1 | \subsubsection{Certificados electrónicos} |
---|
2 | |
---|
3 | |
---|
4 | |
---|
5 | |
---|
6 | |
---|
7 | A una persona que desea realizar un trámite o solicitar un servicio en una |
---|
8 | institución pública o privada generalmente se le exige que demuestre |
---|
9 | su identidad para ser atendido. |
---|
10 | La manera común en la que se demuestra la identidad |
---|
11 | de un individuo es a través de su documento de identidad o Cédula de Identidad. |
---|
12 | Por ejemplo, un pensionado del seguro social debe presentar su cédula de identidad para retirar |
---|
13 | dinero de su cuenta de banco, así como un solicitante de un préstamo para adquisición |
---|
14 | de vivienda principal debe presentar, entre otros requisitos, su cédula de identidad. |
---|
15 | Todas las personas utilizan la cédula de identidad como un documento físico que |
---|
16 | garantiza su identidad ante otras personas, instituciones, empresas e inclusive |
---|
17 | ante otros países. En la figura \ref{fig:cedulaDeIdentidad} se muestra una cédula de identidad |
---|
18 | de un ciudadano de la República Bolivariana de Venezuela. |
---|
19 | |
---|
20 | \begin{figure} [h] |
---|
21 | \begin {center} |
---|
22 | \includegraphics[width=0.4\textwidth]{imagenes/cedulaDeIdentidad.jpg} |
---|
23 | \caption{Cédula de identidad de la República Bolivariana de Venezuela.} |
---|
24 | \label{fig:cedulaDeIdentidad} |
---|
25 | \end {center} |
---|
26 | \end{figure} |
---|
27 | |
---|
28 | |
---|
29 | En la sociedad digital en la que se desenvuelven los individuos en la actualidad, es |
---|
30 | necesario utilizar algún mecanismo que permita establecer su identidad digital. Una |
---|
31 | alternativa es el certificado electrónico. %Un certificado electrónico |
---|
32 | Éste es un documento electrónico que tiene el objetivo |
---|
33 | de garantizar la veracidad de un conjunto de datos digitales. Así como la cédula |
---|
34 | de identidad incluye datos de una persona como nombres, apellidos, fecha de nacimiento |
---|
35 | y estado civil, los certificados electrónicos incluyen campos que permiten establecer |
---|
36 | su identidad digital. |
---|
37 | |
---|
38 | La cédula de identidad es emitida por una institución de gobierno en la que los ciudadanos |
---|
39 | confían siguiendo estándares que la hacen difícil de falsificar. Para los certificados |
---|
40 | electrónicos se busca mantener estas mismas características al ser emitidos por |
---|
41 | una entidad en la que tanto individuos como sistemas informáticos van a confiar. |
---|
42 | |
---|
43 | Los certificados electrónicos son un elemento fundamental |
---|
44 | en el modelo de confianza denominado \textit{Infraestructura de Clave Pública} (ICP). Este |
---|
45 | modelo describe una tecnología utilizada para establecer identidades a través de certificados |
---|
46 | electrónicos y permitir el intercambio de información segura entre partes que se comunican. |
---|
47 | La ICP agrupa programas o software, |
---|
48 | piezas de hardware y documentación relacionada a políticas para establecer lo |
---|
49 | que se puede hacer o no con certificados electrónicos. |
---|
50 | |
---|
51 | En la República Bolivariana de Venezuela existe una ICP jerárquica |
---|
52 | denominada \textit{Infraestructura Nacional de Certificación Electrónica} y establecida en |
---|
53 | la Providencia Administrativa Número 016 del 05 de Febrero de 2007 de la Gaceta Oficial Número |
---|
54 | 38.636\footnote{http://www.tsj.gov.ve/gaceta/gacetaoficial.asp}. Esta jerarquía |
---|
55 | es supervisada y controlada por la Superintendencia de Servicios de Certificación Electrónica |
---|
56 | (SUSCERTE)\footnote{http://suscerte.gob.ve/}, organismo adscrito al Ministerio del Poder Popular para Ciencia, Tecnología |
---|
57 | e Innovación. |
---|
58 | |
---|
59 | La \textit{Infraestructura Nacional de Certificación Electrónica} está compuesta por los |
---|
60 | siguientes elementos: |
---|
61 | |
---|
62 | \begin{itemize} |
---|
63 | \item Autoridad de Certificación (AC) Raíz del Estado Venezolano. Primera autoridad de la infraestructura y se |
---|
64 | encarga de emitir, renovar, revocar y suspender los certificados electrónicos de los |
---|
65 | Proveedores de Servicios de Certificación. |
---|
66 | |
---|
67 | \item Autoridades de Certificación de los Proveedores de |
---|
68 | Servicios de Certificación (PSC). Entidades subordinadas a la Autoridad de Certificación Raíz |
---|
69 | del Estado Venezolano y se encarga de emitir, renovar, revocar y suspender los certificados |
---|
70 | electrónicos a los signatarios y a sus Autoridades de Certificación subordinadas, en caso |
---|
71 | de tenerlas. |
---|
72 | |
---|
73 | \item Autoridades de Registro de los Proveedores de |
---|
74 | Servicios de Certificación. Entidades encargadas de controlar la generación de los certificados electrónicos |
---|
75 | de sus Autoridades de Certificación y comprobar la veracidad y exactitud de los datos suministrados |
---|
76 | por los signatarios. Generalmente las Autoridades de Registro y los PSC son vistos como una sola entidad |
---|
77 | de la ICP. |
---|
78 | |
---|
79 | \item Signatarios o titulares de certificados electrónicos emitidos por los PSC. |
---|
80 | |
---|
81 | \end{itemize} |
---|
82 | |
---|
83 | |
---|
84 | |
---|
85 | En la figura \ref{fig:ICPVenezuela} se muestra un bosquejo de la |
---|
86 | \textit{Infraestructura Nacional de Certificación Electrónica}. |
---|
87 | |
---|
88 | \begin{figure} [h] |
---|
89 | \begin {center} |
---|
90 | \includegraphics[width=0.8\textwidth]{imagenes/icpVenezuela.png} |
---|
91 | \caption{Infraestructura Nacional de Certificación Electrónica.} |
---|
92 | \label{fig:ICPVenezuela} |
---|
93 | \end {center} |
---|
94 | \end{figure} |
---|
95 | |
---|
96 | Cuando una persona desea obtener una identidad digital en la Internet |
---|
97 | puede recurrir a un PSC para que le venda y/o asigne un certificado electrónico |
---|
98 | de acuerdo a sus respectivos documentos de políticas de |
---|
99 | certificados y declaración de prácticas de certificación. |
---|
100 | Hasta el momento de publicación de este libro, los PSC acreditados ante la |
---|
101 | SUSCERTE son los siguientes: |
---|
102 | |
---|
103 | \begin{itemize} |
---|
104 | \item Fundación Instituto de Ingeniería para Investigación y Desarrollo Tecnológico\footnote{https://ar.fii.gob.ve}, |
---|
105 | organismo adscrito al Ministerio del Poder Popular para Ciencia, Tecnología e Innovación. |
---|
106 | |
---|
107 | \item Proveedor de Certificados (PROCERT\footnote{https://www.procert.net.ve/acprocert.asp}), C.A., |
---|
108 | primera entidad privada dentro de la República Bolivariana de Venezuela, en ser acreditada ante el Estado Venezolano. |
---|
109 | |
---|
110 | \end{itemize} |
---|
111 | |
---|
112 | |
---|
113 | Los certificados electrónicos se utilizan principalmente para: |
---|
114 | |
---|
115 | \begin{itemize} |
---|
116 | \item Autenticación de usuarios. |
---|
117 | \item Enviar y recibir información cifrada con terceros. |
---|
118 | \item Firmar electrónicamente documentos. |
---|
119 | |
---|
120 | \end{itemize} |
---|
121 | |
---|
122 | Cuando existe una legislación asociada a los certificados electrónicos, éstos pasan a tener |
---|
123 | vinculación legal con la identidad de su titular a través de su firma electrónica. En el |
---|
124 | caso de la República Bolivariana de Venezuela, el Decreto con Fuerza de Ley Sobre |
---|
125 | Mensajes de Datos y Firmas electrónicas promulgado en el año 2001\footnote{http://www.tsj.gov.ve/legislacion/dmdfe.htm}, |
---|
126 | crea mecanismos para que la firma electrónica tenga las misma eficacia y valor |
---|
127 | probatorio de la firma escrita a través del uso de certificados electrónicos de la |
---|
128 | Infraestructura Nacional de Certificación Electrónica. El concepto de |
---|
129 | firma electrónica se tratará con mayor detalle en la siguiente sección. |
---|
130 | |
---|
131 | Una característica de los certificados electrónicos es que pueden |
---|
132 | ser emitidos tanto para individuos como para dispositivos de red. Uno de los usos |
---|
133 | más popular de los certificados es la validación de sitios web |
---|
134 | o nombre de dominio en la Internet por ejemplo: \textit{www.gobiernoenlinea.gob.ve}, lo que implica la defensa contra acciones de |
---|
135 | falsificación que buscan tomar datos de los usuarios de estos sitios de manera |
---|
136 | masiva y que generalmente se coordinan con otros ataques como el \textit{phishing}. |
---|
137 | |
---|
138 | |
---|
139 | |
---|
140 | |
---|
141 | |
---|
142 | Aunque un certificado electrónico no es un documento físico, sí es posible ver su contenido. |
---|
143 | El estándar X.509 versión 3 define los campos que un certificado electrónico tiene. |
---|
144 | |
---|
145 | |
---|
146 | |
---|
147 | |
---|
148 | En la figura \ref{fig:camposDeUnCertificado} se muestran los detalles de los campos |
---|
149 | de un certificados electrónico vistos desde un navegador web. |
---|
150 | |
---|
151 | \begin{figure} [h] |
---|
152 | \begin {center} |
---|
153 | \includegraphics[width=0.8\textwidth]{imagenes/camposDeUnCertificado.png} |
---|
154 | \caption{Detalles de los campos de un certificado electrónico.} |
---|
155 | \label{fig:camposDeUnCertificado} |
---|
156 | \end {center} |
---|
157 | \end{figure} |
---|
158 | |
---|
159 | |
---|
160 | |
---|
161 | |
---|
162 | Una forma de distribuir los certificados electrónicos a los usuarios es a través de dispositivos |
---|
163 | de usuario que permiten proteger los elementos del certificado. En la sección \ref{subsubsection:dispositivosDeUsuario} |
---|
164 | se presentan algunos dispositivos como tarjetas inteligentes y token criptográficos que almacenan |
---|
165 | certificados electrónicos. |
---|
166 | |
---|
167 | |
---|
168 | |
---|
169 | |
---|
170 | %De acuerdo con el RFC 2828\footnote{https://datatracker.ietf.org/doc/rfc2828} |
---|
171 | |
---|
172 | %un certificado es un documento que da fe de la verdad de algo o de la propiedad de algo. |
---|
173 | |
---|
174 | %digital certificate |
---|
175 | |
---|
176 | %PKI usage: public-key certificate |
---|
177 | |
---|
178 | |
---|
179 | |
---|
180 | |
---|
181 | |
---|
182 | |
---|
183 | %Los certificados electrónicos son documentos criptográficos que tienen el objetivo |
---|
184 | %de garantizar de forma vinculante (con soporte en las leyes nacionales e |
---|
185 | %internacionales) la veracidad de un conjunto de datos digitales. |
---|
186 | |
---|
187 | |
---|
188 | |
---|
189 | |
---|
190 | |
---|
191 | |
---|
192 | |
---|
193 | % El uso más popular de los certificados es la validación de sitios web o direcciones en |
---|
194 | % internet, lo que implica la defensa contra acciones de falsificación que buscan |
---|
195 | % tomar datos de los usuarios de estos sitios de manera masiva y que generalmente |
---|
196 | % se coordinan con otros ataques como el \textit{phishing}. |
---|
197 | |
---|
198 | % Los certificados electrónicos también funcionan como elemento fundamental |
---|
199 | % en el modelo de confianza denominado \textit{Infraestructura de Clave Pública}, |
---|
200 | % ya que otorgan la confianza necesaria a las firmas electrónicas que distribuyen |
---|
201 | % los Proveedores de Servicios de Certificación (PSC). Cuando una persona |
---|
202 | % desea obtener una identidad digital en internet de nivel vinculante acorde con |
---|
203 | % las leyes donde la solicita, puede recurrir a un PSC para que le venda y/o asigne |
---|
204 | % una firma electrónica. Esta se distribuye en una tarjeta inteligente |
---|
205 | % (\textit{smartcard}) acompañada de un certificado asegurado por una cadena |
---|
206 | % de confianza que brinda una muy alta seguridad en internet. |
---|