PKI: Eremu publikoko gako-infraestrukturaaren azalpena

Sarrera: zergatik da PKI digital-konfiantzan oinarrizkoa

Munduan milioika kontratu sinaturik daude egunero online bidez, oinarrizko galdera bat sortzen da: nola ziurtatu sinatzaileak benetakoa dela eta dokumentua ez dela aldatu sinatzeko ondoren? Erantzuna hiru letren bidez dago: PKI (Public Key Infrastructure, eremu publikoko gako-infraestrukturarentzat euskaraz). Gailu kriptografiko honek sinadura elektroniko kalifikatuaren oinarri teknikoa osatzen du eIDAS araudiarekin bat eginez. Artikulu honetan PKI-ren funtzionamendua, bere osagai esencialak —X.509 ziertifikatuak barne— eta nola garantizatzen duen zure ekintza juridiko digitalen autentikotasuna, integritatea eta ez-ezeztatzea azaltzen dugu sakonean.

---

Zer da PKI? Definizioa eta oinarrizko printzipioak

PKI (Public Key Infrastructure) politika, prozedura, hardwarea, softarea eta pertsonekin lotutako gailu multzo bat deskribatzen du, ziertifikat digitalen sorrera, kudeaketa, banaketa, erabilera, biltegiratzea eta baliozgabetzea egiteko beharrezkoak. Kriptografia asimetrikoan oinarritzen da, hau da, matematikoki lotutako gako-bikotea erabiltzen da: gako pribatu bat (sekretu) eta gako publiko bat (askatasunez partekatuak diren).

Gako asimetrikoen pareen printzipioa

Sinatzaileak sinadura elektronikoa dokumentu batean jartzen duenean, bere gako pribatua erabiltzen du fitxategi unikoaren ondorioa sortzeko (hash bat). Ondorioa, gako pribatuarekin zifraturik, sinadura digitala osatzen du. Edozein hirugarren batek sinadura honen autentikotasuna egiaztatu dezake sinatzailearen gako publikoa erabiliz. Egiaztapena ondo doan bezala, bi bermeak ezartzen dira:

• Autentikotasuna: gako pribatua duenak bakarrik eman zezakeen sinadura hau.
• Integritatea: dokumentua ez da aldatu sinatzeko ondoren.

RSA algoritmoa (Rivest-Shamir-Adleman) oraindik ere gehien erabilia da, 2.048 edo 4.096 biteko gakoekin. Elliptika kurbetako algoritmoak (ECDSA) bide egiten ari dira beren doitasunean segurtasun-mailan parekoak izanda.

Konfiantza arazoa eta PKI-ren erantzuna

Kriptografia asimetrikoak integritate arazoa ebazten du baina berehala beste galdera bat sortzen du: nola jakiten da gako publikoa benetako pertsona horri dagokio? Zehazki horretarako dator PKI. Konfiantza-hirugarren batek sartzen da —Ziertifikazio Agentziak (AC/CA) — gako publikoaren sabaietaren identitatea egiaztatzen du eta ziertifikat digital bat ematen du asoziazioa garantizatuz.

---

PKI-ren osagai esencialak

Funtzionala den eremu publikoko gako-infraestrukturaak hainbat osagai elkarloturetan biratzen du. Haien rol bakoitza ulertzea beharrezkoa da sinadura elektroniko soluzio baten trinkotasuna ebaluatzeko.

Ziertifikazio Agentziak (AC edo CA)

Ziertifikazio Agentziak PKI-ren gorguneko entitatea da. Digitala beraren bidez sinatzen ditu isuritako ziertifikatuak, identitate egiaztatua gako publiko batekin lotzean. Europan, ziertifikatuak mailego-listak nazioan (Trusted Lists), argitaratuak eIDAS-eko 22. artikuloarekin bat eginez. Frantzian, ANSSI-a du zerrenda hau. CertEurope, Certinomis edo Certigna bezalako hornitzaileek zerrendatuta daude.

Ziertifikazio hierarkiak confiantza-kateak osatzen du: Root CA-k sinatzen ditu batez besteko AC-k, horiek orduan sinatzaile-amaierako ziertifikatuak. Arkitektura horrek Root gakoen (HSM batean biltzean) agerpena mugatzen du eta baliozgabetzeak granular batean kudeatzea ahalbidetzen du.

Erregistratzeko Agentziak (AE edo RA)

Erregistratzeko Agentziak eskalagilearen identitatea egiaztatzeaz arduratsua da AC-k ziertifikatua emisio egin baino lehen. Egiaztatze hau honela egon daiteke:

• Aurpegi aurpegian (eIDAS arabera kalifikatuak diren ziertifikatuak beharrezkoak).
• Urrutitik bideo-identifikazioa bidez ETSI EN 319 401 arauetan bat eginez.
• eKYC prozesuaren bidez (elektroniko Customer Know Your Customer) tonfiantza-maila ertaina.

X.509 ziertifikat digitalemanifestoak

X.509 formatua ziertifikat digitalen egitura definitutzen duen nazioarte araua da PKI batean. UIT-T-k definitua eta IETF-k RFC 5280 bidez hartuak, X.509 ziertifikat batek honakoa ditu batez bestean:

• Titulurarena identitatea (izena, erakundea, e-postaa).
• Titularren gako publikoa.
• Agentziak emisioak eta sinadura.
• Ziertifikatu baliozkotasun aldia.
• Seri numero bakarra.
• Luzapenak: baimendutako erabilerak (kodearen sinadura, autentifikazio, dokumentu-sinadura), CRL banaketa puntua, OCSP URL.

eIDAS sinadura elektroniko kalifikatuaren testuinguruan, X.509 ziertifikat kalifikatuak gailu kalifikatua sortzearen (QSCD) bidez emisio egin behar dira, tipikoki txartel inteligentzial bat edo HSM bat (Hardware Security Module).

Baliozgabetzeko mekanismoa: CRL eta OCSP

Ziertifikat batek baliozkotasun amaiera baino lehen baliogabea daiteke: gako pribatuaren galera, kolokan jartze, titularren egoera aldaketa. Bi mekanismoak baimendu dute baliozkotasuna errealean egiaztatze:

• CRL (Certificate Revocation List): AC-k periodikoki argitaratzen duen zerrenda baliozgabetutako ziertifikatuak jasotzen ditu.
• OCSP (Online Certificate Status Protocol, RFC 6960): protokolo bat instantean ziertifikatu baten egoera egiaztatzen du. Transakzio-maiztasun altuak diren inguruetan hobetsia.

Sinadura elektronikoa soluzio serio batzuk, sinadura elektroniko soluzio konparatzailean deskribatutako besteak, sistematurik egiaztatze horiek sinadura-fluxuan sartu.

---

Nola segurtzen du PKI konkretuan sinadura elektronikoa

Sinadura elektroniko baten bidaia teknikoa PKI batean oinarrituz ulertzeak horniduraren garantia-maila neurtzea ahalbidetzen du.

Sinadura prozesu urrats batean

1. Dokumentuaren hashing: hashing algoritmoa (SHA-256 edo SHA-3 ANSSI 2026 gomendioetan arabera) dokumentuaren ondorioa sortu egiten da.
2. Ondorioaren zifratzea: sinatzaileak ondorioa bere gako pribatuarekin zifratu (QSCD seguroean biltzean). Egikaritzak ez du biulatuko ez du biulatuko gailuza ateratzea segun.
3. Sinadura paketearen sorrera: zifraturiko sinadura dokumentuarekin lotu da, sinatzailearen X.509 ziertifikatuarekin eta denbora-seinalean kualifikatuarekin batera.
4. Jasokoen aldetik egiaztapena: jasotzaileak (edo bere software soluzionak) ondorioa deszifratzen du sinatzailearen gako publikoa erabilita, jasotako dokumentuaren hash berrikusi eta konparatu. Biek ondorioak baitira, sinadura baliozkoa da.

eIDAS-en hirugarren sinadura maila eta haien PKI erlazioa

eIDAS araudia hiru sinadura elektroniko maila bereizten ditu, bakoitzak PKI-rako hobekuntza gehiago edo gutxiago ditu:

• Sinadura elektroniko sinplea (SES): ez da etsia PKI batean oinarritua. Frogaztatzeko balio mugatu.
• Sinadura elektroniko aurreratua (AdES): etsia gako bikote batean oinarritua eta sinatzaileari lotutako ziertifikatu. Formate teknikoak ETSI-k: XAdES, PAdES, CAdES.
• Sinadura elektroniko kalifikatua (QES): mailatzat gorena, orain baliokidea manuscrituko signaturari EU osoan. Ziertifikat kualifikatua beharrezkoa da AC konfiantzaz maila zerrenda zietan inskribatua eta QSCD. Bada PKI kalifikatuaren aplikazio osoa.

Enpresen sinaduraren ezartzean ebiratzetik bat eziapea, enpresa sinadura elektronikoa gidak azaltzen ditu oztopo aplikatzaileak.

Denbora seinalea kualifikatua: PKI-ren denbora aldizkoa

PKI identitatelan mugatzen ez da: denbora aldizkoa ere garantizatzen dute ekintza bidez denbora-seinalea kualifikatua (RFC 3161). Konfiantza zerbitzu denbora-seinaela (TSA) txarto zifratzea argitasun digitala ematen du dokumentu batek hatsarrean instandzia zehaztean ezkarritsubarrena izatea egiaztatuz. Hori garrantzitsua da froga luzean kontserbatzerako eta kontserbapen dokumentu obligazioetan betetzerako (art. L.110-4 Merkataritza Kodea: urteak bost enpresa ogunak; art. 2224 Zibil Kodea: bost urteak legez duten obligazio kontraktual).

---

PKI eta konfiantza luzearen bidaia: arrantza proba kontserbazioan

Sinadura baliozkoa gaur, 10 urte barru egon dezake egiaztatezina erabili ondoren algoritmoak desagertzen badira edo ziertifikatuak iraungi badira. PKI aintzan hartzen du arazo hau sinadura formatuak bidez balio-probatzaile luzer-iraunpean.

AdES formatuak bizieraldiko balio probatzaileetan

ETSIk definitu berri —XAdES-LTA, PAdES-LTA, CAdES-LTA — fitxategia sinaturik kapsulatu berri froga osoa etorkizunean egiaztapena dake: ziertifikat-katean osoa, OCSP argitutako erantzunak, denbora-seinaleetan anitzak. Formatuak ETSI EN 319 132 arau (XAdES) eta ETSI EN 319 122 (CAdES) egon daitezke.

Kriptografia migrazioa quantum informatikaren aurrean

Informatika kuantikoa aurkezten da batez-bestean RSA eta oraingoz ECDSA algoritmoen mehatxua. NIST amerikarioak amaituak duten 2024an beren lehen kriptografia post-kuantiko estandarrak (CRYSTALS-Dilithium sinaduretarako). ANSSI-ak eta ENISA-k migrazioak egiten dute barrua 2028-2030 denbora-tartearen bidez eIDAS arauaren bertsioetan. Enpresak ondo-kudeatzaileak diren PKI-n oinarrituz migrazioari egongo diren eskutik betetzen, ziertifikazio-agentzien egunaratzeak kriptografia-sisteman hobea da aitzaki-aurrera egiteak.

Haien soluzio oraingoa balioztatu nahi dituztenentzat, Certyneo sinadura elektroniko ROI kalkulagailua industrializatutako PKI infraestrukturarengatik baimendu daitezke.

Egingarri araua PKI-ri eta sinadura elektronikoari

Eremu publikoko gako-infraestrukturaak ez da bakarrik gailu teknikoa: Europako eta nazio-legedian sartua dago, bere-berei eskueragarria dena sinadura elektronikoan oinarritzen diren organismoentzako.

eIDAS araua n°910/2014 eta bere bilakaera

2014ko uztailaren 23an hartuak eta 2016ko uztailaren 1ean aplikagarri, araua (EU) n°910/2014 (eIDAS) konfiantza digitalaren oinarrizko testua Europa-enborraren. Konfiantza zerbitzua horniduraren baldintzak definitzen ditu kalifikatuak (PSCQ), ziertifikatuak kalifikatuak eta QSCD gailu. Artikulu 26 sinadura aurreratuaren kondizioeta fixatzen du; artikulu 28 ziertifikatuak kalifikatuak definitzen du sinadura elektroniko hartzekoen; dokumentu A I-ren xehetasunak ziertifikatuak kalifikatuen obligazioen beharrak — X.509 formatutik zuzenean ebakia.

eIDAS 2.0 araua (EU araua n°1183/2024, JOUE-n argitaratua 2024ko aprilaren 30ean) estigu hau indartzen du, nahitaez osatu Estatuei buruz berregiteko Portefeuille Digitala Europaarra (EUDIW) eta luzatuz enkargaak pertsona-pribatu zerbituzuen horniduraren sektore deitzean.

Zibil Kodea Frantsesa: sinadura elektroniko seinalearen balio frogaztatzaile

Zibil Frantsesean, Zibil Kodearen 1366 eta 1367 artikuluak (2016ko otsailaren 10eko ordezka n°2016-131etik) sinadura elektronikoa berdina ematen du manuscrituko signaturarekin, baldintzarekin eta sinatuak identifikazio exijazioak asetzea eta dokumentuaren integritate. Fidagarritasun presuntzioa ezartzen da sinadura sortzean eIDAS-en arabera kualifikatua dena erabiliz — hau da, PKI kalifikatuaren oinarritzen da.

1368 artikulua adierazten du kalitate-ezarpenen moduak dekretua bidez finkatzen dira Kontseilua Estatuan, halen bestean dekretua n°2017-1416 2017ko irailaren 28an sinadura elektroniko.

ETSI normak PKI aplikagarriak

• ETSI EN 319 401: orokorrean agintzen duten zerbitzu-kontsuduakrentzako begira.
• ETSI EN 319 411-1 eta -2: AC ziertifikatuak emisioren obligazioak kalifikatuak.
• ETSI EN 319 132: XAdES xehetasunak XML sinadura aurreratuakrentzat.
• ETSI EN 319 122: CAdES xehetasunak.
• ETSI EN 319 162: zerbitzuak kontserbazio eta denbora-seinalerentzat.

GDPR eta pertsona-datu PKI-n

X.509 ziertifikatuak dute pertsona-karakteren datu (izena, abizena, e-postaa, batzuetan erregistro zenbakia). Hoien ingurumendu GDPR-ari dagokie araua (EU) n°2016/679 (GDPR). AC-k batez bestean definitu behar ditu kontserbazio-denbora, titularrak informatu eta beren eskubideak exercitu ahalbidetzen ditu. Ziertifikatu baliozgabetzea titulaeren eskariketan egon daiteke (e-ren eskubidearen praktikako egitasmoa baliozgabetzean mugen tartean).

Erantzuketa eta egingarri mehatxua

PKI ez-ondo kudeaketak enpresen egingarri mehatxua sortzen du: sinaduren balio frogaztatzailearen entzute-galeran kontestan, sinadura egiaztatzearen adina iraunpen amaieran, ondorenez gako pribaturik konpromisoan adina enpresen hornigazti-erantzuketa. 13. artikulua eIDAS-en zehasten du PSCQ-en erantzuketa biltzen dute kontrakoa frogatu dute, beren obligazioetan manfaltzeetan.

Erabileraren eszenarioak: PKI alean enpresetan

Eszenarioa 1 — 25 laginen abokatuetako kabinetea edukitzean

Kabinetea esperialista merkatari-egizkietan 150 batez bestean operazioak egiaztatzen ditu urtean, bakoitza hamar ehunetan dokumentu sinaturik (protokolo, aktzionista-paaktuak, aktibu-garantiak eta ezagutasun). Aurretik, paperezko sinaduraren bilketa denborak zertxobait 5 eta 8 egun kalendarizek luzetzen zuten.

Sinadura kalifikatuaren soluzio batean enplematzean PKI kalifikatuarekin oinarrituta, kabineta zuzendari eta laginen baimendu baten ziertifikat X.509 kalifikatua QSCD-n emisioa. Sinadura baka automatikora egiaztatua (OCSP), denbora-seinaela eta osoan PAdES-LTA formatura. Emaitza: closing sinadura faserako 24 ordutik beheran jaisten da, eta balio-probatzaile gehiena bermea ez-lana eginarik gabe. Kabineteak tamaña horretarako batez bestean paperaren administratiboa 70% gutxigoa dute, sektore-neurri arabera (Abokatuetako Федерциони Наziонала Аунтак, 2025).

Eszenarioa 2 — Horniduraren kontratua 300etan urtean industriala PME

Enpresa manufakturatzaile batean batez bestean (250 langile ingurua) kontratu-markoa, abenduak eta bidaiarren emisioak baimendu berri honetan horniduraren ehunetan. Geografiko sakabanatzea eta hizkera-sabaiantzeak biltze-paperan batez bestean aroa zuten.

Sinadura elektroniko aurreratuaren fluxua (AdES) bidez API konektatua bere ERP-ra, PKI-k automatikora ziertifikatuak egiaztatuz horniduraren aldetik (eIDAS Trusted Lists bakoitzean Estaturik), denbora-seinalearen bidez eta froga-fitxategiak konstituzio. Zerbitzua iruzkina baimendu 60% gutxigoa duten sinaduren bilketak eta kontratua litijio gutxigoa deskribaturik dokumentu-bertsio sinaduraren desadostasuna. Sinadura kostu batean 12 € (paperean argitalpena, bidaltze, paperezko biltegiratzea) gainditzen du 1,50 € gutxitan fluxu digitalean, Markess by Exaegis argitaratutako oharduaren arabera paper-eta-tintaren kudeaketan 2025.

Eszenarioa 3 — 1.200 ohe-osoa ospetalezako elkartea

Osasun-sektoreetan administratibo-ekintza eta publiken merkataio kodea eIDAS araua bete behar dute eta ANSSI gomendioak sentsibilitatearen sistemas. Ospetalezako elkarteak hainbat erreplikatu hainbat merkatzaio, abendua eta lantalea egiten dute urtean.

Barne PKI saihestea (AC-ak pertsonaletara, ziertifikatuak CPS kartel osasungintza lantalea) SaaS soluzio merkataiotik sinadura konektua eIDAS-en eta NIS2 araudiaren obligazioak betetzea ahalbidetzen du (transposizioa frankeriako legea n°2024-449 2024ko maiatzaren 21ean) zenbaki-arriskuaren kudeaketa neuritzen zerbitzatzen. Trazeabilitatez osoaren sinaduretatik, ziertifikatuak egiaztatze realean eta dokumentua kontserbazio LTA-n sinaduretatik, entzute-galeratu ekintzen arriskua gutxiegi eta laguntza auditan Autonomi-adiskula kontuak laguntzen. Sektorearen erreplikakoak batez bestean paperaren galeran 40 eta 50% bitartean biltegian bakarrean legez datuen arabera ANAP (Errendimendu laguntza agentziah, berritua 2024).

Ondorioetan

PKI — eremu publikoak gako-infraestrukturaak — ez da bakarrik gailu teknikua: kriptografi-barmaketa digitalen konfiantza eta legedia da. Bere osagaiak (AC, X.509 ziertifikatuak, OCSP, denbora-seinalea kualifikatua) sistema koherente bat osatzen dute zure sinaduren autentikotasuna, integritatea eta ez-ezeztatzea aseguratuz, eIDAS-en eta Frantseseko Zibil Kodearen arabera nahita dena. PME, abokatuetako kabinetea edo ospe-erakunde baten bereala, PKI-ren oinarrizko ezagutzera ikasiz, zure entzute-jokearen soluzio egokia aukeratu dezakezu — eta bere balio frogaztatzailea litiji-kasu batean defendatu daitekezu.

Certyneo eIDAS-en araberako PKI kalifikatuetan oinarritzen da sinadura elektroniko aurreratua eta kualifikatua enpresen entregatze. Sortu zure kontua doakoa edo aurkitu gure tarifak zure dokumental bilakaera gaur nola hasteko.