TareaPKI_TGJL

Vista previa del material en texto

Universidad Nacional Autónoma de México
Facultad de Ingeniería
Criptografía
Grupo: 02 - Semestre: 2023-2
Tarea:
Lectura PKI.
Fecha de entrega: 09/05/2023
Profesora:
Dra. Rocío Alejandra Aldeco Pérez
Alumno:
Téllez González Jorge Luis
Facultad de Ingeniería Criptografía______________________________________________________________________________________________________________
Introducción
La seguridad de la información es fundamental en cualquier tipo de comunicación,
especialmente en entornos digitales donde los datos pueden ser interceptados por terceros
malintencionados. El cifrado es una herramienta efectiva para proteger la privacidad de los
mensajes, pero… ¿cómo podemos estar seguros de la identidad de las personas que
participan en la comunicación? Es aquí donde entra en juego la Infraestructura de Clave
Pública (PKI, por sus siglas en inglés). La PKI es un sistema que involucra a terceros
con�ables que veri�can la identidad de los participantes y emiten certi�cados digitales que
permiten comprobar la autenticidad de las claves públicas utilizadas en la comunicación. En
este resumen, exploraremos los componentes de una PKI a nivel general y cómo funciona
para garantizar la seguridad y autenticidad en las comunicaciones digitales.
Figura 1. Esquema básico de una PKI.
Desarrollo
Autoridades Certi�cadoras (CA)
Una Autoridad Certi�cadora (CA, por sus siglas en inglés) se re�ere a un tercero de
con�anza responsable de validar la identidad de una persona u organización para la emisión
de un certi�cado digital que contiene la clave pública del sujeto. Una vez veri�cada la
identidad, el servidor de certi�cados genera el certi�cado digital y lo �rma digitalmente con
la clave privada del CA. Es importante leer cuidadosamente el documento de prácticas de
2
Facultad de Ingeniería Criptografía______________________________________________________________________________________________________________
certi�cación (CPS) de una CA antes de utilizar sus servicios, ya que éste describe cómo se
con�rman las identidades y cómo se mantienen y transmiten los certi�cados digitales.
Autoridades de Registro (RA)
La Autoridad de Registro (RA) es el componente de una PKI responsable de aceptar
solicitudes de certi�cados digitales y autenticar a la persona u organización que realiza la
solicitud. El proceso de autenticación depende de la clase de certi�cado que se solicite:
● Clase 1: Veri�ca la identidad de un individuo a través del correo electrónico y se
utiliza para �rmar mensajes de correo electrónico. Requiere una dirección de correo
electrónico, nombre completo y dirección física. También guía al solicitante en la
creación de un par de claves pública/privada.
● Clase 2: Utilizado para �rmar software y permitir que los usuarios veri�quen la
autenticidad del proveedor de software.
● Clase 3: Proporcionado a empresas que desean establecer su propia autoridad de
certi�cación.
Una vez que se completa el proceso de validación, la RA transmite la solicitud a la CA, que
la pasa al servidor de certi�cados (CS). El CS genera el certi�cado digital, incluyendo la
información adecuada (incluida la clave pública del solicitante) y lo envía al solicitante.
Repositorios de Certi�cados
Una vez generados los certi�cados y las claves públicas correspondientes, estos se almacenan
en un lugar público llamado repositorio de certificados. Estos repositorios son generalmente
compatibles con el Protocolo de Acceso al Directorio Ligero (LDAP), lo que permite el
acceso y la búsqueda de los repositorios de manera compatible con estándares abiertos. Por
lo general, para cada entorno de PKI existe un repositorio de seguridad dedicado.
Estructura de un Certi�cado Digital
Los certi�cados digitales se estructuran de acuerdo con el estándar X.509, que establece los
campos requeridos y los valores aceptables para cada campo. Los campos incluyen el
nombre de la entidad emisora, la �rma digital de la entidad emisora, el número de versión,
3
Facultad de Ingeniería Criptografía______________________________________________________________________________________________________________
un número de serie único, el propietario del certi�cado, la clave pública del propietario, el
período de validez, el uso del certi�cado y el algoritmo de �rma utilizado. También se
pueden agregar datos personalizados mediante extensiones de certi�cado.
Ciclo de vida de los Certi�cados y Manejo de Claves
El ciclo de vida de un certi�cado consiste en una serie de eventos, que incluyen:
Generación de claves: la creación del par de claves pública/privada asociado con el
certi�cado.
Solicitud de identidad: se envían las credenciales de la parte solicitante del
certi�cado a la autoridad de certi�cación (CA).
Registro: la solicitud de un nuevo certi�cado se registra en la CA.
Certi�cación: se valida la identidad del solicitante y se genera un certi�cado
�rmado digitalmente con la �rma digital de la CA.
Distribución: el certi�cado es publicado por la CA.
Uso: la parte solicitante utiliza el certi�cado para el propósito autorizado.
Expiración: a menos que se renueve o revoque, el certi�cado expira según la fecha
de vencimiento incorporada en el certi�cado al momento de su generación.
Revocación: en cualquier momento antes de la expiración, el certi�cado puede ser
revocado (por ejemplo, si se utiliza con �nes malintencionados o la clave privada se
ve comprometida).
Renovación: a solicitud del propietario, la CA puede renovar el certi�cado. Este
proceso requiere la generación de un nuevo par de claves pública/privada.
Suspensión: el certi�cado se suspende temporalmente, por ejemplo, si un usuario se
toma una licencia sabática y no tiene previsto utilizar el certi�cado durante este
período de tiempo.
Recuperación: el proceso de recuperar el par de claves de una copia de seguridad en
caso de corrupción (para cali�car para la recuperación, las claves deben considerarse
aún con�ables y válidas).
Destrucción: cuando las claves y el certi�cado expiran y ha pasado un período de
tiempo adecuado para evitar recibir información cifrada utilizando las claves (un
período conocido como el período de mantenimiento del historial de claves).
4
Facultad de Ingeniería Criptografía______________________________________________________________________________________________________________
Infraestructuras Centralizadas y Descentralizadas
Los pares de claves en una PKI se generan de manera centralizada o descentralizada según la
política de seguridad de una organización. Las claves almacenadas localmente son
descentralizadas, mientras que las generadas por un servidor central son centralizadas. Estos
enfoques no son mutuamente exclusivos y pueden combinarse en un entorno
descentralizado.
Métodos de certi�cación
En términos generales, tradicionalmente ha habido tres enfoques para obtener esta
con�anza: las autoridades de certi�cación (CA), la red de con�anza (WoT) y la
infraestructura de clave pública simple (SPKI).
Rol de una CA
El papel de la Autoridad de Certi�cación (CA) es �rmar y publicar la clave pública de un
usuario, y se utiliza la clave privada de la CA para establecer con�anza en la clave del usuario.
La CA puede ser una Autoridad de Registro (RA) separada del usuario y del sistema.
También se utiliza el término "tercera parte confiable" (TTP) para la CA. Según NetCraft,
Symantec, Comodo y GoDaddy representan la mayoría de los certi�cados emitidos.
Además, se describe un enfoque de certi�cados temporales y inicio de sesión único en el que
un servidor emite certi�cados digitales al sistema del cliente sin almacenarlos. Esta solución
se utiliza comúnmente con certi�cados basados en X.509.
Red de Con�anza
La red de con�anza es un enfoque alternativo para autenticar información de clave pública
que utiliza certi�cados auto�rmados y a�rmaciones de terceros sobre esos certi�cados. El
término "red de con�anza" no implica la existencia de una única red o punto común de
con�anza, sino más bien de cualquier número de "redes de con�anza" potencialmentedisjuntas. PGP y GnuPG son ejemplos de implementaciones de este enfoque, que permiten
el uso de �rmas digitales de correo electrónico para la auto publicación de información de
clave pública, lo que hace que sea relativamente fácil implementar su propia red de
con�anza.
La red de con�anza permite interoperar con una Autoridad de Certi�cación (CA)
totalmente con�able por todas las partes en un dominio, como una CA interna en una
5
Facultad de Ingeniería Criptografía______________________________________________________________________________________________________________
empresa, que esté dispuesta a garantizar certi�cados como un presentador de con�anza. La
con�anza en un certi�cado otorga con�anza a todos los certi�cados en esa red. El concepto
de red de con�anza fue propuesto por el creador de PGP, Phil Zimmermann, en 1992.
Infraestructura de Clave Pública Simple
Otra alternativa que no se ocupa de la autenticación pública de la información de clave
pública es la infraestructura de clave pública simple (SPKI). SPKI no asocia a los usuarios
con personas, ya que lo que se confía es la clave, no la persona. SPKI no utiliza ninguna
noción de con�anza, ya que el veri�cador es también el emisor. Esto se llama "bucle de
autorización" en la terminología de SPKI, donde la autorización es integral a su diseño. Este
tipo de PKI es especialmente útil para hacer integraciones de PKI que no dependan de
terceros para la autorización de certi�cados, información de certi�cados, etc. Un buen
ejemplo de esto es una red sin conexión a Internet en una o�cina.
PKI basada en Blockchain
El enfoque emergente para la infraestructura de clave pública (PKI) es usar la tecnología
blockchain asociada comúnmente con criptomonedas modernas. Usar una cadena de
bloques resulta atractivo debido a que es altamente adecuada para el almacenamiento y
gestión de claves públicas debido a su naturaleza distribuida e inalterable. Algunas
criptomonedas permiten el almacenamiento de diferentes tipos de claves públicas (SSH,
GPG, RFC 2230, etc.) y proporcionan software de código abierto que admite directamente
PKI para servidores OpenSSH. Aunque la tecnología blockchain puede proporcionar una
aproximación al "proof of work" que a menudo sustenta la con�anza en la PKI, existen
problemas relacionados con la conformidad administrativa de la política, la seguridad
operativa y la calidad de la implementación del software. Algunos ejemplos de PKI basados
en blockchain son CertCoin, FlyClient y BlockQuick.
Conclusiones
Las Infraestructuras de Clave Pública son importantes para la seguridad en línea debido a su
capacidad de garantizar la identidad y autenticidad de las partes que participan en una
transacción. Sin embargo, también hay desafíos que enfrenta la PKI, como la complejidad
del sistema y la necesidad de con�ar en terceros para garantizar la validez de los certi�cados
en un esquema completamente centralizado.
6
Facultad de Ingeniería Criptografía______________________________________________________________________________________________________________
En este sentido, el enfoque emergente basado en la utilización de tecnología blockchain
puede proporcionar una red descentralizada y resistente a fallos aprovechable para
almacenar y gestionar claves públicas y certi�cados de forma segura y distribuida. Además,
la inmutabilidad de los registros blockchain puede ayudar a prevenir la falsi�cación y
garantizar la autenticidad de los certi�cados; situación que podría presentarse en los
esquemas centralizados actuales en el caso de que una autoridad se vea vulnerada.
Los avances de la cadena de bloques traen resultados interesantes, y es posible que en
un futuro estos sistemas vean una implementación más generalizada conforme aumente la
necesidad de establecer mecanismos de seguridad distribuida más resistentes y que no
cuenten con un “talón de aquiles” en foma de entidades centralizadas sobre las que un
sistema dependa para su funcionamiento y seguridad.
7