Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Cuando Julio Cesar envi los mensajes a sus generales, l no confi en sus mensajeros. As que l reemplaz
cada A en sus mensajes con un D, cada B con un E, y as sucesivamente a travs del alfabeto. Slo alguien
que conoci la regla "el cambio por 3" podra descifrar sus mensajes.
Y asi empieza .
Encryption y decryption
Datos que pueden leerse y pueden entenderse sin medida especial se llama plaintext o cleartext. El mtodo de
enmascarar el plaintext de tal como la piel enmascara todo lo que hay bajo ella se llama el encriptacin. la
Encriptacin del plaintext produce la charla incoherente e ilegible llamado el ciphertext. Usted acostumbra en
encriptacion a asegurar esa informacin quedando oculto de cualquiera , incluso aqullos que pueden ver los
datos del encrypted. El proceso de revertir el ciphertext a su plaintext original se llama el decryption. Figure
11 ilustra este proceso.
posesin de la herramienta de decodificacin apropiada. Cmo difcil? Dado todo el poder de la informtica
de hoy y tiempo disponible incluso mil millones computadoras que hacen mil millones cheques en un
segundo no es posible descifrar el resultado de criptografa fuerte antes del fin del universo.
Uno pensara, entonces, esa criptografa fuerte se retrasara bastante incluso con un cryptanalyst sumamente
determinado. Quin es realmente para decir? Nadie ha demostrado que el encryption ms fuerte asequible
hoy se retrasar bajo el poder de la informtica de maana. Sin embargo, la criptografa fuerte empleada por
PGP es el mejor disponible hoy. La vigilancia y conservatismo protegern su mejora, como tambien, las
demandas de impenetrabilidad.
Cmo trabaja la criptografa ?
Un algoritmo del cryptographic, o cifra, es una funcin matemtica usada en los procesos de encriptacin y
desencriptacion. Un algoritmo criptografico trabaja en combinacin con una llave una palabra, nmero, o
frase para encriptar el plaintext. El mismo encriptador del plaintext pasa a diferentes ciphertext con llaves
diferentes. La seguridad de datos del encrypted es completamente dependiente en dos cosas: la fuerza del
algoritmo del cryptographic y el secreto de la llave.
Un algoritmo del cryptographic, ms todas las posibles llaves y todos los protocolos que lo hacen trabajar
comprende un cryptosystem. PGP es un cryptosystem
La criptografa convencional
En la criptografa convencional, tambin llamado el encryption secretoimportante o simtricoimportante,
una llave se usa para ambos el encryption y decryption. Los Datos estandars de Encryption (DES) es un
ejemplo de un cryptosystem convencional que es extensamente empleado por el Gobierno Federal. Figura 12
es una ilustracin del proceso del encryption convencional.
Empezando as con
ABCDEFGHIJKLMNOPQRSTUVWXYZ
y desplazando todo 3 lugares, usted consigue
DEFGHIJKLMNOPQRSTUVWXYZABC
donde D=A, E=B, F=C, y as sucesivamente.
Usando este esquema, el plaintext, "SECRETO" el encrypts como "VHFUHWR". usted le dice que permitan a
alguien ms leer el ciphertext que la llave es 3.
Obviamente, sta es la criptografa sumamente dbil por las normas de hoy, pero funcion para Csar, e
ilustra cmo los trabajos de la criptografa convencionales.
La direccin importante y el encryption convencional
El encryption convencional tiene beneficios. Es muy rpido. Es especialmente til para encriptar datos que no
van en cualquier parte. Sin embargo, el encryption convencional solo como un medios por transmitir los datos
seguros puede ser bastante caro absolutamente debido a la dificultad de seguridad de distribucin
Revoque un carcter de su pelcula del espa favorita: la persona con una cartera cerrada con llave esposada a
su mueca. Cul est en la cartera, cualquiera? Probablemente no es el cdigo de lanzamiento de proyectil /
la frmula del biotoxin / el plan de su invasin . Es la llave que manda los datos confidenciales al decrypt.
Para comunicar usando el encryption convencional firmemente, ellos deben estar de acuerdo en una llave para
un remitente y destinatario y deben guardarlo el secreto entre ellos. Si ellos estn en las situaciones fsicas
diferentes, ellos deben confiar en el mensajero, el Telfono , o algn otro medio de comunicacin seguro para
prevenir el descubrimiento de la llave confidencial durante la transmisin. Cualquiera que oye por casualidad
o intercepta la llave en el trnsito puede leer despus, puede modificar, y puede forjar todo el encrypted de
informacin o puede autenticar con esa llave. De DES Captain el Decodificador Confidencial de Medianoche
Cerca, el problema persistente con el encryption convencional es la distribucin importante: cmo hace la
llave al destinatario sin ser interceptarlo?
La criptografa pblica
Los problemas de distribucin importante son resueltos por la criptografa pblica, el concepto se introdujo
por Whitfield Diffie y Martin Hellman en 1975. (Hay evidencia ahora que el Servicio Confidencial britnico
lo invent unos aos ante Diffie y Hellman, pero lo guard un militar secreto y no hizo nada con l. [J H
ELLIS: La Posibilidad de Afiance Encryption Digital Nonconfidencial, CESG Report, el 1970 de enero])
La criptografa pblica es un esquema asimtrico que usa un par de llaves para el encryption: una llave
pblica que los datos del encrypts, y una llave privada, o confidencial correspondiente al decryption. Tu
publicas tu llave publica al mundo manteniendo tu llave privada secreta. Cualquiera con una copia de la llave
publica puede encriptar informacion que slo usted puede leer. Incluso las personas que usted nunca se ha
encontrado.
Es el infeasible del computationally para deducir la llave privada de la llave pblica. Cualquiera que tiene una
informacin de encrypt de lata importante pblica pero no enlata el decrypt l. Slo la persona que tiene la
llave privada correspondiente enlata el decrypt la informacin.
++++++++++++++++++++++++++++++
Mientras las llaves pblicas y privadas estn matemticamente relacionadas, es muy difcil de derivar la llave
privada dada slo la llave pblica; sin embargo, derivando la llave privada siempre es posible dado bastante
tiempo y computando el poder. Esto lo hace muy importante escoger llaves del tamao correcto; grande
bastante para estar seguro, pero pequeo bastante ser aplicado bastante rpidamente. Adicionalmente, usted
necesita considerar quin podra estar intentando leer sus archivos, cmo determinado ellos son, cunto
tiempo ellos tienen, y lo que sus recursos podran ser.
Las llaves ms grandes sern que los cryptographically afianzan para un periodo ms largo de tiempo. Si lo
que usted quiere al encrypt necesita ser escondido durante muchos aos, usted podra querer usar una llave
muy grande. Claro, quin sabe cunto tiempo tomar para determinar su usando importante las computadoras
ms rpidas, ms eficaces de maana? Haba un tiempo cuando un 56pedazo la llave simtrica fue
considerada sumamente segura.
Se guardan las llaves en la forma del encrypted. PGP guarda las llaves en dos archivos en su disco duro; uno
para las llaves pblicas y uno para las llaves privadas. Estos archivos se llaman los llaveros. Como usted PGP
usan, usted agregar las llaves pblicas de sus destinatarios tpicamente a su llavero pblico. Sus llaves
privadas se guardan en su llavero privado. Si usted pierde su llavero privado, usted ser incapaz al decrypt
cualquier encrypted de informacin a las llaves en ese anillo.
Las firmas digitales
Amajor benefician de criptografa importante pblica que es que mantiene un mtodo empleando las firmas
digitales. Las firmas digitales le permiten al destinatario de informacin que verifique la autenticidad del
origen de la informacin, y tambin verifica que la informacin est intacta. As, la llave pblica las firmas
digitales proporcionan autenticacin e integridad de los datos. Una firma digital tambin proporciona la
nonrepudiacin que los medios que le impide al remitente exigir que l o ella no enviaron la informacin
realmente. Estos rasgos son todo como el principio a la criptografa como el retiro, si no ms.
Una firma digital sirve el mismo propsito como una firma escrito a mano. Sin embargo, una firma escrito a
mano es fcil falsificar. Una firma digital es superior a una firma escrito a mano en eso es casi imposible
falsificar, ms l atesta a los volmenes de la informacin as como a la identidad del firmante.
Algunas personas tienden a usar las firmas ms de ellos use el encryption. Por ejemplo, usted no puede cuidar
si cualquiera sabe que usted apenas deposit $1000 en su cuenta, pero usted quiere ser efectivamente el
zurcido era el cajero del banco de que usted estaba tratndose.
La manera bsica en que se crean las firmas digitales se ilustra en Figura 16. En lugar de informacin del
encrypting que usa a alguien ms la llave pblica, usted el encrypt l con su llave privada. Si la informacin
puede ser los decrypted con su llave pblica, entonces debe de haber originado con usted.
por ejemplo, permitiendo slo esas llaves que renen ciertos requisitos ser guardado.
Las Infraestructuras Importantes pblicas
Un PKI contiene los medios de almacenamiento de certificado de un servidor del certificado, pero tambin
proporciona los medios de direccin de certificado (la habilidad de emitir, revoque, guarde, recupere, y los
certificados trust). El rasgo principal de un PKI es la introduccin de lo que est conocido como una
Autoridad de la Certificacin, el orCA, el whichisahumanentity una persona, grupo, seccin, compaa, u
otra asociacin que una organizacin ha autorizado para emitir los certificados a sus usuarios de la
computadora. (El papel de un CA es anlogo a la Oficina del Pasaporte del gobierno de un pas.) UN CA crea
los certificados y digitalmente los firma usando la llave privada del CA. Debido a su papel creando los
certificados, el CA es el componente central de un PKI. Usando la llave pblica del CA, cualquiera queriendo
verificar la autenticidad de un certificado verifica la firma digital del CA emisor, y de, la integridad de los
volmenes del certificado (el ms pretenciosamente, la llave pblica y la identidad del poseedor del
certificado).
Los formatos del certificado
Un certificado digital es bsicamente una coleccin de identificar el lmite de informacin junto con una llave
pblica y firm por un confi en tercera fiesta para demostrar su autenticidad. Un certificado digital puede ser
uno de varios formatos diferentes.
PGP reconoce dos formatos del certificado diferentes:
los certificados de PGP
los certificados de X.509
PGP certifican el formato
Un certificado de PGP incluye (pero no se limita a) la informacin siguiente:
El PGP versin nmero esto identifica qu versin de PGP fue usada para crear la llave asociada con el
certificado.
la llave pblica de El poseedor del certificado la porcin pblica de su par importante, junto con el
algoritmo de la llave,: RSA, DH (DiffieHellman), o DSA (el Algoritmo de la Firma Digital).
la informacin de El poseedor del certificado esto consiste en "identidad" la informacin sobre el usuario,
como su o su nombre, usuario ID, fotografe, y as sucesivamente.
La firma digital del dueo del certificado tambin llam una mismofirma, sta es la firma que usa la llave
privada correspondiente de la llave pblica asociada con el certificado.
el periodo de validez de El certificado la fecha de la salida del certificado / tiempo y fecha de expiracin /
tiempo; indica cuando el certificado expirar.
El algorithmfor del encryption simtrico preferido la llave indica el algoritmo del encryption a que el
dueo del certificado prefiere tener el encrypted de informacin. Los algoritmos apoyados se LANZAN,
IDEA o TripleDES.
Usted podra pensar en un certificado de PGP como una llave pblica con uno o ms etiquetas atadas a l (vea
10
Figura 19). En stos ' etiquetas usted encontrar informacin que identifica al dueo de la llave y una firma
del dueo de la llave que los estados que la llave y la identificacin va juntos. (Esta firma particular se llama
una mismofirma; cada certificado de PGP contiene una mismofirma.)
Un nico aspecto del PGP certificado formato es que un solo certificado puede contener las firmas mltiples.
Varios o muchas personas pueden firmar la llave / el par de identificacin para atestar a su propia conviccin
que la llave pblica pertenece definitivamente al dueo especificado. Si usted parece en un servidor del
certificado pblico, usted puede notar ese ciertos certificados, como eso del creador de PGP, Phil
Zimmermann, contenga muchas firmas.
Algunos certificados de PGP consisten en una llave pblica con varias etiquetas cada uno de los cuales
contienen un medios diferentes de identificar al dueo de la llave (por ejemplo, el nombre del dueo y email
de la sociedad consideran, el apodo del dueo y email de la casa consideran, una fotografa del dueo todos
en un certificado). La lista de firmas de cada uno de esas identidades puede diferir; las firmas atestan a la
autenticidad que una de las etiquetas pertenece a la llave pblica, no que todas las etiquetas en la llave son
autnticas. (La nota que ' el authentic' est en el ojo de su espectador las firmas son las opiniones, y las
personas diferentes consagran niveles diferentes de diligencia debida verificando la autenticidad antes de
firmar una llave.)
en el certificado, y describe cmo ponerlo en cdigo (los datos estructuran). Todos los certificados de X.509
tienen los datos siguientes:
El X.509 versin nmero esto identifica qu versin del standardapplies de X.509 a este certificado,
whichaffects que qu informationcanbe especificaron en l. El ms actual es versin 3.
la llave pblica de El poseedor del certificado la llave pblica del poseedor del certificado, junto con un
identificador del algoritmo que especifica qu cryptosystem la llave pertenece a y cualquier parmetro
importante asociado.
El nmero de serie del certificado la entidad (aplicacin o persona) eso cre el certificado es responsable
para asignarle un nico nmero de serie para distinguirlo de otros certificados l emite. Esta informacin se
usa de las numerosas maneras; por ejemplo cuando un certificado se revoca, su nmero de serie se pone en
una Lista de Revocacin de Certificado o CRL.
el nico identificador de El poseedor del certificado (o DN el nombre distinguido). se piensa que Este
nombre es nico por el Internet. Se piensa que este nombre es nico por el Internet. Un DN consiste en
subdivisiones mltiples y puede parecerse algo:
CN=Bob Allen, OU=Total Red Seguridad Divisin, O=Network Associates, Inc., C=US
(stos se refieren al Nombre Comn del asunto, Unidad Orgnica, Organizacin, y Pas.)
el periodo de validez de El certificado la fecha de la salida del certificado / tiempo y fecha de expiracin /
tiempo; indica cuando el certificado expirar.
El nico nombre del emisor del certificado el nico nombre de la entidad que firm el certificado. ste
normalmente es un CA. Usando el certificado implica confiando en la entidad que firm este certificado. (La
nota eso en algunos casos, como la raz o CA cimanivelado certifica, el emisor firma su propio certificado.)
La firma digital del emisor la firma que usa la llave privada de la entidad que emiti el certificado.
El identificador de algoritmo de firma identifica el algoritmo usado por el CA para firmar el certificado.
Hay muchas diferencias entre un certificado de X.509 y un certificado de PGP, pero los ms salientes son
como sigue:
usted puede crear su propio certificado de PGP; usted debe pedir y debe emitir un certificado de X.509 de
una Autoridad de la Certificacin
X.509 certifica nativamente apoye slo un solo nombre para el dueo de la llave
X.509 certifica apoye slo una sola firma digital para atestar a la validez de la llave
Usted debe pedirle a un CA que lo emita un certificado obtener un certificado de X.509. Usted proporciona su
llave pblica, prueba que usted posee la llave privada correspondiente, y un poco de informacin especfica
sobre usted. Usted entonces digitalmente la seal la informacin y enva el paquete entero la demanda del
certificado al CA. El CA realiza alguna diligencia debida entonces verificando que la informacin usted con
tal de que es correcto, y en ese caso, genera el certificado e ingresos l.
Usted podra pensar en un certificado de X.509 como parecerse un certificado del papel normal (similar a uno
usted podra haber recibido por completar una clase en el primeros auxilios bsico) con una llave pblica
12
grabada a l. Tiene su nombre y un poco de informacin sobre usted en l, ms la firma de la persona que lo
emiti a usted.
La validez verificando
Una manera de establecer la validez es pasar por algn proceso manual. Hay varias maneras de lograr esto.
Usted podra exigirle a su destinatario intencional que le diera fsicamente una copia de su o su llave pblica.
Pero esto es a menudo inoportuno e ineficaz.
Otra manera es verificar la huella digital del certificado por mano. As como las huellas digitales de cada
humano son nicas, la huella digital de cada certificado de PGP es nica. La huella digital es un picadillo del
certificado del usuario y aparece como uno de las propiedades del certificado. En PGP, la huella digital puede
aparecer como un nmero del hexadecimal o una serie de biometric llamado formula que es fonticamente
distinto y se usa para hacer el proceso de identificacin de huella digital un poco ms fcil.
Usted puede verificar que un certificado es vlido llamando al dueo de la llave (para que usted origine la
transaccin) y pidindole al dueo que leyera su o la huella digital de su llave a usted y verificando esa huella
digital contra el uno usted creen para ser el real. Esto trabaja si usted sabe la voz del dueo, pero, cmo usted
verifica la identidad de alguien que usted no sabe por mano? Algunas personas pusieron la huella digital de su
llave en sus tarjetas comerciales por esta misma razn.
Otra manera de establecer validez de alguien el certificado es confiar que un tercer individuo ha pasado por el
proceso de validarlo.
Por ejemplo, un CA es responsable para asegurar a ese prior a emitir a un certificado, l o ella lo verifican
para realmente estar seguro cuidadosamente la porcin importante pblica pertenece al dueo pretendido.
Cualquiera que confa en el CA considerar cualquier certificado firmado por el CA para ser vlido
automticamente.
Otro aspecto de verificar la validez es asegurar que el certificado no se ha revocado. Para ms informacin,
vea la seccin Certificar la Revocacin.
La confianza estableciendo
Usted valida los certificados. Usted confa en las personas. Ms especficamente, usted confa en las personas
para validar otros certificados del people'. Tpicamente, a menos que el dueo le da el certificado, usted tiene
que pasar por alguien ms la palabra que es vlido.
Meta y confi en el introducers
En la mayora de las situaciones, las personas completamente la confianza el CA para establecer la validez de
certificados. Esto significa que todos los dems cuenta en el CA para pasar por el proceso de aprobacin
manual entero para ellos. Esto est bien a a un cierto nmero de usuarios o nmero de sitios de trabajo, y
entonces no es posible para el CA mantener el mismo nivel de aprobacin de calidad. En ese caso, agregando
otro validators al sistema es necesario.
Un CA tambin puede ser un metaintroducer. Un metaintroducer no slo da la validez en las llaves, pero da
la habilidad de confiar en las llaves en otros. Similar al rey que da su foca a sus consejeros confiados para que
ellos pueden actuar en su autoridad, el metaintroducer permite a otros actuar como el introducers confiado.
Estos introducers confiados pueden validar las llaves al mismo efecto como eso del metaintroducer. Ellos no
pueden, sin embargo, cree el nuevo introducers confiado.
Metaintroducer y confi los introducer son las condiciones de PGP. En un ambiente de X.509, el
metaintroducer se llama la Autoridad de Certificacin de raz (la raz CA) y confi en el introducers las
Autoridades de la Certificacin subordinadas.
14
La raz que CA usa que la llave privada asoci con un tipo del certificado especial llam una raz el
certificado de CA para firmar los certificados. Cualquier certificado firmado por la raz que el certificado de
CA se ve como vlido por cualquier otro certificado firmado por la raz. Este proceso de aprobacin incluso
trabaja para certificados firmados por otro CAs en el sistema con tal de que la raz el certificado de CA
firm el certificado del CA subordinado, cualquier certificado firmado por el CAis consider vlido a otros
dentro de la jerarqua. Este proceso de verificar atrs a a travs del systemto ve quin firm de quien el
certificado se llama el trazado un camino de la certificacin o cadena de la certificacin.
Modelos de confianza
En los sistemas relativamente cerrados, como dentro de una compaa pequea, es fcil de rastrear un camino
de la certificacin atrs a la raz CA. Sin embargo, los usuarios deben comunicar a menudo con las personas
fuera de su ambiente corporativo, incluyendo algunos quienes ellos nunca se han encontrado, como
vendedores, clientes, los clientes, los socios, y as sucesivamente. Estableciendo una lnea de confianza a
aqullos en que no han sido confiados explcitamente por su CA es difcil.
Followone de las compaas u otro modelo trust que dictan cmo los usuarios harn para establecer la validez
del certificado. Hay tres modelos diferentes:
la Confianza Directa
la Confianza Jerrquica
UN Tejido de Confianza
La Confianza directa
La confianza directa es el modelo trust ms simple. En este modelo, un confianzas del usuario que una llave
es vlida porque l o ella saben donde vino de. Todos los cryptosystems usan esta forma de confianza de
alguna manera. En los navegadores de tejido, en las raz Certificacin Autoridad llaves se confan
directamente por ejemplo, porque ellos se enviaron por el fabricante. Si hay cualquier forma de jerarqua, se
extiende de estos certificados directamente confiados.
En PGP, un usuario que valida las llaves ella y nunca pone otro certificado para ser un introducer confiado
est usando la confianza directa.
15
Figure 112
Tejido de Confianza
Un tejido de confianza abarca los dos de los otros modelos, pero tambin agrega la nocin que la confianza
est en el ojo del espectador (qu es la vista del realmundo) y la idea que ms informacin es buena. Es as
un modelo trust cumulativo. En un certificado podra confiarse directamente, o confi en alguna cadena que
regresa a un certificado de la raz directamente confiado (el metaintroducer), o por algn grupo de
introducers.
Quizs usted ha odo hablar del trmino seis grados de separacin que sugiere que cualquier persona en el
mundo puede determinar algn eslabn a cualquier otra persona el usando mundial seis o menos otras
personas como los intermediarios. ste es un tejido de introducers.
Tambin es que los PGP ven de confianza. PGP usa las firmas digitales como su forma de introduccin.
Cuando cualquier usuario firma otro importante, el l o ella se vuelve un introducer de esa llave. Cuando este
proceso sigue, establece un tejido de confianza.
En un ambiente de PGP, cualquier usuario puede actuar como una autoridad certificando. Cualquier usuario
de PGP puede validar la llave pblica de otro usuario de PGP certifique. Sin embargo, semejante certificado
slo es vlido a otro usuario si la fiesta contando reconoce el validator como un introducer confiado. (Es decir,
usted confa en mi opinin que las llaves del others' slo son vlidas si usted considera que soy un introducer
confiado. Por otra parte, mi opinin en la validez de otras llaves es discutible.)
Guardado en el llavero pblico de cada usuario es los indicadores de
si o no el usuario considera una llave particular para ser vlido
el nivel de confianza los lugares del usuario en la llave que el dueo de la llave puede servir como el
certificador de llaves del others'
Usted indica, en su copia de mi llave, si usted piensa mis cuentas del juicio. Realmente es un sistema de la
reputacin: se reputan ciertas personas para dar las firmas buenas, y las personas confan en ellos atestar a la
validez de otras llaves.
16
Se crean los certificados as con un periodo de validez fijado: un date/time de la salida y una fecha de
expiracin / tiempo. Se espera que el certificado sea utilizable para su periodo de validez entero (su vida).
Cuando el certificado expira, ya no ser vlido, como la autenticidad de su llave / el par de identificacin ya
est seguro. (El certificado todava puede usarse seguramente para reconfirmar informacin que era el
encrypted o firm dentro del periodo de validez en l no debe confiarse para tareas del cryptographic que
avanzan, sin embargo.)
Hay tambin situaciones dnde es necesario invalidar a un prior del certificado a su fecha de expiracin, como
cuando un el poseedor del certificado termina el empleo con la compaa o sospechosos que el certificado est
correspondiendo la llave privada se ha compuesto. Esto se llama la revocacin. El certificado de Arevoked es
mucho ms sospechoso que un expir el certificado. Expirado los certificados son inutilizables, pero no lleva
la misma amenaza de compromiso como un certificado revocado.
Cualquiera que ha firmado un certificado puede revocar su o su firma en el certificado (con tal de que l o ella
usan la misma llave privada que cre la firma). la firma de Arevoked indica que el firmante ya no cree la llave
pblica y la informacin de identificacin pertenece juntos, o que la llave pblica del certificado (o
correspondiendo la llave privada) se ha compuesto. Una firma revocada debe llevar el casi tanto peso como un
certificado revocado.
Con los certificados de X.509, una firma revocada est prcticamente igual que un certificado revocado dado
que la nica firma en el certificado es el que lo hizo vlido en el primer lugar la firma del CA. Los
certificados de PGP proporcionan el rasgo agregado que usted puede revocar su certificado entero (no slo las
firmas en l) si usted se siente que el certificado se ha compuesto.
El dueo de slo el certificado (el poseedor de su llave privada correspondiente) o alguien quien el dueo del
certificado ha designado como un revoker puede revocar un certificado de PGP. (Designando un revoker es
una prctica til, como l la prdida del passphrase es a menudo para el certificado est correspondiendo llave
privada que lleva a un usuario de PGP para revocar su o su certificado una tarea que slo es posible si uno
tiene el acceso a la llave privada.) el emisor de Slo el certificado puede revocar un certificado de X.509.
Comunicando que un certificado se ha revocado
Cuando un certificado se revoca, es importante hacer a los usuarios potenciales del certificado consciente que
es ningn ms largo vlido. Con los certificados de PGP, la manera ms comn de comunicar que un
certificado se ha revocado que es anunciarlo en un servidor del certificado para que otros que pueden desear
comunicar con usted se advierten para no usar esa llave del pblico.
En un ambiente de PKI, la comunicacin de certificados revocados est normalmente la mayora logrado va
una estructura del datos llam una Lista de Revocacin de Certificado, o CRL que se publica por el CA. El
CRL contiene una lista tiempoestampillado, validada de todos revocada, el unexpired certifica en el sistema.
Los certificados revocados slo permanecen en la lista hasta que ellos expiren, entonces ellos estn alejados
de la lista esto impide la lista ponerse demasiado largo.
El CA distribuye el CRL regularmente a los usuarios a algunos fij el intervalo (y potencialmente fuera
deciclo, siempre que un certificado se revoque). Tericamente, esto les impedir a los usuarios usar un
certificado compuesto inconscientemente. Es posible, sin embargo, que puede haber un periodo de tiempo
entre CRLs en que un certificado recientemente compuesto se usa.
Cul es un passphrase?
La mayora de las personas est familiarizado con restringir el acceso a los sistemas de la computadora va
una contrasea que es un nico cordn de carcteres que un usuario teclea en como un cdigo de
18
identificacin.
Un passphrase es una versin ms larga de una contrasea, y en la teora, uno ms seguro. Tpicamente
compuesto de palabras mltiples, un passphrase est ms seguro contra los ataques del diccionario normales,
en donde las pruebas del asaltador todas las palabras en el diccionario en un esfuerzo por determinar su
contrasea. Los passphrases ms buenos son relativamente largos y complejos y contienen una combinacin
de superior y escribe en letras minsculas las cartas, numrico y carcteres de la puntuacin.
PGP acostumbra un passphrase al encrypt su llave privada en su mquina. Su llave privada es el encrypted en
su disco que usa un picadillo de su passphrase como la llave confidencial. Usted acostumbra el passphrase al
decrypt y usa su llave privada. Un passphrase debe ser duro para usted olvidarse y difcil para otros para
suponer. Ya debe ser algo firmemente empotrado en su memoria a largo plazo, en lugar de algo que usted
constituye desde el principio. Por qu? Porque si usted se olvida de su passphrase, usted est fuera de suerte.
Su llave privada es totalmente y completamente intil sin su passphrase y nada puede hacerse sobre l.
Recuerde la cita ms temprano en este captulo? PGP es criptografa que dejar fuera a los gobiernos
mayores de sus archivos. Lo dejar fuera ciertamente de sus archivos, tambin. Tenga presente eso que
cuando usted decide cambiar su passphrase al punchline de ese chiste que usted nunca puede recordar
realmente.
El fraccionamiento de la llave
Ellos dicen que un secreto no es un secreto si se conoce a ms de una persona. Compartiendo un par
importante privado propone semejante problema. Mientras no es una prctica recomendada, mientras
compartiendo un par importante privado es a veces necesario. Por ejemplo, las Llaves de la Firma
corporativas son llaves privadas usadas por una compaa para firmar por ejemplo los documentos
legales, informacin del personal sensible, o descargos de la prensa al authenticatetheirorigin. En semejante
caso, vale la pena para los miembros mltiples de la compaa tener el acceso a la llave privada. Sin embargo,
esto significa que cualquier solo acto de la lata individual totalmente en nombre de la compaa.
El caseit de Insucha es el wisetosplit la llave entre las personas mltiples de semejante manera que ms de una
o dos personas debe presentar un pedazo de la llave para reconstituirlo a una condicin utilizable. Si los
demasiado pocos pedazos de la llave estn disponibles, entonces la llave es inutilizable.
Algunos ejemplos son henderse una llave en tres pedazos y exigir a dos de ellos reconstituir la llave, o se lo
hendi en dos pedazos y requiere ambos pedazos. Si una conexin de la red segura se usa durante el proceso
de la reconstitucin, los accionistas de la llave no necesitan estar fsicamente presentes para reunirse con la
llave.
19