(PUBLIC KEY INFRASTRUCTURE –
INFRAESTRUCTURA DE LLAVE PÚBLICA)
En criptografía, es una disposición que ata las llaves públicas con su respectiva identidad de usuario por medio de una autoridad de certificación (certificate authority o CA). La identidad del usuario debe ser única por cada CA. PKI emplea dos claves, una pública y otra privada. La primera para cifrar y la segunda para descifrar. PKI es utilizado para, por ejemplo, para realizar transacciones comerciales seguras.
Un mensaje puede ser cifrado por cualquier persona usando la clave pública, ya que es públicamente conocida, aunque sólo el poseedor de la clave privada podrá descifrarlo. Recíprocamente, un mensaje cifrado con la clave privada sólo puede ser cifrado por su poseedor, mientras que puede ser descifrado por cualquiera que conozca la clave pública.
Estas propiedades de que goza la criptografía de clave pública, cuyo uso más común se plasma en la firma digital, la convierten en candidata ideal para prestar servicios como la autenticación de usuarios (para asegurarse de la identidad de un usuario, bien como signatario de documentos o para garantizar el acceso a servicios distribuidos en red, ya que s
ólo él puede conocer su clave privada, evitando así la suplantación), el no repudio (para impedir que una vez firmado un documento el signatario se retracte o niegue haberlo redactado), la integridad de la información (para prevenir la modificación deliberada o accidental de los datos firmados, durante su transporte, almacenamiento o manipulación), la auditabilidad (para identificar y rastrear las operaciones, especialmente cuando se incorpora el estampillado de tiempo), y el acuerdo de claves secretas para garantizar la confidencialidad de la información intercambiada, esté firmada o no. ¿Desea proporcionar todos estos servicios de seguridad en su empresa? PKI puede ser la respuesta.
Ahora bien, ¿cómo podemos estar seguro
s de que la clave pública de un usuario, que hemos encontrado por ejemplo en un directorio o una página web, corresponde realmente a ese individuo y no ha sido falsificada por otro? ¿Cómo fiarnos de esa clave pública antes de confiarle algún secreto nuestro? La solución más ampliamente adoptada consiste en recurrir a una tercera parte confiable, erigida en la figura de una autoridad de certificación (AC). La función básica de una AC reside en verificar la identidad de los solicitantes de certificados, crear los certificados y publicar listas de revocación cuando éstos son inutilizados. El certificado contiene de forma estructurada información acerca de la identidad de su titular, su clave pública y la AC que lo emitió. Actualmente, el estándar al uso es el X.509.v3.
Con el tiempo, una autoridad de certificación puede verse fácilmente desbordada si cubre un área geográfica muy extensa o muy poblada, por lo que a menudo delega en las llamadas autoridades de registro (AR) la labor de verificar la identidad de los solicitantes. Las AR pueden abrir multitud de oficinas regionales dispersas por un gran territorio, llegando hasta
los usuarios en los sitios más remotos, mientras que la AC se limitaría así a certificar a todos los usuarios aceptados por las AR dependientes de ella. Gracias a esta descentralización se agiliza el proceso de certificación y se aumenta la eficacia en la gestión de solicitudes.
En definitiva, una PKI incluirá una o varias autoridades de registro para certificar la identidad de los usuarios; una o varias autoridades de certificación que emitan los certificados de clave pública; un repositorio de certificados, accesible vía web u otro medio, donde se almacenen los certificados; las listas de revocación de certificados (CRL), donde se listan los certificados suspendidos o revocados; y, por supuesto, los propios certificados. Los mayor
es obstáculos a los que se han enfrentado las empresas pioneras en la implantación de soluciones PKI para sus ne
cesidades de negocio electrónico (e-Busines
s) han sido tradicionalmente:
La falta de interoperabilidad, ya que el mero
hecho de ceñirse al estándar X.509.v3 no garantiza en absoluto que dos certificados generados por dos sistemas desarrollados por casas distintas sean mutuamente compatibles. Además, existen problemas de confianza entre AC de distintas organizaciones, que puede imposibilitar la verificación con éxito de cadenas de certificación cuya AC raíz sea desconocida o no confiable, invalidándose todo el esquema de PKI.
El coste ha sido un problema desde el principio. Al no existir un mercado suficientemente maduro en PKI, cada empre
sa que ofrece soluciones de clave pública tarifica en función de criterios diversos (por certificado, por uso de certificado, por servidores instalados,...) y cobra honorarios también dispares, de manera que la inversión en PKI como respuesta a las necesidades de seguridad y accesibilidad a los activos informáticos de la empresa puede resultar cuando menos inesperadamente elevada.
PKI termina presentando problemas de escalabilidad, cuando el número de certificados emitidos a los usuarios va creci
endo, debido a que las listas de revocación deben ser consultadas en cada operación que involucre certificados y firmas digitales, si se desea una implantación seria y robusta de PKI. Bien es cierto que el esquema de confianza vertical, promulgado por las estructuras de certificación en árbol, resulta más escalable que los modelos de confianza horizontal, como el adoptado por PGP, cuya problemática es tan seria que no se prevé solución satisfactoria.
Finalmente, la tecnología PKI se le antoja un tanto esotérica al usuario final, que no terminan de entender del todo la jerga relacionada. Acostumbrado a autenticarse sin más que introducir su nombre y contraseña, puede sentirse fácilmente rebasado por la complejidad tecnológica de las firmas digitales y demás funciones criptográficas. Por demás, en la medida en que no se instauren las tarjetas chip, controles biométricos y otros dispositivos similares criptográficamente robustos, el problema de los usuarios anotando su contraseña (en este caso para acceder a su clave privada) en un post-it pegado en el monitor persistirá por mucho tiempo.
Por lo tanto, ¿constituye PKI la solución a sus problemas? La respuesta depende de qué problemas afronte. No existen fórmulas mágicas ni soluciones generales aptas para todo tipo de negocio. La PKI resulta ideal en una intranet, en la que se comparten documentos (trabajo en grupo), se accede a recursos de red (cálculo, servidores de archivos, bases de datos, etc.), se intercambia correo certificado entre los empleados, etc. PKI resulta mucho más ágil que los sistemas tradicionales de control basados en nombre y contraseña y listas de control de acceso.
0 comentarios:
Publicar un comentario