¿Existe alguna forma de crear mi propio par de certificados? No veo por qué necesitaría una CA confiable para enviar correo electrónico. Prefiero un certificado que usar GPG o algo por el estilo.
Respuesta1
¿Un par de claves autofirmadas? ¿Un par de certificados? ¿Prefieres utilizar un certificado que GPG?
La forma en que ha formulado su pregunta indica que tiene una comprensión confusa de cómo se relacionan entre sí los pares de claves públicas/privadas y los certificados.
- Por lo general, no firma (al menos no autofirma) claves, firma certificados.
- Las claves vienen en pares, los certificados no.
- Tener un certificado autofirmado anula la ventaja que tienen los certificados sobre los pares de claves no certificados.
Permítame explicarle. Si desea utilizar un par de claves pública/privada con el correo electrónico, normalmente significa que tiene uno o ambos de estos objetivos principales:
- Desea poder firmar algunos o todos sus correos electrónicos con su clave privada, para que sus corresponsales puedan verificar que sus correos electrónicos realmente provienen de usted y no fueron modificados en tránsito.
- Quiere que sus corresponsales cifren algunos o todos los correos electrónicos con su clave pública, de modo que solo usted pueda leer el contenido de esos correos electrónicos.
Está bien, pero hay un gran problema. Para que esto funcione, necesita que sus corresponsales puedan obtener su clave pública y asegurarse de que sea realmentesuclave pública, no la de un impostor.
Una forma de resolver ese problema sería enviar su clave pública a cada uno de sus corresponsales a través de un medio confiable y pedirles que instalen esa clave pública en su software de seguridad de correo electrónico para usarla con mensajes enviados o dirigidos a usted. Eso podría funcionar, pero requiere mucho trabajo de configuración por parte de usted y sus corresponsales, y ese trabajo de configuración debe realizarse con anticipación para cada corresponsal antes de que puedan enviarle un correo electrónico de forma segura.
Para hacerlo menos complicado, sería bueno si hubiera una manera de publicar su clave pública de manera que cualquier nuevo corresponsal de correo electrónico potencial suyo pueda hacer que su software la recupere automáticamente y aún pueda confiar en que es suya.
Hay dos soluciones bien conocidas al problema de publicar claves de manera confiable: la red de confianza PGP/GPG y la infraestructura de clave pública basada en certificados (PKI).
En la red de confianza de GPG, usted publica su clave pública en el sistema de confianza de la red de GPG y hace que otras personas que conoce avalen su autenticidad marcando su clave como confiable (firmándola con sus propias claves privadas). Luego, cuando alguien quiera enviarle un correo electrónico de forma segura, podrá recuperar su clave pública del sistema web de confianza, ver quién la avaló, decidir si quiere confiar en ella y, de ser así, usarla para cifrar los mensajes que le envían. tú.
En PKI basada en certificados, usted tiene una CA reconocida que garantiza la autenticidad de su clave pública al agrupar su clave pública con cierta información de identificación sobre usted y luego firmar ese paquete. Ese paquete firmado de su información de identidad más su clave pública es su certificado. Puede publicar ese certificado en todas partes e incluso adjuntarlo a sus correos electrónicos, y sus corresponsales, si confían en esa CA, pueden aceptar la palabra de la CA de que este certificado muestra la verdadera clave pública de la persona que figura en el certificado.
Entonces, si crea un certificado autofirmado, está creando algo que no es más confiable que una clave pública simple, porque nadie más que usted garantiza ello. Ni tus amigos (red de confianza de GPG) ni una agencia pública (CA) de confianza. Usted y sus corresponsales se encargarán de asegurarse de que su clave pública sea realmente su clave pública.
Entonces, si está frustrando el propósito de un certificado mediante la autofirma, ¿por qué molestarse?