Que es PKI?

Infraestructura de Clave Pública (PKI) como término describe los sistemas y componentes utilizados para asegurar las comunicaciones y transacciones de Internet. Este artículo cubrirá un desglose de alto nivel de los diversos PKI componentes y cómo interactúan en el PKI ecosistema. Si es propietario de una empresa que busca reforzar su ciberseguridad o simplemente cualquier persona interesada en la infraestructura de clave pública, esta pieza le proporcionará algunos ejemplos prácticos y fundamentados.  

 

Dónde está PKI ¿usado?

Discusiones de PKI te llevará rápidamente SSL (capa de sockets seguros) /TLS (Transport Layer Security), que requieren una clave privada y una clave pública. La clave privada se guarda en el servidor web. La clave pública está incrustada en el certificado SSL. Cuando visita un sitio web y ve ese candado a la izquierda de la barra de direcciones, y la URL dice "HTTPS" (a diferencia de HTTP), su navegador descargará automáticamente esa clave pública junto con el certificado, lo que confirma que el sitio web es realmente quien se presenta. Si hubo algo que no pasó este intercambio, el navegador le dará una advertencia de error. El navegador realiza este intercambio de certificados y claves en una fracción de segundo. 

La clave privada se guarda en el servidor web. Eso no debe ser descubierto por nadie que no sea el personal autorizado en el sitio web. La clave pública se distribuye a usted, a mí, a todos los demás en general.

¿Cómo PKI trabajar en un navegador?

La clave privada y la clave pública son una pareja. Digamos que Bob tiene una clave privada y Sally y Joe tienen la clave pública. Sally y Joe no pueden comunicarse entre sí porque ambos tienen la clave pública. Bob sabe que cualquier mensaje que reciba es de alguien que tiene la clave pública.

¿Cómo saben Sally y Joe que se están comunicando con alguien que se hace llamar Bob? Aquí es donde entran en juego los certificados. Para que Sally y Joe sepan que en realidad están interactuando con Bob, su certificado lo confirmará. El certificado está firmado por una autoridad de certificación como SSL.com y será de confianza en cualquier plataforma que estén usando, en este caso un navegador.

La clave pública y la clave privada son computativamente intensivas. Para obtener un nivel cómodo de cifrado con la tecnología informática actual, los tamaños de las claves públicas son como mínimo de 2048 bits. Puede obtenerlos hasta 4096, que es mucho más intensivo. Es más seguro, pero hay un punto de rentabilidad decreciente. 2048 es lo que usa la mayoría de la gente. Con la clave secreta, por otro lado, puede agregar 256 bits.

¿Qué es el protocolo de enlace SSL?

An SSL /TLS apretón de manos es una negociación entre dos partes en una red, como un navegador y un servidor web, para establecer los detalles de su conexión. Determina qué versión de SSL /TLS se utilizará en la sesión, cuyo conjunto de cifrado cifrará la comunicación, verifica el servidor (y a veces también el cliente) y establece que existe una conexión segura antes de transferir datos. Puedes leer más detalles en nuestra guía.

El SSL /TLS Apretón de manos: descripción general - SSL.com

 

 

¿Cómo PKI habilitar correos electrónicos seguros?

Hasta cierto punto, SSL /TLS apretón de manos también se aplica a Extensiones de correo de Internet seguras / multipropósito (S/MIME). No es como si estuvieras yendo al sitio web y obteniendo el certificado. Con el protocolo de enlace SSL, dura una sesión, digamos cinco minutos, y luego el tráfico desaparece. Cuando lo haces con S/MIME, es el mismo concepto, pero sus correos electrónicos pueden durar años.

Para ilustrar como PKI ayuda a que los intercambios de correo electrónico sean seguros, usemos los caracteres anteriores nuevamente. Sally le envía a Bob su clave pública en un S/MIME certificado y recibirá el correo electrónico de Bob en un S/MIME certificado también. Y dado que ambos tienen su clave privada, pueden enviar correos electrónicos cifrados entre ellos. Un S/MIME El certificado le permite enviar correos electrónicos de varias partes, siempre y cuando tenga los S/MIME certificados en un grupo, puede enviar un correo electrónico a todos y ellos pueden hacer lo mismo con usted. Por lo general, si está utilizando un cliente de correo electrónico común y está tratando de enviar un correo electrónico cifrado a un grupo de personas, debería advertirle si no tiene S/MIME para una persona específica, en cuyo caso, no podrá cifrar el correo electrónico. 

¿Cómo figura el cifrado y la autenticación en S/MIME?

También hagamos una distinción entre cifrado y autenticación. Si te pregunto por tu S/MIME y tu preguntas por mi S/MIME, podemos enviar correo electrónico cifrado. Sin embargo, si firmo mi correo electrónico con mi S/MIME certificado y enviárselo a usted, puedo firmar un correo electrónico y estará encriptado, pero usted sabe que provino de mí.  

Entonces, si obtengo un S/MIME certificado emitido por SSL.com y firmo mi correo electrónico y te lo envío y no me envías tu S/MIME certificado, no podremos enviar y descifrar el correo electrónico cifrado. Pero aún podrá ver que mi correo electrónico se firmó con un S/MIME certificado emitido por SSL.com y debe decir el nombre del remitente, información que fue validada.

La información que no se puede validar no aparece en el certificado. Si se trata de un certificado de confianza pública, lo que significa que las plataformas populares confían en él, debe validarse de acuerdo con los requisitos básicos, que son los estándares mínimos reunidos por el formulario del navegador de CA.  

¿Qué son PKI certificados?

¿Cómo se distribuye una clave pública y cómo se le asigna una identidad? Es a través de un certificado. Y eso es lo que hace una autoridad de certificación, emite certificados que puede adjuntar a una clave pública y distribuirla.

Hay ciertos estándares que deben seguirse para emitir un certificado. La autoridad de certificación debe comprender que usted tiene derecho a ese certificado y a cualquier información que esté incrustada en ese certificado. Y por lo tanto, cuando emitimos ese certificado, los navegadores confían en él. 

¿Qué es un X.509? PKI ¿certificado?

 X.509 es como una célula madre. Básicamente es un formato con ciertos campos. Antes de saber qué tipo de certificado es, comienza como este cigoto. Antes de que uno se convierta en un certificado SSL, existen ciertas reglas sobre qué información se puede completar aquí. Lo mismo con S/MIME, Firma de código, firma de documento, autenticación de cliente y otros certificados que puedan surgir en el futuro. A excepción de SAN, los siguientes campos forman el nombre distinguido del sujeto.

  • Nombre común (CN): por lo general, esto es lo que aparece como el asunto del certificado. Para un certificado SSL, esto se refiere al nombre de dominio. Tiene que tener extensiones de dominio de nivel superior compatibles a nivel mundial (es decir, .com; .net; .io). Hay literalmente cientos, tal vez miles de ellos a estas alturas, y tenemos que poder acomodar todo eso.
  • Organización (O): la empresa o el propietario del sitio web
  • Unidad organizativa (OU): esto sería algo así como un departamento: TI, finanzas, recursos humanos
  • Localidad (L) - básicamente una ciudad
  • Estado (ST): la ubicación regional, también conocida como provincia, según el país
  • País (C) - el código del país
  • Nombre alternativo del sujeto (SAN): una extensión de X.509 que sirve para identificar los nombres de host que han sido protegidos por un certificado SSL.
Según los resultados de la votación SC47V2, el foro de la autoridad de certificación/navegador (CA/B) votó para desaprobar el campo Unidad organizativa (OU) para SSL público/TLS certificados, con fecha límite fijada el 1 de septiembre de 2022.

¿Cuáles son los componentes del PKI ¿Ecosistema?

  • La Autoridad de Certificación: es una empresa que emite certificados de confianza que están aprobados en varias plataformas, más comúnmente navegadores: Google Chrome, Safari, Firefox, Opera, 360. En el contexto de PKI, CA significa la empresa emisora ​​o el mecanismo que emite el certificado.
  • La autoridad de registro: esto normalmente hará la validación. Hará un montón de trabajo de preparación y una vez que se haya completado todo, enviará la solicitud a la CA para la emisión del certificado. El RA también podría ser una empresa, una aplicación o un componente.
  • Proveedor: este es el navegador
  • Suscriptor: el propietario del sitio web que compra el certificado (es decir, la empresa que compra el certificado para sus empleados)
  • Parte que confía: la persona, al final, que está consumiendo el certificado. 

¿Qué es un Privado? PKI?

¿Puedes tener un cerrado? PKI que no es de confianza pública? Sí, como los dispositivos IoT en un entorno cerrado. Por ejemplo, puede hacer que Samsung y solo los productos Samsung se comuniquen entre sí: Televisores, teléfonos, estéreos. En privado PKIs, los dispositivos de terceros externos pueden tener prohibido comunicarse con el sistema interno. Pueden ser pequeños, pueden ser grandes. Existen PKIs que tienen docenas de dispositivos y PKIs que tienen millones de dispositivos.

¿Cuál es el futuro de PKI?

La tecnología está evolucionando. Instancias de privado PKI no son menos importantes que la web PKI, porque incluso si una empresa utiliza PKI, aún es aconsejable asociarse con una CA como SSL.com que se somete a auditorías anuales y tiene profesionales que se dedican a preservar la integridad de las claves privadas bloqueándolas y manteniéndolas fuera de línea.

Tel mas el PKI ecosistema tiene discusiones sobre los requisitos básicos, más difícil es reemplazar esta tecnología. Puede colocar los certificados e instalarlos en el registro del dominio, pero las políticas no se pueden transferir fácilmente.

Incluso con la computación cuántica en el horizonte y los cambios futuros en la tecnología, la necesidad de autenticación y privacidad segura no desaparecerá. Si aparece nueva tecnología, la industria se adaptará. Estamos en el negocio de los fideicomisos y eso no va a desaparecer.

Twitter
Facebook
Etiqueta LinkedIn
Reddit
Correo electrónico

Nos encantaría recibir tus comentarios

Responda nuestra encuesta y háganos saber lo que piensa sobre su compra reciente.