¿Qué es Infraestructura de clave pública?
La infraestructura de clave pública (PKI) es un marco integral de roles, políticas, hardware, software y procedimientos que se utiliza para crear, gestionar, distribuir, almacenar y revocar certificados digitales y los pares de claves pública-privada asociados.
También conocido como: PKI, public key infrastructure
La PKI es la columna vertebral de confianza de internet. Cada vez que tu navegador muestra el icono del candado en una conexión HTTPS, la PKI está en funcionamiento. El sistema se basa en autoridades de certificación (CA) que emiten certificados digitales que vinculan una clave pública a una identidad, ya sea un nombre de dominio, una organización o una persona. Estos certificados permiten a los clientes verificar que se están comunicando con el servidor legítimo y no con un impostor.
El modelo de confianza de la PKI es jerárquico. Las CA raíz se sitúan en lo más alto, con sus certificados preinstalados en los sistemas operativos y navegadores. Las CA raíz firman certificados de CA intermedias, que a su vez firman los certificados de entidad final de servidores y servicios individuales. Esta cadena de confianza permite a cualquier cliente verificar un certificado rastreando las firmas hasta una raíz de confianza. Si algún eslabón de la cadena se ve comprometido o es revocado, los certificados que firmó dejan de ser de confianza.
La PKI va más allá del TLS web. Sustenta la firma de código (verificación de la autenticidad del software), el cifrado de correo electrónico (S/MIME), la autenticación de VPN, el TLS mutuo entre microservicios y la autenticación con tarjetas inteligentes. Gestionar la PKI a escala implica controlar la caducidad de los certificados, automatizar la renovación, manejar listas de revocación (CRL) o respondedores OCSP, y proteger las claves privadas de las CA: el compromiso de la clave privada de una CA raíz socavaría la confianza en toda la jerarquía.
Cómo usa Vaulted Infraestructura de clave pública
Vaulted depende de la PKI de forma indirecta a través de HTTPS. El certificado TLS de vaulted.fyi, emitido por una autoridad de certificación de confianza, garantiza que tu navegador se está comunicando con el servidor real de Vaulted y no con un intermediario. Esto protege el texto cifrado y los metadatos en tránsito. Sin embargo, Vaulted no depende de la PKI para su modelo de cifrado principal: los secretos se cifran del lado del cliente con claves simétricas AES-256-GCM que nunca viajan por la red, por lo que ni siquiera un fallo de la PKI expondría los secretos en texto plano.