Paso a paso
PKI y certificados digitales
Cualquier PKI resulta tan segura en su totalidad como lo sea su componente más débil. Por tanto, un buen diseño de PKI requiere la previa comprensión del rol tecnológico y funcional de todos y cada uno de sus componentes. Aquí se ofrece una descripción de los principales pasos a dar, con algunos consejos para llegar a buen puerto.
De un modo sencillo, se puede decir que una infraestructura de clave pública o PKI (Public Key Infrastructure) es el conjunto de componentes y políticas necesarias para crear, gestionar y revocar certificados digitales que pueden ser utilizados para autenticar cualquier aplicación, persona, proceso u organización de una red de empresa, extranet o Internet.
La idea básica de una infraestructura de clave pública es muy simple: se trata de que los datos sensibles sean protegidos mediante técnicas de encriptación. Cada dispositivo de usuario final posee software de encriptación y dos claves: una pública para distribuirla a otros usuarios, y otra privada, guardada y protegida por su propietario. El usuario encripta un mensaje utilizando la clave pública del receptor; cuando el mensaje se recibe, el destinatario lo desencripta con su clave privada. Se pueden tener múltiples pares de claves para mantener comunicaciones distintas con grupos diferentes.
Pero, dado el elevado número de claves que intervienen en las comunicaciones, resulta crucial contar con algún método para administrarlas y controlar su utilización. Aquí es donde una PKI entra en juego, permitiendo la creación, distribución, seguimiento y revocación centralizada de claves.
Sistema de autenticación
El primer paso a dar para la creación de una PKI consiste en establecer un sistema de autenticación, de modo que los usuarios puedan ser identificados antes de recibir los derechos de red. Aunque, para ello, los logon basados en contraseñas suponen un método muy extendido, son mucho más seguros los certificados digitales, ya que poseen información específica sobre el usuario para permitir su identificación, como nombre, clave pública y firma digital, la cual le vincula con el certificado.
Para obtener un certificado, un usuario envía una petición a la autoridad de registro designada, que verifica su identidad y encarga a la autoridad certificadora la expedición del certificado. En sí mismo, el certificado es un documento digital que, generalmente, se almacena y administra en un directorio central. Si el usuario está operando desde el hogar, el certificado se almacena en su sistema; en otros casos, se transmite automáticamente cuando es necesaria su utilización, sin interrumpir el trabajo del usuario. Asimismo, la autoridad verifica la autenticidad del certificado cuando lo precisa un tercero, igualmente de modo transparente. La autoridad de certificación, como entidad que firma y publica certificados mediante una clave privada, representa el corazón de cualquier PKI, y, por tanto, su seguridad debe ser máxima.
Como ya se ha dicho, los certificados digitales no sólo autentican personas, sino que su campo de acción se extiende también a una aplicación, correo electrónico, dirección IP o incluso una organización entera, así como a las propias autoridades de certificación. Pero, pese a esta versatilidad, los certificados digitales no identifican los roles o funciones que su poseedor puede realizar, lo que implica un problema de seguridad, ya que, por sí mismos, no se pueden aplicar para controlar accesos al no restringir las acciones de sus titulares.
A fin de eliminar este inconveniente, el grupo de trabajo X.509 PKI de Internet Engineering Task Force (IETF) –el formato de certificados X.509 es el más extendido– está desarrollando un perfil de certificados de atributos compatible con el formato de certificados X.509, el más extendido. De este modo, cuando se publique la especificación –ahora en borrador– los certificados ofrecerán además un mecanismo de autorización y control de accesos.
Por supuesto, los certificados no deberían durar eternamente, por lo que se editan con una fecha de expiración. No obstante, algunas veces deben ser revocados inmediatamente, como cuando un empleado abandona la empresa. Para tratar tales situaciones, la autoridad mantiene actualizada una lista de revocación de certificados (Certificate Revocation List – CRL), que los usuarios pueden consultar para asegurarse de que un determinado certificado sigue siendo válido justo en ese momento. Estas CRL son accesibles por diferentes medios de consulta, como correo electrónico, Web o LDAP (Lightweight Directory Access Protocol).
Aún así, habrá que tener en cuenta la frecuencia con que las CRL se actualizan, ya que su carácter es estático. Por ello, es preferible que dicha información se ofrezca en tiempo real, que es justo lo que aporta el nuevo OCSP (Online Certificate Status Protocol), ya soportado por las últimas versiones de los navegadores de Microsoft y Netscape.
La autoridad de registro es responsable de verificar la identidad de los poseedores de certificados. Este es un proceso diferente de la certificación en sí, y puede suceder antes o después de que la autoridad de certificados genere un certificado.
Directorio central y políticas
Generalmente, como parte de la PKI se implementa un directorio central donde se almacenan –y pueden consultarse– los certificados, junto con otras informaciones relevantes. Si el directorio existente en la empresa está basado en LDAP (Lightweight Directory Access Protocol) o cumple la norma X.500, es muy probable que satisfaga los requerimientos de una PKI. No obstante, los sistemas de directorio no siempre interoperan entre sí como sería de desear, un inconveniente que el Directory Interoperability Forum trata de resolver.
Otro elemento de una PKI es la política de certificación, que establece las reglas de su uso y los servicios de certificados. Este conjunto de normas debe prever todo tipo de situaciones, estableciendo, por ejemplo, que si un usuario erróneamente comparte su clave privada deberá notificarlo al personal de seguridad o a la autoridad de certificación.
Como la determinación proactiva de cómo ese evento ha de ser tratado es crítico para la operación de una PKI, está prevista en una declaración de prácticas de certificados (CPS –Certificate Practice Statement). La política de certificados y el CPS se redactan por lo común con el asesoramiento del personal de TI, los grupos de usuarios y personal jurídico.
El CPS proporciona una explicación detallada de cómo la autoridad de certificación ha de gestionar los certificados que edita y otros servicios asociados, como la gestión de claves. Además, actúa como un contrato entre la autoridad certificadora y los usuarios, describiendo las obligaciones y limitaciones legales, y estableciendo los principios para futuras verificaciones y audito- rías. Los fabricantes de PKI pueden proporcionar plantillas CPS para trabajar con ellas.
Como sucede con muchas otras infraestructuras TI, será necesario disponer de personal dedicado específicamente a crear, administrar y gestionar la PKI, algo que no siempre resulta sencillo. De entrada, es preciso nombrar un responsable de seguridad, encargado de establecer y administrar la política de seguridad. Esta persona no ha de ser necesariamente parte del personal TI, pero debe comprender bien todas las cuestiones que entran en juego.
De un modo sencillo, se puede decir que una infraestructura de clave pública o PKI (Public Key Infrastructure) es el conjunto de componentes y políticas necesarias para crear, gestionar y revocar certificados digitales que pueden ser utilizados para autenticar cualquier aplicación, persona, proceso u organización de una red de empresa, extranet o Internet.
La idea básica de una infraestructura de clave pública es muy simple: se trata de que los datos sensibles sean protegidos mediante técnicas de encriptación. Cada dispositivo de usuario final posee software de encriptación y dos claves: una pública para distribuirla a otros usuarios, y otra privada, guardada y protegida por su propietario. El usuario encripta un mensaje utilizando la clave pública del receptor; cuando el mensaje se recibe, el destinatario lo desencripta con su clave privada. Se pueden tener múltiples pares de claves para mantener comunicaciones distintas con grupos diferentes.
Pero, dado el elevado número de claves que intervienen en las comunicaciones, resulta crucial contar con algún método para administrarlas y controlar su utilización. Aquí es donde una PKI entra en juego, permitiendo la creación, distribución, seguimiento y revocación centralizada de claves.
Sistema de autenticación
El primer paso a dar para la creación de una PKI consiste en establecer un sistema de autenticación, de modo que los usuarios puedan ser identificados antes de recibir los derechos de red. Aunque, para ello, los logon basados en contraseñas suponen un método muy extendido, son mucho más seguros los certificados digitales, ya que poseen información específica sobre el usuario para permitir su identificación, como nombre, clave pública y firma digital, la cual le vincula con el certificado.
Para obtener un certificado, un usuario envía una petición a la autoridad de registro designada, que verifica su identidad y encarga a la autoridad certificadora la expedición del certificado. En sí mismo, el certificado es un documento digital que, generalmente, se almacena y administra en un directorio central. Si el usuario está operando desde el hogar, el certificado se almacena en su sistema; en otros casos, se transmite automáticamente cuando es necesaria su utilización, sin interrumpir el trabajo del usuario. Asimismo, la autoridad verifica la autenticidad del certificado cuando lo precisa un tercero, igualmente de modo transparente. La autoridad de certificación, como entidad que firma y publica certificados mediante una clave privada, representa el corazón de cualquier PKI, y, por tanto, su seguridad debe ser máxima.
Como ya se ha dicho, los certificados digitales no sólo autentican personas, sino que su campo de acción se extiende también a una aplicación, correo electrónico, dirección IP o incluso una organización entera, así como a las propias autoridades de certificación. Pero, pese a esta versatilidad, los certificados digitales no identifican los roles o funciones que su poseedor puede realizar, lo que implica un problema de seguridad, ya que, por sí mismos, no se pueden aplicar para controlar accesos al no restringir las acciones de sus titulares.
A fin de eliminar este inconveniente, el grupo de trabajo X.509 PKI de Internet Engineering Task Force (IETF) –el formato de certificados X.509 es el más extendido– está desarrollando un perfil de certificados de atributos compatible con el formato de certificados X.509, el más extendido. De este modo, cuando se publique la especificación –ahora en borrador– los certificados ofrecerán además un mecanismo de autorización y control de accesos.
Por supuesto, los certificados no deberían durar eternamente, por lo que se editan con una fecha de expiración. No obstante, algunas veces deben ser revocados inmediatamente, como cuando un empleado abandona la empresa. Para tratar tales situaciones, la autoridad mantiene actualizada una lista de revocación de certificados (Certificate Revocation List – CRL), que los usuarios pueden consultar para asegurarse de que un determinado certificado sigue siendo válido justo en ese momento. Estas CRL son accesibles por diferentes medios de consulta, como correo electrónico, Web o LDAP (Lightweight Directory Access Protocol).
Aún así, habrá que tener en cuenta la frecuencia con que las CRL se actualizan, ya que su carácter es estático. Por ello, es preferible que dicha información se ofrezca en tiempo real, que es justo lo que aporta el nuevo OCSP (Online Certificate Status Protocol), ya soportado por las últimas versiones de los navegadores de Microsoft y Netscape.
La autoridad de registro es responsable de verificar la identidad de los poseedores de certificados. Este es un proceso diferente de la certificación en sí, y puede suceder antes o después de que la autoridad de certificados genere un certificado.
Directorio central y políticas
Generalmente, como parte de la PKI se implementa un directorio central donde se almacenan –y pueden consultarse– los certificados, junto con otras informaciones relevantes. Si el directorio existente en la empresa está basado en LDAP (Lightweight Directory Access Protocol) o cumple la norma X.500, es muy probable que satisfaga los requerimientos de una PKI. No obstante, los sistemas de directorio no siempre interoperan entre sí como sería de desear, un inconveniente que el Directory Interoperability Forum trata de resolver.
Otro elemento de una PKI es la política de certificación, que establece las reglas de su uso y los servicios de certificados. Este conjunto de normas debe prever todo tipo de situaciones, estableciendo, por ejemplo, que si un usuario erróneamente comparte su clave privada deberá notificarlo al personal de seguridad o a la autoridad de certificación.
Como la determinación proactiva de cómo ese evento ha de ser tratado es crítico para la operación de una PKI, está prevista en una declaración de prácticas de certificados (CPS –Certificate Practice Statement). La política de certificados y el CPS se redactan por lo común con el asesoramiento del personal de TI, los grupos de usuarios y personal jurídico.
El CPS proporciona una explicación detallada de cómo la autoridad de certificación ha de gestionar los certificados que edita y otros servicios asociados, como la gestión de claves. Además, actúa como un contrato entre la autoridad certificadora y los usuarios, describiendo las obligaciones y limitaciones legales, y estableciendo los principios para futuras verificaciones y audito- rías. Los fabricantes de PKI pueden proporcionar plantillas CPS para trabajar con ellas.
Como sucede con muchas otras infraestructuras TI, será necesario disponer de personal dedicado específicamente a crear, administrar y gestionar la PKI, algo que no siempre resulta sencillo. De entrada, es preciso nombrar un responsable de seguridad, encargado de establecer y administrar la política de seguridad. Esta persona no ha de ser necesariamente parte del personal TI, pero debe comprender bien todas las cuestiones que entran en juego.
