Las Firmas y los Certificados electrónicos (de la ... · Fecha de emisi on y de caducidad (2-3...

Firma electronicaObtencion del certificado APE

Acciones a realizarUsos y Aplicaciones

Las Firmas y los Certificados electronicos(de la Administracion Publica del Estado-CSIC)

Luis Hernandez Encinas

Grupo de investigacion en Criptologıa y Seguridad de la Informacion (GiCSI)

Dpto. Tratamiento de la Informacion y Criptografıa (TIC)

Instituto de Tecnologıas Fısicas y de la Informacion (ITEFI)

Consejo Superior de Investigaciones Cientıficas (CSIC)

[email protected]

http://www.itefi.csic.es/es/personal/hernandez-encinas-luis

ITEFI-CSIC, L. Hernandez Encinas Las Firmas y los Certificados electronicos 1 / 48



Contenidos1 Firma electronica

Definicion de firma electronica

Claves para firmar

Certificado digital

2 Obtencion del certificado APE

Solicitar un certificado a la FNMT

Informar de la peticion al CSIC

Verificacion (CSIC)

Descarga y comprobacion

3 Acciones a realizar

Copia de respaldo de un certificado

Importar un certificado

4 Usos y Aplicaciones

Aplicaciones desarrolladas

Firmar documentos Adobe (PDF)




Definicion de firma electronicaClaves para firmarCertificado digital

Definicion

Una firma digital es la version electronica de una firmamanuscrita.

Su uso esta regulado por la Ley 59/2003 y tiene la misma validezlegal que la manuscrita.

La firma depende del firmante y se calcula para cada documento.Por tanto, cada firma electronica es unica.

Debe ser facil de calcular, facil de verificar y difıcil de falsificar.

La elaboracion de una firma electronica requiere que el firmanteposea un par de claves asociadas:

Una clave privada (secreta) para elaborar la firma.Una clave publica (publica) para verificar la firma.





Par de claves

El par de claves que una persona posee se determina a partir dedeterminados calculos matematicos.

Las claves permiten, ademas, que se lleven a cabo procesos de cifradoy descifrado de informacion.

Cifrado: C, Descifrado: D.

Clave publica: K, Clave privada: k.

Los procesos de cifrado/descifrado y las claves publica/privada debencumplir lo siguiente, para cada mensaje m:

DK (Ck(m)) = m,

Dk (CK(m)) = m.





Ejemplo tıpico de clave publica

RSA2048 = 2519590847 5657893494 0271832400 4839857142 9282126204

0320277771 3783604366 2020707595 5562640185 2588078440

6918290641 2495150821 8929855914 9176184502 8084891200

7284499268 7392807287 7767359714 1834727026 1896375014

9718246911 6507761337 9859095700 0973304597 4880842840

1797429100 6424586918 1719511874 6121515172 6546322822

1686998754 9182422433 6372590851 4186546204 3576798423

3871847744 4792073993 4236584823 8242811981 6381501067

4810451660 3773060562 0161967625 6133844143 6038339044

1495263443 2190114657 5444541784 2402092461 6515723350

7787077498 1712577246 7962926386 3563732899 1215483143

8167899885 0404453640 2352738195 1378636564 3912120103

9712282212 0720357

= p · q.





Certificado

Un certificado digital (X.509, v.3) es un fichero que contiene (entreotros datos) la clave publica (y privada) de una persona y estaavalado (firmado electronicamente) por una entidad de confianza oAutoridad de Certificacion (AC).

La FNMT emite certificados digitales (los certificados del DNIe estanemitos por la DGP-FNMT).

El certificado digital contiene, entre otros datos, los siguientes:

Filiacion del propietario (nombre, DNI, email).

Protocolo de firma que se lleva a cabo (C,D).

Autoridad de certificacion que emite el certificado (FNMT).

Fecha de emision y de caducidad (2-3 anos).

Clave publica –privada– del propietario (K –k–).

Firma electronica de la autoridad de certificacion.





Firma de un certificado por una AC

Todo certificado debe estar firmado electronicamente por unaAutoridad de Certificacion (AC) para ser valido.

Este proceso de firma lo lleva a cabo la AC a la vez que genera elcertificado y consiste en lo siguiente:

1 Recopila los datos del usuario y las claves generadas por sunavegador.

2 Calcula un resumen (hash) de todos los datos recopilados.3 Firma electronicamente el resumen anterior y lo une a los datos

recopilados (Valor de la firma del certificado o Huella digital).





Verificacion de un certificado firmado por una AC

Antes de que un certificado personal (el unico que puede tener clavesprivadas) sea instalado en el almacen de un navegador, este verificaque esta firmado por una AC de las incluidas en su almacen decertificados (Autoridades) de la siguiente manera:

Calcula el resumen (hash) de todos los datos recopilados delcertificado, sin incluir la firma electronica de la AC.Descifra la firma del certificado con la clave publica de la AC(debe estar en su almacen de Autoridades).Compara el resumen calculado con lo descifrado y decide sobre suautenticidad.




Solicitar un certificado a la FNMTInformar de la peticion al CSICVerificacion (CSIC)Descarga y comprobacion

Solicitar un certificado a la FNMT-1

Nuestros certificados los emite la FNMT pero los valida el CSIC:

Conectarse con un navegador (Explorer/Firefox/Chrome) ala direccion https://apus20.cert.fnmt.es/ss

Si el lugar no fuera de confianza, pulsar en Entiendo los riesgos→ Anadir excepcion → Confirmar excepcion de seguridad.

Rellenar los datos: NIF, primer apellido y NIF del CSIC(Q2818002D). Elegir la longitud de la clave 2048, que correspondea Grado alto, Aceptar las condiciones y Enviar la peticion.





Solicitar un certificado a la FNMT-2

La FNMT presenta un codigo de nueve dıgitos, que hay queanotar o imprimir (Muy importante).

Abandonar la pagina.


https://apus20.cert.fnmt.es/ss




Informar de la peticion al CSIC-1

Acceder a la Intranet del CSIC.

Elegir Peticiones TIC.

En Nueva Peticion seleccionar Solicitud de certificado deEmpleado Publico AP (PR-029) (v.1)”.






El sistema presenta un formulario (parcialmente rellenado) en el quehay que anadir los siguientes datos: Tipo de personal (Funcionario olaboral), el Cargo/Puesto y el Codigo Solicitud que es el codigo denueve dıgitos que la FNMT presento cuando se solicito el certificado yCursar la peticion.






Aparece el listado de las peticiones TIC que el solicitante hahecho al CSIC.

Abandonar la pagina.

Poco despues llega un correo desde [email protected] con elasunto “Gestion de Peticiones: Nueva peticion enviada. Solicitudde Certificado AP para . . .”.

Si se accede a la web que se incluye en el correo, se vera el estadoactual de la peticion.

La Oficina de Registro del CSIC y la FNMT gestionan elcertificado y el solicitante recibira un correo electronicoinformandole si se acepta o se rechaza su solicitud.





Proceso de Verificacion

Uno o dos dıas despues de realizada la peticion, llega otro correode [email protected] con el asunto “Gestion de Peticiones:Contrato para la solicitud de certificado AP: Solicitud deCertificado AP para . . .” informando de que la solicitud ha sidoverificada y que ya es posible descargarse el certificado.

En dicho correo se avisa de que se recibira por correo ordinarioun contrato por duplicado (cosa que sucede en un par de dıas).

Una de las copias es para el solicitante y la otra hay que firmarlay enviarla, por correo ordinario y antes de diez dıas, a laSecretarıa General Adjunta de Recursos Humanos del CSIC.

Funcionarios: Att. Carmen de Miguel/Ma Jose Romanillos.Laborales: Att. Carmen de Miguel/Josefina Rascon. ConsejoSuperior de Investigaciones Cientıficas, Serrano, 117.





Descarga del certificado personal

Cuando se recibe el correo confirmando que se puede descargar elcertificado, se vuelve a utilizar el mismo navegador y seconecta uno a la pagina https://apus20.cert.fnmt.es/ds (semenciona en el correo recibido).

De nuevo se rellenan los datos que se piden: NIF del solicitante,primer apellido del solicitante, NIF del CSIC (Q2818002D) y elCodigo de nueve dıgitos que suministro la FNMT.

A continuacion se Descarga el Certificado y se Instala elcertificado en el navegador. Una vez que este instalado, se nosavisa. (La ruta de certificacion puede descargarse tambien.)

Si en el proceso se nos pregunta si queremos guardar elcertificado como exportable hay que responder “SI”.

Una vez instalado el certificado se puede abandonar la pagina.





¡¡¡El certificado no esta protegido!!!

El certificado que se ha instalado esta disponible para cualquiera queacceda al ordenador, es decir, no tiene proteccion anadida.

Esto es ası, porque se da por hecho que el proceso de instalacion soloha podido llevarlo a cabo el solicitante (se le ha pedido el codigo denueve dıgitos que solo el conoce).

Para evitar que cualquiera que tenga acceso a nuestro ordenadorpueda usar nuestro certificado y firmar en nuestro nombre, hay queproteger el acceso al uso del certificado personal mediante unacontrasena (luego veremos como hacerlo).


https://apus20.cert.fnmt.es/ds




Comprobacion del certificado personal

Firefox: Herramientas → Opciones → Avanzado → Certificados →Ver certificados → Sus certificados.

Explorer: Herramientas → Opciones de Internet → Contenido →Certificados → Personal.





Ver el certificado personal

Cuando se comprueba que nuestro certificado esta instalado, esposible visualizar su contenido. Para ello, se selecciona el certificado yse elige Ver...





Ver el contenido del certificado personal

Pulsando en la solapa Detalles se puede ver mas informacion sobre elcertificado, como la clave publica o informacion personal.





Comprobacion del certificado de la AC

Firefox: Herramientas → · · · → Ver certificados → Autoridades.

Explorer: Herramientas → · · · → Certificados → Entidades decertificacion raız de confianza.

Se localiza el certificado de la AC APE - FNMT-RCM. Si no estainstalado, hay que importarlo (se vera mas adelante).




Copia de respaldo de un certificadoImportar un certificado

Copia de respaldo del certificado

Para instalar el certificado en otros ordenadores (casa, portatil, etc.)o evitar perdidas, es muy importante hacer una copia de respaldo.

Se pueden hacer dos tipos de copia de respaldo: sin incluir la claveprivada (no servira para firmar, pero sı para que nos cifreninformacion), o incluyendo la clave privada (se podra firmarposteriormente con el).

Si se exporta con la clave privada es muy importante proteger elacceso al fichero con una contrasena porque las claves privadaspermiten firmar electronicamente un documento.

Si no esta protegido y alguien se hace con el fichero del certificado,podrıa firmar en nuestro nombre, suplantandonos (la firma electronicatiene la misma validez legal que la manuscrita).

La copia de respaldo con la clave privada permite instalar de nuevo elcertificado en un navegador, protegiendolo con una contrasena.





Copia de respaldo del certificado desde Firefox

Acceder al almacen de certificados de Firefox (Sus certificados),seleccionar el certificado a exportar y elegir Hacer copia...Elegir donde se guardara (disco duro, pendrive, etc.) y el nombredel fichero (se debe mantener la extension .p12).Proteger el acceso al fichero mediante la Contrasena de respaldodel certificado (debera recordarse para usos futuros) con unabuena calidad.

Se informa del exito de la operacion. Salir de Firefox.





Copia de respaldo del certificado desde Explorer

El Explorer preguntara si se desea exportar la clave privada.

Acceder al almacen de certificados del Explorer (Personal).

Elegir Exportar → Siguiente y luego marcar si se hara laexportacion con o sin la clave privada → Siguiente.





Exportar un certificado desde Explorer con clave-1

Se ha elegido “Exportar la clave privada”.

El formato del archivo es por defecto .pfx → Siguiente.Localizar donde se va a guardar el archivo y escribir su Nombre(Examinar) → Siguiente → Finalizar.Se pide una contrasena y su confirmacion para proteger el fichero(obligatorio).





Exportar un certificado desde Explorer con clave-2

Si el acceso al fichero ya estuviera protegido por una contrasena(por haber sido instalado previamente de esta manera), se pide laclave de acceso para ser exportado.

Nunca marcar “Recordar contrasena”.

El sistema informa del exito o no de la exportacion.





Exportar un certificado desde Explorer sin clave

Se ha elegido “No exportar la clave privada”.

Seleccionar el formato del archivo → Siguiente.

Localizar donde se va a guardar el archivo y escribir su Nombre(Examinar) → Siguiente → Finalizar.

El sistema informa del exito o no de la exportacion.





Exportar un certificado desde Firefox

La exportacion de un certificado desde Firefox significa que sealmacena el certificado en un fichero, pero sin incluir la clave privadadel usuario, lo que impide que se pueda utilizar en un futuro comocertificado de firma.

La exportacion no protege el fichero del certificado y puede serenviado a otras personas para que nos cifren informacion (las clavespublicas van en el certificado exportado).

Acceder al almacen de certificados de Firefox (Sus certificados),seleccionar el certificado que se desea exportar y elegir Ver.

Seleccionar la pestana Detalles → Exportar y elegir donde sedesea almacenar el fichero.

El nombre (por defecto) del fichero es el del propietario delcertificado con su NIF y la extension es .crt.





Importacion de un certificado

Si se desea importar un certificado al almacen de un navegador, elproceso que se sigue depende de si el certificado tiene incluida la claveprivada del propietario o no.

A continuacion se muestra el proceso que se debe seguir paraimportar un certificado personal con clave privada.

La importacion de un certificado sin clave privada es mucho massencilla puesto que se lleva a cabo de modo inmediato, sin que seanpedidas claves que lo protejan.





Importacion de un certificado personal a Firefox

Acceder al almacen de certificados de Firefox (Sus certificados) yseleccionar Importar...

Elegir el lugar desde donde se desea importar el certificado (discoduro, pendrive, etc.) y seleccionar el certificado (extension .p12).

Introducir la Contrasena de respaldo del certificado.

El sistema informa si la importacion tuvo o no exito.

A partir de este momento, el acceso al certificado para firmaresta protegido por la Contrasena de respaldo del certificado.





Importacion de un certificado personal a Explorer-1

Acceder al almacen de certificados del Explorer (Personal).

Elegir Importar → Siguiente y en la ventana Examinar ir al lugardesde donde se desea importar el certificado (disco duro,pendrive, etc.).





Importacion de un certificado a Explorer-2

En la ventana de importacion, elegir Nombre dearchivo-Examinar, seleccionar los ficheros con extension .pfx op.12 y elegir el certificado a importar, luego pulsar en Siguiente.

Marcar las casillas Habilitar proteccion... y Marcar esta clave....

Escribir la contrasena con la que se protegio el fichero enContrasena y pulsar en Siguiente → Siguiente → Finalizar.






En Clave privada de CryptoAP elegir Nivel de seguridad.

Nunca “Aceptar” con el “Nivel de seguridad: medio”.

En la ventana siguiente seleccionar Alto y luego pulsar enSiguiente.






En Crear una contrasena escribir una contrasena para proteger elacceso a las claves para firmar un documento (puede ser la mismaque la que protege el fichero), elegir Finalizar → Aceptar.

Se informa de si el proceso ha ido bien y se observa que elcertificado se ha importado.

A partir de este momento, el acceso al certificado para firmaresta protegido por la Contrasena elegida.





Importar un certificado de AC (sin clave) a Firefox

Acceder al almacen de certificados de Firefox (Autoridades) yseleccionar Importar.

Seleccionar el certificado a importar (con extension .cer o .crt) ypulsar en Abrir.

Marcar las tres casillas de “Confiar en esta CA para ...” yAceptar.





Importar un certificado de AC (sin clave) a Explorer

Acceder al almacen de certificados de Explorer (Entidades...) yseleccionar Importar → Siguiente.

Seleccionar el certificado (Examinar) (con extension .cer o .crt) ypulsar en Abrir → Siguiente.

Marcar Seleccionar... o Colocar...-Examinar segun convenga yFinalizar.

Se informa del exito de la operacion.




Aplicaciones desarrolladasFirmar documentos Adobe (PDF)

Aplicaciones

Existen aplicaciones para firmar electronicamente documentos:

Administracion General del Estado.

Comunidades Autonomas.

Administracion Local.

Otros Organismos Publicos.

Sector Privado (accesos bancarios).

Programas informaticos.

(http://www.dnielectronico.es/servicios_disponibles/index.html)

Recordatorio: Si el certificado de la AC que ha emitido uncertificado personal no esta incluido en el almacen de certificados delas Autoridades del navegador, hay que hacerse con el (es publico) yse debe instalar antes de hacer uso del certificado personal.


http://www.dnielectronico.es/servicios_disponibles/index.html




Identidades de confianza-1

Adobe usa el almacen de certificados del Explorer, por tanto, se debetener instalado el certificado de la AC correspondiente al certificadopersonal que se vaya a usar.

En el menu de Adobe Acrobat (9.0 Pro) seleccionar Avanzadas→ Administrar identidades de confianza...

En Mostrar → Certificados → Agregar contacto.





Identidades de confianza-2

Buscar el certificado ACRAIZFNMT-RCM-FNMT-RCM.crt dela FNMT mediante Examinar → Importar → Aceptar.

Seleccionar el certificado y elegir Confiar..., marcar Utilizar estecertificado ... → Aceptar → Cerrar.





Firmar documento PDF-1

Abrir el documento con Adobe y mostrar la zona donde se deseacolocar la firma.

Elegir Avanzadas → Firmar y certificar → Colocar Firma oFirmar documento.






Marcar el rectangulo donde se desea colocar la firma y soltar.

Se muestra el certificado que se va a utilizar y unaprevisualizacion de la firma.

Se puede cambiar o ver informacion del certificado mostrado. Sise elige Bloquear documento tras firmar, este se protegera contrafirmas futuras.

Elegir Firmar.






El documento firmado se guardara: elegir un nombre y pulsar enGuardar.

Elegir Conceder permiso para firmar el documento y escribir lacontrasena asociada al certificado para firmar el documento yAceptar.






Se mostrara la firma para el documento en el rectangulo seleccionadoanteriormente.






Un documento se puede firmar aunque el certificado de la AC no esteincluido en el almacen de certificados de confianza o si no se haseleccionado como una AC de confianza en Adobe.





Muchas graciasTurno de preguntas


Las Firmas y los Certificados electrónicos (de la ... · Fecha de emisi on y de caducidad (2-3...

Documents

Transcript of Las Firmas y los Certificados electrónicos (de la ... · Fecha de emisi on y de caducidad (2-3...