Internet y las relaciones electrónicas se han establecido como la nueva forma de relacionarse haciendo uso de una nueva tecnología capaz de automatizar transacciones mediante mecanismos electrónicos y sin el uso del documento en soporte de papel.

La tecnología de clave pública permite gestionar adecuadamente los riesgos para que las transacciones electrónicas realizadas en las redes abiertas e inseguras como Internet puedan ocurrir con total garantía. Se trata de una tecnología fundamental para:

  • Mejorar los procesos de negocio, permitiendo optimizar los tiempos, la gestión de errores y reducir sus costes.
  • Mejorar de la satisfacción de los clientes y los usuarios, posibilitando las relaciones desde cualquier sitio y en cualquier instante.

Servicios de seguridad

Sin la capacidad para identificar electrónicamente de forma fiable a las personas o a las máquinas, las transacciones electrónicas no pueden ocurrir. La tecnología de clave pública, mediante el uso de los certificados digitales (equivalentes a tarjetas de identidad electrónicas), es la forma más segura de identificación electrónica y también para proteger los datos electrónicos.

Una infraestructura de clave pública o PKI ofrece un conjunto de servicios que reducen de forma drástica los riesgos de seguridad asociados a los procesos de negocio. Los servicios que ofrece una PKI son los siguientes:

  • La autenticación electrónica garantiza de forma unívoca la identidad y los atributos de una entidad (¿quién es y qué es?). Si bien la identidad nos aporta un nombre de una persona o una máquina, los atributos nos aportan la información acerca de su capacidad para ejercer como profesional cualificado, el límite de crédito, la fecha de nacimiento, etc.
  • La integridad de datos es el servicio que permite la detección de cualquier cambio que se hubiese realizado de forma accidental o intencionada mientras los datos permanecen almacenados o son transmitidos por redes telemáticas. Los servicios de autenticación e integridad son la base para la firma electrónica, pudiéndola equiparar con la manuscrita, y por tanto eliminando la necesidad del papel.
  • El servicio de confidencialidad permite la protección de los datos electrónicos (archivos y comunicaciones), permitiendo controlar el acceso a éstos mediante la aplicación de mecanismos de autenticación basados en PKI.

La infraestructura PKI

La responsabilidad de la infraestructura de clave pública (PKI) es la de ofrecer los servicios necesarios para poder establecer relaciones electrónicas confiables. Para esto, las terceras partes de confianza (TTPs) serán las responsables de garantizar la relación unívoca de las entidades con los datos socioeconómicos que éstas acrediten, de relacionar de forma unívoca una fecha concreta con unos datos concretos o, de confirmar de forma probatoria que dichas relaciones establecidas siguen siendo válidas a lo largo del tiempo.

Las entidades de confianza, se clasifican en tres grupos en función del tipo de responsabilidad adquirida: Las entidades responsables de la emisión y la gestión de los certificados digitales, conocidas como Autoridades de Certificación; las entidades responsables de asegurar la validez de un certificado digital, conocidas como Autoridades de Validación; y finalmente, las entidades responsables de asegurar la fecha de la existencia de unos datos concretos, conocidas con Autoridades de Sellado de Tiempo.

  • Autoridad de Certificación: En una PKI, las responsabilidades de la emisión de certificados se comparten entre la Autoridad de Certificación (CA) y entre la entidad responsable de solicitar la generación de los certificados o Autoridad de Registro (RA). La RA es la entidad a la que la CA delega las tareas de recepción de las solicitudes de certificación y decisión de aprobación o denegación. La RA también podrá solicitar una revocación de certificado ya emitido previamente por la CA. La CA se dedica exclusivamente a la generación de los certificados y las listas de revocación, las cuales contienen los certificados revocados. Mientras que el componente RA interacciona con las entidades solicitantes de certificados (ejemplo: personas) y con el sistema de toma de decisiones de la empresa para la obtención de datos o atributos del solicitante, el componente CA se encarga exclusivamente de procesar las solicitudes aprobadas para generar los certificados correspondientes. Los certificados digitales se publicarán en la mayoría de las situaciones en un directorio, cuya responsabilidad puede recaer tanto en la CA como en la RA.
  • Autoridad de Validación: Los servicios de validación del estado de los certificados digitales son estratégicos en aquellos procesos de negocio donde se requieran garantías de que se ha verificado el estado de un certificado digital en el proceso de aceptación de datos firmados digitalmente (por ejemplo, órdenes de transacción electrónicas). Será la Autoridad de Validación (VA) quien suministrará la prueba de la vigencia (certificado revocado o no revocado) de un determinado certificado digital en un instante determinado, responsabilizándose de dichas respuestas. El valor probatorio es, pues, el beneficio más importante frente a las tradicionales CRLs generadas por la CA, cuyo diseño no contempla dicho beneficio; pero también es importante el incremento de eficiencia que ofrece este sistema frente al anterior.
  • Autoridad de Sellado de Tiempo: La Autoridad de Sellado de Tiempo (TSA) garantiza el tiempo y lo asocia a unos datos concretos. El resultado será la generación de un sello de tiempo que se entregará al solicitante. El sello de tiempo entregado por la TSA está firmado digitalmente por ésta, dando de esta forma valor probatorio a dichos datos. La TSA sólo garantiza un tiempo asociado a unos datos concretos; nunca verificará dichos datos ni tendrá acceso a éstos, siendo ésta una responsabilidad de quien valide el sello de tiempo. Los beneficios de los sellos de tiempos radican en asegurar el momento de la existencia de una firma, pero también como base para verificar firmas a lo largo del tiempo. Ejemplos de sistemas donde se requieren sellos de tiempo son los servicios de Administraciones Públicas que precisen garantizar fechas de entregas, servicios de Notaría Electrónica o presentación de validez de ofertas entre otros.
  • El Directorio: Es el componente de la infraestructura de clave pública responsable de publicar los certificados y las listas de revocación que ha generado la CA. Los usuarios pueden obtener cualquier certificado o la lista de revocación vigente a través de una consulta al directorio, donde además, se pueden almacenar otro tipo de datos como la dirección de correo electrónico del usuario, el nombre del usuario, el teléfono, etc. La consulta de los certificados al directorio se realiza cuando se pretende enviar datos cifrados y no dispone del certificado de los receptores de dichos datos o cuando se precisa obtener un certificado para validar la firma electrónica de un firmante.
  • Entidades Finales: Las entidades finales son las personas o sistemas que pueden poseer un certificado digital. Se distinguen de las no finales (por ejemplo: CA) por no poder generar certificados para otras entidades. Entre dichas entidades, podemos distinguir a personas o grupos de personas y sistemas. Los primeros dispondrán de certificados digitales para autenticación, firma electrónica o protección de datos, mientras que los segundos dispondrán de certificados digitales con el propósito genérico de autenticarse de forma segura (por ejemplo, un servidor de banca electrónica a quien se tienen que enviar datos confidenciales).
pki-basic

Beneficios únicos

La tecnología PKI se considera estratégica para el sector gubernamental por dos razones,

  • La Administración es garantista, por lo que los mecanismos de seguridad aplicados deben ofrecer un alto nivel de confianza.
  • La Administración electrónica mejora de forma significativa el servicio al ciudadano incrementando su satisfacción.

De igual forma, el uso de la tecnología PKI permite optimizar los procesos garantizando la seguridad de los datos electrónicos. Algunos ejemplos son:

  • En el escenario del sector de sanidad, el control de acceso y el cifrado de datos son básicos para el suministro de la información del historial clínico donde los informes del paciente son confidenciales. La firma electrónica se aplicará también en la receta electrónica, mejorando la seguridad del sistema actual de prescripción y optimizando el proceso.
  • En el escenario de la banca, los certificados digitales se requieren para el control de acceso de los clientes a sus cuentas bancarias y para firmar electrónicamente las órdenes de transacción. En este escenario, la validación segura del certificado digital previa a la aceptación de la transacción será más crítica cuan mayor sea el importe ordenado.
  • En el sector de defensa, la confidencialidad y la autenticidad de los datos es especialmente sensible. Se cifran datos a custodiar, los mensajes de correo electrónico y las comunicaciones con algoritmos y claves de cifrado fuertes.

En el sector corporativo, englobando la securización de los procesos corporativos de cualquier organización, es de especial interés un sistema de autenticación única tanto para empleados como clientes así como la mensajería electrónica segura y la securización de documentos. Quizás uno de los ejemplos típicos de uso de la firma electrónica en las corporaciones es la generación de facturas electrónicas.

Utilizamos cookies para mejorar nuestro sitio web y su experiencia al usarlo. Las cookies utilizadas para el funcionamiento esencial de este sitio ya se han establecido. Para obtener más información sobre las cookies que utilizamos y cómo eliminarlas, ver nuestra Política de Privacidad.Acepto las cookies de este sitio