Conceptos/palabras PKI explicados

El entorno de la PKI dentro de una organización es a veces difícil de entender debido a las muchas abreviaturas, conceptos y palabras típicas de la PKI.
Por eso hemos hecho una lista de estos elementos con una explicación para ayudarte a entender mejor el mundo de la PKI.

Término Descripción
Estándar de Cifrado Avanzado (AES) es una especificación para el cifrado simétrico de datos electrónicos
Cifrado simétrico A El acto de utilizar dos claves diferentes, pero relacionadas matemáticamente, con fines de encriptación. Una clave pública (que puede compartirse con cualquiera) para cifrar mensajes y una clave privada (que sólo debe conocer el destinatario) para descifrarlos.
Acceso a la Información de Autoridad (AIA) Especifica en un certificado dónde encontrar certificados padre actualizados del certificado
Entorno de Gestión Automática de Certificados (ACME) es un protocolo de comunicaciones para automatizar las interacciones entre las autoridades de certificación y los servidores de sus usuarios, permitiendo el despliegue automatizado de la infraestructura de clave pública a muy bajo coste.
Solución de Gestión de Certificados y Claves (CKMS) Un conjunto de normas y procesos, a menudo combinados en una solución de software, que permite la creación y gestión segura de certificados basados en PKI y sus correspondientes claves privadas
Autoridad de certificación (AC) Un recurso y un sistema para crear certificados digitales y ser propietario de las políticas, prácticas y procedimientos para investigar a los destinatarios y emitir los certificados. Corresponde a los propietarios y operadores de una CA determinar los métodos de investigación de los destinatarios de los certificados, los tipos de certificados que emitirán, los parámetros contenidos en cada certificado y los procedimientos de seguridad y operativos.
Cadena de certificados Cadena de certificados formada por el certificado del suscriptor, el certificado de la CA emisora, el certificado o certificados de la CA intermedia y el certificado de la CA raíz.
Gestión del Ciclo de Vida de los Certificados (CLM) Conjunto de normas y procesos, a menudo combinados en una solución de software, que permiten la gestión de certificados basados en PKI.
Protocolo de Gestión de Certificados (CMPv2) es un protocolo de Internet normalizado por el IETF que se utiliza para obtener certificados digitales X.509 en una infraestructura de clave pública (PKI). CMP es un protocolo muy rico en funciones y flexible, que admite cualquier tipo de criptografía. Los mensajes CMP son autocontenidos, lo que, a diferencia de EST, hace que el protocolo sea independiente del mecanismo de transporte y proporciona seguridad de extremo a extremo.
Ruta del certificado Una cadena de certificados formada por el certificado del suscriptor, el certificado de la CA emisora, el certificado o certificados de la CA intermedia y el certificado de la CA raíz.
Política de certificados (PC) Una forma especializada de política administrativa sintonizada con las transacciones electrónicas realizadas durante la gestión de certificados. Una política de certificados aborda todos los aspectos relacionados con la generación, producción, distribución, contabilidad, recuperación de compromisos y administración de certificados digitales. Indirectamente, una política de certificados también puede regir las transacciones realizadas mediante un sistema de comunicaciones protegido por un sistema de seguridad basado en certificados. Al controlar las extensiones críticas de los certificados, dichas políticas y la tecnología de aplicación asociada pueden respaldar la prestación de los servicios de seguridad requeridos por aplicaciones concretas.
Perfil del certificado Descripción detallada de la estructura, los componentes y el origen de los datos del certificado
Listas de revocación de certificados (CRL) Lista de certificados (o, más concretamente, lista de números de serie de certificados) que han sido revocados y, por tanto, ya no se debe confiar en las entidades que presenten esos certificados (revocados).
Solicitud de firma de certificado (CSR) La CSR registra información identificativa en un formato único para una persona o dispositivo que posee una clave privada, así como información sobre la clave pública correspondiente.
Lista de certificados de confianza (CTL) La colección de certificados de confianza que utilizan las Partes que Confían para autenticar otros certificados.
Declaración de Prácticas de Certificación (DPC) Declaración de las prácticas que emplea una CA para emitir, suspender, revocar y renovar certificados y proporcionar acceso a ellos, de acuerdo con requisitos específicos (es decir, requisitos especificados en esta Política de Certificación o requisitos especificados en un contrato de servicios).
Punto de distribución de CRL (CDP) La ubicación donde puedes descargar la última CRL.
Firma digital es una forma de verificar la autenticidad mediante el uso de un identificador digital único. Las firmas digitales se basan en el cifrado asimétrico, ya que el propietario de una clave privada puede utilizarla para firmar digitalmente un mensaje. A continuación, terceros pueden utilizar la clave pública correspondiente para verificar la firma y confirmar que el mensaje no se modificó en tránsito, lo que haría fallar la verificación. Las firmas digitales también ofrecen no repudio, ya que los firmantes no pueden negar su firma.
Criptografía de curva elíptica (ECC) Es un enfoque de la criptografía de clave pública basado en la estructura algebraica de las curvas elípticas sobre campos finitos. ECC permite claves más pequeñas en comparación con la criptografía no EC, como RSA, para proporcionar una seguridad equivalente.
Certificado de encriptación Certificado que contiene una clave pública y la correspondiente clave de uso que se utiliza para cifrar mensajes electrónicos, archivos, documentos o transmisiones de datos, o para establecer o intercambiar una clave de sesión con estos mismos fines.
Certificado de Entidad Final Un certificado que reside en la parte inferior de la jerarquía de la CA y no puede utilizarse para firmar ningún otro certificado. La mayoría de los certificados de usuario final, dispositivo y servidor son certificados de entidad final
Inscripción por Transporte Seguro (EST) es un protocolo criptográfico que describe un protocolo de gestión de certificados X.509 dirigido a clientes de infraestructura de clave pública (PKI) que necesitan adquirir certificados de cliente y certificados de autoridad de certificación (CA) asociados. EST se describe en el RFC 7030. EST se ha propuesto como sustituto de SCEP, por ser más fácil de implementar en dispositivos que ya tienen una pila HTTPS. EST utiliza HTTPS como transporte y aprovecha TLS para muchos de sus atributos de seguridad.
Uso ampliado de claves (EKU) Define las propiedades avanzadas sobre para qué se utilizará un certificado.
Módulo de seguridad de hardware (HSM) Un módulo de seguridad hardware es un dispositivo informático físico que salvaguarda y gestiona claves digitales para una autenticación fuerte y proporciona procesamiento de operaciones criptográficas.
Hash Una huella digital utilizada habitualmente en las firmas digitales, para garantizar que los datos no han sido manipulados. Concretamente, es un algoritmo unidireccional utilizado para convertir un valor en otro para enmascarar información mediante un resultado matemático.
Autoridad de Certificación Intermedia (Intermedia) Una CA que está subordinada a otra CA, y tiene una CA subordinada a sí misma.
Autoridad de Certificación Emisora Una CA subordinada que emite certificados a usuarios finales y ordenadores (sujetos del certificado).
Atestación de claves es la capacidad técnica de demostrar a una parte remota que una clave privada de cifrado se generó dentro de un módulo criptográfico de hardware, como un módulo de plataforma de confianza (TPM) o un módulo de seguridad de hardware (HSM), y que se gestiona dentro de él y no se puede exportar desde él.
Uso de la clave (KU) Define las propiedades básicas sobre para qué se utilizará un certificado.
Protocolo ligero de acceso a directorios (LDAP) es un protocolo de aplicación estándar de la industria, abierto e independiente del proveedor, para acceder y mantener servicios de información de directorio distribuidos a través de una red de Protocolo de Internet (IP). Los servicios de directorio desempeñan un papel importante en el desarrollo de aplicaciones de intranet e Internet, ya que permiten compartir información sobre usuarios, sistemas, redes, servicios y aplicaciones en toda la red. A menudo se utiliza un LDAP para almacenar los datos del certificado S/MIME de una cuenta de usuario.
Extensiones polivalentes de correo de Internet (MIME) es una norma de Internet que amplía el formato de los mensajes de correo electrónico para admitir texto en conjuntos de caracteres distintos de ASCII, así como archivos adjuntos de audio, vídeo, imágenes y programas de aplicación.
Identificador de objeto (OID) Valor único global asociado a un objeto para identificarlo inequívocamente, utilizado en la Notación de Sintaxis Abstracta (ASN.1)
Protocolo de Estado de los Certificados en Línea (OCSP) Protocolo en línea utilizado para determinar el estado de un certificado de clave pública.
Normas de Criptografía de Clave Pública (PKCS) Conjunto de normas para describir el uso de técnicas criptográficas estándar dentro de los programas PKI. Estas normas están definidas y publicadas por RSA Security LLC e incluyen técnicas como PKCS 7, PKCS 10, PKCS 11 y PCKS 12, que cubren aspectos como la sintaxis de los mensajes y el formato de los certificados digitales y cómo se almacenan las claves privadas.
Infraestructura de Clave Pública (ICP) Es un conjunto de funciones, políticas, hardware, software y procedimientos necesarios para crear, gestionar, distribuir, utilizar, almacenar y revocar certificados digitales y gestionar el cifrado de clave pública. La finalidad de una PKI es facilitar la transferencia electrónica segura de información para una serie de actividades en red, como el comercio electrónico, la banca por Internet y el correo electrónico confidencial. Es necesaria para actividades en las que las simples contraseñas son un método de autenticación inadecuado y se requieren pruebas más rigurosas para confirmar la identidad de las partes implicadas en la comunicación y validar la información que se transfiere.
Autoridad de Registro (AR) Entidad de confianza que establece y responde de la identidad de un Suscriptor ante una CA. La RA puede ser parte integrante de una CA, o puede ser independiente de una CA, pero tiene una relación con la CA.
Cambio de clave Modificar el valor de una clave criptográfica que se está utilizando en una aplicación de un sistema criptográfico; esto implica normalmente la emisión de un nuevo certificado sobre la nueva clave pública.
Renovación Acto o proceso de prorrogar la validez de la vinculación de datos afirmada por un certificado de clave pública mediante la emisión de un nuevo certificado.
Solicitud de comentarios (RFC) es una publicación de una serie de los principales organismos de desarrollo técnico y establecimiento de normas de Internet, entre los que destaca el Grupo de Trabajo de Ingeniería de Internet (IETF). Una RFC está escrita por personas o grupos de ingenieros e informáticos en forma de memorándum que describe métodos, comportamientos, investigaciones o innovaciones aplicables al funcionamiento de Internet y de los sistemas conectados a Internet. Las RFC relacionadas con la PKI son la 8399 y la 5280.
Revocación Poner fin prematuramente al periodo operativo de un certificado con efecto en una fecha y hora determinadas.
Criptografía Rivest-Shamir-Adleman (RSA) Es un criptosistema de clave pública, uno de los más antiguos, que se utiliza ampliamente para la transmisión segura de datos. La seguridad del RSA se basa en la dificultad práctica de factorizar el producto de dos grandes números primos
Autoridad de Certificación Raíz (Raíz) La CA situada en la parte superior de una jerarquía PKI en la que confían explícitamente todos los suscriptores y partes confiantes, cuya clave pública sirve como el dato de mayor confianza (es decir, el inicio de las rutas de confianza) para un dominio de seguridad.
Capa de sockets seguros (SSL) Un protocolo obsoleto anterior a la norma TLS. Dado que se necesitan certificados de punto final emitidos por una Autoridad de Certificación para hacer posible tanto SSL como TLS, los certificados X.509 suelen denominarse certificados SSL.
Extensiones de Correo de Internet Seguro/Multipropósito (S/MIME) es una norma para el cifrado y la firma de datos MIME con clave pública. S/MIME está en una vía de normalización del IETF y se define en varios documentos, el más importante de los cuales es el RFC 8551
Certificado autofirmado Un certificado que 1: utiliza su clave pública para verificar su propia firma; 2: el nombre del asunto es idéntico al nombre del emisor. Contrariamente a lo que se cree, los certificados autofirmados no están reservados a las CA privadas, sino que también están presentes en las CA públicas (es decir, su raíz).
Certificado de firma Certificado de clave pública que contiene una clave pública destinada a verificar firmas digitales en lugar de cifrar datos o realizar cualquier otra función criptográfica.
Protocolo simple de inscripción de certificados (SCEP) es un protocolo para certificados digitales que admite la distribución de claves públicas de autoridades de certificación (CA) y autoridades de registro (RA), la inscripción de certificados, la revocación de certificados, las consultas de certificados y las consultas de listas de revocación de certificados (CRL).
Autoridad de Certificación Subordinada CA cuya clave de firma de certificado está certificada por otra CA, y cuyas actividades están limitadas por esa otra CA.
Cifrado simétrico El acto de utilizar permutaciones matemáticas para cifrar un mensaje de texto sin formato. Se utiliza la misma clave para cifrar y descifrar estos mensajes.
Seguridad de la capa de transporte (TLS) es un protocolo criptográfico diseñado para proporcionar seguridad en las comunicaciones a través de una red informática. TLS sustituyó al protocolo SSL
Módulo de plataforma de confianza (TPM ) es un estándar internacional para un criptoprocesador seguro, un microcontrolador dedicado diseñado para asegurar el hardware mediante claves criptográficas integradas. TPM versión 2.0 es el estándar actual, haciendo obsoleta la versión 1.0
X.509 es una norma que define el formato de los certificados de clave pública. Los certificados X.509 se utilizan en muchos protocolos de Internet, incluido TLS/SSL, que es la base de HTTPS, el protocolo seguro para navegar por la web. También se utilizan en aplicaciones fuera de línea, como las firmas electrónicas.

Although we were one of the first customers to choose the combined S/MIME Management and Automation Service from GlobalSign & KeyTalk and we had to overcome some initial hurdles, we got fantastic support from the KeyTalk team and the service is working perfectly now. I would absolutely recommend their S/MIME Management and Automation Service to any company that needs easy-to-use end-to-end secure email communication. — Matteo Snidero, Head of IT @ Finance in Motion