PKI (infraestructura de clave pública) es un marco de servicios de seguridad que permiten a grupos de usuarios para utilizar comunicaciones seguras mediante el uso de mecanismos de seguridad de clave pública. Esos mecanismos se dividen en 3 categorías principales encriptación, autenticación y intercambio de claves de seguridad.
Cualquier organización que decida implementar PKI primero debe crear una política de seguridad amplia organización listado los activos a ser protegido, el nivel de seguridad que deben otorgarse a qué activos, los protocolos de seguridad que deben adoptarse y quién fue responsable de la implementación y el seguimiento de dichas acciones de seguridad. El documento de política hará hincapié en que los mecanismos deben ser implementados y dónde. Almacenamiento seguro necesita ser identificado con el propósito de almacenar cualquier información de clave pública y una autoridad de certificación de seguridad debe estar seleccionada, o una autoridad de certificación interna debe ser identificada. IPSec identifica los protocolos para el intercambio seguro de datos pero PKI identifica todos los aspectos de los mecanismos de seguridad.
La Fundación para los intercambios de comunicación segura se habilita mediante el uso de un tercero que normalmente se requerirá proporcionar firmas digitales para certificar que las dos partes que participan en el intercambio de datos son auténticos. Esto requiere que ambas partes deben convenir sobre el uso de la autoridad de certificación y reconocen el uso de las firmas digitales. Hay muchos CAs (autoridades de certificación) a elegir de y las dos partes deben acordar la utilización de una particular CA.
El CAs a registrar y certificar las firmas digitales de sus suscriptores de cliente mediante el uso de una clave privada utilizada para firmar el certificado digital...
Un originador comienza la vida de un certificado por tomar una lista de datos de carácter personal y firmando con su clave privada. Esto es enviado a la autoridad de certificación que añade detalles de su validez fecha/hora, toda la vida y un número de serie que luego firma con su propia clave privada. El certificado se regresó al creador que puede utilizarlo para anexar a las transacciones para verificar su autenticación. Si en cualquier momento un originador de la información a ser intercambiados sospechosos que un certificado digital ha sido comprometido, el originador normalmente seleccionará un nuevo juego de llaves para producir un nuevo certificado, pero debe revocar primero el primer conjunto de teclas solicitando el CA agrega el certificado comprometido a la lista de revocación.
Existen numerosos sistemas de seguridad patentados disponibles que ofrecen un buen servicio seguro, pero valdría la pena considerar el uso de PKI abierto que son normas que son vendedores independientes y que no haga una organización a un único proveedor.
Un conjunto común de estándares para el almacenamiento y recuperación de certificados PKI son la serie X.500 de estándares de ITU, siendo servicios de directorio a la norma particular para certificado digital X.509. Este conjunto de normas fue originalmente diseñado para funcionar con servicios de directorio OSI pero también se puede acceder vía IP (Internet Protocol).
Los artículos siguientes son necesarios dentro de un certificado digital X.509:
Número de X.509 versión en uso
cero = versión 1 (por defecto)
Número de serie del certificado
Identificador del algoritmo de firma
Nombre del emisor,
Validez de validez,
Nombre del sujeto,
Tema información clave pública
Algoritmo y clave pública
Identificador único emisor opcional,
Información específica sobre el uso de X.500 y más concretamente los certificados digitales X.509 se explicará en un próximo artículo.