Definición: Public Key Infrastructure (PKI) se construye en torno a un conjunto de componentes y procedimientos para gestionar pares de claves públicas y privadas. PKI consta de varios componentes que incluyen: Certificate Authority, Digital Certificates, Registration Authority, Validation Authority, Public Key, Private KePublic key cryptography y Secure Storage. Estos componentes se explican a continuación.
Explicación de los componentes clave de la infraestructura de clave pública
Autoridad de Certificación (CA)
En general, la Certificate Authority gestiona todos los aspectos de la gestión de certificados PKI, incluidas las fases de gestión del ciclo de vida de los certificados. Una CA emite certificados que se utilizan para verificar que el sujeto impreso en el certificado es el propietario de la clave pública, autenticando así la identidad digital del usuario. En un sistema PKI, el cliente genera un par de claves pública-privada. La clave pública y la información que debe figurar en el certificado se envían a la CA. A continuación, la CA crea un certificado digital compuesto por la clave pública del usuario y los atributos del certificado. La CA firma el certificado con su clave privada.
Las autoridades de certificación validan organizaciones, personas y dispositivos mediante la emisión de certificados digitales, y son estos certificados los que se utilizan para cifrar transacciones, proteger información y permitir una comunicación segura.
Digital Certificates
Los certificadosdigitales permiten el funcionamiento de la PKI. Un certificado digital sirve como identificación electrónica que facilita la verificación de identidades entre usuarios durante las transacciones en línea. PKI permite conexiones seguras entre dos máquinas que se comunican porque las identidades de las dos partes pueden verificarse mediante certificados.
Registration Authority
La Certificate Authority (CA) autoriza a la Registration Authority (RA) a proporcionar certificados digitales a los usuarios en función de cada caso. Una base de datos de certificados encriptada almacena todos los certificados solicitados, recibidos y revocados tanto por la Certificate Authority como por la Registration Authority.
El historial y la información de los certificados se almacenan en lo que se conoce como almacén de certificados, que normalmente se encuentra en un ordenador específico y sirve como espacio de almacenamiento para toda la memoria relacionada con el historial de certificados, incluidos los certificados emitidos y las claves de cifrado privadas. Un almacén de certificados puede contener potencialmente certificados de múltiples CA.
Autoridad de Validación (VA)
Una VA permite a una empresa asegurarse de que un certificado no ha sido revocado. La función de VA la realiza una instalación en línea alojada en una organización que gestiona la PKI. Para anunciar certificados revocados, una autoridad de validación utilizará con frecuencia OCSP o CRL.
Public Key
Una clave pública es una clave matemática criptográfica que tiene disponibilidad pública y no requiere almacenamiento seguro. Los mensajes cifrados por la clave pública sólo pueden ser descifrados por la clave privada correspondiente.
Clave privada
El destinatario utiliza una clave privada para descifrar un mensaje cifrado con una clave pública. Como el mensaje está cifrado con una clave pública específica, sólo puede descifrarse con la clave privada correspondiente. Esto establece la propiedad de las claves privada y pública, garantizando que el mensaje sólo sea leído por aquellos que han sido autorizados.
Almacenamiento seguro
Para proteger la clave de cualquier riesgo, tanto la Certificate Authority (CA) como la entidad final deben disponer de un método de almacenamiento seguro de la clave privada.
Los módulos de seguridad de hardware mejoran la seguridad general de la PKI. Este dispositivo salvaguarda y gestiona las claves digitales, sentando las bases de una infraestructura PKI empresarial segura. El HSM contribuye a gestionar todo el ciclo de vida de las claves criptográficas, incluidas la creación, rotación y eliminación de claves, la auditoría y la integración de la API con diversas aplicaciones. El único propósito de un HSM es ocultar y proteger los datos criptográficos.