PKI Public Key Infraestructure

Criptografía

Published on:

Seguramente has visto ese candadito verde (o gris, según el navegador) al lado de la URL de tu banco. Te sientes seguro, ¿verdad? Pues esa sensación de seguridad no es magia, es una Infraestructura de Clave Pública (Public Key Infrastructure o PKI) trabajando en la sombra.

Si tienes un examen cerca, grábate esto: la criptografía por sí sola son matemáticas. La PKI es la gobernanza, el hardware, el software y las políticas que hacen que esas matemáticas sean utilizables a gran escala.

Es el sistema que responde a la pregunta del millón en Internet: «¿Eres realmente quien dices ser?».

Los cimientos: Cifrado Asimétrico (Asymmetric Encryption)

Para entender PKI, primero necesitamos recordar brevemente cómo funciona la base matemática.

En el cifrado asimétrico tenemos dos claves (keys):

  1. Clave Pública (Public Key): Se la das a todo el mundo. Es como tu dirección de correo postal. Cualquiera puede usarla para enviarte algo (cifrar).
  2. Clave Privada (Private Key): Te la guardas tú y JAMÁS se la das a nadie. Es la llave de tu buzón. Solo tú puedes abrir lo que te enviaron (descifrar) o firmar documentos.

El problema es: si yo te doy mi clave pública… ¿cómo sabes que es mía y no de un hacker que se hace pasar por mí? Aquí es donde entra la PKI.

El reparto de actores: Componentes de la PKI

Imagínate la PKI como la DGT (Dirección General de Tráfico) o el organismo que expide pasaportes en tu país. Necesitas una autoridad en la que todos confíen para decir «Este carnet es válido».

1. La Autoridad de Certificación (Certificate Authority – CA)

Es el jefe supremo. La entidad de confianza. Es la DGT de internet.

  • Función: Emite, firma y gestiona los certificados digitales.
  • Importancia: Si tu navegador confía en la CA (por ejemplo, DigiCert, Let’s Encrypt), confiará en cualquier certificado que esa CA haya firmado.
  • Root CA: Es la autoridad raíz. Su certificado se firma a sí mismo (self-signed) y es la base de toda la confianza.

2. La Autoridad de Registro (Registration Authority – RA)

Es el intermediario, el funcionario de ventanilla.

  • Función: Verifica tu identidad antes de que la CA emita el certificado.
  • Ejemplo: La CA es la fábrica que imprime el pasaporte, pero la RA es la oficina donde vas con tu foto y tu DNI antiguo para demostrar que eres tú. La RA le dice a la CA: «Oye, he comprobado a este tío, es legal, emítele el certificado».
  • Nota: La RA no emite certificados, solo valida solicitudes.

3. Solicitud de Firma de Certificado (Certificate Signing Request – CSR)

Es el formulario que rellenas.

  • Cuando configuras un servidor web, generas una CSR. Esta solicitud contiene tu Clave Pública y tu información (nombre, país, organización). Envías esto a la CA (o RA) para que te lo firmen.

4. El Repositorio (Repository)

Es una base de datos pública donde se almacenan los certificados emitidos y, muy importante, la lista de los que ya no valen.

El Certificado Digital (X.509)

El producto final de todo esto es el certificado digital. El estándar más usado es el X.509. Piensa en él como un DNI digital que va pegado a tu clave pública.

¿Qué contiene?

  • Tu Clave Pública.
  • Tu Identidad (Nombre de dominio, organización, etc.).
  • Validez (Fecha de inicio y fecha de expiración).
  • Firma de la CA: Esto es lo crucial. La CA usa su propia clave privada para firmar digitalmente todo lo anterior. Es el «sello de lacre» que garantiza que el documento es auténtico.

El ciclo de vida: De la cuna a la tumba

Es vital entender que los certificados no son eternos. Tienen un ciclo de vida.

  1. Emisión: Se crea el par de claves, se genera el CSR, la RA valida y la CA emite el certificado X.509.
  2. Uso: Se usa para establecer conexiones seguras (HTTPS, VPN, firma de emails).
  3. Renovación: Antes de que caduque, hay que pedir uno nuevo. Si se te pasa la fecha… prepárate para ver errores de seguridad en los navegadores de tus usuarios.
  4. Revocación (Revocation): Aquí viene lo interesante. ¿Qué pasa si te roban la clave privada antes de que caduque el certificado? Tienes que «matar» ese certificado.

¿Cómo sabemos si un certificado está revocado?

Hay dos formas principales de comprobar si un certificado sigue siendo válido o si ha sido cancelado (revocado):

  • CRL (Certificate Revocation List):
    • Es una lista literal, un archivo que contiene los números de serie de todos los certificados revocados.
    • Problema: El cliente tiene que descargar la lista entera. Si la lista es enorme, la conexión es lenta. Además, puede haber un retraso entre que se revoca el certificado y se actualiza la lista.
    • Metáfora: Es como tener un libro impreso con las tarjetas de crédito robadas que el tendero tiene que consultar cada vez.
  • OCSP (Online Certificate Status Protocol):
    • Es una consulta en tiempo real. El navegador le pregunta al servidor de la CA: «¿Es válido el certificado con número de serie X?». La CA responde: «Sí», «No» o «Desconocido».
    • Ventaja: Es mucho más rápido y actual.
    • OCSP Stapling (Grapado OCSP): Para no saturar a la CA con tantas preguntas, el servidor web (el dueño del certificado) hace la consulta a la CA, obtiene la respuesta firmada y se la «grapa» al certificado que le entrega al usuario. Así el usuario ya recibe el certificado y la prueba de validez en el mismo paquete.

Modelos de Confianza (Trust Models)

¿Quién confía en quién?

  1. Jerárquico (Hierarchical): El más común. Tienes una Root CA arriba del todo. Esta firma a las Intermediate CAs, y estas firman los certificados finales. Se crea una «Cadena de Confianza» (Chain of Trust). Si confías en la raíz, confías en todos sus descendientes.
  2. Web of Trust (Red de Confianza): Típico de PGP/GPG. No hay una autoridad central. Yo confío en ti, tú confías en Pepe, por tanto, yo confío un poco en Pepe. Es descentralizado, pero difícil de escalar.

Gestión de Claves: Cuando el desastre ocurre

En un entorno corporativo, perder una clave privada de cifrado (no de firma) puede significar perder datos para siempre.

  • Custodia de claves (Key Escrow): Un tercero (o la propia empresa) guarda una copia de la clave privada de descifrado. Si el empleado se va o pierde la clave, la empresa puede recuperar los datos.
    • Ojo: Esto es delicado. Si comprometen el depósito (escrow), comprometen todas las claves.
  • Agente de recuperación (Recovery Agent): Una persona designada con una clave maestra capaz de recuperar o descifrar datos cifrados con otras claves.

Resumen rápido (Cheat Sheet)

ConceptoEn pocas palabras
PKIEl ecosistema completo (hardware, soft, reglas).
CALa autoridad que emite y firma certificados.
RALa que verifica la identidad antes de la emisión.
CSRLa solicitud que envías para pedir un certificado.
CRLLista de certificados «malos» (revocados). Lento.
OCSPProtocolo para preguntar en tiempo real si un cert es válido.
Clave PúblicaCifra datos o verifica firmas. Se comparte.
Clave PrivadaDescifra datos o crea firmas. SE PROTEGE.

Conclusión

La PKI es el sistema circulatorio de la seguridad en Internet. Sin ella, no podrías comprar en Amazon ni entrar en tu banco sin miedo a que te estuvieran robando los datos en tiempo real.

Recuerda esto: la seguridad de todo el sistema depende de que la Clave Privada siga siendo privada. Si alguien te roba tu clave privada, es como si te robaran tu identidad digital completa; pueden firmar contratos por ti y leer tus secretos.

¿Quieres que hagamos un repaso rápido con un test de 3 o 4 preguntas tipo examen para ver si ha quedado claro el concepto de CRL vs OCSP?

Carlos del Río
Carlos del Ríohttps://www.linkedin.com/in/carlos-drs/
Especialista en tecnología y ciberseguridad con más de 17 años de experiencia en entornos educativos y corporativos. Aquí comparto guías claras y prácticas para entender la seguridad digital sin complicaciones.

Relacionados

© Cybernotes.eu | Ciberseguridad al alcance de tod@s