Conceptos de Firma (Certificado) Digital.
A partir de la salida a producción de SIVICOF V.2. Los Sujetos de Control podrán autenticarse en el sistema con Firma Digital y también enviar y consultar información enviada que haya sido firmada digitalmente.
Esto tiene múltiples beneficios tanto para los Sujetos de Control como para la Contraloría, de esta forma, a continuación presentamos algunos conceptos básicos y útiles para su manejo.
¿Definición de certificado digital?
Los certificados son documentos digitales que dan fe de la vinculación entre una clave pública y un individuo o entidad. Permiten verificar que una clave pública específica pertenece efectivamente a un individuo o entidad.
Los certificados, de esta forma, ayudan a prevenir que alguien utilice una clave para hacerse pasar por otra persona. En algunos casos, puede ser necesario crear una cadena de certificados, donde cada uno certifica el anterior, para que de esta forma las partes involucradas confíen en la entidad en cuestión.
¿Por que se usan certificados digitales?
La preocupación por la seguridad en las compras y servicios en línea va en aumento. El control de acceso por el empleo de una simple contraseña no es del todo adecuado.
Controlar el acceso por medio de un certificado digital, es mucho más seguro.
Cada vez son más las empresas que hacen transacciones sobre Internet y despiertan a esta realidad, requiriendo el empleo de certificados digitales por sus clientes o usuarios. Sin embargo, los consumidores en línea no son los únicos que necesitan certificados digitales, los negocios que manejan servidores de comercio electrónicos sobre Internet también
necesitarán certificados digitales. Debido a la verificación de identidad realizada por la Autoridad de Certificación antes de la emisión, la presencia de un Certificado Digital dará testimonio de integridad del negocio, y así proporcionará a los consumidores en línea la seguridad de comprar en un negocio legítimo y seguro.
¿Para qué se usan certificados digitales?
Un certificado puede utilizarse para identificarse en cualquier tipo de transacción o comunicación electrónica. Permite garantizar que un mensaje emitido ha sido enviado por el titular del certificado y que no ha sufrido ninguna alteración.
¿Como se almacenan los certificados digitales?
Una de las modalidades es a través de un PKCS#12 o P12.
Este es un archivo que contiene la información definida por el estándar PKCS#12 (Personal Information Exchange Syntax Standard) y en el formato que éste también define.
Concretamente, estos ficheros contienen un certificado digital, junto con la clave privada correspondiente y los certificados de todas las autoridades de certificación hasta la que es la raíz (o, como se le denomina, la cadena de certificación). Los ficheros están cifrados con una contraseña.
Adicionalmente los certificados pueden guardar en: tarjetas inteligentes o dispositivos token estos dispositivos son para el manejo específico de certificados digitales.
También se pueden almacenar en dispositivos de almacenamiento como Discos magnéticos, memorias USB para almacenar el certificado digital en este tipo de dispositivos debe ser generado en formato P12.
¿Quien expide certificados digitales de forma abierta en Colombia?
En Colombia la única certificadora abierta que existe es La Sociedad Cameral de Certificación Digital Certicámara S.A., o simplemente Certicámara, es una sociedad anónima constituida por las cámaras de comercio del país con el objetivo de prestar los servicios de certificación digital que se regulan por la ley 527 de 1.999, el Decreto 1747 de 2.000 y las demás normas que las complementen, modifiquen o reemplacen.
Certicámara es una Entidad de Certificación Digital Abierta de carácter esencialmente Empresarial, que tiene como propósito fundamental proporcionar las herramientas necesarias para que los empresarios y demás usuarios de Internet del país puedan realizar Negocios Electrónicos con Seguridad Jurídica.
Certificado digital.
Un certificado digital (también conocido como certificado de clave pública o certificado de identidad) es un documento digital mediante el cual un tercero confiable (una autoridad de certificación) garantiza la vinculación entre la identidad de un sujeto o entidad (por ejemplo: nombre, dirección y otros aspectos de identificación) y una clave pública.
Este tipo de certificados se emplea para comprobar que una clave pública pertenece a un individuo o entidad. La existencia de firmas en los certificados aseguran por parte del firmante del certificado (una autoridad de certificación, por ejemplo) que la información de identidad y la clave pública perteneciente al usuario o entidad referida en el certificado digital están vinculadas.
Un aspecto fundamental es que el certificado para cumplir la función de identificación y autenticación necesita del uso de la clave privada (que sólo el titular conoce). El certificado y la clave pública se consideran información no sensible que puede distribuirse a terceros. El certificado sin más no puede ser utilizado como medio de identificación, pero es una pieza imprescindible en los protocolos usados para autenticar a las partes de una comunicación digital, al garantizar la relación entre una clave pública y una identidad.
El ejemplo por excelencia es la firma electrónica: aquí el titular tiene que utilizar su clave privada para crear una firma electrónica. A esta firma se le adjuntará el certificado. El receptor del documento que quiera comprobar la autenticidad de la identidad del firmante necesitará la clave pública que acompaña al certificado para que a través de una serie de operaciones criptográfica se compruebe que es la pareja de la clave privada utilizada en la firma. Es esta operación de asociación al dato secreto del firmante lo que hará la función de comprobar su identidad.
Si bien existen variados formatos para certificados digitales, los más comúnmente empleados se rigen por el estándar UIT-T X.509. El certificado debe contener al menos lo siguiente:
La identidad del propietario del certificado (identidad a certificar),
La clave pública asociada a esa identidad,
La identidad de la entidad que expide y firma el certificado,
El algoritmo criptográfico usado para firmar el certificado.
Los dos primeros apartados son el contenido fundamental del certificado (identidad y clave pública asociada), en tanto que los otros dos son datos imprescindibles para poder validar el certificado.
Esta información se firma de forma digital por la autoridad emisora del certificado. De esa forma, el receptor puede verificar que esta última ha establecido realmente la asociación.
Formato de certificado digital.
Un certificado emitido por una entidad de certificación autorizada, además de estar firmado digitalmente por ésta, debe contener, por lo menos, lo siguiente:
* Nombre, dirección y domicilio del suscriptor.
* Identificación del suscriptor nombrado en el certificado.
* El nombre, la dirección y el lugar donde realiza actividades la entidad de certificación.
* La clave pública del usuario.
* La metodología para verificar la firma digital del suscriptor impuesta en el mensaje de datos.
* El número de serie del certificado.
* Fecha de emisión y expiración del certificado.
No hay comentarios:
Publicar un comentario