Fundamentos de Criptografía: Certificados Digitales, PKI y Protocolos SSL/TLS

Autoridades Certificadoras (CA) y su Tipología

Las Autoridades Certificadoras (CA) son entidades de confianza responsables de emitir y revocar certificados digitales. Existen dos tipos principales:

• Autoridades Raíz (Root CAs): No dependen jerárquicamente de ninguna otra entidad y, por tanto, emiten certificados autofirmados que constituyen la base de la confianza del sistema.
• Autoridades Subordinadas (Subordinate CAs): Su propio certificado es firmado por una autoridad de nivel superior (como una autoridad raíz), creando así una cadena de confianza.

Proceso de Emisión de un Certificado Digital

El procedimiento para obtener un certificado digital es, a grandes rasgos, el siguiente:

1. El solicitante realiza su petición a la Autoridad de Certificación (CA).
2. La CA delega la verificación de la identidad del solicitante a una Autoridad de Registro (RA) cercana para que confirme su identidad.
3. El solicitante confirma su identidad ante la RA, la cual informa a la CA una vez completada la validación.
4. Con esta confirmación, la CA firma el certificado digital del usuario utilizando su propia clave privada.
5. El certificado tiene un período de validez máximo. Antes de su vencimiento, puede ser renovado utilizando el certificado próximo a expirar para facilitar el proceso.

Infraestructura de Clave Pública (PKI)

Una Infraestructura de Clave Pública (PKI) es el conjunto de elementos de hardware, software, políticas y procedimientos necesarios para crear, gestionar, distribuir, usar, almacenar y revocar certificados digitales. Sus componentes clave son:

• Autoridad de Certificación (CA): Entidad que expide y revoca los certificados digitales.
• Autoridades de Registro (RA): Comprueban la identidad de los usuarios que solicitan un certificado.
• Repositorios: Bases de datos que la CA facilita para comprobar si un certificado ha sido revocado y para distribuir los certificados públicos.
• Software cliente: Aplicaciones (como navegadores web o clientes de correo) que emplean los certificados para validar identidades y establecer comunicaciones seguras.
• Política de seguridad: Conjunto de reglas y procedimientos relacionados con la gestión de los certificados.

Cifrado y Firma Digital con PGP/GPG

PGP (Pretty Good Privacy) y su implementación de software libre GPG (GNU Privacy Guard) son programas que permiten el cifrado de datos y la firma digital de documentos. Su proceso combina criptografía simétrica y asimétrica de la siguiente manera:

1. Primero, comprime la información para reducir la existencia de patrones habituales en el texto en claro y mejorar la seguridad.
2. Se genera aleatoriamente una clave de sesión simétrica, de un solo uso, con la que se cifran los datos.
3. La clave de sesión se cifra utilizando la clave pública del destinatario.
4. El texto cifrado y la clave de sesión cifrada se entregan al receptor. Este usará su clave privada para descifrar la clave de sesión y, con ella, acceder al mensaje original.

Protocolos de Comunicación Segura: SSL y TLS

SSL (Secure Sockets Layer) y su sucesor, TLS (Transport Layer Security), no son aplicaciones en sí, sino protocolos criptográficos que numerosos protocolos de Internet utilizan para lograr una comunicación segura. Para establecer el cifrado, se produce una negociación entre cliente y servidor en distintas fases, conocida como handshake:

1. El cliente se pone en contacto con el servidor para iniciar la comunicación.
2. El servidor le facilita su certificado digital al cliente, el cual contiene su clave pública. El cliente verifica la identidad del servidor validando dicho certificado con la CA correspondiente. Si no dispone del certificado de la CA, deberá confiar en la clave pública recibida y almacenarla para compararla en futuras conexiones.
3. El cliente genera una clave de sesión simétrica, la cifra con la clave pública del servidor y se la envía.
4. A partir de ese momento, con ambas partes en posesión de la misma clave de sesión, se puede establecer una comunicación segura y cifrada.