Introducción
La Infraestructura de Clave Pública (PKI, por sus siglas en inglés) es un sistema vital para la seguridad de la información.
A través de la PKI, se establece una infraestructura de confianza que permite la autenticación, integridad y confidencialidad de las comunicaciones digitales.
La PKI se basa en el uso de certificados digitales emitidos por una Autoridad de Certificación (CA). Estos certificados contienen claves públicas utilizadas para verificar la identidad de los participantes y cifrar la información. Como hemos visto antes, los certificados digitales desempeñan un papel fundamental en aplicaciones como el cifrado de correo electrónico, la firma digital y la protección de las conexiones seguras en línea.
Es necesario comprender bien cómo funciona la PKI y aplicar sus principios en la práctica, para aprovechar sus ventajas y llevar a la práctica el uso de los certificados digitales.
DOCUMENTO
Autoridades de Certificación
Las Autoridades de Certificación (CAs, por sus siglas en inglés) son componentes esenciales dentro de la PKI. Son entidades de confianza encargadas de emitir y gestionar los certificados digitales.
A nivel técnico, las CAs utilizan sus claves privadas para firmar los certificados digitales que emiten. De esta forma, cuando se validan las firmas de los certificados digitales, se hace con la clave pública de la Autoridad de Certificación.
Tomemos como ejemplo un usuario que firma un documento PDF con un certificado digital, expedido por la Fábrica Nacional de Moneda y Timbre (FNMT) como Autoridad Certificadora. Cuando se valide la firma usando las claves públicas, se puede utilizar el servicio VALIDe de la FNMT, que verificará usando sus claves de Autoridad Certificadora para autenticar el certificado con el que se han expedido. De esta forma, se puede identificar que esa firma corresponde a una persona física concreta: el usuario que ha firmado el documento.
Saber más
El servicio VALIDe (valide.redsara.es/valide) permite validar la firma de documentos firmados con certificados expedidos por todos los prestadores que se encuentran inscritos en el registro de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de Información del Ministerio de Industria, Turismo y Comercio de autoridades.
Estructura de una PKI
Los certificados digitales son normalmente firmados por una autoridad certificadora de último nivel. Una PKI es una estructura jerárquica con varios niveles.
En la cima de esta estructura, están las CAs raíz, en las cuales se deposita máxima confianza. Estas CAs raíz son encargadas de firmar los certificados de otras CAs, debajo en esa jerarquía de confianza. Así, estas últimas CAs firman a su vez los certificados de los usuarios.
De esta forma, se permite una mejor gestión de claves asimétricas y de la confianza en éstas. Las claves privadas de las CAs deben estar muy bien protegidas, ya que son las que firman los certificados. Cuanto más arriba en la cadena del PKI, más confianza depositamos en la CA y, por tanto, en su gestión de claves. Si una CA intermedia es comprometida, entonces sólo aquellos certificados que haya firmado ésta deben ser revocados, es decir, invalidados.
Las estructuras PKI nos permiten crear una cadena de confianza y gestionar de forma más eficiente los certificados, garantizando su validez y fiabilidad. De esta forma, se pueden usar con validez legal y estar respaldados por gobiernos y estados.