Una PKI de romanos

Pertenezco a esa generación olvidada, Xennials nos llaman algunos, que crecimos en la frontera entre lo analógico y digital, igual por eso soy tan melodrama y me gustan los cachivaches raros, los relojes mecánicos, la música en vinilo y esos teléfonos viejos que marcabas con la redondita…

Sin darme cuenta viví esa transformación de las ondas por dígitos, de tener que reducir tus películas favoritas porque no te cabían en el cajón a tener almacenamiento infinito. Las cosas molaban mucho antes del Compact Disk, recuerdo pasarme horas mirando portadas en el video club para decidirme por una película, rebobinar las cintas con el bolígrafo y de usar celo para arreglar una enganchada. Mis padres fueron propietarios de un video club y tuve la suerte de disfrutarlo en mi infancia.

Me vienen a la memoria los del 40, una pareja de abueletes maravillosa que no devolvían ni una película a tiempo o de la gente que venía a pasar la tarde y me preguntaban por todas las películas cuando no medía ni un metro. Si notas que mis historias tienen algunas referencias del cine, es normal, parte de mi infancia la pasé en ese querido videoclub.

Hoy quiero hablarte de certificados, cifrados y criptografía. Te aviso que a partir de ahora la cosa se va a complicar, pero podemos empezar por una de romanos como diría Sabina.

El Cifrado de César fue uno de los primeros ejemplos de criptografía para proteger mensajes militares. Este método de cifrado, cada letra del mensaje se desplaza un número fijo de posiciones en el alfabeto.

Un desplazamiento de 3, la letra 'A' se convierte en 'D', 'B' en 'E'… Es decir, el mensaje original "ATTACK AT DAWN" se cifraría como "DWWDFN DW GDZQ".

Quédate con lo del desplazamiento, porque es algo que verás que se repite.

Bueno, ya toca cambiar de película y nos vamos un clásico, Casablanca. Si no la has visto, ya estás tardando. Qué bonita es esa química entre Bogart y Bergman…

De Bill Gold - dominio público, Wikipedia

Enigma VS Turing

La criptografía tomó un papel crucial en la Segunda Guerra Mundial con la invención de la máquina Enigma. Utilizaba una serie de rotores para crear complejas permutaciones de letras, haciendo que los mensajes fueran extremadamente difíciles de descifrar sin conocer la configuración exacta de los rotores. ¿Recordáis lo del desplazamiento?

No me extenderé en su funcionamiento, pero si hablamos de criptografía necesito contar la historia de Enigma y Turing el padre de la informática moderna.

Alan Turing, matemático británico homosexual jugó un papel esencial en el desciframiento de los mensajes Enigma. Turing desarrolló técnicas y dispositivos, como la máquina Bombe, que automatizaban el proceso de descifrado para vencer a Enigma. También le debemos la máquina de Turing, concepto clave en la teoría de la computación, fundamental para el desarrollo la inteligencia artificial.

Turing propuso la idea de que las máquinas podrían eventualmente simular cualquier aspecto de la inteligencia humana. En los años cincuenta…

Desgraciadamente en lugar de ser tratado como un héroe, fue condenado en 1952 por atentar contra la moral pública por su relación con un hombre de 19 años. Turing declinó defenderse y se sometió a castración química para evitar la cárcel. Dos años después, el 7 de junio de 1954, murió, poco antes de cumplir los 42 años. La muerte se consideró un suicidio, cometido ingiriendo una manzana contaminada con cianuro. Todavía hoy, fanáticos de Apple discuten si la manzana de Jobs es un homenaje cifrado.

Encriptación

La encriptación es el proceso de convertir datos legibles en un formato codificado que solo puede ser desencriptado por alguien que posea la clave correcta. Os hablaré de cuatro tipos de encriptación:

Encriptación Simétrica: Usa la misma clave para encriptar y desencriptar los datos. Es rápida y eficiente, pero la seguridad depende de mantener la clave secreta. Ejemplo: AES (Advanced Encryption Standard).

Encriptación Asimétrica: Usa un par de claves, una pública y una privada. La clave pública encripta los datos, y solo la clave privada correspondiente puede desencriptarlos. Ejemplo: RSA (Rivest-Shamir-Adleman).

Encriptación Elíptica: La encriptación elíptica, es un enfoque moderno y eficiente para la criptografía asimétrica. La criptografía de curva elíptica (ECC) ofrece una seguridad robusta con claves de menor tamaño en comparación con otros métodos tradicionales, como RSA.

Encriptación Cuántica: La encriptación cuántica representa la próxima frontera en la criptografía, utilizando principios de la mecánica cuántica para asegurar la transmisión de información. La criptografía cuántica más conocida es la Distribución Cuántica de Claves (QKD), garantiza la seguridad de las claves criptográficas mediante el uso de partículas cuánticas, como fotones.

No sé a vosotras, pero a mi cuando me hablan de partículas cuánticas me viene a la mente el condensador de fluzo…

Certificados, Claves Pública, Privada y números primos

Las claves pública y privada son una pareja de claves que se utilizan en la criptografía asimétrica para asegurar la comunicación y proteger la información.

La dificultad de factorizar grandes números primos es uno de los elementos de la criptografía. El cifrado RSA, por ejemplo, se basa en la multiplicación de dos números primos grandes, creando una clave pública para cifrar y una privada para descifrar.

Clave Pública: Es como una dirección de correo electrónico que puedes compartir con cualquier persona. Se usa para encriptar (cifrar) mensajes.

Clave Privada: Es como la contraseña de tu correo electrónico que debes mantener en secreto. Se usa para desencriptar (descifrar) mensajes.

Estas claves trabajan juntas para garantizar la seguridad y la autenticidad en las comunicaciones digitales.

Infraestructura de Clave Pública (PKI)

Una infraestructura de Clave pública (PKI), es un conjunto de roles, políticas y procedimientos necesarios para crear, gestionar, distribuir, usar, almacenar y revocar certificados digitales. La PKI facilita la distribución segura de claves públicas y asegura que estas claves estén asociadas con la identidad de sus propietarios. Estos son los componentes principales de una PKI:

Autoridad de Certificación (CA): Entidad de confianza que emite y gestiona certificados digitales.

Registro de Autoridad (RA): Actúa como intermediario entre el usuario y la CA, verificando las identidades antes de que la CA emita los certificados.

Directorio de Certificados: Almacena y distribuye los certificados y listas de revocación de certificados (CRL).

Protocolo de estado de certificados en línea (OCSP): Un protocolo de estado de certificados en línea puede proporcionar información similar a una CRL, pero la solicitud se envía a un servidor OCSP, lo que significa que la información solicitada puede devolverse más rápidamente y con mayor profundidad.

Clave Pública y Clave Privada: La clave pública se comparte para encriptar datos y la clave privada se mantiene en secreto para desencriptarlos.

¿Qué ventajas ofrece una PKI?

• La autenticación reduce los riesgos de fraude de identidad, violación de datos y acceso no autorizado.

• Mayor seguridad de los datos al mantener la confidencialidad, integridad y autenticidad.

• Mayor eficiencia con procesos de gestión mejorados

• El control de acceso optimizado garantiza que sólo se concede permiso de acceso a entidades de confianza.

• Ofrece una mayor escalabilidad para una amplia gama de necesidades de seguridad empresarial.

A continuación, te detallo algunas prácticas recomendadas en la gestión de una infraestructura de PKI:

• Rotación de claves de forma regular

• Hacer uso de estándares criptográficos robustos

• Administración eficaz de certificados

• Almacenamiento seguro de claves

• Utilizar Autenticación multifactor (MFA)

• Gestión sistemática de la vida útil del certificado

• Auditorías de rutina

• Principio de privilegio mínimo

• Educación de los empleados

• Asociación con una autoridad certificadora de confianza

Te comparto algunos de los principales proveedores de servicios de PKI:

Keyfactor / Digicert / Sectigo / Microsoft

Tendencias de PKI y ciberseguridad para 2024

Lila Kee, Chief Product Officer de GlobalSign, explica: "En todo el sector de la PKI y la ciberseguridad, se ha producido un cambio significativo en la reorientación del compromiso con la seguridad de los datos y la identidad digital, como demuestran los cambios que han propuesto los principales actores, como los del Foro CA/B [Certificate Authority/Browser] y los navegadores de Internet. Estos cambios afectarán a la forma de operar de las organizaciones a todos los niveles, y a cómo pueden utilizar diversas soluciones para sortearlos."

Entre estos cambios, destaca la evolución de la IA, cada vez más utilizada para los ataques cibernéticos y se espera un impacto dentro del mercado de la ciberseguridad y PKI.

La regulación eIDAS ha liderado en gran medida este camino a lo largo de los años y la introducción de eIDAS 2.0 y EUDI Wallets (European Digital Identity Wallets) ofrece nuevas oportunidades, no solo en el mercado europeo sino también a nivel mundial. A principios de este año, la Casa Blanca reveló su Estrategia Nacional de Ciberseguridad y se espera que otros países sigan su ejemplo.

Los avances y la investigación sobre la computación cuántica están en curso, aunque en su mayor parte parece estar en un segundo plano, y todo que no es probable que se den grandes pasos el próximo año, es una amenaza de la que las empresas son cada vez más conscientes y de la que deben irse preparando.

La vida útil de los certificados se ha ido reduciendo durante la última década de cinco años al año actual. Lo más probable es que los períodos de validez de los certificados sigan reduciéndose.

La gestión de los certificados y de las infraestructuras que los sostienen son un elemento clave en la seguridad de las identidades digitales de las organizaciones. Espero que este artículo te haya gustado y sigamos aprendiendo juntos.