Criptografía para principiantes (VII)
por José de Jesús Angel Angel, director de Investigación y Desarrollo de SeguriDATA.

Infraestructura de claves públicas.-

Teniendo ya un certificado digital que es generado con la ayuda de un algoritmo de clave pública ahora el problema es como administración todos estos, la estructura más básica es la siguiente:

El papel de la Autoridad certificadora (AC) es de firmar los certificados digitales de los usuarios, generar los certificados, mantener el status correcto de los certificados, esto cumple el siguiente ciclo:

1. La generación del certificado se hace primero por una solicitud de un usuario, el usuario genera sus claves pública y privada y manda junto con los requerimientos de la solicitud su clave pública para que esta sea certificada por la AC.
2. Una vez que la AR (es la AC regional) verifica la autenticidad del usuario, la AC vía la AR firma el certificado digital y es mandado al usuario
3. El status del usuario puede estar en: activo, inactivo o revocado. Si es activo el usuario puede hacer uso del certificado digital durante todo su periodo válido
4. Cuando termina el período de activación del certificado el usuario puede solicitar su renovación.

Entre las operaciones que pudiera realizar una AC están:

• Generar certificados
• Revocar certificados
• Suspender certificados
• Renovar certificados
• Mantener un respaldo de certificados

Entre las que pudiera realizar una AR están:

• Recibir las solicitudes de certificación
• Proceso de la autenticación de usuarios
• Generar las claves
• Respaldo de las claves
• Proceso de Recobrar las claves
• Reportar las revocaciones

Y las actividades de los usuarios:

• Solicitar el certificado
• Solicitar la revocación del certificado
• Solicitar la renovación del certificado

Una vez que algún usuario tiene un certificado digital este puede usarlo para poder navegar por la red con nombre y apellido en forma de bits, esto permite entrar al mundo del comercio electrónico, al mundo de las finanzas electrónicas y en general a la vida cibernética con personalidad certificada. El usuario dueño de un certificado digital tiene la potencialidad de poder autentificarse con cualquier otra entidad usuaria, también puede intercambiar información de forma confidencial y estar seguro de que esta es integra, así estar seguro que contactos vía el certificado digital no serán rechazados. Los primeros usuarios de certificados digitales fueron los servidores, actualmente son quienes más los usan, sin embargo también se ha incrementado el número de personas que los usan.

Si suponemos que algún tipo de aplicación funciona ya con certificados digitales, esta tendrá una AC y las correspondientes AR, sin embargo es común que haya mas autoridades certificadoras y que sus usuarios puedan interoperar con sus respectivos certificados, a esto se le conoce como certificación cruzada y opera de la siguiente forma:

1) Las diferentes AC pueden estar certificadas enviándose una a otra sus respectivos certificados que ellas mismas generan:

2) Entonces la AC X tendrá el certificado de la AC Y y viceversa, pudiendo generar un certificado para Y que genera X y otro para X que genera Y

3) Ahora como un usuario A de la AC X puede comunicarse con un usuario B de la AC Y

4) El usuario B envía a A el certificado de B que genera Y ( Cert y B) junto con el certificado de Y que el mismo se genera (Cert y Y)

5) Ahora A puede validar a B ( Cert y B) usando el certificado de Y que genera X

En la práctica se ha demostrado que el estatus de un certificado cambia con gran frecuencia, entonces la cantidad de certificados digitales revocados crece considerablemente, el problema esta en que cada vez que se piensa realizar una comunicación y es necesario validar un certificado se debe de comprobar que este no esta revocado. La solución que se ha venido usando es la de crear una lista de certificados revocados LCR y así verificar que el certificado no esta en esa lista, para poder iniciar la comunicación. El manejo de las listas de certificados revocados ha llegado a tener un gran costo que sin embargo aún no se ha reemplazar por otra técnica a pesar que se han propuesto ya salidas al problema.

Las operaciones de la administración de los certificados digitales puede cambiar de acuerdo a las leyes particulares de cada país o entidad.