| Artículos | 01 MAR 2007

Certificados de autenticidad mediante PKI

Tags: Histórico
Los trámites telemáticos con la administración pública impulsan esta tecnología
Arantxa Herranz.
Proyectos como el DNI electrónico y la ley que permitirá a personas físicas y jurídicas llevar a cabo todos los trámites con la Administración Pública mediante sistemas telemáticos están devolviendo, especialmente en nuestro país, a primera línea de actualidad a la tecnología PKI, presente por ejemplo en la firma electrónica. Una tecnología que nos permite asegurar la autenticidad de nuestros interlocutores y de que estos tengan plena seguridad en que nosotros somos quienes realmente decimos ser. Cuestión, pues, de confianza.

Las PKI (Public Key Infrastructure) están, cual Ave Fénix, resurgiendo de sus cenizas, gracias a que las tecnologías de identificación están cada vez más presentes en la base de las aplicaciones, dado que los usuarios y empresas buscan la manera de compartir, de manera segura, su información. Las PKI fueron un comodín durante un tiempo no muy lejano, especialmente con el boom tecnológico y de seguridad, pero posteriormente fueron perdiendo coba dado que los proyectos tecnológicos cada vez se veían sin plena justificación y sin el suficiente enfoque.
Sin embargo, para muchos expertos las PKI siguen teniendo muchos problemas de percepción. Las PKI utilizan certificados que han sido legalizados por una autoridad de certificación y permiten a otras organizaciones o personas intercambiar información segura. Las PKI, por tanto, simplifican el comercio electrónico y el e-gobierno al permitir a las personas identificarse a sí mismas una vez que una autoridad de certificación responde por la identidad de dicha persona cuando interactúa con una organización.
El crecimiento de las PKI puede venir provocado por muchos cambios en las TI. Sin ir más lejos, el lanzamiento de Windows Vista contiene tecnología que ayuda a los usuarios a gestionar identidades (CardSpace). Esta herramienta permitirá a los usuarios ir a sitios Web compatibles para tener más control sobre cómo se facilita la información personal. Sin embargo, lo cierto es que a día de hoy se desconoce cómo CardSpace trabajará con otras tecnologías de identidad, pese a lo que se considera que va a ayudar al crecimiento del mercado de acreditaciones certificados digitales, según los expertos.
Sin embargo, estas mismas voces también reconocen que las iniciativas de los gobiernos para impulsar los proyectos de identidad electrónica (como el caso del DNI español) también están haciendo crecer el interés en la tecnología PKI.

Qué es una PKI
Empecemos, pues, por el principio. ¿Qué es, qué se esconde, detrás de una PKI? Se trata de un sistema que utiliza lo que se denomina claves públicas y claves privadas y que permite realizar asuntos tales como firma electrónica, encriptación y autenticación. Para ello, y aunque pueda parecer un trabalenguas, se lleva a cabo un intercambio de una clave pública que sólo puede ser descifrada o comprobada por el usuario que tiene en su poder la clave privada que corresponde a esa clave pública. “De modo práctico, el sistema de claves se implementa normalmente dentro de un Certificado Digital, que es el que los usuarios utilizan para firmar electrónicamente un documento, encriptar y desencriptar un documento o autenticarse en un sitio web o aplicación. El certificado y sus claves suelen estar guardados en una tarjeta (SmartCard), un token criptográfico o en un ordenador”, ejemplifica Manuel Gallo, de VeriSign.
Pero, tal y como su propio nombre deja entrever (Public Key Infrastructure), es una infraestructura (de clave pública) que engloba a un conjunto de dispositivos, programas informáticos y procedimientos, que aseguran la identidad de entidades (por ejemplo, usuarios) y permiten la realización de operaciones con garantías.
En cuanto a su funcionamiento, cabe explicar que, cuando una persona solicita un certificado de una PKI se pone en marcha un proceso (que ha de estar perfectamente definido y documentado) que permite la generación de un certificado digital del tipo que sea. “Generalmente, la persona firma un contrato o se adhiere a unas condiciones generales de servicio que definen el uso y alcance del certificado que se le genera. A partir de ese momento comienza la gestión del ciclo de vida del certificado mientras éste mantenga su vigencia, que termina cuando se revoca o bien cuando caduca y no se procede a su renovación”, en palabras de Jordi Buch, responsable de producto de Safelayer. Eso sí, este usuario no tiene porqué tener conocimientos técnicos aunque será necesario que las aplicaciones, programas, sitios web o servicios que utilice estén preparadas para la utilización de “Certificados”, que se utilizarán de modo automático para la tarea requerida. El usuario, pues, sólo deberá introducir la tarjeta o token donde se aloja el certificado y, como en una tarjeta de crédito, teclear un PIN o código personal.

Elementos necesarios
Desde Netfocus se nos explica que, como elementos básicos, se ha de contar con una infraestructura de hardware y software que permita la generación de certificados de clave pública del tipo que se desee, sin contar con la documentación legal (habitualmente contratos de suscripción o acuerdos en materia de certificación) que limitan las responsabilidades y el uso que se le puede dar a los certificados. Asimismo, hay que contar con una serie de workflows bien definidos en los que se explique el ciclo de vida de los certificados y las posibilidades de uso. Una inversión que puede variar enormemente en función del tipo de certificados que se desea generar, el volumen de estos, el alcance y la responsabilidad que se asume respecto al uso que se pueda hacer de los mismos.
A nivel de empresas, VeriSing establece tres pilares entre los que elegir: utilizar una Autoridad de Certificación ya existente; implantar de manera interna una Autoridad de Certificación; o implantación de manera externalizada una Autoridad de Certificación.
En el primero de los casos, es necesario llegar a un acuerdo con la entidad de Certificación (Proveedor de Servicios de Certificación, según se recoge en la actual Ley de Firma Electrónica), quien deberá recabar los datos de las personas que vayan a recibir el certificado, limitado para ciertos usos. Todas estas condiciones están publicadas en la Declaración de Prácticas de Certificación (CPS) así como en otros documentos legales. Manuel Gallo recalca que en esta primera posibilidad la empresa nunca emite sus propios certificados, sino que acepta que sea un tercero (el Proveedor de Servicios de Certificación) quien los emita para los empleados, clientes o proveedores de la empresa. Por eso, recomienda exigir a estos terceros implicados que estos certificados permitan el uso de los mismos para la realización de firma electrónica reconocida y para usos tributarios con la Agencia Estatal de Administración Tributaria. “Algunos ejemplos de este modelo, en España, son Camerfirma y la Fábrica Nacional de Moneda y Timbre”, detalla Gallo.
Si, por el contrario, decidimos implantar de manera interna una autoridad de certificación, deberemos adquirir todo el hardware y software adecuados (servidores, software de bases de datos, software de infraestructura de clave pública o PKI, hardware criptográfico, hardware de comunicaciones, etc.) y que estén dotados con altas medidas de seguridad, así como contar con las cer

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información