Departamento de Gobernanza Pública y Autogobierno

Certificados y Firmas Digitales

Detalles

La necesidad de disponer de un mecanismo seguro para la comunicación entre dos extremos, con atribución fiable de su titularidad, hace necesario el uso de certificados digitales. Éstos garantizan la identidad del titular de una clave pública por medio de una firma digital creada por un tercero llamado Autoridad de Certificación. El papel de la Autoridad de Certificación —CA— es proporcionar a los usuarios del sistema un servicio de acreditación que garantiza que las claves públicas distribuidas corresponden a determinados titulares, debidamente identificados de acuerdo con los términos del servicio.

Servicio Descripción Producto/tecnología
PKI«Public Key Infrastructure» Formatos estándar de Certificados para Infraestructura de Clave Pública, algoritmos de validación de la ruta de certificación y software de firma digital

X.509

SafeLayer

Criptografía Herramientas criptográficas para cifrar y firmar en aplicaciones Java y correo electrónico

S/MIME

NSHF (Servicio Horizontal de firma)

Web segura Protocolos de comunicación para securizar las transacciones Web

SAML

TLS

WS-Security

Algoritmos Usados en criptografía

RSA

AES

Certificados  

El intercambio de información personal a través de la red requiere una solución segura, que garantice la confidencialidad, la integridad de dicha información, su  autenticidad, y/o el no repudio, de modo que la persona emisora reconoce la transmisión y no puede negar ante terceros el envío de dichos datos en un momento concreto. Esta necesidad de garantía hace necesario el uso de diferentes medios de identificación electrónicos que permitan tanto la autenticación como la firma de las partes intervinientes en la relación. Estos sistemas basados en certificados de firma o sello electrónicos garantizan la seguridad en las comunicaciones. Es responsabilidad y papel de un Prestador de Servicios de Confianza, ejercer de autoridad de certificación para proporcionar, gestionar y garantizar estos medios de identificación.

B@k Q

B@k Q un medio de identificación electrónica y firma de nivel sustancial formado por:

  • Un número de referencia coincidente con el DNI/NIE del usuario.
  • Una contraseña.
  • Un juego de coordenadas con 16 posiciones

Y un certificado cualificado emitido en un repositorio centralizado que servirá para los actos de firma.

Además, puede ser complementado para todos o algunos de sus usos por un código enviado a un dispositivo móvil.

Giltza

La necesidad de identificación es permanente en todos los sistemas de seguridad y en multitud de procesos de participación, consulta o información.

La autenticación es el proceso que asegura que la otra parte es quien dice ser, por lo que su robustez incide directamente a la fiabilidad de los sistemas de seguridad  y su necesidad depende de la importancia y criticidad del servicio expuesto. Servicios que no siempre requieren de una función de firma para su uso.

Existen multitud de mecanismos y formulas de identificación que han ido proliferando según necesidades particulares. El usuario/password sería el mecanismo más comúnmente aceptado y distribuido pero el nivel de seguridad que ofrece es muy bajo, se puede copiar usando keylogers, descubrir por fuerza bruta o simplemente mirando por «encima del hombro». Lo mismo ocurriría con mecanismos hardware que interfieren en la experiencia de usuario, en especial para sistemas orientados al consumidor que requieren movilidad y son más costosos.

No existe un mecanismo de autenticación «ideal» que proporcione la máxima seguridad y sea, a la vez, de uso sencillo en todos los contextos y además las aplicaciones en la «nube» son, cada vez más, vistas como una extensión de las aplicaciones corporativas.  

Giltz@ se basa en la combinación de mecanismos de autenticación para proporcionar en cada caso la mejor relación entre seguridad, costes y facilidad de uso. Usa diferentes factores, en cada caso, dependiendo de la criticidad o nivel de seguridad requeridos y permite federar tantas identidades ya existentes como queramos dotándolas de niveles de robustez mayores en los casos que así lo requieran sin necesidad de crear nuevas identificaciones paralelas.

Servidor de Autenticación Adaptativa para entornos Web y Cloud:

  • Soporta mecanismos de autenticación corporativos, sociales y gubernamentales
  • Autenticación acumulativa. Evalúa el nivel de confianza de la autenticación y lo eleva cuando la aplicación lo requiere
  • Análisis de información contextual. Mejora la seguridad de la autenticación sin alterar la experiencia del usuario
  • Gestiona la confianza en la federación de identidades y proporciona control de acceso único entre aplicaciones
  • Ofrece un sistema de reporting de la autenticación y reacción rápida a problemas de seguridad.

Autenticación: Firma electrónica

CAdES

Nombre formal: ETSI TS 101 733 Electronic Signatures and Infrastructures (ESI); CMS Advanced Electronic Signatures (CAdES)   

Versión (mínima aceptada): 1.6.3 1.7.4

Extensión: .p7s .csig

Organización responsable: ETSI

XML-DSig

Nombre formal: XML Signature Syntax and Processing

Versión (mínima aceptada): Second Edition 2008

Extensión: .xml .dsig .xsig .sig

Organización responsable: CCN

CMS

Nombre formal: Cryptographic Message Syntax (CMS)

Versión (mínima aceptada): RFC 5652

Extensión: .sig

Organización responsable: IETF

ETSI TS 102 176-1. Algorithms and parameters for secure electronic signature. -Hash functions and asymmetric algorithms

Nombre formal: ETSI TS 102 176-1.  Electronic Signatures and Infrastructures (ESI); Algorithms and parameters for secure electronic signature. Part 1: Hash functions and asymmetric algorithms

Versión (mínima aceptada): 2.0.0

Extensión: -

Organización responsable: IETF

PAdES

Nombre formal: ETSI TS 102 778-3 Electronic Signatures and Infrastructures (ESI); PDF Advanced Electronic Signature Profiles; Part 3: PAdES Enhanced - PAdES-BES and PAdES-EPES Profiles.

Versión (mínima aceptada): PAdES-1 1.1.1 PAdES-2 1.2.1 PAdES-3 1.1.2 PAdES-4  .1.2 PAdES-5 1.1.2 PAdES-6 1.1.1

Extensión: . .p7s .pdf

Organización responsable: ETSI

PDF Signature

Nombre formal: PDF Signature

Versión (mínima aceptada): -

Extensión: .pdf

Organización responsable: Adobe

PKCS#7

Nombre formal: PKCS #7: Cryptographic Message Syntax. Version 1.5

Versión (mínima aceptada): RFC 2315

Extensión: -

Organización responsable: IETF

XAdES

Nombre formal: ETSI TS 101 903 XML Advanced Electronic Signatures (XAdES)

Versión (mínima aceptada): 1.2.2 1.3.2

Extensión: xml .dsig .xsig

Organización responsable: ETSI

Autenticación: Política de firma electrónica

ETSI TR 102 038 XML format for signature policies

Nombre formal: ETSI TR 102 038 TC Security - Electronic Signatures and Infrastructures (ESI);XML format for signature policies   

Versión (mínima aceptada): RFC 3125 1.1.1

Extensión: -

Organización responsable: IETF ETSI

ETSI TR 102 272 ASN.1 format for signature policies

Nombre formal: ETSI TR 102 272Electronic Signatures and Infrastructures (ESI); ASN.1 format for signature policies

Versión (mínima aceptada): 1.1.1

Extensión: -

Organización responsable: ETSI

Cifrado

TLS

Nombre formal: Transport Layer Security (TLS)

Versión (mínima aceptada): RFC 5878 RFC 5746 RFC 5705 RFC 5489 RFC 5487

RFC 5469 RFC 5289 RFC 5288

Extensión: -

Organización responsable: IETF

Política de firma electrónica basada en certificados de la Administración Pública de la Comunidad Autónoma de Euskadi (https://www.euskadi.eus/contenidos/informacion/certificados_admitidos/es_cert_ele/adjuntos/Pol%c3%adtica%20de%20Firma%201.1.pdf)

ISO/IEC 9796-2:2010 - Digital signature schemes - (https://www.iso.org/standard/54788.html)

ISO/IEC 20648:2016 - TLS specification for storage systems - (https://www.iso.org/standard/68622.html)

ISO/IEC 25185-1:2016 - Protocol for Lightweight Authentication of Identity - (https://www.iso.org/standard/62591.html)

X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP - RFC 2560 - (https://tools.ietf.org/html/rfc2560)

Policy requirements for time-stamping authorities - RFC 3628 - (http://www.etsi.org/deliver/etsi_ts%5C102000_102099%5C102023%5C01.02.01_60%5Cts_102023v010201p.pdf)

CAdES - CMS Advanced Electronic Signatures - (http://webapp.etsi.org/workprogram/Report_WorkItem.asp?WKI_ID=30997)

XML-Dsig - XML Signature Syntax and Processing - (http://www.w3.org/TR/xmldsig-core/)

CMS - Cryptographic Message Syntax (CMS) - (http://tools.ietf.org/html/rfc5652)

ETSI TS 102 176 -1. Algorithms and parameters for secure electronic signature. -Hash functions and asymmetric algorithms - (http://webapp.etsi.org/workProgram/Report_WorkItem.asp?wki_id=25179)

PAdES - PDF Advanced Electronic Signature Profiles - (http://webapp.etsi.org/workProgram/Report_WorkItem.asp?wki_id=31003;http://webapp.etsi.org/workProgram/Report_WorkItem.asp?wki_id=31004; http://webapp.etsi.org/workProgram/Report_WorkItem.asp?wki_id=34235; http://webapp.etsi.org/workProgram/Report_WorkItem.asp?wki_id=31941; http://webapp.etsi.org/workProgram/Report_WorkItem.asp?wki_id=31942; http://webapp.etsi.org/workProgram/Report_WorkItem.asp?wki_id=31986)

PDF Signature - (http://www.adobe.com)

PKCS#7 - Cryptographic Message Syntax - (http://tools.ietf.org/html/rfc2315)

XAdES - XML Advanced Electronic Signatures - (http://webapp.etsi.org/workprogram/Report_WorkItem.asp?WKI_ID=28064)

ETSI TR 102 038 XML format for signature policies - Electronic Signature Policies - (http://tools.ietf.org/html/rfc3125; http://docbox.etsi.org/EC_Files/EC_Files/tr_102038v010101p.pdf)

ETSI TR 102 038 XML format for signature policies - ASN.1 format for signature policies - (http://webapp.etsi.org/workProgram/Report_WorkItem.asp?wki_id=19571)

TLS - Transport Layer Security - (http://tools.ietf.org/html/rfc5878; http://tools.ietf.org/html/rfc5746; http://tools.ietf.org/html/rfc5705; http://tools.ietf.org/html/rfc5489; http://tools.ietf.org/html/rfc5487; http://tools.ietf.org/html/rfc5469; http://tools.ietf.org/html/rfc5289; http://tools.ietf.org/html/rfc5288)

  • Certificado Digital  Servicios (Tecnológicos) - Servicios de Infraestructura - Servicios Administrativos
  • Autenticación - Protocolos  Servicios (Tecnológicos) - Servicios de Acceso y Distribución - Servicios de Seguridad de Accesos-Dispositivos de Red
  • Cliente de Conexión Segura  Servicios (Tecnológicos) - Servicios de Infraestructura - Servicios Administrativos
  • Versión 1: 03-07-2017 (última versión)