17/12/2009 Instituto de Tecnologías Educativas

Utilización de certificados digitales para correo electrónico seguro

Pu ede desca r g a r el a r ch iv o en r t f o pdf

1. Concepto de criptografía

El uso del correo electrónico por medios habituales mediante canales inseguros, como por ejemplo la red Internet, no
proporcionan confidencialidad ni autenticidad en los mensajes intercambiados entre los destinatarios.
Para asegurar la confidencialidad de la información es posible codificar la información intercambiada mediante el uso de
la criptografía de mensajes. Los mensajes son cifrados por el remitente y descifrados por el destinatario, utilizando
claves que solamente ellos conocen. De esta manera, los datos de los correos electrónicos que transitan por las redes
y servidores de Internet están codificados, y son totalmente ininteligibles para terceras personas que pudieran hacer un
uso fraudulento de tales datos.
Si los dos interlocutores utilizan la misma clave para cifrar y descifrar (claves simétricas), el procedimiento por el cual
se intercambian las claves representa un punto débil en el esquema de seguridad. Esto se debe a que no existe ningún
medio totalmente fiable para que la clave utilizada para codificar llegue al receptor con la seguridad de que no ha sido
interceptada por terceros. Para solucionar este inconveniente de la criptografía simétrica, se hace uso de la criptografía
de clave pública o asimétrica.

2. Criptografía de clave pública o asimétrica

La criptografía de clave pública o asimétrica utiliza claves diferentes para codificar y descodificar. Se basa en la
utilización de pares de claves complementarias por cada interlocutor que cumplen la propiedad de que la información
cifrada con una, solamente puede ser descifrada con la otra, y viceversa. Una de estas claves es privada y la otra es
pública. La clave privada debe conservarse en lugar seguro, ya que solamente puede tener acceso a ella el propietario
de la clave. En cambio, la clave pública se puede distribuir, y debe comunicarse a las personas con las que se quiera
intercambiar correo seguro.
La criptografía de clave pública no solamente permite la codificación, sino también la autenticación o firma de los
mensajes. Mediante la autenticación o firma se puede tener la certeza de que el autor de un mensaje es quién dice ser,
y el mensaje no ha sido modificado.

La criptografía simétrica es más eficiente en términos de rendimiento que la criptografía de clave pública debido a que
requiere menos operaciones matemáticas. Por esto, se suele utilizar la criptografía de clave pública solamente en el
punto débil del intercambio de información, que es en la comunicación de la contraseña que posteriormente utilizarán
los interlocutores para cifrar y descifrar el contenido del mensaje.

3. Certificados digitales

La distribución de la clave pública entre varios interlocutores constituye un paso conflictivo por el problema de verificar
correctamente la propiedad real de las claves públicas, ya que un intruso podría suplantar una determinada clave
pública y con ello se infiltraría en comunicaciones codificadas. Las Autoridades de Certificación (AC) verifican y
certifican que la propiedad de las claves públicas es de sus legítimos propietarios. El certificado digital de usuario
emitido por la AC sirve para garantizar que una determinada clave pública corresponde a su propietario.
La Fábrica Nacional de Moneda y Timbre (FNMT) es una Autoridad de Certificación de la Administración Pública
Española. La FNMT otorga de forma gratuita certificados digitales de usuario para la utilización de correo electrónico
seguro. Los certificados para estos usos son los de la clase 2 CA, válidos igualmente para operar vía Internet con
Hacienda y otras administraciones.

4. Conceptos de firma y cifrado

Los certificados de la clase 2 CA que otorga la FNMT utilizan el par de claves de cada usuario para firmar/verificar
http://usuarios.pntic.mec.es/util_cert.php 1/7
17/12/2009 Instituto de Tecnologías Educativas
firmas y codificar/descodificar mensajes. Las claves son generadas por los navegadores y, posteriormente, la clave
pública es incorporada al certificado cuando éste es descargado al navegador del cliente.
Si un usuario envía un mensaje solamente firmado, se incluye un resumen de firma de varios caracteres obtenido en
función del texto del mensaje y de su propia clave privada. Para realizar la verificación de la firma, el destinatario aplica
al mensaje la clave pública del remitente. Si de esta verificación se obtienen los mismos caracteres, el mensaje no ha
sido manipulado, y se puede asegurar la autenticidad del mensaje. Un mensaje que está solamente firmado transita por
la red totalmente legible y puede ser leído por terceras personas.
Si solamente se realiza la codificación del mensaje, el remitente utiliza la clave pública del destinatario para cifrar una
clave de sesión simétrica. Con esta clave, el remitente cifra el mensaje. El destinatario utiliza su clave privada para
descifrar la clave simétrica que utilizó el remitente para cifrar. En este caso, como el mensaje va codificado, transita
ilegible por las redes, pero no se puede asegurar la autenticidad del emisor, debido a que cualquiera puede cifrar con la
clave pública de un determinado usuario.
Los mensajes se cifran con la intención de que si algún tercero capta el mensaje no lo pueda entender, antes tendría
que descifrarlo. Los mensajes se firman con el propósito de que no puedan ser alterados y de que el emisor no pueda
negar luego el envío de dicho mensaje. Es posible enviar mensajes cifrados pero no firmados y viceversa.
Si un usuario posee su certificado, puede enviar correo firmado por él a cualquier persona, aunque ésta última no posea
su certificado personal. Sin embargo, el receptor necesitará tener instalado en su navegador el certificado de la FNMT
para clase 2 CA. En primer lugar, el certificado raíz valida la clave pública del remitente, y esta clave verifica su firma.

Por lo tanto, para garantizar la confidencialidad y la autenticidad de los mensajes de correo electrónico intercambiados,
es preciso codificar y firmar dichos mensajes. Para poder utilizar conjuntamente estas dos opciones, cada usuario tiene
que poseer su propio certificado de usuario.

5. Procedimiento de obtención de certificado

Los pasos para conseguir el certificado de usuario para usos de correo electrónico seguro se describen en las páginas
Web de la FNMT, para acceder pulse aquí
En el apartado “Obtener Certificado”, puede ver información relativa a cómo descargase el certificado en su navegador.

6. Comprobación de los certificados para los distintos navegadores

Una vez tenga instalado el certificado, puede comprobar usted mismo si está bien instalado, siguiendo los pasos
expuestos a continuación para los distintos navegadores
• Para Mozilla Firefox
La comprobación de los certificados, en este navegador, se hace en:

Herramientas -> Preferencias

Vaya a la sección de “Avanzadas” y escoja la sección de “Certificados”; pulse en el botón de “Administrar certificados”
del apartado “Administrar certificados”. En la nueva ventana que le aparecerá active la pestaña de “Sus certificados”
donde debe de aparecer el certificado que se ha descargado.

• Para Netscape v7

Para verificar si el certificado ha quedado bien instalado en este navegador, debe dirigirse a:

Editar -> Preferencias

Vaya al apartado de “Privacidad & seguridad” y ahí dentro a la sección de “Certificados”. Pulse en el botón de
“Gestionar Certificados” del apartado “Gestionar certificados”. En la nueva ventana que le aparecerá diríjase a la pestaña
de “Sus certificados” donde debe estar el certificado que se descargó.

http://usuarios.pntic.mec.es/util_cert.php 2/7
17/12/2009 Instituto de Tecnologías Educativas

• Para Internet Explorer

Debe dirigirse a:

Herramientas -> Opciones de Internet...Pestaña de “Contenido”

En el apartado de “Certificados”, debe pulsar en el botón de “Certificados”. Le aparecerá una nueva ventana, diríjase a la
pestaña de “Personal” y ahí tiene que encontrarse el certificado que se descargó.

En el caso de que el certificado no se valide correctamente, un posible origen del problema está en la configuración
errónea de la fecha y hora del equipo utilizado. En este caso, hay que realizar el ajuste horario de la máquina.

El último paso consiste en realizar una copia de seguridad del certificado que se ha incorporado al navegador. Este
paso no es obligatorio, pero sí aconsejable para tener una copia del certificado por si fallara el ordenador desde el que
se utiliza habitualmente o en caso de que se necesitara usar el certificado desde otros ordenadores o navegadores
distintos. La forma de realizar esta acción es diferente para cada navegador, pero para todos ellos es necesario que se
encuentre en la ventana de comprobar sus certificados (de la que hemos explicado anteriormente cómo llegar).

Para los navegadores Netscape o Firefox, la forma de exportar un certificado es realizando una “Copia de seguridad” del
mismo. Para el navegador Internet Explorer esto se hace con la opción de “Exportar” a un archivo. Tiene dos opciones a
la hora de exportar el certificado: con clave privada o pública. Escoja la opción de exportar con clave privada sólo para
su uso personal, como copia de seguridad o para exportar el certificado a otro ordenador o navegador que usted vaya a
utilizar, guarde una copia del certificado con clave privada como copia de seguridad. El certificado sin clave privada (sólo
la clave pública) podrá exportarlo para entregarlo a todos aquellos con los que usted quiera comunicarse de forma
segura.
Si usted desea utilizar su certificado en un ordenador o navegador distinto del que realizó la solicitud, deberá importar el
certificado con la clave privada a este ordenador o navegador.

7. Utilización de los certificados con distintos programas de correo electrónico

Para poder utilizar los programas de correo electrónico para envío y recepción de correo electrónico seguro, es
necesario incorporar al cliente de correo los certificados o identificadores digitales de las personas con las que se
intercambia correo. Esta acción se realiza de diferente forma según el programa que usted utilice:

• Para Mozilla Thunderbird

Al recibir mensajes firmados de sus contactos, los certificados digitales se incorporan automáticamente al programa.
Para comprobar su validez, hay que ir a las siguientes opciones:

Herramientas ->Preferencias

Vaya al apartado de “Avanzadas” y escoja la sección de “Certificados”; pulse en el botón de “Administrar certificados”
del apartado “Administrar certificados” y seleccione la pestaña “De otras personas”

Si el certificado es válido, aparecerá en la ventana indicando que la validación se efectuó correctamente.

Con los identificadores digitales de otros usuarios ya incorporados, el programa puede comprobar la firma de los
mensajes recibidos por estos usuarios y enviarles mensajes cifrados con su clave pública, que posteriormente ellos
podrán descodificar con su clave privada.

Para poder trabajar con nuestro certificado digital es necesario, en el programa de correo, dirigirse a:

http://usuarios.pntic.mec.es/util_cert.php 3/7
17/12/2009 Instituto de Tecnologías Educativas
Herramientas->Configuración de cuentas...

Escoja la cuenta en la que quiera utilizar el certificado digital y diríjase a la opción de “Seguridad”. En la nueva ventana,
escoja si quiere firmar los mensajes, cifrarlos o ambas cosas y seleccione el certificado que desee utilizar, pulsando en
el botón de “Seleccionar...”.

Para poder mandar un mensaje cifrado y/o firmado hay que estar en el modo de componer un mensaje nuevo y pulsar
en el icono de “Seguridad” del menú superior.

Este icono da acceso a la ventana de seguridad dentro de la cual se podrá escoger las opciones de firmar, cifrar o
ambas para la dirección de correo electrónico especificada en el campo de destinatario del mensaje. Solamente se
podrá activar la opción de cifrar el mensaje para las direcciones de correo electrónico cuyo certificado digital se haya
verificado de forma válida.

Si el mensaje se envía firmado y/o codificado, en la esquina inferior derecha del mensaje aparecerán dos iconos, el
dibujo de la estilográfica indica que el mensaje se envía firmado, mientras que el icono de la llave muestra que el
mensaje se está enviando codificado.

Cuando el destinatario recibe un correo firmado y/o cifrado le aparecerán unos iconos cerca de la esquina superior
derecha del encabezado que muestran que la información se envió cifrada y firmada.
Los iconos son los siguientes para el firmado y para el cifrado.

• Para Nestscape v7.0

La versión 7.0 de Netscape viene con un cliente de correo que funciona independiente del navegador y que permite el
envío y recepción de mensajes seguros.
De la misma manera que con Thunderbird, con este programa es necesario incorporar los certificados digitales de los
usuarios con los que se realiza el intercambio de correo para poder enviarles correos cifrados con su clave pública que
ellos podrán descifrar con su clave privada. Al recibir mensajes firmados, se incorporan automáticamente estos
certificados en el programa. Para comprobar su validez, hay que ir a las siguientes opciones:
Editar ->Preferencias
Vaya al apartado de “Privacidad & Seguridad” y escoja la sección de “Certificados”; pulse en el botón de “Gestionar
certificados” en la nueva ventana que le aparecerá active la pestaña de “Certificados Ajenos”
Si el certificado es válido, aparecerá la ventana indicando que la validación se efectuó correctamente.
Para poder enviar los mensajes cifrados y firmados con nuestro certificado digital es necesario, en el programa de
correo, dirigirse a:
Editar->Configuración de cuentas de correo/grupos de noticias...
Escoja la cuenta en la que quiera utilizar el certificado digital y diríjase a la opción de “Seguridad”. En la nueva ventana
que le aparecerá, marque si quiere firmar los mensajes, cifrarlos o ambas cosas y seleccione el certificado que desee
utilizar, pulsando en el botón de “Seleccionar...”.

Para poder mandar un mensaje cifrado y/o firmado hay que situarse en el modo de componer un mensaje nuevo y
pulsar en el icono de “Seguridad” del menú superior.

Este icono da acceso a la ventana de seguridad dentro de la cual se podrá optar por las opciones de firmar, cifrar o
ambas, para la dirección de correo electrónico especificada en el campo de destinatario del mensaje. Solamente se
http://usuarios.pntic.mec.es/util_cert.php 4/7
17/12/2009 Instituto de Tecnologías Educativas
podrá activar la opción de cifrar el mensaje para las direcciones de correo electrónico cuyo certificado digital se haya
verificado de forma válida.
Si el mensaje se envía firmado y/o cifrado, en la esquina inferior derecha del mensaje aparecerán dos iconos, el dibujo
de la estilográfica indica que el mensaje se envía cifrado, mientras que el icono de la llave muestra que el mensaje se
está enviando codificado.

Cuando el mensaje es recibido por el destinatario, le aparecerán unos iconos cerca de la esquina superior derecha del
encabezado que muestran que la información se envió cifrada y firmada.
Los iconos son los que se ven para el firmadoy para el cifrado.

• Para Outlook Express

Como en los clientes anteriores, en la configuración establecida por defecto, las claves públicas de sus contactos se
agregan al programa automáticamente cuando se reciben correos firmados por ellos. Para ver el certificado incorporado,
hay que dirigirse a las siguientes opciones:
Herramientas->Libreta de direcciones
Aquí se selecciona el contacto para el que se quiere visualizar el certificado y se pulsa en Propiedades->Identificadores
digitales. De esta forma, aparecen los datos del contacto, indicando, con una señal verde, si su certificado es válido

Si lo que quiere es enviar mensajes a otros usuarios firmados con su clave privada, lo primero que debe hacer es
importar el certificado digital al programa de Outlook. Esto se hace en el menú
Herramientas->Cuentas
En la ventana de Cuentas seleccionar la cuenta de correo para la que se ha obtenido el certificado y pulsar en el botón
de “Propiedades”. En la nueva ventana que aparecerá (Propiedades), pulsar en la pestaña de “Seguridad”.

Hay que pulsar el primer botón "Seleccionar" -el que se encuentra en la sección "Certificado de firma"-, y en la ventana
que aparece escoger el certificado correspondiente a la cuenta de correo que se está configurando y pulsar “Aceptar”.
Con esto, se ha seleccionado el certificado que se usará para firmar digitalmente los mensajes de correo que se envíen
a través de esta cuenta.
Posteriormente hay que pulsar el segundo botón "Seleccionar" (el que se encuentra en la sección "Preferencias de
cifrado"), y en la ventana que aparece, escoger el mismo certificado que en el paso anterior, el que corresponde a la
cuenta de correo, y pulsar “Aceptar”. De esta forma se selecciona el certificado que los destinatarios de nuestros
mensajes firmados podrán usar para enviarnos correo cifrado, de modo que sólo nosotros podamos leerlo.
En último lugar hay que seleccionar el algoritmo de cifrado que utilizarán los destinatarios de nuestros mensajes
firmados para enviarnos correo cifrado. De esta manera ya queda todo configurado para poder enviar mensajes firmados
con nuestra clave asignada. Y para poder descodificar los mensajes recibidos que nos hayan enviado con nuestra clave
pública.

Los iconos de seguridad, utilizados para firmar y codificar, se encuentran en la barra de herramientas de la edición de
mensajes. La forma que tienen estos iconos se ilustra a en las figuras

Cuando se activan estos botones en la barra de herramientas de un mensaje, aparecen unos iconos indicando que el
mensaje se va a enviar firmado y cifrado

Cuando el destinatario recibe el mensaje anterior, después de validar la contraseña de su clave privada, le aparecerá un
primer contenido indicando que el remitente firmó y cifró el mensaje, tal como se muestra en la Figura

http://usuarios.pntic.mec.es/util_cert.php 5/7
17/12/2009 Instituto de Tecnologías Educativas

8. Ajustes de seguridad de los navegadores de Internet

En los navegadores de Internet existe el parámetro de la intensidad de cifrado. Este parámetro se refiere al número de
bits que se utilizan en la elección de las claves simétricas de sesión con las que se cifra el contenido del mensaje. La
opción adecuada para la intensidad del cifrado es de 128 bits (cifrado de alta intensidad). En algunos navegadores el
número de bits es mucho menor, lo cual compromete la seguridad.

• Para Mozilla Firefox

Mozilla Firefox codifica sus mensajes a través de SSL, para comprobar qué cifrados utiliza este navegador vaya a:
Herramientas->Preferencias
Sección de “Avanzadas”, apartado de “Seguridad”
Asegúrese de que están activadas las tres opciones de seguridad: SSL 2.0, SSL 3.0 y TSL 1.0, como se muestran en
la Figura

• Para Netscape

Este programa también codifica sus mensajes a través de SSL, puede comprobar la intensidad del cifrado en el
siguiente menú:
Editar->Preferencias
Sección de “Privacidad &seguridad” apartado de “SSL”.
Asegúrese de que están activadas las tres opciones de la parte superior del menú: SSL v2, SSL v3 y TLS. Puede
indicar más concisamente qué cifrados se usarán si pulsa en el botón de “Editar cifrados...”. En la Figura 20 se muestra
qué cifrados se pueden escoger.

• Para Internet Explorer

Se puede comprobar la intensidad de cifrado para este navegador en el menú

Ayuda->Acerca de Internet Explorer
Tal como se muestra en la figura

8. Revocación de certificados sin dirección de correo electrónico

Si se posee un certificado personal de clase 2 CA que no tiene las características necesarias para poder ser usado en
correo electrónico seguro por no incorporar dirección de correo electrónico, o incorporándola no sea válida, se debe
revocar el certificado y solicitar un nuevo certificado con dirección válida.
Para la revocación del certificado hay que realizar una petición vía Web en el enlace de revocación de certificados de la
página Web de FNMT:
http://www.cert.fnmt.es/index.php?cha=cit&sec=obtain_cert
Cuando la revocación se ha efectuado, se sigue el proceso habitual para dar de alta un nuevo certificado, tal como se
explica en el apartado de obtención de certificado. En el paso tercero de acreditación de la identidad confirmarán la
revocación del certificado anterior realizada por el usuario mediante la comprobación del DNI. En este paso, se debe
indicar una dirección de correo electrónico válida para que se incluya en el certificado.
9. Enlaces de interés

En la siguiente página Web se pueden encontrar temas relacionados con el funcionamiento de la criptografía, así como
http://usuarios.pntic.mec.es/util_cert.php 6/7
17/12/2009 Instituto de Tecnologías Educativas
consultas frecuentes sobre los certificados usados para el correo electrónico seguro.
http://www.cert.fnmt.es/index.php?cha=cit&sec=3&page=213

Puede descargarse el navegador Netscape en su versión 7, junto con el cliente de correo y un programa de mensajería
instantánea, desde la siguiente dirección
http://www.nestcape.com

Los navegadores Mozilla y Mozilla Firefox, así como el cliente de correo Thunderbird pueden ser descargados desde la
siguiente página:
http://www.mozilla.org/products/

A RRIBA

© Min ist er io de Edu ca ción

In st it u t o de T ecn olog ía s Edu ca t iv a s
In for m a ción g en er a l: w ebm a st er @it e.edu ca cion .es
C/ T or r ela g u n a 5 8 . 2 8 0 2 7 Ma dr id - T lf: 9 1 3 7 7 8 3 0 0 . Fa x : 9 1 3 6 8 0 7 0 9 . NIPO: 6 5 1 -0 6 -1 3 2 -8

http://usuarios.pntic.mec.es/util_cert.php 7/7