La criptografía de clave pública o asimétrica está basada en el uso de un par de claves que cumplen, entre otros requisitos, que lo que somos capaces de cifrar con una de ellas, somos capaces de descifrarlo con la otra y sólo con ella.
Una de las claves solo está en poder del propietario, que debe conservarla de forma segura, y se denomina clave privada.
La otra clave es publicada para que la conozcan todos aquellos que quieran comunicarse de modo seguro con el propietario mencionado, a esta última se la denomina clave pública.
La encriptación o cifrado es un mecanismo de seguridad que permite modificar un mensaje de modo que su contenido sea ilegible, salvo para su destinatario. De modo inverso, la desencriptación o descifrado permitirá hacer legible un mensaje que estaba cifrado.
Usando criptografía de clave pública el emisor del mensaje cifrará el mensaje aplicando la clave pública del destinatario. Será por tanto el destinatario, el único que podrá descifrar el mensaje aplicando su clave privada.
Un certificado raíz es un certificado emitido por la Autoridad de Certificación para sí misma. En este certificado consta la clave pública de la Autoridad de Certificación y por tanto será necesario para comprobar la autenticidad de cualquier certificado emitido por ella. Es el certificado origen de la cadena de confianza.
Un certificado en un documento emitido y firmado por la Autoridad de Certificación que identifica una clave pública con su propietario. Cada certificado está identificado por un número de serie único y tiene un periodo de validez que está incluido en el certificado.
Una Autoridad de Certificación (AC, en inglés CA) es una entidad de confianza del emisor y del receptor del mensaje. Esta confianza de ambos en una 'tercera parte confiable' permite que cualquiera de los dos confíe a su vez en los documentos firmados por la Autoridad de Certificación, en particular, en los documentos que identifican cada clave pública con su propietario correspondiente y se denominan certificados.
Una Autoridad de Registro (AR, en inglés RA) es una entidad que identifica de forma inequívoca al solicitante de un certificado. La Autoridad de Registro suministra a la Autoridad de Certificación los datos verificados del solicitante a fin de que la Autoridad de Certificación emita el correspondiente certificado.
¿Para qué sirve el certificado raíz de una Autoridad de Certificación?
El Certificado raíz de una Autoridad de Certificación será necesario para comprobar la autenticidad de cualquier Certificado emitido por ella y los certificados de IZENPE incorporados en los servidores web, servirán para comprobar que el Certificado que le presenta un usuario está firmado por IZENPE y así poder confiar en él.
Revocar un certificado es anular su validez antes de la fecha de caducidad que consta en el mismo. La revocación puede ser solicitada en cualquier momento, y en especial, cuando el titular crea que sus claves privadas son conocidas por otros.
La revocación tiene efectos a partir de la fecha efectiva de revocación que consta junto al número de serie del certificado revocado en un documento firmado y publicado por la Autoridad de Certificación.
Cualquier firma digital realizada con la clave privada asociada a ese certificado con posterioridad a la fecha efectiva de revocación no tendrá validez.
Es posible incorporar una firma en cualquier documento PDF. En primer lugar se deberá crear el documento con la herramienta de edición apropiada y convertirlo a formato PDF.
Mediante la firma de un documento Acrobat se puede garantizar al que lo lea la autenticidad del mismo y su integridad:
El documento proviene realmente del remitente indicado.
El documento no ha sido alterado desde que fue firmado.
Además al firmar, el firmante puede declarar el “propósito de la firma” es decir si con la firma indica por ejemplo “que es el autor del documento”, o solo “que lo ha aprobado”. Es posible incorporar varias firmas a un mismo documento.
Para crear un mensaje firmado, necesitamos disponer de un certificado de IZENPE que está soportado en tarjeta.
Para firmar se utiliza la clave privada asociada al certificado que se alberga en la misma tarjeta por lo que al firmar se nos pedirá que introduzcamos el PIN de la tarjeta.
Es imposible que nadie suplante nuestra firma si:
Estamos en posesión de la tarjeta: Es imposible que nadie extraiga la clave privada de la tarjeta.
Hemos perdido la tarjeta pero nadie más conoce el PIN: Sin el PIN la tarjeta es inutilizable y al tercer intento fallido se bloqueará.
Para poder verificar las firmas contenidas en un documento PDF basta con tener el software Acrobat Reader 6.0 gratuito. No es necesario disponer de un certificado de IZENPE.
Instalación de software de IZENPE en FIEFOX / Mozilla si el navegador está instalado antes que el software de IZENPE
Al instalar el software de Izenpe el middleware preguntará si queremos que se instale también en el navegador. Este comportamiento depende de la versión de middleware y de que la instalación se realice desde un CD con el autoinstalable de Izenpe o a mano.
Instalación de software de IZENPE en FIREFOX / Mozilla si el navegador NO está instalado antes que el software de IZENPE
Según la versión de middleware (Safesign Starcos) hay varias posibilidades:
Instalación automática:
Comprobar si en el menú en el que se han instalado los accesos directos de Safesign hay uno que indique “Instalar en Netscape”. De existir, ejecutarlo.
Buscar en el directorio de instalación de Safesign (por defecto "C:\Archivos de pograma\A.E.T. Europe B.V.\SafeSign”) un directorio sobre la instalación en Netscape:
Si hay un ejecutable llamado “NetscapeInstaller.exe", ejecutarlo.
Si hay un fichero “install.htm”, abrirlo desde Mozilla y realizar la instalación desde ahí.
Instalación manual:
Cuando no se dan los casos anteriores. Iremos a donde se pueden configurar los dispositivos (depende del navegador y la versión):
Mozilla y firefox 1.x: “edit / preferentes / certificates” y hacer clic en “manage security devices” y en “load”.
Y añadir el dispositivo indicando la librería pkcs11: el modo de saber cual es la dll que proporciona la librería pkcs11 es desde el gestor del token ir a “ayuda" “información de las versiones”.
Se puede hacer vía web, en el caso de disponer de los certificados en una web accesible y convenientemente configurado o desde fichero. Sólo los certificados de CA de IZENPE de producción están disponibles vía web.
Para importarlos desde el “certificate manager”, véase punto anterior;
seleccionar la solapa de las autoridades de certificación,
hacer clic en el botón de importación,
eleccionar de uno en uno los ficheros con los certificados de las CA
y marcar que son confiables para identificar webs, mensajes de correo y para firmar código.
Después de haber importado las CA, se verán de modo agrupado a nivel de CA raíz.
Hay que comprobar que el certificado es efectivamente confiable, momento a partir del cual ya se puede utilizar el certificado para identificación. Si desea puede probarlo.
Descárgate el Middleware Safe Sign de la tarjeta. Guarda la carpeta comprimida en tu disco duro. Abre e instala el software haciendo doble click sobre el ejecutable "SafeSign_Standard_2.2.exe". Luego haz doble clic en el fichero "Safesign_Izenpe_todo.reg".
