\subsubsection{Certificados electrónicos} A una persona que desea realizar un trámite o solicitar un servicio en una institución pública o privada generalmente se le exige que demuestre su identidad para ser atendido. La manera común en la que se demuestra la identidad de un individuo es a través de su documento de identidad o Cédula de Identidad. Por ejemplo, un pensionado del seguro social debe presentar su cédula de identidad para retirar dinero de su cuenta de banco, así como un solicitante de un préstamo para adquisición de vivienda principal debe presentar, entre otros requisitos, su cédula de identidad. Todas las personas utilizan la cédula de identidad como un documento físico que garantiza su identidad ante otras personas, instituciones, empresas e inclusive ante otros países. En la figura \ref{fig:cedulaDeIdentidad} se muestra una cédula de identidad de un ciudadano de la República Bolivariana de Venezuela. \begin{figure} [h] \begin {center} \includegraphics[width=0.4\textwidth]{imagenes/cedulaDeIdentidad.jpg} \caption{Cédula de identidad de la República Bolivariana de Venezuela.} \label{fig:cedulaDeIdentidad} \end {center} \end{figure} En la sociedad digital en la que se desenvuelven los individuos en la actualidad, es necesario utilizar algún mecanismo que permita establecer su identidad digital. Una alternativa es el certificado electrónico. %Un certificado electrónico Éste es un documento electrónico que tiene el objetivo de garantizar la veracidad de un conjunto de datos digitales. Así como la cédula de identidad incluye datos de una persona como nombres, apellidos, fecha de nacimiento y estado civil, los certificados electrónicos incluyen campos que permiten establecer la identidad digital de su titular y tienen un periodo de validez. La cédula de identidad es emitida por una institución de gobierno en la que los ciudadanos confían siguiendo estándares que la hacen difícil de falsificar. Para los certificados electrónicos se busca mantener estas mismas características al ser emitidos por una entidad en la que tanto individuos como sistemas informáticos van a confiar. Los certificados electrónicos son un elemento fundamental en el modelo de confianza denominado \textit{Infraestructura de Clave Pública} (ICP). Este modelo describe una tecnología utilizada para establecer identidades a través de certificados electrónicos y permitir el intercambio de información segura entre partes que se comunican. La ICP agrupa programas o software, piezas de hardware y documentación relacionada a políticas para establecer lo que se puede hacer o no con certificados electrónicos. % aquí se podría describir el hecho de que se usa la criptografía de clave pública Los certificados electrónicos están basados en la \textbf{criptografía}\footnote{AGREGAR EL CONCEPTO EN EL GLOSARIO} de clave pública. Este tipo de criptografía se aprovecha del uso de un par de claves con características muy particulares para transmitir información de manera segura entre entidades que se comunican. En una comunicación entre dos personas cada una genera un par de claves. El par de claves es tal que se complementan entre ellas; una porción de la clave va a ser conocida por las personas con quien se desea establecer la comunicación, llamada \textit{clave pública}, y la otra porción de la clave va a ser secreta y protegida por el titular, llamada \textit{clave privada}. En la República Bolivariana de Venezuela existe una ICP jerárquica denominada \textit{Infraestructura Nacional de Certificación Electrónica} y establecida en la Providencia Administrativa Número 016 del 05 de Febrero de 2007 de la Gaceta Oficial Número 38.636\footnote{http://www.tsj.gov.ve/gaceta/gacetaoficial.asp}. Esta jerarquía es supervisada y controlada por la Superintendencia de Servicios de Certificación Electrónica (SUSCERTE)\footnote{http://suscerte.gob.ve/}, organismo adscrito al Ministerio del Poder Popular para Ciencia, Tecnología e Innovación. La \textit{Infraestructura Nacional de Certificación Electrónica} está compuesta por los siguientes elementos: \begin{itemize} \item Autoridad de Certificación (AC) Raíz del Estado Venezolano. Primera autoridad de la infraestructura y se encarga de emitir, renovar, revocar y suspender los certificados electrónicos de los Proveedores de Servicios de Certificación. \item Autoridades de Certificación de los Proveedores de Servicios de Certificación (PSC). Entidades subordinadas a la Autoridad de Certificación Raíz del Estado Venezolano y se encarga de emitir, renovar, revocar y suspender los certificados electrónicos a los signatarios y a sus Autoridades de Certificación subordinadas, en caso de tenerlas. \item Autoridades de Registro de los Proveedores de Servicios de Certificación. Entidades encargadas de controlar la generación de los certificados electrónicos de sus Autoridades de Certificación y comprobar la veracidad y exactitud de los datos suministrados por los signatarios. Generalmente las Autoridades de Registro y las Autoridades de Certificación de los PSC son vistos como una sola entidad de la ICP. \item Signatarios o titulares de certificados electrónicos emitidos por los PSC. \end{itemize} En la figura \ref{fig:ICPVenezuela} se muestra un bosquejo de la Infraestructura Nacional de Certificación Electrónica. \begin{figure} [h] \begin {center} \includegraphics[width=0.8\textwidth]{imagenes/icpVenezuela.png} \caption{Infraestructura Nacional de Certificación Electrónica.} \label{fig:ICPVenezuela} \end {center} \end{figure} Cuando una persona desea obtener una identidad digital en la Internet puede recurrir a un PSC para que le venda y/o asigne un certificado electrónico de acuerdo a sus respectivos documentos de políticas de certificados y declaración de prácticas de certificación. Estos documentos establecen las normas y usos de los certificados electrónicos emitidos por cada Autoridad de Certificación. Hasta el momento de publicación de este libro, los PSC acreditados ante la SUSCERTE son los siguientes: \begin{itemize} \item Fundación Instituto de Ingeniería para Investigación y Desarrollo Tecnológico\footnote{https://ar.fii.gob.ve}, organismo adscrito al Ministerio del Poder Popular para Ciencia, Tecnología e Innovación. \item Proveedor de Certificados (PROCERT\footnote{https://www.procert.net.ve/acprocert.asp}), C.A., primera entidad privada dentro de la República Bolivariana de Venezuela en ser acreditada ante el Estado Venezolano. \end{itemize} Los certificados electrónicos se utilizan principalmente para: \begin{itemize} \item Autenticación de usuarios. Los certificados electrónicos permiten demostrar la identidad digital de un usuario. \item Enviar y recibir información cifrada con terceros. Los certificados electrónicos de destinatarios permiten enviar información cifrada a través de algoritmos criptográficos. \item Firmar electrónicamente documentos. Se utiliza la clave privada asociada a un certificado electrónico para firmar electrónicamente cualquier documento electrónico. \end{itemize} Cuando existe una legislación asociada a los certificados electrónicos, éstos pasan a tener vinculación legal con la identidad de su titular a través de su firma electrónica. En el caso de la República Bolivariana de Venezuela, el Decreto con Fuerza de Ley Sobre Mensajes de Datos y Firmas electrónicas promulgado en el año 2001\footnote{http://www.tsj.gov.ve/legislacion/dmdfe.htm}, crea mecanismos para que la firma electrónica tenga las misma eficacia y valor probatorio de la firma escrita a través del uso de certificados electrónicos de la Infraestructura Nacional de Certificación Electrónica. El concepto de firma electrónica se tratará con mayor detalle en la siguiente sección. Una característica de los certificados electrónicos es que pueden ser emitidos tanto para individuos como para dispositivos de red. Uno de los usos más popular de los certificados es la validación de sitios web o nombre de dominio en la Internet, por ejemplo: \textit{www.gobiernoenlinea.gob.ve}. Esto es considerado como una defensa contra acciones de falsificación que buscan tomar datos de los usuarios de estos sitios de manera masiva y que generalmente se coordinan con otros ataques como el \textit{phishing}. Los navegadores web son una de las principales herramientas utilizadas por los usuarios para tener acceso a la Internet tanto en computadores de escritorio como en dispositivos móviles. Están preparados para identificar los servidores que alojan una página web particular en el caso que se esté usando un certificado electrónico. Con el uso del certificado se intercambia información de manera segura con sus visitantes y además se garantiza que se están comunicando con el servidor correcto y no uno fraudulento. En la figura \ref{fig:sistemaBancoDeVenezuela} se muestra una captura de pantalla del sistema de banca en línea de un banco de la República Bolivariana de Venezuela que utiliza un certificado electrónico. \begin{figure} [h] \begin {center} \includegraphics[width=0.8\textwidth]{imagenes/bancoDeVenezuela.png} \caption{Sistema de banca en línea que utiliza un certificado electrónico.} \label{fig:sistemaBancoDeVenezuela} \end {center} \end{figure} Los navegadores web mantiene un almacén de certificados de autoridades de certificación en las que confían para la emisión de certificados electrónicos. En el caso de la figura \ref{fig:sistemaBancoDeVenezuela}, el navegador muestra un indicador de color verde sobre la barra de dirección para mostrar al usuario que el certificado electrónico presentado es reconocido como válido. En el caso de que un usuario esté conectado a una página web con un certificado electrónico que el navegador no reconoce, éste último mostrará un mensaje que alerta al usuario de una posible comunicación con un sitio no confiable. El indicador puede variar de un navegador a otro pero mantiene su función de alertar al usuario. Como resultado de ataques a portales web y algunas fallas de seguridad en la implementación de protocolos, servicios masivos de la Internet como correo electrónico y redes sociales utilizan certificados electrónicos para garantizar la identidad de los servidores con los que se comunican los usuarios e intercambiar la información cifrada. Aunque un certificado electrónico no es un documento físico, sí es posible ver su contenido. El estándar X.509 versión 3 define los campos que un certificado electrónico tiene. Algunos campos son obligatorios y otros son extensiones que pueden o no aparecer en un certificado particular. A continuación se listan los campos comunes de un certificado electrónico X.509. \begin{itemize} \item Versión: Describe la versión del certificado codificado. La versión actual es la 3. \item Número de serie: Es un identificador único para el certificado electrónico emitido por una autoridad de certificación. \item Algoritmo de firma: Identificación del algoritmo criptográfico utilizado por la autoridad de certificación para firmar el certificado. \item Emisor: Identificación de la autoridad de certificación que emitió el certificado electrónico. \item Validez: Intervalo de tiempo durante el cual la autoridad de certificación mantiene información sobre el estado del certificado. El período de validez está representado por dos fechas: una fecha a partir de la cual la validez del certificado comienza y otra en la que termina. La validez de un certificado electrónico está definido en la documentación de políticas de certificado de una autoridad de certificación. \item Sujeto: Identificación del titular del certificado electrónico. \item Información de clave pública del sujeto: Mantiene la clave pública del sujeto e identifica el algoritmo con el cual se utiliza la clave. \item Identificador único de emisor: \item Identificador único de sujeto \item Extensiones: Secuencia de una o más extensiones que sirven para asociar atributos adicionales del sujeto. \item Algoritmo de firma de certificado: Identificador del algoritmo criptográfico utilizado por la autoridad de certificación para firmar el certificado electrónico. \item Firma electrónica del certificado: Valor de la firma electrónica del certificado electrónico. Al generar esta firma, la autoridad de certificación certifica la validez de la información. \end{itemize} En la figura \ref{fig:camposDeUnCertificado} se muestran los detalles de los campos de un certificado electrónico de la Infraestructura Nacional de Certificación Electrónica visto en un navegador web. \begin{figure} [h] \begin {center} \includegraphics[width=0.8\textwidth]{imagenes/camposDeUnCertificado.png} \caption{Detalles de los campos de un certificado electrónico.} \label{fig:camposDeUnCertificado} \end {center} \end{figure} Una forma de distribuir los certificados electrónicos es a través de dispositivos de usuario que permiten proteger los elementos del certificado. En la sección \ref{subsubsection:dispositivosDeUsuario} se presentan algunos dispositivos como tarjetas inteligentes y token criptográficos que almacenan certificados electrónicos. Anexo: Contenido de un certificado electrónico X.509 Versión 3 en formato de texto plano. \begin{verbatim} Certificate: Data: Version: 3 (0x2) Serial Number: 5357 (0x14ed) Signature Algorithm: sha256WithRSAEncryption Issuer: C=VE, ST=Miranda, L=Baruta, O=Sistema Nacional de Certificacion Electronica, OU=Fundacion Instituto de Ingenieria, CN=PSC Publico del MppCTII para el Estado Venezolano/emailAddress=admin-pki@fii.gob.ve Validity Not Before: Apr 2 10:40:23 2012 GMT Not After : Apr 2 10:40:23 2013 GMT Subject: C=VE, O=Sistema Nacional de Certificacion Electronica, OU=FIISHA256, ST=Merida, L=Alberto Adriani, CN=Antonio Araujo Brett/emailAddress=aaraujo@cenditel.gob.ve Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:db:f4:30:58:bc:ce:30:50:9e:44:14:57:d6:eb: e9:cd:f6:90:a7:21:ec:b1:0e:73:af:0d:e7:05:1e: cd:a6:3b:1e:85:1a:86:1b:12:69:f9:28:28:4c:a0: 1c:92:09:81:e0:a9:09:40:08:9e:60:89:12:c9:7b: 96:f3:fd:99:49:52:5f:98:11:41:31:70:60:ca:55: de:73:4d:d8:05:c2:ac:d6:1c:9b:9a:2c:74:66:f3: e5:fa:ad:48:fc:7d:06:11:72:ed:bc:a4:35:cd:7e: 50:69:eb:9d:75:01:06:a7:48:e7:58:40:11:0e:41: fa:50:03:4f:03:45:67:0d:c7:9a:25:c9:e3:32:86: 99:64:18:31:d0:19:7d:45:ef:e4:f9:ec:46:12:65: 7c:61:de:40:2c:c2:4d:2e:ab:dc:27:f2:7b:38:7b: 81:47:20:ce:4f:6b:3b:a4:be:5b:7a:ef:f7:23:07: 70:08:c6:6e:7b:4d:a9:6e:a3:c0:5b:0a:09:0d:72: ab:1e:cd:a7:f5:28:b4:4f:01:44:63:38:53:96:43: 1e:8d:a8:9c:13:a2:84:30:44:41:a4:56:7c:7d:58: 04:a7:58:a8:46:21:a7:16:64:fb:49:c7:0a:bc:7e: 3a:3d:6a:df:ee:d7:0d:38:00:26:76:44:39:81:20: b2:7d Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment X509v3 Extended Key Usage: TLS Web Client Authentication, E-mail Protection, Microsoft Smartcardlogin X509v3 Subject Key Identifier: E0:A4:9A:D5:A9:0F:EA:6B:CF:A1:1B:28:74:AD:8E:2A:AE:FD:88:C5 X509v3 Authority Key Identifier: keyid:AA:94:98:5B:01:C8:17:18:50:28:B5:F6:E1:5F:FB:FC:89:5E:69:AE DirName:/CN=Autoridad de Certificacion Raiz del Estado Venezolano/C=VE/L=Caracas/ST=Distrito Capital/O=Sistema Nacional de Certificacion Electronica/OU=Superintendencia de Servicios de Certificacion Electronica/emailAddress=acraiz@suscerte.gob.ve serial:0D Authority Information Access: OCSP - URI:http://publicador-psc.fii.gob.ve:2560/ocsp X509v3 Certificate Policies: Policy: 2.16.862.2.6 Policy: 2.16.862.2.7.1 CPS: http://publicador-psc.fii.gob.ve/dpc CPS: http://publicador-psc.fii.gob.ve/pc X509v3 Subject Alternative Name: othername:, othername:, othername:, othername: X509v3 Issuer Alternative Name: DNS:fii.gob.ve, othername: X509v3 CRL Distribution Points: Full Name: URI:https://publicador-psc.fii.gob.ve/crlsha256/cacrl.crl Signature Algorithm: sha256WithRSAEncryption 22:ca:a7:de:b7:30:27:b6:aa:95:67:c1:68:0a:5b:db:a6:a8: b5:ee:0b:b4:14:42:39:b7:d8:c5:13:7a:5b:7d:2d:66:49:54: 0d:bc:e4:8a:25:b4:c8:af:87:60:9a:b4:22:a5:92:66:b6:4e: 16:66:26:1d:06:76:1f:2b:af:e1:b0:7f:3f:4c:71:cd:75:99: 66:14:84:01:da:40:18:40:8e:b3:0e:f8:4a:b6:b0:15:53:ef: 40:28:69:1e:e9:dd:30:7d:80:22:c3:84:5f:16:d7:12:cf:a6: 57:67:64:82:9d:b9:9c:43:e3:2b:d2:ed:bd:72:9e:6f:a4:f0: 5b:6d:16:63:d1:9c:0e:68:eb:dd:45:db:57:7c:95:09:a0:53: d6:08:6b:ea:ae:95:24:8a:d1:eb:c7:99:46:f3:17:93:84:6c: 6b:6b:06:97:3a:77:89:a6:ba:ff:3f:5b:aa:21:d8:55:11:25: ba:a7:65:a5:8e:9f:7d:f3:f2:7f:14:6a:af:eb:b0:7e:36:31: 93:56:f9:0f:19:2f:27:ed:e7:0d:e4:b2:4f:05:f5:26:ad:76: c6:b2:b0:0e:4e:9b:e6:7f:5e:65:74:8d:9e:54:4c:6e:4b:aa: f1:de:85:86:a0:34:bc:bb:5b:7f:a9:1e:cf:ea:6b:a6:e0:66: 3a:e2:48:2d:9e:ae:88:7c:69:da:26:26:bb:37:41:56:9a:5b: 98:78:f6:d2:52:3c:28:9f:dc:5f:01:97:d7:d5:13:b6:00:31: 07:d1:b4:3d:46:49:2c:68:02:4d:b7:fc:ef:b6:0e:7c:b8:19: 4a:91:23:11:38:ea:f2:8a:8a:31:b4:1a:b6:34:ab:c3:d0:3a: 4d:7f:67:ae:ae:04:e1:5e:f4:21:ee:63:83:4e:85:f0:87:13: 9f:5b:f6:77:bc:90:c2:b7:a3:93:d9:75:d6:70:91:b0:94:4b: 7f:2d:d7:d3:e6:ef:31:d8:de:54:62:fe:69:c5:10:95:8f:43: d6:ce:cf:a9:80:03:9a:87:81:c9:7e:0d:bd:85:2d:3b:11:57: 7b:e1:88:28:b9:3c:ce:55:70:b0:11:59:34:2c:eb:51:de:15: 24:42:2e:1a:e5:0a:30:6d:39:93:54:2d:f3:7b:5e:c6:a9:ca: b3:3d:13:56:d9:1b:bc:27:31:45:88:3d:e9:b3:40:d2:0e:1b: c1:3c:5e:4c:da:c6:bb:a3:4f:85:6a:8b:f0:b5:06:e7:2b:31: 68:be:c4:6f:cf:a5:c9:75:79:98:b7:e4:6e:c9:34:b5:a7:c9: 2a:6b:a6:f3:ef:f4:ba:c9:1e:b7:7f:cf:e9:8f:9e:ce:67:fb: c9:a9:f0:91:c3:33:95:00 \end{verbatim} %De acuerdo con el RFC 2828\footnote{https://datatracker.ietf.org/doc/rfc2828} %un certificado es un documento que da fe de la verdad de algo o de la propiedad de algo. %digital certificate %PKI usage: public-key certificate %Los certificados electrónicos son documentos criptográficos que tienen el objetivo %de garantizar de forma vinculante (con soporte en las leyes nacionales e %internacionales) la veracidad de un conjunto de datos digitales. % El uso más popular de los certificados es la validación de sitios web o direcciones en % internet, lo que implica la defensa contra acciones de falsificación que buscan % tomar datos de los usuarios de estos sitios de manera masiva y que generalmente % se coordinan con otros ataques como el \textit{phishing}. % Los certificados electrónicos también funcionan como elemento fundamental % en el modelo de confianza denominado \textit{Infraestructura de Clave Pública}, % ya que otorgan la confianza necesaria a las firmas electrónicas que distribuyen % los Proveedores de Servicios de Certificación (PSC). Cuando una persona % desea obtener una identidad digital en internet de nivel vinculante acorde con % las leyes donde la solicita, puede recurrir a un PSC para que le venda y/o asigne % una firma electrónica. Esta se distribuye en una tarjeta inteligente % (\textit{smartcard}) acompañada de un certificado asegurado por una cadena % de confianza que brinda una muy alta seguridad en internet.