Com funciona?

La certificació digital funciona amb la criptografia asimètrica. La criptografia asimètrica consisteix bàsicament en dues claus, una privada i una pública. Allò que està codificat amb una clau privada necessita la seva corresponent clau pública per ser descodificat, i a l’inrevés.

• La clau privada és secreta i només la posseeix l'usuari. Amb ella pot signar documents electrònics.
• La clau pública està a disposició de qualsevol usuari. Permet validar una signatura digital que hagi estat generada amb la clau privada complementària.

Per generar una signatura digital cal aplicar funcions hash. Quan s'aplica la funció hash al missatge a signar s'obté la seva empremta digital. Després,  la clau privada de l’usuari xifra aquesta empremta i dona com a resultat la signatura digital del document o missatge.

Qui necessiti validar la signatura del missatge o document podrà comprovar que aquest no ha estat modificat aplicant-ne la funció de resum per generar-ne l'empremta, i comparant-la amb la que ha rebut.

Com se xifra un document?

El xifrat és el procés que s'aplica a unes dades per tal de fer-les incomprensibles.

D’aquesta manera ens assegurem la confidencialitat d’aquestes dades. Per poder xifrar un document és necessari que tant l'emissor com el destinatari disposin d'un certificat digital (clau pública i privada).

A continuació, només heu de xifrar el document fent servir la clau pública de la persona que desitgeu que pugui llegir-lo. Aquest document sols podrà ser desxifrat per la persona que posseeix la clau privada complementària.

He de confiar en el certificat digital d'un altre usuari

Per decidir si podeu confiar en un certificat digital, haureu de fer dues comprovacions:

1. Assegurar-vos que el certificat digital no ha caducat. Aquesta comprovació l'hauran de fer automàticament els programes que gestionin el certificat.
2. Verificar que el certificat digital no hagi estat revocat. Per fer-ho, cal accedir a les llistes de revocació de la jerarquia de certificació publicada a la pàgina web de l'entitat de certificació i comprovar si hi és o no, o bé consultar-ho al Servei de Validació de CATCert.
   

Validesa legal

Segons l'art. 3 de la Llei 59/2003, de 19 de desembre, de Signatura Electrònica, "la signatura electrònica reconeguda tindrà respecte a les dades consignades en forma electrònica el mateix valor que la signatura manuscrita en relació amb els consignats en paper".

A més a més, la validesa i el reconeixement d'un certificat dependrà en gran mesura de la credibilitat de l’entitat emissora. L'Agència Catalana de Certificació, prestadora de serveis de certificació a les administracions catalanes, garanteix la validesa dels seus certificats.

Avantatges de la certificació digital

La certificació digital permet garantir la identitat d'una persona a Internet. Per aquest motiu les persones que disposen d'aquesta "identificació digital" poden, per exemple: signar digitalment, xifrar els seus missatges, identificar-se davant d'accessos restringits, accedir a dades de caràcter personal i realitzar consultes i gestions en línia.

És gràcies a la certificació digital que l'administració pot avançar cap al seu desenvolupament a la xarxa. Un cop garantida la identitat de l'usuari, aquest pot accedir a un ventall cada vegada més ampli de serveis i tràmits en línia.

Avantatges del certificat de l'Agència Catalana de Certificació:

• Permet al personal de l'administració acreditar-se degudament per accedir a informació confidencial, com consultar expedients des d'Internet o estendre certificats amb garanties.
• Garanteix la confidencialitat en les comunicacions a Internet.
• El certificat és emès per una autoritat reconeguda i amb credibilitat. CATCert proporciona a les Administracions catalanes els instruments necessaris per què els tràmits mitjançant Internet tinguin totes les garanties jurídiques.
• És un certificat reconegut.  

Concretament, mitjançant els certificats digitals de CATCert es poden realitzar els següents tràmits i gestions:

• Certificats digitals per a administracions públiques
• Certificats idCAT

Sol·licitud de certificats  

La certificació digital pot ser sol·licitada per tots els organismes públics de Catalunya, així com per totes aquelles empreses la forma jurídica de les quals sigui pública.

Quin és el procediment per obtenir un certificat digital? L'organisme o empresa que desitgi obtenir un certificat digital ha de sol·licitar-lo a l'Agència Catalana de Certificació, omplint prèviament la fitxa de subscriptor en la primera sol·licitud o per canvi de dades.

CATCert, com a entitat de certificació, verificarà la informació proporcionada pel sol·licitant, així com que aquest compleix tots els requisits necessaris segons el tipus i classe de certificat sol·licitat.

En cas que la petició sigui acceptada, es procedirà a l'emissió del certificat de forma segura i es notificarà al subscriptor que té el certificat a la seva disposició.

El certificat serà lliurat al subscriptor o al seu representant amb seguretat, per garantir que el posseïdor final del certificat i de les claus n'és el legítim subscriptor o titular.

Revocació i suspensió

Revocació i suspensió són dues possibilitats de deixar sense validesa un certificat abans de la seva data de caducitat. La revocació és un estat definitiu del certificat, un certificat en suspens, en canvi, pot recuperar la seva validesa.

La revocació o la suspensió d'un certificat poden sol·licitar-se en qualsevol moment, especialment quan el titular tingui dubtes respecte la confidencialitat de la seva clau privada (per exemple, en cas de pèrdua de la targeta xip).

Des del moment de la revocació, qualsevol signatura digital associada amb aquest certificat no tindrà validesa.

La data efectiva de la revocació es farà constar juntament amb el número de sèrie del certificat a un document signat i publicat per l'autoritat de certificació.

Com saber si un certificat ha estat revocat?

Les entitats de certificació tenen l'obligació de fer públic les llistes de certificats revocats (CRL), per tal que els usuaris i les aplicacions informàtiques puguin verificar-ne la validesa. Aquestes llistes, renovades periòdicament, acostumen a facilitar-se en les webs de les entitats.

En el cas de CATCert, podreu consultar-les en aquest enllaç: llistes de certificats revocats (CRL).  

PKI de CATCert

PKI són les sigles de "Public Key Infrastructure", expressió que es refereix a tota la infrastructura necessària per poder posar en marxa i explotar sistemes i aplicacions que fan ús de tècniques de criptografia asimètrica.

Les claus

La signatura digital es fonamenta en la denominada criptografia asimètrica, la qual es basa en la utilització de dues claus diferents (una pública i una privada), complementàries entre sí.

La clau privada és una clau pròpia que només coneix i posseeix el seu titular, essent-ne responsable de la seva custòdia per tal de garantir la fiabilitat del sistema. Aquesta clau està emmagatzemada en un dispositiu segur que és, en el cas dels certificats CPISR i CPX de CATCert, la targeta xip.

La clau pública pot ser coneguda per tothom sense cap mena de risc. Aquesta clau és necessària per comprovar la identitat de l'emissor o l'autenticitat d'un document signat, i també per codificar-lo, donat el cas. Aquestes claus compleixen dues regles fonamentals:

1. Les dades que es codifiquen utilitzant una de las claus només podran ser descodificades amb l'altra.
2. És impossible deduir una de les claus a partir de l'altra.

Jerarquia

L'Agència Catalana de Certificació-CATCert, per tal de donar un servei d'acord amb les especificitats de les diferents administracions catalanes, va crear, el 8 de gener del 2003, una jerarquia d'entitat de certificació, l'arrel de la qual és la pròpia Agència, estructurada d'acord amb el diagrama següent:

La confiança d'aquesta jerarquia té com arrel l'Agència Catalana de Certificació. D'ella pengen les entitats de certificació col·laboradores en diferents nivells, d'acord amb les necessitats de les diferents administracions.

La creació d'aquesta infraestructura, si bé és necessària, no és suficient, i cal que els diferents usuaris explícitament hi confiïn.

Instal·lació

Quan en els nostres equips instal·lem els navegadors, aquests ja incorporen -per defecte- la confiança en algunes entitats de certificació.

(vegeu MS Explorer: eines / opcions Internet / contingut / certificats. En navegadors Netscape: Ctrl-Majúscules-I / Certificats / Signants).

Aquest és el mecanisme que s'utilitza avui en dia, tot i que a vegades pot esdevenir un forat de seguretat.

CATCert acompleix tots els requisits necessaris per ser inclosa en els navegadors més coneguts, donat els requeriments que acompleix, tant en la seva constitució com en els seus procediments i mètodes de treball. Aquest tràmit ja ha estat endegat per part de CATCert i s'estan realitzant els treballs necessaris per tal d'aconseguir-ho el més aviat possible.

Mentre se segueix aquest procés, com que els certificats de les Entitats de Certificació de la jerarquia de CATCert no venen precarregats als navegadors, cal instal·lar manualment els certificats digitals de les entitats de certificació en que es confia. Aquests són necessaris per verificar que els certificats que arriben als nostres equips informàtics han estat emesos per alguna de les autoritats de certificació de la jerarquia d'entitats de CATCert.

És necessari que la ruta de certificació s'hagi instal·lat completa quan els diferents programaris comprovin la confiança en l'arbre de certificació.