Somos parte de Blogs Comunicorp
Alambre. WeBlog de tecnología y sociedad

Concepto y aplicaciones de la clave pública

Su uso para encriptar información
Ciber-leyes

Por Alfredo Reyes Krafft*

PKI (Public Key Infraestructure) es una arquitectura de seguridad que ha sido desarrollada para proveer de un nivel mayor de confidencialidad al intercambiar información en Internet.

El término PKI puede llegar a ser muy confuso, incluso para personal técnico, ya que puede significar varias cosas diferentes. Por un lado, PKI puede significar métodos, tecnologías y técnicas que juntas proveen de una infraestructura segura. Por otro lado, puede significar el uso de claves públicas y privadas para autenticarse y verificación de contenido. Una infraestructura de PKI debe ofrecer a los usuarios de los siguientes beneficios:

- Confirmación de la integridad y calidad de la información enviada y recibida electrónicamente
- Confirmación de la fuente y destino de esa información
- Seguridad en el tiempo de la información

Estas facilidades son realizadas usando una técnica matemática llamada criptografía de clave pública que usa un par de claves criptográficas para verificar la identidad del emisor (firma) y/o asegurar la privacidad (encripción).

Dentro de los componentes más importantes de PKI se encuentran:
- Agencias Certificadoras (CA)
- Agencias de Registro (RA)
- Protocolos de Administración de Certificados (CMP)
- Repositorios de Certificados
- Servidores “Time Stamp” (TSA)

Las CA tienen un conjunto de políticas operativas que describen la implantación y apoyo a las políticas de seguridad, condensadas en un detallado documento conocido como la Declaración de Prácticas de Certificación (CPS). Estas políticas incluyen: Procedimientos Verificación de Identidad, Rango de Usuarios a Certificar, Ciclo de Vida de un certificado, etc. Constituyen la limitación de responsabilidad de la Agencia Certificadora frente a sus usuarios.
La lista de Revocación de Certificados (CRL) permite conocer la validez de un certificado, al verificar que no se encuentre en esa lista.

Concepto de clave pública

La criptografía de clave pública usa un par de claves criptográficas. Si una clave sirve para encriptar la información, entonces únicamente la otra clave puede decriptar la información. Si se conoce una de las claves no se puede fácilmente calcular la otra. Por consiguiente, en un sistema de clave pública se tiene lo siguiente:

- Una clave pública: Que se hace público - se encuentra a disposición de todos.
- Una correspondiente (y única) clave privada: Que se debe mantener en secreto y no se comparte a los demás.

Por medio de estos conceptos, podemos asociar los siguientes conceptos básicos:
- Autenticación: Asegurarse que la entidad que envió los datos es quien dice ser.
- Integridad: Asegurarse que la información no fue alterada (intencionalmente o sin intención) entre el emisor y el receptor o entre el momento que fue generado y el momento recibido.
- Confidencialidad: Asegurarse que no cualquier entidad puede tener acceso a esa información que fue generada intencionalmente para una sola entidad.

La clave Pública usada para Encriptar

Una persona en Internet usa la clave pública de otra cuando requiere enviar información confidencial. La información que será enviada estará encriptada usando una clave simétrica única, la cual será encriptada por la clave pública. Esta doble Encripción permite hacer el proceso más rápido, teniendo que encriptar con la clave pública únicamente la clave simétrica única de menor tamaño que la información. Se puede proveer de la clave pública al emisor o puede ser obtenida directamente del directorio donde ha sido publicada.

La clave Privada usada para Desencriptar

Una clave privada es usada para desencriptar la clave simétrica única y así desencriptar la información que ha sido encriptada por la clave pública correspondiente. La persona usando la clave privada puede asegurar que la información que recibe únicamente puede ser vista por ella pero no puede asegurar la identidad del emisor del mensaje.

La clave Privada para Firmar

Si el emisor desea proveer una verificación de que es realmente esa persona, se usa una clave privada para firmar digitalmente el mensaje. A diferencia de una firma con la que firmamos papeles legales, la firma electrónica es diferente cada vez que se realiza. Un valor matemático único, determinado por el contenido del mensaje es calculado usando un algoritmo de “hashing” o “digestión” para después este valor sea encriptado con la clave privada, creando así la firma electrónica para este mensaje. El valor encriptado viene adjunto al mensaje o en un archivo por separado junto con el mensaje. La clave pública correspondiente a la clave privada puede ser enviada junto con el mensaje como parte de un certificado.

La clave Pública pura Verificar Firmas

El receptor de un mensaje firmado digitalmente usa la clave pública de la otra persona para verificar la firma realizando los siguientes pasos:

1. La clave pública es usada para desencriptar el valor que el emisor envió calculado en base al mensaje.
2. Usando el mismo algoritmo de hashing o digestión, realiza el cálculo matemático del mensaje.
3. El valor resultante es comparado con el valor recibido por el emisor. Si los valores concuerdan, el receptor sabe que la persona controlando la clave privada corresponde a la clave pública que envió la información. De esa manera también se asegura que la información no ha sido alterada desde que fue firmada.
4. Si un certificado de clave pública fue recibido con la información, entonces es validado con la Autoridad Certificadora que generó el certificado para asegurar que el certificado no ha sido falsificado y que la identidad del controlador de la clave privada es genuina.
5. Finalmente, si es posible, se revisa la lista de certificados revocados en la Autoridad Certificadora para validar que el certificado el válido.

Para encriptar información que será almacenada para uso propio (únicamente la persona que encripta la información podrá leerla) se usa la clave pública propia para poder desencriptar la información más adelante con la clave privada.

Es muy importante aclarar que la generación de las claves invariablemente debe partir del propio usuario, en la práctica el usuario baja una aplicación programada para generar el par de claves, conserva su clave privada y el requerimiento de certificación junto con su clave pública lo presenta ante una agencia de certificación o agente de ésta, se identifica y le genera un certificado.

Certificados digitales

Un certificado es información con respecto a la clave pública que ha sido firmada por una Autoridad Certificadora (CA). La información normalmente encontrada en el certificado, actualmente se basa en el estándar X.509 v3. Los certificados dentro de éste estándar incluyen información de la identidad del propietario de la clave privada, el tamaño de la clave, el algoritmo usado y el algoritmo de hashing asociado, vencimiento y las acciones que se pueden realizar con este certificado.

El certificado es esencial para PKI toda vez que permite asociar a una persona determinada una clave pública y por ende su privada. Esto es, el propio requerimiento de certificación que incluye algunos datos del solicitante constituye el antecedente del certificado.

El estándar X. 509 v 3

El estándar X.509 inicialmente fue publicado por el ITU-T X.509 o ISO/IEC/ITU 9594-8 en 1988. Varios campos fueron agregados al paso del tiempo hasta su estandarización en Junio de 1996 con la versión 3.

El grupo PKIX ha tomado este estándar y ha trabajado en desarrollar el “RFC 1 2459, Internet X.509 Public Key Infraestructure Certifícate and Certificate Revocation List” Dentro de este documento se define lo que debe contener el certificado, los campos que el certificado contiene son:

- Número de serie del Certificado emitido por la Autoridad Certificadora
- Algoritmo usado por la Autoridad Certificadora que valida el Certificado
- Nombre de la autoridad generadora del Certificado
- Validez del Certificado
- Nombre del Propietario del Certificado
- Clave pública del Propietario y Algoritmo usado
- Extensiones Usadas
- Firma Digital de la Autoridad Certificadora
- Algoritmo de Firma Digital que fue usado por la Autoridad Certificadora

Este tipo de estándares son dinámicos y conforme avanza la tecnología se van actualizando, actualmente se trabaja en el desarrollo de la versión 4.

pki03 (3k image)

Agencias certificadoras y registradoras

Los certificados son generados por una Agencia Certificadora (CA), la cual puede ser cualquier entidad confiable que certifica la identidad de a quién se entrega un certificado. Una compañía puede generar certificados para sus empleados, una universidad a sus alumnos, o una ciudad a sus habitantes. De manera de prevenir la generación de certificados falsificados, el CA debe tener un certificado de un CA de mayor nivel para asegurar la validez de sus certificados (normalmente la certificadora / registradora de mayor nivel se le denomina ARC: Autoridad Registradora Central, la cual debe custodiar el certificado raíz y garantizar la unicidad de las claves).

Dado a que el CA debe revisar su propia identidad, algunas empresas deciden actuar como CA de sus propios miembros y empleados.

Una agencia certificadora genera las claves públicas y una agencia registradora almacena los certificados poniendo a disposición de cualquier usuario las claves públicas y lleva actualizada una lista de revocación de los certificados.

Recomendaciones del uso de PKI

Dentro del Uso de PKI, podemos hacer las siguientes recomendaciones:

Compromiso de clave privada de usuario

En el dado caso de que la clave privada sea comprometida, ya sea por robo o pérdida, el certificado digital deberá ser revocado para evitar el mal uso de la clave. De esta manera se deberá generar un nuevo certificado.

Compromiso de clave privada de agencia certificadora

Si la clave privada de la Agencia Certificadora es comprometida, todos los certificados validados y generados por esa agencia certificadora tendrán que ser revocados, ya que la clave que ha sido comprometida puede ser usada para poder generar nuevos certificados. En este caso se debe revocar todos los certificados incluyendo el de la agencia certificadora.

Expiración del certificado

Un certificado siempre tiene un tiempo de vida finito, es decir, una fecha de vencimiento.

Es posible tramitar certificados de forma electrónica, esto es sin requerir la presencia del titular y esto pudiera hacerse en tanto el certificado anterior esté vigente pues con esta firma electrónica el titular genera la solicitud del nuevo certificado.

Dispositivos físicos para el almacenamiento de certificados

Existen diferentes dispositivos para el almacenamiento de certificados, desde certificados personales hasta certificados de autoridades certificadoras.

Un Smart Card o Chip Card es un dispositivo con forma de tarjeta de crédito con un chip en su interior. Un Smart Card requiere de un lector para poder hacer uso de él.

La clave privada (PKI) de un usuario puede ser almacenada en un Smart Card donde internamente todas las funciones criptográficas se realizan, incluyendo firma digital, y descripción de las claves de sesión.

Las Smart Cards son pequeñas, fáciles de transportar y difíciles de replicar. Las aplicaciones que usan esta tecnología van desde identificación de telefonía móvil a controles de televisión por satélite. Las Smart Cards tienen sus desventajas como los demás productos. Conectar los lectores a los sistemas puede consumir mucho tiempo. Un estudio realizado por militares de Estados Unidos indica que aproximadamente se instala y configura un lector en 30 min.

Otra opción para almacenar la clave privada pudieran ser los Smart Tokens
Los Smart Tokens usan una tecnología idéntica a las Smart Cards, con la diferencia de su forma y su interfase. Los Smart Tokens son del tamaño de una clave de auto o de la casa y usan el Universal Standard Bus (USB) como interfase.

Los Smart Tokens basados en USB dan ventajas en los escenarios de IT. Los lectores no son necesarios dado a que los smart tokens se conectan directamente a los puertos USB que se encuentran en la mayoría de los sistemas de cómputo actuales.

De todos los dispositivos de autenticación, los llamados “Smart” son los que son aceptados y usados para su integración con aplicaciones PKI dado a que pueden dar autenticación “siempre activa”.

Para las Agencias Certificadoras, existen las tarjetas de almacenamiento de certificados, de tal manera que el certificado se almacena dentro de la tarjeta y no en el disco duro. El certificado digital se respalda en dos “Smart Cards” o “Tokens” de una manera que el certificado se divide dentro de los dispositivos para que el certificado no sea almacenado o custodiado por una sola entidad. Algunas de estas tarjetas cumplen con el Estándar Federal de Proceso de Información (FIPS 140-1 Nivel 3), el cual elimina cualquier información dentro de la tarjeta en caso de que se intente abrir para obtener el certificado digital.

* Alfredo Reyes Krafft es Doctor en Derecho por la Universidad Panamericana. Actualmente es Director jurídico de e-business en BBVA Bancomer y Vicepresidente Ejecutivo de la Asociación Mexicana de Internet (AMIPCI)

1 RFC (Request for Comments) Es una serie de documentos técnicos y organizacionales acerca de Internet que se iniciaron en 1969. En ellos, se discute múltiples aspectos de redes incluyendo protocolos, procedimientos, programas y conceptos.


Esta anotación fue publicada el Lunes, Enero 5, 2004 a las 9:18 pm y fue clasificado bajo Comercio electrónico, Leyes, México, Seguridad. Puedes dar seguimiento a los comentarios de esta anotación a través del canal RSS 2.0. Tú puedes dejar una respuesta, o hacer trackback desde tu propio blog.

Notas relacionadas

  • El boom de las aplicaciones Web 2.0
  • Como crackear la protección del HD-DVD
  • Como llamar a teléfonos fijos desde Google Talk
  • Los 15 ‘post’ más visitados en Alambre
  • Gtalk2voip lanza nuevas características
  • Llamadas gratis a tu celular, sólo si provienen de Telmex


    • 3 respuestas to “Concepto y aplicaciones de la clave pública”

    1. Asuka Langeli soryu
      Mayo 24, 2005 12:14
      1

      deberian de poner algo de los medios de almacenamiento y de la confidencialidad de la informacion

    2. david
      Julio 24, 2007 12:53
      2

      que desastre es su pagina web vayanse al demonio estupidos

    3. Omar
      Julio 24, 2007 13:09
      3

      Más estupido tú. Propon algo. Luego luego se nota de lo que careces.

    Participa. Deja un comentario

    *
    Para verificar que eres una persona y no una máquina, por favor ingresa este codigo
    Anti-Spam Image

    Evita promocionar otros sitios web, SPAM, insultos, ataques personales o solicitudes para resolver tareas escolares (excepto si pides ayuda a otros lectores del blog).

    « EZLN. A 10 años de la guerra de tinta e internet
    Columna especial. Cabaret Voltaire »

    • Anunciate en Alambre

    • Obra en venta
    • ¿Deseas ver tu link aquí?
    • Compra un enlace patrocinado en Alambre

    • ¿Dónde estoy?

      Estás leyendo Alambre, Blog de tecnología y sociedad. ¿Un "blog"? Si no tienes la remota idea de lo qué es, revisa su definición en la Wikipedia. Si ya sabes, recuerda que puedes dejar tus comentarios al final de cada anotación.

      Si buscas algo en particular, te sugerimos usar nuestro motor de búsqueda, ubicado en la parte superior derecha. Igualmente puede localizar notas por temas.

      Si desea que tratemos algún tema en particular o abundemos en los ya publicados, por favor contáctanos.

      Puedes dar seguimiento a nuestro blog a través de nuestro RSS o participa en los Foros de discusión.