Public Key Infrastructure (PKI)

Una [Public Key Infrastructure](/es/terms/public-key-infrastructure) (PKI) es un sistema integral que permite la comunicación electrónica segura aplicando la criptografía de clave pública para vincular identidades a claves criptográficas y certificados. Una PKI proporciona los procesos, las personas y la tecnología necesarios para emitir, gestionar y retirar certificados digitales, y para validar cadenas de confianza a través de límites organizacionales y técnicos.

Los componentes clave incluyen:

• Certificate Authority (CA): Una autoridad que emite y mantiene certificados digitales que afirman vínculos entre sujetos y sus claves públicas.
• Registration Authority (RA): Verifica la identidad del solicitante antes de que se emita un certificado.
• Public and private keys: Pares de claves asimétricas utilizados para cifrado, firma y verificación de identidad.
• Certificate repository and Directory Services: Almacenamiento y búsqueda de certificados y estado de certificados.
• Validation protocols: Mecanismos para verificar cadenas de certificados (validación de ruta).
• Certificate policies and CPS: Reglas que rigen la emisión, el uso y el ciclo de vida de los certificados.
• Trust anchors: CAs raíz que forman la base de confianza en una jerarquía PKI.

Ciclo de vida y operaciones:
- Enrollment and issuance: Verificación de identidad, generación de claves, creación de certificados y entrega del certificado al sujeto.
- Renewal and rekey: Renovación periódica y rotación de claves para mitigar el riesgo de compromiso de claves.
- Revocation: Detección y publicación de un certificado que ya no debe ser confiable (a través de CRLs u OCSP).
- Validation: Los clientes validan las cadenas de certificados contra raíces confiables y restricciones de políticas.
- Archival and recovery: Archivado de claves para recuperación (donde la política lo permite) y planificación de recuperación ante desastres.

Modelos de despliegue comunes y casos extremos:
- Hierarchical PKI: CAs raíz e intermedias que proporcionan un modelo de confianza escalable; la certificación cruzada permite la interoperabilidad entre PKIs.
- CA raíz offline con intermedias online para reducir el riesgo de exposición.
- PKIs de identidad de IoT y dispositivos que requieren perfiles ligeros y registro escalable.
- Cross-certification y bridge CAs para soportar entornos multi-PKI.

Controles de seguridad importantes:
- Private key protection: Uso de HSMs o dispositivos de claves seguros para proteger claves privadas; controles de acceso robustos; almacenamiento respaldado por hardware.
- Key management: Rotación, copia de seguridad y destrucción segura al final de la vida útil.
- Revocation and status checking: CRLs y OCSP/OCSP stapling para revocar certificados comprometidos y para proporcionar estado oportuno.
- Certificate pinning and DANE: Técnicas para reducir la dependencia de la confianza de terceros en contextos específicos.
- Audit and governance: Políticas CPS/CP, auditorías regulares y planificación de respuesta a incidentes.

Limitaciones y desafíos:
- PKI complexity: Sobrecarga operativa, alineación de políticas y gestión de confianza entre dominios.
- Revocation latency: Los retrasos en la propagación de la revocación y los respondedores OCSP pueden afectar las decisiones en tiempo real.
- Scalability: Las CRLs grandes y las altas tasas de emisión de certificados requieren una infraestructura robusta.

Capacidades resultantes:
- Authentication: Probar la identidad verificando el certificado y la firma de un sujeto.
- Confidentiality and integrity: Cifrar datos con la clave pública del destinatario o firmar datos con la clave privada del remitente.
- Non-repudiation: Las firmas digitales proporcionan evidencia de origen e integridad.

En resumen, PKI es la columna vertebral de las interacciones digitales confiables en la web, el correo electrónico, la firma de código y la identidad de dispositivos, proporcionando un enfoque estructurado para emitir, gestionar y validar certificados dentro de un marco legalmente gobernado.