Infraestructura de clave pública (PKI) en PKCS #11

Infineon Security Platform

Infineon Security Platform Solution

Infraestructura de clave pública (PKI) en PKCS #11

El estándar PKCS #11 define una interfaz común para la creación, utilización y administración de certificados y claves de cifrado. Cada implementación de esta interfaz ofrece una aproximación específica a la tecnología subyacente, ya que en el estándar PKCS #11 no se hace referencia alguna al identificador de cifrado que lleva a cabo la funcionalidad principal. Existen soluciones en el mercado que están basadas en software y en tarjetas inteligentes o en módulos criptográficos de hardware especializados. Cada biblioteca compatible con PKCS #11 implementa su propio modo para incluir estos dispositivos y utilizarlos para generar y gestionar datos relevantes para el cifrado.

Puesto que el estándar PKCS #11 define una interfaz independiente de la plataforma, existen diferentes soluciones de una gran variedad de fabricantes. Este estándar es compatible con muchas plataformas y sistemas operativos.

Las bibliotecas compatibles con PKCS #11 ofrecen su funcionalidad mediante una interfaz bien definida. En función del objetivo principal de la implementación, es posible que una biblioteca PKCS #11 sea compatible solamente con un subconjunto de la interfaz definida.

Para crear una PKI, las aplicaciones que utilizan un módulo PKCS #11 deben tener acceso a un almacén permanente que permite guardar los certificados y las claves privadas del usuario de forma segura y fiable. En el estándar PKCS #11 no se hace referencia alguna a este mecanismo de almacenamiento. Puesto que se trata de un mecanismo que se utiliza habitualmente, los servicios de directorio han resultado ser un modo útil de ofrecer la funcionalidad solicitada. Para acceder a estos servicios de directorio se suele utilizar el protocolo LDAP (Lightweight Directory Access Protocol).

Windows 2000 y Windows XP no contienen ninguna biblioteca PKCS #11 nativa; por lo tanto, esta característica debe agregarse mediante productos de otros fabricantes. El software Infineon Security Platform Solution incluye una biblioteca que implementa la interfaz PKCS #11, la cual utiliza Trusted Platform Module para realizar las operaciones de cifrado más delicadas, como la generación de claves.

En el mismo sistema se encuentran varias implementaciones independientes del estándar. Normalmente las aplicaciones que utilizan estas bibliotecas deben configurarse en un paso extra para  acceder correctamente a los módulos respectivos.

No obstante, las aplicaciones basadas en PKCS #11 deben implementar todas las tareas administrativas necesarias para ofrecer los datos necesarios para gestionar la funcionalidad de PKCS #11.

Los programadores de aplicaciones pueden beneficiarse de toda la funcionalidad de los mecanismos de seguridad basados en clave pública mediante el uso de diferentes módulos de implementación PKCS #11, sin necesidad de modificar la plataforma ni el sistema del software en el que operan. Además, las empresas también podrán administrar su entorno y sus aplicaciones con herramientas y directivas utilizadas en toda la organización.

Para que los usuarios puedan leer los mensajes cifrados o verificar los mensajes de correo electrónico firmados, los certificados de usuario deben almacenarse en un directorio público. Este directorio suele encontrarse en un servidor al que se puede acceder desde la unidad de organización en cuestión.

 

Entre los componentes básicos de una infraestructura de clave pública están los certificados digitales, las listas de revocaciones de certificados y las entidades emisoras de certificados. Los administradores de la empresa deben asegurarse de que se dispone de una infraestructura de clave pública antes de que empiecen a utilizar el cifrado de claves públicas en las redes.

Para configurar una PKI dentro de una organización deben llevarse a cabo los pasos siguientes:

  • Instalar un servidor de certificados
  • Definir un proveedor de servicios de certificados de otro fabricante
  • Configurar Mozilla Firefox para utilizar la biblioteca PKCS #11 de Infineon Security Platform
  • Obtener certificados de una entidad emisora de certificados para la autenticación del cliente

En esta Guía para los primeros pasos se ofrece información general sobre algunos de los elementos mencionados anteriormente y se incluyen los vínculos que ofrecen más información sobre estos temas.

Tras la actualización del software de Security Platform Solution, es posible que las aplicaciones que utilizan Security Platform Solution a través de la interfaz PKCS#11 no funcionen como se espera porque el archivo PKCS#11 DLL (ifxtpmck.dll) ahora se encuentra en el directorio de instalación del software de Security Platform Solution. En anteriores versiones del producto se encontraba en el directorio system32. Deben reconfigurarse las aplicaciones para cargar ifxtpmck.dll desde la nueva ubicación.

©Infineon Technologies AG