PKI o los cimientos de una criptografía de clave pública (I)

En los últimos meses se ha vuelto difícil encontrar un anuncio o
propaganda sobre productos de seguridad y soluciones globales seguras
para su empresa que no incluya alguna referencia a PKI. Las
infraestructuras de clave pública (PKI en inglés) se están poniendo de
moda. ¿Es todo una nueva palabra mágica en labios de sonrientes
comerciales? ¿Qué hay detrás de las PKI? ¿Qué significa PKI
exactamente?
PKI se basa en la criptografía de clave pública, cuyos orígenes se
remontan al artículo seminal de Diffie y Hellman en 1976, donde se
explica la idea revolucionaria de servirse para las operaciones
criptográficas de una pareja de claves, una pública, conocida por
todos, y otra privada, sólo conocida por el usuario a quien le es
asignada. Un mensaje puede ser cifrado por cualquier persona usando la
clave pública, ya que es públicamente conocida, aunque sólo el
poseedor de la clave privada podrá descifrarlo. Recíprocamente, un
mensaje cifrado con la clave privada sólo puede ser cifrado por su
poseedor, mientras que puede ser descifrado por cualquiera que conozca
la clave pública.

Estas propiedades de que goza la criptografía de clave pública, cuyo
uso más común se plasma en la firma digital, la convierten en
candidata ideal para prestar servicios como la autenticación de
usuarios (para asegurarse de la identidad de un usuario, bien como
signatario de documentos o para garantizar el acceso a servicios
distribuidos en red, ya que sólo él puede conocer su clave privada,
evitando así la suplantación), el no repudio (para impedir que una vez
firmado un documento el signatario se retracte o niegue haberlo
redactado), la integridad de la información (para prevenir la
modificación deliberada o accidental de los datos firmados, durante su
transporte, almacenamiento o manipulación), la auditabilidad (para
identificar y rastrear las operaciones, especialmente cuando se
incorpora el estampillado de tiempo), y el acuerdo de claves secretas
para garantizar la confidencialidad de la información intercambiada,
esté firmada o no. ¿Desea proporcionar todos estos servicios de
seguridad en su empresa? PKI puede ser la respuesta.

Ahora bien, ¿cómo podemos estar seguros de que la clave pública de un
usuario, que hemos encontrado por ejemplo en un directorio o una
página web, corresponde realmente a ese individuo y no ha sido
falsificada por otro? ¿Cómo fiarnos de esa clave pública antes de
confiarle algún secreto nuestro? La solución más ampliamente adoptada
consiste en recurrir a una tercera parte confiable, erigida en la
figura de una autoridad de certificación (AC). La función básica de
una AC reside en verificar la identidad de los solicitantes de
certificados, crear los certificados y publicar listas de revocación
cuando éstos son inutilizados. El certificado contiene de forma
estructurada información acerca de la identidad de su titular, su
clave pública y la AC que lo emitió. Actualmente, el estándar al uso
es el X.509.v3.

Con el tiempo, una autoridad de certificación puede verse fácilmente
desbordada si cubre un área geográfica muy extensa o muy poblada, por
lo que a menudo delega en las llamadas autoridades de registro (AR) la
labor de verificar la identidad de los solicitantes. Las AR pueden
abrir multitud de oficinas regionales dispersas por un gran
territorio, llegando hasta los usuarios en los sitios más remotos,
mientras que la AC se limitaría así a certificar a todos los usuarios
aceptados por las AR dependientes de ella. Gracias a esta
descentralización se agiliza el proceso de certificación y se aumenta
la eficacia en la gestión de solicitudes.

En definitiva, una PKI incluirá una o varias autoridades de registro
para certificar la identidad de los usuarios; una o varias autoridades
de certificación que emitan los certificados de clave pública; un
repositorio de certificados, accesible vía web u otro medio, donde se
almacenen los certificados; las listas de revocación de certificados
(CRL), donde se listan los certificados suspendidos o revocados; y,
por supuesto, los propios certificados.