Generals

Què és un certificat electrònic?

Un certificat electrònic és un document electrònic signat que garanteix a les terceres persones que els rebin o els utilitzin una sèrie de manifestacions que s'hi contenen.

Aquestes manifestacions poden referir-se a la identitat d'una persona, a la titularitat o possessió d'una clau pública - i la corresponent clau privada-, a les seves autoritzacions (en forma de rols o permisos), a la seva capacitat de representar una altra persona física o jurídica, a la seva capacitat de pagament, etc.

 

Com funciona la certificació digital? El procés de signatura

La certificació digital funciona amb la criptografia asimètrica. La criptografia asimètrica consisteix bàsicament en dues claus, una privada i una pública. Allò que està codificat amb una clau privada necessita la seva corresponent clau pública per ser descodificat, i a l'inrevés.

• La clau privada és secreta i només la posseeix l'usuari. Amb ella pot signar documents electrònics. 
• La clau pública està a disposició de qualsevol usuari. Permet validar una signatura digital que hagi estat generada amb la clau privada complementària.

Si l'emissor desitja enviar un missatge en format electrònic i que el receptor del mateix estigui segur que ha estat ell qui li ha enviat, pot signar-lo digitalment, usant la tecnologia de certificació digital.

Aquest és el procés que es duu a terme per enviar informació a través d'Internet mitjançant signatura electrònica, tant des del punt de vista de l'emissor com del receptor d'aquesta informació.

Com procedeix l'emissor?

Tal i com podeu veure a la fig. 1, s'aplica al missatge o document original una funció de resum (hash), que és una operació que dóna com a resultat un conjunt fix de dades, una espècie de resum del missatge original. Aquest resum, està unívocament relacionat amb el missatge original, i per tant, qualsevol petit canvi en el missatge original donaria com a resultat un resum diferent. La llargada del resum normalment és de 160 bits, tot i que n'hi ha de més llargs o més curts. Com més llarg menys risc de col·lisió, però més consum de memòria i temps de càlcul.

Una vegada obtenim aquest resum, el xifrem amb la clau privada de l'emissor i dóna com a resultat la signatura digital del document o missatge. D'aquesta manera, l'emissor envia el missatge vinculat a una signatura digital.

Fig. 1

 

Com procedeix el receptor?

Quan el receptor del missatge el rebi, podrà comprovar l'autoria del missatge i estar segur que qui li envia és qui diu ser, realitzant el següent procés, que podeu visualitzar a la fig. 2.

Primer de tot, s'ha d'extreure la signatura electrònica del document original, separant doncs, documentació i signatura electrònica. Posteriorment, per una banda, cal desxifrar la signatura electrònica (resum del missatge que ha estat xifrat per l'emissor amb la seva clau privada), amb la clau pública de l'emissor, obtenint el resum original.

D'altra banda, cal d'aplicar la funció resum (hash) al document o missatge rebut, tot obtenint un nou resum. Si el resum enviat per l'emissor (un cop desxifrat) coincideix amb el resum obtingut del document, la signatura digital és vàlida i per tant, el missatge no ha estat modificat, és l'original i pertany a l'emissor.

Si els dos resums no coincideixen significa que és possible que el contingut del missatge o document hagi estat modificat, o bé, que l'emissor no és qui diu ser, doncs la seva clau privada no és complementària de la clau pública que disposem.

Actualment els propis sistemes informàtics gestionen les claus públiques d'una manera transparent a l'usuari.

Tot aquest procediment és el que es realitza automàticament per part de les aplicacions que utilitzen signatura electrònica (portals, aplicacions, gestors de correu-e, programes informàtics, etc.) i és transparent a l'usuari. D'aquesta manera, no cal realitzar els passos de realitzar el resum, comparar-lo, etc. Només signant un correu-e o rebent-lo signat, les aplicacions realitzen tot el procediment i ens tornen la resposta si la signatura és vàlida o no.

Fig. 2

 

Com se xifra un document?

El xifrat és el procés que s'aplica a unes dades per tal de fer-les incomprensibles.

D’aquesta manera ens assegurem la confidencialitat d’aquestes dades. Per poder xifrar un document és necessari que tant l'emissor com el destinatari disposin d'un certificat digital (clau pública i privada).

A continuació, només heu de xifrar el document fent servir la clau pública de la persona que desitgeu que pugui llegir-lo. Aquest document sols podrà ser desxifrat per la persona que posseeix la clau privada complementària.

D'aquesta manera, el xifratge de la informació, pròpiament dita, implica que paral·lelament a l'obtenció de la signatura electrònica mostrat a la fig.3, xifrem el document original amb la clau pública del nostre receptor, enviant d'aquesta manera el document xifrat i signat, garantint que només ell podrà llegir-lo.

Quan el receptor rebi el document, prèviament a poder fer la comparació dels dos resums, haurà de desxifrar el document rebut amb la seva clau privada i obtenir així el document original. Una vegada obtingut el document original i extreta la signatura, podrem procedir a la verificació de la signatura digital que s'explica a la fig. 4.

Podem veure detalladament el procés de xifratge i desxifratge a les fig. 3 i 4 respectivament. Com podem observar, la única diferència entre el procés de signatura i el procés de signatura i xifratge és que no s'adjunta directament la signatura al document, sinó que aquest es xifra prèviament amb la clau pública del receptor. D'aquesta manera, enviem un document xifrat amb la signatura adjunta.

De la mateixa manera, en el procés de verificació, la única diferència és que en comptes de rebre un document signat (document + signatura) rebem un document xifrat i signat (document xifrat + signatura). Per tal de verificar la signatura, hem de separar el document de la signatura i en comptes d'obtenir el resum directament, prèviament hem de desxifrar el document amb la clau privada del receptor, obtenint el document original. La resta del procés és la mateixa.

Fig. 3

Fig. 4

 

Quins avantatges té la certificació digital envers altres identificadors digitals com el codi d'usuari i la paraula de pas?

Les identitats digitals són mecanismes tècnics que ens permeten identificar-nos davant dels sistemes informàtics. Hi ha diferents tipologies d'eines de seguretat que poden oferir-nos algunes de les garanties que ofereixen els certificats digitals, però no totes.

D'entre totes les identitats les dues formes més esteses són l'usuari i la paraula de pas i el certificat digital, però les diferències entre ells són notables, anem a analitzar-les:

• Usuari/Contrasenya:
  • És potser el més conegut, però el seu ús no ve emparat per cap llei.
  • Identifica una persona a Internet, però no permet cap tipus de signatura dels documents electrònics lliurats.
  • És necessari un nom d'usuari i contrasenya específic per a cada portal o plataforma.
  • És generat unilateralment per cada portal o plataforma, no per una tercera part de confiança.
  • No incorpora cap dada annexa que identifiqui l'usuari.
  • En cas de pèrdua no hi ha mecanismes d'anul·lació de les mateixes.
  • Normalment no incorpora un sistema de caducitat.
• Certificat digital:
  • Garanteix la identitat d'una persona en un sistema informàtic (portal, aplicació, etc.)
  • Permet realitzar tràmits telemàtics amb plenes garanties tècniques i jurídiques en diferents portals o plataformes.
  • Permet signar documents electrònics amb validesa legal. Els compromisos adquirits per via electrònica s'equiparen als adquirits presencialment.
  • Permet signar correus electrònics.
  • Permet utilitzar un mateix certificat digital per autenticar-se en diferents plataformes i portals.
  • Identifica les dades de l'usuari que l'utilitza: nom i DNI.
  • És generat per un prestador de serveis de certificació reconegut i de confiança.
  • En cas de pèrdua o robatori, es pot suspendre trucant a un telèfon durant les 24 hores del dia.
  • Permet xifrar les comunicacions a Internet, protegint la integritat de la informació tramesa.
  • Està emparat mitjançant la Llei 59/2003 de Signatura Electrònica.
  • Un certificat digital de ciutadà, per exemple, l'idCAT que emet l'Agència Catalana de Certificació es pot aconseguir en un sol dia.

 

Quines garanties de seguretat té un certificat digital?

L'ús de certificats digitals garanteix la seguretat dels tràmits telemàtics realitzats amb ells, ja que ens ofereixen les següents garanties:

• Identitat: ens ofereixen la seguretat de que s'està realitzant la transacció amb l'entitat o la persona qui diu ser.
• Integritat: ens garanteix que els documents motiu de la transacció no han estat alterats durant la transmissió.
• Autenticitat: garanteix que el document que ha rebut el receptor és l'original i pertany indiscutiblement a l'emissor. D'aquesta manera, ens permet garantir que l'emissor és responsable del compromís adquirit per la via telemàtica (imputació de l'acte), tenint evidències, per exemple, de la formalització d'un contracte.
• Confidencialitat: ens permet tenir la seguretat de què només l'emissor i el receptor del missatge o document poden accedir a la informació.
• Legitimació: conèixer si l'interlocutor està capacitat professionalment o legalment per a fer la gestió que s'està realitzant.
• Accessibilitat: ens permet accedir a la informació electrònica en qualsevol moment i ens garanteix la perdurabilitat en el temps.

 

Quina validesa legal té un certificat digital?

Segons l'art. 3 de la Llei 59/2003, de 19 de desembre, de Signatura Electrònica, "la signatura electrònica reconeguda tindrà respecte a les dades consignades en forma electrònica el mateix valor que la signatura manuscrita en relació amb els consignats en paper".

A més a més, la validesa i el reconeixement d'un certificat dependrà en gran mesura de la credibilitat de l’entitat emissora. L'Agència Catalana de Certificació, prestadora de serveis de certificació a les administracions catalanes, garanteix la validesa dels seus certificats.

 

Puc deixar el meu certificat digital per a que el faci servir una altra persona?

El certificat digital és personal e instranferible, per tant, només el podrà fer servir la persona titular. La responsabilitat del mal ús d'un certificat recau sobre la mateixa.

 

Puc sol·licitar o renovar el meu certificat digital per Internet i baixar-me'l directament?

No, els certificats no poden baixar-se directament d'Internet sinó que cal seguir un procés per a sol·licitar-los:

Podeu consultar el procés de sol·licitud dels certificats de CATCert per a les administracions públiques catalanes a la FAQ: Què he de fer per a sol·licitar per primera vegada un certificat?

D'altre banda, podeu consultar com obtenir els certificats que l'Agència Catalana de Certificació emet per als ciutadans (idCAT) a través de la FAQ: Què he de fer per a obtenir un certificat digital de ciutadà (idCAT)?
Els darrers (certificats idCAT), però, si que es poden renovar a través de la pàgina web www.idcat.cat si es varen emetre en programari. Si, pel contrari, el certificat va estar emés en suport Clauer, en aquest procés de renovació, es genera una sol·licitud de renovació que haureu de validar a una de les Entitats de Resgitre idCAT aportant el Clauer original on es va allotjar el certificat.

 

Quants certificats digitals pot tenir un únic usuari?

Un usuari no pot disposar de més d'un certificat digital del mateix tipus emés amb les mateixes dades. Només es podria donar aquest supòsit en el cas de la renovació d'un certificat durant els dos mesos anteriors a la seva caducitat (si el segon s'emet abans de la caducitat del primer, dintre d'aquest periòde).

D'altra banda, en el cas dels certificats digitals per als treballadors de les administracions públiques catalanes, un usuari pot disposar de més d'un certificat a nom seu i del mateix tipus, si aquests, han estat emesos a nom de diferents organitzacions.

 

Quina diferència hi ha entre exportar un certificat amb clau privada o sense aquesta?

Si exporteu un certificat digital amb la seva clau privada, esteu creant una còpia del certificat i podrieu realitzar signatures electròniques amb aquest (aquest tipus d'exportació no és possible en cas que el certificat estigui emès en suport targeta amb xip criptogràfic).

En el cas que només exporteu la clau pública del certificat, esteu generant un fitxer que conté les dades del certificat però no es podrà fer servir aquest per a suplantar la vostra identitat. D'aquesta manera podeu lliurar la clau pública del vostre certificat digital a altres persones per a que es puguin comunicar amb vosaltres de manera segura.

 

Quina és la jerarquia dels certificats de CATCert?

L'Agència Catalana de Certificació-CATCert, per tal de donar un servei d'acord amb les especificitats de les diferents administracions catalanes, va crear, el 8 de gener del 2003, una jerarquia d'entitat de certificació, l'arrel de la qual és la pròpia Agència, estructurada d'acord amb el diagrama següent:

La confiança d'aquesta jerarquia té com arrel l'Agència Catalana de Certificació. D'ella pengen les entitats de certificació col·laboradores en diferents nivells, d'acord amb les necessitats de les diferents administracions.

La creació d'aquesta infraestructura, si bé és necessària, no és suficient, i cal que els diferents usuaris explícitament hi confiïn.

 

Com puc saber si els certificats de CATCert són vàlids per un tràmit o ús concret?

Accediu a la pàgina d'usos dels certificats digitals i consulteu el tràmit o ús al document, en format excel, d'usos dels certificats de CATCert (idCAT o per a altres EC's de CATCert segons convingui).

 

Què és el codi PIN o la paraula de pas d'un certificat digital?

El PIN o Paraula de Pas (en el cas del Clauer idCAT per als ciutadans) és un codi amb el que es protegeix la clau privada del certificat digital.
En cas que vostre certificat digital estigui allotjat a una targeta amb xip criptogràfic heu de rebre, en un enviament diferent, una carta amb els codis PIN i PUK d'aquesta, que podeu modificar a través de la Utilitat de Gestió de Testimonis: Veure "Com puc modificar el codi PIN i/o codi PUK de la meva targeta?"
En el cas dels certificats digitals que CATCert emet per als ciutadans (idCAT), si aquest ha estat emès en un Clauer idCAT haureu de fer servir una Paraula de Pas per a accedir a la part criptogràfica del Clauer on està allotjat el certificat. Trobareu la Paraula de Pas inicial del vostre Clauer al document de compareixença que us han lliurat a l'Entitat de Registre idCAT on han emès el vostre certificat digital. Podeu modificar la Paraula de Pas del Clauer a través del Gestor del Clauer idCAT. Veure: "Com instal·lar el meu certificat idCAT en Clauer?"

 

Què és el número de sèrie del certificat? On el puc trobar?

El número de sèrie del certificat digital és un codi alfanumèric identificatiu que és diferent a cada certificat. Aquest número de sèrie el podeu fer servir per a identificar el vostre certificat davant l'Entitat Certificadora o Entitat de Registre en cas de sol·licitar una determinada gestió relacionada amb aquest. Per exemple: Revocació.

Podeu trobar el número de sèrie del vostre certificat visualitzant aquest a través del vostre navegador o de la utilitat de gestor de testimonis (el segon, en cas que el certificat sigui en suport targeta). Fent doble clic sobre el certificat es pot accedir a la pestanya "Detalls" on apareixen els camps que conté el certificat digital, i entre ells, el número de sèrie.

 

Com podem saber si un certificat ha estat revocat?

Per a comprovar la vigència d'un certificat i/o la validesa d'una signatura, podeu realitzar el test de validació a través de la Plataforma de Serveis d'Identificació i Signatura de CATCert, o bé, accedir a les llistes de certificats revocats per a comprovar que el certificat, en qüestió, no es troba en aquestes.

 

Què s'ha de fer en cas de pèrdua o robatori d'un certificat digital.

És recomanable suspendre un certificat en cas de sospita de pèrdua o robatori d'aquest. La suspensió consisteix en deixar un certificat sense validesa temporalment, durant un període màxim de 120 dies, dintre del qual es pot tornar a sol·licitar la seva habilitació en cas de recuperació del mateix. Si passats els 120 dies no l'habiliteu, es revocarà de manera irreversible, per la qual cosa caldria tornar a sol·licitar-ne un de nou, en cas necessari. Destacar, en aquest punt, que no és possible l'emissió d'un nou certificat si aquest està en estat suspès i no s'ha revocat, així doncs, en cas que es vulgui sol·licitar l'emissió abans dels 120 dies des de la suspensió, s'haurà de sol·licitar també la revocació del certificat expressament.

Per a consultar el procediment per a suspendre un certificat consulteu el següent apartat: Com suspendre un certificat digital?

 

Com suspendre un certificat digital?

Per a sol·licitar la suspensió d'un certificat digital de CATCert, truqueu al telèfon del nostre Centre d'Atenció a l'Usuari: 902901080.

En el cas que hagueu de suspendre un certificat que pertanyi a una administració pública haureu de facilitar en aquest telèfon el codi de suspensió indicat al full de lliurament del mateix.

Si el certificat que voleu suspendre és un idCAT (certificat per a la ciutadania) haureu de donar, en aquest telèfon, la resposta a la pregunta secreta que vareu indicar en el moment de l'emissió del certificat.

 

Quin és el preu d'una trucada al Centre d'Atenció a l'Usuari de CATCert?

El telèfon del Centre d'Atenció a l'Usuari de CATCert és el 902 901 080. Aquest número és un servei de tarifació especial en el qual el preu de la trucada l'assumeix íntegrament la persona que truca.

El preu de la trucada depèn de l'operador des del qual es truca i de si la xarxa des de la que es truca és fixa o mòbil.

El codi 902, a diferència dels 803, 806, 807, 905 i 907 no té la consideració de servei de tarifació addicional, per la qual cosa no és obligatori informar a l'abonat trucant del preu que ha de pagar l'abonat per la prestació del servei.

Us recomanem que si voleu conèixer el preu de les trucades al CAU de CATCert, consulteu al vostre operador de telefonia tant fixa com mòbil, doncs aquest preu depèn de les tarifes que regenten el vostre contracte.

Podeu consultar la normativa aplicable:

• Llei 32/2003, de 3 de novembre, general de telecomunicacions.
• Reial decret 424/2005, de 15 d'abril, pel qual s'aprova el Reglament sobre les condicions per a la prestació del servei de comunicacions electròniques, el servei universal i la protecció dels usuaris.
• Reial decret 2296/2004, de 10 de desembre, pel qual s'aprova el Reglament sobre mercats de comunicacions electròniques, accés a les xarxes i numeració.

 

Com puc saber quina informació tenen al meu nom?

Pot sol·licitar aquesta informació per escrit (es disposa de models de sol·licitud amb aquest efecte a l'apartat "Dades personals" del web de CATCert) i, en el termini d'un mes, li farem arribar a l'adreça que vostè ens comuniqui.

Em poden donar la informació que tenen de mi per telèfon?

La Llei orgànica de protecció de dades, a més de l'article 23 RLOPD estableix que el dret d'accés a la informació és un dret personalíssim, i només pot ser exercit pel titular d'aquestes dades o el seu representant legal.

Per telèfon no es pot comprovar que la persona que està parlant i sol·licitant la informació és el titular d'aquestes dades. Per aquest motiu, i per la seva pròpia seguretat i intimitat, no podem proporcionar-li la informació per aquest mitjà.

 

Com puc cancel·lar/rectificar/oposar-me al tractament de les meves dades?

Pot sol·licitar-ho per escrit o per correu electrònic signat a lopd@aoc.cat, utilitzant els models de sol·licitud que trobareu a l'apartat "Dades personals" del web de CATCert.

Si és procedent la petició, en el termini de 10 dies la durem a terme. Si, per contra, d'acord amb la legislació vigent, si la petició no fos procedent li comunicarem per escrit en el mateix termini.

 

Quant de temps trigaran a contestar-me una sol·licitud d'accés a la informació de dades personals que disposen de mi?

La Llei assenyala que hi ha un termini d'un mes per permetre l'accés dels titulars a les seves dades personals (article 29 RLOPD).

 

Per què no puc cancel·lar/rectificar/oposar-me al tractament de les meves dades per telèfon?

Igual que ocorre amb l'accés a la informació, es tracta de drets personalíssims, que només poden ser exercits pel titular de les dades o el seu representant legal.

Telefònicament no es pot comprovar la identitat de la persona que està parlant en aquest moment. És per això que necessitem que ens ho sol·liciti per escrit amb fotocòpia del DNI o document d'identificació.