Servidor de claves criptográficas

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 1 de febrero de 2020; las comprobaciones requieren 4 ediciones .

En términos de seguridad de la información , un servidor de claves criptográficas  es un host destinado al almacenamiento y transmisión a los usuarios, así como otros servidores criptográficos de claves criptográficas .

Las claves distribuidas por este tipo de servidor se utilizan con mayor frecuencia como parte de un certificado digital que contiene no solo la clave en sí, sino también información sobre el propietario de la clave. Por regla general, en este caso, se utiliza un certificado de uno de los estándares comunes: OpenPGP , X.509 o PKCS . Además, estas claves suelen ser claves públicas para su uso en algoritmos de cifrado de claves públicas .

Historia

La creación de este tipo de servidores fue necesaria tras la aparición de los criptosistemas de clave pública , en los que el usuario crea un par de claves: privada y pública. Además, la clave pública, como su nombre lo indica, debe ponerse a disposición del público para su uso en operaciones criptográficas al verificar un EDS y cifrar un mensaje. La búsqueda de la clave correcta en Internet, o las solicitudes para enviar esta clave personalmente a la persona con la que desea comunicarse en privado, pueden llevar mucho tiempo. Además, es posible que reciba una clave obsoleta o no válida. El servidor de claves criptográficas en este caso actúa como un almacén de claves centralizado que minimiza la necesidad de una solicitud individual de claves, y además se convierte en uno de los elementos estructurales de la cadena de confianza .

El primer servidor de claves PGP basado en la web fue descrito y creado por Mark Horowitz como resultado de escribir una disertación mientras estudiaba en el Instituto de Tecnología de Massachusetts . Este servidor se denominó "HKP" por el nombre del protocolo desarrollado para él (Protocolo de servidor de claves HTTP OpenPGP). Los usuarios podían recibir, descargar claves y también buscar claves en el servidor usando este protocolo a través del puerto 11371, o manualmente a través de un navegador ejecutando scripts CGI . Antes de la creación de HKP, los servidores de claves se administraban a través de un controlador de comandos de correo electrónico .

PGP, Inc. desarrolló un servidor de claves independiente conocido como PGP Certificate Server . y está disponible como aplicación (desde la versión 2.5.x como aplicación de servidor) para implementaciones de funciones de servidor de claves PGP desde la versión 8.x (programas cliente) [1] . El 1 de enero de 2002, Network Associates Technology Corporation emitió una patente (Patente de Estados Unidos 6336186) [2] para el concepto de servidor de claves.

Para reemplazar el antiguo servidor de certificados, Network Associates introdujo un servidor de claves LDAP llamado PGP Keyserver 7.0. Desde el lanzamiento de PGP 6.0, esta implementación de servidor de claves se ha convertido en la interfaz base para usar en las implementaciones de PGP de Network Associates. Los servidores de claves LDAP y LDAPS (con compatibilidad con HKP para compatibilidad con versiones anteriores) también se convirtieron en la base de las herramientas de administración de PGP, que se utilizaron para crear un servidor de claves privado empresarial de acuerdo con el esquema Netscape Directory Server . Posteriormente, este sistema fue reemplazado por el Directorio Global de PGP Corporation .

Servidores públicos y privados

Hay muchos servidores de claves disponibles públicamente distribuidos por todo el mundo que le permiten almacenar y transferir claves OpenPGP a través de Internet. En su mayor parte, estos servidores son mantenidos por personas privadas de acuerdo con el concepto pro bono , implementando así el modelo de uso de PGP web of trust .

Varios servidores de claves S/MIME disponibles públicamente [3] también le permiten agregar o revocar claves utilizadas en los criptosistemas S/MIME .

Además de lo anterior, hay muchas infraestructuras de clave pública propietarias que incluyen un servidor de claves, que puede estar disponible públicamente o ser privado, sirviendo solo a los usuarios de su sistema.

Problemas de uso

Los servidores de claves OpenPGP desarrollados en los años 90 enfrentaron una serie de problemas de uso. Una vez cargada en el servidor, la clave pública es muy difícil de eliminar. Por diversas razones (por ejemplo, la pérdida o el robo de una clave privada emparejada), algunos usuarios dejaron de usar sus claves públicas. En este caso, fue bastante difícil eliminar la clave pública, e incluso si se eliminó, nada impidió que el atacante volviera a cargar una copia de la clave en el servidor. En tal situación, una gran cantidad de antiguas claves públicas innecesarias se acumularon en el servidor, las denominadas "placas ateroscleróticas" del servidor de claves.

Otro problema era que cualquiera podía subir al servidor una clave pública ficticia asociada a una persona que no es la propietaria de esa clave. En dichos servidores de claves, no hay forma de verificar la legitimidad de la clave.

Para solucionar estos problemas, PGP Corporation ha desarrollado una nueva generación de servidores de claves criptográficas denominada PGP Global Directory [1] . En dichos servidores, al agregar una clave pública, se enviaba una solicitud al correo electrónico del propietario previsto para confirmar la propiedad de la clave que se estaba cargando. Si se recibió confirmación, el servidor aceptó la clave como legítima. Además, para evitar que la llave se convierta en una "placa" ficticia, dicha solicitud podría volver a enviarse periódicamente. Como resultado, la lista de claves en el servidor se mantuvo actualizada y, si se deseaba, siempre era posible verificar la legitimidad de la clave solicitando al propietario por correo electrónico. Desafortunadamente, el hecho de que la verificación de legitimidad se llevó a cabo sin el uso de métodos criptográficos en un correo electrónico normal llevó al hecho de que cualquier persona con acceso a la cuenta de correo electrónico podría, por ejemplo, eliminar la clave o agregar una ficticia. .

El último borrador de IETF para HKP describió una red distribuida de servidores de claves criptográficas basados ​​en registros DNS SRV : al buscar una clave para [email protected], se puede enviar una consulta al servidor de claves example.com.

Ejemplos de servidores de claves

A continuación se muestran algunos servidores de claves que se utilizan más comúnmente para obtener una clave con el comando "gpg --recv-key"

Véase también

Notas

  1. 1 2 Directorio global de PGP . Consultado el 23 de octubre de 2012. Archivado desde el original el 18 de mayo de 2001.
  2. Patente de Estados Unidos 6336186  (enlace inaccesible)
  3. KeyServers-CAcert Wiki . Consultado el 24 de octubre de 2012. Archivado desde el original el 8 de enero de 2018.

Enlaces