Infraestructura Clave Publica – PKI
En un mundo donde cada vez más los activos de información cobran real importancia y valor. Las arquitecturas de seguridad de informática deben proporcionar cuatro servicios básicos de seguridad:
Integridad.
Confidencialidad.
Identificacion y autenticacion.
No repudio.
Lograrlo en organizaciones que mantengan suficientes garantías de seguridad , confianza, mecanismos fáciles de distribución de claves y escalables no es tarea sencilla. Cuanto más cuando esa organización es un país y los usuarios son ciudadanos.
Cuando hablamos de conceptos de Firma Digital, esas firmas que tienen una validez jurídica, que otorgan a un documento electrónico autoría, integridad y no repudio. Estamos hablando implícitamente también de una Infraestructura de Clave Pública o PKI por sus siglas en inglés. Es la infraestructura que posibilita la creación uso validación y revocación de una firma que también puede utilizarse para cifrar información o procesos de autenticación e identificación.
De muy resumida manera lo que tenemos que saber es que la infraestructura de clave pública es una infraestructura con una arquitectura jerárquica basada en un sistema de dos claves criptográficas vinculadas entre sí. Una clave pública (relacionada con la identidad del propietario que la conoce los que validan su firma) y una clave privada (protegida por el propietario y se usa al momento de aplicar una firma) y que aplicados en algoritmos matemáticos criptográficos logran una firma digital prácticamente imposible de falsificar. Esta firma digital garantiza integridad y autoría a ese documento.
Los Estados donde está regulada la firma digital adoptan este modelo estándar para sus infraestructuras nacionales de certificación. Ya que uno de los puntos más fuertes de PKI es que cuando se realiza una firma utilizando determinados algoritmos, no existe capacidad de procesamiento que pueda “romper” o falsificar ese documento firmado en un tiempo prudente determinado. Otra de las ventajas sin dudas es su facilidad para distribuir claves de forma segura y escalable lo cual hace una solución óptima en cualquier escenario empresarial pero sobre todo cuando el número de usuarios es elevado como por ejemplo para uso de la ciudadanía en gobiernos digitales.
El punto más débile es la identificación del firmante , de forma de asegurarnos que esa persona es quien dice ser. Para ello un componente clave de la infraestructura son las Autoridades de Certificación que son entidades (empresas, organismos) acreditadas para certificar la identidad de una persona, para la cual se le emitirá un certificado digital que vincula su identidad con su clave pública.
Se podría definir PKI como un conjunto software, hardware y procedimientos de seguridad pero es mucho más que eso.
Veamos cuáles son las principales partes de la infraestructura
Suscriptor
Es la persona o empresa que solicita un certificado de firma.
Certificado Digital
Es un documento electrónico emitido por la autoridad certificadora que asocia los datos del Suscriptor con su clave pública. El certificado digital es firmado digitalmente por la autoridad que lo emite.
Autoridad de Certificación
Es la entidad encargada de emitir y revocar certificados digitales asociados con la identidad del Suscriptor. Las CA tienen su propio certificado digital y par de llaves pública y privada. Usa esta última para firmar los certificados solicitados.
Autoridad de Registro
Es la entidad que registra los datos del Suscriptor, verifica la identidad del mismo y tramita la solicitud del certificado con la CA. La autoridad de registro puede pertenecer a una misma organización o incluso al mismo sistema informático. Aunque por lo general son entidades independientes.. La solicitud de emisión del certificado incluye la clave pública del suscriptor y un fragmento firmado con su clave privada. Es el punto más susceptible a fraude, ya que si los datos registrados son falsos se podría emitir un certificado digital a nombre de la persona incorrecta. Es por esto que las autoridades de registro se contactan con el sujeto para verificar la identidad del suscriptor, en la mayoría de casos de forma presencial verificando por parte de un agente la documentación identificatoria presentada.
Actualmente para la emisión de certificados de firma electrónica ( y más en la coyuntura actual) hay Estados que están comenzando a aceptar el uso de tecnología para realizar el registro de forma 100% remota, ameritando este punto un post específico sobre el análisis de las tecnologías, los pros y contras.
Autoridad de Validación
Es la entidad encargada de validar mediante distintas técnicas informáticas (ej OCSP, CRL) si un Certificado Digital es válido o si está revocado.
La revocación es esencial para acortar la vida del certificado por causas como por ejemplo extravío, hurto o defunción.
Servicios
Nada de la infraestructura tiene sentido si no existiesen herramientas y servicios que integren la posibilidad de firmar digitalmente de forma fácil y confiable por parte del usuario.
Como también terceras partes que acepten el uso del mismo.
También podemos encontrar la figura de:
Regulador que entre otras cosas otorga acreditaciones a las Autoridades Certificadoras, definen Políticas de Certificación (CP) que son documentos estandarizados donde se especifica todos los aspectos técnicos que deben cumplir las mismas para su acreditación (ejemplo: seguridad física, software utilizado, planes de contingencia, respaldos, seguridad de la información en general)
De forma de que las autoridades certificadoras mantengan vigente su licencia. Es cometido del regulador exigir auditorías periódicas donde se valida el cumplimiento de las Prácticas de Certificación declaradas por la Autoridad Certificadora.
¿Cómo se articula y funciona todas las partes en la práctica?
-
El Suscriptor en este caso “Juan” se presenta ante un agente en la Autoridad de Registro. Entrega documentación para su identificación. En algunos casos puede exigirse adicionalmente comprobación con sistema biométrico.
-
El Agente de Registro valida su identidad, registra sus datos y envía una petición de emisión de certificado a la CA.
-
La CA emite un Certificado Digital a nombre de la persona. El mismo contiene la información identificatoria de la persona, su clave pública y la firma de la entidad emisora entre otras cosas.
-
Para evitar el uso fraudulento, Se entrega al usuario el certificado y par de claves en un medio seguro con exclusivo control. La clave privada debe estar custodiada por el suscriptor ya que es la que se utiliza para generar firmas. Es en este sentido que para acceder a ella se necesita ingresar un PIN que solo el Suscriptor conoce.
.
5. Al momento de validar el estado de revocación de un certificado digital se hace una consulta a los sistemas de la Autoridad de Validación. La correcta validación de una firma completa será tema del próximo post.
Pero… si mi certificado es generado y firmado por la Autoridad Certificadora , ¿Quién genera el certificado digital de la CA?
Existe una jerarquía entre las Autoridades Certificadoras (CA). Esto quiere decir que existen distintos tipos de CAs con distintos roles y propósitos.
Una de ellas es la que está más alto en la jerarquía, y es la encargada de habilitar técnicamente a otras intermedias o subordinadas para que puedan operar. La autoridad certificadora que está más alto en la jerarquía se llama Autoridad Certificadora Raíz.
Para que una CA pueda operar tienen que poseer una clave privada y una certificado con su clave pública firmado por la CA de nivel superior. De este modo se genera una cadena de confianza.
¿Qué Autoridad Certificadora genera el certificado raíz?
Es autogenerado por la propia autoridad certificadora raíz bajo estrictos protocolos y medidas de seguridad, especificadas por el regulador en las Políticas de Certificación (CP).
Cuando se pone operativa una CA Raíz se hace una ceremonia donde participan, auditores, oficiales de seguridad, técnicos operadores, incluso pueden participar notarios y filmar todo el procedimiento. De esta forma se mantiene garantías de seguridad en todos los procedimientos y que se ejecute todo tal cual lo especificado en las políticas de certificación.
El elemento central sobre el cual gira PKI es la confianza.
Confianza en la CA que emitió el certificado. Para ello la evaluación de la declaración de prácticas de certificación por parte de auditoras externas de forma periódica es fundamental.
Confianza en los procesos de registro. Los mismos pueden variar no siempre otorgando las mismas garantías. (remoto, presencial).
Confianza en los Soportes empleados para almacenar las claves. (tarjeta criptográfica, token, nube).
Confianza en el respaldo legal, quien se hace cargo ante fallos. Normativas que le dan valor a las firmas empleadas.
Confianza en el entorno del firmante. El usuario es por lo general el eslabon mas debil de la cadena de seguridad. Proveer un entorno adecuado donde pueda firmar y validar correctamente es otro punto clave.
La confianza es una percepción subjetiva de las personas. Ante las mismas medidas de seguridad pueden haber distintos grados de confianza dependiendo de cada personas, pero los sistemas siempre se deberían asegurar empleando las mejores prácticas y estándares internacionales en materia de seguridad de la información.
Como vimos la PKI es mucho más que software.
y Vos… ¿Ya usaste firmas digitales? ¡Contanos tu experiencia!.