La criptografía de clave pública utiliza las matemáticas para crear dos claves: una clave pública para cifrar mensajes y una clave privada para descifrarlos.
Esto garantiza que sólo el destinatario previsto pueda leer el mensaje. Los principales algoritmos utilizados son RSA, DSA y ECC, cada uno con sus propias ventajas en cuanto a rendimiento, velocidad y seguridad.
RSA es el más antiguo y es conocido por su solidez. ECC ofrece mayor seguridad con claves más pequeñas, lo que lo hace adecuado para dispositivos con una capacidad de procesamiento limitada. DSA, que apoya el Gobierno Federal de Estados Unidos, es eficaz para firmar y verificar mensajes. Estos métodos criptográficos soportan certificados digitales para la navegación segura por Internet y otros usos de la identidad digital. A medida que avanza la informática cuántica, se están desarrollando nuevos algoritmos post-cuánticos para mantener la seguridad en el futuro.
RSA, DSA y ECC son los principales algoritmos de cifrado para crear claves en la infraestructura de clave pública (PKI). La PKI ayuda a gestionar la identidad y la seguridad en las comunicaciones y redes en línea. La tecnología clave de la PKI es la criptografía de clave pública, que utiliza dos claves relacionadas: una clave pública y una clave privada.
Estas claves funcionan conjuntamente para cifrar y descifrar mensajes. Este método se denomina cifrado asimétrico. Se diferencia del cifrado simétrico, que utiliza una sola clave para ambos procesos.
La ventaja del cifrado asimétrico es que la clave pública puede compartirse abiertamente, mientras que la clave privada permanece segura en el dispositivo del usuario. Esta configuración ofrece mayor seguridad que el cifrado simétrico.
Cómo se basa la criptografía de clave pública en el cifrado
La Criptografía de Clave Pública utiliza algoritmos matemáticos para crear claves. La clave pública es una serie de números aleatorios que se utilizan para cifrar mensajes. Sólo la persona a la que va dirigido el mensaje puede desbloquearlo y leerlo utilizando una Clave Privada, que permanece secreta y sólo ella conoce.
Las Claves Públicas se elaboran con complejos algoritmos que las vinculan a sus Claves Privadas para evitar ataques de fuerza bruta. El tamaño de la Clave Pública, medido en bits, afecta a su seguridad. Por ejemplo, las claves RSA de 2048 bits se utilizan habitualmente en certificados SSL, firmas digitales y diversos certificados digitales. Este tamaño de clave proporciona suficiente seguridad para disuadir a los hackers. Organizaciones como el CA/Browser Forum establecen normas mínimas para el tamaño de las claves.
La infraestructura de clave pública (PKI) permite los certificados digitales que encontramos a menudo al utilizar sitios web, aplicaciones móviles, documentos en línea y dispositivos conectados. Una aplicación bien conocida de la PKI es la Seguridad de la Capa de Transporte (TLS) basada en X.509 y la Capa de Conexión Segura (SSL), que constituye la base del protocolo HTTPS para la navegación web segura.
Los certificados digitales también se utilizan para la firma de código de aplicaciones, firmas digitales y otros aspectos de la identidad digital y la seguridad.
Algoritmos RSA - DSA - ECC
Se utilizan tres algoritmos principales para generar claves en la Infraestructura de Clave Pública (PKI): Rivest-Shamir-Adleman (RSA), Algoritmo de Firma Digital (DSA) y Criptografía de Curva Elíptica (ECC).
El algoritmo RSA, creado en 1977 por Ron Rivest, Adi Shamir y Leonard Adleman, se basa en la dificultad de factorizar grandes números primos. Fue el primero en aplicar el sistema de clave pública/clave privada. Hoy en día, la longitud de clave habitual para RSA es de 2048 bits.
ECC se basa en las matemáticas de las curvas elípticas y ofrece una seguridad similar a RSA y DSA, pero con claves más cortas. Es el más reciente de los tres algoritmos. El Algoritmo de Firma Digital de Curva Elíptica (ECDSA) fue reconocido en 1999, seguido de Key Agreement and Key Transport Using Elliptic Curve Cryptography en 2001. ECC está certificado por FIPS y respaldado por la Agencia de Seguridad Nacional (NSA).
DSA utiliza un método diferente a RSA para generar claves públicas y privadas, basándose en la exponenciación modular y el problema del logaritmo discreto. Proporciona niveles de seguridad similares a RSA con claves del mismo tamaño. DSA fue introducido por el Instituto Nacional de Estándares y Tecnología (NIST) en 1991 y se convirtió en estándar oficial en 1993.
Se pueden utilizar varios algoritmos de cifrado a la vez. Por ejemplo, los servidores Apache pueden gestionar claves RSA y DSA. Este enfoque mejora la seguridad.
Comparación de la fuerza de cifrado ECC
La principal diferencia entre ECC y RSA / DSA es que ECC proporciona una mayor seguridad para la misma longitud de clave. Una clave ECC es más segura que una clave RSA o DSA del mismo tamaño.
| Tamaño de la clave simétrica (bits) |
Tamaño de clave RSA (bits) |
Tamaño de la clave ECC (bits) |
| 80 |
1024 |
160 |
| 112 |
2048 |
224 |
| 128 |
3072 |
256 |
| 192 |
7680 |
384 |
| 256 |
15360 |
521 |
ECC permite una potencia criptográfica similar con claves mucho más pequeñas (aproximadamente diez veces más pequeñas). Por ejemplo, para igualar la potencia criptográfica de una clave simétrica de 112 bits, se necesita una clave RSA de 2048 bits, mientras que sólo es necesaria una clave ECC de 224 bits.
Estas claves más cortas requieren menos potencia de procesamiento para cifrar y descifrar datos. Esto hace que ECC sea ideal para dispositivos móviles, el Internet de las Cosas y otras aplicaciones con capacidades informáticas limitadas.
Por qué no se ha extendido el uso de ECC
RSA es el método de cifrado más popular, pero ECC es cada vez más conocido. RSA tiene ventaja porque se ha utilizado durante más tiempo. Sin embargo, hay razones por las que algunas personas pueden optar por evitar ECC :
- Curva de aprendizaje: ECC es más difícil de entender y adoptar que RSA. Esta complejidad puede dar lugar a errores, lo que puede perjudicar a la ciberseguridad.
- Riesgos de seguridad : ECC corre el riesgo de sufrir ataques de canal lateral, lo que podría abrir la puerta a intentos de fuerza bruta. También es susceptible de sufrir ataques de seguridad por torsión, aunque hay formas de protegerse contra ellos.
Computación cuántica
La computación cuántica está llamada a cambiar significativamente los métodos de cifrado. Algoritmos tradicionales como RSA y ECC serán vulnerables a los ataques cuánticos, por lo que es vital que las organizaciones cambien a nuevas técnicas de cifrado. Afortunadamente, ya se están desarrollando varios algoritmos nuevos.
El NIST ha evaluado los algoritmos actuales de criptografía post-cuántica y ha seleccionado cuatro opciones eficaces: ML-KEM, CRYSTALS-Dilithium, SPHINCS+ y FALCON. Mantenerse informado sobre estos avances y las nuevas normas será crucial para que las organizaciones sigan avanzando.
