1

Certificados Digitales: Esquema de Seguridad

Integral de Servicios y Usuarios
Yesid Alberto Tibaquira Cortes,
Estudiante Especializacin en Seguridad Informtica, UNAD
Bogot, Colombia
yatibaquirac@unadvirtual.edu.co

ResumenEste documento presenta inicialmente una historia

de la criptografa, enfocada en la razn de la investigacin y uso
de los certificados digitales. Posterior, se realiza una descripcin
de lo que es un certificado digital, su estructura bajo el estndar
x.509, y se describe brevemente el proceso que de cifrado y
autenticacin que conlleva el uso de certificados digitales.
Adems se aborda el tema de PKI, que es la infraestructura
tecnolgica que soporta todo el ciclo de vida de un certificado
digital. Por ltimo se identifican algunas implementaciones
actuales de los certificados actuales y las conclusiones de la
investigacin.
Palabras claveCriptografa, certificado digital, clave pblica,
clave privada, firma digital

I. INTRODUCTION

lo largo de la historia la utilizacin de mecanismos para

transmitir informacin de forma segura ha despertado la
motivacin de muchos, sobre todo, en aquellos en
involucrados en las reas militares, que buscan evitar que el
enemigo posea informacin sensible de sus operaciones. Es
con esta intencin que se crea un rea clave para el desarrollo
de estos mecanismos llamada: Criptografa.
El nombre de Criptografa ha sido acuado en palabras
coloquiales al Arte de ocultar un conjunto de caracteres de
cierta forma que slo el emisor y el correspondiente receptor
conozcan la informacin compartida. Paralelo a la definicin
de los primeros alfabetos, asociado histricamente a la
escritura Fenicia, tambin fue necesario definir un sistema que
transmitiera un mensaje en este alfabeto de forma segura. Y de
esta forma se puede indicar los inicios de la criptografa.
Es de esta forma que cerca del ao 4000 a. de C. se crea de
cierta forma el primer alfabeto criptogrfico: los jeroglficos.
Estos consistan de representar algunas situaciones de la
cultura Egipcia mediante dibujos que slo algunos sabios de la
poca podran descifrar. La cultura China tambin crea un
alfabeto de 40 signos con fines militares. En el ao 400 a. de
C., se podra indicar que se crea la primera herramienta para
cifrar: la esctala, la cual utilizaba uno de los mtodos de
encriptacin inicialmente definidos: la transposicin, el cual

consiste en modificar el orden de los caracteres o signos del

mensaje inicial bajo un patrn definido entre el emisor y el
receptor. Posterior llega otro mecanismo llamado Cifrado de
Alberti el cual utilizaba un mtodo de sustitucin, que
consista en reemplazar los signos o caracteres del mensaje,
con otro alfabeto acordado entre emisor y receptor, un ejemplo
es escribir en vez de la letra A el nmero 4, antes de enviar
el mensaje.
Y as iban surgiendo nuevas herramientas, nuevos modelos,
nuevos algoritmos de encriptacin, mezclando los mtodos de
transposicin y sustitucin (Cifrado de Vigenere, Criptgrafo
de Wheatstone, mquina Enigma), adems de implementar
complejas operaciones matemticas con el objetivo de
fortalecer la complejidad del criptograma. Teniendo en cuenta
esta evolucin, para la criptografa moderna, se agruparon los
algoritmos acorde a la forma como se implementa la o las
claves para el cifrado de la informacin: de clave pblica
(simtrico) y de clave asimtrica (privado). En los algoritmos
simtricos se utiliza la misma clave para cifrar y descifrar, y
en los algoritmos asimtricos, se utiliza la clave pblica para
cifrar y la clave privada para descifrar.
En la actualidad estos dos grupos son vigentes, con la
distincin que trabajan de forma integral ofreciendo un
mecanismo se seguridad alto para el establecimiento de la
comunicacin y transmisin de informacin durante la misma
de forma segura. Sin embargo es en este momento donde
aparece un gran problema en los sistemas que utilizan tanto
los algoritmos simtricos como asimtricos: autorizacin
sobre el uso de los servicios de forma segura y validacin que
quin envo el mensaje cifrado es quin dice ser: No repudio.
Para solucionar estos ltimos inconvenientes se crearon los
certificados digitales, los cuales son una compleja
combinacin de algoritmos simtricos y asimtricos, los
cuales buscan corregir aquellas brechas de seguridad que
representaban los algoritmos criptogrficos al ser
implementados por separado. Este sistema complejo
criptogrfico y sus usos sern presentados en el desarrollo del
presente artculo.

2
II. CERTIFICADOS DIGITALES
A. Definicin
Un certificado digital es un documento electrnico que
permite a una persona, computador u organizacin
intercambiar informacin de forma segura sobre Internet
usando Infraestructura de Clave Pblica (PKI Public Key
Infraestructure). Un certificado digital puede adems ser
llamado como un certificado de clave pblica [1]. Esto indica
que un certificado digital no slo aplica para personas o
usuarios finales, tambin puede ser implementado para
servicios en los cuales se necesite establecer mecanismos
seguros para la transmisin de informacin crtica.
A continuacin se indican las funciones principales de
seguridad de los certificados digitales [2]:
1) Identificacin/Autenticacin
La Entidad Certificadora da testimonio del certificado
cuando este es firmado digital.
2) Confidencialidad
La llave pblica dentro del certificado digital es usada para
encriptar los datos y asegurar que solo el destinatario
pueda descifrarlo.
3) Integridad
Para firmar digitalmente el mensaje, el destinatario tiene
un mecanismo para identificar alguna alteracin sobre el
mensaje firmado.
4) No repudio
Un mensaje firmado suministra el origen del mismo y slo
el emisor puede acceder a la clave privada con la que fue
firmado el mensaje.
5) Control de Acceso
El certificado digital permite que se pueda dar autorizacin
e identificacin del servicio o usuario que intente acceder a
un sistema, adems de encriptar la informacin utilizada
para este proceso.
B. Funcionamiento de un Certificado Digital
Para comprender el funcionamiento del proceso que implica
el uso de un certificado digital, inicialmente se explicar el
proceso de la criptografa asimtrica, luego el proceso de
firma digital, y finalmente el proceso general para certificados
digitales.
El primer proceso a describir es de criptografa asimtrica.
Inicialmente las dos partes, para los ejemplos A y B. En
este caso A tiene la intencin de enviar un mensaje cifrado a
B. B comparte por un canal inseguro su clave pblica, con
la cual A cifrar el mensaje y luego enva el mensaje cifrado
a B, que al recibirlo lo descifra con su clave privada. Ver
Fig. 1 del proceso de criptografa asimtrica.

Fig. 1. Esquema de criptografa asimtrica

El siguiente proceso est asociado a la firma digital, algo

que resuelve la comprobacin de la integridad del mensaje, lo
que no se hace en el esquema asimtrico. Sin embargo, se
implementa este esquema pero de forma inversa, en este caso
A calcula el valor hash del mensaje y lo cifra con su clave
privada, luego firma el mensaje con el hash generado,
empaqueta la unin del hash y el documento, para enviarlo a
B. B por su parte separa del paquete recibido el mensaje,
descifra el hash con la clave pblica de A, la cual conoce, y
calcula tambin el hash del mensaje, si los dos valores
resultantes son iguales, se comprueba que el mensaje no ha
sido modificado durante su transmisin. Ver Fig. 2.

Fig. 2. Esquema de firma digital

El tercer proceso y ltimo es el implementado en los

certificados digitales. Realmente es el mismo proceso de la
firma digital, pero que, adiciona el proceso de autenticacin
ante una tercera entidad (Autoridad Certificadora) que quin
est enviando el mensaje es quin dice ser. Tanto la clave
pblica del emisor, como la clave privada se encuentran
dentro de un certificado digital emitido por la Autoridad. En el
caso de enviar el mensaje, el remitente valida con Autoridad si
el certificado es vlido, para as confiar en el mensaje
recibido, el cual fue cifrado y que tiene comprobacin de su
integridad, al ser firmado digitalmente por el mismo
certificado. En la Fig. 3 se evidencia el proceso.

2)

3)

4)
Fig. 3. Esquema Certificado Digital

C. Estndar X.509
El estndar x.509 es usado ampliamente y aceptado
internacionalmente en las infraestructuras de clave pblica
(PKI) [3]. Este es un estndar para los certificados digitales, el
cual define un grupo de parmetros que debe tener el
certificado para identificar la identidad de quin est haciendo
uso del mismo. La informacin que generalmente se encuentra
en este estndar es:
1) La versin del estndar, cual x.509 se est
implementando.
2) Nmero serial, un nmero de identificacin del
certificado nico.
3) Algoritmo usado para firmar el certificado.
4) Nombre de la Autoridad Certificadora.
5) Perodo de vigencia del certificado digital.
6) Nombre del propietario del certificado (usuario o
servicio).
7) Informacin de la clave pblica del certificado.

5)

6)

7)

8)

revocacin de Certificados) y mantiene los logs de

auditora.
Operador de Entidad Certificadora (CAO)
Este mdulo es la interfaz entre los operadores de la CA y
la CA. Se utiliza para definir y administrar otras entidades
de la PKI. Define, genera y distribuye las polticas de
certificacin. Adems de revocar y/o suspender
certificados y monitorear los logs de auditora. Es
considerado el maestro de toda la PKI.
Autoridad de Registro (RA)
Todas las solicitudes de registro y de certificacin son
procesadas bajo la responsabilidad de la Autoridad de
Registro. Es el punto central entre la CA y los otros
mdulos de gestin de certificados, prcticamente enruta
las comunicaciones desde y hacia la CA.
Operador de Autoridad de Registro (RAO)
Interfaz por medio de la cual las peticiones son recibidas y
procesadas. Trabaja junto con la RA para enviar y
almacenar registro de peticiones.
WebRAO
Es una aplicacin Web para realizar las tareas del RAO.
Aprueba y rechaza los requerimientos de certificados,
revoca y suspende certificados, genera las claves para los
usuarios finales.
RA Exchange o Gateway de Unicert (RAX)
Este componente funciona entre el WebRAO y el
protocolo de la PKI, y, la Autoridad de Registro (RA).
Protocolo Handler
Este mdulo soporta una amplia variedad de protocolos
PKI como SCEP, SMTP, HTTP y PKIX CMP. Su funcin
es capturar las peticiones que realiza cada uno de estos
protocolos y enviarla a la RA para su respectivo
procesamiento.
Servidor de Estado de Certificados (CSS)
Este componente se conecta a la base de datos de la
Entidad Certificadora para suministrar informacin de los
certificados y la enva a otros componentes va RAX (RA
Exchange).
En la Fig. 4 se puede visualizar la estructura de una PKI

III. PKI
A. Definicin
(Public Key Infraestructure) Infraestructura de Clave
Pblica. Infraestructura compleja compuesta por hardware
(Servidores y redes), software (Bases de datos, Servidor de
Aplicaciones Web) y personas, necesarios para generar,
revocar, suspender, almacenar, distribuir y validar certificados
digitales.
B. Componentes
La PKI es una infraestructura integral, lo que indica que sus
componentes interrelacionan entre s para cumplir con su
funcionalidad. Los componentes generales que hacen parte de
una PKI son [4]:
1) Entidad Certificadora (CA)
Las principales funciones de este componente son: Emitir
y firmar los certificados, mantiene la base de datos firmada
para cada transaccin realizada. Firma CRL (Lista de

Fig. 4. Estructura de una PKI.

IV. IMPLEMENTACIONES DE CERTIFICADOS DIGITALES

A medida que van apareciendo servicios y/o
funcionalidades en los sistemas tecnolgicos crticos de una
organizacin, y el crecimiento acelerado de ataques
informticos sobre el auge de estos servicios, se ha marcado la
necesidad de implementar mecanismos de seguridad sobre la
informacin que se procesa sobre los mismos, teniendo como
objetivo primario proteger la confidencialidad, integridad y
disponibilidad de
la informacin. A continuacin se
presentarn servicios relevantes sobre las cuales se
implementan certificados digitales.
A. Aplicaciones Web
El protocolo inicial de transmisin de las aplicaciones web
es HTTP (HyperText Transfer Protocol). Este protocolo
transmite en claro, bajo un lenguaje de marcado (HTML),
informacin sobre Internet. Internet en la actualidad ha sido un
mundo donde se han implementado aplicaciones que soportan
el core de negocio de empresas, financieras o no, lo que indica
que se hizo necesario definir un esquema seguro de aquella
informacin que es crtica para estas empresas. Por eso el
nacimiento de HTTPS, el mismo protocolo HTTP con
seguridad, y esta seguridad es el uso de SSL/TLS (Secure
Sockets Layer/Transport Layer Security), conjunto de
protocolos criptogrficos para HTTP, y que implementa
certificados digitales, para validar que la aplicacin Web a la
que se est accediendo es de confianza. Para algunas
aplicaciones que se encuentran regidas por normas
internacionales, por ejemplo en los bancos y entidades
financieras, donde se define que la informacin de tarjetas de
crdito debe procesarse en entornos seguros, el uso de
certificados digitales es un mecanismo de cumplimiento para
estas normas. Esta norma es PCI DSS (Payment Card Industry
Data Security Standard).
B. ERPs
En algunos sistemas ERP (Enterprise Resource Planning
Sistema de Planificacin de Recursos Empresariales) tienen
dentro de sus funcionalidades la aprobacin de pagos para
proyectos, proveedores, facturaciones, entre otros gastos que
involucra la operacin del da a da de una organizacin.
Procesos como ste, necesitan que de alguna forma se pueda
identificar el usuario o la persona que aprob el
correspondiente pago, de tal manera que en caso de que
suceda algn fraude, se pueda identificar al autor del mismo.
Para esta identificacin, las organizaciones implementan una
infraestructura de clave pblica (PKI), la cual genera los
certificados digitales para aquellos que tienen autorizacin
para realizar este tipo de operaciones. En este caso la PKI se
integra con el ERP de tal forma que en el instante de validar
quin est realizando la aprobacin del pago, posea un
certificado digital de la PKI interna. En organizaciones que
cotizan en la bolsa de valores de New York, por indicaciones
de la ley SOX (Sarbanes - Oxley), deben implementar
mecanismos de No Repudio, en sus transacciones financieras,

y una forma de proteger esta informacin y de dar

cumplimiento a esta norma es la implementacin de
certificados digitales.
C. Servicios de Servidores
No slo los servicios Web y los usuarios finales son el foco
principal del uso de los certificados digitales. Algunos
servicios de los servidores necesitan que se implementen
medidas de seguridad sobre la informacin que procesan.
Algunos ejemplos de estos servicios son:
1) Terminal Services: Administracin Remota en servidores
Windows, por el puerto 389.
2) SQL server: a partir de SQL Server 2005, se puede
implementar certificados digitales en los puertos listener
de los servidores y en cada una de las instancias creadas.
3) SFTP: En los servidores para transferencia de archivos
tambin es posible el uso de certificados digitales para
autenticar el sistema o usuario que tiene acceso al
repositorio. FTP es un protocolo de transferencia de
archivos en texto claro.
4) SSH (Secure Shell): Mecanismo de administracin remota
por consola para sistemas UNIS y Linux, el cual tambin
permite
implementar
certificados
digitales
en
combinacin con los algoritmos DSA (algoritmo de firma
digital) y RSA (algoritmo asimtrico).
D. Correo Electrnico
Para el servicio de correo electrnico, los certificados
digitales se usan tanto para firmar digitalmente en correo
enviado, como para cifrar informacin que se enva en el
correo. Cabe recalcar que el cliente del correo y el servidor de
correo deben tener una capa de integracin y validacin con la
PKI, con el fin de ofrecer todas las funcionalidades de
seguridad que permite establecer el uso de certificados
digitales.
E. DNSSEC
Debido a que en los ltimos aos han tomado fuerza los
ataques de DNS Spoofing (suplantacin de servidores de
nombres de dominio), y, teniendo en cuenta que el Sistema de
Nombres de Dominio (DNS), es uno de los componentes ms
crticos de Internet, se validado la posibilidad de implementar
PKI por cada zona de nombres de dominio. Esto indica que los
servidores que hacen parte de un dominio especfico deben
tener configurado certificados digitales los cuales protejan la
informacin de autenticacin y validacin de la informacin
compartida entre estos. Esta implementacin se encuentra en
estudio, ya que esto aumentara los tiempos de latencia de
resolucin de nombres en Internet, lo que ocasionara tiempos
de respuesta altos, por el procesamiento que requiere la
validacin de un dominio frente a una entidad certificadora.
En Colombia, algunos ISP (Proveedores de Servicio de
Internet) tienen dispositivos que son compatibles con
DNSSEC, sin embargo esto requiere adems costos para la
organizacin, lo que significa que hasta el momento en
Colombia, excluyendo los ISP, no hay organizaciones que
tengan un esquema tecnolgico para implementar DNSSEC.

V. CONCLUSIONES
En esta investigacin se realiz la definicin, descripcin y
diferentes implementaciones de un certificado digital. Adems
se contextualiz el concepto de PKI y la importancia que tiene
para las funcionalidades que se trabajan en el uso de los
certificados digitales. Adicional se identificaron algunos usos
generales donde los certificados digitales toman relevancia, no
solo por ser un mecanismo de proteccin de informacin
crtica, sino por el respaldo que suministra sobre regulaciones
internacionales en temas de seguridad.
AGRADECIMIENTOS
Se agradece el desarrollo del presente documento a la
colaboracin de cada uno de los integrantes de la asignatura
Criptografa, en la Especializacin en Seguridad Informtica
que se est realizando en la Universidad Nacional Abierta y a
Distancia de Colombia, con su sede en Bogot, y a la gua del
tutor de la asignatura Jhon Freddy Quintero.

BIBLIOGRAFA
[1] M. Rouse, SearchSecurity, Noviembre 2013. [En lnea]. Available:
http://searchsecurity.techtarget.com/definition/digitalcertificate?src=5241663&asrc=EM_ERU_29007071&uid=16862909&u
tm_medium=EM&utm_source=ERU&utm_campaign=20140508_ERU
+Transmission+for+05%2F08%2F2014+%28UserUniverse%3A+84100
7%29_myka-reports%40techtarget.

[2] Comodo,
Comodo,
[En
lnea].
http://www.comodo.com/resources/small-business/digitalcertificates6.php.

Available:

[3] M. Rouse, SearchSecurity, Enero 2014. [En lnea]. Available:

http://searchsecurity.techtarget.com/definition/X509certificate?src=5210620&asrc=EM_ERU_26489163&uid=16862909&u
tm_medium=EM&utm_source=ERU&utm_campaign=20140207_ERU
+Transmission+for+02%2F07%2F2014+%28UserUniverse%3A+65370
0%29_myka-reports%40techtarget.co.
[4] PKI Consultants, PKI Consultants, 28 Enero 2013. [En lnea].
Available: http://www.pkiconsultants.com/unicert-pki.php.
[5] Verisign, Verisign, 06 Abril 2014. [En lnea]. Available:
http://www.verisigninc.com/es_ES/why-verisign/innovationinitiatives/dnssec/index.xhtml.
[6] A. Josang y K. Sana Dar, Universidad de Oslo, 02 Octubre 2011. [En
lnea]. Available: http://folk.uio.no/josang/papers/JD2011-NordSec.pdf.
[7] M. Rouse, SearchSecurity, Noviembre 2013. [En lnea]. Available:
http://searchsecurity.techtarget.com/definition/CSR-Certificate-SigningRequest?src=5236251&asrc=EM_ERU_28522435&uid=16862909&ut
m_medium=EM&utm_source=ERU&utm_campaign=20140424_ERU+
Transmission+for+04%2F24%2F2014+%28UserUniverse%3A+807298
%29_myka-reports%.
[8] A. Maiorano, Criptografa. Tcnicas de Desarrollo Para Profesionales,
Buenos Aires: Alfaomega, 2009.