Certificado X.509
SINAUT MD741-1
C79000-G8978-C236-02
Designa una especie de "sello" que certifica la autenticidad de una
clave pública (
encriptación asimétrica) y los datos asociados.
Para que el usuario de la clave pública – que sirve para encriptar los
datos – pueda estar seguro de que la clave pública que le ha sido
transmitida proviene realmente del verdadero emisor, es decir, de la
instancia que debe recibir los datos a ser enviados, existe la
posibilidad de utilizar una certificación. La verificación de la
autenticidad de la clave pública y la consiguiente vinculación de la
identidad del emisor con su clave es realizada por una autoridad
certificadora (Certification Authority - CA). Esto se realiza según las
reglas de la CA, de manera que el emisor de la clave pública debe p.
ej. comparecer personalmente. Una vez certificada la autenticidad
correctamente, la CA firma la clave pública con su firma (digital) o
firma electrónica. El resultado es un certificado.
Por tanto, un certificado X.509(v3) incluye una clave pública,
información acerca del propietario de la clave (indicada como
"Distinguished Name" (DN) o nombre distintivo), los usos permitidos,
etc., así como la firma digital de la CA.
La firma digital se crea como se indica a continuación: A partir de la
secuencia de bits de la clave pública, los datos de su propietario y
otros datos más, la CA genera el valor HASH, siendo éste una
secuencia de bits individual que puede tener una longitud de hasta
160 bits. La CA encripta el valor HASH con su clave privada y lo
agrega al certificado. La encriptación con la clave privada de la CA
prueba la autenticidad del certificado, es decir, la secuencia de
caracteres HASH encriptada es la firma digital (o firma electrónica) de
la CA. Si los datos del certificado se alteran sin autorización, el valor
HASH dejará de ser correcto y el certificado perderá su validez.
El valor HASH se denomina también "huella digital" o "fingerprint".
Puesto que está encriptado con la clave privada de la CA, toda
persona que tenga en su poder la clave pública correspondiente
puede desencriptar la secuencia de bits y, de esta manera, verificar la
autenticidad de esa huella digital o firma.
Gracias a que se recurre a autoridades certificadoras, un propietario
de la clave no debe conocer a todos los demás propietarios, sino sólo
a la autoridad certificadora. La información adicional acerca de la
clave simplifica además la administración de la clave.
Los certificados X.509 se utilizan p. ej. para la encriptación del correo
electrónico por medio de S/MIME o IPsec.
Glosario
119