Firma Electrónica

1. Seguridad y Confianza en la Red

2. Criptografía de Clave Pública
3. Estructura
4. Certificado Digital
5. Casos Concretos de Autoridades de Certificación
6. Manuales de Uso
7. Consigue tu certificado. Más información

1. Seguridad y Confianza en la Red

El crecimiento en el uso de Internet hace que sean posibles las relaciones profesionales/comerciales con
personas a las que no se conoce (y a las que probablemente no se tendrá oportunidad de conocer
personalmente).

Para relaciones de poca responsabilidad contractual o de poco valor económico (libros, discos, etc.)
posiblemente la actual seguridad de la red es suficiente.

Pero para transacciones que impliquen responsabilidades (la mayoría de las que se producirán entre
profesionales) es necesaria una seguridad máxima. De hecho, de todos los estudios realizados se
concluye que la inseguridad es uno de los grandes frenos al crecimiento de la utilización profesional de
Internet.

1.1. Legislación Firma Electrónica

DIRECTIVA 1999/93/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 13 de diciembre de 1999 por la
que se establece un marco comunitario para la firma electrónica.

REAL DECRETO-LEY 14/1999, de 17 de septiembre, sobre firma electrónica

SEGUNDO BORRADOR DE ANTEPROYECTO DE LEY DE FIRMA ELECTRÓNICA

(26 de julio de 2002)

1.2. Premisas para la seguridad y confianza en la Red

Para tener la seguridad de que el profesional va a realizar la transacción con las mismas o mayores
garantías que las que tiene en el entorno profesional tradicional, el sistema que utilicemos para
garantizar dicha seguridad deberá cumplir las siguientes premisas:

- Identidad: tener la seguridad de que se está realizando la gestión con la persona/empresa deseada.

- Confidencialidad: tener la seguridad de que solo usted y la persona/entidad con la que está haciendo la
gestión puede tener acceso a la información.

- Integridad: tener la seguridad de que los documentos motivo de la gestión son los originales y no han
sido manipulados.

- No repudio: tener la prueba de la realización de un contrato, transacción, gestión, etc.

2. Criptografía de Clave Pública

Uno de los sistemas que cumple estos requisitos es la Criptografía de Clave Pública (PKI).

2.1. Criptografía

La criptografía es una rama de las Matemáticas, que estudia la transformación (cifrado) de información
legible en información que no se puede leer directamente, sino que ha de ser descifrada para ser leída.
Si la información cifrada es interceptada, esta es ininteligible para todo el que no tenga capacidad de
descifrarla.

Aplicada a mensajes digitales, proporciona las herramientas idóneas para solucionar los problemas de
confidencialidad y autenticidad.

2.2. Algoritmos

En la Criptografía de Clave Pública se utilizan los siguientes algoritmos, funciones matemáticas, para
trasformar la información.

Algoritmo Hash: Algoritmo que trasforma los datos en un resumen irreversible. Es decir, si pasamos los
datos por un algoritmo Hash obtendremos un resumen único de esos datos, pero a partir del resumen no
seremos capaces de volver a obtener los datos.

Algoritmo de clave Pública: Función matemática fácil de resolver en un sentido, pero prácticamente
imposible de realizar en sentido inverso, salvo que se conozca la clave privada.

2.3. Par de Claves

La Criptografía de Clave Pública se basa en la tenencia por cada usuario de un par de claves asimétricas
asociadas (diferentes).

La clave privada, está en poder del usuario y no existe otra copia.

La clave pública, como su propio nombre indica, es conocida por todos.

Una clave puede verificar y desencriptar lo que la otra ha firmado y encriptado

3. Estructura de la Criptografía de Clave Pública

En la Criptografía de Clave Pública la estructura organizativa consta de 2 entidades la Autoridad de

Certificación y las Autoridades de Registro.

3.1. Autoridad de Certificación

Es la entidad encargada de gestionar el proceso de emisión de los certificados. También llamada AC o

CA.

La Autoridad de Registro es una tercera parte de confianza que se responsabiliza del contenido de los
certificados digitales, de su emisión y validez, e incluso de revocarlos si queda comprometida su
seguridad.

Es la que acredita la ligazón entre las claves y su propietario, además de que los datos que contiene el
certificado son correctos.

3.2. Autoridad de Registro

Responsables de la comprobación de identidades y calificaciones de los solicitantes. También llamada AR

o RA. Para una autoridad de Certificación, puede haber más de una autoridad de registro.
Entre la Autoridad de Certificación y las Autoridades de Registro hay una red segura que permita la
transmisión de información de manera segura.

4. Certificado Digital

Los certificados digitales son archivos o documentos digitales, que vincula una persona física o jurídica
con una clave pública, vinculada a su vez con una clave privada. Este documento está firmado
digitalmente por una Autoridad de Certificación.

4.1. Contenido de los Certificados Digitales

- Un identificador único o número de serie.

- El algoritmo de firma.

- Los datos de la Autoridad de Certificación.

- Las fechas de expedición y expiración del certificado.

- La identificación del titular del certificado. Esta identificación ha de incluir como mínimo el email.
También puede incluir otros datos del titular, el nombre, DNI, profesión, titulación, cargo, empresa en la
que trabaja, grupo al que está afiliado, etc.

- La clave pública del titular del certificado

- Los usos del certificado.

4.2. Validez de un certificado y CRL

Un Certificado es válido desde su fecha de expedición hasta su fecha de expiración.

Pero, si un titular ha hecho un mal uso de un certificado o lo ha perdido, el certificado se ha dañado, la

clave privada del certificado ha sido comprometida, los datos del certificado han cambiado o han dejado
de ser válidos, etc. El certificado a pesar de no haber expirado ha dejado de ser válido.

La Autoridad de Revocación es la encargada de Revocar el Certificado.

La Autoridad de Certificación es la encargada de publicar la Lista de Certificados Revocados (CRL). La

lista de certificados que han dejado de ser válidos y en los que no se debe confiar.

4.3. Tipos de Certificados Digitales

Persona jurídica: Estos certificados identifican a una persona física, siempre que ésta tenga poder
notarial dentro de una empresa. Son utilizados para la representación de una empresa, por parte de una
persona física. Identifican a una persona con poder de firma dentro de la empresa.

Servidor: Asegura la comunicación entre el usuario de una página web y el servidor donde está alojada
la propia web. Esta comunicación se realiza mediante cifrado SSL V3. También se asegura, según los
certificados, que la identidad de la empresa que aparece en la web, es la verdadera.

Personales: Los Certificados personales acreditan en primer lugar la identidad de una persona.

Además, pueden acreditar distintos atributos asociados a dicha persona: su capacidad profesional, su
pertenencia a una organización, su cargo en una empresa, sus poderes sobre una empresa, su
titulación, su domicilio habitual, etc.

5. Casos concretos de Autoridades de Certificación

5.1.

CAMERFIRMA

5.1.1. Camerfirma

Camerfirma es una compañía prestadora de servicios de certificación digital y firma electrónica dirigida
al entorno empresarial, identificando a las personas físicas y relacionándolas con sus puestos de trabajo
dentro de las empresas. También identifica a empresarios individuales y emite certificados de servidor
seguro. La empresa está respaldada por la red de Cámaras de Comercio de España.

5.1.2. Cámaras de Comercio

Las Cámaras de Comercio son instituciones históricas que representan los intereses de las empresas de
su ámbito de actuación. Su cometido ha sido siempre el de promocionar la empresas hacia el exterior y
ejercer como tercera parte neutral en litigios.

Debido a la extensión progresiva que está teniendo el comercio a través de Internet, las Cámaras han de
ofrecer una herramienta segura, para que las empresas puedan realizar su actividad en la red de una
forma totalmente segura. Además este sistema ha de ser reconocido en un entorno internacional para
facilitar la expansión de estas empresas.

5.1.3. Solución de Camerfirma

Camerfirma ofrece un sistema de firma digital, que cumple con la más alta calidad requerida por las
empresas. Las instalaciones seguras de Camerfirma, así como sus procedimientos de certificación, han
sido auditados en varias ocasiones, siempre con un resultado positivo.

Es la red de Cámaras de Comercio la que ejerce la función de entidad de registro, identificando a las
personas de las empresas de su zona. Por lo cual, cualquier empresa que requiera un certificado no ha
de desplazarse a larga distancia para poder poseer un certificado digital. En la actualidad existen 85
Cámaras de Comercio en nuestro país.

Por otro lado, Camerfirma ofrece servicios de PKI a empresas que tengan la necesidad de crear su
propia entidad de certificación, aportando por parte de Camerfirma las instalaciones seguras y todo la
experiencia en el desarrollo de la misma (legal, técnico y de procedimientos).

5.1.4. Objetivos de Camerfirma

Facilitar a las empresas españolas, una herramienta de alta calidad, con la que pueden realizar negocios
on-line con la misma seguridad con la que se realizan off-line. Además es un sistema que posibilita la
creación de aplicaciones internas en las empresas (identificación, cifrado y firma) que sin la certificación
digital sería prácticamente imposible su concepción por falta de seguridad.

La finalidad de Camerfirma es la de ofrecer un certificado de la máxima calidad y unos servicios técnicos,

con la garantía de identificación que las Cámaras de Comercio aportan.

Camerfirma es la entidad de certificación de las Cámaras de Comercio, he identifica a las personas en su

entorno empresarial.

5.1.5. Estructura Organizativa

Red de Cámaras de Comercio (Autoridades de Registro):

- Responsables de la comprobación de identidades y calificaciones de los solicitantes.

Camerfirma (Autoridad de Certificación):

- Responsable de gestionar todo el proceso de emisión de certificados.

- Reconocimiento ante terceros.

- Prestador de servicios de certificación digital en outsourcing para terceros.

5.1.6. Contenido del Certificado

Los certificados Camerfirma son certificados de ámbito empresarial.

Estos Certificados contienen:

Identificación personal

- E-mail
- Nombre y apellidos

Identificación profesional

- Empresa
- Departamento
- Puesto de trabajo
- CIF de la empresa
- País
- Provincia
- Ciudad
- Poder notarial del poseedor del certificado (en los certificados de persona jurídica)

También Camerfirma emite certificados de servidor seguro, que además de asegurar la comunicación
cifrada, identifica a la empresa que está detrás del dominio en cuestión.

5.1.7. Instituciones participantes

Instituciones con participación accionarial:

- Consejo Superior de Cámaras de Comercio, Industria y Navegación de España

- Bancaja
- Banesto
- Caixa Galicia

Diferentes Cámaras de Comercio participan el los Consejos Generales, además de los cuatro accionistas
anteriormente nombrados.

5.1.8. Datos de Contacto

C/ Serrano, 93 7ºE
28006 Madrid
Telf: 91.411.96.61

http://www.camerfirma.com
Email: info@camerfirma.com

Para más información puede llamar al 902 100 096 o contacte con su Cámara de Comercio.

6. Manuales de Uso

Para saber como utilizar los certificados digitales, puedes descargarte los siguientes manuales:

- Guía Rápida de uso de certificados digitales soporte software.

- Manual de instalación de un certificado digital en formato Software.

- Manual de desinstalación de un certificado digital en formato Software.

- Manual de Firma Digital en Outlook.

Fuente