Un proyecto Español de firma electrónica
| Autor | Ramiro Muñoz Muñoz |
| Cargo del Autor | Director Técnico de Camerfirma |
| Páginas | 107-125 |
Page 107
AC Camerfirma es un proyecto empresarial de las Cámaras de Comercio españolas. En esta ponencia expondremos las características del proyecto AC Camerfirma como ejemplo práctico para:
- Describir los elementos que forman parte de la implantación de una plataforma de certificación.
- Conocer los aspectos más relevantes que influyen en su creación y que determinan su propósito:
· Políticas y prácticas de certificación.
· Sistema de registro.
· Sistema de emisión.
· Sistema de publicación.
· Sistema de validación.
· Sistema de revocación.
· Otros servicios avanzados: Sellos de tiempo, notarización electrónica.
· Modelos de confianza, interconexión e inter-operatividad de sistemas de certificación independientes.
Page 108
Camerfirma es una iniciativa del Consejo Superior de Cámaras de Comercio. Las Cámaras de Comercio, como instituciones imparciales, se implican en fomentar el comercio electrónico ofreciendo servicios de tercera parte de confianza, inicialmente como emisores de certificados digitales y posteriormente desarrollando una serie de servicios adicionales: time stamping, notarización, etc.
El principal valor de un certificado es el reconocimiento de la auto-ridad que lo emite. La fuerza que proporciona un certificado digital depende también en gran medida de la confianza en la entidad de regis-tro. El Consejo Superior de Cámaras de Comercio y las Cámaras de Comercio son entidades históricas que siempre han ejercido como tercera parte en las relaciones mercantiles.
Camerfirma ofrece un certificado que relaciona a las personas físicas con una empresa y con el puesto que desempeña dentro de ésta. Por lo tanto, son certificados orientados a los negocios empresariales en la red.
No hay que pasar por alto que existen 10.000 Cámaras de Comercio en todo el mundo y que Camerfirma se encuentra dentro de Chamber-sign, entidad supranacional que engloba a todas las entidades de certificación de las Cámaras de Comercio a nivel internacional para que sean estos certificados reconocidos en todo el mundo. No existe ningún organismo empresarial que tenga representación y notoriedad en tantos países como las Cámaras.
Se pretende, por lo tanto, diseñar un esquema de emisión de certificados con alta calidad que sirvan para la identificación de representantes de la empresa y con reconocimiento mundial mediante su integración en Chambersign.
En esta ponencia me gustaría, no sólo desarrollar las bondades del sistema de certificación de las Cámaras de Comercio, sino aportar el conocimiento sobre los elementos y procesos que forman parte de la emisión de certificados digitales, herramienta básica para la creación de las firmas digitales. Todos estos elementos van a dotar a la firma digital creada de una serie de características que la harán jurídicamente y técnicamente diferente.
Page 109
En grandes rasgos, la base tecnológica de la certificación digital se basa en la criptografía de clave pública: consiste en la creación de un par de claves mediante algoritmos matemáticos; estas claves tienen la propiedad de ser complementarias, es decir, lo que una encripta la otra lo desencripta, y viceversa.
En base a este proceso se asigna este par de claves a una identidad. Una de las claves se distribuye públicamente (pública) y la otra (privada) debe ser custodiada por la identidad asociada, de tal forma que sólo ésta pueda activarla (la prueba de este hecho será la que nos garantice el no repudio de las acciones realizadas).
La emisión de un certificado digital consiste en la creación de un documento electrónico en base a un formato estandarizado donde una Autoridad (tercera parte de confianza) asocia una identidad con la clave pública de ésta. Este documento está firmado digitalmente con la clave privada de la autoridad de certificación, lo cual le dota de integridad y autenticidad.
Como hemos dicho, la autoridad de certificación tiene su propio par de claves y un certificado digital auto-firmado, es decir, reconociéndose a sí mismo como emisor de certificados digitales. Este certificado constituye el punto inicial de confianza que el receptor debe establecer como punto de partida en la verificación de una firma, o el punto de destino desde el certificado del firmante.
Las gestiones que una Autoridad de Certificación debe realizar tienen que ver con:
- El registro de identidades;
- la emisión y asociación de identidades y claves;
- la distribución de certificados;
- y, en general, la gestión del ciclo de vida de estos certificados.
Todas estas acciones y los elementos que las soportan es lo que constituye una PKI (Infraestructura de clave pública), o las tareas de un prestador de servicios de certificación.
Page 110
Inicialmente se debe definir con claridad el marco de actuación de nuestros certificados de la misma forma que nos plantearíamos hacerlo para la emisión de cualquier documento físico de identificación. ¿Cuál es la responsabilidad de emisor ¿A quién van a identificar ¿Para qué se va a utilizar el documento de identificación ¿Cuáles son las garantías y limitaciones que un tercero (parte confiante) debe conocer sobre la identidad de titular Debemos remarcar que es crítico para la parte confiante, cuando recibe una transacción o documento electrónico firmado, poder confiar en que el certificado identifica de mane-ra correcta y precisa al sujeto que custodia la clave privada asociada a la clave pública del certificado.
En el caso particular de Camerfirma, definiríamos el documento generado como un certificado para la comunidad empresarial donde se identifica a los representantes de la empresa para realizar opera-ciones electrónicas en la red.
Todas estas cuestiones se abordan en un primer documento llamado políticas de certificación.
El papel que juegan las políticas de certificación en una PKI es crítico, y permite evaluar el nivel de riesgo que asume la parte confiante a la hora de realizar una transacción. Esto podría llevarnos a aceptar o rechazar un certificado en base a la política de certificación empleada en la emisión del certificado.
Podemos definir la política de certificación como el conjunto de requerimientos que gobiernan la creación y el uso de certificados de clave pública. El IETF ha emitido un documento RFC 2527 que se ha reconocido como modelo generalizado para la redacción de políticas de certificación. Este documento describe a las políticas de certificación como un conjunto de normas que indican la aplicabilidad de un certificado a una comunidad particular con unos requerimientos de seguridad comunes.
Una vez establecida la política, una CA puede incluir esta información dentro de los certificados emitidos, referenciándola mediante un identificativo OID (object identifier). Haciendo esto, la CA está declarando que dicho certificado ha sido emitido bajo los términos de dicha política. De manera similar, la...
Para continuar leyendo
Solicita tu prueba