Construya las entidades básicas en la cadena de confianza en su organización

A Infraestructura de clave pública (PKI) Ayuda a los usuarios a intercambiar datos de forma segura y proporciona confidencialidad e integridad de los datos, así como autenticación del usuario final. La PKI utiliza un par de claves público-privadas recibidas de un proveedor de confianza. Autoridad certificadaLa autoridad certificadora emite certificados de clave pública que pueden utilizarse para cifrar datos o para firmas digitales.

Un certificado de clave pública se utiliza para asociar una identidad con una clave pública. La entidad que crea esta asociación se conoce como el emisor del certificado y la identidad a la que se emite el certificado se conoce como el sujeto del certificado. Cuando un usuario visita un sitio web seguro, este envía un... Certificado SSL / TLS Al navegador del usuario. El navegador del usuario valida si el emisor de este certificado figura en su lista de Autoridades de Certificación Raíz de confianza.

Si el navegador no encuentra una coincidencia, comprueba si alguna de las autoridades de certificación raíz de confianza ha firmado el certificado CA emisor. El navegador continúa validando al emisor del certificado hasta que encuentra un certificado raíz de confianza o llega al final de la cadena de confianza. Esta cadena de confianza ayuda a demostrar que el certificado proviene de una fuente confiable y que el sitio web que visita el usuario es seguro.
Una cadena de certificados es una cadena de Certificados digitales, comenzando con un certificado de entidad final, uno o más certificados intermedios y un certificado raíz.

Entidades básicas en la cadena de confianza

Hay tres entidades básicas en la cadena de certificados de confianza: Certificado de CA raíz, Certificado de CA intermedia y certificado de entidad final.

1. Certificado CA raíz:

   El certificado de CA raíz es autofirmado. Certificado X.509Este certificado actúa como un ancla de confianza, utilizado por todas las partes que confían como punto de partida para la validación de rutas. La clave privada de la CA raíz se utiliza para firmar los certificados de la CA intermedia. Si este certificado y su clave privada se ven comprometidos, toda la cadena de certificados se interrumpe y todos los certificados firmados con esta clave privada se verán afectados. Por lo tanto, la clave privada de la CA raíz debe generarse y protegerse de forma segura en todo momento. Para proteger los certificados de la CA raíz, se colocan CA intermedias entre la CA raíz y las entidades finales, y la CA raíz nunca emite certificados directamente a las entidades finales. Los sistemas operativos, navegadores web y aplicaciones personalizadas vienen preinstalados con más de 100 certificados de CA raíz de confianza.

2. Certificados CA intermedios:

   El certificado de CA intermedia se ubica entre el certificado de CA raíz y el certificado de entidad final. Puede haber uno o más certificados de CA intermedia en la cadena de confianza. El certificado de CA intermedia firma los certificados de entidad final. Esto proporciona una capa adicional de seguridad a la CA raíz, ya que puede mantenerse desconectada de forma segura la mayor parte del tiempo.

3. Certificados de entidad final:

   El certificado de entidad final es el certificado de servidor que se emite para el dominio del sitio web. Cuando este certificado de servidor se instala en el servidor web, la URL se cambia a HTTPS. Esto indica que el sitio web es seguro y utiliza una conexión cifrada. Para recibir un certificado digital, una entidad final envía un Solicitud de firma de certificado (CSR) A la CA emisora ​​(CA intermedia). El CSR contiene detalles sobre la entidad final. La CA emisora ​​verifica que la información proporcionada sea correcta y emite el certificado a la entidad final.

Tipos de modelos de confianza

Modelo de confianza jerárquica

En el modelo de confianza jerárquica de PKI, existe una CA raíz sin conexión y varias CA emisoras en línea. Estas múltiples CA emisoras garantizan alta disponibilidad y equilibrio de carga. Este es el proceso de validación en cadena más común y se desarrolla en sentido inverso. En este caso, la validación comienza comparando la información del certificado de la entidad final con el certificado intermedio que lo emitió y, a continuación, compara la información del certificado intermedio con el certificado raíz que lo emitió.

Modelo de red de confianza

El modelo de red de confianza es una alternativa al modelo de confianza jerárquico. Se trata de un modelo de confianza descentralizado donde los usuarios gestionan la confianza a nivel de clave individual. No existe una autoridad de certificación ni una raíz de confianza. El control descentralizado de cada par de claves es la principal diferencia con el modelo de confianza jerárquico. PGP (Pretty Good Privacy) utiliza este modelo de confianza.

Validación de la ruta del certificado

La validación de ruta es el proceso de verificar la integridad de la cadena de certificados, desde la entidad final hasta la CA raíz. Existen algunos campos y extensiones de certificado que se utilizan en la validación de ruta. Estos campos se utilizan para definir la identidad del certificado y los vínculos entre certificados.

1. Nombre distinguido del emisor:El nombre del emisor que firmó el certificado.
2. Nombre distinguido del sujeto:La identidad del titular del certificado.
3. clave pública:La clave pública de la asimétrico par de claves.
4. Identificador de clave de autoridad (AKI): La extensión del certificado que contiene el identificador de clave que se deriva de la clave pública en el certificado del emisor.
5. Identificador de clave de sujeto (SKI):La extensión del certificado que contiene el identificador de clave que se deriva de la clave pública en el certificado del sujeto.

El sujeto del certificado de nivel superior es el emisor del certificado de nivel inferior en la cadena. El cliente busca en diferentes ubicaciones el certificado que coincida con el DN del emisor en su propio certificado. El nombre distinguido (DN) se utiliza para encontrar los certificados, y los valores AKI y SKI se utilizan para determinar si es correcto. Si una autoridad de certificación genera un nuevo par de claves, el valor SKI del certificado debería cambiar.

El DN de la autoridad de certificación no cambia durante el proceso de renovación de claves. Por lo tanto, los valores de AKI y SKI garantizan la selección del certificado correcto para construir la cadena. Cuando un cliente encuentra varias cadenas de certificación de confianza durante el proceso de construcción, se selecciona la mejor calculando la puntuación de cada una. Esta puntuación se basa en la cantidad y la calidad de la información que proporciona la ruta del certificado. Si la puntuación es la misma para varias cadenas, se selecciona la cadena más corta.

Certificación cruzada

La certificación cruzada es el proceso de interconectar dos PKI para construir cadenas de certificados. Las dos CA involucradas en la certificación cruzada firman sus respectivos certificados para establecer la relación en ambas direcciones. Una vez que ambas autoridades de certificación han establecido la confianza, las entidades dentro de las PKI independientes pueden interactuar entre sí según las políticas mencionadas en los certificados.

Tiendas de certificados

1. Almacén de certificados de Microsoft

   El sistema operativo Microsoft cuenta con almacenes de certificados integrados para anclajes de confianza. Microsoft utiliza el servicio Windows Update para publicar certificados raíz de confianza en los almacenes de certificados. El programa Microsoft Root CA valida y gestiona la elegibilidad para la publicación de certificados raíz.

2. MAC OSX y Safari

   MAC OSX implementa un almacén de certificados. Este almacén combina un almacén de certificados y un gestor de contraseñas. De forma predeterminada, el sistema cuenta con dos cadenas de claves, las de inicio de sesión y del sistema. El usuario puede crear más cadenas de claves.

3. Firefox y otros navegadores basados ​​en Mozilla

   Mozilla incluye un módulo PKCS#11 que contiene certificados raíz de confianza. El usuario no puede actualizar este almacén de certificados. Sin embargo, puede cargar certificados CA raíz de confianza adicionales en la base de datos de usuarios.

4. OpenSSL

   OpenSSL almacena los certificados de CA raíz de confianza en archivos pem sin cifrar. La seguridad del sistema de archivos es fundamental para proteger estos archivos.

5. JAVA

   Para JAVA, los certificados de CA raíz de confianza se almacenan en forma cifrada en
   <JAVA path>/lib/security/cacerts.El usuario puede actualizar este almacén de certificados.

Conclusión

La cadena de certificados de confianza es una lista de certificados desde la entidad final hasta los anclajes de confianza. Permite al receptor verificar la fiabilidad del emisor y de todos los certificados intermedios. Mediante el uso de campos de certificado y valores de extensión, la validación de ruta verifica la integridad de la cadena de certificados, desde la entidad final hasta la CA raíz.

Existen diferentes almacenes de certificados que se utilizan para almacenar certificados raíz de confianza. Encryption Consulting es una consultora de ciberseguridad centrada en el cliente que ofrece servicios a diversos clientes para la implementación y gestión de... PKI en sus entornos. Para ver cómo podemos ayudar a su organización, visite nuestro sitio web en www.encryptionconsulting.com.