Certificados y claves públicas
Servicios de certificados es una base para la infraestructura de clave pública (PKI) que proporciona los medios para proteger y autenticar la información. La relación entre un titular del certificado, la identidad del titular del certificado y la clave pública del titular del certificado es una parte crítica de la PKI. Esta infraestructura se compone de las siguientes partes:
- Par de claves pública y privada
- Solicitud de certificado
- La entidad de certificación
- El certificado
- Lista de revocación de certificados
- La clave pública usada para el cifrado
- La clave pública usada para la comprobación de firmas
- Rol servicios de certificados de Microsoft
Par de claves pública y privada
La PKI requiere el uso de pares de claves públicas y privadas. Las matemáticas de pares de claves públicas y privadas están fuera del ámbito de esta documentación, pero es importante tener en cuenta la relación funcional entre una clave pública y privada. Los algoritmos criptográficos PKI usan la clave pública del receptor de un mensaje cifrado para cifrar los datos y la clave privada relacionada y solo la clave privada relacionada para descifrar el mensaje cifrado.
De forma similar, se crea una firma digital del contenido, que se describe con más detalle a continuación, con la clave privada del firmante. La clave pública correspondiente, que está disponible para todos, se usa para comprobar esta firma. El secreto de la clave privada debe mantenerse porque el marco se separa después de que la clave privada esté en peligro.
Dado el tiempo y los recursos suficientes, se puede detectar un par de claves pública y privada, es decir, la clave privada. Cuanto más larga sea la clave, más difícil será usar fuerza bruta para detectar la clave privada. En la práctica, se pueden usar claves suficientemente seguras para que sea inviable determinar la clave privada de forma oportuna, lo que hace que la infraestructura de clave pública sea un mecanismo de seguridad viable.
Una clave privada se puede almacenar, en formato protegido, en un disco, en cuyo caso solo se puede usar con ese equipo específico a menos que se mueva físicamente a otro equipo. Una alternativa es tener una clave en una tarjeta inteligente que se puede usar en un equipo diferente siempre que tenga un lector de tarjetas inteligentes y software auxiliar.
La clave pública, pero no la clave privada, del sujeto de un certificado digital se incluye como parte de la solicitud de certificado. (Por lo tanto, debe existir un par de claves pública y privada antes de realizar la solicitud de certificado). Esa clave pública se convierte en parte del certificado emitido.
Solicitud de certificado
Antes de emitir un certificado, se debe generar una solicitud de certificado . Esta solicitud se aplica a una entidad, por ejemplo, un usuario final, un equipo o una aplicación. Para obtener información, supongamos que la entidad es usted mismo. Los detalles de la identidad se incluyen en la solicitud de certificado. Una vez generada la solicitud, se envía a una entidad de certificación (CA). A continuación, la ENTIDAD de certificación usa la información de identidad para determinar si la solicitud cumple los criterios de la ENTIDAD de certificación para emitir un certificado. Si la entidad de certificación aprueba la solicitud, emite un certificado, como la entidad denominada en la solicitud.
La entidad de certificación
Antes de emitir el certificado, la entidad de certificación comprueba su identidad. Cuando se emite el certificado, la identidad se enlaza al certificado, que contiene la clave pública. El certificado también contiene la firma digital de la ENTIDAD de certificación (que puede comprobar cualquier persona que reciba el certificado).
Dado que el certificado contiene la identidad de la ENTIDAD de certificación emisora, un interesado que confía en esta CA puede extender esa confianza al certificado. La emisión de un certificado no establece confianza, sino que transfiere confianza. Si el consumidor de certificados no confía en la ENTIDAD de certificación emisora, no confiará (o al menos no debería) confiar en el certificado.
Una cadena de certificados firmados permite transferir la confianza también a otras CA. Esto permite a las partes que usan distintas entidades de certificación seguir siendo capaces de confiar en los certificados (siempre que haya una ENTIDAD de certificación común en la cadena, es decir, una ENTIDAD de certificación de confianza para ambas partes).
El certificado
Además de la clave pública y la identidad de la entidad de certificación emisora, el certificado emitido contiene información sobre los fines de la clave y el certificado. Además, incluye la ruta de acceso a la lista de certificados revocados de la ENTIDAD de certificación y especifica el período de validez del certificado (fechas iniciales y finales).
Suponiendo que el consumidor de certificados confía en la CA emisora del certificado, el consumidor del certificado debe determinar si el certificado sigue siendo válido comparando las fechas de inicio y finalización del certificado con la hora actual y comprobando que el certificado no está en la lista de certificados revocados de la ENTIDAD de certificación.
Lista de revocación de certificados
Suponiendo que el certificado se usa en un período de tiempo válido y el consumidor del certificado confía en la ENTIDAD de certificación emisora, hay un elemento más para que el consumidor del certificado compruebe antes de usar el certificado: la lista de revocación de certificados (CRL). El consumidor de certificados comprueba la CRL de la ENTIDAD de certificación (la ruta de acceso a la que se incluye como una extensión en el certificado) para asegurarse de que el certificado no está en la lista de certificados que se han revocado. Existen CRL porque hay ocasiones en las que un certificado no ha expirado, pero ya no puede ser de confianza. Periódicamente, la ENTIDAD de certificación publicará una CRL actualizada. Los consumidores de certificados son responsables de comparar los certificados con la CRL actual antes de considerar la confianza del certificado.
La clave pública usada para el cifrado
Si un remitente desea cifrar un mensaje antes de enviarlo, el remitente primero recupera el certificado. Una vez que el remitente determina que la ENTIDAD de certificación es de confianza y que el certificado es válido y no se revoca, el remitente usa la clave pública (recuerde que forma parte del certificado) con algoritmos criptográficos para cifrar el mensaje de texto no cifrado en texto cifrado. Cuando reciba el texto cifrado, use la clave privada para descifrar el texto cifrado.
Si un tercero intercepta el mensaje de correo electrónico de texto cifrado, el tercero no podrá descifrarlo sin acceso a la clave privada.
Tenga en cuenta que el software controla la mayor parte de las actividades enumeradas aquí, no directamente por el usuario.
La clave pública usada para la comprobación de firmas
Se usa una firma digital como confirmación de que un mensaje no se ha modificado y como confirmación de la identidad del remitente del mensaje. Esta firma digital depende de la clave privada y del contenido del mensaje. Con el mensaje como entrada y la clave privada, los algoritmos criptográficos crean la firma digital. El proceso de firma no cambia el contenido del mensaje. Un destinatario puede usar la clave pública (después de comprobar la validez del certificado, la entidad de certificación emisora y el estado de revocación) para determinar si la firma corresponde al contenido del mensaje y determinar si el mensaje se envió por usted.
Si un tercero intercepta el mensaje previsto, lo modifica (incluso ligeramente) y lo reenvía y la firma original al destinatario, el destinatario, tras el examen del mensaje y la firma, podrá determinar que el mensaje es sospechoso. De forma similar, si un tercero crea un mensaje y lo envía con una firma digital falsa bajo el guiso que originó de usted, el destinatario podrá usar la clave pública para determinar que el mensaje y la firma no se corresponden entre sí.
Las firmas digitales también admiten la nonrepudiation. Si el remitente de un mensaje firmado deniega el envío del mensaje, el destinatario puede usar la firma para rescribir esa notificación.
Tenga en cuenta que el software también controla la mayor parte de las actividades enumeradas aquí, no directamente por el usuario.
Rol servicios de certificados de Microsoft
Los Servicios de certificados de Microsoft tienen el rol de emitir certificados o denegar solicitudes de certificados, tal como se indica en los módulos de directiva, que son responsables de garantizar la identidad del solicitante de certificados. Servicios de certificados también proporciona la capacidad de revocar un certificado, así como publicar la CRL. Los servicios de certificados también pueden distribuir de forma centralizada (por ejemplo, a un servicio de directorio) certificados emitidos. La capacidad de emitir, distribuir, revocar y administrar certificados, junto con la publicación de CRL, proporciona las funcionalidades necesarias para la infraestructura de clave pública.