PKI. DNIe

La mayoría de comunicaciones ocurren entre máquinas muy dejadas se utilizan PKI (Public Key Infrastructure, infraestructura de clave pública), tecnología tras los certificados digitales.

En la comunicación segura entre cliente y servidor aparecen nuevos
interlocutores:

La Autoridad de Certificación (CA) su misión es emitir certificados

La Autoridad de Registro (RA) es la responsable de asegurar que el solicitante del certificado es quien dice ser.

La Autoridad de Validación (VA) es la responsable de comprobar la validez de los certificados digitales emitidos

Los repositorios son almacenes de certificados. Los principales son el repositorio de certificados activos y el repositorio de listas de revocación de certificados.

El funcionamiento:

Durante el inicio de la sesión, el servidor envía su clave pública al cliente para que cifre el diálogo.

El servidor lo ha supuesto y ha enviado, junto con su clave pública, la firma digital de esa clave.

El cliente puede verificar la firma recibida utilizando la clave pública de la CA. Si la firma
es correcta.

Se necesita:

El servidor ha conseguido una CA que firme su clave pública. Por ejemplo: VeriSign, FNMT, etc.

El cliente dispone de la clave pública de esa CA dentro de su llavero de claves asimétricas.

Certificado Digital:

Es importante la información complementaria: quién firma, para quién firma, qué usos tiene la clave (cifrado y firmado, solo firmado, etc.), en qué fecha se firmó, cuándo caduca esa firma, qué algoritmos se han utilizado, etc

En el funcionamiento de una PKI los usuarios importan certificados de CA y los servidores envían sus claves públicas dentro de certificados.

Podemos saber que la clave pública de la CA es auténtica porque se ha instalado en nuestro ordenador de manera segura: bien porque forma parte de la instalación del sistema operativo

La PKI no es perfecta. Tenemos dos vulnerabilidades:

Un virus en nuestro ordenador puede alterar el depósito de claves, e importar sin nuestro consentimiento claves públicas de CA fraudulentas.

Un ataque a los servidores de una CA podría robar su clave privada. Desde ese momento, el atacante puede firmar las claves públicas de servidores peligrosos y los clientes se conectarían a ellos confiando en que es una firma legal.

El DNI electrónico (DNIe) es un ejemplo de PKI:

Datos generales de la persona

Datos biométricos de la persona

Claves de cifrado asimétrico