Certificado y Firma digital. Fundamentos

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Certificado y Firma digital. Fundamentos"

Transcripción

1 Certificado y Firma digital Fundamentos

2 Informació general del document. Descripció. Títol: Certificado y Firma digital. Fundamentos Estat: Aprovat Versió: 1.0 Autor/s: Daniel Boerner Creat: 26/11/2013 Modificat 18/12/2013 Fitxer: firmadigitalfbit.odt Històric de modificacions. Comentari: Font documental. Autor/s: Data:

3 Contenido 1. Función Hash Código de Autenticación HMAC Cifrado Simétrico Cifrado Asimétrico Generación de claves Envoltorio Digital Firma Digital Sello de Tiempo Certificado Digital PKI X Certificado digital X Autoridades...15 Usos...15 Políticas de certificación...16 Ejemplo de certificado digital X Creación de un certificado digital...19 Creación de un certificado digital autofirmado...20 Revocación...22 Validación...26 Subject Key Identifier...27 Verificación Archivos de certificados digitales...30 Operaciones sobre archivos con certificados digitales Huella digital Marco legal Prácticas PKI Simple PKI Avanzado PKI Experto SSL. Autenticación cliente/servidor Firma avanzada CAdES Perfiles...38 CAdES-BES: básica...39 CAdES-EPES: referencias a políticas de firma...40 CAdES-T: sello de tiempo...40 CAdES-C: referencias a datos de validación...41 CAdES-X Long: datos de validación...41 CAdES-X Type 1: referencias a datos de validación y sello de tiempo sobre CAdES-C...42 CAdES-X Type 2: referencias a datos de validación y sello de tiempo sobre referencias a datos de validación...42 CAdES-X Long Type 1: datos de validación y sello de tiempo sobre CadES-C...43 CAdES-X Long Type 2: datos de validación y sello de tiempo sobre referencias a datos de validación...43 CAdES-A: datos de validación y sello de tiempo sobre CAdES-C o sobre referencias a datos de validación, sellos de tiempo periódicos para validar la firma a largo plazo XAdES Forma canónica Firma Digital XML...45 Enveloping Signature...46 Enveloped Signature...46 Detached Signature...47 Validación de una firma XML...48 Ejemplo de una firma XML Formas de firma digital XML avanzada...50 XAdES: básica...51 XAdES-T: sello de tiempo...52 XAdES-C: referencias a datos de validación (cadenas de certificados y listas de revocación)...53 XAdES-X: referencias a datos de validación y sello de tiempo sobre referencias a datos de validación y/o firma y otros sellos de tiempos...53

4 XAdES-X-L: datos de validación (cadenas de certificados y listas de revocación) y con referencias a datos de validación y sello de tiempo sobre referencias a datos de validación y/o firma y otros sellos de tiempos...55 XAdES-A: datos de validación (cadenas de certificados y listas de revocación), referencias a datos de validación, sellos de tiempo periódicos para validar la firma a largo plazo, sello de tiempo sobre referencias a datos de validación y/o firma y otros sellos de tiempos PAdES Perfiles PAdES...57 PAdES Basic...57 PAdES Enhanced...59 PAdES Long Term...59 PAdES XML...60

5 1. Función Hash El valor de una función hash es un número calculado a partir de un mensaje o documento. Básicamente, una función hash exhibe tres propiedades interesantes: no es posible recuperar el mensaje a partir del número para dos mensajes diferentes no se obtiene el mismo número la longitud de la representación del número calculado es independiente de la longitud del mensaje Debido a estas propiedades, una función hash se utiliza para: indexar documentos comprobar la integridad de un documento almacenar contraseñas Para su utilidad práctica, el algoritmo que implementa una función hash debe ser eficiente en cuanto al consumo de recursos: tiempo de procesador y uso de memoria. Algoritmos que implementan una función hash son MD5 y SHA-1. Ejemplos: $ echo "hola mundo" openssl dgst md5 (stdin)= 1e04bb3f9f396d3b71d93d326ebfc42d $ echo "hola mundo" openssl dgst sha1 (stdin)= f66b87fef5bf79850e957497ef2d529ce607b7ad $ openssl dgst sha1 documento.txt SHA1(documento.txt)= 6d6aad4c d6d6b9cb272aa14e18f2ca256 Una importante característica de las funciones hash es su calidad. Dado que el número de posibles valores de una función hash es finito y el número de mensajes es infinito, necesariamente se producen coincidencias entre los valores hash calculados para diferentes mensajes. Este hecho se conoce como colisión. Así, la calidad de una función hash se mide por la probabilidad de que se produzcan colisiones. 2. Código de Autenticación El código de autenticación de un mensaje (MAC) es un número obtenido al cifrar el valor resultante de aplicar una función hash a un mensaje. De esta forma el receptor del mensaje puede verificar la INTEGRIDAD (el mensaje no ha sido modificado durante su transmisión) y la AUTENTICIDAD del origen del mensaje (todas aquellas partes que posean la clave). No ofrece la propiedad de no repudio ya que cualquier parte (emisor o receptor) capaz de verificar un MAC puede también generar un MAC. Tampoco ofrece privacidad porque no se cifra el mensaje. El emisor calcula el MAC de un mensaje y lo adjunta al mensaje. El receptor calcula mediante el mismo algoritmo y con la misma clave utilizada por el emisor un nuevo MAC a partir del mensaje y lo compara con el MAC recibido. 5 de 61

6 2.1. HMAC Una implementación de un algoritmo MAC es HMAC (keyed-hash Message Authentication Code) cuyo principio básico es: MAC = h(k h(k M)) donde: h es una función hash k es la clave M es el mensaje representa la concatenación de cadenas de caracteres Ejemplos: $ echo 'mi pedido' openssl dgst hmac 'mi clave' (stdin)= 03852bdcf9d cbe78ab616d $ echo 'mi pedido' openssl dgst sha1 hmac 'mi clave' (stdin)= 03852bdcf9d cbe78ab616d $ echo n '' openssl dgst hmac '' (stdin)= fbdb1d1b18aa6c08324b7d64b71fb e1d $ perl MDigest::SHA e 'print Digest::SHA::hmac_sha1_hex("", ""), "\n";' fbdb1d1b18aa6c08324b7d64b71fb e1d 3. Cifrado Simétrico En un sistema de cifrado simétrico se utiliza una única clave para cifrar y descifrar un mensaje o documento. El emisor utiliza una clave para cifrar un mensaje y el receptor del mensaje utiliza la misma clave para descifrar el mensaje. El cifrado simétrico requiere un intercambio inicial de la clave entre el emisor y el receptor. Para ello se debe utilizar un canal de comunicación de confianza para ambos. Mediante el cifrado simétrico se consigue INTEGRIDAD (el mensaje no ha sido modificado durante su transmisión), PRIVACIDAD (confidencialidad) y AUTENTICIDAD (se conoce el autor del mensaje). En cuanto a la gestión de claves, el cifrado simétrico precisa una clave para cada par emisor/receptor lo cual complica la distribución de las claves. Algoritmos de cifrado simétrico son: AES, Blowfish, DES, Triple-DES, etc... Ejemplo de cifrado utilizando el algoritmo Blowfish: $ openssl enc bf in document.in out document.bf k mypassword $ openssl enc bf d in document.bf out document.out k mypassword 6 de 61

7 4. Cifrado Asimétrico A diferencia del cifrado simétrico, el cifrado asimétrico utiliza dos claves relacionadas matemáticamente entre sí. Un emisor puede cifrar el mensaje con una de las claves manteniéndola privada y publicar la otra clave para que el receptor pueda descifrar con ella el mensaje. Este procedimiento es reversible: el emisor puede utilizar cualquiera de sus dos claves para cifrar, utilizando entonces el receptor la otra clave del emisor para descifrar. Alternativamente, el emisor puede utilizar una de las claves del receptor para cifrar, utilizando entonces el receptor su otra clave para descifrar el mensaje recibido. La utilización de una clave es complementaria a la utilización de la otra clave. Para conseguir la PRIVACIDAD en una comunicación, el emisor utiliza habitualmente la clave pública del destinatario para cifrar el mensaje. Actualmente, el algoritmo más popular que implementa el cifrado asimétrico es RSA: e d c = m mod n m = c mod n donde: m es una representación númerica del mensaje sin cifrar (0 m < n) c es el mensaje cifrado (0 c < n) n se denomina módulo y resulta de multiplicar dos números primos, aleatorios y grandes, p y q e es un exponente que junto a n forman la clave pública. Típicamente e = 2 d es la clave privada y se obtiene a partir de e y de la factorización p q de n = En el contexto de RSA, la longitud de la clave es la longitud en bits del módulo. La seguridad del algoritmo RSA se basa en que actualmente no se sabe como obtener d en base al exponente e y sin conocer la factorización del módulo n. Y por supuesto, sin conocer d, tampoco se sabe como obtener la representación numérica m del mensaje original a partir del mensaje cifrado c. Teóricamente, el cifrado asimétrico resuelve el problema del intercambio inicial de claves. En la práctica, sin embargo, se requiere además de un servicio de directorio para una eficaz distribución de claves. La implementación del cifrado asimétrico consume mayor cantidad de recursos (tiempo de procesador y uso de memoria) con respecto a la implementación del cifrado simétrico Generación de claves Las claves son números grandes y aleatorios. A continuación se muestra un ejemplo de generación de un par de claves para un cifrado asimétrico. $ openssl genrsa out my.key 1024 Generating RSA private key, 1024 bit long modulus e is (0x10001) Como resultado se obtiene: $ openssl pkey in my.key text noout Private Key: (1024 bit) modulus: 00:e1:8b:d9:44:dd:a2:41:4e:0d:8a:85:66:00:cb: 5d:8e:4d:e2:40:a7:a0:b7:41:5f:e3:93:72:f2:f3: 7 de 61

8 c3:6e:60:a5:b1:eb:87:53:1c:ba:bc:f9:fa:b7:d0: 14:0f:14:81:9c:5c:93:6f:36:ae:e6:0e:36:51:4f: a1:03:26:7a:17:2f:c9:0c:a7:a1:46:cb:2e:6a:d2: 9d:ff:20:20:19:79:de:52:97:0c:c5:ba:b8:cd:62: 2c:01:f1:3a:6a:a9:68:d5:31:eb:97:3c:3e:e0:d7: 8d:c9:8f:1d:6c:14:60:fc:e2:91:9c:a4:40:0a:24: a8:79:75:29:07:fc:7e:de:7f publicexponent: (0x10001) privateexponent: 32:98:da:de:d6:11:86:30:ea:5c:be:dc:49:25:56: 11:8c:6b:4b:31:cf:9e:0c:ae:64:31:39:c2:42:e8: fe:a3:f3:c7:dc:1c:79:8a:a2:61:ae:7a:8e:2d:c1: b2:38:59:73:28:59:72:c3:83:ac:dc:57:57:1a:53: f6:8e:f5:28:3e:9c:f1:ef:b5:24:f0:23:c0:c3:ed: bf:cb:bf:f3:eb:be:af:ef:76:8f:ac:40:40:55:af: fd:da:76:1c:9f:39:12:6f:36:e1:28:43:cb:23:c1: 2e:9c:75:1c:c0:e0:b1:bb:a1:7e:41:64:e8:1a:47: 41:c9:b7:22:aa:4d:24:41 prime1: 00:f5:19:14:9c:75:a5:ca:73:9b:f4:83:fe:b2:bf: 32:fc:e0:18:16:30:72:a7:1e:fc:85:93:ec:d2:6a: bc:5e:e6:e0:81:c8:8d:21:f3:62:4b:89:13:d4:f7: aa:62:c4:ce:54:35:d0:36:72:52:d5:d9:91:e0:ee: c1:1e:90:6d:11 prime2: 00:eb:94:22:4f:5f:c9:2b:34:55:0d:fa:2d:1d:e0: 81:6e:49:48:4a:a1:11:2c:53:fb:2c:e5:31:87:a2: bc:ca:37:8a:53:b0:1c:1f:4b:0d:4d:a4:10:47:67: 3d:e1:6f:48:13:c9:91:cd:7b:a4:4e:b7:03:6c:17: cb:12:ba:d2:8f exponent1: 08:dd:fe:6b:e6:a9:b7:d8:54:e5:14:bd:6b:34:15: a1:26:6e:58:a7:2a:0e:b7:c5:45:03:e4:06:7c:cc: 11:d6:e2:7a:6f:8a:03:97:6d:8f:f4:06:9e:a6:d3: 28:3d:9c:85:59:69:0d:ff:36:d5:fb:c8:16:4e:2c: f8:71:1b:31 exponent2: 00:b4:69:97:f5:0d:b8:34:5c:39:9f:20:af:18:a8: 6c:b7:17:6c:43:ab:22:49:be:6f:27:ac:c6:c7:c7: 3b:a9:e9:eb:07:b8:61:71:1d:bb:2c:70:ae:fe:df: f4:26:07:61:3d:b6:2a:f1:20:f5:6e:4a:fe:55:f3: ca:d3:a7:3b:c5 coefficient: 00:e8:36:9f:4b:ec:fc:04:13:68:e4:fa:24:aa:6e: 33:a9:7c:b4:ec:d0:6d:47:dd:39:9c:29:fb:da:1d: 54:0a:a7:b8:44:5b:69:fb:01:48:1b:a1:ee:c1:13: ac:0c:02:5a:4b:62:ea:31:bf:6f:1e:68:d9:9a:6e: 35:9b:2c:e8:96 Multiplicando los dos números prime1 y prime2: #!/usr/bin/perl w use strict; use Math::BigInt; (my $prime1 = <<'PRIME1') =~ s/[:\s\n]+//g; 0x 00:f5:19:14:9c:75:a5:ca:73:9b:f4:83:fe:b2:bf: 32:fc:e0:18:16:30:72:a7:1e:fc:85:93:ec:d2:6a: bc:5e:e6:e0:81:c8:8d:21:f3:62:4b:89:13:d4:f7: aa:62:c4:ce:54:35:d0:36:72:52:d5:d9:91:e0:ee: c1:1e:90:6d:11 PRIME1 8 de 61

9 (my $prime2 = <<'PRIME2') =~ s/[:\s\n]+//g; 0x 00:eb:94:22:4f:5f:c9:2b:34:55:0d:fa:2d:1d:e0: 81:6e:49:48:4a:a1:11:2c:53:fb:2c:e5:31:87:a2: bc:ca:37:8a:53:b0:1c:1f:4b:0d:4d:a4:10:47:67: 3d:e1:6f:48:13:c9:91:cd:7b:a4:4e:b7:03:6c:17: cb:12:ba:d2:8f PRIME2 my $a = Math::BigInt >new(qq($prime1)); my $b = Math::BigInt >new(qq($prime2)); my $modulus = $a >bmul($b) >as_hex(); # pretty print $modulus =~ s/0x/00/; $modulus =~ s/(\w\w)/$1:/g; $modulus =~ s/((\w\w:){15})/$1\n/g; $modulus =~ s/:$//; print $modulus, "\n"; se obtiene efectivamente el modulus cuya representación binaria contiene 1024 bits: 00:e1:8b:d9:44:dd:a2:41:4e:0d:8a:85:66:00:cb: 5d:8e:4d:e2:40:a7:a0:b7:41:5f:e3:93:72:f2:f3: c3:6e:60:a5:b1:eb:87:53:1c:ba:bc:f9:fa:b7:d0: 14:0f:14:81:9c:5c:93:6f:36:ae:e6:0e:36:51:4f: a1:03:26:7a:17:2f:c9:0c:a7:a1:46:cb:2e:6a:d2: 9d:ff:20:20:19:79:de:52:97:0c:c5:ba:b8:cd:62: 2c:01:f1:3a:6a:a9:68:d5:31:eb:97:3c:3e:e0:d7: 8d:c9:8f:1d:6c:14:60:fc:e2:91:9c:a4:40:0a:24: a8:79:75:29:07:fc:7e:de:7f Para obtener la clave privada: $ openssl pkey in my.key BEGIN PRIVATE KEY MIICeAIBADANBgkqhkiG9w0BAQEFAASCAmIwggJeAgEAAoGBAObJiSmXci/UmTtf EjiD0o0dw0CDNNITh1iwLDGWAtv1A+T2aAS3sY69dzd1yMJKFbe+Kqg6e2VzVuWO GAn2yyXsK/ibsxiZP9LP/a4oudpvpi0BT1FQAhpFw8SjjbuFaNQXhLfd7kmFiLRe JQxcp/B/2dVfYxcosdRXy34cf0nnAgMBAAECgYEAiDCR4pteZN9edWzLAdK4o1HW 8PD8cKPZkPqVecV+dnKGE81c4LvN6d/gxDebexvg6QctgQzR2LJRqzFI+khK5Dz1 EXJ5bQsXNISm1EPzQAXArDq6Diy3JV/xNujYkC757KWbKIotoFXE5EWnCbOxv5fl 9G01QZB7Jd97bUQMEqECQQD9VQ25VeUy4hp+yEmC1l4j1js5+nriE8R4wkw5wN5i 2NIUCtQ+Lbej3BN2gi1yIV3Jez8Y7zNUa8qJI7TQ/k5/AkEA6Te0RuTtyVaWOmOa nijdsx7ufcjca55ikbeudiyvem75c33r9fxzjmzuxkh2kkicpsuucriaqyqzi0mw OQ2gmQJAZ1cAyC+/1WfigwFU62hi8p97fYUuB3ck2FX6Hj0M+qmT2NUqC0s+9Drc PaWQwFPYHE6ISLWa7L8j2ZmVMwPqJQJBAMJSjt0PfW5ovk4yli+zHzJzGnvFvpHL bbg3mxxtuvtbaiqoknvyyri+jnj8hu5ab5uonrbl5ck4/kvh6erqbukcqqdm/omx /+6VbRYBBy1IsLJct1DIquuOGdP2mpz030vCsxll9T2vMF17TboZTsxyE4gcvMXd cm7cm0wqzs37md/a END PRIVATE KEY Esta sección PEM, contiene el modulus, el publicexponent, el privateexponent, el número prime1, el número prime2, el exponent1, el exponent2 y el coefficient. Para obtener la clave pública: $ openssl pkey in my.key pubout 9 de 61

10 BEGIN PUBLIC KEY MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDmyYkpl3Iv1Jk7XxI4g9KNHcNA gztse4dyscwxlglb9qpk9mget7govxc3dcjcshw3viqoontlc1bljhgj9ssl7cv4 m7mymt/sz/2uklnab6ytau9ruaiarcpeo427hwjuf4s33e5jhyi0xiumxkfwf9nv X2MXKLHUV8t+HH9J5wIDAQAB END PUBLIC KEY Esta sección PEM, únicamente contiene el modulus y el publicexponent. 5. Envoltorio Digital Un envoltorio digital (digital envelope) es una técnica combinada de utilización de claves de cifrado simétrico y claves de cifrado asimétrico. El emisor cifra el mensaje mediante una clave simétrica y a su vez cifra esta clave mediante la clave pública de cada receptor. Cada receptor utiliza su clave privada para obtener la clave simétrica con la cual descifra el mensaje recibido. De esta forma la clave simétrica puede ser la misma para todos lo receptores. En consecuencia el emisor solo necesita calcular un único mensaje cifrado. Esta técnica explota la eficiencia del cifrado simétrico frente al cifrado asimétrico y delega el problema de distribución de claves a un sistema de claves públicas. 6. Firma Digital Una firma digital se obtiene al cifrar con la clave privada de un sistema de cifrado asimétrico el resultado de una función hash aplicada al documento o mensaje que se pretende firmar. La utilización de la clave privada del autor de la firma asegura su INTEGRIDAD, AUTENTICIDAD y la propiedad de NO REPUDIO: el emisor como único poseedor de la clave privada, no puede negar la generación de la firma. Tomando el algoritmo RSA que implementa el cifrado asimétrico, se tiene para la firma: d e s = h mod n h = s mod n donde: h es un valor hash del mensaje a firmar s es la firma digital n se denomina módulo y resulta de multiplicar dos números primos, aleatorios y grandes, p y q e es un exponente que junto a n forman la clave pública. Típicamente e = 2 d es la clave privada y se obtiene a partir de e y de la factorización p q de n = de 61

11 El interesado en validar la firma, descifra el valor hash mediante la clave pública del autor de la firma y compara el resultado con un nuevo valor hash calculado sobre el documento o mensaje en cuestión. Así pues, para validar la firma es necesario conocer la clave pública del firmante del mensaje, el algoritmo utilizado para el cifrado del resultado de la función hash y el algoritmo utilizado para la generación del valor hash. Se podría prescindir de la función hash y cifrar directamente el mensaje con la clave privada. Sin embargo, el algoritmo RSA limita la longitud del mensaje a la longitud del módulo. Esta limitación se supera aplicando una función hash al mensaje y en lugar de cifrar el mensaje, se cifra el valor de la función hash. Independientemente de esta característica y como ventaja adicional, se obtiene una mayor eficiencia al cifrar el valor hash ya que, en general y comparado con la longitud del mensaje, el valor hash suele ser de menor longitud. La firma digital es un dato añadido al mensaje que se firma y NO garantiza la privacidad de la comunicación del mensaje. Ejemplo 1: Firmar: $ openssl genrsa out my.key 1024 $ openssl pkey in my.key pubout out pubkey.pem $ openssl dgst sha256 document.txt > hasha $ openssl rsautl sign in hasha inkey my.key out signature Verificar: $ openssl rsautl verify inkey pubkey.pem pubin in signature > hashb $ diff s hasha hashb Los archivos hasha y hashb son idénticos Ejemplo 2: Firmar: $ openssl genrsa out my.key 1024 $ openssl pkey in my.key pubout out pubkey.pem $ openssl dgst sha256 sign my.key out signature document.txt Verificar: 11 de 61

12 $ openssl dgst sha256 verify pubkey.pem signature signature document.txt Verified OK 7. Sello de Tiempo Mediante un sello de tiempo (time-stamp) se pretende demostrar la existencia anterior a una determinada fecha y hora de un mensaje o documento. El interesado calcula un hash del documento y lo envía como una petición a una tercera parte de confianza denominada Autoridad de Sellado de Tiempo (TSA). Esta obtiene un token de tiempo, adjunta el token al hash recibido, firma el resultado y lo envía como respuesta al interesado. El interesado, después de verificar la firma de la TSA, comprueba su conformidad con la fecha y hora emitida y que el dato sellado por la TSA coincida con el hash del documento. Este procedimiento presenta tres interesantes características: No se requiere exponer el documento El interesado no puede modificar el sello de tiempo El interesado no puede modificar el documento después del momento representado por el sello de tiempo En base a la política que publica cada TSA para gestionar los sellos de tiempo, el interesado determinará la TSA que más le convenga. La respuesta que emite la TSA es un archivo con una estructura especificada por PKCS#7. Según RFC 3161, la TSA no está obligada a la identificación del interesado: las peticiones no incluyen información de identificación. Ejemplo 1: $ openssl ts query data documento.txt cert tee documento.tsq./tsget h o documento.tsr 12 de 61

13 $ openssl ts query in documento.tsq text Version: 1 Hash Algorithm: sha1 Message data: 0000 a5 88 af c7 b8 08 6a 7f f 0010 c8 a wq Policy OID: unspecified Nonce: 0xF113D01AD11BB96B Certificate required: yes Extensions: $ openssl ts reply in documento.tsr text Status info: Status: Granted. Status description: Operation Okay Failure info: unspecified TST info: Version: 1 Policy OID: Hash Algorithm: sha1 Message data: 0000 a5 88 af c7 b8 08 6a 7f f 0010 c8 a wq Serial number: 0x014274EA4940 Time stamp: Nov 20 09:49: GMT Accuracy: unspecified Ordering: no Nonce: 0xF113D01AD11BB96B TSA: unspecified Extensions: Ejemplo 2: (ver con ASN.1 Decoder $ openssl pkcs7 inform DER in segell_acreditacio.tst text BEGIN PKCS7 MIIKLAYJKoZIhvcNAQcCoIIKHTCCChkCAQMxCzAJBgUrDgMCGgUAMHAGCyqGSIb3 DQEJEAEEoGEEXzBdAgEBBgtghVQBAwEBBAIBAjAhMAkGBSsOAwIaBQAEFKV2HugI xud2cy5ml4mjfbnouunnagqgtteega8ymdezmtexodeymdqznfowcqibayabayeb AgIGAUJrGRIGoIIHWzCCB1cwggY/oAMCAQICAwUHnzANBgkqhkiG9w0BAQUFADBE MQswCQYDVQQGEwJFUzENMAsGA1UEChMETURFRjEMMAoGA1UECxMDUEtJMRgwFgYD VQQDEw9NSU5JU0RFRi1FQy1XUEcwHhcNMTEwODE3MDk1NDA1WhcNMjEwODE3MDk1 NDA1WjBlMQswCQYDVQQGEwJFUzENMAsGA1UECgwETURFRjEMMAoGA1UECwwDUEtJ MRIwEAYDVQQFEwlTMjgzMzAwMkUxJTAjBgNVBAMMHFNlbGxvIGRlIHRpZW1wbyBU U0AgLSBAZmlybWEwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQC5qDUz Bp95YyOBNu35IdWJzQZEfQbX+LlF/NlUhy2mWllrZe7w2rITxd4MJR48XppnGdmV WkPpnSjGMfdX0+QzzS7h9hLPkFpOYU8wodp744jn3LbYi5j5Kzv4kLoJAQ9en/R/ Y6T09hoDGOTvIbgVh6cq93ABJZPrxUH9n80RziPQZq36zQnBlKL3NhgHOCpIcjPu NC4njBAULo2xUZt+5SVjG8FqSQ6Ca8CvG6gi3jPausTPbfmRBCkTnUmMp33a6hrb 4i2RwkCLnxL42/ACNVm+0fiKb5sNy92Fn4EaDMw3iMnqt6Yyrphsrmq2/IA38pV5 HlzPZp6mvCD5IbvTAgMBAAGjggQvMIIEKzCB5gYDVR0RBIHeMIHbgRZzb3BvcnRl LmFmaXJtYTVAbXB0LmVzpIHAMIG9MR4wHAYJYIVUAQMFAgIBDA9zZWxsbyBkZSB0 awvtcg8xudbobglghvqbawucagimqu1pbmlzdgvyaw8gzgugbgegug9sw610awnh IFRlcnJpdG9yaWFsIHkgQWRtaW5pc3RyYWNpw7NuIFDDumJsaWNhMRgwFgYJYIVU AQMFAgIDDAlTMjgzMzAwMkUxLzAtBglghVQBAwUCAgUMIFRTQC0gQXV0b3JpZGFk IFNlbGxhZG8gZGUgdGllbXBvMIHEBgNVHRIEgbwwgbmBD2FncG1kQG9jLm1kZS5l c6sbptcbojelmakga1uebhmcrvmxdtalbgnvbaombe1eruyxddakbgnvbasma1bl STEmMCQGA1UEBwwdQXJ0dXJvIFNvcmlhIDI4OSAyODA3MSBNYWRyaWQxEjAQBgNV BAUTCVMyODAwMjMxSTEpMCcGA1UECwwgTWluaXN0ZXJpbyBkZSBEZWZlbnNhIGRl 13 de 61

14 IEVzcGHDsWExDzANBgNVBAMMBlBLSURFRjAMBgNVHRMBAf8EAjAAMA4GA1UdDwEB /wqeawigwdawbgnvhsubaf8eddakbggrbgefbqcdcdadbgnvhq4efgquex89esdb bl4qpy4kdpqk84dtsyuwoayikwybbquhaqeeldaqmcggccsgaqufbzabhhxodhrw Oi8vZXYwMS13cGcubWRlZi5lczo5MzA4MEQGA1UdIAQ9MDswOQYJYIVUAQEBAQME MCwwKgYIKwYBBQUHAgEWHmh0dHA6Ly9wa2kubWRlZi5lcy9jcHMvY3BzLmh0bTAf BgNVHSMEGDAWgBSr47khgFv6dg/HRtuwm4gLWrHKsjCCAYEGA1UdHwSCAXgwggF0 MIIBcKCCAWygggFohoG2bGRhcDovLy9DTj1NSU5JU0RFRi1FQy1XUEcsQ049RUMt V1BHLENOPUNEUCxDTj1QdWJsaWMlMjBLZXklMjBTZXJ2aWNlcyxDTj1TZXJ2aWNl cyxdtj1db25mawd1cmf0aw9ulerdpwv0lerdpw1kzsxeqz1lcz9jzxj0awzpy2f0 ZVJldm9jYXRpb25MaXN0P2Jhc2U/b2JqZWN0Y2xhc3M9Y1JMRGlzdHJpYnV0aW9u UG9pbnSGfWxkYXA6Ly9sZGFwLm1kZWYuZXMvY249TUlOSVNERUYtQ1JMLUVDLVdQ RyxPVT1QS0ksTz1NREVGLEM9RVM/Y2VydGlmaWNhdGVSZXZvY2F0aW9uTGlzdD9i YXNlP29iamVjdGNsYXNzPWNSTERpc3RyaWJ1dGlvblBvaW50hi5odHRwOi8vcGtp Lm1kZWYuZXMvY3JsL01JTklTREVGLUNSTC1FQy1XUEcuY3JsMA0GCSqGSIb3DQEB BQUAA4IBAQAYGURzOt6/O0UOvGakW1Y4iBFT84ZeNByR17e1VsML1ZmIzl8QHv4y yhwcdpid8u7k7ezapdv8tzpp0he1pqyxb7uwfj7kgnceca2tmj9rmikho27spk8l vj1mcxbpxbbbsfwbgxzvx9/w1yt2l/zcvbopsj3i/fbts3qffuglr00uxtxpartn LOzVgHlLkCtzvS+C7QZn6TGk7ESWUTeKXLg7DPC0/Fue8Ya0Pa45VDPEaVq8ucTN O6KT7JgBgNFZdPdbdxMHAoL+cK/W5iesxtgRu3FY8EyWmuMbFGx57xKpRsqQ+Noi z4xg3fcvwpqntscjg7wneneuvuhnpdhvmyicndccajacaqewszbemqswcqydvqqg EwJFUzENMAsGA1UEChMETURFRjEMMAoGA1UECxMDUEtJMRgwFgYDVQQDEw9NSU5J U0RFRi1FQy1XUEcCAwUHnzAJBgUrDgMCGgUAoIG/MBoGCSqGSIb3DQEJAzENBgsq hkig9w0bcrabbdajbgkqhkig9w0bcqqxfgqua4xjbsofzee+uuuegto0d3gzc6cw faylkozihvcnaqkqagwxbtbrmgkwzwqu9l4z1pdybfofljtzqaae/navznawtzbi peywrdelmakga1uebhmcrvmxdtalbgnvbaotbe1eruyxddakbgnvbasta1blstey MBYGA1UEAxMPTUlOSVNERUYtRUMtV1BHAgMFB58wDQYJKoZIhvcNAQEBBQAEggEA Mto4CADUc2nGBKjKUm2fBXpBeQ9grWA+p3mDXQKroIQaPf4ve0tmLCtCpOuCEdaC vebnahxetsvrxgngchwxrs24j6ll3ftbj5zyzo6csxhu3mtebcd42rh7uk4tzojn cfqn5o7jjiudsdad63dnnigskdefj2tf3/sjynw6e9uadlzbdtzbuna3vtfkhz61 6v14quvefiuzUFKtsii5oY9x2r+sczNe+WhgrPo2YRsweZmVcr/Vhnt/HkzildjQ CnTSoFhhWyU2C1J4cDE76gtRdDSek3hHluQ3D1GzjYKovUQFMMtfW8NpMThmUGcu EGEgVcKUENI3qe7yg2tKog== END PKCS7 8. Certificado Digital Hasta aquí se han considerado las claves de un sistema de cifrado como monedas y billetes: el poseedor es el dueño legitimo de la clave. En un entorno globalmente interconectado no es posible conocer de una forma fiable la identidad de cada persona, entidad o sistema poseedor de una clave. Para demostrar la autenticidad de un mensaje y el norepudio de una firma digital es necesario asociar las claves a personas, entidades o sistemas de una forma eficaz, fiable y legalmente válida. Esto se consigue mediante un certificado digital. Un certificado digital relaciona una persona, entidad o sistema a una clave pública de un sistema de cifrado asimétrico. Al igual que cada estado respalda la identidad de cada uno de sus ciudadanos mediante documentos de identidad expedidos por organismos oficiales, la asociación entre una clave pública y una persona, entidad o sistema es respaldada por una tercera parte denominada autoridad certificadora. Se puede firmar con un certificado digital? 8.1. PKI X.509 Además de reconocer la legitimidad de las claves también se debe facilitar la interoperabilidad entre sistemas que utilizan certificados digitales. Todo ello requiere regular la administración y gestión de certificados digitales estableciendo normas, recomendaciones y especificaciones. El conjunto de normas, recomendaciones y especificaciones reconocido mundialmente se denomina X.509 que de 14 de 61

15 forma global, establece una infraestructura de clave pública (PKI). Certificado digital X.509 Básicamente, un certificado digital X.509 esta formado por un conjunto estructurado de atributos y valores: Subject: Persona o entidad asociada a la clave pública (Nombre Distinguido) Public Key: Clave pública Valid-From: Inicio del período de validez del certificado (Not Before) Valid-To: Fin del período de validez del certificado (Not After) Serial Number: Número de serie del certificado Issuer: Organismo o entidad que respalda el certificado (Nombre Distinguido) Signature: Firma digital del organismo o de la entidad que respalda el certificado Signature Algorithm: Algoritmo utilizado para crear la anterior firma digital Key-Usage: Atributo que indica el propósito de utilización de la clave pública, como por ejemplo cifrado, firma digital, firma de otros certificados, Autoridades Autoridad Certificadora (CA) Organismo que crea, firma y registra certificados digitales. Los usuarios de la PKI reconocen este organismo como autoridad certificadora depositando su confianza en ella y aceptando sus reglas y procedimientos (políticas de certificación). Autoridad Registradora (RA) Organismo subordinado a una CA que gestiona solicitudes de certificación y revocación. Puede aceptar o rechazar solicitudes. Comprueba la identidad y autenticación de usuarios solicitantes pero no firma certificados ni revocaciones de certificados. Usos En el momento de creación de un certificado digital X.509 se le asigna una serie de valores al atributo keyusage según el propósito de utilización del certificado. De esta forma se limita el mal uso que pueda hacerse de él. Según la especificación X.509, los posibles valores que puede tomar el atributo obligatorio keyusage son: digitalsignature nonrepudiation keyencipherment dataencipherment keyagreement 15 de 61

16 keycertsign crlsign encipheronly decipheronly Para ampliar los usos posibles de un certificado digital, en una posterior revisión de la especificación X.509 se añadió el atributo opcional extendedkeyusage. Los valores de este atributo deben ser consistentes con los valores asignados al atributo keyusage: serverauth (TLS WWW server authentication) Debe ser consistente con los usos: digitalsignature, keyencipherment o keyagreement. clientauth (TLS WWW client authentication) Debe ser consistente con los usos: digitalsignature y/o keyagreement. codesigning (Signing of downloadable executable code) Debe ser consistente con los usos: digitalsignature. protection ( protection) Debe ser consistente keyagreement). con los usos: digitalsignature, nonrepudiation, y/o (keyencipherment o timestamping (Binding the hash of an object to a time) Debe ser consistente con los usos: digitalsignature y/o nonrepudiation. OCSPSigning (Signing OCSP responses) Debe ser consistente con los usos: digitalsignature y/o nonrepudiation. Políticas de certificación Una política de certificación determina un conjunto de reglas, procedimientos y condiciones al cual están sujetos los certificados emitidos por una determinada autoridad certificadora. Estas políticas pueden variar en función del uso o aplicación de cada certificado digital. Las políticas de certificación abarcan aspectos tales como: procedimientos de renovación de certificados realización de cambios en certificados sistemas de archivo y copias de seguridad realización de auditorías medidas de seguridad implantadas períodos de ejecución de revocaciones publicación de listas de revocación 16 de 61

17 algoritmos, parámetros y estándares utilizados generación de claves (quien y como) propiedad intelectual términos de privacidad responsabilidades y garantías ámbitos jurídicos tarifas y precios etc... En la misma estructura de un certificado digital X.509 se encuentra un atributo denominado certificatepolicies cuyo valor hace referencia mediante un OID, a la política a la cual está sujeto el certificado. Ejemplo de certificado digital X.509 A continuación se muestra una representación de un certificado X.509 obtenida mediante $ openssl x509 in PLATAFORMA.pem text o bien $ openssl x509 in PLATAFORMA.cer inform der text Certificate: Data: Version: 3 (0x2) Serial Number: 37:93:8a:35:58:b4:2f:e9 Signature Algorithm: sha1withrsaencryption Issuer: C=ES, O=AC CAMERFIRMA S.A., L=MADRID (Ver en https://www.camerfirma.com/address), OU=AC CAMERFIRMA/serialNumber=A , CN=AC CAMERFIRMA AAPP Validity Not Before: Nov 4 12:44: GMT Not After : Nov 3 12:44: GMT Subject: description=qualified Certificate: AAPP SEP M SW KPSC, CN=PLATAFORMA INTEGRACION/serialNumber=G , OU=sello electr\xf3nico, O=FUNDACI\xD3 IBIT, C=ES Subject Public Key Info: Public Key Algorithm: rsaencryption Public Key: (1024 bit) Modulus: 00:de:3b:fe:20:e6:1b:bc:b9:38:30:d3:2c:7b:ea: d4:d6:58:f7:73:6b:6e:e5:f0:4a:e8:f6:28:b4:a4: 7b:7f:53:f1:91:d6:41:90:dc:bf:5e:72:d2:b7:a3: 72:5b:bc:5e:06:a2:6b:65:a2:67:22:c4:38:1d:07: 13:10:43:76:1f:9d:03:ae:86:fe:f9:64:46:34:a5: 3b:9e:27:33:2d:6e:1b:64:8d:1d:27:58:56:f7:f6: db:1a:cc:4a:f3:c8:fb:61:09:00:33:71:de:13:79: 1b:9f:b3:fb:4c:66:f7:fc:80:c2:d8:39:88:7d:2f: 46:0e:ab:d7:b3:e2:f3:a9:c7 Exponent: (0x10001) X509v3 extensions: X509v3 Basic Constraints: critical CA:FALSE 17 de 61

18 X509v3 Key Usage: critical Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment X509v3 Extended Key Usage: TLS Web Client Authentication, E mail Protection X509v3 Subject Key Identifier: EA:41:E9:3B:F7:BC:6A:12:DD:A1:2A:5A:40:A5:8F:22:82:A7:A2:ED Authority Information Access: CA Issuers URI:http://www.camerfirma.com/certs/AC_CAMERFIRMA_AAPP.crt OCSP URI:http://ocsp.camerfirma.com X509v3 Authority Key Identifier: keyid:e5:46:50:e8:43:a0:b2:f7:1c:e4:b6:ff:d8:00:04:20:f7:1f:a4:0b DirName:/C=EU/O=AC Camerfirma SA CIF A /OU=http://www.chambersign.org/CN=Chambers of Commerce Root serial:0d X509v3 CRL Distribution Points: Full Name: URI:http://crl.camerfirma.com/AC_CAMERFIRMA_AAPP.crl Full Name: URI:http://crl1.camerfirma.com/AC_CAMERFIRMA_AAPP.crl X509v3 Subject Alternative Name: DirName:/ =sello electr\xc3\xb3nico/ =fundaci\xc3\x93 IBIT/ =G / =PLATAFORMA INTEGRACION X509v3 Issuer Alternative Name: X509v3 Certificate Policies: Policy: CPS: https://policy.camerfirma.com User Notice: Explicit Text: Certificado reconocido de sello electrónico de Administración, órgano o entidad de derecho público, nivel Medio. Consulte condiciones de uso en https://policy.camerfirma.com qcstatements: F..0...F... Signature Algorithm: sha1withrsaencryption be:99:d4:dc:ac:c1:95:9a:4f:8b:0c:2e:cf:dc:6c:20:d9:ad: 7f:8f:da:a9:7e:67:4e:d9:ac:90:14:db:25:0a:3b:d9:19:90: f7:83:c6:e0:75:bb:b4:a1:b1:fa:fb:87:f0:33:15:5e:b0:9a: 74:32:86:69:92:d3:ab:04:ad:4b:aa:39:09:59:3e:2b:78:bf: 9d:5a:95:e7:2d:03:05:db:bf:5d:1c:9c:52:84:b7:71:13:58: 50:f9:af:c4:0e:64:e5:19:5b:ba:eb:b7:aa:c4:6c:7e:42:eb: bc:20:43:da:5e:17:f1:51:f5:e4:b9:1b:0b:87:38:5d:d6:96: 34:d2:64:9b:03:7e:1e:bf:b5:c1:72:a3:ed:04:4d:5d:57:5d: 8e:f6:e5:25:29:d9:0a:54:36:a9:71:d3:fc:f7:5c:c8:68:97: 24:41:4c:a3:e3:8f:82:0f:94:d1:45:5f:ea:3e:f0:bc:80:84: b4:a3:34:db:9a:04:ec:04:7f:e6:fe:39:77:e2:0a:3b:29:aa: 84:19:da:88:9d:e6:c6:3d:7d:d5:f5:a7:87:5a:a3:99:24:10: fe:5d:cf:3e:1c:d0:f4:c3:7d:6f:15:28:71:13:c2:9f:6a:7c: e6:2a:37:65:d5:0f:52:1f:56:72:f5:9a:d0:ed:6c:8f:4a:e8: d1:21:78:71 BEGIN CERTIFICATE MIIHUjCCBjqgAwIBAgIIN5OKNVi0L+kwDQYJKoZIhvcNAQEFBQAwgbAxCzAJBgNV BAYTAkVTMRswGQYDVQQKExJBQyBDQU1FUkZJUk1BIFMuQS4xOzA5BgNVBAcTMk1B RFJJRCAoVmVyIGVuIGh0dHBzOi8vd3d3LmNhbWVyZmlybWEuY29tL2FkZHJlc3Mp MRYwFAYDVQQLEw1BQyBDQU1FUkZJUk1BMRIwEAYDVQQFEwlBODI3NDMyODcxGzAZ BgNVBAMTEkFDIENBTUVSRklSTUEgQUFQUDAeFw0xMDExMDQxMjQ0NDBaFw0xMzEx MDMxMjQ0NDBaMIGqMTIwMAYDVQQNEylRdWFsaWZpZWQgQ2VydGlmaWNhdGU6IEFB UFAtU0VQLU0tU1ctS1BTQzEfMB0GA1UEAxMWUExBVEFGT1JNQSBJTlRFR1JBQ0lP TjESMBAGA1UEBRMJRzA3ODk2MDA0MRowGAYDVQQLFBFzZWxsbyBlbGVjdHLzbmlj bzewmbqga1uechqnrlvorefdsdmgsujjvdelmakga1uebhmcrvmwgz8wdqyjkozi hvcnaqebbqadgy0amigjaogban47/idmg7y5oddtlhvq1nzy93nrbuxwsuj2klsk e39t8zhwqzdcv15y0rejclu8xgaia2wizyleob0hexbddh+da66g/vlkrjslo54n My1uG2SNHSdYVvf22xrMSvPI+2EJADNx3hN5G5+z+0xm9/yAwtg5iH0vRg6r17Pi 86nHAgMBAAGjggP2MIID8jAMBgNVHRMBAf8EAjAAMA4GA1UdDwEB/wQEAwIE8DAd 18 de 61

19 BgNVHSUEFjAUBggrBgEFBQcDAgYIKwYBBQUHAwQwHQYDVR0OBBYEFOpB6Tv3vGoS 3aEqWkCljyKCp6LtMHoGCCsGAQUFBwEBBG4wbDBCBggrBgEFBQcwAoY2aHR0cDov L3d3dy5jYW1lcmZpcm1hLmNvbS9jZXJ0cy9BQ19DQU1FUkZJUk1BX0FBUFAuY3J0 MCYGCCsGAQUFBzABhhpodHRwOi8vb2NzcC5jYW1lcmZpcm1hLmNvbTCBqwYDVR0j BIGjMIGggBTlRlDoQ6Cy9xzktv/YAAQg9x+kC6GBhKSBgTB/MQswCQYDVQQGEwJF VTEnMCUGA1UEChMeQUMgQ2FtZXJmaXJtYSBTQSBDSUYgQTgyNzQzMjg3MSMwIQYD VQQLExpodHRwOi8vd3d3LmNoYW1iZXJzaWduLm9yZzEiMCAGA1UEAxMZQ2hhbWJl cnmgb2ygq29tbwvyy2ugum9vdiibdtb6bgnvhr8eczbxmdagnkayhjbodhrwoi8v Y3JsLmNhbWVyZmlybWEuY29tL0FDX0NBTUVSRklSTUFfQUFQUC5jcmwwN6A1oDOG MWh0dHA6Ly9jcmwxLmNhbWVyZmlybWEuY29tL0FDX0NBTUVSRklSTUFfQUFQUC5j cmwwgzqga1udeqsbjdcbiasbhjcbgzehmb8gcwcfvaedbqibaqwsc2vsbg8gzwxl Y3Ryw7NuaWNvMR0wGwYJYIVUAQMFAgECDA5GVU5EQUNJw5MgSUJJVDEYMBYGCWCF VAEDBQIBAwwJRzA3ODk2MDA0MSUwIwYJYIVUAQMFAgEFDBZQTEFUQUZPUk1BIElO VEVHUkFDSU9OMCEGA1UdEgQaMBiBFnNvcG9ydGVAY2FtZXJmaXJtYS5jb20wggEL BgNVHSAEggECMIH/MIH8BgwrBgEEAYGHLgEDAwIwgeswKQYIKwYBBQUHAgEWHWh0 dhbzoi8vcg9sawn5lmnhbwvyzmlybweuy29tmig9bggrbgefbqccajcbsbqbrunl cnrpzmljywrvihjly29ub2npzg8gzgugc2vsbg8gzwxly3ry825py28gzgugqwrt aw5pc3ryywnp824sipnyz2fubybvigvudglkywqgzgugzgvyzwnobybw+mjsawnv LCBuaXZlbCBNZWRpby4gQ29uc3VsdGUgY29uZGljaW9uZXMgZGUgdXNvIGVuIGh0 dhbzoi8vcg9sawn5lmnhbwvyzmlybweuy29tmcugccsgaqufbwedbbkwfzaibgye AI5GAQEwCwYGBACORgEDAgEPMA0GCSqGSIb3DQEBBQUAA4IBAQC+mdTcrMGVmk+L DC7P3Gwg2a1/j9qpfmdO2ayQFNslCjvZGZD3g8bgdbu0obH6+4fwMxVesJp0MoZp ktorbk1lqjkjwt4rel+dwpxnlqmf279dhjxshldxe1hq+a/edmtlgvu667eqxgx+ Quu8IEPaXhfxUfXkuRsLhzhd1pY00mSbA34ev7XBcqPtBE1dV12O9uUlKdkKVDap cdp891ziajckquyj44+cd5trrv/qpvc8gis0oztbmgtsbh/m/jl34go7kaqegdqi nebgpx3v9aehwqozjbd+xc8+hnd0w31vfshxe8kfanzmkjdl1q9sh1zy9zrq7wyp SujRIXhx END CERTIFICATE Creación de un certificado digital El punto de partida para la obtención de un certificado digital es la disposición de un par de claves de cifrado asimétrico: $ openssl genrsa out my.key 1024 Una vez obtenidas las claves, el interesado debe crear a partir de ellas una petición de firma de certificado CSR (Certificate Signing Request): $ openssl req out my.csr key my.key new $ openssl req in my.csr text verify noout verify OK Certificate Request: Data: Version: 0 (0x0) Subject: C=EU, ST=Balears, L=Palma, O=Internet Widgits Pty Ltd, OU=OTAE, CN=ADMINISTRACION Subject Public Key Info: Public Key Algorithm: rsaencryption Public Key: (1024 bit) Modulus: 00:9d:4b:3d:79:d2:d1:df:59:f7:24:9c:b9:92:0d: 46:ae:c0:69:53:46:1e:0b:20:1c:84:b3:5b:3c:7e: 96:fa:25:91:27:98:13:63:0a:53:95:c2:75:fd:6c: c4:7c:47:1f:d5:85:63:7e:33:72:16:ed:40:d7:35: a6:1e:c7:02:aa:77:c7:bf:27:ab:c4:19:f6:9b:fc: 2f:6c:6d:58:cf:5b:61:eb:a7:15:40:56:b7:4c:9e: 19 de 61

20 c3:01:7b:3b:34:fc:d2:aa:d8:16:b5:94:7f:da:49: dc:94:59:8e:c7:38:ae:0a:50:27:38:16:00:de:2a: a6:30:f3:b8:4d:a4:1f:9b:f3 Exponent: (0x10001) Attributes: a0:00 Signature Algorithm: sha1withrsaencryption 31:bc:8f:0e:f9:e7:5e:52:75:ad:22:dc:5c:8b:12:4f:65:44: fe:fc:a6:0e:d8:e8:b2:e9:5c:3a:68:98:7e:a0:83:65:8c:b6: 05:84:bc:8c:ce:bb:13:85:0b:c9:18:ac:30:78:79:a3:f3:9c: a5:e0:44:e7:03:1f:25:2a:0b:b2:72:e5:e3:ef:f9:5f:e7:0d: 83:db:d3:82:33:b3:b7:33:0e:94:dc:5b:47:2d:47:26:df:3a: 50:b2:2a:46:b8:bf:df:28:9d:d9:74:42:9b:ad:2e:84:65:a5: 0b:1d:0a:0c:39:8e:23:cf:81:de:a6:b2:36:64:fa:57:83:8b: d8:da Como se puede observar, se trata de una estructura de datos que contiene la clave pública generada por el interesado y la identidad en formato DN (Nombre Distinguido) del sujeto que se pretende asociar a la clave pública. Esta petición se firma con la clave privada asociada a la clave pública y se entrega a una autoridad certificadora (CA) o una autoridad de registro (RA). Porque se firma la CSR? Para emitir un certificado digital, la CA o RA necesita comprobar la identidad del sujeto (persona o entidad) que se pretende asociar a una clave pública. En el caso de una persona, esta comprobación se suele realizar de forma presencial y mediante un documento de identidad. Una vez comprobada la identidad del sujeto, la CA obtiene de la CSR la clave pública y el DN del sujeto en cuestión. Con estos datos, la CA creará una nueva estructura de datos incorporando un número de serie propio de la CA y otros atributos en función de las necesidades del interesado: validez temporal, usos, etc... Finalmente, la CA firma la estructura de datos resultante y la entrega como un certificado digital al interesado. Pueden existir diferentes certificados con la misma clave pública? Pueden existir diferentes certificados con la misma clave pública y con diferentes Subject? Pueden existir diferentes certificados con la misma clave pública y un mismo Subject? Pueden existir diferentes certificados con la misma clave pública y un mismo Issuer? Creación de un certificado digital autofirmado Un certificado digital para el cual el sujeto asociado a la clave pública coincide con el organismo o entidad que respalda el certificado se denomina certificado digital autofirmado. En este caso desaparece la función principal de una autoridad certificadora: certificar la asociación entre una clave pública y una persona o entidad. Así, en lugar de confiar en una CA, el usuario del certificado confía en el creador del certificado. Un certificado autofirmado ofrece PRIVACIDAD pero solo ofrece AUTENTICIDAD si se conoce el Subject del certificado o se confía en el creador del certificado. Por ello, la utilización de certificados autofirmados es apropiada en entornos de desarrollo, en conexiones SSL que solo requieren privacidad y en cadenas de certificación en cuyo caso actúan como certificados raíz. Con respecto a esto último, se puede pensar que un certificado raíz siempre es un certificado autofirmado. En cambio, un certificado autofirmado no tiene porque ser un certificado raíz: cuando no se utiliza para firmar otros certificados. Ejemplo: 20 de 61

Gestión de Certificados y Mecanismos de Seguridad con OpenSSL

Gestión de Certificados y Mecanismos de Seguridad con OpenSSL Gestión de Certificados y Mecanismos de Seguridad con OpenSSL OpenSSL (I) Herramienta para implementar mecanismos y protocolos de seguridad Basada en el proyecto SSLeay, iniciado en 1995 por Eric A. Young

Más detalles

TEMA 2 - parte 3.Gestión de Claves

TEMA 2 - parte 3.Gestión de Claves TEMA 2 - parte 3.Gestión de Claves SEGURIDAD EN SISTEMAS DE INFORMACIÓN Libre Elección http://ccia.ei.uvigo.es/docencia/ssi 1 de marzo de 2011 FJRP, FMBR 2010 ccia SSI 1. Gestion de claves Dos aspectos

Más detalles

Política de certificación Certification policy Certificados de sello de Administración, Órgano o Entidad de Derecho Público

Política de certificación Certification policy Certificados de sello de Administración, Órgano o Entidad de Derecho Público Signe Autoridad de Certificación Política de certificación Certification policy Certificados de sello de Administración, Órgano o Entidad de Derecho Público Versión 1.0 Fecha: 2/11/2010 Seguridad documental

Más detalles

Lineamientos para Terceros Aceptantes Especificaciones Técnicas Versión 1.1

Lineamientos para Terceros Aceptantes Especificaciones Técnicas Versión 1.1 Lineamientos para Terceros Aceptantes Especificaciones Técnicas Versión 1.1 Unidad de Certificación Electrónica Infraestructura Nacional de Certificación Electrónica República Oriental del Uruguay Lineamientos

Más detalles

GUÍA PARA DESARROLLADORES CON EL DNI ELECTRÓNICO

GUÍA PARA DESARROLLADORES CON EL DNI ELECTRÓNICO GUÍA PARA DESARROLLADORES CON EL DNI ELECTRÓNICO CENTRO DE RESPUESTA A INCIDENTES DE SEGURIDAD (INTECO-CERT) OCTUBRE 2007 ÍNDICE 1. INTRODUCCIÓN 3 2. DESCRIPCIÓN DEL USO DEL DNI ELECTRÓNICO 5 2.1. Establecimiento

Más detalles

Jornada de presentación del. Aspectos técnicos del proyecto. Madrid, 23 de febrero de 2006

Jornada de presentación del. Aspectos técnicos del proyecto. Madrid, 23 de febrero de 2006 Jornada de presentación del Aspectos técnicos del proyecto Madrid, 23 de febrero de 2006 Raíz: 30 Años. A Algoritmia y Claves. Certificado Autofirmado con SHA1 y SHA256. Claves RSA 4096. Key Usage: Firma

Más detalles

Perfil del Certificado de Sede Electrónica del Prestador de Servicios de Certificación del Ministerio de Empleo y Seguridad Social

Perfil del Certificado de Sede Electrónica del Prestador de Servicios de Certificación del Ministerio de Empleo y Seguridad Social DE EMPLEO Y SUBSECRETARÍA S.G. TEGNOLOGÍAS DE LA INFORMACION Y COMUNICACIONES Perfil del Certificado de Sede Electrónica del Prestador de Servicios de Certificación del Ministerio de Empleo y Seguridad

Más detalles

Política de certificación Certification policy Certificados del Titulado

Política de certificación Certification policy Certificados del Titulado Signe Autoridad de Certificación Política de certificación Certification policy Certificados del Titulado Versión 1.0 Fecha: 2/11/2010 Seguridad documental Índice 1 INTRODUCCIÓN 1.1 DESCRIPCIÓN GENERAL

Más detalles

Certificados de sello electrónico

Certificados de sello electrónico GOBIERNO MINISTERIO DE ESPAÑA Centro de Calidad, Auditoría y Seguridad Certificados de sello electrónico Políticas de Certificación CORREO ELECTRONICO C/ Dr. Tolosa Latour, s/n 24041 MADRID TEL: 91 390

Más detalles

DOCUMENTACIÓN ESPECÍFICA PARA EL CERTIFICADO DE CENTROS VASCOS EUSKAL ETXEAK

DOCUMENTACIÓN ESPECÍFICA PARA EL CERTIFICADO DE CENTROS VASCOS EUSKAL ETXEAK DOCUMENTACIÓN ESPECÍFICA PARA EL CERTIFICADO DE CENTROS VASCOS EUSKAL ETXEAK IZENPE 2011 Este documento es propiedad de IZENPE, únicamente puede ser reproducido en su totalidad 1 Introducción El presente

Más detalles

POLITICA DE CERTIFICACION

POLITICA DE CERTIFICACION POLITICA DE CERTIFICACION CERTIFICADO DIGITAL DE REPRESENTANTE LEGAL AUTORIDAD CERTIFICADORA ANDES SCD Versión 1.1 FEBRERO 2011 Índice de contenido Introducción... 5 1. Presentación del documento... 5

Más detalles

Certificados de sede electrónica

Certificados de sede electrónica GOBIERNO MINISTERIO DE ESPAÑA Centro de Calidad, Auditoría y Seguridad Certificados de sede electrónica Políticas de Certificación CORREO ELECTRONICO C/ Dr. Tolosa Latour, s/n 24041 MADRID TEL: 91 390

Más detalles

Semana 14: Encriptación. Cifrado asimétrico

Semana 14: Encriptación. Cifrado asimétrico Semana 14: Encriptación Cifrado asimétrico Aprendizajes esperados Contenidos: Características y principios del cifrado asimétrico Algoritmos de cifrado asimétrico Funciones de hash Encriptación Asimétrica

Más detalles

POLITICA DE CERTIFICACION

POLITICA DE CERTIFICACION POLITICA DE CERTIFICACION CERTIFICADO DIGITAL DE SERVIDOR SEGURO AUTORIDAD CERTIFICADORA ANDES SCD Versión 1.1 FEBRERO 2011 Índice de contenido Introducción... 5 1. Presentación del documento... 5 1.1.

Más detalles

Criptografía Algoritmos Simétricos Algoritmos Asimétricos Firma electrónica y algoritmos Protocolos SSL, TLS OpenSSL. Criptografía

Criptografía Algoritmos Simétricos Algoritmos Asimétricos Firma electrónica y algoritmos Protocolos SSL, TLS OpenSSL. Criptografía Criptografía Víctor Bravo, Antonio Araujo 1 1 Fundación Centro Nacional de Desarrollo e Investigación en Tecnologías Libres Nodo Mérida CENDITEL, 2008 Licencia de Uso Copyright (c), 2007. 2008, CENDITEL.

Más detalles

5.13 Certificado corporativo de personal administrativo (persona física), en software, para identificación, firma y cifrado

5.13 Certificado corporativo de personal administrativo (persona física), en software, para identificación, firma y cifrado 5.13 Certificado corporativo de personal administrativo (persona física), en software, para identificación, firma y cifrado 1. Basic estructure 1.1. Version 2 142 1.2. Serial Number Establecido automáticamente

Más detalles

cfj Esquema de una organización Esquema de mi hogar, bar, la plaza, mi auto Centro de Formación Judicial C.A.B.A. Uso Seguro de Internet Año 2014

cfj Esquema de una organización Esquema de mi hogar, bar, la plaza, mi auto Centro de Formación Judicial C.A.B.A. Uso Seguro de Internet Año 2014 Esquema de una organización Esquema de mi hogar, bar, la plaza, mi auto Pág. 1 Esquema de una organización o de mi dispositivo personal Pág. 2 Tecnologías de (TI) y de las Comunicaciones (TIC) Cuál es

Más detalles

Política de Validación de Certificados

Política de Validación de Certificados de Esta especificación ha sido preparada por ANF AC para liberar a terceras partes. NIVEL DE SEGURIDAD DOCUMENTO PÚBLICO Este documento es propiedad de ANF Autoridad de Certificación. Está prohibida su

Más detalles

CERTIFICADOS CORPORATIVOS DE SELLO EMPRESARIAL

CERTIFICADOS CORPORATIVOS DE SELLO EMPRESARIAL CERTIFICADOS CORPORATIVOS DE SELLO EMPRESARIAL Política de Certificado Clasificación: Público ATENCIÓN: El original vigente de este documento se encuentra en formato electrónico en la web de Firmaprofesional:

Más detalles

Perfiles de Certificados de la Entidad de Certificación. Organización Médica Colegial de España

Perfiles de Certificados de la Entidad de Certificación. Organización Médica Colegial de España Perfiles de Certificados de la Entidad de Certificación Organización Médica Colegial de España 1. Información general 1.1 Control documental Proyecto: Documentación de prácticas de la Entidad de Certificación

Más detalles

Servicio de Certificación Digital. Organización Médica Colegial de España

Servicio de Certificación Digital. Organización Médica Colegial de España Servicio de Certificación Digital de España Servicio de Certificación Digital de la Declaración de Prácticas de Certificación Entidad de Certificación de la 2 Servicio de Certificación Digital de la Control

Más detalles

Prácticas de Certificación de la Autoridad Certificadora

Prácticas de Certificación de la Autoridad Certificadora Prácticas de Certificación de la Autoridad Certificadora Historial de Revisiones Fecha Descripción Autor 16/11/2012 Creación del documento Grupo de SI Índice de contenido 1 Introducción...4 1.1 Descripción

Más detalles

Autenticación Revisitada

Autenticación Revisitada Autenticación Revisitada Kerberos Desarrollado como parte del Proyecto Athena en MIT, con el propósito de autentificar clientes a servidores y vice versa. Se considera que las siguientes amenazas existen:

Más detalles

Política de Formatos Oficiales de los Documentos Electrónicos Firmados Digitalmente

Política de Formatos Oficiales de los Documentos Electrónicos Firmados Digitalmente Documentos Electrónicos Firmados Digitalmente Dirección de Certificadores de Firma Digital Ministerio de Ciencia y Tecnología OID 2.16.188.1.1.1.2.1 Versión: Consulta pública 26 de Julio, 2012 Control

Más detalles

Seguridad y Autorización: Plataforma OpenSSL

Seguridad y Autorización: Plataforma OpenSSL Pág. 1 28/11/2014 OpenSSL es un entorno integrado que permite la creación y gestión de certificados digitales. OpenSSL dispone de la infraestructura necesaria para crear una Autoridad de Certificación,

Más detalles

POLÍTICA DE CERTIFICACIÓN DE CERTIFICADOS CORPORATIVOS DE ACCESO PARA AYUNTAMIENTOS

POLÍTICA DE CERTIFICACIÓN DE CERTIFICADOS CORPORATIVOS DE ACCESO PARA AYUNTAMIENTOS POLÍTICA DE CERTIFICACIÓN DE CERTIFICADOS CORPORATIVOS DE ACCESO PARA AYUNTAMIENTOS Versión 3.0 Fecha: 28/03/2013 Índice 1 INTRODUCCION... 3 1.1. PRESENTACIÓN... 3 1.2. IDENTIFICACIÓN... 3 1.3. DEFINICIONES...

Más detalles

Política de Firma Digital de CONICET

Política de Firma Digital de CONICET Política de Firma Digital de CONICET Versión 1.0 1. Introducción 1.1. Alcance Este documento establece las normas utilizadas para determinar bajo qué condiciones los métodos de creación y verificación

Más detalles

CP2_ACATC_003.0 CERTIFICADOS TRUSTED DE SELLO

CP2_ACATC_003.0 CERTIFICADOS TRUSTED DE SELLO Referencia: CP2_ACATC_003.0 Fecha:13/03/2014 Estado del documento: Publicado Consejo General de la Abogacía Española POLÍTICAS DE CERTIFICACIÓN (CP) DE LA AUTORIDAD DE CERTIFICACIÓN DE LA ABOGACÍA CP2_ACATC_003.0

Más detalles

Renovación de la Solución PKI del Colegio de Registradores

Renovación de la Solución PKI del Colegio de Registradores de la Solución PKI del Colegio de Registradores del Colegio de Registradores Versión 1 Fecha: 27/10/2010 Página 2 de 20 CONTROL DOCUMENTAL DOCUMENTO/ARCHIVO Título: Políticas de Sellado de Tiempo Código:

Más detalles

Introducción a la seguridad y certificación digital. certificación digital

Introducción a la seguridad y certificación digital. certificación digital Introducción a la seguridad y certificación digital certificación digital WHITEBEARSOLUTIONS Ricardo Lorenzo Rodríguez Criptografía simétrica Intercambio de claves

Más detalles

Política de Certificados TLS para cliente y servidor

Política de Certificados TLS para cliente y servidor Política de Certificados TLS para cliente y servidor Fecha: 26/03/2009 Versión: 1.2 Estado: VIGENTE Nº de páginas: 35 OID: 1.3.6.1.4.1.30051.2.1.2.6.1 Clasificación: PÚBLICO Archivo: ACEDICOM - Politica

Más detalles

Seguridad en Correo Electrónico

Seguridad en Correo Electrónico Seguridad en Correo Electrónico PGP S/MIME Contenido Introducción Pretty Good Privacy (PGP) S/MIME 1 Seguridad en correo electrónico El correo electrónico es uno de los servicios de red más utilizados

Más detalles

Lección 12 Seguridad y criptografía Ejemplos de aplicación. Universidad de Oviedo / Dpto. de Informática

Lección 12 Seguridad y criptografía Ejemplos de aplicación. Universidad de Oviedo / Dpto. de Informática Lección 12 Seguridad y criptografía Ejemplos de aplicación Ejemplos de aplicaciones criptográficas Criptografía de clave simétrica Kerberos Criptografía de clave pública PGP, PKI Sistemas mixtos SSH Clave

Más detalles

Política de confianza

Política de confianza Política de confianza Preparado para: Comité CONFIA Versión: 3 01 dic 2009 Número de referencia: P 174 INF 09 09 64 Rioja 5 1ª planta 41001 Sevilla Spain admon@yaco.es www.yaco.es T 954 500 057 F 954 500

Más detalles

Autenticación mediante DNI electrónico. Alberto Sierra Fernández Natalia Miguel Álvarez

Autenticación mediante DNI electrónico. Alberto Sierra Fernández Natalia Miguel Álvarez Autenticación mediante DNI electrónico Alberto Sierra Fernández Natalia Miguel Álvarez Índice 1. Definición 2. Funcionamiento 3. Certificado de autenticación del DNIe 4. Validación del certificado: OCSP

Más detalles

POLÍTICAS DE CERTIFICADO (PC) Certificado de. Servidor Seguro (SSL) PC DE LA ECI SECURITY DATA SEGURIDAD EN DATOS Y FIRMA DIGITAL, S.A.

POLÍTICAS DE CERTIFICADO (PC) Certificado de. Servidor Seguro (SSL) PC DE LA ECI SECURITY DATA SEGURIDAD EN DATOS Y FIRMA DIGITAL, S.A. POLÍTICAS DE CERTIFICADO (PC) PC DE LA ECI SECURITY DATA SEGURIDAD EN DATOS Y FIRMA DIGITAL, S.A. INDICE INDICE.... MARCO LEGAL... 3.. Base Legal... 3.. Vigencia... 3.3. Soporte Legal... 3. INTRODUCCIÓN...

Más detalles

OpenSSL. Ing Jean Díaz

OpenSSL. Ing Jean Díaz OpenSSL Ing Jean Díaz Introducción OpenSSL, es una implementación de código libre del protocolo SSL (y del protocolo TSL). Su principal utilización es para realizar comunicaciones seguras en la Internet.

Más detalles

Creación y administración de certificados de seguridad mediante OpenSSL.

Creación y administración de certificados de seguridad mediante OpenSSL. Creación y administración de certificados de seguridad mediante OpenSSL. Introducción. Autor: Enrique V. Bonet Esteban En ocasiones, servicios que estudiaremos con posterioridad como un servidor de HTTP,

Más detalles

DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN

DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN AUTORIDAD CERTIFICADORA ANDES SCD Versión 1.4 NOVIEMBRE 2011 Índice de contenido Introducción... 8 1. Presentación del documento... 8 1.1. Nombre del documento

Más detalles

Política de Sellado de Tiempo (Timestamping, TSA)

Política de Sellado de Tiempo (Timestamping, TSA) Política de Sellado de Tiempo (Timestamping, TSA) 1 2 Título del documento: Política de sellado de tiempo (Timestamping, TSA) Nombre del fichero: ACEDICOM - Politica Servicio Timestamping.doc Versión:

Más detalles

Infraestructura de Clave Pública del Banco de España Política de Certificación para certificados de componente de entidades externas

Infraestructura de Clave Pública del Banco de España Política de Certificación para certificados de componente de entidades externas 25.05.2010 OID: 1.3.6.1.4.1.19484.2.2.101.1.1 Infraestructura de Clave Pública del Banco de España Política de Certificación para certificados de componente de entidades externas RESUMEN Este documento

Más detalles

DNA. Cliente WSAA Especificaciones Técnicas. Versión <1.4>

DNA. Cliente WSAA Especificaciones Técnicas. Versión <1.4> DNA Cliente WSAA Especificaciones Técnicas Versión Revisiones Fecha Versión Descripción Autor 29/OCT/2007 1.0 Elaboración inicial Marcelo Alvarez 12/MAY/2008 1.1 Corrección en la sección 4.1 Marcelo

Más detalles

Aplicaciones de la Criptografía

Aplicaciones de la Criptografía Aplicaciones de la Criptografía José M. Sempere Departamento de Sistemas Informáticos y Computación Universidad Politécnica de Valencia Aplicaciones de la Criptografía Certificados digitales Introducción

Más detalles

Creación y administración de certificados de seguridad mediante OpenSSL

Creación y administración de certificados de seguridad mediante OpenSSL Doble Titulación Informática + Telemática 1 Creación y administración de certificados de seguridad mediante OpenSSL Introducción En determinadas ocasiones es necesaria una conexión segura: Petición de

Más detalles

Seguridad en Redes. Administración de Claves Asimetricas. PKI Ing Hugo Pagola. hpagola@fi.uba.ar

Seguridad en Redes. Administración de Claves Asimetricas. PKI Ing Hugo Pagola. hpagola@fi.uba.ar Seguridad en Redes Administración de Claves Asimetricas PKI Ing Hugo Pagola hpagola@fi.uba.ar Administración de claves (key management) Posibilidades: Distribución de claves publicas Anuncio Publico Directorio

Más detalles

Infraestructura para la Criptografía de Clave Pública

Infraestructura para la Criptografía de Clave Pública Infraestructura para la Criptografía de Clave Pública Juan Talavera jtalavera@cnc.una.py Criptografía de Clave Simétrica Criptografía de Clave Pública Algunos algoritmos criptográficos Clave simétrica

Más detalles

POLÍTICA ÚNICA DE CERTIFICACIÓN LISTA DE CERTIFICADOS REVOCADOS CERTIFICADOR LICENCIADO DIGILOGIX S.A.

POLÍTICA ÚNICA DE CERTIFICACIÓN LISTA DE CERTIFICADOS REVOCADOS CERTIFICADOR LICENCIADO DIGILOGIX S.A. POLÍTICA ÚNICA DE CERTIFICACIÓN LISTA DE CERTIFICADOS REVOCADOS CERTIFICADOR LICENCIADO DIGILOGIX S.A. Versión 1.0 (diciembre 2014) 1 PERFILES DE CERTIFICADOS Y DE LISTAS DE CERTIFICADOS REVOCADOS. Perfil

Más detalles

Capítulo 5. CRIPTOGRAFÍA

Capítulo 5. CRIPTOGRAFÍA Capítulo 5. CRIPTOGRAFÍA Autor: Índice de contenidos 5.1. PRINCIPIOS DE CRIPTOGRAFÍA 5.2. TIPOS DE ALGORITMOS DE CIFRADO 5.2.2. Criptografía a simétrica 5.2.3. Criptografía a de clave asimétrica 5.2.4.

Más detalles

Política de Certificación de ANF AC

Política de Certificación de ANF AC Política de Certificación de ANF AC Certificados ANF SSL CA Fecha: 26 de noviembre de 2004 Versión: 1.0 OID: 1.3.6.1.4.1.18332.17.1 OID: 1.3.6.1.4.1.18332.17.1 Página 1 de 1 Política de Certificación de

Más detalles

Política de Certificación de Certificados reconocidos de sede electrónica en dispositivo seguro

Política de Certificación de Certificados reconocidos de sede electrónica en dispositivo seguro Certificados reconocidos de sede electrónica en Fecha: 07/11/2011 Versión: 3.0 Estado: APROBADO Nº de páginas: 35 OID: 1.3.6.1.4.1.8149.3.14.3.0 Clasificación: PÚBLICO Archivo: ACCV-CP-14V3.0-c.doc Preparado

Más detalles

LA FIRMA ELECTRÓNICA

LA FIRMA ELECTRÓNICA LA FIRMA ELECTRÓNICA 1 2 La Firma Electrónica. 2013. Autores: Rafael Muruaga Ugarte David Santos Esteban María Vega Prado David Morán Ferrera 3 Impresión. Depósito Legal. Diseño. 4 PRESENTACIÓN DEL MANUAL

Más detalles

DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN (CPS) de VITSA (efirma)

DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN (CPS) de VITSA (efirma) Prestador de Servicios de Certificación VIT S.A. (efirma) DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN (CPS) de VITSA (efirma) Documento: DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN (CPS) de VITSA Versión:

Más detalles

AC de PSC Advantage. PSC Advantage. Version 2.0

AC de PSC Advantage. PSC Advantage. Version 2.0 AC de PSC Advantage PSC Advantage Version 2.0 Advantage Security S de RL de CV Av Prolongación Paseo de la Reforma 625 Paseo de las Lomas, Santa Fe CP 01330 Tel. 01 52 55 50 81 43 60 Tabla de contenido

Más detalles

CUSTODIA DIGITAL como garantía de la validez legal de los Documentos Electrónicos eadministración Segura

CUSTODIA DIGITAL como garantía de la validez legal de los Documentos Electrónicos eadministración Segura CUSTODIA DIGITAL como garantía de la validez legal de los Documentos Electrónicos eadministración Segura Eduardo López Rebollal Responsable Administración Electrónica Grupo SIA Índice 1. Firma Digital

Más detalles

DIA 22, Taller: Desarrollo de Aplicaciones con DNIe - Validación certificados

DIA 22, Taller: Desarrollo de Aplicaciones con DNIe - Validación certificados DIA 22, Taller: Desarrollo de Aplicaciones con DNIe - Validación certificados SAMUEL ADAME LORITE CONSULTOR - SAFELAYER SECURE COMMUNICATIONS S.A. 22 de Noviembre de 2007 1º ENCUENTRO NACIONAL DE LA INDUSTRIA

Más detalles

DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN (DPC) SELLADO DE TIEMPO DPC DE LA ECI SECURITY DATA SEGURIDAD EN DATOS Y FIRMA DIGITAL, S.A.

DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN (DPC) SELLADO DE TIEMPO DPC DE LA ECI SECURITY DATA SEGURIDAD EN DATOS Y FIRMA DIGITAL, S.A. DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN (DPC) SELLADO DE TIEMPO DPC DE LA ECI SECURITY DATA SEGURIDAD EN DATOS Y FIRMA DIGITAL, S.A. Sellado INDICE INDICE... 1 1. MARCO LEGAL... 1.1. Base Legal... 1..

Más detalles

Key Exchange con clave pública

Key Exchange con clave pública Key Exchange con clave pública Cómo acuerdan Alice y Bob una clave de sesión? Claves de intercambio: e A, e B son las claves públicas de Alice y Bob, pueden ser conocidas por todos. d A, d B son las claves

Más detalles

Gestión de Certificados con OpenSSL

Gestión de Certificados con OpenSSL Taller de Criptografía Aplicada Gestión de Certificados con OpenSSL Andrés J. Díaz Índice Qué vamos a ver? Teoría sobre certificados, CA y RA Creando una CA con OpenSSL Qué es un certificado

Más detalles

EDItran/CA z/os. Autoridad de Certificación para EDItran/CD Servicios UNIX z/os. UNIX z/os. Manual de Usuario

EDItran/CA z/os. Autoridad de Certificación para EDItran/CD Servicios UNIX z/os. UNIX z/os. Manual de Usuario EDItran/CA z/os Autoridad de Certificación para EDItran/CD Servicios UNIX z/os UNIX z/os Manual de Usuario Indra. Junio de 2009 EDItranCA_zOS_USS.doc. Indra. La información aquí contenida puede ser objeto

Más detalles

POLITICA DE CERTIFICACION PKI PARAGUAY

POLITICA DE CERTIFICACION PKI PARAGUAY POLÍTICA DE CERTIFICACIÓN DE LA INFRAESTRUCTURA DE CLAVE PÚBLICA DEL PARAGUAY Ministerio de Industria y Comercio Subsecretaría de Estado de Comercio República del Paraguay Tabla de contenido 1.1 Descripción

Más detalles

Prestador del Servicio de Certificación de Registradores. Política de Certificación de los Certificados Internos

Prestador del Servicio de Certificación de Registradores. Política de Certificación de los Certificados Internos Prestador del Servicio de Certificación de Registradores Política de Certificación de los Certificados Internos Versión 1.0.9 03 de Marzo de 2015 Firmado digitalmente por NOMBRE GALLEGO FERNANDEZ LUIS

Más detalles

Analiza y elabora un manual de uso con ejemplos de la herramienta OpenSSL.

Analiza y elabora un manual de uso con ejemplos de la herramienta OpenSSL. Instalacion de OpenSll El proceso de instalación de OpenSSL para Windows es muy sencillo, tendremos el clásico asistente donde tendremos que aceptar la licencia y seleccionar el destino donde queremos

Más detalles

Política de Certificación de Certificados reconocidos de pertenencia a empresa

Política de Certificación de Certificados reconocidos de pertenencia a empresa Certificados reconocidos de pertenencia a empresa Fecha: 16/11/2011 Versión: 1.0 Estado: APROBADO Nº de páginas: 45 OID: 1.3.6.1.4.1.8149.3.20.1.0 Clasificación: PÚBLICO Archivo: ACCV-CP-20V1.0.doc Preparado

Más detalles

CORREO URUGUAYO Administración Nacional de Correos del Uruguay

CORREO URUGUAYO Administración Nacional de Correos del Uruguay CORREO URUGUAYO Administración Nacional de Correos del Uruguay Servicios de Certificación DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN OID: 1.3.6.1.4.1.31439.1.1 Versión: 3.5 21 de Abril de 2015 1 INTRODUCCIÓN...7

Más detalles

Conselleria de Justícia I Administracions Públiques

Conselleria de Justícia I Administracions Públiques Conselleria de Justícia I Administracions Públiques Política de Certificación de Certificados de Controlador de Fecha: 26/05/2008 Versión: 1.1 Estado: BORRADOR Nº de páginas: 33 OID: 1.3.6.1.4.1.8149.3.12.1.1

Más detalles

Infraestructura de Clave Pública del Banco de España Política de Certificación para certificados de autenticación

Infraestructura de Clave Pública del Banco de España Política de Certificación para certificados de autenticación 25.10.2006 OID: 1.3.6.1.4.1.19484.2.2.6.1.1 Infraestructura de Clave Pública del Banco de España Política de Certificación para certificados de autenticación RESUMEN Este documento recoge la Política de

Más detalles

POLÍTICAS DE CERTIFICADO (PC) Certificado de. Persona Natural. Versión 6.0 PC DE LA ECI SECURITY DATA SEGURIDAD EN DATOS Y FIRMA DIGITAL, S.A.

POLÍTICAS DE CERTIFICADO (PC) Certificado de. Persona Natural. Versión 6.0 PC DE LA ECI SECURITY DATA SEGURIDAD EN DATOS Y FIRMA DIGITAL, S.A. POLÍTICAS DE CERTIFICADO (PC) Versión.0 PC DE LA ECI SECURITY DATA SEGURIDAD EN DATOS Y FIRMA DIGITAL, S.A. INDICE INDICE... 1 1. MARCO LEGAL... 4 1.1. Base Legal... 4 1.2. Vigencia... 4 1.3. Soporte Legal...

Más detalles

Política de Certificación de Certificados para Servidores con soporte SSL

Política de Certificación de Certificados para Servidores con soporte SSL Política de Certificación de Certificados para Servidores Fecha: 14 de noviembre de 2011 Versión: 3.0 Estado: APROBADO Nº de páginas: 42 OID: 1.3.6.1.4.1.8149.3.3.3.0 Clasificación: PUBLICO Archivo: ACCV-CP-03V3.0.doc

Más detalles

Autoritat de Certificació de la Generalitat Valenciana

Autoritat de Certificació de la Generalitat Valenciana Secretaria Autonòmica de Telecomunicacions i Societat Informació Conselleria d Infraestructures i Transport Autoritat de Certificació Política de Certificación de Certificados Reconocidos en soporte software

Más detalles

OID: 2.16.724.1.2.2.2.1.0.6

OID: 2.16.724.1.2.2.2.1.0.6 INFRAESTRUCTURA DE CLAVE PÚBLICA DNI ELECTRÓNICO PROYECTO DE DECLARACIÓN DE PRÁCTICAS Y POLÍTICAS DE CERTIFICACIÓN OID: 2.16.724.1.2.2.2.1.0.6 1 TABLA DE CONTENIDOS 1. INTRODUCCIÓN... 15 1.1 RESUMEN...

Más detalles

ANEXO E: TABLAS COMPLEMENTARIAS A LA CONFIGURACIÓN DE LA JERARQUÍA DE FP

ANEXO E: TABLAS COMPLEMENTARIAS A LA CONFIGURACIÓN DE LA JERARQUÍA DE FP ANEXO E: TABLAS COMPLEMENTARIAS A LA CONFIGURACIÓN DE LA JERARQUÍA DE FP En este anexo se incluyen nueve tablas que complementan la explicación y configuración final de la Jerarquía de Certificación de

Más detalles

CP3_ACA_002.0 CERTIFICADOS CORPORATIVOS SERVIDOR SEGURO (VERSIÓN 002.0)

CP3_ACA_002.0 CERTIFICADOS CORPORATIVOS SERVIDOR SEGURO (VERSIÓN 002.0) Referencia: CP3_ACA_002.0 Fecha: 02/03/2009 Estado del documento: Publicado Consejo General de la Abogacía Española POLÍTICAS DE CERTIFICACIÓN (CP) DE LA AUTORIDAD DE CERTIFICACIÓN DE LA ABOGACÍA CP3_ACA_002.0

Más detalles

Herramientas: GPG, OpenSSL

Herramientas: GPG, OpenSSL Herramientas: GPG, OpenSSL Enrique Soriano LS, GSYC 10 de junio de 2015 (cc) 2014 Grupo de Sistemas y Comunicaciones. Algunos derechos reservados. Este trabajo se entrega bajo la licencia Creative Commons

Más detalles

ANEXO A: DECLARACIÓN DE PRÁCTICAS Y POLÍTICAS DE CERTIFICACIÓN DE FIRMAPROFESIONAL DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN (CPS) CAPÍTULO 7

ANEXO A: DECLARACIÓN DE PRÁCTICAS Y POLÍTICAS DE CERTIFICACIÓN DE FIRMAPROFESIONAL DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN (CPS) CAPÍTULO 7 ANEXO A: DECLARACIÓN DE PRÁCTICAS Y POLÍTICAS DE CERTIFICACIÓN DE FIRMAPROFESIONAL En este anexo se incluyen los capítulos más relevantes del documento Declaración de Prácticas de Certificación de Firmaprofesional,

Más detalles

Clase 19: 21 de Abril de 2011. Certificados Digitales (HTTPS) Eduardo Mercader Orta emercade [at] nic. cl

Clase 19: 21 de Abril de 2011. Certificados Digitales (HTTPS) Eduardo Mercader Orta emercade [at] nic. cl Taller de Administración de Servidores Linux CC5308 Clase 19: 21 de Abril de 2011 Certificados Digitales (HTTPS) Eduardo Mercader Orta emercade [at] nic. cl Copyright 2011 Creative Commons 3.0-cl by-nc-sa

Más detalles

REPÚBLICA DE PANAMÁ Ministerio de Comercio e Industrias Dirección Nacional de Comercio Electrónico DGCE-EPKI-SP-001-2009

REPÚBLICA DE PANAMÁ Ministerio de Comercio e Industrias Dirección Nacional de Comercio Electrónico DGCE-EPKI-SP-001-2009 REPÚBLICA DE PANAMÁ Ministerio de Comercio e Industrias Dirección Nacional de Comercio Electrónico DGCE-EPKI-SP-001-2009 Por medio de la cual se establece la Guía de estándares técnicos y la información

Más detalles

Software de Comunicaciones. Práctica 6 - HTTPS con Apache y PKCS

Software de Comunicaciones. Práctica 6 - HTTPS con Apache y PKCS Software de Comunicaciones Práctica 6 - HTTPS con Apache y PKCS Juan Díez-Yanguas Barber Software de Comunicaciones Ingeniería Informática - 5º Curso Jdyb - Abril 2013 Juan Díez- Yanguas Barber Práctica

Más detalles

Seguridad en Redes de Comunicación

Seguridad en Redes de Comunicación Seguridad en Redes de Comunicación Tema II. Auten,ficación y Ges,ón de Claves Jorge Lanza Calderón Luis Sánchez González Departamento de Ingeniería de Comunicaciones Grupo de Ingeniería Telemá8ca Este

Más detalles

Seguridad en la transmisión de Datos

Seguridad en la transmisión de Datos Seguridad en la transmisión de Datos David Peg Montalvo Santiago de Compostela Noviembre 2005 Índice 01 Seguridad. Ámbito de aplicación 02 Control de acceso 03 Conceptos básicos de criptografía 04 PKI

Más detalles

POLÍTICA DE CERTIFICACIÓN DE CERTIFICADOS FEREN CORPORATIVOS

POLÍTICA DE CERTIFICACIÓN DE CERTIFICADOS FEREN CORPORATIVOS POLÍTICA DE CERTIFICACIÓN DE CERTIFICADOS FEREN CORPORATIVOS Versión 1.0 Fecha: 27/02/2008 Índice 1 INTRODUCCION...4 1.1. PRESENTACIÓN...4 1.2. IDENTIFICACIÓN...5 1.3. DIRECTORIO DE CERTIFICADOS...5 1.4.

Más detalles

GOBIERNO DE ESTADO DE GUERRERO

GOBIERNO DE ESTADO DE GUERRERO DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN DE LA AUTORIDAD CERTIFICADORA DEL GOBIERNO DE ESTADO DE GUERRERO VERSIÓN 1.00 Fecha: 03-2010 OID: 30.32.30.30.39.39.30.30.30.31.32.30 1. INTRODUCCIÓN La Ley 874

Más detalles

POLÍTICA DE CERTIFICACIÓN DE CERTIFICADOS NOTARIALES DE SERVIDOR SEGURO

POLÍTICA DE CERTIFICACIÓN DE CERTIFICADOS NOTARIALES DE SERVIDOR SEGURO POLÍTICA DE CERTIFICACIÓN DE CERTIFICADOS NOTARIALES DE SERVIDOR SEGURO Versión 1.1 Fecha: 22/12/2004 Índice 1 INTRODUCCION...4 1.1. PRESENTACIÓN...4 1.2. IDENTIFICACIÓN...4 1.3. DIRECTORIO DE CERTIFICADOS...4

Más detalles

SOLICITUD, INSTALACIÓN y CONFIGURACIÓN DE UN CERTIFICADO DE SERVIDOR SEGURO EN APACHE MEDIANTE OPENSSL

SOLICITUD, INSTALACIÓN y CONFIGURACIÓN DE UN CERTIFICADO DE SERVIDOR SEGURO EN APACHE MEDIANTE OPENSSL SOLICITUD, INSTALACIÓN y CONFIGURACIÓN DE UN AC CAMERFIRMA - NIF: A 82743287 USO: EXTERNO Página 1 de 7 CONTROL DE ACTUALIZACIONES EX-TEC-EHG2004-005 SOLICITUD E INSTALACIÓN DE UN APACHE MEDIANTE OPENSSL

Más detalles

Servicio de Certificación Digital. Organización Médica Colegial de España

Servicio de Certificación Digital. Organización Médica Colegial de España Servicio de Certificación Digital de España Servicio de Certificación Digital de la Declaración de Prácticas de Certificación Entidad de Certificación de la 2 Servicio de Certificación Digital de la Tabla

Más detalles

Cómo asegurar un Servidor Web de Apache con un certificado digital thawte UNA GUÍA PASO A PASO para probar, instalar y utilizar un certificado digital thawte en el servidor Web de Apache... 1. Aspectos

Más detalles

Tema: Certificados Digitales

Tema: Certificados Digitales Seguridad en redes. Guía 9 1 Facultad: Ingeniería Escuela: Electrónica Asignatura: Seguridad en redes Tema: Certificados Digitales Contenidos Instalación de OpenSSL Creación de la Autoridad Certificadora

Más detalles

Fábrica Nacional de Moneda y Timbre Real Casa de la Moneda CERES. La firma electrónica como base de la facturación n electrónica

Fábrica Nacional de Moneda y Timbre Real Casa de la Moneda CERES. La firma electrónica como base de la facturación n electrónica Fábrica Nacional de Moneda y Timbre Real Casa de la Moneda CERES La firma electrónica como base de la facturación n electrónica Índice 1. Factura electrónica 2. Firma electrónica 3. Certificado electrónico

Más detalles

Política de Certificación de Persona Jurídica

Política de Certificación de Persona Jurídica Política de Certificación de Persona Jurídica Unidad de Certificación Electrónica Infraestructura Nacional de Certificación Electrónica República Oriental del Uruguay CP de Persona Jurídica 1 Índice 1.Introducción...4

Más detalles

PRÁCTICA 8 Parte B Mecanismos de Seguridad, Certificados Digitales

PRÁCTICA 8 Parte B Mecanismos de Seguridad, Certificados Digitales PRÁCTICA 8 Parte B Mecanismos de Seguridad, Certificados Digitales Semestre 2010-II 1.- Objetivo de aprendizaje El alumno identificará los diversos tipos de certificados, así como su importancia dentro

Más detalles

Instructivo para Solicitud de Certificado de Servidor 080-ISS-I017

Instructivo para Solicitud de Certificado de Servidor 080-ISS-I017 Instructivo para Solicitud de Certificado de Servidor 080-ISS-I017 Parte 1, generación del archivo Para llevar a cabo esta tarea se debe trabajar con el usuario ROOT (en el servidor) y se debe tener instalado

Más detalles

Unidad 4 Criptografía, SSL/TLS y HTTPS. Despliegue de aplicaciones web

Unidad 4 Criptografía, SSL/TLS y HTTPS. Despliegue de aplicaciones web Unidad 4 Criptografía, SSL/TLS y HTTPS Índice Introducción. Criptografía Introducción Algoritmos criptográficos Introducción. Clave secreta. Clave pública. Funciones resumen (hash). 2 Índice Firma digital.

Más detalles

Prácticas Criptografía

Prácticas Criptografía Prácticas Criptografía 1 1 Licencia de Uso Copyright(c),2007. 2008, CENDITEL. Per mission is granted to copy, distribute and/or modify this document under the ter ms of the GNU Free Documentation License,

Más detalles

Certificados de Firma Digital Avanzada E-CERTCHILE

Certificados de Firma Digital Avanzada E-CERTCHILE Certificados de Firma Digital Avanzada E-CERTCHILE Política de Certificación Versión 1.9 Fecha de Publicación: Noviembre 2011 Requisito: PO01 POLÍTICA DE CERTIFICACIÓN PARA LOS CERTIFICADOS PERSONALES

Más detalles

STCPSigner. Versión 4.0.0

STCPSigner. Versión 4.0.0 Versión 4.0.0 Contenido Qué es el STCPSigner? 3 Arquitectura 4 Características Generales 5 Flujo de Firma 5 Flujo de Validación 6 Flujo de Criptografía 7 Flujo de Decriptografía 8 Requisitos de software

Más detalles

Prestador de servicios de certificación digital Empresas Organismos Administración Pública Gobiernos

Prestador de servicios de certificación digital Empresas Organismos Administración Pública Gobiernos Camerfirma Prestador de servicios de certificación digital Empresas Organismos Administración Pública Gobiernos AC Camerfirma Camerfirma nace como proyecto del Consejo Superior de Cámaras de Comercio en

Más detalles

Infraestructura de Clave Pública del Banco de España Política de Certificación para certificados de componente de uso interno

Infraestructura de Clave Pública del Banco de España Política de Certificación para certificados de componente de uso interno 11.05.2015 OID: 1.3.6.1.4.1.19484.2.2.9 Infraestructura de Clave Pública del Banco de España Política de Certificación para certificados de componente de uso interno RESUMEN Este documento recoge la Política

Más detalles

CertiSur S.A. Normas para el Proceso de Certificación. Para los Servicios de Certificación bajo la Symantec Trust Network. Versión 3.

CertiSur S.A. Normas para el Proceso de Certificación. Para los Servicios de Certificación bajo la Symantec Trust Network. Versión 3. CertiSur S.A. Normas para el Proceso de Certificación Para los Servicios de Certificación bajo la Symantec Trust Network Versión 3.1 Fecha de vigencia: 01 de Octubre de 2015 CertiSur S.A. Av. Santa Fe

Más detalles

SOLICITUD E INSTALACIÓN DE UN CERTIFICADO DE SERVIDOR SEGURO EN APACHE 2.X MEDIANTE OPENSSL EX-2009-10-10

SOLICITUD E INSTALACIÓN DE UN CERTIFICADO DE SERVIDOR SEGURO EN APACHE 2.X MEDIANTE OPENSSL EX-2009-10-10 CERTIFICADO DE SERVIDOR SEGURO EN APACHE 2.X MEDIANTE OPENSSL AC CAMERFIRMA - NIF: A 82743287 USO: EXTERNO Página 1 de 6 CONTROL DE ACTUALIZACIONES VERSIÓN FECHA ELABORADO REVISADO APROBADO 1.0 10/07/2009

Más detalles

Política de Certificación. IRIS-PCA. POLÍTICA DE CERTIFICACIÓN IRIS-PCA Versión 1.5 Noviembre del 2003 OID: 1.3.6.1.4.1.7547.2.2.1.1.

Política de Certificación. IRIS-PCA. POLÍTICA DE CERTIFICACIÓN IRIS-PCA Versión 1.5 Noviembre del 2003 OID: 1.3.6.1.4.1.7547.2.2.1.1. POLÍTICA DE CERTIFICACIÓN IRIS-PCA Versión 1.5 Noviembre del 2003 OID: 1.3.6.1.4.1.7547.2.2.1.1.5 1 INTRODUCCIÓN... IDENTIDAD DE LA PCA... RedIRIS... ÁMBITO DE LA PCA... EL ÁRBOL DE CERTIFICACIÓN... USO

Más detalles