source: libros/maquetacion/capitulo1/certificadosElectronicos.tex @ dc517c9

\subsubsection{Certificados electrónicos}





A una persona que desea realizar un trámite o solicitar un servicio en una 
institución pública o privada generalmente se le exige que demuestre 
su identidad para ser atendido. 
La manera común en la que se demuestra la identidad
de un individuo es a través de su documento de identidad o Cédula de Identidad.
Por ejemplo, un pensionado del seguro social debe presentar su cédula de identidad para retirar 
dinero de su cuenta de banco, así como un solicitante de un préstamo para adquisición 
de vivienda principal debe presentar, entre otros requisitos, su cédula de identidad.
Todas las personas utilizan la cédula de identidad como un documento físico que
garantiza su identidad ante otras personas, instituciones, empresas e inclusive
ante otros países. En la figura \ref{fig:cedulaDeIdentidad} se muestra una cédula de identidad 
de un ciudadano de la República Bolivariana de Venezuela.

\begin{figure} [h]
\begin {center}
\includegraphics[width=0.4\textwidth]{imagenes/cedulaDeIdentidad.jpg}
\caption{Cédula de identidad de la República Bolivariana de Venezuela.}
\label{fig:cedulaDeIdentidad}
\end {center}
\end{figure}

 
En la sociedad digital en la que se desenvuelven los individuos en la actualidad, es
necesario utilizar algún mecanismo que permita establecer su identidad digital. Una
alternativa es el certificado electrónico. %Un certificado electrónico 
Éste es un documento electrónico que tiene el objetivo 
de garantizar la veracidad de un conjunto de datos digitales. Así como la cédula
de identidad incluye datos de una persona como nombres, apellidos, fecha de nacimiento 
y estado civil, los certificados electrónicos incluyen campos que permiten establecer
su identidad digital.

La cédula de identidad es emitida por una institución de gobierno en la que los ciudadanos
confían siguiendo estándares que la hacen difícil de falsificar. Para los certificados
electrónicos se busca mantener estas mismas características al ser emitidos por 
una entidad en la que tanto individuos como sistemas informáticos van a confiar. 

Los certificados electrónicos son un elemento fundamental 
en el modelo de confianza denominado \textit{Infraestructura de Clave Pública} (ICP). Este 
modelo describe una tecnología utilizada para establecer identidades a través de certificados 
electrónicos y permitir el intercambio de información segura entre partes que se comunican.
La ICP agrupa programas o software,
piezas de hardware y documentación relacionada a políticas para establecer lo
que se puede hacer o no con certificados electrónicos.

En la República Bolivariana de Venezuela existe una ICP jerárquica
denominada \textit{Infraestructura Nacional de Certificación Electrónica} y establecida en
la Providencia Administrativa Número 016 del 05 de Febrero de 2007 de la Gaceta Oficial Número
38.636\footnote{http://www.tsj.gov.ve/gaceta/gacetaoficial.asp}. Esta jerarquía
es supervisada y controlada por la Superintendencia de Servicios de Certificación Electrónica
(SUSCERTE)\footnote{http://suscerte.gob.ve/}, organismo adscrito al Ministerio del Poder Popular para Ciencia, Tecnología 
e Innovación.

La \textit{Infraestructura Nacional de Certificación Electrónica} está compuesta por los 
siguientes elementos:

\begin{itemize}
\item Autoridad de Certificación (AC) Raíz del Estado Venezolano. Primera autoridad de la infraestructura y se 
encarga de emitir, renovar, revocar y suspender los certificados electrónicos de los
Proveedores de Servicios de Certificación.

\item Autoridades de Certificación de los Proveedores de
Servicios de Certificación (PSC). Entidades subordinadas a la Autoridad de Certificación Raíz
del Estado Venezolano y se encarga de emitir, renovar, revocar y suspender los certificados
electrónicos a los signatarios y a sus Autoridades de Certificación subordinadas, en caso
de tenerlas.

\item Autoridades de Registro de los Proveedores de
Servicios de Certificación. Entidades encargadas de controlar la generación de los certificados electrónicos
de sus Autoridades de Certificación y comprobar la veracidad y exactitud de los datos suministrados
por los signatarios. Generalmente las Autoridades de Registro y los PSC son vistos como una sola entidad 
de la ICP.

\item Signatarios o titulares de certificados electrónicos emitidos por los PSC.

\end{itemize}



En la figura \ref{fig:ICPVenezuela} se muestra un bosquejo de la 
\textit{Infraestructura Nacional de Certificación Electrónica}. 

\begin{figure} [h]
\begin {center}
\includegraphics[width=0.8\textwidth]{imagenes/icpVenezuela.png}
\caption{Infraestructura Nacional de Certificación Electrónica.}
\label{fig:ICPVenezuela}
\end {center}
\end{figure}

Cuando una persona desea obtener una identidad digital en la Internet 
puede recurrir a un PSC para que le venda y/o asigne un certificado electrónico
de acuerdo a sus respectivos documentos de políticas de 
certificados y declaración de prácticas de certificación.
Hasta el momento de publicación de este libro, los PSC acreditados ante la 
SUSCERTE son los siguientes:

\begin{itemize}
\item Fundación Instituto de Ingeniería para Investigación y Desarrollo Tecnológico\footnote{https://ar.fii.gob.ve},
organismo adscrito al Ministerio del Poder Popular para Ciencia, Tecnología e Innovación.

\item Proveedor de Certificados (PROCERT\footnote{https://www.procert.net.ve/acprocert.asp}), C.A., 
primera entidad privada dentro de la República Bolivariana de Venezuela, en ser acreditada ante el Estado Venezolano.

\end{itemize}


Los certificados electrónicos se utilizan principalmente para:

\begin{itemize}
\item Autenticación de usuarios.
\item Enviar y recibir información cifrada con terceros.
\item Firmar electrónicamente documentos.

\end{itemize}

Cuando existe una legislación asociada a los certificados electrónicos, éstos pasan a tener 
vinculación legal con la identidad de su titular a través de su firma electrónica. En el 
caso de la República Bolivariana de Venezuela, el Decreto con Fuerza de Ley Sobre 
Mensajes de Datos y Firmas electrónicas promulgado en el año 2001\footnote{http://www.tsj.gov.ve/legislacion/dmdfe.htm}, 
crea mecanismos para que la firma electrónica tenga las misma eficacia y valor 
probatorio de la firma escrita a través del uso de certificados electrónicos de la 
Infraestructura Nacional de Certificación Electrónica. El concepto de
firma electrónica se tratará con mayor detalle en la siguiente sección.

Una característica de los certificados electrónicos es que pueden 
ser emitidos tanto para individuos como para dispositivos de red. Uno de los usos 
más popular de los certificados es la validación de sitios web 
o nombre de dominio en la Internet por ejemplo: \textit{www.gobiernoenlinea.gob.ve}, lo que implica la defensa contra acciones de 
falsificación que buscan tomar datos de los usuarios de estos sitios de manera 
masiva y que generalmente se coordinan con otros ataques como el \textit{phishing}. 





Aunque un certificado electrónico no es un documento físico, sí es posible ver su contenido.
El estándar X.509 versión 3 define los campos que un certificado electrónico tiene.




En la figura \ref{fig:camposDeUnCertificado} se muestran los detalles de los campos
de un certificados electrónico vistos desde un navegador web.

\begin{figure} [h]
\begin {center}
\includegraphics[width=0.8\textwidth]{imagenes/camposDeUnCertificado.png}
\caption{Detalles de los campos de un certificado electrónico.}
\label{fig:camposDeUnCertificado}
\end {center}
\end{figure}




Una forma de distribuir los certificados electrónicos a los usuarios es a través de dispositivos
de usuario que permiten proteger los elementos del certificado. En la sección \ref{subsubsection:dispositivosDeUsuario}
se presentan algunos dispositivos como tarjetas inteligentes y token criptográficos que almacenan
certificados electrónicos.




%De acuerdo con el RFC 2828\footnote{https://datatracker.ietf.org/doc/rfc2828}

%un certificado es un documento que da fe de la verdad de algo o de la propiedad de algo.

%digital certificate

%PKI usage: public-key certificate






%Los certificados electrónicos son documentos criptográficos que tienen el objetivo 
%de garantizar de forma vinculante (con soporte en las leyes nacionales e 
%internacionales)  la veracidad de un conjunto de datos digitales. 







% El uso más popular de los certificados es la validación de sitios web o direcciones en 
% internet, lo que implica la defensa contra  acciones de falsificación que buscan 
% tomar datos de los usuarios de estos sitios de manera masiva y que generalmente 
% se coordinan con otros ataques como el \textit{phishing}. 

% Los certificados electrónicos también funcionan como elemento fundamental 
% en el modelo de confianza  denominado  \textit{Infraestructura de Clave Pública}, 
% ya que otorgan la confianza necesaria a las firmas electrónicas que distribuyen 
% los Proveedores de Servicios de Certificación (PSC).  Cuando una persona 
% desea obtener una identidad digital en internet de nivel vinculante  acorde con 
% las leyes donde la solicita, puede recurrir a un PSC para que le venda y/o  asigne 
% una firma electrónica. Esta  se distribuye en una tarjeta inteligente 
% (\textit{smartcard}) acompañada de un certificado asegurado por una cadena 
% de confianza que brinda una muy alta seguridad en internet.