El mundo de la firma electrónica le debe mucho a la denominada infraestructura de clave pública (PKI). Este término tan rimbombante hace referencia a un conjunto de elementos de hardware, programas informáticos y protocolos de seguridad dirigidos a facilitar las operaciones a través de firma electrónica, mediante operaciones criptográficas.
Esta nomenclatura también está relacionada con los algoritmos de clave pública o criptografía asimétrica, que es aquella basada en el uso de dos claves simultáneas, una pública y otra privada, que son generadas de manera única. Los usuarios de estos protocolos pueden autenticarse y utilizar los citados certificados de identidad firmados por las autoridades de certificación, de manera que quedan vinculados -su clave pública- con los datos reflejados en la clave privada.
En este procedimiento, lo más usual es que participe un usuario de la operación, unos servidores en los que se certifique la existencia de la operación y, lógicamente, un destinatario de los datos cifrados. Una gran ventaja de este sistema, frente a los sistemas de cifrado simétrico, es que tanto el remitente como el destinatario pueden utilizar claves distintas que, eso sí, deberán facilitarse en el momento de la interacción digital. No obstante, también adolece de algunas desventajas, como el uso de claves de mayor tamaño que las simétricas o el volumen del cifrado, que siempre es mayor que el tamaño del documento original.
Es conveniente señalar que el grado de seguridad de este procedimiento está ligado al método y formato con el que se guarden las claves privadas. Para reforzar el nivel de seguridad y acceso a estas claves, en muchos casos se utilizan tokens de seguridad, como dispositivos biométricos que solo pueden ser utilizados por el emisor dueño de ese certificado.
Además, como ya hemos indicado, es necesario que el certificado sea válido, por lo que se necesita contar con el respaldo de una autoridad reconocida, que se encargará de verificar la validez y veracidad de los datos para un uso especifico definido en las políticas de seguridad.
Otro de los actores incluidos en este sistema de infraestructura es la autoridad de validación, que garantiza la validez de ese certificado. Junto a estos, la autoridad de sellado de tiempo avala la existencia del documento a partir de una fecha concreta.
Siempre que se cumplan las medidas establecidas, estos protocolos son reconocidos por su alto nivel de seguridad. Por eso, es necesario contar con una política de seguridad bien definida, que incluya el plan de acción correspondiente ante un posible riesgo de seguridad. Se trata de documentos que definen la seguridad de la información de la entidad que lo comparte.
Para que todo el sistema sea viable también es necesario establecer un esquema de confianza, a través del cual el usuario que posee la clave privada debe transferir un nivel de seguridad suficiente.
Frente a este sistema, también se trabaja en el desarrollo de claves asimétricas basados en curvas elípticas que utilizan CCE más rápidas y claves más cortas. En próximas entradas detallaremos este y otros sistemas de encriptación.
