Hola, ¿qué tal? Bienvenida o bienvenido a este entrenamiento de Aruba Network Security Essentials. Mi nombre es Ricardo Cobos y en este video hablaré de certificados digitales. En el video anterior mencioné la ventaja que nos da utilizar llaves públicas y privadas, y esto es que podemos enviar una llave pública a través de un medio seguro y con lo cual se pueden cifrar información que solamente podrá ser descifrada por aquel que es tanto dueño de la llave pública como de la privada, y, de esta manera, generar un túnel descifrado asimétrico, unidireccional. Sin embargo, el problema fue la distribución de estas llaves y poderlas ligar con la identidad del usuario o de la computadora. Esto es precisamente lo que certificados digitales pueden solucionar. Los certificados digitales tienen varios formatos, el más popular, el que se utiliza en la industria, es el X.509 y estos certificados, realmente pueden ser utilizados para probar la identidad de algún usuario o dispositivo o que puede incluir una computadora, un servidor o un appliance en tu red; y también puede ser utilizado para cifrar información. ¿Cómo es que esto funciona y cuál es el contenido de estos certificados? Primero debemos entender que existe una autoridad, lo cual nosotros llamamos la autoridad certificadora. La autoridad certificadora es una autoridad en la cual todos confÃan, es muy similar a los gobiernos. Cuando los gobiernos generan pasaportes, que vendrÃa siendo lo análogo al certificado digital o algo similar al certificado digital, estos gobiernos confÃan entre ellos. Entonces, si el Gobierno de Estados Unidos emite un pasaporte y cualquier institución revisa ese pasaporte puede validar que este pasaporte fue firmado por una autoridad o fue emitido por una autoridad de confianza, que es el Gobierno de Estados Unidos. Lo mismo ocurrirÃa asà con México. Si México emite un pasaporte, todos los otros gobiernos van a tener la certeza de que este pasaporte fue realmente emitido por México y, por consecuencia, ese documento es válido. Ahora, lo que ocurre es que, para poder generar esos explicados digitales, que son creados por la autoridad certificadora, antes una entidad debió solicitarlos. Eso quiere decir que si aquà tenemos a Alice, Alice va a generar algo que nosotros llamamos Certificate Signing Request. Ese Certificate Signing Request es, básicamente, un documento; le llamaré documento, es más bien un bloque de información, pero es un documento que incluye su nombre, incluye también la llave pública, porque antes de generar ese Certificate Signing Request, también es importante mencionar que Alice, ya habÃa creado una llave pública y privada. Entonces, la llave pública se incluye en el Certificate Signing Request y hay otro bloque de información que va a estar aquà adentro. Ese Certificate Signing Request es enviado a la autoridad certificadora. Una vez más, esa autoridad es de confianza, por varios dispositivos y personas, y esa autoridad va a validar que la información que está dentro del certificado sea fidedigna. Y después, como resultado, la autoridad genera el certificado digital. En otras palabras, de la misma manera que los gobiernos generan pasaportes para probar la identidad de las personas, de los ciudadanos, las autoridades certificadoras pueden generar certificados digitales para probar la identidad de los usuarios a la red o de sus equipos de cómputo. Y esos certificados digitales van a incluir, entre tantas cosas, un número de serie; cuál fue la autoridad certificadora que lo firmó; el perÃodo de validez, cuándo inicia y cuándo expira; a quién le pertenece, en este caso a Alice; la llave pública de Alice y, finalmente, la firma de la autoridad certificadora. Y, ¿qué es esta firma? Como lo mencioné anteriormente, es básicamente que el hash del certificado cifrado con la llave privada de la CA. Entonces, con todo esto, ya tenemos un documento que dice quién lo firmó y aquà tenemos su firma, pero también prueba o dice a quién le pertenece y cuál es su llave pública. Y ahora sÃ, tenemos un paquete, que usa el certificado mismo, que se puede compartir en cada transacción de manera segura, siempre y cuando a quien se le envÃe este certificado digital tenga ya una relación de confianza con la autoridad certificadora, entonces, esa entidad o dispositivo podrá validar que este certificado efectivamente es válido y le pertenece a Alice e incluye esta llave pública. Y por esa razón, es que un certificado digital es fácilmente comparable con un pasaporte, porque el pasaporte le pertenece a un ciudadano, es firmado por una autoridad de confianza, el gobierno, y prueba la identidad de ese ciudadano. Y de la misma manera que los pasaportes y, en este caso, una licencia de conducir, son firmados por un alguna autoridad de confianza, ya sea gobiernos o un estado, y tienen sus usos; en el caso de esta licencia, prueba la habilidad de esta persona de conducir y también prueba su identidad, con lo cual, puede ser ocupado para poder abordar un avión. El certificado digital tiene sus usos, por ejemplo, cifrado de datos, firma de datos y firma de certificados mismos. Y hay otros usos extendidos de los mismos, que pueden ser: firmar correos de manera segura, validar la autenticación de alguna entidad y también de algún usuario. Los certificados digitales pueden ser explorados, en este caso, tenemos un certificado digital abierto en Windows y en la pestaña general nos está comunicando a quién le pertenece, cuál fue la autoridad certificadora que lo firmó y cuál es la validez de ese certificado. Del mismo modo, podemos seleccionar la pestaña de detalles y ver más información detallada como, cuál es la llave pública, es una llave RSA de 2.048 bits y los bits, obviamente, están expresados en formato hexadecimal, justo aquÃ. Y esto nos lleva ahora a lo que es un Public Key Infrastructure, porque normalmente, no solamente tenemos una autoridad certificadora, sino tenemos varias, tenemos una infraestructura; inclusive, si solamente tuviéramos una autoridad certificadora, a eso también ya se le llama Public Key Infrastructure. Pero vamos a ver todos los niveles y jerarquÃas que involucra una PKI, o que puede involucrar una PKI. Primero tenemos la autoridad certificadora raÃz, el Root CA, y esta es la base de todo el sistema de seguridad. Esta autoridad tiene un certificado digital firmado por ella misma y, en teorÃa, todos debemos confiar en ella. Obviamente, no por el hecho de que yo genere una autoridad certificadora, todo mundo va a automáticamente confiar en ella; no, realmente hay ciertos requisitos para que esto ocurra. Pero hablaré de eso más adelante. El punto aquà importante de la PKI, es que la Root CA, es un servidor, esto puede ser un servidor de Active Directory o un servidor de [inaudible], esta puede ser una autoridad certificadora. Va a generar un certificado autofirmado, en el cual, en una vez más, se supone que todo mundo confÃa, sin embargo, esa autoridad no es la que firma los certificados de los usuarios, los certificados de los equipos de cómputo finales. La razón por la que esto no sucede es porque una vez que esta autoridad certificadora es creada, nosotros debemos garantizar su seguridad. Es por eso que, posterior se generan otras autoridades intermedias y el autoridad raÃz va a firmar los certificados digitales de estas autoridades intermedias, significa que ellas enviarÃan un Certificate Signing Request. Ese Certificate Signing Request es firmado, es validado y es firmado, y lo que se regresa ya es el certificado digital del servidor, aquà lo tenemos, y lo mismo ocurre para la otra Intermediate CA. Una vez hecho esto, ya se va a tomar la autoridad certificadora raÃz, se va a desconectar y se va a meter en un edificio sin ventanas, tres metros bajo tierra; algo muy similar a la escena de "Mission: Impossible 1", muchos años atrás, cuando este actor, Tom Cruise, hace el personaje de Ethan Haunt, y se tiene que meter por un ducto y después entrar a una cámara donde hay sensores y láser por todos lados, bueno, algo similar. La autoridad certificadora raÃz debe ser desconectada, no debe tener acceso con el mundo exterior y debe estar oculta. Las autoridades intermedias son aquellas que, a su vez, van a firmar certificados de otro nivel de autoridad, que es el Issuing CA, o las autoridades que, finalmente, generan los certificados de los usuarios y dispositivos. Eso quiere decir que, en una PKI, podemos tener una jerarquÃa de tres niveles, la autoridad raÃz, la intermedia, y después la Issuing CA. Esta última es la que genera los certificados de las identidades finales, de las entidades hoja de árbol, como servidores, dispositivos y usuarios, de tal manera que, si por alguna razón, se comprometiera la integridad de esta Issuing CA, lo único que tiene que hacerse es darla de baja, lo colocaremos acá, se darÃa de baja y se tendrÃa que generar otra autoridad, lo colocaré de este lado, para la cual se le firmarÃa un certificado nuevo, completamente diferente. Entonces, es de esta manera cómo esto funciona. Eso solo en caso de que esta primera autoridad fuera comprometida, si no lo es, obviamente va a seguir activa. Muy bien, ahora vamos a hablar un poco de lo que significa esta firma de certificado. Se lo he mencionado en varias ocasiones y, de alguna manera, ya se explicó, pero ahora nos enfocaremos a detalle para entender cómo es que este proceso funciona y cómo es que los certificados digitales realmente pueden ser validados. La firma de certificados prueba, quién generó el certificado, cuál fue la autoridad certificadora que lo generó y previene que alguien modifique información de este o detalles de este certificado. ¿Cómo funciona? Vamos a asumir que la autora certificadora ya generó el Certificate Signing Request, y decide generar el certificado. El certificado va a tener los parámetros que ya mencionamos: el número en serie, la validez del certificado, quién está generando el certificado, a quién le pertenece y la llave pública del dueño de ese certificado. Lo último que falta es la firma. Entonces, ¿cómo se genera esa firma? Prácticamente, a ese certificado sin firma se le aplica un proceso de hash y eso da como resultado una cadena de caracteres con una longitud fija. Ese hash ahora va a ser cifrado con la llave privada de la autoridad certificadora, que solamente es conocimiento de esa CA. Y una vez teniendo este resultado, que es el hash del certificado cifrado con la llave privada de la CA, esto se incluirá en el certificado mismo como la firma. De tal manera, que cuando el certificado digital se intercambia con alguna entidad y esta entidad confÃa en la autoridad certificadora, lo que va a hacer es revisar el certificado, ver quién lo firmó, como yo confÃo, o esa identidad confÃa en esa autoridad certificadora y ya sé quién es, entonces, voy a tomar la llave pública, que es de conocimiento público y utilizarla para descifrar esta firma. Recuerda, la firma no es nada más que el hash del certificado cifrado con la llave privada de la CA y en teorÃa, cualquiera tiene conocimientos de esa llave pública, entonces, cualquiera podrÃa realmente descifrar el paquete de datos, que es la firma y obtener un hash. Posterior a eso, al certificado como un todo, se le aplica otro proceso de hash y los valores tienen que coincidir. Si los valores coinciden, entonces se prueban dos cosas. Número uno, este certificado digital no ha sido modificado en tránsito, nadie lo manipuló. Y número dos, efectivamente, fue firmado por una autoridad de confianza, la autoridad que está mencionada en el certificado mismo. Y con esto, recapitulando un poco, en el video hablé de certificados digitales, quién los solicita a través de un Certificate Signing Request, quién los firma, en otras palabras, la autoridad certificadora, su contenido y cómo es que ellos pueden probar la identidad de un dispositivo o un usuario, asà como ligarlo a una llave pública; y, finalmente, cómo es que se puede validar la firma de la autoridad certificadora. En el siguiente video voy a hablar un poco más a detalle de estas validaciones, asà como validaciones extra que se tienen que hacer para tener la certeza de que un certificado es 100 por ciento de confianza. Espero que te haya agradado el contenido. Te veo en el próximo video.
