En criptografìa, una infraestructura de clave pública (o, en ingles, PKI, Public Key Infrastructure) es una combinación de hardware y software, politicas y procedimientos de seguridad que permiten la ejecución con garantías de operaciones criptográficas como el cifrado, la firma digital o el no repudio de transacciones electrónicas.
Una PKI bien construida debe proporcionar:
*Autenticidad. La firma digital tendrá la misma validez que la manuscrita.
*Confidencialidad, de la información transmitida entre las partes.
*Integridad. Debe asegurarse la capacidad de detectar si un documento firmado ha sido manipulado.
*No Repudio, de un documento firmado digitalmente
*Confidencialidad, de la información transmitida entre las partes.
*Integridad. Debe asegurarse la capacidad de detectar si un documento firmado ha sido manipulado.
*No Repudio, de un documento firmado digitalmente
Criptografìa Asimètrica
La base tecnológica para la Firma Digital está fundamentada principalmente en el uso de ciertos algoritmos criptográficos, con unas características que permiten obtener el nivel de seguridad requerido.
A diferencia de los algoritmos de cifrado simétrico, en los que la información se cifra y descifra con la misma clave, los algoritmos asimétricos basan su funcionamiento en un par de claves (matemáticas dependientes) para cada usuario, con la característica de que la información cifrada con una clave, sólo puede descifrarse con la otra del mismo par.
A cada usuario se debe asignar un par de claves, que se denominan Clave Pública y Clave Privada. Como indican sus nombres, la Clave Pública puede ser conocida por todo el mundo, mientras que la Clave Privada debe ser custodiada por el usuario y nunca hacerse pública.Si se desea enviar información confidencial a un usuario, se le enviará la información cifrada con su clave pública, de tal forma que sólo ese usuario, que posee la Clave Privada correspondiente, podrá descifrar la información. Por otra parte, si un usuario envía información cifrada con su clave privada, al descifrarla con su clave pública (acción que puede realizar cualquiera que conozca dicha clave), puede asegurarse que ha sido ese usuario quién envió la información, ya que sólo él posee la clave privada
Propòsito y Funcionalidad
La tecnología PKI permite a los usuarios autenticarse frente a otros usuarios y usar la información de los certificados de identidad (por ejemplo, las claves pùblicas de otros usuarios) para cifrar y descifrar mensajes, firmar digitalmente información, garantizar el no repudio de un envío, y otros usos.
En una operación criptográfica que use infraestructura PKI, intervienen conceptualmente como mínimo las siguientes partes:
*Un usuario iniciador de la operación
*Unos sistemas servidores que dan fe de la ocurrencia de la operación y garantizan la validez de los certificados implicados en la operación (autoridad de certificaciòn, Autoridad de registro y sistema de Sellado de tiempo)
*Un destinatario de los datos cifrados/firmados/enviados garantizados por parte del usuario iniciador de la operación (puede ser él mismo).
*Unos sistemas servidores que dan fe de la ocurrencia de la operación y garantizan la validez de los certificados implicados en la operación (autoridad de certificaciòn, Autoridad de registro y sistema de Sellado de tiempo)
*Un destinatario de los datos cifrados/firmados/enviados garantizados por parte del usuario iniciador de la operación (puede ser él mismo).
Usos de la tecnología PKI Autenticación de usuarios y sistemas (login)
*Identificación del interlocutor
*Cifrado de datos digitales
*Firmado digital de datos (documentos, software, etc.)
*Asegurar las comunicaciones
*Garantía de no repudio (negar que cierta transacción tuvo lugar)
Tipos de Certificados
*Cifrado de datos digitales
*Firmado digital de datos (documentos, software, etc.)
*Asegurar las comunicaciones
*Garantía de no repudio (negar que cierta transacción tuvo lugar)
Tipos de Certificados
Existen diferentes tipos de certificado digital, en función de la información que contiene cada uno y a nombre de quién se emite el certificado:
*Certificado personal, que acredita la identidad del titular.
*Certificado de pertenencia a empresa, que además de la identidad del titular acredita su vinculación con la entidad para la que trabaja.
*Certificado de representante, que además de la pertenencia a empresa acredita también los poderes de representación que el titular tiene sobre la misma.
*Certificado de persona jurídica, que identifica una empresa o sociedad como tal a la hora de realizar trámites ante las administraciones o instituciones.
*Certificado de atributo, el cual permite identificar una cualidad, estado o situación. Este tipo de certificado va asociado al certificado personal. (p.ej. Médico, Director, Casado, Apoderado de..., etc.).
*Certificado personal, que acredita la identidad del titular.
*Certificado de pertenencia a empresa, que además de la identidad del titular acredita su vinculación con la entidad para la que trabaja.
*Certificado de representante, que además de la pertenencia a empresa acredita también los poderes de representación que el titular tiene sobre la misma.
*Certificado de persona jurídica, que identifica una empresa o sociedad como tal a la hora de realizar trámites ante las administraciones o instituciones.
*Certificado de atributo, el cual permite identificar una cualidad, estado o situación. Este tipo de certificado va asociado al certificado personal. (p.ej. Médico, Director, Casado, Apoderado de..., etc.).
Además, existen otros tipos de certificado digital utilizados en entornos más técnicos:
*Certificado de servidor seguro, utilizado en los servidores web que quieren proteger ante terceros el intercambio de información con los usuarios.
*Certificado de firma de código, para garantizar la autoría y la no modificación del código de aplicaciones informáticas.
*Certificado de firma de código, para garantizar la autoría y la no modificación del código de aplicaciones informáticas.
Seguridad de los Certificados
La seguridad en la infraestructura PKI depende en parte de cómo se guarden las claves privadas. Existen dispositivos especiales denominados tokens de seguridad diseñados para facilitar la integridad y seguridad de la clave privada, así como evitar que ésta pueda ser exportada. Estos dispositivos pueden incorporar medidas biomètricas, como la verificación de huella dactilar, que permiten aumentar la confiabilidad, dentro de las limitaciones tecnológicas, en que sólo la persona dueña del certificado pueda utilizarlo.
Componentes de una P.K.I
Existen multitud de componentes adicionales, y cada elemento es un sistema complejo en si mismo. Los componentes básicos pueden resumirse en:
•La Autoridad de Certificación. La pieza central del "puzzle" y la que proporciona la base de confianza en la PKI. Constituido por elementos hardware, software y, evidentemente, humanos.
•Publicación de Certificados. El repositorio de certificados permite a los usuarios operar entre ellos (p.e. para la validación de una Firma Digital), y es un requisito legal que cuente con una total disponibilidad de acceso.
•Soporte de la Clave Privada. La elección de un buen soporte para que los usuarios custodien su clave privada es un punto esencial y complejo en si mismo (p.e. si la clave está en una SmartCard, es necesario diseñar el Sistema de Gestión de SmartCards que permita la emisión y distribución de las tarjetas a los usuarios).
•Aplicaciones "PKI-Enabled". Se denomina así a las aplicaciones software capaces de operar con certificados digitales. Estas aplicaciones son las que dan el valor real de la PKI de cara al usuario.
•Políticas de Certificación. Deben diseñarse una serie de políticas, o procedimientos operativos, que rigen el funcionamiento de la PKI y establecen los compromisos entre la Autoridad Certificadora y los Usuarios Finales. Estos documentos tendrán un carácter tanto técnico como legal.
El Proceso de Construcción de una PKI deberá siempre partir de la definición de las Políticas Operativas y contemplar como requerimiento esencial el asegurar la calidad y seguridad de las operaciones que los usuarios finales realizan con sus claves privadas (p.e. Firma Digital de Documentos).
•Publicación de Certificados. El repositorio de certificados permite a los usuarios operar entre ellos (p.e. para la validación de una Firma Digital), y es un requisito legal que cuente con una total disponibilidad de acceso.
•Soporte de la Clave Privada. La elección de un buen soporte para que los usuarios custodien su clave privada es un punto esencial y complejo en si mismo (p.e. si la clave está en una SmartCard, es necesario diseñar el Sistema de Gestión de SmartCards que permita la emisión y distribución de las tarjetas a los usuarios).
•Aplicaciones "PKI-Enabled". Se denomina así a las aplicaciones software capaces de operar con certificados digitales. Estas aplicaciones son las que dan el valor real de la PKI de cara al usuario.
•Políticas de Certificación. Deben diseñarse una serie de políticas, o procedimientos operativos, que rigen el funcionamiento de la PKI y establecen los compromisos entre la Autoridad Certificadora y los Usuarios Finales. Estos documentos tendrán un carácter tanto técnico como legal.
El Proceso de Construcción de una PKI deberá siempre partir de la definición de las Políticas Operativas y contemplar como requerimiento esencial el asegurar la calidad y seguridad de las operaciones que los usuarios finales realizan con sus claves privadas (p.e. Firma Digital de Documentos).
Compatibilidad multiplataforma
eToken PKI Client está disponible para sistemas operativos Windows, Linux y Macintosh, lo que resulta ideal para empresas que dispongan de entornos con varias plataformas. En Windows Vista, eToken es compatible con sistemas de 32 y 64 bits, y permite el almacenamiento seguro de certificados EFS (Sistema de Cifrado de Archivos) en el dispositivo.
Firma Digital
Una Firma Digital tiene dos características principales:
•Sólo puede ser generada por el poseedor de la clave privada y puede ser verificada por cualquiera que conozca la clave pública del firmante.
•Es dependiente del documento a firmar (la Firma Digital de un documento no puede emplearse para firmar otro documento).
Certificados Digitales
Las técnicas anteriormente indicadas, si bien son técnicamente correctas, implican un grave problema a nivel de seguridad: ¿Cómo se puede asegurar que una clave pública pertenece a un usuario dado?. Es necesario poder vincular la clave pública de un usuario con su identidad y para esto surge el concepto de "Certificado Digital", que contiene la siguiente información:
•Identidad del usuario (Nombre, RIF, etc...).
•Clave Pública del usuario.
•Periodo de Validez del Certificado.
•Identidad de la Autoridad Certificadora (entidad que emite el certificado).
•Firma digital del certificado (los datos anteriores más otras posibles extensiones personalizables, p.e. la dirección de correo electrónico), generada por la Autoridad Certificadora.
