Infraestructura de Clave Pública

Posted on by Rudeus Greyrat

La infraestructura de clave pública o PKI es el órgano rector detrás de la emisión de certificados digitales. Ayuda a proteger los datos confidenciales y otorga identidades únicas a usuarios y sistemas. Así, garantiza la seguridad en las comunicaciones.

La infraestructura de clave pública utiliza un par de claves: la clave pública y la clave privada para lograr la seguridad. Las claves públicas son propensas a los ataques y, por lo tanto, se necesita una infraestructura intacta para mantenerlas. 

Gestión de claves en el criptosistema:

La seguridad de un criptosistema se basa en sus claves. Por lo tanto, es importante que tengamos un sistema de gestión de claves sólido. Las 3 áreas principales de gestión de claves son las siguientes:

  • Una clave criptográfica es un dato que debe ser gestionado por una administración segura.
  • Se trata de gestionar el ciclo de vida clave que es el siguiente:

PKI Key Lifecycle

  • La gestión de claves públicas requiere además:
    • Mantener la clave privada en secreto: solo el propietario de una clave privada está autorizado a usar una clave privada. Por lo tanto, debe permanecer fuera del alcance de cualquier otra persona.
    • Asegurar la clave pública: las claves públicas están en el dominio abierto y se puede acceder a ellas públicamente. Cuando esta extensión de la accesibilidad pública, se vuelve difícil saber si una clave es correcta y para qué se utilizará. El propósito de una clave pública debe definirse explícitamente.

PKI o infraestructura de clave pública tiene como objetivo lograr la garantía de la clave pública. 

Infraestructura de Clave Pública:

La infraestructura de clave pública afirma el uso de una clave pública. PKI identifica una clave pública junto con su propósito. Por lo general, consta de los siguientes componentes:

  • Un certificado digital también llamado certificado de clave pública
  • Tokens de clave privada
  • Autoridad de Registro
  • Autoridad de certificación
  • CMS o sistema de gestión de Certificación

Trabajando en una PKI:

Entendamos el funcionamiento de PKI en pasos. 

  • PKI y cifrado: la raíz de PKI implica el uso de técnicas de cifrado y criptografía . Tanto el cifrado simétrico como el asimétrico utilizan una clave pública. El desafío aquí es: «¿cómo sabes que la clave pública pertenece a la persona correcta o a la persona a la que crees que pertenece?». Siempre existe el riesgo de MITM (Hombre en el medio). Este problema se resuelve mediante una PKI que utiliza certificados digitales. Otorga identidades a las claves para que la verificación de los propietarios sea fácil y precisa.
  • Certificado de Clave Pública o Certificado Digital: Los certificados digitales se emiten a personas y sistemas electrónicos para identificarlos de manera única en el mundo digital. Aquí hay algunas cosas notables sobre un certificado digital. Los certificados digitales también se denominan certificados X.509. Esto se debe a que se basan en el estándar ITU X.509.
    • La Autoridad de Certificación (CA) almacena la clave pública de un usuario junto con otra información sobre el cliente en el certificado digital. La información está firmada y también se incluye una firma digital en el certificado.
    • Entonces, la afirmación de la clave pública se recuperará mediante la validación de la firma utilizando la clave pública de la Autoridad de Certificación.
  • Autoridades certificadoras: una CA emite y verifica certificados. Esta autoridad se asegura de que la información en un certificado sea real y correcta y también firma digitalmente el certificado. Una CA o Autoridad de Certificación realiza estas funciones básicas :
    • Genera los pares de claves: este par de claves generado por la CA puede ser independiente o en colaboración con el cliente.
    • Emisión de certificados digitales: cuando el cliente proporciona correctamente los detalles correctos sobre su identidad, la CA emite un certificado para el cliente. Luego, CA firma además este certificado digitalmente para que no se puedan realizar cambios en la información.
    • Publicación de certificados – La CA publica los certificados para que los usuarios puedan encontrarlos. Pueden hacerlo publicándolos en un directorio telefónico electrónico o enviándolos a otras personas.
    • Verificación de certificado: la CA proporciona una clave pública que ayuda a verificar si el intento de acceso está autorizado o no.
    • Revocación – En caso de comportamiento sospechoso de un cliente o pérdida de confianza en él, la CA tiene la facultad de revocar el certificado digital.

Clases de un Certificado Digital:

Un certificado digital se puede dividir en cuatro grandes categorías. Estos son :

  • Clase 1: Se pueden obtener proporcionando únicamente la dirección de correo electrónico.
  • Clase 2: Estos necesitan más información personal.
  • Clase 3: Primero verifica la identidad de la persona que realiza una solicitud.
  • Clase 4: Son utilizados por organizaciones y gobiernos.

Proceso de creación de certificado:

La creación de un certificado se realiza de la siguiente manera:

  • Se crean claves públicas y privadas.
  • CA solicita atributos de identificación del propietario de una clave privada.
  • La clave pública y los atributos se codifican en una CSR o solicitud de firma de certificado.
  • El propietario de la clave firma ese CSR para demostrar la posesión de una clave privada.
  • CA firma el certificado después de la validación.

Creación de capas de confianza entre jerarquías de CA:

Cada CA tiene su propio certificado. Por lo tanto, la confianza se construye jerárquicamente donde una CA emite certificados a otras CA. Además, existe un certificado raíz autofirmado. Para una CA raíz, el emisor y el sujeto no son dos partes separadas sino una sola parte. 

Seguridad de la CA raíz:

Como vio anteriormente, la máxima autoridad es la CA raíz. Por lo tanto, la seguridad de la CA raíz es de gran importancia. Si no se cuida la clave privada de una CA raíz, podría convertirse en una catástrofe. Esto se debe a que cualquiera que se haga pasar por la CA raíz puede emitir certificados. Para cumplir con los estándares de seguridad, una CA raíz debe estar fuera de línea el 99,9 % del tiempo. Sin embargo, es necesario que esté en línea para crear claves públicas y privadas y para emitir nuevos certificados. Lo ideal es que estas actividades se realicen de 2 a 4 veces al año. 

Uso de PKI en la era digital actual:

Hoy en día, hay una enorme cantidad de aplicaciones que requieren autenticación. Se necesitan certificaciones en millones de lugares. Esto no se puede hacer sin una infraestructura de clave pública. La importancia de la PKI, según el caso de uso y las necesidades, ha evolucionado con el tiempo. Aquí hay una parte de esa pista. 

  • Por primera vez durante el período de 1995 a 2002, el uso de PKI se limitó a los certificados más importantes y de mayor valor. Esto incluía los certificados de sitios web de comercio electrónico que les permitían mostrar el icono de candado en la barra de búsqueda. El objetivo era hacer que los consumidores confiaran en la seguridad y la autenticidad de varios sitios web.
  • El segundo episodio de PKI surgió alrededor de 2003 a 2010 cuando las empresas entraron en escena. Fue en este momento que los empleados recibieron computadoras portátiles y el uso de teléfonos móviles fue en aumento. Por lo tanto, los empleados necesitaban acceder a los activos de la organización incluso fuera de la oficina. Fue entonces cuando el uso de PKI parecía la mejor forma de autenticación.
  • La tercera fase comenzó en 2011 y continúa hasta la fecha. Con la llegada de nuevas tecnologías como IoT (Internet de las cosas) y la necesidad de escalar PKI, el uso, así como los desafíos en el uso de PKI, han aumentado enormemente. En la actualidad, se emiten millones de certificados para autenticar el personal móvil. Sin embargo, administrar esta gran cantidad de certificados es bastante desafiante.
  • S/MIME, firma de documentos, código o firma de aplicaciones también utiliza PKI.

Desafíos que resuelve una PKI:

PKI debe su popularidad a los diversos problemas que resuelve. Algunos casos de uso de PKI son:

  • Protección de navegadores web y redes de comunicación mediante certificaciones SSL/TLS.
  • Mantenimiento de los Derechos de Acceso sobre Intranets y VPNs.
  • Cifrado de datos
  • Software firmado digitalmente
  • Acceso Wi-Fi Sin Contraseñas

Además de estos, uno de los casos de uso más importantes de PKI se basa en IoT (Internet de las cosas). Aquí hay dos industrias que están usando PKI para dispositivos IoT:

  • Fabricantes de automóviles: los automóviles en estos días tienen características como GPS, llamada de servicios, asistentes, etc. Estos requieren rutas de comunicación donde se pasan muchos datos. Hacer que estas conexiones sean seguras es muy importante para evitar que personas malintencionadas pirateen los automóviles. Aquí es donde entra PKI.
  • Fabricantes de dispositivos médicos: Los dispositivos como los robots quirúrgicos requieren una alta seguridad. Además, la FDA exige que cualquier dispositivo médico de próxima generación se pueda actualizar para que se puedan eliminar los errores y se puedan solucionar los problemas de seguridad. PKI se utiliza para emitir certificados a dichos dispositivos.

Desventajas de PKI:

  • Velocidad: Dado que PKI utiliza algoritmos supercomplejos para crear un par de claves seguras. Por lo tanto, eventualmente ralentiza el proceso y la transferencia de datos.
     
  • Compromiso de la clave privada: aunque la PKI no se puede piratear muy fácilmente, un hacker profesional puede piratear una clave privada, ya que la PKI usa la clave pública y privada para cifrar y descifrar datos, por lo que con la clave privada del usuario en la mano y la clave pública que es fácilmente disponible la información se puede descifrar fácilmente.

Publicación traducida automáticamente

Artículo escrito por shikha19b131014 y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *