En los últimos meses se ha vuelto difícil encontrar un anuncio o propaganda sobre productos de seguridad y soluciones globales seguras para su empresa que no incluya alguna referencia a PKI. Las infraestructuras de clave pública (PKI en inglés) se están poniendo de moda. +Es todo una nueva palabra mágica en labios de sonrientes comerciales? ¿Qué hay detrás de las PKI? ¿Qué significa PKI exactamente?
PKI se basa en la criptografía de clave pública, cuyos orígenes se remontan al artículo seminal de Diffie y Hellman en 1976, donde se explica la idea revolucionaria de servirse para las operaciones criptográficas de una pareja de claves, una pública, conocida por todos, y otra privada, sólo conocida por el usuario a quien le es asignada. Un mensaje puede ser cifrado por cualquier persona usando la clave pública, ya que es públicamente conocida, aunque sólo el poseedor de la clave privada podrá descifrarlo. Recíprocamente, un mensaje cifrado con la clave privada sólo puede ser cifrado por su poseedor, mientras que puede ser descifrado por cualquiera que conozca la clave poblica.
Estas propiedades de que goza la criptograf¡a de clave poblica, cuyo uso m s comon se plasma en la firma digital, la convierten en candidata ideal para prestar servicios como la autenticaci¢n de usuarios (para asegurarse de la identidad de un usuario, bien como signatario de documentos o para garantizar el acceso a servicios distribuidos en red, ya que s¢lo ‘l puede conocer su clave privada, evitando as¡ la suplantaci¢n), el no repudio (para impedir que una vez firmado un documento el signatario se retracte o niegue haberlo redactado), la integridad de la informaci¢n (para prevenir la modificaci¢n deliberada o accidental de los datos firmados, durante su transporte, almacenamiento o manipulaci¢n), la auditabilidad (para identificar y rastrear las operaciones, especialmente cuando se incorpora el estampillado de tiempo), y el acuerdo de claves secretas para garantizar la confidencialidad de la informaci¢n intercambiada, est’ firmada o no. ¨Desea proporcionar todos estos servicios de seguridad en su empresa? PKI puede ser la respuesta.
Ahora bien, +c¢mo podemos estar seguros de que la clave poblica de un usuario, que hemos encontrado por ejemplo en un directorio o una p gina web, corresponde realmente a ese individuo y no ha sido falsificada por otro? ¨C¢mo fiarnos de esa clave poblica antes de confiarle algon secreto nuestro? La soluci¢n m s ampliamente adoptada consiste en recurrir a una tercera parte confiable, erigida en la figura de una autoridad de certificaci¢n (AC). La funci¢n b sica de una AC reside en verificar la identidad de los solicitantes de certificados, crear los certificados y publicar listas de revocaci¢n cuando ‘stos son inutilizados. El certificado contiene de forma estructurada informaci¢n acerca de la identidad de su titular, su clave poblica y la AC que lo emiti¢. Actualmente, el est ndar al uso es el X.509.v3.
Con el tiempo, una autoridad de certificaci¢n puede verse f cilmente desbordada si cubre un rea geogr fica muy extensa o muy poblada, por lo que a menudo delega en las llamadas autoridades de registro (AR) la labor de verificar la identidad de los solicitantes. Las AR pueden abrir multitud de oficinas regionales dispersas por un gran territorio, llegando hasta los usuarios en los sitios m s remotos, mientras que la AC se limitar¡a as¡ a certificar a todos los usuarios aceptados por las AR dependientes de ella. Gracias a esta descentralizaci¢n se agiliza el proceso de certificaci¢n y se aumenta la eficacia en la gesti¢n de solicitudes.
En definitiva, una PKI incluir una o varias autoridades de registro para certificar la identidad de los usuarios; una o varias autoridades de certificaci¢n que emitan los certificados de clave poblica; un repositorio de certificados, accesible v¡a web u otro medio, donde se almacenen los certificados; las listas de revocaci¢n de certificados (CRL), donde se listan los certificados suspendidos o revocados; y, por supuesto, los propios certificados.
Gonzalo -lvarez Mara_¢n
criptonomicon@iec.csic.es
Bolet¡n Criptonomic¢n #57
http://www.iec.csic.es/criptonomicon
