Vés al contingut (premeu Retorn)

Glossari

Què és el PIN i PUK

PIN
El codi PIN és la paraula de pas amb la qual us autentiqueu cada vegada que feu ús del certificat digital.

El PIN assignat per defecte es pot canviar per un altre que sigui més fàcil de recordar. Aquest canvi es fa amb el programari gestor de la targeta.

En cas que teclegeu erròniament el PIN més de tres vegades quedarà bloquejat.

PUK
El codi PUK serveix per desbloquejar o canviar el codi PIN. El PUK no es pot modificar i en cas de pèrdua cal que us poseu en contacte amb nosaltres.

El PIN i el PUK poden tenir una longitud entre 4 i 8 caràcters alfanumèrics.

Aquets codis es lliuren per correu electrònic a l'usuari del certificat.


Criptografia asimètrica

La criptografia asimètrica és el mètode criptogràfic que usa un parell de claus per l’enviament de missatges. Una clau és pública i es pot lliurar a qualsevol persona, l’altre és privada i el propietari ha de guardar‐la de forma que ningú hi tingui accés. A més a més, el mètodes criptogràfics garanteixen que aquesta parella de claus només es pot generar un sol cop, de forma que es pot assumir que no es possible que dues persones hagin obtingut casualment la madeixa parella de claus.


Pública
La clau pública és necessària per comprovar la identitat de l’emissor o l’autenticitat d’un document signat. Permet validar una signatura que hagi estat generada amb la clau privada complementària.

La clau pública es l'únic element del certificat digital que es troba a l'abast de tothom. Les claus públiques estan disponibles en directoris publicats a Internet i en algun cas en bases de dades corporatives. Es relaciona, mitjançant procediments matemàtics, amb un altre element (clau privada) per garantir la seva confidencialitat i integritat. La clau pública serveix bàsicament per a xifrar, tot i que també es fa servir per a verificar signatures digitals.

Qualsevol persona pot xifrar un missatge fent servir la clau pública, però tan sols el posseïdor de la clau privada podrà desxifrar‐lo.
Privada
La clau privada serveix per signar documents electrònics. És l'element secret del certificat. Es troba relacionat, mitjançant procediments matemàtics, amb un altre element (clau pública). La clau privada es guarda en la targeta intel∙ligent de la persona certificada i, per tant, té totes les garanties de seguretat. Serveix, bàsicament, per desxifrar els missatges rebuts, tot i que també es fa servir per crear la firma digital.

Certificat digital

Un certificat digital és un document electrònic signat electrònicament per un prestador de serveis de certificació, que garanteix a les terceres persones que el rebin o l'utilitzin una sèrie de manifestacions que s'hi contenen, com per exemple, la identitat del titular del certificat, les autoritzacions, la seva capacitat per realitzar un determinat acte, etc. A nivell tècnic, els certificats digitals compleixen l'estàndard X509 V3.
Què conté un certificat digital?
  • Identitat del posseïdor
  • Identitat de la CA que l’emet
  • Clau pública que es certifica
  • Identificació del certificat
  • Període de validesa
  • Algorismes que s’han utilitzat al signar‐se (signatura i hash)
  • Versió del format del certificat
  • Signatura del certificat (per la CA emissora)

Tipus de certificat
Existeixen diferents tipus de certificats digitals per assegurar la identitat de persones, entitat o dispositius.

Certificats personals
Garanteixen la identitat d’una persona i es caracteritzen perquè una persona física posseeix una clau privada amb la qual pot actuar en el seu propi nom i representació (quan n'és subscriptor o titular del certificat).
Certificat d’entitat
Garanteixen la identitat d'una persona (que serà titular del certificat) que actua en representació d'una persona jurídica.
Certificats de dispositiu
Un dispositiu informàtic posseeix la clau privada i realitza operacions de firma i desxifrat de forma automàtica, sota la responsabilitat d’una persona física o jurídica (subscriptora o titular del certificat).

Els dispositius poden ser dels tipus:

  • Certificat de dispositiu de servidor segur (CDS). S’instal∙len en els servidors Web i asseguren la identificació del servidor (garanteix que el lloc és original), el xifrat de dades que s’intercanvien entre l’usuari i el servidor, i permet identificar l’usuari davant del servidor.
  • Certificat de dispositiu de servidor segur de controlador de domini (CDSDC). Aquest certificat permet als usuaris que pertanyen al domini de l'entitat autenticar‐se amb certificat digital de signatura i xifrat en targeta, en una xarxa Windows. La autenticació consisteix en demostrar que el el certificat digital és original.

  • Certificat de Signatura de Programari (CDP). El certificat de dispositiu programari o de signatura d'aplicacions informàtiques serveix per signar electrònicament les aplicacions informàtiques o programari a transmetre a través d'Intern. La signatura permet garantir l’autoria i assegurar la integritat. Aquests certificats poden ser personals o per a l’ens. És habitual signar codi com ara: Applets, scripts, executables, etc.

  • Certificat de dispositiu d'aplicació assegurada (CDA). Aquest certificat s'emmagatzema en un servidor (preferiblement en un dispositiu criptogràfic) i pot ser requerit per una aplicació per signar un document o missatge. No és un certificat personal, sinó que està vinculat a una aplicació i actua de manera síncrona, pel que no requereix la intervenció de cap operador. El seu ús equival a un tampó de l'ens o departament.
  • Certificat de seu electrònica. Aquest és un certificat digital de dispositiu que serveix per identificar i garantir una comunicació segura amb la seu electrònica d'un ens, entenent seu electrònica en els termes que la descriu l'article 10 de la Llei 11/2007 d'accés electrònic dels ciutadans als serveis públics. Aquest certificat pot utilitzar‐se per a la connexió segura dels ciutadans a pàgines web oficials, l'autenticació d'un lloc web, l'allotjament de registres electrònics, la consulta i autorització de registres de representació, etc.

Existeixen 2 tipus d'aquest certificat: nivell mig i nivell alt.

  • El certificat de nivell mig, amb unes claus de 1024 bits, és recomanable per a la majoria de les administracions públiques que poden tenir els següents riscos: infracció de seguretat (p.e. robatori de la identitat), pèrdues econòmiques moderades, pèrdua d'informació sensible o crítica o refutació d'una transacció amb impacte econòmic significatiu. S’instal∙la per software.
  • El certificat de nivell alt, amb unes claus de 2048 bits, és recomanable per a aquelles administracions públiques que, havent realitzat prèviament una anàlisi de riscos, precisen mesures addicionals de seguretat, doncs contemplen els següents riscos: infracció de seguretat, pèrdues econòmiques importants, pèrdua d'informació altament sensible i crítica o refutació d'una transacció amb impacte econòmic molt significatiu. S’instal∙la en un dispositiu HSM.
  • Certificat de segell electrònic.
Classes de Certificat Digital

  • Classe 1. Són certificats corporatius. El posseïdor de les claus té un vincle funcional o jeràrquic amb l'Administració.

  • Classe 2. El posseïdor de les claus manté una relació funcional, de servei o d'administrat amb l'Administració.


Certificat reconegut

El certificat digital reconegut és aquell que emet una entitat certificadora com a reconegut. En el cas dels prestadors públics els certificats ho són, i en el cas de les entitats privades ho són perquè han passat un procés de certificació davant de l’administració pública.


Estats d’un certificat

Els estat d’un certificat poden ser:
  1. Vàlid.
  2. No vàlid. I les raons per les quals pot no ser vàlid un certificat són:
    1. Caducat (Fora del període de validesa)
    2. Suspès (Temporalment. A CATCert màxim 120 dies)
    3. Revocat (Informació subministrada pel proveïdor del certificat o AC)
    4. Desconegut o sense confiança

Subscriptors i titulars del certificat

Subscriptor
El subscriptor del certificat és la persona física o jurídica que sol∙licita el certificat digital. En el cas del certificat de la UPC, la pròpia Universitat és el propietari del certificat.

Titular
El titular del certificat és el posseïdor del certificat, sigui per que li és propi (també és subscriptor) o perquè li ha cedit pel seu ús el subscriptor.

Signatura electrònica

Signatura electrònica ordinària
La llei 59/2003 defineix la signatura electrònica ordinària com el conjunt de dades en format electrònic consignades junt amb altres associades amb elles, que poden ser usats como a medi d’identificació del signant. Tots els mecanismes d’autentificació poden ser signatura electrònica ordinària, per exemple el PIN.

No se li poden de negar efectes jurídics ni admissibilitat judicial. En tot cas s’ha de considerar que és poc segura, no garanteix que l’hagi creada el signatari, i es reproduïble.

Judicialment, la càrrega de la prova és del demandant ("probatio diabolica" és una expressió de l'àmbit del Dret que descriu la pràctica d’exigir una prova impossible).
Signatura electrònica avançada
La llei 59/2003 defineix la signatura avançada com la signatura electrònica que permet identificar al signant i detectar qualsevol canvi posterior de les dades signades, que està vinculada al signant de forma única i a les dades a les quals es refereix i que ha estat creada per medis que el signant pot mantenir sota el seu control exclusiu.

No se li poden negar efectes jurídics ni admissibilitat judicial. En tot cas s’ha de considerar que no es prou segura (algorismes dèbils, programari de baixa qualitat), que no garanteix que hagi estat creada pel signatari (compromís de la clau), i que sigui reproduïble (atacs de força bruta).

No s’equipara directament a la signatura manuscrita, sinó que necessita una norma jurídica de legitimació. Judicialment, la càrrega de la prova és del demandant (però ja no es diabòlica) i la norma de cobertura pot ajudar, establint presumpcions.
Signatura electrònica reconeguda

La llei 59/2003 defineix la signatura reconeguda com la signatura avançada basada en certificat reconegut i generada mitjançant un dispositiu segur de creació de firma. És la signatura electrònica que acompleix les següents característiques: garanteix que ha signat una persona. S’equipara directament a la signatura escrita sense necessitat de norma jurídica de cobertura.
Reconeguda amb evidencies

El nivell 5 és correspon a una signatura reconeguda (nivell 4) a la qual se li annexen les evidències electròniques de segellat de temps i les referències completes a les llistes de certificació i revocació i opcionalment la llista completa de certificació i de revocació.

Formats de signatura digital

CADES

CAdES (CMS Advanced Electronic Signatures) és una extensió de Cryptographic Message Syntax (CMS) per a signatura de documents electrònics.

Tipus de signatura d’acord al nivell de protecció oferir. Cada nivell exten el seu anterior:
  • CAdES, signatura bàsica que acompleix amb els requeriments de signatura avançada.

  • CAdES‐T (evidència de temps), afegeix informació de temps (timestamp) per protegir la signatura del repudi.

  • CAdES‐C (completa), afegeix referències a la cadena ce certificats per a la verificació “off‐line” de la signatura del document (certificats i llista de revocació). Facilita la verificació de signatura al llarg del temps. Aquets format inclou les referències però no les dades.
  • CAdES‐X (extesa), Afegeix un segell de temps per protegir en un futur la signatura de compromisos de temps.

  • CAdES‐X‐L (extesa – llarg termini), afegeix les dades actuals dels certificats i llistes de revocació per tal de permetre la verificació del document en un futur inclús si hi ha fonts que no existeixen.

  • CAdES‐A (arxiu), afegeix la possibilitat d’incloure segellat de temps periòdic al document per garantir la seguretat de la signatura en firmes a llarga termini.

XADES

XAdES (XML Advanced Electronic Signatures) és un conjunt d’extensions a XML‐DSig per a signatura de documents electrònics.
Tipus de signatura d’acord al nivell de protecció oferir. Cada nivell exten el seu anterior:

  • XAdES, signatura bàsica que acompleix amb els requeriments de signatura avançada.

  • XAdES‐T (evidència de temos), afegeix informació de temps (timestamp) per protegir la signatura del repudi.

  • XAdES‐C (completa), afegeix referències a la cadena ce certificats per a la verificació “off‐line” de la signatura del document (certificats i llista de revocació). Facilita la verificació de signatura al llarg del temps. Aquets format inclou les referències però no les dades.

  • XAdES‐X (extesa), Afegeix un segell de temps per protegir en un futur la signatura de compromisos de temps.

  • XAdES‐X‐L (extesa – llarg termini), afegeix les dades actuals dels certificats i llistes de revocació per tal de permetre la verificació del document en un futur inclús si hi ha fonts que no existeixen.

  • XAdES‐A (archival), (arxiu), afegeix la possibilitat d’incloure segellat de temps periòdic al document per garantir la seguretat de la signatura en firmes a llarga termini.
Signatura embolcallada (enveloped)
Signatura XMLdSIG i XAdES tal que l’element signature està contingut, embolcallat, dins l’element signat. El cas més comú és quan l’element a signar és el node arrel del document.
Signatura embolcallant
(Quan és CMS o CAdES es tradueix “attached”; si és XMLdSIG o XAdES es tradueix “enveloping”): modalitat de signatura electrònica que inclou el document que s’ha signat, embolcallant‐lo.

Signatura separada (detached)
Modalitat de signatura electrònica que no inclou el document que s’ha signat. Si la signatura és CMS o CAdES s’emmagatzemen per separat, en fitxers diferents, la signatura i el document que s’ha signat. Quan és XMLdSIG o XAdES, la signatura fa referència a un element extern al XML, o bé, la posició de l’element signat i el node signature no implica la inclusió en cap dels dos sentits.

Segellat de temps

Un segell de temps o segell de data i hora, concretament, és un document que ens indica la data i l'hora en què s'ha produït un acte, mitjançant una font de temps fiable de data i hora. El servei de segellat de temps permet associar un document a una data i hora, i d'aquesta manera obtenir evidències (tècniques i jurídiques) de que tal acte s'ha produït en un determinat moment del temps.

Document electrònic

Es considera document electrònic el redactat en suport electrònic que incorpora dades que estan signades electrònicament. El document electrònic serà suport de:
  • Documents públics, per estar signats electrònicament per funcionaris que tinguin legalment atribuïda la facultat de donar fe pública, judicial, notarial o administrativa, sempre que actuïn en l’àmbit de les seves competències amb els requisits exigits per la llei en cada cas.

  • Documents expedits i signats electrònicament per funcionaris o empleats públics en l’exercici de les seves funcions públiques, conforme a la seva legislació específica.

  • Documents privats

Jerarquia de certificació

Entitat de certificació
Persona física o jurídica que emet certificats, d'acord amb la Llei de signatura electrònica. En ocasions es tracta com un sinònim d'autoritat de certificació, que és un component tècnic del servei.


Autoritat de certificació
Una autoritat de certificació és un sistema informàtic dedicat a l’emissió i gestió posterior de certificats digitals, incloent‐hi la renovació, l’expiració, la suspensió, l’habilitació i la revocació de certificats, a petició de l'autoritat de registre. L'emissió de certificats es fa d'una forma automatitzada i sempre amb la prèvia confirmació de l'autoritat local de registre. A més a més, CATCert té dues funcions bàsiques més: 1) verificar la identitat dels sol∙licitants de certificats i 2) publicar les llistes de revocació de certificats.


Jerarquia de certificació CATCert

catcert.jpg

Entitat de certificació Universitats i Recerca (EC‐UR)
És l'Entitat de Certificació Vinculada corresponent al Servei de Certificació Digital del CESCA, operada per CATCert.


Entitat de registre
Una entitat de registre és un ens o departament que col∙labora amb l'Agència Catalana de Certificació ‐ CATCert, en la prestació de serveis de certificació a les administracions públiques catalanes.

Existeixen dos tipus d’entitats de registre en la jerarquia del CATCert, EC‐UR:

  • Entitat de registre col∙laboradora. CESCA, pot emetre qualsevol certificat per a qualsevol membre o dispositius de qualsevol Universitat.

  • Entitat de registre interna. Només pot emetre certificats de persona o dispositiu per al membres de la pròpia Universitats o entitats que d’ella en depenguin.

  • Autoritat de validació.

  • Autoritat de certificació.

  • Servidor de temps

Més informació

Per ampliar la informació podeu consultar el següent enllaç: http://www.catcert.cat/RECURSOS/Glossari