Claves y certificados

El cifrado asimtrico utiliza un par de claves: pblica y privada. Los datos cifrados
con la clave privada pueden descifrarse nicamente con la clave pblica
correspondiente y viceversa.
Las claves pblicas (tal y como sugiere su nombre) estn disponibles para todo el
mundo. Por el contrario una clave privada se limita a una persona en concreto. El
mecanismo de distribuci!n por el "ue las claves pblicas se transportan a los
usuarios es el certificado. Los certificados suelen ir firmados por una entidad emisora
de certificados (#$) para confirmar "ue la clave pblica procede del su%eto "ue
declara &aberla enviado. La #$ es una entidad de confianza mutua.
La implementaci!n t'pica de certificaci!n digital implica un proceso de firma del
certificado. El proceso se muestra en la ilustraci!n (.
{Insert fgure: REF Digital Certifcation.gif}
)lustraci!n (
Proceso de certifcacin digital
La secuencia de eventos "ue se muestra en la ilustraci!n ( es la siguiente:
(. $lice env'a a una entidad emisora de certificados una solicitud de certificado
firmado "ue contiene su nombre su clave pblica y "uizs alguna informaci!n
adicional.
*. La entidad emisora de certificados crea un mensa%e a partir de la solicitud de
$lice. La entidad emisora de certificados firma el mensa%e con su clave
privada creando de este modo una firma independiente. $ continuaci!n
devuelve el mensa%e y la firma a $lice. En con%unto el mensa%e y la firma
forman el certificado de $lice.
+. $lice env'a el certificado a ,ob para darle acceso a su clave pblica.
-. ,ob comprueba la firma del certificado mediante la clave pblica de la entidad
emisora de certificados. .i la firma resulta ser vlida acepta la clave pblica
del certificado como la clave pblica de $lice.

#omo en el caso de la firma digital cual"uier destinatario con acceso a la clave
pblica de la #$ puede determinar si la firma del certificado procede de una entidad
emisora de certificados concreta. Este proceso no re"uiere ningn tipo de acceso a
datos secretos. En el escenario anterior se supone "ue ,ob tiene acceso a la clave
pblica de la entidad emisora de certificados. /iene acceso a dic&a clave si posee
una copia del certificado de la #$ "ue contiene la clave pblica.
Certificados digitales X.509
Los certificados digitales 0.123 no contienen nicamente el nombre de un usuario y
la clave pblica sino tambin otra informaci!n acerca del usuario. Estos certificados
son algo ms "ue obstculos en una %erar"u'a digital de confianza. Permiten a la #$
proporcionar al destinatario de un certificado un medio de confianza de la clave
pblica del su%eto emisor del certificado y de otros datos acerca del mismo. Estos
otros datos pueden ser entre otras cosas una direcci!n de correo electr!nico una
autorizaci!n para firmar documentos de un determinado valor o la autorizaci!n para
convertirse en una entidad emisora de certificados y firmar otros certificados.
Los certificados 0.123 y muc&os otros tienen un periodo de validez. 4n certificado
puede caducar y perder su validez. 4na entidad emisora de certificados puede
revocar un certificado por diversos motivos. Para controlar las revocaciones la #$
mantiene y distribuye una lista de certificados revocados denominada Lista de
revocaciones de certificados (#5L). Los usuarios de la red tienen acceso a la lista
para determinar la validez de un certificado.
Almacenes de certificados
Los certificados se almacenan en ubicaciones seguras denominadas almacenes de
certificados. 4n almacn de certificados puede contener certificados #5L y Listas de
certificados de confianza (#/L). #ada usuario tiene un almacn personal
(denominado 678 store6) donde se almacenan los certificados del usuario. El
almacn 78 store puede implementarse f'sicamente en varias ubicaciones incluido
el 5egistro en un e"uipo local o remoto un arc&ivo de disco una base de datos un
servicio de directorio un dispositivo inteligente u otra ubicaci!n.
$un"ue cual"uier certificado puede almacenarse en el almacn 78 store deber'a
reservarse para los certificados personales de un usuario es decir los certificados
"ue se utilizan para firmar y descifrar los mensa%es de ese determinado usuario.
$dems del almacn 78 store 9indo:s mantiene los siguientes almacenes de
certificados:
; CA y ROOT. Este almacn contiene los certificados de las autoridades
emisoras de certificados en las "ue el usuario conf'a la emisi!n de certificados
a otros usuarios. El sistema operativo proporciona un con%unto de certificados
de entidades emisoras de certificados de confianza y los administradores
pueden agregar otros.
; Otro. Este almacn contiene los certificados de otras personas con las "ue el
usuario intercambia mensa%es firmados.

#rypto$P) proporciona funciones para administrar certificados. .!lo es posible tener
acceso a estas $P) a travs de c!digo no administrado. $dems #$P)#<7 es una
$P) basada en #<7 para #rypto$P) a la "ue se puede tener acceso a travs de
interoperabilidad #<7.
Ms informacin
Para obtener ms informaci!n consulte 6#ryptograp&y #rypto$P) and #$P)#<76
en 7.=> (&ttp:??msdn.microsoft.com?library?default.asp@urlA?library?enB
us?security?.ecurity?cryptograp&yCcryptoapiCandCcapicom.asp) (en ingls).
Criptografa
La criptograf'a se utiliza para proporcionar lo siguiente:
; Confidencialidad. Para garantizar "ue se mantiene la privacidad de los datos.
La confidencialidad suele lograrse mediante el cifrado. Los algoritmos de
cifrado ("ue utilizan claves de cifrado) se utilizan para convertir teDto normal en
teDto cifrado y el algoritmo de descifrado e"uivalente se utiliza para convertir el
teDto cifrado de nuevo a teDto normal. Los algoritmos de cifrado simtricos
utilizan la misma clave para cifrar y descifrar mientras "ue los algoritmos
asimtricos utilizan un par de claves: pblica y privada.
; !ntegridad de los datos. Para garantizar la protecci!n de los datos frente a
modificaciones accidentales o deliberadas (maliciosas). La integridad suelen
proporcionarla los c!digos de autenticaci!n de mensa%es o valores &as&. 4n
valor &as& es un valor numrico de longitud fi%a derivado de una secuencia de
datos. Los valores &as& se utilizan para comprobar la integridad de los datos
"ue se env'an a travs de canales no seguros. .e compara el valor &as& de
los datos recibidos con el valor &as& de los datos "ue se enviaron para
determinar si se alteraron los datos.
; A"tenticacin. Para garantizar "ue los datos proceden de un determinado
usuario. Los certificados digitales se utilizan para proporcionar autenticaci!n.
Las firmas digitales suelen aplicarse a valores &as& ya "ue suelen ser
considerablemente menores "ue los datos de origen "ue representan.

Opciones t#cnicas
; 4tilice un valor &as& cuando necesite comprobar "ue los datos no &an sufrido
alteraciones durante el trnsito.
; 4tilice un valor &as& con clave cuando necesite demostrar "ue una entidad
conoce un secreto sin enviar el secreto y volverlo a recibir o cuando desee
defenderse de intercepciones durante el trnsito mediante un valor &as&
sencillo.
; 4tilice el cifrado cuando desee ocultar datos "ue se env'an en un medio no
seguro o al establecer la persistencia de los datos.
; 4tilice un certificado cuando desee comprobar la identidad de la persona "ue
declara ser propietario de la clave pblica.
; 4tilice el cifrado simtrico para mayor velocidad y cuando las dos partes
conocen la clave.
; 4tilice el cifrado asimtrico cuando desee intercambiar datos de forma segura
a travs de un medio no seguro.
; 4tilice la firma digital cuando desee autenticar sin repudio.
; 4tilice un valor salt (nmero aleatorio generado criptogrficamente) para
defenderse de los ata"ues de diccionario.

Criptografa en .$%T
El espacio de nombres &ystem.&ec"rity.Cryptograp'y proporciona servicios
criptogrficos como codificar y descodificar datos aplicar algoritmos &as& generar
nmeros aleatorios y autenticar mensa%es.
.>E/ Erame:orF proporciona implementaciones de numerosos algoritmos
criptogrficos estndar "ue pueden eDtenderse fcilmente gracias a la %erar"u'a de
&erencia bien definida formada por clases abstractas "ue definen los tipos bsicos
de algoritmos: simtricos asimtricos y algoritmos &as& %unto con las clases de
algoritmos.
/abla (: 7uestra los algoritmos para los "ue .>E/ Erame:orF proporciona clases de
implementaci!n estndar.
$lgoritmos simtricos $lgoritmos asimtricos $lgoritmos &as&
=E. (Estndar de cifrado de
datos)
=.$ ($lgoritmo de firma
digital)
G7$# .G$(
(#!digo de
autenticaci!n de
mensa%es basado en
&as& "ue utiliza el
algoritmo &as&
.G$()
/riple=E. (Estndar de cifrado
de datos triple)
5.$ 7$# /riple =E.
(#!digo de
autenticaci!n de
mensa%es mediante
/riple =E.)
5i%ndael 7=1
5#* .G$( .G$*1H
.G$+I- .G$1(*
($lgoritmo &as&
seguro mediante
diversos tamaJos de
valor &as&)

Compati(ilidad con algoritmos sim#tricos
.>E/ proporciona las siguientes clases de implementaci!n "ue ofrecen algoritmos
simtricos de cifrado de claves secretas:
; =E.#rypto.erviceProvider
; 5#*#rypto.erviceProvider
; 5i%ndael7anaged
; /riple=E.#rypto.erviceProvider

$ota) Las clases "ue tienen la terminaci!n 6#rypto.erviceProvider6 son
contenedores "ue utilizan los servicios subyacentes del proveedor de servicios de
cifrado (#.P) y las clases "ue tienen la terminaci!n 67anaged6 se implementan en
c!digo administrado.
La ilustraci!n * muestra la %erar"u'a de &erencia "ue adopta .>E/ Erame:orF. La
clase base del tipo de algoritmo (por e%emplo &ymmetricAlgorit'm) es abstracta.
4n con%unto de clases abstractas para los distintos algoritmos se derivan de la clase
base de algoritmo tambin de tipos abstracto. Las clases de implementaci!n de
algoritmos proporcionan implementaciones concretas del algoritmo seleccionadoK por
e%emplo =E. /ripleB=E. 5i%ndael y 5#*.
{Insert fgure: REF Crypto Object o!el.gif}
)lustraci!n *
La jerarqua de herencia de la clase crypto simtrica
Compati(ilidad con algoritmos asim#tricos
.>E/ proporciona los siguientes algoritmos de cifrado asimtricos (clave
pblica?privada) a travs de la clase base abstracta
(&ystem.&ec"rity.Crytograp'y.AsymmetricAlgorit'm):
; =.$#rypto.erviceProvider
; 5.$#rypto.erviceProvider

.e utilizan para firmar y cifrar datos digitalmente. En la ilustraci!n + se muestra la
%erar"u'a de &erencia.
{Insert fgure: REF Crypto Object o!el "#sy$$etric%.gif}
)lustraci!n +
La jerarqua de herencia de la clase crypto asimtrica
Compati(ilidad con algoritmos 'as'
.>E/ proporciona los siguientes algoritmos &as&:
; .G$( .G$*1H .G$+I- .G$1(*
; 7=1
; G7$#.G$ ($lgoritmo &as& con clave)
; 7$#/riple=E. ($lgoritmo &as& con clave)
La ilustraci!n - muestra la %erar"u'a de &erencia de las clases de algoritmos &as&.
{Insert fgure: REF Crypto Object o!el "&as'ing%.gif}
)lustraci!n -
La jerarqua de herencia de la clase crypto hash
Res"men
La criptograf'a es una tecnolog'a importante para crear aplicaciones 9eb seguras.
Este apndice &a tratado algunos de los conceptos bsicos de los certificados y la
criptograf'a y &a introducido algunas de las clases eDpuestas por el espacio de
nombres &ystem.&ec"rity.Cryptograp'y "ue permiten incorporar con mayor
facilidad soluciones de seguridad criptogrfica en las aplicaciones .>E/.
Para obtener ms informaci!n acerca de la criptograf'a en .>E/ bus"ue en 7.=> la
pgina titulada 6.>E/ Erame:orF #ryptograp&y 7odel6 (en ingls).