Certificados Digitales

Seguramente en alguna ocasión has escuchado acerca de los certificados digitales, por ejemplo al navegar en internet, o al autentificarte dentro del portal del SAT para realizar diferentes movimientos. En este artículo veremos qué son y cómo funcionan a grandes rasgos.

Antecedentes

Hoy en día, como parte de la rama de la criptografía, existen dos tipos de algoritmos populares para cifrar información: simétricos y asimétricos.

En los algoritmos simétricos se utiliza una misma llave para cifrar y descifrar mensajes (por ejemplo cuando se comprime un fichero con una contraseña en WinRAR). Esto quiere decir que tanto emisor como receptor, deben tener la misma llave (contraseña) para cifrar/descifrar los mensajes. El riesgo en este tipo de cifrado reside en el hecho de que ambas partes deben compartirse la clave a través de algún canal de comunicación, siendo éste la mayoría de las veces inseguro.

En cambio, en los algoritmos asimétricos cada uno de los participantes cuenta con una llave pública y una llave privada. La llave pública puede ser compartida con aquellos remitentes que requieran enviar un mensaje cifrado al destinatario, mismo que sólo podrá ser descifrado a través de la llave privada del destinatario. Dicha clave, debe ser únicamente conocida por el propietario.

Si por otra parte, el propietario de las llaves desea publicar un mensaje, deberá cifrarlo con su clave privada, para que aquellos que cuenten con su llave pública, puedan descifrar el mensaje enviado. Este es el principio en el cual se basa la firma electrónica.

Certificados digitales

Para entender de una forma práctica los certificados digitales, comparémoslos con los certificados que se obtienen al concluir algún curso o entrenamiento. Dichos certificados, generalmente constan de un emisor (la institución que emite el certificado), la persona a quien se le reconoce, un sello, y en ocasiones, una fecha de expiración. Lo mismo ocurre con los certificados digitales, los cuales contienen los datos de quién ha emitido el certificado, los datos de la persona a quien validan para hacer uso del certificado, una fecha de expiración, la llave pública del propietario del certificado, una huella digital equivalente al sello oficial de la institución, entre otros datos opcionales.

Validación de un certificado digital

Se puede tener la certeza de que un certificado digital permanece íntegro, a través de la huella digital. Esta se obtiene generando un valor hash tomando como base el propio certificado digital. Posteriormente, se aplica otra función matemática que usa la llave privada del emisor para generar la huella digital. Esto ayudará a que se pueda comprobar que el certificado digital no haya sido alterado o dañado, dando como resultado una comprobación de identidad.

Infraestructura de Llave Pública (PKI)

Los certificados digitales más conocidos, se basan en el estándar denominado X.509, y que se encuentra en la versión 3. El estándar X.509, es parte de un framework denominado Infraestructura de Llave Pública (PKI por sus siglas en inglés). Dicho framework, consiste en un conjunto de hardware, software, gente, procesos y políticas que juntos, permiten crear, administrar, distribuir, usar, almacenar y revocar certificados digitales.

La figura 1 ilustra el funcionamiento de dicha infraestructura. El proceso para obtener un certificado digital, inicia con una petición hacia la Autoridad Registradora (RA), el cual es el encargado de recibir todas las solicitudes. De igual forma, se encarga de validar la información real de la entidad. Si se tomara como ejemplo el caso del SAT, se validaría que la persona física o moral sea realmente quien acude a solicitar su par de llaves.

Una vez que se ha validado que el solicitante es confiable, se procede a enviar la información de éste a la Autoridad Certificadora (CA), la cual generará un nuevo certificado digital con la información del solicitante, así como información sobre el uso del certificado, periodo de validez, la huella digital, entre otros. Otro componente clave es la Autoridad Validadora (VA), también conocido como OSCP (Online Certificate Status Protocol), el cual es un servidor cuyo principal objetivo es mantener una base de datos con todos los certificados emitidos por la CA, con su respectivo estatus (válido, revocado o desconocido). Esto le permitirá a un tercero validar el estatus de un certificado digital, y con esto determinar si debe aceptarlo o no.

Figura 1. Funcionamiento de PKI.

Conclusión

Continuamente compartimos información sensible a través de internet apoyándonos en certificados digitales. Es importante que entendamos cómo funcionan y el papel que juegan en los esquemas de seguridad.