Infraestructura de clave pública (PKI) rige la emisión de certificados digitales para proteger datos sensibles, proporcionar identidades digitales únicas a usuarios, dispositivos y aplicaciones y asegurar las comunicaciones de extremo a extremo.
Definición de PKI: Resumen del funcionamiento de la PKI
La PKI gestiona la seguridad mediante el cifrado asimétrico, que implica una clave pública que cualquiera (persona, dispositivo o aplicación) puede utilizar para cifrar un mensaje y una privada que sólo una persona (o dispositivo o aplicación) debe poder utilizar para descifrar esos mensajes.
La PKI gobierna las claves de cifrado mediante la emisión y gestión de certificados digitales que verifican el propietario de una clave privada. Los certificados son como un carné de conducir o un pasaporte para el mundo digital. Este enfoque ayuda a mantener la seguridad al proteger contra un "hombre en el medio" que se hace pasar por otra persona e intercepta mensajes, los descifra, los cambia y luego los vuelve a cifrar para el destinatario previsto.
Aunque PKI surgió por primera vez en la década de 1990, se ha disparado desde entonces. La PKI es más importante -y complicada- que nunca en el mundo digital actual, ya que ahora existen millones de aplicaciones y dispositivos conectados que requieren certificados digitales para mantener la seguridad de las comunicaciones en línea.
Ejemplos comunes de PKI en la actualidad son SSL/TLS certificados en sitios web para que los visitantes sepan que están enviando información al destinatario previsto, firmas digitales y autenticación para dispositivos de la Internet de las Cosas.
El ABC de la PKI: definición de los principales términos de PKI que debe conocer
¿Está preparado para profundizar en todo lo relacionado con PKI? Haga clic aquí para obtener La guía definitiva de PKIque proporciona una visión en profundidad de lo que es la PKI, cómo funciona, por qué es tan importante en la era digital actual, los retos más comunes que resuelve y los casos de uso más comunes.
Presentación de La guía definitiva de PKI
Entablar una conversación sobre PKI puede ser una especie de sopa de letras si no está familiarizado con los términos implicados. Para ayudarle a navegar mejor por estos recursos, aquí tiene una lista completa de términos y definiciones que debe conocer en relación con la PKI.
Cifrado simétrico
Cifrado simétrico utiliza permutaciones matemáticas para cifrar un mensaje en texto plano. Se utiliza la misma clave para cifrar y descifrar estos mensajes. Descifrar mensajes es extremadamente difícil sin la clave, pero el hecho de que se utilice la misma clave para cifrar y descifrar crea un riesgo de distribución, ya que cualquiera que intercepte la clave durante la transmisión puede comprometer el sistema de comunicaciones seguras.
Cifrado asimétrico
El cifrado asimétrico resuelve el riesgo de transmisión del cifrado simétrico creando dos claves distintas: una pública (que puede compartirse con cualquiera) para cifrar mensajes y otra privada (que sólo debe conocer el destinatario) para descifrarlos. El cifrado asimétrico también permite verificar una identidad digital mediante el uso de firmas digitales, en las que el propietario de la clave privada cifra una "firma" con esa clave privada, que luego cualquiera puede verificar mediante el uso de la clave pública correspondiente.
Clave de cifrado
Una clave de cifrado se genera mediante algoritmos matemáticos avanzados y se utiliza para cifrar y descifrar mensajes tanto en el cifrado simétrico como en el asimétrico. Por ejemplo, el cifrado asimétrico actual suele utilizar una de las tres propiedades más populares para generar claves de cifrado: RSA, ECC y Diffie-Hellman. Cada uno utiliza algoritmos distintos, pero todos se basan en los mismos principios básicos para que sea relativamente fácil calcular la clave pública a partir de la privada, pero casi imposible calcular la privada a partir de la pública. Por ejemplo, el algoritmo RSA de 2048 bits genera aleatoriamente dos números primos de 1024 bits cada uno y los multiplica. La respuesta a esa ecuación es la clave pública, mientras que los dos números primos que crearon la respuesta son la clave privada.
Firma digital
A firma digital es una forma de verificar la autenticidad mediante el uso de un identificador digital único. Las firmas digitales se basan en el cifrado asimétrico, ya que el propietario de una clave privada puede utilizarla para firmar digitalmente un mensaje. A continuación, terceros pueden utilizar la clave pública correspondiente para verificar la firma y confirmar que el mensaje no ha sido modificado en tránsito, lo que haría fallar la verificación. Las firmas digitales también ofrecen no repudio, ya que los firmantes no pueden negar su firma.
Hash
A hash es similar a una huella digital y se utiliza habitualmente en firmas digitales y para garantizar que los datos no han sido manipulados. En concreto, es un algoritmo unidireccional que se utiliza para convertir un valor en otro con el fin de enmascarar información mediante un resultado matemático. Entre los algoritmos hash seguros que se utilizan a menudo hoy en día se encuentran SHA-1, SHA-2 (SHA-256, SHA-512) y MD5.
Certificado digital
A certificado digital confirma la identidad de personas, dispositivos o aplicaciones que poseen claves privadas y las correspondientes claves públicas. En pocas palabras, es como un carné de conducir o un pasaporte para el mundo digital y suele presentarse a alguien (o algo) para su validación. Los certificados digitales contienen información sobre una persona o entidad, son emitidos por un tercero de confianza y pueden rastrearse hasta ese emisor. También son resistentes a las manipulaciones, contienen información que demuestra su autenticidad y tienen fecha de caducidad.
Autoridad de certificación (CA)
Las Autoridades de Certificación crean certificados digitales y son propietarias de las políticas, prácticas y procedimientos de investigación de los destinatarios y de emisión de los certificados. Corresponde a los propietarios y operadores de una CA determinar los métodos de investigación de los destinatarios de los certificados, los tipos de certificados que emitirán, los parámetros contenidos en cada certificado y los procedimientos operativos y de seguridad. A partir de ahí, depende de los consumidores de certificados el grado de confianza que depositen en los certificados de una CA concreta.
Solicitud de firma de certificado (CSR)
A solicitud de firma de certificado es fundamental para el proceso de creación de certificados. La CSR registra información identificativa de una persona o dispositivo que posee una clave privada, así como información sobre la clave pública correspondiente. A continuación, el propietario de la clave debe firmar la CSR para demostrar la posesión de dicha clave privada. Por último, la CA emisora valida la solicitud y firma el certificado con su propia clave privada.
Jerarquía CA
Jerarquías de CA crean capas de confianza en las que las CA emiten certificados para otras CA. Este proceso no es circular, ya que en última instancia hay una CA raíz que emite y firma sus propios certificados. Las jerarquías de CA suelen tener dos niveles con el siguiente aspecto: Autoridad de certificación raíz → Autoridades de certificación subordinadas → Certificados de entidad final. Este tipo de jerarquía proporciona un nivel de seguridad suficiente para garantizar la validez de los certificados que se emiten sin crear demasiadas capas que dificulten la escalabilidad.
CA raíz
A CA raíz emite certificados para otras CA, pero también emite sus propios certificados (que son autofirmados), ya que se encuentra en la parte superior de la jerarquía de CA. Como resultado, la gente debe confiar intrínsecamente en la CA raíz para confiar en cualquier certificado que se remonte a ella, lo que hace que la seguridad de las CA raíz sea absolutamente esencial. De hecho, no hay forma de revocar un certificado raíz, por lo que si una CA raíz se ve comprometida, la organización debe hacer pública esa brecha de seguridad. Para alcanzar el nivel de seguridad necesario, las CA raíz deben estar desconectadas el 99,9% del tiempo, y sólo se conectan para crear claves públicas, claves privadas y nuevos certificados, así como para garantizar que su propio material de claves sigue siendo legítimo y no se ha visto dañado o comprometido de ningún modo.
CA subordinada o Autoridad de Registro (AR)
A CA subordinada (también conocida como Autoridad de Registro) se sitúa por debajo de las CA raíz en la jerarquía de CA. Estas CA emiten certificados con regularidad, por lo que es difícil que permanezcan fuera de línea con tanta frecuencia como las CA raíz. Sin embargo, las CA subordinadas tienen la capacidad de revocar certificados, por lo que es más fácil recuperarse de cualquier fallo de seguridad que se produzca (a diferencia de las CA raíz, que no pueden revocar certificados).
Certificado de entidad final
Un certificado de entidad final se sitúa en la parte inferior de la jerarquía de CA y no puede utilizarse para firmar ningún otro certificado. Las personas, las aplicaciones y los dispositivos que necesitan certificados para verificar identidades y comunicarse utilizan certificados de entidad final para ello.
Base de datos de certificados
A base de datos de certificados alberga información sobre todos los certificados emitidos por una CA, incluyendo a quién pertenece el certificado, cuándo expira y su estado actual. Las CA deben revisar periódicamente su base de datos de certificados para garantizar su validez y gestionar las revocaciones.
Lista de revocación de certificados (CRL)
A Lista de revocación de certificados contiene información sobre cualquier certificado que haya sido revocado por una CA subordinada debido a que el propio certificado o el sistema en general se hayan visto comprometidos. Las CA están obligadas a publicar las CRL, pero depende de los consumidores de certificados si comprueban estas listas y cómo responden si un certificado ha sido revocado. En muchos casos, los consumidores de certificados no comprueban las CRL (o no recorren toda la jerarquía de CA para comprobar las CRL) porque hacerlo ralentiza el proceso de autenticación, ya que requiere descargar una lista de todos los certificados y comprobar el estado de revocación de uno en concreto.
Protocolo de estado de certificados en línea (OCSP)
Protocolo de estado de certificados en línea ofrece una forma más rápida de comprobar el estado de un certificado en comparación con la descarga de una CRL. Con OCSP, el consumidor de un certificado puede enviar una solicitud a la CA emisora para obtener el estado de un certificado específico.
Certificados raíz de confianza
Certificados raíz de confianza son certificados en los que confía automáticamente un dispositivo o sistema operativo basándose en datos preestablecidos. El concepto de certificados raíz de confianza surgió cuando se generalizó el uso de certificados. Dado que hoy en día todos los dispositivos y sistemas en línea necesitan interactuar con certificados, los certificados raíz de confianza hacen que ciertas interacciones sean más eficientes.
Tienda raíz de confianza
A almacén raíz de confianza alberga todos los certificados raíz de confianza de un dispositivo o sistema operativo específico. Por ejemplo, todos los ordenadores Microsoft tienen un almacén raíz de confianza. Cada dispositivo y sistema operativo viene con un almacén raíz de confianza preestablecido, pero los propietarios de las máquinas pueden establecer reglas para confiar en certificados adicionales o para no confiar en certificados que estaban preestablecidos como de confianza.
Normas de criptografía de clave pública (PKCS)
Normas de criptografía de clave pública promueven el uso de técnicas criptográficas estándar en los programas PKI. Estas normas son definidas y publicadas por RSA Security LLC e incluyen técnicas como PKCS 7, PKCS 10, PKCS 11 y PCKS 12, que cubren aspectos como la sintaxis de mensajería y el formato de los certificados digitales y cómo se almacenan las claves privadas.
