Pasar al contenido principal

Autoridad de certificación

Desde los inicios de la digitalización empezaron a surgir o instalarse servicios en la red para los cuales los usos de contraseñas simples suponían un método de autenticación inadecuado necesitándose pruebas exhaustivas para garantizar y confirmar la identidad de los actores de una comunicación y poder validar la información que se transfería.

Esto era así dado el interés que una entidad atacante podría llegar a tener en, por ejemplo, acceder a información esencial de otra organización. Cuanto más valiosa es la información objetivo o cuanto más interés pueda tener en ella la organización atacante, es previsible que se destine mayor número de recursos y tiempo para llevar a cabo el ciberataque. En este contexto es donde la implantación de las infraestructuras de clave pública puede adquirir mayor sentido.

Brevemente, una infraestructura de clave pública (o PKI por sus siglas en inglés) es aquella que permite autenticar usuarios y otros entes empleando certificados de identidad con la finalidad de cifrar y descifrar mensajes, garantizando también el no repudio del envío.

En una operación criptográfica que use PKI intervienen por lo menos las siguientes partes: 

  • La entidad emisora que comienza una comunicación. 
  • Servicios que avalan la ejecución de la operación y garantizan la validez de los certificados (autoridad de certificación, autoridad de registro y sistema de sellado de tiempo). 
  • La entidad destinataria de los datos cifrados firmados enviados por la entidad emisora que comenzó la operación.

Dentro de este contexto, la autoridad de certificación es la entidad encargada de emitir y revocar certificados. Es el organismo de confianza que da legitimidad a la relación de una clave pública con la identidad de una entidad o servicio.

Todo certificado válido ha de ser emitido por una autoridad de certificación reconocida, que garantiza la validez de la relación entre el poseedor del certificado y el certificado en sí.

Existen diferentes tipos de certificado digital, en función de la información que contiene cada uno y a nombre de quién se emita el certificado.

En entornos personales y profesionales:

  1. Certificado de atributo, el cual permite identificar una cualidad, estado o situación. Este tipo de certificado va asociado al certificado personal (por ejemplo, profesión, cargo en la organización, estado civil, etc.).
  2. Certificado personal, que acredita la identidad de la persona que lo posee.
  3. Certificado de pertenencia a empresa, que certifica la vinculación de la persona con la entidad para la que trabaja, además de la identidad propia del poseedor del certificado. 
  4. Certificado de representante acredita los poderes de representación que el titular tiene sobre la empresa para la cual trabaja.
  5. Certificado de persona jurídica que, a la hora de realizar trámites ante las administraciones o instituciones, identifica una empresa o sociedad como tal.

En entornos técnicos, se pueden añadir también otro par de certificados relevantes:

  1. Certificado de servidor seguro, utilizado para proteger ante ciberataques el intercambio de información de los usuarios dentro de un servidor web.
  2. Certificado de firma de código, para garantizar el autor y la veracidad sin modificaciones del código de una aplicación informática. 

En resumen, este tipo de certificados sirven para que las comunicaciones en entornos conectados se hagan de forma segura y confirmen tanto la autoría como la no modificación de un mensaje enviado entre dos equipos. 

Compartir

Compartir en Linkedin