La Infraestructura de Clave Pública (PKI) rige la emisión de certificados digitales para proteger datos sensibles, proporcionar identidades digitales únicas para usuarios, dispositivos y aplicaciones, y asegurar las comunicaciones de extremo a extremo.
Definición de PKI: Resumen de cómo funciona la PKI
La PKI gestiona la seguridad mediante el cifrado asimétrico, que implica una clave pública que cualquier persona (persona, dispositivo o aplicación) puede utilizar para cifrar un mensaje y una clave privada que solo una persona (o dispositivo o aplicación) debería poder utilizar para descifrar esos mensajes.
La PKI rige las claves de cifrado mediante la emisión y gestión de certificados digitales que verifican al propietario de una clave privada. Los certificados son como una licencia de conducir o un pasaporte para el mundo digital. Este enfoque ayuda a mantener la seguridad al proteger contra un “hombre en el medio” que se hace pasar por otra persona e intercepta mensajes, los descifra, los modifica y luego los vuelve a cifrar para el destinatario previsto.
Aunque la PKI surgió por primera vez en la década de 1990, desde entonces ha experimentado una expansión exponencial. En el mundo digital actual, la PKI es más importante —y compleja— que nunca, ya que millones de aplicaciones y dispositivos conectados requieren ahora certificados digitales para mantener la seguridad de las comunicaciones en línea.
Ejemplos comunes de PKI en la actualidad son los certificados SSL/TLS en sitios web, para que los visitantes sepan que están enviando información al destinatario previsto, así como las firmas digitales y la autenticación para dispositivos del Internet de las Cosas.
El ABC de la PKI: Definiendo los principales términos de PKI que debe conocer
¿Listo para profundizar en todo lo relacionado con la PKI? Haga clic aquí para obtener La Guía Definitiva de PKI, que ofrece una visión exhaustiva de qué es la PKI, cómo funciona, por qué es tan importante en la era digital actual, los desafíos comunes que resuelve y los casos de uso habituales de la PKI.
Presentamos La Guía Definitiva de PKI
Abordar una conversación sobre PKI puede resultar confuso si no se está familiarizado con los términos implicados. Para ayudarle a navegar mejor por estos recursos, aquí tiene una lista completa de términos y definiciones que debe conocer en relación con la PKI.
Cifrado simétrico
El cifrado simétrico utiliza permutaciones matemáticas para cifrar un mensaje de texto sin formato. La misma clave se emplea tanto para cifrar como para descifrar estos mensajes. Descifrar mensajes es extremadamente difícil sin la clave, pero el hecho de que se utilice la misma clave para el cifrado y el descifrado crea un riesgo de distribución, ya que cualquiera que intercepte la clave durante la transmisión puede comprometer el sistema de comunicaciones seguras.
Cifrado asimétrico
El cifrado asimétrico resuelve el riesgo de transmisión del cifrado simétrico mediante la creación de dos claves diferentes: una clave pública (que puede compartirse con cualquiera) para cifrar mensajes y una clave privada (que solo debe conocer el destinatario) para descifrarlos. El cifrado asimétrico también permite verificar una identidad digital mediante el uso de firmas digitales, en las que el propietario de la clave privada cifra una "firma" con esa clave privada, que cualquiera puede verificar posteriormente mediante el uso de la clave pública correspondiente.
Clave de cifrado
Una clave de cifrado se genera mediante algoritmos matemáticos avanzados y se utiliza para cifrar y descifrar mensajes tanto en el cifrado simétrico como en el asimétrico. Por ejemplo, el cifrado asimétrico actual suele utilizar una de tres propiedades populares para generar claves de cifrado: RSA, ECC y Diffie-Hellman. Cada una utiliza algoritmos diferentes, pero todas se basan en los mismos principios básicos para que sea relativamente fácil calcular la clave pública a partir de la clave privada, pero casi imposible calcular la clave privada a partir de la clave pública. Tomando como ejemplo el algoritmo RSA de 2048 bits, este genera aleatoriamente dos números primos de 1024 bits cada uno y luego los multiplica. La respuesta a esa ecuación es la clave pública, mientras que los dos números primos que crearon la respuesta son la clave privada.
Firma digital
Una firma digital es una forma de verificar la autenticidad mediante el uso de un identificador digital único. Las firmas digitales se basan en el cifrado asimétrico, ya que el propietario de una clave privada puede utilizarla para firmar digitalmente un mensaje. Terceros pueden utilizar la clave pública correspondiente para verificar la firma y confirmar que el mensaje no fue modificado en tránsito, lo que provocaría que la verificación fallara. Las firmas digitales también ofrecen no repudio, ya que los firmantes no pueden negar su firma.
Hash
Un hash es similar a una huella digital y se utiliza comúnmente en firmas digitales y para asegurar que los datos no han sido manipulados. Específicamente, es un algoritmo unidireccional utilizado para convertir un valor en otro para enmascarar información a través de una salida matemática. Los algoritmos de hash seguros que se utilizan a menudo hoy en día incluyen SHA-1, SHA-2 (SHA-256, SHA-512) y MD5.
Certificado digital
Un certificado digital confirma la identidad de personas, dispositivos o aplicaciones que poseen claves privadas y las claves públicas correspondientes. En resumen, es como una licencia de conducir o un pasaporte para el mundo digital y a menudo se presenta a alguien (o algo) para su validación. Los certificados digitales contienen información sobre un individuo o entidad, son emitidos por un tercero de confianza y pueden rastrearse hasta ese emisor. También son resistentes a la manipulación, contienen información para probar su autenticidad y tienen una fecha de caducidad.
Autoridad de Certificación (CA)
Las Autoridades de Certificación crean certificados digitales y son propietarias de las políticas, prácticas y procedimientos para verificar a los destinatarios y emitir los certificados. Corresponde a los propietarios y operadores de una CA determinar los métodos de verificación para los destinatarios de los certificados, los tipos de certificados que emitirán, los parámetros contenidos en cada certificado y los procedimientos de seguridad y operaciones. Luego, corresponde a los consumidores de certificados decidir cuánta confianza depositar en los certificados de una CA específica.
Solicitud de Firma de Certificado (CSR)
Una Solicitud de Firma de Certificado es fundamental para el proceso de creación de certificados. La CSR registra información de identificación de una persona o dispositivo que posee una clave privada, así como información sobre la clave pública correspondiente. El propietario de la clave debe firmar la CSR para demostrar la posesión de esa clave privada. Finalmente, la CA emisora valida la solicitud y firma el certificado con su propia clave privada.
Jerarquía de CA
Las jerarquías de CA crean capas de confianza en las que las CA emiten certificados para otras CA. Este proceso no es circular, ya que en última instancia existe una CA raíz que emite y firma sus propios certificados. Las jerarquías de CA suelen tener dos niveles que se estructuran de la siguiente manera: Autoridad de Certificación Raíz → Autoridades de Certificación Subordinadas → Certificados de Entidad Final. Este tipo de jerarquía proporciona un nivel de seguridad suficiente para garantizar la validez de los certificados emitidos sin crear demasiadas capas que dificulten la escalabilidad.
CA Raíz
Una CA raíz emite certificados a otras CA, pero también emite sus propios certificados (que son autofirmados), ya que se sitúa en la cúspide de una jerarquía de CA. Como resultado, las personas deben confiar intrínsecamente en la CA raíz para confiar en cualquier certificado que se remonte a ella, lo que hace que la seguridad de las CA raíz sea absolutamente esencial. De hecho, no hay forma de revocar un certificado raíz, por lo que si una CA raíz se ve comprometida, la organización debe hacer pública esa brecha de seguridad. Para alcanzar el nivel de seguridad necesario, las CA raíz deberían estar desconectadas el 99,9% del tiempo, conectándose solo para la creación de claves públicas, claves privadas y nuevos certificados, así como para asegurar que su propio material de clave sigue siendo legítimo y no ha sido dañado o comprometido de ninguna manera.
CA subordinada o Autoridad de Registro (RA)
Una CA subordinada (también conocida como Autoridad de Registro) se sitúa por debajo de las CA raíz en la jerarquía de CA. Estas CA emiten certificados regularmente, lo que dificulta que permanezcan desconectadas con la misma frecuencia que las CA raíz. Sin embargo, las CA subordinadas tienen la capacidad de revocar certificados, lo que facilita la recuperación de cualquier brecha de seguridad que ocurra (a diferencia de las CA raíz, que no pueden revocar certificados).
Certificado de Entidad Final
Un certificado de entidad final se sitúa en la parte inferior de la jerarquía de CA y no puede utilizarse para firmar otros certificados. Las personas, aplicaciones y dispositivos que requieren certificados para verificar identidades y comunicarse utilizan certificados de entidad final para hacerlo.
Base de Datos de Certificados
Una base de datos de certificados almacena información sobre todos los certificados emitidos por una CA, incluyendo quién posee el certificado, cuándo expira y su estado actual. Las CA deben revisar su base de datos de certificados regularmente para garantizar la validez y gestionar las revocaciones.
Lista de Revocación de Certificados (CRL)
Una Lista de Revocación de Certificados contiene información sobre cualquier certificado que haya sido revocado por una CA subordinada debido a compromisos del propio certificado o del sistema en general. Las CA están obligadas a publicar CRLs, pero depende de los consumidores de certificados si consultan estas listas y cómo responden si un certificado ha sido revocado. En muchos casos, los consumidores de certificados no consultan las CRLs (o no recorren toda la jerarquía de CA al consultar las CRLs) porque hacerlo ralentiza el proceso de autenticación, ya que requiere descargar una lista de todos los certificados y verificar el estado de revocación de uno específico.
Protocolo de Estado de Certificado en Línea (OCSP)
El protocolo de estado de certificado en línea ofrece una forma más rápida de verificar el estado de un certificado en comparación con la descarga de una CRL. Con OCSP, el consumidor de un certificado puede enviar una solicitud a la CA emisora para obtener el estado de un certificado específico.
Certificados Raíz de Confianza
Los certificados raíz de confianza son certificados que un dispositivo o sistema operativo confía automáticamente basándose en entradas preestablecidas. El concepto de certificados raíz de confianza surgió a medida que el uso de certificados se generalizó. Dado que cada dispositivo y sistema que se conecta hoy en día necesita interactuar con certificados, los certificados raíz de confianza hacen que ciertas interacciones sean más eficientes.
Almacén de Raíces de Confianza
Un almacén de raíces de confianza almacena todos los certificados raíz de confianza dentro de un dispositivo o sistema operativo específico. Por ejemplo, todos los ordenadores Microsoft tienen un almacén de raíces de confianza. Cada dispositivo y sistema operativo viene con un almacén de raíces de confianza preestablecido, pero los propietarios de las máquinas pueden establecer reglas para confiar en certificados adicionales o para no confiar en certificados que fueron preestablecidos como de confianza.
Estándares de Criptografía de Clave Pública (PKCS)
Los Estándares de Criptografía de Clave Pública promueven el uso de técnicas de criptografía estándar dentro de los programas PKI. Estos estándares son definidos y publicados por RSA Security LLC e incluyen técnicas como PKCS 7, PKCS 10, PKCS 11 y PKCS 12, que cubren aspectos como la sintaxis de los mensajes y el formato de los certificados digitales, así como la forma en que se almacenan las claves privadas.
