Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Universidad Nacional Autónoma de México Facultad de Ingeniería Criptografía Grupo: 02 - Semestre: 2023-2 Tarea: Lectura PKI. Fecha de entrega: 09/05/2023 Profesora: Dra. Rocío Alejandra Aldeco Pérez Alumno: Téllez González Jorge Luis Facultad de Ingeniería Criptografía______________________________________________________________________________________________________________ Introducción La seguridad de la información es fundamental en cualquier tipo de comunicación, especialmente en entornos digitales donde los datos pueden ser interceptados por terceros malintencionados. El cifrado es una herramienta efectiva para proteger la privacidad de los mensajes, pero… ¿cómo podemos estar seguros de la identidad de las personas que participan en la comunicación? Es aquí donde entra en juego la Infraestructura de Clave Pública (PKI, por sus siglas en inglés). La PKI es un sistema que involucra a terceros con�ables que veri�can la identidad de los participantes y emiten certi�cados digitales que permiten comprobar la autenticidad de las claves públicas utilizadas en la comunicación. En este resumen, exploraremos los componentes de una PKI a nivel general y cómo funciona para garantizar la seguridad y autenticidad en las comunicaciones digitales. Figura 1. Esquema básico de una PKI. Desarrollo Autoridades Certi�cadoras (CA) Una Autoridad Certi�cadora (CA, por sus siglas en inglés) se re�ere a un tercero de con�anza responsable de validar la identidad de una persona u organización para la emisión de un certi�cado digital que contiene la clave pública del sujeto. Una vez veri�cada la identidad, el servidor de certi�cados genera el certi�cado digital y lo �rma digitalmente con la clave privada del CA. Es importante leer cuidadosamente el documento de prácticas de 2 Facultad de Ingeniería Criptografía______________________________________________________________________________________________________________ certi�cación (CPS) de una CA antes de utilizar sus servicios, ya que éste describe cómo se con�rman las identidades y cómo se mantienen y transmiten los certi�cados digitales. Autoridades de Registro (RA) La Autoridad de Registro (RA) es el componente de una PKI responsable de aceptar solicitudes de certi�cados digitales y autenticar a la persona u organización que realiza la solicitud. El proceso de autenticación depende de la clase de certi�cado que se solicite: ● Clase 1: Veri�ca la identidad de un individuo a través del correo electrónico y se utiliza para �rmar mensajes de correo electrónico. Requiere una dirección de correo electrónico, nombre completo y dirección física. También guía al solicitante en la creación de un par de claves pública/privada. ● Clase 2: Utilizado para �rmar software y permitir que los usuarios veri�quen la autenticidad del proveedor de software. ● Clase 3: Proporcionado a empresas que desean establecer su propia autoridad de certi�cación. Una vez que se completa el proceso de validación, la RA transmite la solicitud a la CA, que la pasa al servidor de certi�cados (CS). El CS genera el certi�cado digital, incluyendo la información adecuada (incluida la clave pública del solicitante) y lo envía al solicitante. Repositorios de Certi�cados Una vez generados los certi�cados y las claves públicas correspondientes, estos se almacenan en un lugar público llamado repositorio de certificados. Estos repositorios son generalmente compatibles con el Protocolo de Acceso al Directorio Ligero (LDAP), lo que permite el acceso y la búsqueda de los repositorios de manera compatible con estándares abiertos. Por lo general, para cada entorno de PKI existe un repositorio de seguridad dedicado. Estructura de un Certi�cado Digital Los certi�cados digitales se estructuran de acuerdo con el estándar X.509, que establece los campos requeridos y los valores aceptables para cada campo. Los campos incluyen el nombre de la entidad emisora, la �rma digital de la entidad emisora, el número de versión, 3 Facultad de Ingeniería Criptografía______________________________________________________________________________________________________________ un número de serie único, el propietario del certi�cado, la clave pública del propietario, el período de validez, el uso del certi�cado y el algoritmo de �rma utilizado. También se pueden agregar datos personalizados mediante extensiones de certi�cado. Ciclo de vida de los Certi�cados y Manejo de Claves El ciclo de vida de un certi�cado consiste en una serie de eventos, que incluyen: Generación de claves: la creación del par de claves pública/privada asociado con el certi�cado. Solicitud de identidad: se envían las credenciales de la parte solicitante del certi�cado a la autoridad de certi�cación (CA). Registro: la solicitud de un nuevo certi�cado se registra en la CA. Certi�cación: se valida la identidad del solicitante y se genera un certi�cado �rmado digitalmente con la �rma digital de la CA. Distribución: el certi�cado es publicado por la CA. Uso: la parte solicitante utiliza el certi�cado para el propósito autorizado. Expiración: a menos que se renueve o revoque, el certi�cado expira según la fecha de vencimiento incorporada en el certi�cado al momento de su generación. Revocación: en cualquier momento antes de la expiración, el certi�cado puede ser revocado (por ejemplo, si se utiliza con �nes malintencionados o la clave privada se ve comprometida). Renovación: a solicitud del propietario, la CA puede renovar el certi�cado. Este proceso requiere la generación de un nuevo par de claves pública/privada. Suspensión: el certi�cado se suspende temporalmente, por ejemplo, si un usuario se toma una licencia sabática y no tiene previsto utilizar el certi�cado durante este período de tiempo. Recuperación: el proceso de recuperar el par de claves de una copia de seguridad en caso de corrupción (para cali�car para la recuperación, las claves deben considerarse aún con�ables y válidas). Destrucción: cuando las claves y el certi�cado expiran y ha pasado un período de tiempo adecuado para evitar recibir información cifrada utilizando las claves (un período conocido como el período de mantenimiento del historial de claves). 4 Facultad de Ingeniería Criptografía______________________________________________________________________________________________________________ Infraestructuras Centralizadas y Descentralizadas Los pares de claves en una PKI se generan de manera centralizada o descentralizada según la política de seguridad de una organización. Las claves almacenadas localmente son descentralizadas, mientras que las generadas por un servidor central son centralizadas. Estos enfoques no son mutuamente exclusivos y pueden combinarse en un entorno descentralizado. Métodos de certi�cación En términos generales, tradicionalmente ha habido tres enfoques para obtener esta con�anza: las autoridades de certi�cación (CA), la red de con�anza (WoT) y la infraestructura de clave pública simple (SPKI). Rol de una CA El papel de la Autoridad de Certi�cación (CA) es �rmar y publicar la clave pública de un usuario, y se utiliza la clave privada de la CA para establecer con�anza en la clave del usuario. La CA puede ser una Autoridad de Registro (RA) separada del usuario y del sistema. También se utiliza el término "tercera parte confiable" (TTP) para la CA. Según NetCraft, Symantec, Comodo y GoDaddy representan la mayoría de los certi�cados emitidos. Además, se describe un enfoque de certi�cados temporales y inicio de sesión único en el que un servidor emite certi�cados digitales al sistema del cliente sin almacenarlos. Esta solución se utiliza comúnmente con certi�cados basados en X.509. Red de Con�anza La red de con�anza es un enfoque alternativo para autenticar información de clave pública que utiliza certi�cados auto�rmados y a�rmaciones de terceros sobre esos certi�cados. El término "red de con�anza" no implica la existencia de una única red o punto común de con�anza, sino más bien de cualquier número de "redes de con�anza" potencialmentedisjuntas. PGP y GnuPG son ejemplos de implementaciones de este enfoque, que permiten el uso de �rmas digitales de correo electrónico para la auto publicación de información de clave pública, lo que hace que sea relativamente fácil implementar su propia red de con�anza. La red de con�anza permite interoperar con una Autoridad de Certi�cación (CA) totalmente con�able por todas las partes en un dominio, como una CA interna en una 5 Facultad de Ingeniería Criptografía______________________________________________________________________________________________________________ empresa, que esté dispuesta a garantizar certi�cados como un presentador de con�anza. La con�anza en un certi�cado otorga con�anza a todos los certi�cados en esa red. El concepto de red de con�anza fue propuesto por el creador de PGP, Phil Zimmermann, en 1992. Infraestructura de Clave Pública Simple Otra alternativa que no se ocupa de la autenticación pública de la información de clave pública es la infraestructura de clave pública simple (SPKI). SPKI no asocia a los usuarios con personas, ya que lo que se confía es la clave, no la persona. SPKI no utiliza ninguna noción de con�anza, ya que el veri�cador es también el emisor. Esto se llama "bucle de autorización" en la terminología de SPKI, donde la autorización es integral a su diseño. Este tipo de PKI es especialmente útil para hacer integraciones de PKI que no dependan de terceros para la autorización de certi�cados, información de certi�cados, etc. Un buen ejemplo de esto es una red sin conexión a Internet en una o�cina. PKI basada en Blockchain El enfoque emergente para la infraestructura de clave pública (PKI) es usar la tecnología blockchain asociada comúnmente con criptomonedas modernas. Usar una cadena de bloques resulta atractivo debido a que es altamente adecuada para el almacenamiento y gestión de claves públicas debido a su naturaleza distribuida e inalterable. Algunas criptomonedas permiten el almacenamiento de diferentes tipos de claves públicas (SSH, GPG, RFC 2230, etc.) y proporcionan software de código abierto que admite directamente PKI para servidores OpenSSH. Aunque la tecnología blockchain puede proporcionar una aproximación al "proof of work" que a menudo sustenta la con�anza en la PKI, existen problemas relacionados con la conformidad administrativa de la política, la seguridad operativa y la calidad de la implementación del software. Algunos ejemplos de PKI basados en blockchain son CertCoin, FlyClient y BlockQuick. Conclusiones Las Infraestructuras de Clave Pública son importantes para la seguridad en línea debido a su capacidad de garantizar la identidad y autenticidad de las partes que participan en una transacción. Sin embargo, también hay desafíos que enfrenta la PKI, como la complejidad del sistema y la necesidad de con�ar en terceros para garantizar la validez de los certi�cados en un esquema completamente centralizado. 6 Facultad de Ingeniería Criptografía______________________________________________________________________________________________________________ En este sentido, el enfoque emergente basado en la utilización de tecnología blockchain puede proporcionar una red descentralizada y resistente a fallos aprovechable para almacenar y gestionar claves públicas y certi�cados de forma segura y distribuida. Además, la inmutabilidad de los registros blockchain puede ayudar a prevenir la falsi�cación y garantizar la autenticidad de los certi�cados; situación que podría presentarse en los esquemas centralizados actuales en el caso de que una autoridad se vea vulnerada. Los avances de la cadena de bloques traen resultados interesantes, y es posible que en un futuro estos sistemas vean una implementación más generalizada conforme aumente la necesidad de establecer mecanismos de seguridad distribuida más resistentes y que no cuenten con un “talón de aquiles” en foma de entidades centralizadas sobre las que un sistema dependa para su funcionamiento y seguridad. 7
Compartir