¿Qué es PKI?
PKI (Public Key Infrastructure), o "Public Key Infrastructure", es una plataforma de gestión de claves que sigue estándares establecidos. Puede proporcionar cifrado y firmas digitales y otros servicios criptográficos necesarios para todas las aplicaciones de red. Sistema de gestión de certificados En pocas palabras, PKI es una infraestructura que utiliza la teoría y la tecnología de clave pública para proporcionar servicios de seguridad. La tecnología PKI es el núcleo de la tecnología de seguridad de la información y la tecnología clave y básica del comercio electrónico.
Las tecnologías básicas de PKI incluyen cifrado, firma digital, mecanismo de integridad de datos, sobre digital, doble firma digital, etc.
[Editar este párrafo] Descripción general de PKI
PKI es la abreviatura de Public Key Infrastructure, que se refiere a la seguridad universal que utiliza conceptos y tecnologías de clave pública para implementar y proporcionar servicios de infraestructura de seguridad. . Esta definición abarca un contenido relativamente amplio y es un concepto aceptado por muchas personas. Esta definición muestra que cualquier infraestructura de seguridad basada en tecnología de clave pública es PKI. Por supuesto, sin buenos algoritmos asimétricos y una buena gestión de claves, es imposible proporcionar servicios de seguridad completos y no se puede llamar PKI. En otras palabras, las funciones clave de gestión necesarias ya están implícitas en esta definición.
En el estándar X.509, para distinguirla de la Infraestructura de Gestión de Privilegios (PMI), la PKI se define como soporte de gestión de claves públicas y soporte de infraestructura de autenticación, cifrado, integridad y responsabilidad para servicios sexuales. . En comparación con el primer concepto, este concepto no solo describe los servicios de seguridad que PKI puede proporcionar, sino que también enfatiza que PKI debe respaldar la gestión de claves públicas. En otras palabras, el simple uso de tecnología de clave pública no puede denominarse PKI, y también se debe proporcionar gestión de clave pública. Debido a que PMI solo utiliza tecnología de clave pública pero no administra claves públicas, PMI se puede describir por separado sin confundirse con conceptos como certificados de clave pública. Distinguir conceptualmente PKI y PMI en X.509 resulta beneficioso para la descripción del estándar. Sin embargo, dado que PMI utiliza tecnología de clave pública, el uso y establecimiento de PMI primero debe estar respaldado por la gestión de claves PKI. En otras palabras, PMI tiene que unirse a PKI. Cuando combinamos los dos en uno, PMI PKI cae completamente dentro del alcance de PKI definido por el estándar X.509. Según la definición de X.509, PMI PKI todavía puede denominarse PKI y PMI puede considerarse parte de PKI.
En los informes de 2001[iii] y 2003, la Oficina Nacional de Responsabilidad de EE. UU. definió PKI como un sistema compuesto de hardware, software, políticas y personas que, cuando se implementa por completo, puede proporcionar comunicaciones y transacciones confidenciales. provisto de un conjunto de garantías de seguridad de la información, incluyendo confidencialidad, integridad, autenticidad y no repudio. Aunque esta definición no menciona la tecnología de clave pública, hasta ahora solo la infraestructura compuesta por tecnología de clave pública ha cumplido las condiciones anteriores. En otras palabras, solo la primera definición cumple con la definición de PKI. Entonces esta definición no contradice la primera definición.
En resumen, creemos que: PKI se implementa utilizando conceptos y tecnologías de clave pública, admite la gestión de claves públicas y proporciona servicios de seguridad de autenticidad, confidencialidad, integridad y responsabilidad.
[Editar este párrafo] Los componentes básicos de PKI:
Un sistema PKI completo debe tener una autoridad de certificación (CA) autorizada, una biblioteca de certificados digitales, un sistema de copia de seguridad y recuperación de claves, y Sistema de invalidación de certificados, interfaz de aplicación (API) y otros componentes básicos, la construcción de PKI también se construirá en torno a estos cinco sistemas.
La tecnología PKI es el núcleo de la tecnología de seguridad de la información y también la tecnología clave y básica del comercio electrónico. Las tecnologías básicas de PKI incluyen cifrado, firma digital, mecanismo de integridad de datos, sobre digital, doble firma digital, etc.
Un sistema de aplicación PKI típico, completo y eficaz debería contar, al menos, con las siguientes partes:
· Gestión de certificados criptográficos de clave pública.
· Publicación y gestión de listas negras.
· Copia de seguridad y recuperación de claves.
· Actualizar claves automáticamente.
· Gestionar automáticamente las claves históricas.
· Admite certificación cruzada.
Autoridad de certificación (CA): es decir, la autoridad de solicitud y emisión de certificados digitales. La CA debe tener características autorizadas.
Biblioteca de certificados digitales: se utiliza para almacenar certificados digitales emitidos; Clave pública, de la cual los usuarios pueden obtener los certificados requeridos y las claves públicas de otros usuarios;
Sistema de copia de seguridad y recuperación de claves: si el usuario pierde la clave utilizada para descifrar los datos, los datos no se descifrarán. lo que provocará la pérdida legítima de datos. Para evitar esta situación, PKI proporciona un mecanismo para realizar copias de seguridad y restaurar claves. Sin embargo, cabe señalar que la copia de seguridad y recuperación de claves debe realizarla una organización de confianza. Además, la copia de seguridad y la recuperación de la clave solo se pueden realizar para la clave de descifrado, y no se puede realizar una copia de seguridad de la clave privada de la firma para garantizar su unicidad.
Sistema de invalidación de certificados: El sistema de procesamiento de invalidación de certificados es un componente esencial de PKI. Al igual que varios documentos de identidad en la vida diaria, es posible que sea necesario invalidar los certificados dentro del período de validez. Los motivos pueden deberse a la pérdida del medio clave o al cambio de identidad del usuario. Para conseguirlo, PKI debe proporcionar una serie de mecanismos de invalidación de certificados.
Interfaz de aplicación (API): el valor de la PKI es permitir a los usuarios utilizar fácilmente servicios de seguridad como cifrado y firmas digitales. Por lo tanto, una PKI completa debe proporcionar un buen sistema de interfaz de aplicación para permitir que varias aplicaciones puedan. interactuar con PKI de manera segura, consistente y confiable para garantizar la integridad y facilidad de uso del entorno de red seguro.
En términos generales, CA es la autoridad emisora del certificado, que es el núcleo de PKI. Como todos sabemos, el contenido central de la construcción de un sistema de servicios criptográficos es cómo implementar la gestión de claves. El sistema de clave pública implica un par de claves (es decir, clave privada y clave pública). La clave privada solo la controla el usuario de forma independiente y no es necesario transmitirla a través de Internet, mientras que la clave pública es pública y debe transmitirse. Por lo tanto, la clave de cifrado del sistema de clave pública es la gestión de claves, que está dirigida principalmente a la gestión de claves públicas. La mejor solución actual es el mecanismo de certificado digital.
[Editar este párrafo] El objetivo de PKI
PKI es una infraestructura. Su objetivo es hacer pleno uso de la base teórica de la criptografía de clave pública y establecer una infraestructura de aplicación universal. Proporcionar servicios integrales de seguridad para diversas aplicaciones de red. La criptografía de clave pública nos proporciona una propiedad asimétrica que hace posible las firmas digitales seguras y la verificación abierta de firmas. Sin embargo, el uso de esta excelente tecnología enfrenta problemas como la dificultad de comprensión e implementación. Así como a los desarrolladores de televisores les resulta difícil comprender y mantener las centrales eléctricas, también les resulta difícil a los desarrolladores de todas las aplicaciones comprender e implementar plenamente la seguridad basada en la criptografía de clave pública. PKI espera que mediante el desarrollo de una infraestructura profesional, los desarrolladores de sistemas de aplicaciones de red puedan liberarse de las engorrosas tecnologías criptográficas y al mismo tiempo disfrutar de servicios de seguridad completos.
La PKI se puede entender mejor comparando su estado en el espacio de información de la red con el estado de la infraestructura energética en la vida industrial. La infraestructura eléctrica proporciona energía a los usuarios al extenderse a los enchufes estándar de los usuarios, mientras que PKI brinda servicios seguros para diversas aplicaciones al extenderse a las interfaces locales de los usuarios. Con PKI, los desarrolladores de aplicaciones de seguridad ya no necesitan preocuparse por operaciones y modelos matemáticos complejos y pueden utilizar directamente un socket (interfaz) de acuerdo con los estándares. Al igual que los desarrolladores de refrigeradores no necesitan preocuparse por el principio y la estructura del generador, siempre que desarrollen equipos de aplicación que cumplan con los estándares de interfaz de la infraestructura eléctrica, podrán disfrutar de la energía proporcionada por la infraestructura.
La separación de PKI y aplicaciones también es un símbolo importante de PKI como infraestructura. Al igual que la separación de la infraestructura eléctrica de los electrodomésticos. La separación de las aplicaciones de red y las bases de seguridad conduce a un desarrollo más rápido de las aplicaciones de red y una mejor construcción de la infraestructura de seguridad.
Precisamente porque PKI puede estar bien separada de otras aplicaciones, podemos llamarla infraestructura. PKI también puede ser independiente de aplicaciones de seguridad muy diferentes y desarrollarse de manera efectiva e independiente. La separación de PKI y aplicaciones de red es en realidad una "división social del trabajo" en la sociedad de redes. Esta división del trabajo puede convertirse en un hito importante en la historia del desarrollo de aplicaciones de red.
[Editar este párrafo] Contenido de la tecnología PKI
Basada en la contraseña de clave pública, PKI resuelve principalmente el problema de a quién pertenece la clave, es decir, la autenticación de clave. Demostrar quién posee la clave pública en Internet es tan importante como demostrar quién tiene qué nombre en realidad. A través de certificados digitales, la PKI es una buena forma de demostrar a quién pertenece la clave pública. La tecnología central de PKI gira en torno a todo el ciclo de vida de la solicitud, emisión, uso y revocación de certificados digitales. Entre ellas, la revocación de certificados es una de las tecnologías críticas pero que más se pasa por alto en PKI, y también es un servicio que la infraestructura debe proporcionar.
Los objetos de investigación de la tecnología PKI incluyen certificados digitales, centros de autenticación de certificados que emiten certificados digitales, titulares de certificados que poseen certificados y usuarios de certificados que utilizan servicios de certificados, así como para convertirse mejor en una infraestructura. tener autoridad de registro de certificados, servidor de consulta y almacenamiento de certificados, servidor de consulta de estado de certificados, servidor de verificación de certificados, etc.
PKI es una infraestructura y la interconexión de dos o más dominios de gestión de PKI es muy importante. Cómo interconectar dominios PKI y cómo interconectarlos mejor es la clave para crear una aplicación de red fluida a gran escala. En el proceso de interconexión de PKI, la interoperabilidad y la tecnología de interfaz entre dispositivos PKI clave, entre usuarios finales de PKI y entre aplicaciones de red y sistemas PKI son garantías importantes para el desarrollo de PKI y también son el foco de la investigación de la tecnología PKI.
[Editar este párrafo] Ventajas de PKI
Como tecnología de seguridad, PKI ha penetrado en todos los niveles de la red. Esto refleja, por un lado, la gran vitalidad y las incomparables ventajas técnicas de PKI. El alma de PKI proviene de la tecnología de criptografía de clave pública, que hace que "saber algo pero no saber por qué" sea un estado demostrable, dando a las firmas digitales en la red una garantía de seguridad teórica. Centrándose en cómo hacer un buen uso de esta tecnología de criptografía asimétrica, surgieron los certificados digitales y se convirtieron en el elemento central de PKI.
Las ventajas de PKI se reflejan principalmente en:
1. Al utilizar tecnología de criptografía de clave pública, puede admitir firmas digitales que pueden verificarse públicamente y no pueden falsificarse, respaldando así servicios responsables. Tiene ventajas irremplazables. Este servicio responsable también proporciona un mayor nivel de garantía sobre la integridad de los datos de origen. Apoyar la verificación pública, o la verificación arbitraria de terceros, puede proteger mejor a las personas vulnerables y mejorar la responsabilidad de la información y las operaciones entre sistemas de red iguales.
2. Debido a la adopción de tecnología criptográfica, proteger la confidencialidad es la ventaja más singular de PKI. PKI no sólo puede proporcionar servicios de confidencialidad entre entidades que se conocen, sino también brindar soporte de confidencialidad para las comunicaciones entre usuarios desconocidos.
3. Dado que los usuarios pueden verificar los certificados digitales de forma independiente y no requieren consultas en línea, en principio pueden garantizar una expansión ilimitada del alcance del servicio. Esto permite que PKI se convierta en una infraestructura que sirva a una enorme base de usuarios. . PKI utiliza certificados digitales para proporcionar servicios, es decir, se utiliza un certificado digital emitido por un tercero para probar la clave de la entidad final, en lugar de consultas o distribución en línea. Este método de gestión de claves rompe la limitación anterior de que los servicios de verificación de seguridad deben estar en línea.
4. PKI proporciona un mecanismo de revocación de certificados, de modo que sus campos de aplicación no estén restringidos por aplicaciones específicas. El mecanismo de revocación proporciona medidas correctivas en situaciones inesperadas, brindando a los usuarios una mayor tranquilidad en diversos entornos de seguridad. Además, gracias a la tecnología de revocación, ya sea una identidad que nunca cambia o un rol que cambia con frecuencia, puede obtener servicios PKI sin preocuparse de que otros invaliden permanentemente la identidad o rol o se apropien maliciosamente de ella después de haber sido robados.
Proporcionar a los usuarios una forma de "corregir sus errores" o "arrepentirse" es una parte integral de un buen diseño de ingeniería.
5. PKI tiene capacidades de interconexión extremadamente sólidas. Ya sea una relación de liderazgo superior-subordinado o una relación de confianza igualitaria con un tercero, PKI puede llevar a cabo diversas formas de interconexión de acuerdo con el método de confianza del mundo humano, de modo que PKI pueda servir bien a sistemas de información de red a gran escala que están en consonancia con los hábitos humanos. La combinación de varias tecnologías de interconexión en PKI hace posible construir un sistema complejo de confianza en la red. La tecnología de interconexión de PKI proporciona suficiente soporte técnico para eliminar las islas de confianza en el mundo en línea.
[Editar este párrafo] El futuro de PKI
Después de repetidos fracasos en la búsqueda de la aplicación de firma de PKI (Killer Application), el gran crecimiento de PKI no apareció. Se invirtió una gran cantidad en la construcción de PKI, pero no produjo los beneficios esperados. Algunas personas dicen que PKI es simplemente una estafa, algunas personas dicen que PKI está muerta y otras dicen que no está muerta, sino que simplemente está en reposo.
Este libro no se atreve a predecir el futuro, solo puede hablar de los problemas que enfrenta PKI, la demanda del mercado y sus tecnologías competitivas.
En 2001, la Oficina de Contabilidad General de EE. UU. resumió los desafíos que enfrentaba el desarrollo de PKI y señaló que los problemas de interoperabilidad y los altos costos del sistema eran las principales dificultades en ese momento. En 2003, la Oficina de Contabilidad General de EE. UU. resumió los problemas del desarrollo de PKI federal y aún enfatizó que en la construcción de PKI faltan estrategias y pautas o que en muchos lugares hay estrategias y pautas incorrectas con respecto a los costos técnicos y legales de implementación; alta, especialmente en la implementación, la presión financiera es mayor cuando se utilizan algunas interfaces no estándar; los problemas de interoperabilidad siguen siendo prominentes y la integración de los sistemas PKI con otros sistemas enfrenta el problema de ajustar o incluso reemplazar los sistemas existentes que requieren más uso y administración; La formación y la gestión de PKI todavía tienen graves desventajas.
Aunque hay muchos problemas en la construcción de PKI y no hay avances revolucionarios como la gente imaginaba, no es difícil descubrir que todos estos desafíos en realidad surgen de la complejidad de la tecnología PKI. Por ejemplo, la comprensión inconsistente de los estándares por parte de los implementadores es una razón importante para los problemas de interoperabilidad. En la actualidad, con la investigación en profundidad, la introducción de estándares, la participación de más implementadores y el avance de más aplicaciones, se promoverá en gran medida la solución a los problemas de interoperabilidad. Una gran cantidad de personal técnico que participe en la construcción también acelerará la reducción de precios de los productos PKI y reducirá el costo de compra de los usuarios de PKI. A medida que los usuarios comprendan mejor la PKI, usar y mantener la PKI no será un proceso costoso. Muchas dificultades no han obstaculizado ni pueden obstaculizar la aplicación de la PKI. PKI ha ido penetrando gradualmente en todos los aspectos de las aplicaciones de red. Las muchas ventajas de PKI han ampliado gradualmente la aplicación de PKI.
Para dar un ejemplo, la protección de la responsabilidad es necesaria en el comercio electrónico, y cualquier verificabilidad de terceros proporcionada por PKI puede proporcionar un entorno más justo. Por ejemplo, después de que la Parte A y la Parte B firman un contrato, no hay necesidad de preocuparse por la relación entre la otra parte y cierto líder (quizás llamado la parte autorizada), porque cualquier tercero puede verificar el contenido legal del contrato. . Este método de verificación pública permite que las actividades empresariales sean más democráticas y armoniosas. Un entorno técnico tan justo no puede ser proporcionado por la criptografía simétrica y la criptografía basada en identidad. Dentro de una empresa, PKI también puede proporcionar soporte técnico para construir un entorno empresarial más democrático. Por ejemplo, un jefe o líder inteligente debe ser un líder que cumpla su palabra. Definitivamente considerará a sus subordinados o empleados como sus colaboradores y estará dispuesto a aceptar las limitaciones del sistema. El método de verificación de terceros de PKI fomenta este tipo de cooperación igualitaria y demuestra un estilo democrático de "todos son iguales ante la ley". Los empleados que utilizan tecnología de cifrado simétrico tienen que confiar incondicionalmente en el centro de distribución de claves. El sistema de gestión de cifrado simétrico no tiene la capacidad de proporcionar medios técnicos para responsabilizar a los líderes.
Los servicios de seguridad proporcionados por PKI admiten muchas aplicaciones que antes no se podían completar.
La tecnología PKI puede garantizar que el código en ejecución se descargue correctamente a través de la red sin que los piratas informáticos lo alteren; puede garantizar la autenticidad de los documentos digitales, como los pasaportes, sin preocuparse de que el lector de documentos los falsifique; protección sin preocuparse por la falta de evidencia se puede utilizar para la gestión jerárquica responsable de noticias o programas para purificar el entorno cultural, etc.
La tecnología PKI no tiene una aplicación exclusiva ni se está desarrollando tan rápidamente como la gente imagina. Sin embargo, tal vez sea la falta de aplicaciones exclusivas lo que permite que PKI se convierta en la base de seguridad para todas las aplicaciones; la falta de un desarrollo rápido puede indicar que el desarrollo de PKI no será pasajero, sino que durará mucho tiempo; . Como tecnología que actualmente no tiene sustitutos, la PKI se está utilizando cada vez más ampliamente.
[[i]] Peter Gutmann. PKI: no está muerto, solo descansando.
[[i]] Carlisle Adams, Steve Lloyd, segunda edición. Addison-Wesley, 2002: 28.
[[ii]] Norma internacional. ISO/IEC9594-8: Marcos de certificados de clave pública y atributos. p> [[iii]] Oficina de Contabilidad General de Estados Unidos. Avances y desafíos restantes para la adopción de tecnología de infraestructura de clave pública Washington, D.C.: GAO, 2001: 74
[[iv]] Contabilidad General de Estados Unidos. Oficina. Estado de las actividades de infraestructura pública clave en los principales departamentos y agencias federales Washington, D.C.: GAO, 2003: 7
.