónico impartido por la Universidad de Salamanca, por el que ya se estaba en posesión del certificado electrónico que emite la Fábrica Nacional de Moneda y Timbre y gracias al cual se disponía de información elaborada acerca del tema, que ha servido de mucho a la hora de crear el cuerpo del informe, que se ha basado en la búsqueda bibliográfica a través de Internet. Páginas como Verisign, CERES o la Agencia Tributaria han sido los aportes clave informacionales. Se ha seguido una estructura lógica: una introducción en la que se definen superficialmente los conceptos básicos del

informe:

qué es un certificado

electrónico y qué es una firma digital, para luego adentrarnos en la historia de éstos hasta llegar a nuestros días, con la evolución de la normativa correspondiente que regula todo. Tras ahondar en los conceptos clave, se dan las pautas para la obtención del certificado electrónico de la Fábrica Nacional de Moneda y Timbre, así como la enumeración y breve descripción de otros prestadores de servicios no gratuitos, para concluir con alguno de los usos de los que podemos disfrutar una vez que estemos en posesión de dicho certificado.

Elena Martín Mayo

-1-

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

2 INTRODUCCIÓN El Certificado Digital permite verificar la identidad de un ciudadano, garantizando que

únicamente

él

puede

acceder

información

personal,

evitando

suplantaciones. También es el elemento usado para firmar electrónicamente solicitudes o documentos. La firma electrónica basada en un certificado digital, tiene la misma validez jurídica que la firma manuscrita. Asimismo, la identificación basada en un certificado digital es equivalente a la presentación del DNI en la atención presencial. A lo largo de este informe introduciremos el tema con los hechos históricos relevantes de la certificación electrónica a nivel mundial, para luego centrarnos en lo que ha significado y evolucionado en España. Expuesto esto, entraremos de lleno en una extensa explicación sobre los certificados electrónicos y la firma digital así como el procedimiento que hay que llevar a cabo para obtener los mismos (centrándonos en el emitido por la Fábrica Nacional de Moneda y Timbre y enunciando otros prestadores de servicios) y alguno de los beneficios de los que podemos disfrutar con ellos, para concluir con ejemplos de uso para los que no hace falta estar en posesión de un certificado electrónico, a saber: programas como PGP y Remora USB Disk Guard, con los que podremos cifrar y firmar documentos, archivos o correos electrónicos.

Elena Martín Mayo

-2-

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

3 HISTORIA El sector de la certificación electrónica español tuvo un temprano nacimiento en 1995 cuando comenzó el primer proyecto en Banesto. Incluso antes, las universidades politécnicas de Madrid y Barcelona estaban ya implicadas en proyectos académicos. Con los hitos de la Directiva europea de Firma Electrónica y el Real Decreto-Ley español de 1999, todo apuntaba a un prometedor desarrollo del sector. Sin embargo, hasta que se publicó la Ley 59/2003 los prestadores de servicios de servicios de certificación privados afrontaban un futuro tan desalentador, como la sensación recogida tras cuatro años de actividad trufada de frustración por la defectuosa regulación desarrollada por la Administración española. Por último, con la aparición del DNI electrónico se relanzan las expectativas de un sector esencial para el desarrollo de la Sociedad de la Información.

3.1 EL NACIMIENTO DE UN SECTOR En 1995 era reciente la separación de la división de certificación de RSA en una empresa independiente, Verisign, cuyos principales clientes eran los bancos y las empresas pioneras en comercio electrónico, que comenzaban a poner en marcha “servidores seguros”. El motor de esa actividad era Netscape, que comercializaba esos servidores especiales, equivalentes por lo demás, a los servidores web que empezaban a estar disponibles como software gratuito. Entre los “servidores seguros” y los “navegadores” que Netscape permitía obtener gratuitamente se establecía una comunicación cifrada gracias a un protocolo inventado por la empresa en 1994, el SSL (Secure Sockets Layer), que ya se ha convertido en un estándar de Internet. Lo que permitía que se estableciera la comunicación cifrada era la habilitación del software cliente y del software servidor para manejar el protocolo, junto con la disponibilidad en el servidor de un “certificado” que demostraba la identidad del servidor. La tecnología básica que usaba el protocolo SSL era un conjunto de programas informáticos (librerías) que manejaban avanzados algoritmos de cifrado y que suministraba la empresa RSA. Originalmente, los certificados los suministraba un departamento de la empresa, con el objetivo de facilitar la venta de sus librerías

Elena Martín Mayo

-3-

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

criptográficas. RSA se constituyó en empresa para comercializar los hallazgos de los criptólogos que ya han pasado a la historia de las matemáticas. Ron Rivest, Adi Shamir y Leonard Adleman idearon el algoritmo cuyo nombre lo forman sus iniciales y que también dio nombre a la empresa RSA. Aunque el mayor avance teórico se produjo en 1976 cuando Witfield Diffie y Martin Hellman demostraron la viabilidad de un nuevo concepto en criptografía: la criptografía de clave pública. Gracias a este tipo de criptografía aparecieron algunas nuevas formas de proteger la información contra el interés de los curiosos y también apareció un nuevo concepto separado: la firma electrónica. La firma electrónica está basada en la transposición al mundo electrónico de un principio del mundo físico relativo a la firma manuscrita: “sólo uno la puede hacer pero cualquiera la puede verificar”. Para poder aplicar este principio a un mundo regulado por las matemáticas, había que pensar en una operación que tomara un número a firmar (que representa al documento en papel) y tras aplicar una clave como operando diera como resultado un criptograma (el documento firmado). El documento firmado debería poderse someter a otra operación matemática en la que se usara una clave diferente y que diera como resultado el documento original. La primera función es la función de firmar, y la segunda, la de verificar la firma. Las claves utilizadas en ambas funciones son distintas pero relacionadas entre sí. La primera es la clave privada que garantiza que solo el firmante puede usar y la segunda es la clave pública, que equivaldría a una muestra de firma manuscrita para que quien tenga acceso a ella pueda verificar lo firmado. Al ser la firma electrónica una operación matemática hecha al documento, un interesante efecto secundario es que protege al documento de cualquier cambio, algo que no sucede en la firma manuscrita respecto al documento en el que se estampa. Aunque los principios generales podían emplearse de formas diversas, las primeras aplicaciones de uso masivo se produjeron gracias a la gran difusión de Netscape Navigator inicialmente (la apuesta pionera de Jim Clark y Marc Andreseen, a finales de 1994) y Microsoft Explorer con posterioridad (Windows 3.1 ni siquiera daba soporte a las comunicaciones TCP/IP). De forma que el equivalente a la firma

Elena Martín Mayo

-4-

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

electrónica se producía de forma automatizada en el servidor, además de emplearse la función inversa de la criptografía de clave pública para facilitar el cifrado de las comunicaciones merced al intercambio de una clave de sesión y establecer un canal opaco entre el servidor y el navegador. Gracias a este mecanismo, los primeros prestadores de servicios de certificación, vendían certificados para servidores web, liderados hegemónicamente por la compañía norteamericana Verisign, y con una competencia inicial, más agresiva en precios, centrada inicialmente en la compañía sudafricana Thawte. Este mercado demostró ser rentable por dos hechos significativos: Verisign creció tanto que pudo adquirir Network Solutions, la empresa que gestionaba y comercializaba la asignación de dominios .com, .net y .org. Y también adquirió Thawte, aunque la mantuvo como segunda marca especializada en el segmento de clientes avanzados y sensibles al coste. El acuerdo entre Verisign y Thawte propició la anécdota de que Mark Shuttleworth, fundador y presidente de Thawte, y uno de los hombres más ricos de Sudáfrica tras la operación de venta de Thawte a Verisign, se convirtiera el año 2002 en el segundo turista espacial, tras Dennis Tito. Da la impresión de que la certificación orientada a servidores es la más rentable. A finales de 2002, sobre un total de 35 millones de dominios, más de 16 millones eran sitios activos y casi 175.000 eran servidores SSL (según información de Netcraft). Si pensamos que un certificado SSL tiene un coste entre 350 y 900 euros, podemos estimar que el mercado de la certificación mueve entre 50 y 100 millones de euros al año. Pero hay otros usos de perfil técnico que también son interesantes: gracias a la propiedad de la firma electrónica que permite detectar modificaciones en los documentos electrónicos, el software que se obtiene en Internet para ser instalado en los ordenadores puede ser firmado para garantizar la pureza de su origen y protegerlo de la infección de los virus que se suelen adherir a los programas y que, de hacerlo, quedarían evidenciados.

3.2 ¿40 BITS O 128 BITS? El empleo de certificados en los servidores o, incluso la posibilidad de firmar software, requiere que el software del navegador y, en cierto modo el del sistema operativo, estén preparados para reconocer alguno de los prestadores de servicios de certificación.

Elena Martín Mayo

-5-

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

Inicialmente, el número de prestadores de estos servicios reconocidos por Netscape y Microsoft era muy reducido y esto propiciaba una concentración del negocio en las empresas que habían logrado este reconocimiento. Durante un tiempo, una forma de lograrlo fue mediante el pago de una cantidad a estas firmas, para lograr su homologación. De hecho, el duopolio en el mundo de los navegadores/exploradores permitió que el Departamento de Comercio de Estados Unidos controlara con cierta facilidad la robustez de los mecanismos criptográficos utilizados, en función de ciertos supuestos de seguridad nacional. Dado que para establecerse el canal opaco se emplea cifrado simétrico, si se utiliza un algoritmo de 128 bits de tamaño de clave, podemos regular cuántos de esos bits se tratan como verdaderamente secretos, comunicando el resto en claro en la fase inicial de establecimiento del canal. El control de la robustez de cifrado pasó del Departamento de Estado al Departamento de Comercio en 1996, de forma que hasta esa fecha, los servidores web que se exportaban de Estados Unidos incluían una limitación en la gestión del canal que impedía su funcionamiento con gestión cifrada completa de la clave de sesión. Bajo condiciones de importación especiales, era posible, en algunos países y para empresas de sectores concretos (por ejemplo, bancos) obtener “servidores seguros” sin esa limitación. Sin embargo, el hecho de que el servidor fuera capaz de establecer sesiones con criptografía robusta no solucionaba el problema, ya que los navegadores que se descargaban por Internet fuera de Estados Unidos incluían la misma limitación. Se creó un estado de opinión contrario a Estados Unidos por esta discriminación, que no era sino un reflejo de los Acuerdos de Wassenaar ratificados por muchos paises, entre ellos España (anteriormente bajo la competencia del Ministerio de Comercio Exterior, y en la actualidad, del de Defensa). Incluso, dentro de los Estados Unidos, diferentes expertos propugnaban un uso de claves robusto de difusión internacional. Esto propició una cierta relajación normativa respecto a la exportación de tecnología de doble uso que permitió la liberación en 1996 de una técnica especial SGC (Server Gated Cryptography) en los servidores web que, en combinación con un tipo de certificados de Verisign, permitía que los navegadores

Elena Martín Mayo

-6-

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

exportables (y por tanto inicialmente limitados en cuanto a robustez en su criptografía) establecer sesiones opacas utilizando la clave secreta al completo. Esta solución dio origen a los denominados “Certificados de 128 bits” de Verisign que tuvieron una existencia limitada hasta el año 2000, fecha en la que se liberalizó completamente la criptografía tanto de los servidores como la de los navegadores. Aún hoy, gracias a la ignorancia del público sobre este tema, Verisign sigue vendiendo en banca “certificados de 128 bits” a 900 dólares, cuando la realidad es que todos los certificados son de 128 bits. O por precisar, los certificados (ya sean de 50 dólares o de 900) no limitan la capacidad del servidor y del navegador para establecer sesiones opacas con la máxima robustez. Actualmente, la mayor parte de los servidores disponibles y tanto el Navegador como el Explorador manejan sesiones robustas, y la mención de la criptografía de 128 bits no hace sino evidenciar la ignorancia de quienes pretender diferenciarse con ello.

3.3 EL SECTOR PRIVADO DE LA CERTIFICACIÓN EN ESPAÑA En 1995 Banesto puso en marcha el primer proyecto de “Autoridad de Certificación” privado no académico. Aproximadamente en las mismas fechas se inició un proyecto académico bajo la cobertura del Programa ICE-TEL del que ya apenas quedan vestigios. Son acciones tempranas, porque no se puede olvidar que el mundo del web tenía aproximadamente 2 años, si contamos con que Tim BernersLee desde el CERN empezó a difundir su sistema World Wide Web en 1993, y las versiones de Mosaic (el primer “browser” de web, de 1994) no soportaban cifrado. Las primeras implementaciones de CA (por su terminología en inglés, “Certification Authority”) eran de un solo nivel (sin jerarquías), de forma que la CA raíz era al mismo tiempo emisora de certificados de entidad final. Además de poder emitir certificados de servidor para SSL, también emitían certificados de correo electrónico para las recientes implementaciones de S/MIME que ya eran capaces de manejar tanto Netscape Messenger, inicialmente, como posteriormente Microsoft Outlook. En el caso de Banesto, la CA se utilizó además para autenticar los extremos de una comunicación SSL con las tiendas usuarias de su pasarela de pagos. Los años 1995-1997 estuvieron marcados por anuncios como el SET (Secure Electronic Transactions) sistema de seguridad basado en certificados electrónicos y de respaldado por Visa y Mastercard para su uso en transacciones económicas Elena Martín Mayo

-7-

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

basadas en tarjeta de crédito, y por la paulatina incorporación de la banca a las transacciones financieras a través de Internet. Banesto, Open Bank y Bankinter, fueron entidades pioneras en definir una estrategia especial para el canal Internet, por delante de los grandes grupos bancarios. IPS-CA, una pequeña empresa española especializada en desarrollos web con gran conocimiento de plataformas Notes (que ya empleaban una modalidad propia de criptografía de clave pública en la mensajería para implementar funciones de cifrado y autenticación de usuario) fue también pionera en el desarrollo de su CA, y puso a la venta sus certificados a principios de 1996. IPS-CA fue además una de las primeras en negociar con Microsoft el reconocimiento de su CA root en el Explorer de Microsoft. En mayo de 1997 se constituye ACE, la Agencia de Certificación Electrónica. El nombre sonaba algo pretencioso, pero sus respaldos eran notables: CECA, Sistema 4B, y SERMEPA, junto con Telefónica. Retomaba los proyectos iniciados por “Negocios Cibernéticos” en la que ya participaban Telefónica y Visa España y despliega una de las primeras infraestructuras del mundo para SET, destinada a ser empleada en los medios de pago on-line, y que muestra sus primeros resultados antes de acabar el año. A finales de 1997 se constituye la Fundación para el Estudio de la Seguridad de las Telecomunicaciones (FESTE), que se establece en Barcelona bajo la presidencia de D. Miquel Roca i Junyent. La Fundación tiene una clara orientación legal, ya que busca no solo la definición de un marco de seguridad técnica, sino también la seguridad jurídica. El Patronato, en el que se sientan notables representantes de Notarios, Corredores de Comercio y Abogados, contribuye decisivamente al desarrollo de la Directiva Europea sobre Firma Electrónica. En su modelo de seguridad jurídica preventiva juega un importante papel la fe pública, elemento diferenciador

entre

los

contextos

jurídicos

latinos

continentales

los

anglosajones, que impregnan el punto de vista de los avances técnicos ingleses y norteamericanos. Al promover que determinadas operaciones del mundo virtual se lleven a cabo con la participación de un fedatario público se refuerzan los mecanismos tecnológicos y operativos. Este modelo es extensible a cualquier prestador de servicios de certificación, por lo que se produce un primer acercamiento entre ACE y FESTE, en el que ACE se especializa en las funciones de certificación y FESTE en las de inscripción (RA, Registration Authority).

Elena Martín Mayo

-8-

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

El 22 de junio del año 2000 se constituye AECODI, la Asociación de Entidades de Confianza Digital, una verdadera patronal del sector de certificación, con el objetivo de impulsar conjuntamente el sector, contribuir a la homogeneización de la normativa, y consensuar la adopción de estándares técnicos. En

julio

2000,

Camerfirma

inicia

sus

actividades

como

empresa

independiente. Hasta ese momento, Camerfirma había sido el nombre de un departamento del Consejo Superior de Cámaras de Comercio, Industria y Navegación

España,

encargado

del

despliegue

España

del

sistema

Chambersign, esfuerzo cooperativo de las Cámaras de Comercio Europeas. Es la primera CA que establece su prioridad en la emisión de certificados personales que señalen la relación entre una persona y una empresa, bien como empleado, bien como apoderado. A lo largo de su actividad establece la red de entidades de inscripción (RA) más densa de España, al contar con 45 Cámaras de Comercio (de un total de 85) capaces de desempeñar los trabajos de verificación de identidad asociados a dicha función. En junio de 2001 inicia sus actividades Firmaprofesional. Participada por AC Camerfirma y los Colegios Oficiales de Médicos, Farmacéuticos y Arquitectos de Cataluña. Su vocación es la de desarrollar los servicios de certificación de todos los Colegios Profesionales, atendiendo a la potestad que sólo estos tienen de acreditar quién es colegiado, tras verificar que se cumplen los requisitos para ello. Es un modelo que busca optimizar el modelo de costes a base de replicar en diferentes colegios, el exigente entorno técnico y operativo capaz de satisfacer todos los requisitos legales La Asociación Nacional de Fabricantes (ANF) ha estado desarrollando su tecnología de CA con poca presencia pública durante varios años, hasta que con la publicación de la normativa que desarrolla el uso de la Factura Electrónica presentó sus servicios poniendo énfasis en el uso de la firma electrónica en las facturas electrónicas. Su participación temprana en el grupo de trabajo de OASIS que define el lenguaje común de los ordenadores para los procesos de negocio (UBL, Universal Business Language) supuso inicialmente una ventaja de su propuesta que llevó aparejada cierta controversia en relación con el desarrollo de otras variantes de lenguajes de especificación de facturas como el CCI-XML. A lo largo de los últimos años, otros prestadores de servicios de certificación, a caballo entre el sector privado y el público, se han especializado en determinados

Elena Martín Mayo

-9-

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

segmentos en los que prestan servicios a sus asociados: el Colegio Oficial de Caminos Canales y Puertos, que con sus servicios de certificación ha dado un gran impulso al desarrollo del Visado Digital, entorno en el que es pionero y por el que ha recibido numerosos premios, el Consejo General de la Abogacía Española, que promueve un sistema de certificación común para todos los abogados (a pesar de la existencia de varias iniciativas no siempre coincidentes de otros Consejos Autonómicos de Abogacía), o el Colegio de Registradores de España que a través de su Servicio de Certificación de los Registradores, agiliza algunos trámites de las empresas con los Registros Mercantiles, de la Propiedad y de Bienes Muebles de España. Mención especial merecen los Notarios. Los notarios han sido pioneros en desarrollos de firma electrónica, con un sentido casi ecuménico en este tipo de iniciativas. Inicialmente desarrollaron su sistema de certificación con FESTE, la Fundación para el Estudio de la Seguridad de las Telecomunicaciones. Desde FESTE, llegaron a acuerdos con ACE. Posteriormente colaboraron con la FNMT en el desarrollo

del

sistema

Firma

Electrónica

Avanzada

Notarial

(FEAN).

Necesariamente se relacionan con los registradores y, desde la entrada en vigor de la Ley 59/ 2003 han puesto en marcha un nuevo sistema. Efectivamente, la más reciente iniciativa de los notarios de denomina ANCERT (Agencia Notarial de Certificación) y es la evolución del INTI (Instituto Notarial de Tecnologías de la Información) que desarrolla mucha de las aplicaciones informáticas que utilizan los notarios. El impulso a ANCERT ha terminado por hacer desaparecer a FESTE, ya que sus dominios feste.org y feste.es han sido abandonados. Por su parte, hay que mencionar a Verisign España, que se fundó en 2003 para proporcionar servicios de seguridad en Internet a empresas, pequeños negocios y a particulares. Entre las ofertas de Verisign España se incluyen servicios de sitio seguro, seguridad gestionada y autenticación. Verisign España permite a cualquier empresa o particular que desee establecer o aumentar su identidad en línea a través de confidencialidad en la red, mejorar y desarrollar funciones de comercio electrónico.

3.4 CONTEXTO LEGAL DE LA CERTIFICACIÓN EN ESPAÑA Desde el punto de vista legal, el artículo 45 de la Ley 30/1992, de 26 de noviembre,

Elena Martín Mayo

Régimen

Jurídico

las

Administraciones

Públicas

del

- 10 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

Procedimiento Administrativo Común sienta las primeras bases para facilitar el uso de

las

nuevas

tecnologías

las

relaciones

entre

los

ciudadanos

las

administraciones, pero la norma no consideraba las facilidades que ofrece Internet, ya que en 1992 las técnicas de telecomunicaciones basadas en BBS, videotex, telnet o ftp eran los referentes más avanzados. Cuando se promulga la Ley 66/1997, de 30 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social, aparece el primer indicio de lo que podría ser el despliegue de una PKI (Public Key Infraestructure) respaldada por la Administración, si bien el artículo 81 solo hace referencia genérica a “servicios técnicos y administrativos necesarios para garantizar la seguridad, validez y eficacia de la emisión y recepción de comunicaciones y documentos a través de técnicas y medios electrónicos, informáticos y telemáticos (EIT)”. El escaso desarrollo de la “línea normativa principal” que ampararía en general la prestación de servicios de certificación dio lugar durante varios años al desarrollo de normas de menor rango que al menos dieran cobertura a la actividad de la FNMT-RCM, mientras afectaba, por exclusión, a la presunción del resto de los prestadores de servicios de certificación. De hecho, el Real Decreto Ley 14/1999, de 17 de septiembre, por el cual se regula el uso de la firma electrónica, el reconocimiento de su eficacia jurídica y la prestación al público de servicios de certificación, y la ORDEN de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica, fueron instrumentos de escaso valor que había que interpretar a la luz de la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica. Es decir, hasta la publicación de la Ley 59/2003, la Directiva tenía más valor para la actividad de los prestadores de servicios de certificación, que la ley y el reglamento que la trasponían. Entre los motivos que condujeron a ello, estaban las contradicciones respecto a la Directiva, y la falta de desarrollo de los medios para poder cumplir los requisitos que se establecían. Ya que no era posible inscribir al prestador de servicios de certificación en un registro que no se había creado, ni evaluar a los prestadores de servicios de certificación, puesto que no existía (ni existe en el 2005) ni la normativa de evaluación ni las entidades evaluadoras. A partir del año 2005, la Asociación ASIMELEC propone un sistema de acreditación de Prestadores de

Elena Martín Mayo

- 11 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

Servicios de Certificación que responde a la demanda del sector y suple como iniciativa privada las carencias de la administración en este sentido. En aquel contexto en el que aparentemente no era posible que los PSC emitieran certificados “cualificados” o “reconocidos” (los que dotan a la firma electrónica de la presunción de equivalencia con la firma manuscrita), se produjo una circunstancia que, a pesar de defectuosa técnica legislativa abría expectativas para los PSC. El apartado 2 de la Instrucción de 19 de octubre de 2000 de la Dirección General de los Registros y del Notariado, sobre el uso de la firma electrónica de los fedatarios públicos, y posteriormente el artículo 109 de la Ley 24/2001, de 27 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social, al regular la atribución y uso de la firma electrónica por parte de notarios y registradores de la propiedad, mercantiles y de bienes muebles, en el ejercicio de sus funciones públicas, establece una presunción de emisión de certificado reconocido a entidades que con arreglo a ley que específicamente se menciona como referencia en el artículo 108, no sería posible. Gracias a esta fisura legal, el conjunto de prestadores de certificación se benefician de la misma presunción. También el esquema de presunciones respecto a la equivalencia de certificados de la FNMT-RCM respecto a los que el Real Decreto-Ley define restrictivamente como reconocidos, posiciona a todos los prestadores de servicios de certificación que igualan o mejoran los requisitos de la FNMT-RCM en el mismo contexto de presunción. Desde antes de la publicación del Real Decreto-Ley de Firma Electrónica (RDLFE), y también con posterioridad a esa publicación, diferentes normativas han atribuido competencias a la FNMT-RCM, que según el propio RDLFE deberían haberse llevado a cabo en régimen de libre competencia. Uno de los efectos que ello ha tenido es que ha quedado vacío de contenido el extremo fijado en el artículo 3 del RDLFE respecto al reconocimiento universal de las firmas electrónicas que cumplen ciertos requisitos y que, en teoría, deberían tener el mismo valor que la firma manuscrita. Por otro lado, las administraciones públicas no respetaron el artículo 5, ignorando que sus especificaciones, como claramente establece, solo tienen sentido para salvaguardar las garantías de cada procedimiento, de que sólo podrán hacer referencia a las características específicas de la aplicación de que se trate y se dictarán a propuesta del Ministerio de Administraciones Públicas y previo informe del Consejo Superior de Informática.

Elena Martín Mayo

- 12 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

En ese contexto, se hacía necesaria una nueva Ley de Firma Electrónica que resolviera todas las incertidumbres que se crearon con la maraña de normas relacionadas directa o indirectamente con la firma electrónica. Mientras la nueva ley superaba las diferentes fases de su tramitación, la iniciativa siempre pionera de la Agencia Estatal de Administración Tributaria añadió algo de luz a las expectativas de los Prestadores de Servicios de Certificación mediante la Orden HAC/1181/2003, de 12 de mayo. Hay una cierta discrepancia en su valoración: en el lado positivo establece un mecanismo para que prestadores de servicios de certificación distintos de la FNMTRCM puedan expedir certificados admitidos en las relaciones tributarias entre los ciudadanos o las empresas y la Administración; como contrapeso en la balanza, utiliza una técnica legislativa (la de publicación de normas en la web de la AEAT, sin pasar por el BOE) que no es la que más favorece la seguridad jurídica. Sin embargo, esta última característica ha permitido a la AEAT corregir de forma ágil ciertas especificaciones que publicó inicialmente y que no eran muy conformes con el desarrollo de los estándares técnicos. Las “Especificaciones técnicas relacionadas con la O.M. HAC/1181/2003” publicadas en la web de la AEAT tras la publicación en el BOE de la Resolución de 24 de Julio de 2003 de la Dirección General de la Agencia Estatal de Administración Tributaria, han ido evolucionando y haciéndose más útiles, y en la actualidad permiten identificar un contexto en el que la AEAT ejerce de sistema “homologador” cumpliendo el rol de los “sistemas voluntarios de acreditación” que prevé la nueva Ley 59/2003, y en el que también se enmarcaría la iniciativa de ASIMELEC. El año 2003 fue significativo también por otra iniciativa de las Administraciones Públicas que dio un nuevo impulso al reconocimiento de los PSC. Se publicó el Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemáticas, así como la utilización de medios telemáticos para la sustitución de la aportación de certificados por los ciudadanos. Por prescripción de esta norma las diferentes administraciones públicas avanzaron en los sistemas de notificación a los ciudadanos, y, significativamente, en la puesta

Elena Martín Mayo

- 13 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

en marcha de “Registros Telemáticos” que permitían a estos iniciar trámites en cualquier nivel de la administración sin más que contar con certificado “reconocido”. Este marco ha permitido la publicación de diferentes normas reguladoras de los registros telemáticos que paulatinamente se irán adecuando a las prescripciones de la Ley 59/2003, si bien eso todavía no se ha cumplido completamente.

3.5 LA

CERTIFICACIÓN

COMUNIDADES

AUTÓNOMAS Y CORPORACIONES DE DERECHO PÚBLICO El esfuerzo que un prestador de servicios de certificación tiene que hacer para que los usuarios de sus certificados encuentren usos útiles, no se limita a la Administración del Estado. Las Comunidades Autónomas están desarrollando interesantes iniciativas de Administración Electrónica que en ocasiones utilizan preferentemente los servicios de la FNMT-RCM, y otras no. Un ejemplo de la adecuación de las Comunidades Autónomas a las exigencias de la Sociedad de la Información es el desarrollo en muchas de ellas de servicios relacionados con la Firma Electrónica, algunas veces como prestadores de servicios de certificación para los ciudadanos de su demarcaciones, o más frecuentemente, para los funcionarios de su Comunidad, pero especialmente para proporcionar servicios de validación a las administraciones públicas, autonómicas, provinciales y municipales que faciliten el desarrollo de aplicaciones a todos los niveles. Las comunidades de Valencia (con su Autoritat de Certificació) y Cataluña (con CatCert) han sido pioneras reconociendo los certificados de prestadores privados, y otras comunidades, como el Principado de Asturias, el País Vasco (con Izenpe) y Andalucía, están llevando a cabo interesantes progresos en la e-administración. Mención especial merece el caso de la Generalitat Catalana, cuyo modelo de servicios de validación marca el camino a seguir no solo a otras comunidades, sino a la propia Administración del Estado. La Agencia Catalana de Certificación (CatCert) administra una plataforma sobre la que se cualifican los diferentes modelos de autenticación y firma electrónica, permitiendo una amplia variedad de

Elena Martín Mayo

- 14 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

formas seguras, mediante las que los ciudadanos se relacionan con todas las administraciones de su ámbito. Podemos apreciar que, a pesar de las enormes dificultades que supone gestionar un Prestador de Servicios de Certificación, la actividad que se desarrolla en España en este sector es destacable. Entre los colectivos particularmente

activos se

encuentran los colegios profesionales, que utilizan esta herramienta para facilitar servicios a distancia a sus colegiados. En este contexto, el desarrollo de aplicaciones precede normalmente a la emisión de certificados. Médicos y Farmacéuticos colaboran en la Receta Electrónica, Ingenieros y Arquitectos desarrollan proyectos de Visado Electrónico, y los Abogados diseñan una amplia panoplia de servicios para sus colegiados identificados con firma electrónica, uno de los cuales es la fehaciencia de las comunicaciones electrónicas y su inmediatez. Llama la atención incluso la fragmentación de iniciativas: 3 iniciativas diferentes en el ámbito de los abogados, 2 iniciativas en el caso de los notarios, los arquitectos y los ingenieros no son capaces de definir sistemas comunes para todos los colegios.

3.6 EXPECTATIVAS Tras años de dificultades para los Prestadores de Servicios de Certificación, ha empezado ya un período de grandes expectativas: cada vez existen más servicios en los que utilizar los certificados, las normas cada vez son más claras y se está produciendo un gran cambio que todavía acelerará más la creación de servicios: el despliegue del DNI digital. En efecto, el gran despliegue ya ha comenzado, con el simbólico acto de expedición del primer DNI electrónico en Burgos, y desde este momento se iniciará la velocidad de crucero de la posibilidad de usar certificados en España, con 6 millones de unidades entregadas cada año. Los prestadores de servicios de certificación podrán utilizar el DNI electrónico como activador para permitir la solicitud de su propio certificado, sin requerir la presencia del solicitante. Y podrán especializarse en la provisión de atributos y de otros servicios relacionados con la certificación, como el fechado electrónico y la validación.

Elena Martín Mayo

- 15 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

Con la futura Ley de Administración Electrónica y las iniciativas del sector privado, se espera el desarrollo de múltiples servicios, que son múltiples oportunidades para el uso de la firma electrónica. Con la disponibilidad de servicios a distancia que agilicen las estructuras del país sin merma de la seguridad, los españoles quizá estemos subiéndonos a tiempo, por esta vez, al tren de la historia.

Elena Martín Mayo

- 16 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

4 MARCO LEGISLATIVO ORDEN CTE/2500/2003, de 2 de septiembre, por la que se crea un registro telemático en el Ministerio de Ciencia y Tecnología y se regulan los requisitos y condiciones técnicas para la recepción o salida de solicitudes, escritos y comunicaciones que se transmitan por medios telemáticos ORDEN ECO/2579/2003, de 15 de septiembre, por la que se establecen normas sobre el uso de la firma electrónica en las relaciones por medios electrónicos, informáticos y telemáticos con el Ministerio de Economía y sus organismos adscritos. ORDEN INT/3298/2003, de 13 de noviembre, por la que se crea un registro telemático en el Ministerio del Interior y se regulan los requisitos y condiciones técnicas para la recepción o salida de solicitudes, escritos y comunicaciones que se transmitan por medios telemáticos. (BOE de 28 de noviembre de 2003) ORDEN APU/203/2004, de 29 de enero, por la que se crea un Registro Telemático

Ministerio

Administraciones

Públicas

para

presentación de escritos y solicitudes y se establecen los criterios generales de tramitación telemática de determinados procedimientos. (BOE de 7 de febrero de 2004) RESOLUCIÓN de 8 de enero de 2004, del Instituto Nacional de Estadística, por la que se crea un Registro Telemático para la presentación de escritos, solicitudes y comunicaciones en el ámbito del Instituto Nacional de Estadística

establecen

los

criterios

generales

para

realizar

intercambio de datos padronales entre el Instituto Nacional de Estadística y los Ayuntamientos, Diputaciones Provinciales, Cabildos y Consejos Insulares por medios telemáticos. ORDEN ITC/3928/2004, de 12 de noviembre, por la que se crea un registro telemático en el Ministerio de Industria, Turismo y Comercio. Estas normas establecen procedimientos para que pueda aceptarse la firma electrónica de prestadores diferentes a la FNMT-RCM. La publicación en el BOE de 19 de diciembre de 2003 de la nueva Ley 59/2003 de Firma Electrónica cambió muchas de las expectativas del sector en sentido positivo.

Elena Martín Mayo

- 17 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

Uno de los aspectos esenciales es la creación de un censo de Prestadores de Servicios de Certificación en el Ministerio de Ciencia y Tecnología (atribuciones que corresponden en la actualidad al Ministerio de Industria, Turismo y Comercio), y la desaparición del Registro de Prestadores que la norma anterior preveía que se creara por parte del Ministerio de Justicia (sin éxito). En el momento actual, el censo está creado, y en el figuran los Prestadores que emiten certificados reconocidos (AC ABOGACÍA, ANCERT - Agencia Notarial de Certificación, ANF AC, CAMERFIRMA, CERES Fábrica Nacional de Moneda y Timbre Real Casa de la Moneda / FNMT-RCM, CICCP, FIRMAPROFESIONAL e Izenpe, S.A) y los que emiten certificados de otro tipo (BANESTO CA, y CERES Fábrica Nacional de Moneda y Timbre - Real Casa de la Moneda / FNMT-RCM). Desde el 15 de marzo de 2006 ya contamos con los primeros DNIs electrónicos. Este es uno de los hechos más importantes en relación con la firma electrónica, que culmina 10 años de intensos esfuerzos institucionales y personales. A partir de ahora la Firma Electrónica se hará ubicua y aparecerán cientos de servicios donde utilizarla. Con el Real Decreto 1553/2005, de 23 de diciembre, por el que se regula documento nacional de identidad y sus certificados de firma electrónica., publicado en el BOE del día Nochebuena de 2005, se va completando el panorama legislativo de la Firma Electrónica. Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, modificada en el Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos. Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información promovida por el Ministerio de Industria, Comercio y Turismo, pule algunos aspectos de la Ley de Firma Electrónica, la Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico y la Ley de Comercio Minorista.

Elena Martín Mayo

- 18 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

5 CERTIFICADO ELECTRÓNICO 5.1 ¿QUÉ SON? Un certificado electrónico es un documento que contiene diversos datos, entre ellos el nombre de un usuario y su clave pública, y que es firmado por una Autoridad de Certificación. Como emisor y receptor confiarán en esa Autoridad de Certificación, el usuario que tenga un certificado expedido por ella se autenticará ante el otro, en tanto que su clave pública está firmada por dicha autoridad. Una de las certificaciones más usadas y un estándar en la actualidad en infraestructuras de clave pública PKIs (Public-Key Infrastructure) es X.509. En definitiva, podíamos definir el certificado digital como un conjunto de datos que vincula una clave pública con una identidad de una persona física o jurídica, de manera que se puede verificar que efectivamente una clave pública pertenece a quien dice poseerla. Es equivalente a un DNI o pasaporte en el mundo de las nuevas tecnologías.

5.2 TIPOS DE CERTIFICADOS De Persona Física De Persona Jurídica De Entidad sin personalidad jurídica Certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad. El firmante es la persona que posee un dispositivo de creación de firma y que actúa en nombre propio o en nombre de una persona física o jurídica a la que representa. Certificado electrónico reconocido, es el expedido por un prestador de servicios de certificación que cumpla los requisitos establecidos en la Ley en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten.

Elena Martín Mayo

- 19 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

Certificado electrónico de Autoridad Certificadora Raíz es el elemento inicial de cualquier jerarquía de certificación, pueden o no estar instalados en los navegadores pero son reconocidos como entidades confiables, frecuentemente en función de la normativa del país en el que operan. Un certificado raíz es un certificado auto-firmado o sin firmar un certificado de clave pública que forma una parte importante de la PKI (infraestructura de clave pública). El más común del tipo comercial de certificados raíz está basada en la norma ISO X.509 1 estándar. Dicho certificado (un certificado X.509) generalmente lleva la firma digital de una autoridad de certificación (CA), que es el órgano autorizado para la validación de los datos incorporados.

5.3 AUTORIDADES DE CERTIFICACIÓN Los

certificados

electrónicos

pueden

ser

emitidos

por

varias

entidades

autoridades, como pueden ser los Colegios Profesionales (FESTE para abogados y notarios), Cámaras de Comercio (CAMERFIRMA), Agencia de Certificación (ACE), Universidades o entidades financieras, entre otras muchas. Dichas entidades o autoridades se denominan Autoridades de Certificación (AC) o Prestadores de Servicios de Certificación (PSC) El proyecto CERES (CERtificación ESpañola) que lidera la Fábrica Nacional de Moneda

y Timbre

(FNMT)

consiste

establecer una

Entidad Pública

Certificación, que permita autentificar y garantizar la confidencialidad de las comunicaciones

entre

ciudadanos,

empresas

otras

instituciones

administraciones públicas a través de las redes abiertas de comunicación.

5.3.1

PROCESO

Autoridad de Certificación es un ente u organismo que, de acuerdo con unas políticas y algoritmos, certificará claves públicas de usuarios o servidores.

Ver apartado 4.10 CERTIFICADO DIGITAL X.509

Elena Martín Mayo

- 20 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

Certificado de B Certificado de A

Clave pública AC

Autoridad de Certificación AC

Figura 1.

Esquema del proceso

El usuario A enviará al usuario B su certificado (la clave pública firmada por la AC) y éste comprobará con esa autoridad su autenticidad. Lo mismo en sentido contrario.

5.4 CARACTERÍSTICAS DE UNA AC El sistema de autenticación debe tener: Una política de certificación: Ámbito de actuación y estructura Relaciones con otras ACs Un certificado de la AC Los certificados de los usuarios (X.509) Los protocolos de autenticación, gestión y obtención de certificados: Se obtienen de bases de datos (directorio X.500) O bien directamente del usuario en tiempo de conexión (WWW con SSL) Deberá generarse una Lista de Certificados Revocados

5.5 FUNCIONAMIENTO DE UNA AC Puesta en marcha de la AC: Generará su par de claves Protegerá la clave privada con una passphrase Generará el certificado de la propia AC Elena Martín Mayo

- 21 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

Distribución del certificado de la AC: A través del directorio X.500 Por medio de páginas Web Podrá certificar a servidores y a clientes. Si el certificado digital X.509 de un servidor no pertenece a una AC reconocida o instalada en su programa cliente, aparecerá una pantalla similar a la que se muestra:

Figura 2.

Alerta de seguridad

5.6 ENTIDADES EMISORAS En la página web de la Agencia Tributaria encontramos una lista de entidades emisoras de certificados de usuario autorizados.

5.7 MODELOS DE CONFIANZA Un certificado requiere de un proceso de validación que garantice que la clave pública y su propietario estén bien asociados. La solución consiste en confiar en una tercera entidad que ya haya realizado la comprobación. El modelo de confianza define el proceso que hay que seguir en dicha comprobación. Modelos de confianza: Directa: (el más sencillo) el usuario confía en que la clave es válida porque conoce su procedencia y no requiere de la actuación de un tercero para ello. Jerárquico:

interviene

una

autoridad

intermedia,

Autoridad

Certificación, que da fe de que la asociación entre la clave pública y la identidad de quien dice ser su propietario es correcta.

Elena Martín Mayo

- 22 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

5.8 FORMATOS DE CERTIFICADOS Un certificado digital es un archivo electrónico, de un tamaño reducido, y que contiene los datos de la identificación personal del emisor de los mensajes, su clave pública y la firma privada de la propia Entidad de Certificación. Este archivo es cifrado por la Entidad de Certificación con la clave privada de ésta. Formato: Físico: en forma de una tarjeta de crédito que contiene una banda magnética (o chip) en la que están grabados tanto el par de claves como el certificado digital. El acceso es mediante un PIN. Esto obliga a instalar un lector de tarjetas en el PC. Por ejemplo los certificados del DNIe. Lógico: cargado en la máquina que se utilice. Por ejemplo el certificado de la FNMT se suele utilizar de forma lógica, aunque también se puede solicitar la emisión de una tarjeta.

5.9 CLASIFICACIÓN DE LOS CERTIFICADOS Se clasifican atendiendo a diferentes criterios: Objeto de la certificación Firma digital, intercambio de claves para confidencialidad, identidad del usuario, atributos de usuario, credenciales de pago electrónico, etc. Tipo de entidad identificada (certificados de identidad) Un ciudadano, una organización, un equipo informático, una aplicación (applet), etc. Aplicación para la que puede utilizarse el certificado: mensajería segura, servicios web, acceso remoto, etc. Nivel de garantía del certificado. Por entidad certificadora FNMT, Verisign, … Por nivel de seguridad Clase 1 CA, clase 1S CA, clase 2CA

Elena Martín Mayo

- 23 -

Sistemas de certificación electrónica en España

5.10

Seguridad de la información 2009/2010

CERTIFICADO DIGITAL X.509

X.509 está basado en criptografía asimétrica y firma digital, definiéndose en él un framework (una capa de abstracción) para suministrar servicios de autenticación a los usuarios del directorio X.500. y autenticándose mediante el uso de certificados. Un certificado contiene: el nombre de la AC, el nombre del usuario, la clave pública del usuario y cualquier otra información como puede ser un indicador de tiempo o timestamp. El certificado se cifra con la clave privada de la AC. Todos los usuarios poseen la clave pública de la AC.

5.10.1 FORMATO DEL CERTIFICADO DIGITAL X.509 Versión

Identificador del algoritmo

Nº de serie Algoritmo Parámetros

Período de validez

Autoridad de Certificación Inicio de la validez Caducidad de la validez Nombre del usuario

Clave pública que se firma

Algoritmo Parámetros Clave pública del usuario

Función hash que se cifra con la clave privada de la AC

Firma de la AC

Figura 1.

Formato del X.509

5.10.2 CAMPOS DEL CERTIFICADO DIGITAL X.509 V:

Versión del certificado

NS:

Número de serie

IA:

Identificador del algoritmo de firma que sirve para identificar el algoritmo usado para firmar el paquete X.509.

AC:

Autoridad certificadora.

Periodo o tiempo de validez.

Elena Martín Mayo

- 24 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

Propietario de la clave pública que se está firmando.

Clave pública más identificador de algoritmo utilizado y más parámetros si son necesarios.

Y{I}:

Firma digital de Y por I usando la clave privada de la unidad certificadora

Elena Martín Mayo

- 25 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

6 FIRMA DIGITAL 6.1 ¿QUÉ ES? Una firma electrónica es una huella digital de un documento cifrado con una clave. La huella digital se obtiene aplicando un algoritmo a un mensaje. Este algoritmo tiene dos características fundamentales: No existe la posibilidad de volver a obtener el mensaje partiendo de la huella digital generada. Si se cambia el mensaje, la huella digital que se obtiene es diferente. Estas dos características garantizan la integridad del mensaje. Si se cambia el contenido del mensaje, el que verifica la firma lo va a saber. La huella digital se cifra con la clave privada del certificado de la persona que firma. Aplicando los mecanismos de verificación, el receptor va a conocer quién firmó y esa persona no puede repudiar la autoría del mensaje. Las ventajas de este servicio son: Simplificación y automatización de la gestión documental. Eliminación del papel. Reducción de errores al eliminar procedimientos manuales. Impulsa el comercio electrónico. Aumento de la productividad y competitividad de la Empresa Uno de los inconvenientes que podemos encontrar ligados a la firma electrónica es que su seguridad depende de la clave privada, es decir, que si la clave privada se compromete por alguna causa, entonces se compromete la seguridad de la firma digital, por lo que podría ser usada por individuos no autorizados. Otra desventaja es que el sistema de firma digital está cambiando conforme la tecnología avanza y esto hace que ciertos documentos puedan ser comprometidos. A su vez nos encontramos con la posibilidad, actualmente remota, de que el algoritmo de cifrado utilizado sea roto por expertos informáticos, lo cual provocaría un auténtico caos. Como apunte final es importante recordar que no debemos confundir esta firma electrónica o digital con la firma digitalizada, ya que esta última es el resultado de pasar la firma manuscrita a través del scanner. La firma electrónica es el

Elena Martín Mayo

- 26 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

equivalente a la de puño y letra en el mundo digital y tiene el mismo valor jurídico que con la manuscrita. No se debe confundir la firma digital con la huella digital que es un resumen que se obtiene aplicando una función hash sobre él y que genera una cadena de datos de longitud fija que se asocia al mensaje.

6.2 GARANTÍAS Las funciones de la firma electrónica son las siguientes: Identificación de las partes, la firma garantiza que los intervinientes son quienes dicen ser. Autenticación

del

contenido,

contenido

del

mensaje

recibe

íntegramente y sin modificación alguna. Confidencialidad, el contenido al estar cifrado sólo puede ser conocido por las partes. No repudio entre las partes, garantiza que ninguna de las partes puede negar haber enviado o recibido el mensaje

6.3 TIPOS Firma digital simple Conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante. Firma digital avanzada Es aquella certificada por un prestador acreditado, que ha sido creada usando medios que el titular mantiene bajo su exclusivo control, de manera que se vincule únicamente al mismo y a los datos a los que se refiere, permitiendo la detección posterior de cualquier modificación, verificando la identidad del titular e impidiendo que desconozca la integridad del documento y su autoría. Firma digital reconocida Firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.

Elena Martín Mayo

- 27 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

6.4 ¿CÓMO SE GENERA? Podemos ver aquí una animación en flash que explica perfectamente por pasos, el proceso de generar una firma, así pues vemos que: El emisor va a firmar un documento original, para ello se obtiene una huella digital del documento que se va a firmar, es una forma de garantizar que dos documentos diferentes, generarán diferentes huellas digitales, mientras que dos documentos iguales, generarán siempre la misma huella digital. Se cifra la huella con MI clave PRIVADA, es la única forma de saber que ese documento es mío, porque soy la única que ha podido cifrarlo. Ese documento firmado está cifrado con MI huella digital, pero además tiene una parte pública del certificado. Le llega el mensaje firmado al receptor. Y ahora tenemos un documento con una huella digital cifrada y con una clave pública, con la que intentaremos descifrar dicha huella digital cifrada. Así el receptor obtiene la huella digital del documento original, que la compara con la que ya tenía, si coinciden, la firma es correcta, hay integridad. Pero hay un paso más, verificar a la Autoridad de Certificación si esa firma es válida. Si así es, el documento es el original, la firma es válida, es decir, cumple con la autenticidad.

Elena Martín Mayo

- 28 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

7 CÓMO OBTENER EL CERTIFICADO ELECTRÓNICO Hay diferentes entidades, o personas físicas o jurídicas, que expiden los certificados o prestan otros servicios relacionados con la firma digital, pero nos centraremos en cómo obtener el certificado que emite la Fábrica Nacional de Moneda y Timbre, así como enunciaremos prestadores de servicios para personas jurídicas.

7.1 CERTIFICADO DE LA FÁBRICA NACIONAL DE MONEDA Y TIMBRE Si se trata de persona jurídica: Nombre o razón social

Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda (FNMT-RCM)

CIF

Q2826004J

Teléfono

Domicilio Social

Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda. Departamento CERES. C/ Jorge Juan, 106, Madrid (Madrid) – 28009

Orden de creación

Las competencias de la FNMT-RCM quedan definidas por el Real Decreto 1317/2001 de 30 de noviembre, por el que se desarrolla el artículo 81 de la Ley 66/1999

Nombre comercial

CERES Fábrica Nacional de Moneda y Timbre- Real Casa de la Moneda (FNMT-RCM)

Dominio

www.ceres.fnmt.es

Teléfono

915666666

e-mail

ceres@fnmt.es

Domicilio

Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda. Departamento CERES. C/ Jorge Juan, 106, Madrid (Madrid) – 28009

Actualmente la FNMT-RCM expide certificados electrónicos de persona jurídica reconocidos en el ámbito tributario. Por tanto, la operación de registro para este tipo de certificados tan solo se puede realizar en las oficinas de la Agencia Estatal de Administración Tributaria.

Elena Martín Mayo

- 29 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

Si se trata de una persona física, para obtener un certificado de firma electrónica, es imprescindible contar con un ordenador que tenga acceso a Internet, acceder a la página del CERES y seguir los tres pasos que se indican a continuación: 1. Solicitud del certificado 2. Acreditación de la identidad mediante personación física en una oficina de registro. 3. Descarga del certificado desde Internet. Para realizar estos tres pasos, primeramente se ha de seleccionar el canal “Ciudadanos” y luego el apartado “Obtener el certificado”. A partir de aquí, aparecerá en el margen izquierdo un menú con los pasos indicados anteriormente, pasos que hemos de seguir uno a uno y en el orden indicado.

7.1.1

SOLICITUD VÍA INTERNET

Para realizar el primer punto, seleccionaremos “Obtenga el certificado de usuarios” y “Solicitud del certificado”.

Figura 3.

Solicitud de certificado

Una vez cumplimentada la casilla del NIF, al enviar la petición aparecerá un aviso informando de la solicitud del certificado, seleccionaremos la opción “SI”.

Elena Martín Mayo

- 30 -

Sistemas de certificación electrónica en España

paso

mostrará

Seguridad de la información 2009/2010

pantalla

creación de claves y del nivel de seguridad. Si se da la posibilidad de que nuestro ordenador pueda

ser

queremos

utilizado por que

uso

varias del

personas

certificado

esté

protegido con una contraseña, deberá pulsar el botón “Nivel de Seguridad” y seguir los pasos que se indican, si no es así, basta con pulsar el botón “aceptar” para continuar el proceso.

Figura 4.

Nivel de seguridad

Se recomienda que cuando varias personas puedan tener acceso al mismo ordenador, se seleccione la opción “Alto” para el nivel de seguridad.

Figura 5.

Contraseña

Cuando seleccionamos la opción “Alto” el sistema nos solicitará que establezcamos una contraseña para el acceso al certificado y que confirmemos la misma. Esa contraseña nos será solicitada cada vez que pretendamos hacer uso del certificado. Una vez seleccionado el nivel de seguridad

aceptado

mismo,

aparecerá en la pantalla el código de solicitud asociado al certificado, que deberemos imprimir o apuntar para dirigirnos Oficinas

cualquiera

las

Registro

los

Organismos acreditados. Figura 6.

Código de solicitud

También existe la posibilidad de obtener el certificado en una tarjeta criptográfica. En este caso el solicitante deberá proveerse de la misma así como de un lector de tarjetas en el caso de que su equipo no venga provisto del mismo. El proceso de solicitud del certificado en tarjeta, requiere igualmente la realización de los tres pasos señalados anteriormente, con la diferencia de que la solicitud y la descarga han de hacerse con la tarjeta en el lector. Para el primer paso (solicitud) la opción a

Elena Martín Mayo

- 31 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

elegir será “CERTIFICADO DE USUARIO EN TARJETA CRIPTOGRÁFICA “,y habrá de seleccionarse con la tarjeta dentro del lector, de esta forma, las claves se generan en la tarjeta en vez de en el navegador. La descarga ha de seleccionarse igualmente con la tarjeta dentro del lector para que se descargue el certificado en la misma.

7.1.2

ACREDITACIÓN DE LA IDENTIDAD

Este punto es de vital importancia puesto que gracias a él proporcionaremos la identidad que figurará en el certificado y, por este motivo, se puede identificar a una persona como “firmante” de los documentos. Con el código de solicitud obtenido en el punto anterior, y el documento identificativo (DNI, NIE. pasaporte), debemos presentarnos en la oficina de acreditación que deseemos. Para mayor comodidad, se pueden localizar las OFICINAS MAS CERCANAS que aparecen en la pantalla de obtención del certificado. No hay que olvidar que al acudir a la oficina de registro es imprescindible llevar, en el caso de las personas físicas: DNI o tarjeta de residencia (NIE) o pasaporte Código de solicitud del certificado (paso 1) Con el fin de garantizar el nivel de seguridad del sistema y para obtener la identidad del titular del certificado de forma fehaciente, el registro de usuario es necesariamente

presencial. Sin

este

registro presencial, no tendría

mucha

credibilidad la identidad del titular o firmante de un certificado

7.1.3

DESCARGA DEL CERTIFICADO

Una vez que haya acudido a la oficina de registro con el código de solicitud obtenido en el paso 1 y haya acreditado su identidad en una Oficina de Registro, podrá descargar su certificado desde la página web, y sin que medie ningún aviso o notificación. Puede descargar el certificado desde la pantalla que se le mostrará al pulsar la opción “Descarga del certificado”. Si elegimos una Oficina de Registro de la Agencia Tributaria para acreditar nuestra identidad, debemos esperar al día siguiente para proceder a la descarga del certificado. Para ello necesitamos el código de solicitud obtenido en el paso 1 y nuestro NIF o NIE.

Elena Martín Mayo

- 32 -

Sistemas de certificación electrónica en España

Figura 7.

Seguridad de la información 2009/2010

Descargar certificado

Al pulsar el botón “Enviar petición” el certificado se instalará automáticamente en nuestro ordenador o tarjeta si así lo solicitamos en el paso 1. Si no, tendremos un fichero que instalaremos en el navegador que deseemos. Para que la instalación del certificado funcione correctamente, hay que hacerlo desde el mismo ordenador y con el mismo usuario que se realizó el paso 1.

Elena Martín Mayo

- 33 -

Sistemas de certificación electrónica en España

Figura 8.

Seguridad de la información 2009/2010

Importar certificado con clave privada exportable

Aunque lo lógico es que se instale de forma automática, deberíamos ir también a “Entidades” e importar el certificado raíz de la FNMT. Esto servirá para incorporar a la FNMT como entidad de certificación válida, lo cual no es imprescindible para firmar, pero si para verificar las firmas.

7.1.4

COPIA

CLAVE

PRIVADA

DEL

CERTIFICADO En primer lugar hay que señalar que si se tiene el certificado en tarjeta criptográfica, no se puede realizar copias de seguridad puesto que la tarjeta es en si mismo un dispositivo seguro. Si se tiene el certificado en el propio ordenador (navegador), por ejemplo, para Internet Explorer, debemos seguir los siguientes pasos: Para exportar certificados personales en Internet Explorer 6.x deberemos seguir los siguientes pasos: 1. Acceder al menú Herramientas, Opciones de Internet, y una vez allí seleccionaremos la pestaña Contenido. En el apartado de certificados pulsaremos el botón de Certificados y una vez en la ventana pulsaremos la

Elena Martín Mayo

- 34 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

pestaña Personal. Aquí se nos muestra una pantalla con la relación de certificados personales instalados en nuestro navegador, seleccionamos el que queremos exportar y pulsamos el botón de Exportar.

Figura 9.

Cómo exportar el certificado

Esto iniciará el procedimiento de copia del certificado para almacenarlo en otra ubicación distinta del navegador. 2. A partir de este momento nos guiará un asistente de Windows, podemos elegir entre exportar la clave privada o no (con parte privada o no) dependiendo del uso que queramos hacer del certificado. Si es una copia de seguridad debemos copiar todo, parte privada y parte pública, por lo que se selecciona exportar la clave privada. (Esta opción sólo aparecerá si la clave privada está marcada como exportable y tenemos acceso a ella). 3. Dejaremos las opciones tal y como se nos muestran por defecto y pulsamos “Siguiente”. 4. Llegaremos a una pantalla donde se nos pide una contraseña y su validación para proteger el

archivo que contiene el

certificado exportado, las

introducimos y pulsamos el botón “Siguiente”. Esta contraseña nos servirá para proteger el certificado cuando está fuera del navegador, hay que tener

Elena Martín Mayo

- 35 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

en guardar y custodiar esta contraseña ya que seremos los únicos que la poseemos y si la perdemos nadie nos podrá ayudar a recuperarla. 5. En el siguiente cuadro de diálogo indicaremos la ruta y el nombre del archivo que queremos que contenga el certificado exportado, pulsamos el botón “Siguiente”. 6. A continuación se nos muestra una ventana con las características del certificado exportado, pulsamos el botón Finalizar y nos aparece un mensaje de aviso diciendo que la clave privada va a ser exportada, pulsamos Aceptar y si la operación ha sido correcta se nos mostrará un cuadro informándonos de que el certificado ha sido exportado con éxito.

Figura 10.

Elena Martín Mayo

Exportar certificado con clave privada

- 36 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

El proceso es similar para otros navegadores y versiones. No obstante, en líneas generales hay que subrayar las siguientes consideraciones: 1. Los certificados siempre se pueden exportar de dos maneras, con clave privada o sin ella. Tenemos que tener en cuenta que la clave privada es la base de la firma electrónica y la custodia exclusiva por su parte es la garantía de no repudio de nuestras futuras firmas electrónicas. Por tanto, si exportamos el certificado con nuestra clave privada no debemos cederlo a terceros. 2. Generalmente, uno exporta el certificado con clave privada cuando quiere realizar copias de seguridad o va a realizar una posterior importación en otro ordenador o navegador. El certificado se suele exportar sin clave privada cuando se va a ceder a terceros para que nos envíen información cifrada, información que está destinada para nosotros. 3. El fichero resultante de la exportación varía en función del navegador y de si lleva clave privada o no. De este modo, si seguimos el proceso normal de exportación que nos ofrecen los navegadores actuales, los ficheros con extensión “.cer” y “.p7b” no contienen clave privada y los ficheros con extensión “.p12” y “.pfx” contienen la clave privada.

7.1.5

ANTES DE UTILIZARLO

Como consecuencia de un borrado de datos en el ordenador o una avería es posible que pierda su certificado, luego se recomienda hacer una copia de seguridad (como hemos explicado anteriormente) para evitar la molestia de tener que volver a desplazarse a una oficina de registro. El certificado consta de dos partes: una parte pública que es la que tiene la identidad del firmante o usuario y otra privada que tiene unas claves criptográficas para llevar a cabo el algoritmo de firma electrónica. Estas dos partes se pueden manejar por separado y hay que tener en cuenta que la parte privada es la que da la capacidad de realizar la firma, luego la hemos de mantener siempre bajo nuestra custodia y no ceder su control a terceros para que se mantenga la propiedad de no repudio de las firmas (si cedo la clave privada otros pueden hacer firmas en mi nombre).

Elena Martín Mayo

- 37 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

Los certificados, al igual que las tarjetas bancarias tienen un periodo de vigencia y además se pueden cancelar o revocar, siempre que el titular lo desee o dude de poseer en exclusiva la clave privada. Cuando el certificado está próximo a su fecha de caducidad (desde 60 días antes hasta el mismo día), lo podemos renovar sin tener que desplazarse a la oficina de registro. Si, por accidente o robo, creemos que la parte privada del certificado no está bajo su exclusivo control, puede anular la validez del certificado, es decir, lo puede revocar., mediante un correo electrónico a ceres@fnmt.es , una llamada telefónica al Servicio de Revocación telefónica (24 x 365) 902 200 616 ó mediante presentación en cualquiera de las oficinas de registro que hay publicadas en la web del CERES.

7.2 OTROS PRESTADORES DE SERVICIOS A continuación se indican cuáles de ellos ofrecen certificados para personas jurídicas o representantes de las mismas, el procedimiento de solicitud, el precio correspondiente y el periodo de validez de los mismos.

7.2.1

ANCERT

–

AGENCIA

NOTARIAL

CERTIFICACIÓN Nombre o razón social

Agencia Notarial de Certificación S.L. Unipersonal

CIF

B-83395988

Teléfono

Domicilio Social

Paseo

General

Martínez

Campos,

46,

Madrid

(Madrid) - 28010 Orden de creación

Registro Mercantil de Madrid, Tomo 18058, Folio 196, Sección 8ª, Hoja M-312264, Inscripción 1ª

Nombre comercial

ANCERT – Agencia Notarial de Certificación

Dominio

www.ancert.com

Teléfono

902348347

e-mail

ancert@ancert.com

Domicilio

Paseo General Martínez Campos, 46, Madrid (Madrid)

Elena Martín Mayo

- 38 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

Para el interés de nuestra empresa, este prestador de servicios ofrece un Certificado

notarial

corporativo 2

Certificado

notarial

corporativo

representación 3. El coste del certificado es de 140€ (IVA no incluido). Este importe se abonará en la Notaría en el momento de formalizar la emisión del certificado. Periodo de validez del certificado electrónico: 3 años.

7.2.2

ANF AC

Nombre o razón social

Asociación Nacional de Fabricantes Autoridad de Certificación

CIF

G63287510

Teléfono

932661614

Domicilio Social

Gran Vía de les Corts Catalanes, 996, Barcelona (Barcelona) – 08018

Orden de creación

Registro Nacional de Asociaciones con el nº 171443 de la Sección 1ª

Nombre comercial

ANF AC

Dominio

www.anf.es

Teléfono

932661614

e-mail

ac@anf.es

Domicilio

Gran Vía de les Corts Catalanes, 996, Barcelona (Barcelona) – 08018

Los Certificados Notariales Corporativos son emitidos a personas jurídicas previa identificación y

autenticación ante el Notario que actúa como Autoridad de Registro de ANCERT. Se utilizan tarjetas criptográficas y módulos Hardware de Seguridad (Hardware Security Modules HSM) como únicos soportes de los Certificados. 3

Los Certificados Notariales Corporativos de Representación son emitidos a representantes de personas

jurídicas previa identificación y autenticación ante el Notario que actúa como Autoridad de Registro de ANCERT. Se utilizan tarjetas criptográficas como único soporte de los certificados. A fin de permitir que los usuarios tengan conocimiento de las facultades que van a poder ser objeto de contratación y representación por el representante el Certificado contiene un campo que incluye uno de los dos tipos de representante siguientes: Apoderado General o Apoderado Mercantil.

Elena Martín Mayo

- 39 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

Para solicitar un certificado de firma electrónica en este prestador, en primer lugar hemos de seleccionar una Autoridad de Registro próxima; a continuación hemos de identificarnos y firmar el formulario de solicitud; y por último la Autoridad nos hará entrega de los certificados. El precio del certificado en esta entidad se encuentra entre los 52 y los 202 euros. Periodo de validez del certificado electrónico: 2 años

7.2.3

CAMERFIRMA

Nombre o razón social

AC Camerfirma, S.A

CIF

A-82743287

Teléfono

914119661

Domicilio Social

Ribera del Loira, 12, Madrid (Madrid) - 28042

Orden de creación

Registro Mercantil de Madrid: Tomo 15.556, Libro 0, Folio

139,

Sección

Hoja

M-261808

Insc:

1/(11.09.2000), Sociedad: 685.049, Año Pre: 2.000

Nombre comercial

CAMERFIRMA

Dominio

www.camerfirma.com

Teléfono

90200096

e-mail

info@camerfirma.com

Domicilio

Ribera del Loira, 12, Madrid (Madrid) - 28042

Esta entidad emite tanto certificado de persona jurídica como de representante, y lo hace en software o en hardware. Se recomienda en hardware ya que el nivel de seguridad es mayor. El precio de cada uno de ellos es de 60 euros y el periodo de validez de 2 años.

7.2.4

FIRMA PROFESIONAL

Nombre o razón social

Firmaprofesional, S.A.

CIF

A-62634068

Teléfono

Domicilio Social

Muntaner 244, Barcelona (Barcelona) - 08036

Orden de creación

Registro Mercantil de Barcelona, Tomo 33996, Folio 152, Hoja B240292, Num. Insc. 2

Elena Martín Mayo

- 40 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

Nombre comercial

FIRMAPROFESIONAL

Dominio

www.firmaprofesional.com

Teléfono

934774245

e-mail

info@firmaprofesional.com

Domicilio

Plaza Catalunya, s/n. "Edifici Can Negre", Sant Joan Despí (Barcelona) - 08970

Firmaprofesional emite certificados reconocidos de persona jurídica, así como certificados de persona vinculada. Para solicitar el certificado hemos de ponernos en contacto con info@firmaprofesional.com

7.2.5

IZENPE, S.A.

Nombre o razón social

Ziurtapen

eta

Zerbitzu

Enpresa

Empresa

Certificación y Servicios, Izenpe, S.A. CIF

A01337260

Teléfono

945017490

Domicilio Social

Avenida del Mediterráneo, 14, Vitoria-Gasteiz (Álava) - 01010

Orden de creación

Registro Mercantil de Álava, Tomo 1055, Libro 0, Folio 62, Sección 8, Hoja VI-8926, Inscripción: 1.

Nombre comercial

Izenpe, S.A

Dominio

www.izenpe.com

Teléfono

945017490

e-mail

info@izenpe.com

Domicilio

C/ Beato Tomás de Zumárraga nº 71, 1ª planta, Vitoria-Gasteiz (Álava) - 01008

Este prestador de servicios solo emite certificados para entidades vinculadas a proyectos promovidos por las Administraciones Vascas.

Elena Martín Mayo

- 41 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

8 UTILIZACIÓN DEL CERTIFICADO Un certificado puede utilizarse para identificarse en cualquier tipo de transacción o comunicación electrónica. Permite garantizar que un mensaje emitido ha sido enviado por el titular del certificado y que no ha sufrido ninguna alteración. También se puede utilizar un certificado ajeno para extraer la clave pública de alguien y así poder utilizarla para enviarle un mensaje cifrado a esa persona. La banca online y las diferentes administraciones públicas, tanto nacionales como de las comunidades autónomas o locales, son las que más están trabajando para que usemos el DNI electrónico (siempre y cuando tengamos un lector externo para DNIe) como identificación digital segura a distancia. Las principales acciones que podemos realizar con el DNI electrónico y por ende, también con el certificado, son las siguientes: Compras firmadas a través de Internet. Trámites completos con las administraciones públicas sin tener que desplazarnos y a cualquier hora. Transacciones y acceso a la banca online de forma segura. Identificarnos y acceder al lugar de trabajo. Tener una identidad en Internet. El uso más conocido tiene que ver con las diferentes administraciones públicas, donde tenemos un amplio abanico de gestiones para hacer, entre ellas, las más demandadas y usadas: pedir el historial laboral, realizar la declaración de la renta, solicitar la ayuda al desempleo…

8.1 PROCESADORES DE TEXTO Por otra parte, también podemos usarlo para firmar digitalmente nuestros documentos, igual que lo podemos hacer con los documentos impresos, por ejemplo de Microsoft Office y Open Office. Firmar un documento sirve para que aquellas personas que lo reciben tengan la seguridad de que el documento ha sido verificado por una persona concreta, y que no ha sido modificado desde dicha verificación.

Elena Martín Mayo

- 42 -

Sistemas de certificación electrónica en España

8.1.1

Seguridad de la información 2009/2010

OPEN OFFICE

En el caso de Writer de Open Office, para firmar nuestro documento primero lo guardamos, y luego vamos al menú Fichero-Firmas digitales. Pulsamos sobre “Añadir” y elegimos nuestra firma de la lista. A partir de este momento, si guardamos el documento, modificado o no, las firmas se borrarán de manera que para guardarlo deberemos firmarlo, ya que al firmar se guarda automáticamente. Por otro lado, si tratamos de “destripar” el fichero y modificarlo con otro editor, al volverlo a abrir con el Writer este nos advierte de la modificación y nos invita a desconfiar del contenido del fichero.

Figura 11.

Agregar firma

Al seleccionar el botón “Agregar”, aparecerá en pantalla el certificado que tengamos. Si hubiese en la máquina más de un certificado instalado,

seleccionaríamos

uno

ellos.

Luego nos pedirá la clave (PIN), para crear la firma electrónica y a continuación pulsaremos el botón “Aceptar” y con ello finalizaremos el

Figura 12.

Introducción del PIN

procedimiento de firma.

Elena Martín Mayo

- 43 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

Para verificar si el documento ha sido firmado, aparecerá en la parte inferior del documento un sello de color rojo al cual si damos un doble clic, podremos ver el certificado de firma electrónica y todas las propiedades del mismo. El documento ya estaría firmado y si se intenta modificar aparecerá un mensaje indicando que se perderán las firmas, además tenemos que tener en cuenta que cuando el documento esté firmado electrónicamente, deberá aparecer en la parte superior del archivo la palabra “firmado” y en la parte inferior el sello rojo.

Figura 13.

8.1.2

Referencias a un documento con firma electrónica

MICROSOFT OFFICE

Por su parte, en Microsoft Office, hay dos formas diferentes de usar firmas digitales para firmar documentos. Puede: Agregar líneas de firma visibles a un documento para capturar una o más firmas digitales. (Para Word y Excel) Agregar una firma digital invisible a un documento. (Word, Excel y PowerPoint) De estas dos, nos interesa la segunda pues es igual que la que hemos descrito con Open Office y por tanto, la que usa directamente la firma digital. Una firma digital invisible no se ve en el contenido del propio documento, pero los destinatarios del documento pueden determinar si se ha firmado digitalmente viendo la firma digital del documento o buscando el botón Firmas en la barra de estado situada en el lado inferior de la pantalla. Una vez firmado digitalmente un documento, será de sólo lectura para impedir la realización de modificaciones.

Elena Martín Mayo

- 44 -

Sistemas de certificación electrónica en España

Figura 14.

Elena Martín Mayo

Seguridad de la información 2009/2010

Firmar un documento Word

- 45 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

8.2 NAVEGADORES 8.2.1

MOZILLA FIREFOX

En Mozilla Firefox para ver donde se instala el certificado seleccionamos Herramientas – Opciones y luego, en el cuadro de diálogo que aparece seleccionamos Avanzado – Cifrado y Ver certificados.

Figura 15.

Figura 16.

8.2.2

Mozilla Firefox. Opciones – Avanzado - Cifrado

Mozilla Firefox. Administrador de certificados

INTERNET EXPLORER

Para acceder a ver los certificados instalados o incluso para importar uno nuevo lo hacemos desde Herramientas – Opciones de Internet y en la pestaña Contenido seleccionamos Certificados.

Elena Martín Mayo

- 46 -

Sistemas de certificación electrónica en España

Figura 17.

Seguridad de la información 2009/2010

Nuestro certificado instalado en Explorer

En la pestaña Personal vemos los certificados de los que tenemos la clave pública. Si lo que queremos es instalarlo daremos a Importar y se nos abrirá el Asistente para la importación donde iremos seleccionando las opciones que prefiramos o dejando las que vienen por defecto. Si seleccionamos la pestaña Otras personas estaríamos viendo los certificados de los que solo tenemos la clave pública Y tenemos otra pestaña para ver las entidades emisoras y los fabricantes que no son de confianza.

Figura 18.

Otras personas

Figura 19.

Elena Martín Mayo

Entidades emisoras

- 47 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

Para acceder a ver cualquier certificado hacemos doble clic sobre el mismo y pasamos por las diferentes pestañas. Podemos

ver

Clave

pública

Detalles y la Ruta de certificación.

Figura 20.

Figura 21.

Certificado. Detalles

Figura 22.

Certificado. General

Certificado. Ruta de certificación

8.3 GESTORES DE CORREO ELECTRÓNICO Cuando se envía un email, éste viaja por la red pasando por distintos nodos (servidores) hasta llegar a su destino. En principio, podría ocurrir que estos servidores intermedios accedieran al contenido del mensaje sin permiso. Además, normalmente suponemos lo siguiente (y no tiene porqué cumplirse): El remitente es quien envía el mensaje. Los intermediarios no leerán el mensaje. El destinatario recibe el mensaje tal y como salió del origen (nadie lo ha manipulado).

Elena Martín Mayo

- 48 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

Los aspectos importantes relativos al correo seguro son: Autoridad de certificación (CA): Es una autoridad en la que confían tanto el emisor como el receptor. Por tanto, también confían en el certificado digital emitido por ella, en los que se asocia una clave pública con su propietario y que se utiliza para firmar los mensajes. Certificado digital: Consta de una clave pública y un identificador, ambos firmados digitalmente por una autoridad certificadora. Certificado raíz: Es un certificado que emite una autoridad para su uso interno. En él aparece la clave pública de la autoridad y es necesario para comprobar la autenticidad del certificado emitido por ella.

8.3.1

MOZILLA THUNDERBIRD

Para la instalación del certificado en el gestor de correo Thunderbird, tenemos que ir a Herramientas – Opciones – Avanzadas – Certificados – Ver certificados.

Figura 23.

Ver certificados en Thunderbird

Nos aparecen varias opciones, de las cuales nos interesan “Sus certificados”, donde se instalará el nuestro; “De otras personas”, donde irán las claves públicas ajenas; y “Autoridades”, donde ríanlas Autoridades de Certificación, raíz de instituciones que se dedican a generar certificados.

Elena Martín Mayo

- 49 -

Sistemas de certificación electrónica en España

Para

instalarlo,

primero

tenemos

Seguridad de la información 2009/2010

que

instalar el de la Autoridad Certificadora, así

que

Autoridades,

elegimos

archivo lo abrimos y seleccionamos las opciones “identificar sitios web”; “usuario correo”; “software”. Si damos a “Ver”, tendremos todos los datos de la Autoridad Certificadora. Dando

“Aceptar”

tendremos

Figura 24.

instalado.

Autoridad certificadora

Para instalar el nuestro Sus certificados –

Importar

–

Abrir.

Nos

pedirá

contraseña actual y la opción de poner una

nueva,

además

aparecerá

dispositivo de seguridad que es una contraseña personal.

Figura 25.

Sus certificados

Cuando nos pide la Contraseña de Cifrado, tenemos que introducir la contraseña de solicitud y tras esto, aceptar. A la hora de redactar usamos S/MIME. Para cifrar mensajes, nos hacen falta las claves

públicas,

estas

consiguen

cuando

recibimos

correo

firmado

digitalmente. Al abrirlo, de forma automática de nos incluye la parte pública.

Figura 26.

Elena Martín Mayo

Incorporar parte pública de un contacto

- 50 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

Para firmar primero hay que configurarlo. Cuando en esta configuración nos aparezca la opción de “Seguridad” tenemos que seleccionar el certificado que queremos, es decir, el nuestro.

Figura 27.

8.3.2

Redactar mensaje firmado y cifrado digitalmente

OUTLOOK EXPRESS

Se puede configurar Outlook Express en cuanto a la seguridad. Seleccionamos Herramientas – Opciones – Seguridad, podríamos seleccionar que todos

nuestros

vayan

mensajes

cifrados

digitalmente,

pero

y/o para

salientes firmados mayor

información, podemos irnos a Opciones Avanzadas, donde podemos especificar incluir nuestro identificador al enviar mensajes remitentes

agregar

certificados

automáticamente

nuestra

libreta de direcciones. Figura 28.

Elena Martín Mayo

Cifrar, firmar y revocación

- 51 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

Si tenemos conexión a Internet, sería importante comprobar la revocación. Al crear un mensaje nuevo por defecto aparecerá

cifrado

firmado

como

vemos en la imagen de la izquierda.

Figura 29.

Seguridad en Outlook Express

Figura 30.

Cifrar y/o firmar un mensaje

Desde el menú herramientas o con los botones podemos firmar y cifrar

Figura 31.

Cifrado

En la libreta de direcciones se también aparecerán bien identificados con un sello rojo los contactos de los que tenemos su clave pública. Si tenemos un contacto sin firma digital y deseamos añadírsela podemos hacerlo desde la ventana de Propiedades de ese contacto.

Elena Martín Mayo

- 52 -

Sistemas de certificación electrónica en España

8.3.3

Seguridad de la información 2009/2010

WINDOWS MAIL

En Windows Vista, el gestor de correo electrónico es Windows Mail y éste se puede configurar

cuanto

seguridad

refiere,

seleccionando

para

ello

Herramientas – Opciones – Seguridad

Figura 32.

Windows Mail. Herramientas-Opciones

Podemos

seleccionar

que

todos

los

mensajes salientes vayan cifrados y/o firmados digitalmente, pero para mayor información, nos podemos meter en Opciones Avanzadas

Figura 33.

Elena Martín Mayo

Opciones-Seguridad

- 53 -

Sistemas de certificación electrónica en España

Podemos

especificar

identificador agregar

enviar

certificados

automáticamente

incluir de

nuestra

Seguridad de la información 2009/2010

nuestro

mensajes

remitentes libreta

direcciones

Figura 34.

Con

conexión

Opciones Avanzadas

Internet

comprobaremos la revocación. Al crear un nuevo mensaje, por defecto aparecerá cifrado y firmado.

Figura 35.

Nuevo mensaje cifrado y firmado

Desde el menú herramientas o con los botones podemos firmar y cifrar

Figura 36.

Elena Martín Mayo

Cifrar y firmar desde el menú

- 54 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

9 CÓMO CIFRAR Y FIRMAR SIN CERTIFICADO 9.1 APLICACIÓN

BASADA

MODELO

CONFIANZA DIRECTO: PGP A comienzos de los años 90 hacen su aparición dos sistemas o aplicaciones de correo electrónico seguro: PEM: Private Enhanced Mail PGP: Pretty Goog Privacy De los dos, ha sido PGP quien se ha convertido en un estándar de hecho en clientes de e-mail seguro en entornos cerrados. La gestión de claves en PGP se basa en la confianza mutua y es adecuada solamente para entornos privados o intranet. Cifra todo tipo de datos en entornos MS-DOS y UNIX. Su orientación principal es el cifrado de los datos y la firma digital en correo electrónico. Los algoritmos básicos que usa son: IDEA para cifrar con sistema de clave secreta. RSA para intercambio de claves y firma digital. MD5 para obtener la función hash de la firma digital y para recuperar las claves privadas asimétricas y cifrado local. La mítica versión de PGP 2.6.3 del MIT se convierte rápidamente en el software de libre distribución freeware más popular en el mundo de los PCs y especialmente en entornos de correo electrónico: usa cifra y firma con criptografía calificada como fuerte. Las versiones en entorno Windows a través de Network Associates presentan opciones avanzadas, servicios de red para seguimiento de paquetes y autenticación mediante Autoridades de Certificación. Existe una versión freeware para usos no comerciales Las versiones 5 y 6 tuvieron su código fuente abierto, en la 7 el código deja de ser público y a partir de la versión 8.0 (diciembre 2002) con PGP Corporation se ha liberado otra vez el código.

Elena Martín Mayo

- 55 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

PGP 6.5.8 internacional aparece en el año 1999. Puede considerarse como una de las versiones seguras mejor optimizadas desde la primera en entorno Windows. Nos podemos descargar de la red el fichero ejecutable que dependiendo de la versión tendrá un nombre, por ejemplo (PGPfm658win32.zip). Haciendo doble clic entramos en el asistente y lo instalamos.

Figura 37.

instalación

por

defecto

Extracción de PGP Self

hace

c:\Archivos

programa\Network

Associetates\PGP

Figura 38.

Instalación

Figura 39.

Nombre y dirección

Habrá un momento en el que nos pide la frase de paso para proteger la clave privada. Nos muestra la ventana de claves; podemos borrar todas menos la nuestra

Figura 40.

Frase de paso

Figura 41.

Elena Martín Mayo

PGPKeys

- 56 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

Al instalar PGP en la barra de tareas de Windows aparecerá el icono de PGP. Al pulsar sobre él obtendremos el siguiente cuadro de diálogo:

Figura 42.

Cuadro de diálogo

Desde aquí podemos volver a acceder a ver las claves (PGPKeys). Podemos también acceder a PGPTools para visualizar la siguiente barra que es la que nos permite cifrar, firmar, borrar, etc.

Figura 43.

PGPtools

Los archivos donde guarda las claves públicas

claves

llamándose

pubring

ahora,

diferencia

privadas y

secring de

siguen pero

versiones

anteriores, usa como extensiones pkr. El archivo de semilla permite generar números aleatorios para crear claves. Figura 44.

Elena Martín Mayo

PGP Options

- 57 -

Sistemas de certificación electrónica en España

9.1.1

Seguridad de la información 2009/2010

FIRMAR Y CIFRAR FICHEROS Al pulsar con el botón derecho sobre el fichero nos aparece el cuadro de diálogo de contexto y en éste la opción de PGP. Al seleccionar Encypt nos aparece un cuadro de diálogo donde tenemos que seleccionar la clave pública para quien lo queremos cifrar (puede ser para más de uno)

Figura 45.

Opción PGP

Figura 46.

Seleccionar clave pública

Seleccionamos a alguien y se crea el fichero, en la misma carpeta, con el mismo nombre y con la extensión .pgp.

Figura 47.

Elección de destinatario

Para descifrarlo nos va a pedir la frase de paso para poder acceder a la clave privada.

Figura 48.

Elena Martín Mayo

Frase de paso para cifrar

- 58 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

Si seleccionamos firmar (sign) nos pide la frase de paso para acceder a nuestra clave privada. Se crea, en la misma carpeta, un fichero con el mismo nombre y la extensión sig.

Figura 49.

Firma y frase de paso

Teniendo el fichero original y el fichero firmado, si sobre este hacemos doble clic nos aparece el

cuadro

diálogo

donde

confirma o no la validez de la Figura 50.

firma. Mostramos

contenido

del

Validez de firma confirmada

fichero

original.

Figura 51.

Datos.txt “prueba1”

Si hubiéramos cambiado el contenido del fichero Datos.txt, nos aparecerá un mensaje como se muestra que indica que la firma no es la buena.

Figura 52.

9.1.2

Datos.txt “prueba2”

Figura 53.

Firma no válida

FIRMAR Y CIFRAR MENSAJES

El procedimiento es el mismo que describimos con la firma de la FNMT lo único que ahora seleccionamos Encrypt (PGP) o Sign (PGP).

Elena Martín Mayo

- 59 -

Sistemas de certificación electrónica en España

Figura 54.

9.1.3

Seguridad de la información 2009/2010

Mensaje nuevo

GENERAR NUEVAS CLAVES

Desde la aplicación PGPKeys seleccionamos Keys – New Key …

Figura 55.

Keys – New Key

Figura 56.

Generar nuevas claves

Desde la aplicación PGPKeys pinchamos botón derecho sobre el propietario deseado

Elena Martín Mayo

- 60 -

Sistemas de certificación electrónica en España

Figura 57.

Figura 58.

Seguridad de la información 2009/2010

Exportar la clave de uno de los contactos

Nombre y ubicación Figura 59.

Fichero

Crea el fichero de la clave pública. Tiene la extensión asc. Este fichero simplemente haciendo doble clic puede ser importado en cualquier otro equipo. La clave pública también puede ser importada desde el fichero de claves públicas. La clave privada solo puede ser importada desde el fichero de claves privadas. Posteriormente para hacer uso de dicha clave hay que utilizar

Figura 60.

Pubring

la frase de paso.

Figura 62.

Secring Figura 61.

Elena Martín Mayo

Selección de clave

- 61 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

9.2 PROTECCIÓN DE MEMORIAS USB: REMORA USB DISK GUARD Remora USB Disk Guard es un programa que permite, tanto cifrado de archivos, como carpetas, es decir, con este programa podemos crear una carpeta en nuestra memoria USB, pendrive o disco duro, donde todo lo que contenga esté cifrado y necesite una contraseña para que pueda ser visto, de tal forma que una vez cifradas no sea posible ni su lectura ni su escritura. El programa es gratuito aunque hay una versión de pago, se puede descargar aquí. Tras haberlo descargado debemos tener nuestro pendrive o disco duro conectado puesto que lo hemos de instalar en él. Abriendo el archivo en cuestión nos pide elegir el idioma de instalación, en nuestro caso español. Aceptaremos la licencia y a continuación se instalará eligiendo la ubicación que deseemos, en nuestro caso la del pendrive.

Ahora, en la barra de tareas aparece el siguiente icono: Haciendo doble clic en él, nos adentramos en su configuración, donde hemos de elegir varias contraseñas: la de aplicación, y la de cifrado. El programa Remora USB Disk Guard quedará instalado, y podemos acceder a él desde nuestro pendrive a través del icono siguiente:

Figura 63.

Icono USB disk guard

Cuando queramos ejecutarlo nos pedirá la contraseña:

Figura 64.

Acceso

Y nos aparecerá una especie de pendrive con seis posibles opciones, estas son:

Elena Martín Mayo

- 62 -

Sistemas de certificación electrónica en España

Figura 65.

Figura 67.

Figura 69.

Remora. Cifrar ficheros

Remora. Cifrar directorios

Remora. Configuración

Seguridad de la información 2009/2010

Figura 66.

Figura 68.

Remora. Descifrar ficheros

Remora. Descifrar directorios

Figura 70.

Remora. Salir

Para poner un ejemplo de cifrado de un archivo hemos creado el documento Word “Prueba1”. Haciendo click en el botón primero de “encriptar los ficheros seleccionados” se nos abre una ventana desde la cual seleccionaremos el documento en cuestión. Entonces, aparecerá lo siguiente:

Figura 71.

Cifrando fichero

Conseguiríamos que el documento “Prueba1” quedase sin la posibilidad de ser ejecutado. Como observamos en la imagen, el programa añade ~s, es decir, son visibles en apariencia, pero si intentamos abrirlos desde cualquier sitio que no sea desde el programa, descifrándolo y poniendo su contraseña, serán ilegibles. Esto habrá que hacerlo con el botón de “desencriptación de ficheros seleccionado” y ocurrirá lo siguiente: Elena Martín Mayo

- 63 -

Sistemas de certificación electrónica en España

Figura 72.

Seguridad de la información 2009/2010

Descifrando fichero

Como observamos en la anterior imagen, el fichero vuelve a tener su formato original en Word. Exactamente ocurriría lo mismo con el cifrado y descifrado de carpetas. Si de toda la carpeta cifrada, solo queremos descifrar un archivo, usamos los botones de la izquierda para cifrar y descifrar. Todo lo que se encuentre en la carpeta cuando ciframos la misma, queda protegido, pero si añadimos ficheros y no volvemos a cifrar no lo estarán, hay que, o bien cifrar fichero por fichero, o bien usar el cifrar la carpeta de nuevo. Para desconectar el dispositivo, antes tenemos que cerrar el programa, eso lo hacemos pulsando, o bien sobre la X que hay a la derecha o bien, pulsando en el último botón, el de configuración, y eligiendo el comando Salir:

Figura 73.

Elena Martín Mayo

Cómo salir

- 64 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

10 CONCLUSIONES La aparición del DNIe, certificados y firmas digitales ha supuesto un ahorro de tiempo, errores, costes y almacenamiento entre otras cosas importantes como los fraudes de suplantación de identidad. Sin embargo el ser humano tiene la tendencia de fiarse ciegamente de sus sentidos y el "ver" a la persona con la que se está realizando un acuerdo o intercambio de información, aporta una confianza difícilmente sustituible. Estamos entrando en la gestión electrónica del futuro que puede que aún no usemos, pero con el tiempo será obligatorio y no debemos darle la espalda a algo que inevitablemente va a establecerse.

Elena Martín Mayo

- 65 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

11 BIBLIOGRAFÍA GONZÁLEZ ARRIETA, Angélica. Firma digital y DNI electrónico. Salamanca, curso 2008-2009. Verisign España [en línea] [ref. 21 de diciembre de 2009]. Disponible en Web: http://www.verisign.es/ Certificación Española [en línea] [ref. 21 de diciembre de 2009]. Disponible en Web: http://www.cert.fnmt.es/ Agencia Tributaria [en línea] [ref. 21 de diciembre de 2009]. Disponible en Web: http://www.agenciatributaria.es/ Ministerio de Fomento. Cómo se genera una firma [en línea] [ref. de 24 de diciembre

2009].

Disponible

Web:

http://www.fomento.es/oficinavirtual/firma.html Real Casa de la Moneda. Fábrica Nacional de Moneda y Timbre. Respuestas a las dudas iniciales sobre firma electrónica [en línea] [ref. de 22 de diciembre de 2009] Disponible en Web: http://www.cert.fnmt.es/content/pages_std/docs/ManualFirmaElectronica.pdf Málaga 24H, tu ayuntamiento en Internet. [en línea] [ref. de 21 de diciembre de 20099].

Disponible

Web:

https://cert2.ayto-

malaga.es/inter/trw/trw/com/jdv/debesaber/manual_fe/index.html 12 años de firma digital en España [en línea] [ref. de 21 de diciembre]. Disponible en Web: http://www.seguridaddigital.info/index.php?option=content&task=view&id=130 Noticias jurídicas. [en línea] [ref. de 21 de diciembre de 2009]. Disponible en Web: http://noticias.juridicas.com/ WALES, Jimmy; SANGER, Larry. Autoridad de Certificación: Wikipedia, 2001, 9 de diciembre de 2009 [ref. 23 de diciembre de 2009]. Disponible en Web: http://es.wikipedia.org/wiki/Autoridad_de_certificaci%C3%B3n

Elena Martín Mayo

- 66 -

Sistemas de certificación electrónica en España

Seguridad de la información 2009/2010

X.509. [en linea] [ref. de 22 de diciembre de 2009]. Disponible en Web: http://es.tech-faq.com/x.509.shtml&prev=hp&rurl=translate.google.com PENALVA, Javier. Cómo usar el DNI electrónico. Xataka, 2009, 10 de marzo de 2009 [en línea] [ref. de 24 de diciembre de 2009]. Disponible en Web: http://www.xataka.com/hogar-digital/como-usar-el-dni-electronico Banco Central del Ecuador. Uso certificado digital y firma digital: documentos en Open Office 3.1 ver 1.0 [en línea] [ref. de 25 de diciembre de 2009]. Disponible en Web: http://www.bce.fin.ec/documentos/ElBancoCentral/EntidadCert/instructivofirmaelec tronicaOpenOffice3.1.pdf Firmar digitalmente un documento Open Office Writer: Wordpress, 22 de noviembre de 2008. [en línea] [ref. de 23 de diciembre de 2009]. Disponible en Web: http://perexat.wordpress.com/2008/11/22/firmar-digitalmente-un-documento-conopenoffice-writer/ Microsoft Office Word. Firmar digitalmente un documento de Office. [en línea] [ref. de 26 de diciembre de 2009]. Disponible en Web: http://office.microsoft.com/eses/word/HA100997683082.aspx ¿Firma digital o firma electrónica? La respuesta es animarse a innovar: Canalar, tecnología a diario, 20 de agosto de 2009. [en línea] [ref. de 27 de diciembre de 2009].

Disponible

Web:

http://www.canal-

ar.com.ar/Noticias/noticiamuestra.asp?Id=7790 Introducción a la Informática de Gestión (GAP): Seguridad Informática. [en línea] [ref.

diciembre

2009[.

Disponible

Web:

http://www.dsi.uclm.es/asignaturas/51129/temas/tema7.pdf

Elena Martín Mayo

- 67 -