Certificado de cifrado de correo electrónico y firma

La firma y el cifrado basados en PKI funcionan de esta manera (en el correo electrónico y en cualquier otra aplicación):

• Cuando firma los datos, necesita acceder a la clave privada
• Cuando valide los datos firmados, necesita acceder a la clave pública
• Cuando encripta los datos, necesita la clave pública
• Cuando desencripta los datos, necesita acceder a la clave privada .

Ahora, un certificado (X509) es un conjunto de datos que contiene (en su mayoría):

• Información de identidad
• Información de limitación de uso
• Datos de clave pública
• Firma digital de todo lo anterior por parte de una autoridad de certificación (para permitir a terceros que decidan si confían o no en esta información).

Entonces:

• Para cifrar los datos, todo lo que necesita es la clave pública que coincida con la clave privada que se utilizará para el descifrado. En el caso del correo electrónico, eso significa acceso al certificado del destinatario (y no la propia clave privada).
• Para descifrar datos, siempre necesita acceder a la mitad privada de la clave utilizada para cifrarlos. En el caso del correo electrónico, significa que necesita acceso a la clave privada vinculada a la clave pública contenida en el certificado del destinatario.

En el caso de cifrado, no necesita ni nunca necesita acceder a ninguna parte de las claves que pertenecen a la parte que envía. De hecho, no es necesario que tenga su propio certificado o par de claves para realizar el cifrado de correo electrónico.

Solo se requiere un certificado personal cuando pretende firmar datos o permitir que otros le envíen datos cifrados.