Todo lo que necesita saber sobre Microsoft PKI

Actualmente, PKI es utilizado por las empresas para gestionar la seguridad a través de cifradoEl tipo de cifrado más popular actualmente en uso implica dos claves: una clave pública, que cualquiera puede usar para cifrar mensajes, y una clave privada, a veces conocida como clave secreta, que solo debería ser accesible para una persona. Aplicaciones, dispositivos y personas pueden usar estas claves. 

En la década de 1990, la seguridad PKI apareció por primera vez para ayudar a controlar las claves de cifrado mediante la emisión y administración de Certificados digitalesLos certificados son el equivalente a una licencia o pasaporte digital. Para preservar la seguridad, estos certificados PKI confirman la titularidad de una clave privada y la validez de dicha relación de ahora en adelante.

Los mensajes se cifran y descifran mediante cálculos matemáticos muy avanzados, conocidos como algoritmos criptográficos. Estos sirven como base para la autenticación PKI. Para los estándares actuales, el cifrado simétrico es una técnica criptográfica sencilla, aunque antiguamente se consideraba de vanguardia. De hecho, durante la Segunda Guerra Mundial, el ejército alemán lo utilizó para transmitir mensajes secretos. La película "El Código Enigma" describe de forma convincente el funcionamiento del cifrado simétrico y su importancia durante el conflicto.

¿Por qué necesitamos PKI?

Verificar una cadena de certificados implica confirmar que una cadena específica es fiable, auténtica y está correctamente firmada. El siguiente proceso verifica una cadena de certificados comenzando por el certificado enviado para su autenticidad.

Normalmente, la cadena de certificados que llega a la CA raíz se envía con el certificado de un cliente cuya validez se está evaluando. Utilizando la clave pública del emisor, el verificador examina el certificado. El certificado del emisor sigue al del cliente en la cadena, donde se encuentra la clave pública del emisor. Si el verificador confía en la CA superior que firmó el certificado del emisor, el proceso de verificación se considera exitoso.

¿Cómo funciona la PKI?

Las claves y los certificados son dos tecnologías que se implementan en PKI.

• Una clave es un número sustancial que se utiliza para el cifrado.
• La fórmula de la clave se utiliza para cifrar cada componente de un mensaje. Quien posea esta clave podrá descifrar un mensaje aparentemente sin sentido. Por ejemplo, si se quiere construir un mensaje donde la letra "uno" reemplaza a la "C", la "D", etc., A se convertirá en B.
• PKI utiliza dos claves: una clave privada y una clave pública.
• Una vez que recibes el mensaje, lo decodificas usando una clave privada. Las conexiones entre las claves se establecen mediante una compleja ecuación matemática. Aunque las claves privada y pública están vinculadas, este complejo cálculo hace posible la conexión. Por ello, resulta muy difícil determinar la clave privada a partir de la información de la clave pública.

Cifrado simétrico

El término "cifrado simétrico"" se refiere a un método de cifrado y descifrado de mensajes que utiliza la misma clave. Un mensaje introducido en texto plano con cifrado simétrico se cifra tras una serie de permutaciones matemáticas. La misma letra de texto plano a veces aparece diferente en el mensaje cifrado, lo que dificulta su descifrado. Por ejemplo, la frase "HHH" no se cifraría con los mismos tres caracteres. El hecho de que se deba utilizar la misma clave para cifrar y descifrar el mensaje conlleva un riesgo significativo, aunque descifrar mensajes sin ella es extremadamente difícil. Esto se debe a que el sistema de envío de mensajes seguros falla si el canal utilizado para distribuir la clave se ve comprometido.

A continuación se muestran algunos de los mejores algoritmos de cifrado que puede utilizar para proteger datos confidenciales.

• Advanced Encryption Standard (AES)

  El algoritmo de cifrado simétrico Estándar de Cifrado Avanzado codifica bloques de datos de 128 bits a la vez. Estos bloques se cifran mediante claves con longitudes de 128, 192 y 256 bits. El cifrado de datos requiere 14 rondas para una clave de 256 bits, 12 rondas para una de 192 bits y 10 rondas para una de 128 bits. Cada ciclo incluye varias etapas de sustitución, transposición, mezcla de texto plano y otras operaciones.

• Estándar de cifrado de datos triple (DES)

  El Estándar de Cifrado de Datos (DES) cifra bloques de datos con una clave de 56 bits mediante una técnica de cifrado simétrico denominada Triple DES. Cada bloque de datos se cifra tres veces con el método DES. Tanto los PIN de cajeros automáticos como las contraseñas de UNIX se pueden cifrar con Triple DES. Programas conocidos como Mozilla Firefox y Microsoft Office también utilizan Triple DES.

Cifrado asimétrico

El problema de intercambio que dificultaba el cifrado simétrico se resuelve mediante el cifrado asimétrico, también conocido como criptografía asimétrica. Este método genera dos claves criptográficas únicas: una privada y una pública, de ahí el nombre de «cifrado asimétrico». En el cifrado asimétrico, un mensaje se cifra mediante permutaciones matemáticas. Debe descifrarse con una clave privada que solo el receptor debe conocer, y debe cifrarse con una clave pública que pueda distribuirse a cualquier persona.

Por ejemplo: Usando la clave pública de Bob, Alice crea un texto cifrado que solo la clave privada de Bob puede descifrar para enviarle un mensaje privado. Si Bob se asegura de que nadie más tenga acceso a su clave privada, Alice puede transmitir el mensaje con la seguridad de que nadie más podrá leerlo, ni siquiera un intruso. Otra acción más difícil de realizar con el cifrado simétrico es el uso de firmas digitales, que funcionan de la siguiente manera: 

Bob puede usar su clave privada para enviar a Alice un mensaje con una firma cifrada. Cuando Alice recibe el mensaje, puede confirmar dos cosas usando la clave pública de Bob: si el mensaje fue enviado por Bob o por alguien que usa su clave privada. Si la comunicación se modifica incluso durante la transmisión, la verificación no será exitosa.

En ambos casos, Alice aún no ha generado una clave propia. Alice puede comunicarse con Bob mediante cifrado y verificar los documentos que Bob ha firmado mediante un intercambio de claves públicas. Cabe destacar que estas actividades solo funcionan en una dirección. Alice tendría que crear su clave privada y compartir la clave pública que la acompaña para deshacer las actividades, de modo que Bob pudiera enviarle mensajes privados y confirmar su firma.

Este procedimiento crea dos números primos de 1024 bits y los multiplica. Los dos números primos utilizados para construir la respuesta son la clave privada, mientras que la respuesta es la clave pública.

Este método funciona porque, cuando están involucrados dos números enteros primos de ese tamaño, es muy difícil revertir el cálculo, lo que hace relativamente simple calcular la clave pública a partir de la clave privada, pero muy imposible calcular la clave privada a partir de la clave pública.

El hecho de que la Infraestructura de Clave Pública (PKI) utilice un par de claves para proporcionar el servicio de seguridad subyacente es su característica más distintiva. La clave privada y la clave pública conforman el par de claves.

Dado que las claves públicas son de dominio público, es probable que se usen indebidamente. Por lo tanto, es necesario crear una infraestructura confiable para gestionarlas.

Los algoritmos utilizados para proteger la información sensible son los siguientes:

Rivest-Shamir-Adleman (RSA)

Un esquema de cifrado asimétrico llamado Rivest-Shamir-Adleman se basa en la factorización del producto de dos números primos enormes. Solo alguien que conozca estos números puede descifrar el mensaje eficazmente. La transmisión de datos entre dos puntos de comunicación suele estar protegida mediante... RSASin embargo, su eficacia disminuye al cifrar grandes cantidades de datos. No obstante, debido a sus características matemáticas únicas y su complejidad, esta tecnología de cifrado es especialmente fiable para la transmisión de datos confidenciales.

Certificados PKI

La PKI proporciona seguridad de clave pública. Ofrece distribución e identificación de claves públicas. Los siguientes componentes conforman la estructura de la PKI.

• Un certificado de clave pública se denomina comúnmente "certificado digital".
• Tokens de clave privada.
• Autoridad de certificación.
• Autoridad de Registro.
• Gestión de certificados Sistema.

Certificado digital

Las personas usan documentos de identidad, como el pasaporte o la licencia de conducir, para establecer su identidad. Con una excepción, un certificado digital cumple la misma función fundamental en el entorno electrónico.

Los certificados digitales pueden otorgarse a computadoras, programas de software o cualquier otro dispositivo que deba establecer su identidad en el mundo electrónico, además de a las personas. El estándar X.509 de la UIT, que describe un formato común para certificados de clave pública y su validación, es la base de los certificados digitales. Por lo tanto, los certificados X.509 son otro nombre para los certificados digitales. La autoridad de certificación almacena la clave pública del cliente en certificados digitales (CA).

Autoridad de certificación (CA)

La CA proporciona un certificado al cliente y ayuda a otros usuarios a validarlo. La CA es responsable de verificar con precisión la identidad del cliente que solicita el certificado, comprobar la exactitud de su contenido y firmarlo digitalmente.

Funciones clave de CA

Las funciones clave de un CA son las siguientes:

• Generando pares de claves

  El cliente y la CA pueden trabajar juntos o de forma independiente para crear un par de claves.

• Emisión de certificados digitales

  La CA podría compararse con la versión PKI de una oficina de pasaportes: tras recibir las credenciales necesarias para verificar la identidad del cliente, la CA emite el certificado. Posteriormente, lo firma para evitar alteraciones en la información que contiene.

• Certificados de publicación

  La CA debe publicar los certificados para que los usuarios puedan encontrarlos. Hay dos maneras de lograrlo: publicarlos en un directorio telefónico electrónico; y enviarlos a quienes considere que podrían necesitarlos por algún medio.

• Verificación de certificados

  Para facilitar la verificación de su firma en los certificados digitales de los clientes, la CA pone a disposición su clave pública en el entorno.

• Revocación de certificados

  Cuando el usuario compromete su clave privada o la CA pierde la confianza en el cliente, el certificado puede ser revocado. revocaciónCA mantiene una lista de todos los certificados que han sido revocados y que son accesibles para el entorno.

Cómo funciona el proceso de creación de certificados

El cifrado asimétrico se utiliza con frecuencia durante el proceso de creación de certificados, que funciona de la siguiente manera:

• Se genera una clave privada y se calcula la clave pública asociada.
• La CA solicita y verifica cualquier información personal sobre el propietario de la clave privada.
• El propietario de la clave privada firma la Solicitud de firma de certificado (CSR) Para certificar su propiedad de la clave pública. La CA emisora ​​verifica la solicitud y firma el certificado con su clave privada.

Componentes del ecosistema PKI

La autoridad certificadora es una empresa que crea certificados confiables reconocidos por una amplia gama de aplicaciones de software, entre los que destacan navegadores como Google Chrome, Safari, Firefox, Opera y Xbox 360.

• La Autoridad de Registro

  Normalmente, esta entidad realiza la validación. Tras completar toda la preparación necesaria, enviará la solicitud a la CA para emitir el certificado. La RA puede ser una empresa, una aplicación o una parte de ella.

• Parte que confía

  Es la persona que utiliza el certificado en el sitio web. El suscriptor es el propietario del sitio web que lo compra.

La arquitectura de PKI

Arquitectura de dos niveles

La mayoría de las empresas descubrirían que una arquitectura de dos niveles es un diseño práctico. La CA raíz se encuentra en el primer nivel, que debería permanecer fuera de línea. Al separar las funciones de la CA raíz y la CA emisora, se mejora la seguridad. Bajo esta, debería funcionar la CA emisora ​​subordinada.

• Una arquitectura de dos niveles también mejora la flexibilidad y la escalabilidad, mejorando así la tolerancia a fallos. Estar sin conexión ayuda a la CA raíz a proteger mejor sus claves privadas y reduce la probabilidad de que se vean comprometidas. Dado que los roles son distintos, podemos crear numerosas CA emisoras y colocarlas detrás de un balanceador de carga.

Arquitectura de tres niveles

Una arquitectura de tres niveles es similar a un sistema de dos niveles, ya que cuenta con una CA raíz offline en la cima y una CA emisora ​​online en la base. Sin embargo, la CA raíz offline ahora está en manos de una capa intermediaria. La CA de políticas, que establece los requisitos que deben cumplirse antes de emitir un certificado, puede ser la CA intermediaria.

• Cualquier usuario autenticado puede obtener un certificado, aunque la aceptación del certificado puede requerir la presencia física del usuario.
• La PKI de tres niveles mejora la seguridad, la escalabilidad y la flexibilidad, pero implica un gasto y una capacidad de gestión adicionales.
• Sin embargo, si una CA emisora ​​enfrenta un compromiso o algo similar, el segundo nivel puede revocar los certificados mientras mantiene activas las otras ramas.

¿Cuáles son algunos desafíos típicos?

Cuando los piratas informáticos intentan emplear MITM Los ataques para interceptar, modificar o robar información son uno de los problemas clave que la PKI intenta resolver. La persona que intenta interferir no tiene la clave privada. Por lo tanto, no puede descifrar el mensaje. Como resultado, su mejor esfuerzo es interceptado. 

• Se necesita una gran cantidad de potencia de procesamiento para descifrar el cifrado de 2048 bits. Por lo tanto, la PKI constituye una sólida defensa contra este tipo de ataques en línea.
• La PKI también aborda la gestión de certificados. Esto se logra confirmando la veracidad de cada uno mediante validación. Los certificados falsos perdidos o robados también pueden eliminarse mediante PKI. Además, los certificados pueden revocarse.

Componentes del ecosistema PKI

La autoridad certificadora es una empresa que crea certificados confiables reconocidos por una amplia gama de aplicaciones de software, entre los que destacan navegadores como Google Chrome, Safari, Firefox, Opera y Xbox 360.

• La Autoridad de Registro

  Normalmente, esta entidad realiza la validación. Tras completar toda la preparación necesaria, enviará la solicitud a la CA para emitir el certificado. La RA puede ser una empresa, una aplicación o una parte de ella.

• Parte que confía

  Es la persona que utiliza el certificado en el sitio web. El suscriptor es el propietario del sitio web que lo compra.

Jerarquía de CA

Una única CA confiable, de la que todos los usuarios reciben sus certificados, es prácticamente impráctica, dado el tamaño de las redes y las exigencias de las comunicaciones globales. En segundo lugar, tener una sola CA disponible podría ser problemático si esta fuera atacada. La arquitectura de certificación jerárquica es valiosa en esta situación, ya que permite el uso de certificados de clave pública en entornos donde dos partes que se comunican no comparten una relación de confianza con una CA común.

La CA raíz es el nivel más alto de la jerarquía de CA y su certificado es autofirmado. La CA raíz firma los certificados de las CA directamente subordinadas a ella (por ejemplo, CA1 y CA2).

Las CA subordinadas de nivel superior firman los certificados de CA para las CA que les son subordinadas en la jerarquía (por ejemplo, CA5 y CA6). Las jerarquías de las autoridades de certificación (CA) se reflejan en las cadenas de certificados. Una cadena de certificados muestra la secuencia de certificados que conducen desde una rama de la jerarquía hasta su raíz.

Verificar una cadena de certificados implica garantizar que dicha cadena sea legítima, esté correctamente firmada y sea fiable. El verificador obtiene el certificado utilizando la clave pública del emisor. El certificado del emisor, que se encuentra en la cadena junto al certificado del cliente, contiene la clave pública del emisor. 

Conclusión

Solo una infraestructura de clave pública completa puede lograr el objetivo de crear y mantener un entorno confiable para la gestión de sistemas, a la vez que proporciona una base viable, transparente y automática. El interés en la PKI puede generar importantes beneficios gracias a la reducción de costos, la optimización de los procesos corporativos y la mejora del servicio al cliente. Centrarse en aplicaciones empresariales específicas permitirá que su infraestructura de clave pública le ayude a alcanzar el éxito financiero deseado. Las redes privadas virtuales, el control de acceso, el comercio electrónico, la seguridad web, la seguridad de escritorio y el correo electrónico seguro pueden proporcionarse a través de su red actual.