Key /Config-authentication se utiliza para resolver el problema de autenticar las claves de una persona (por ejemplo, "persona A") con la que otra persona ("persona B") está hablando o intentando hablar. En otras palabras, es el proceso de asegurar que la clave de la "persona A", que está en poder de la "persona B", pertenece de hecho a la "persona A" y viceversa.
Esto suele hacerse después de que las dos partes hayan compartido las claves a través de algún canal seguro. Sin embargo, algunos algoritmos comparten las claves en el momento de la autenticación.
La solución más sencilla para este tipo de problemas es que los dos usuarios interesados se comuniquen e intercambien claves. Sin embargo, para sistemas en los que hay una gran cantidad de usuarios o en los que los usuarios no se conocen personalmente (por ejemplo, compras por Internet), esto no es práctico. Existen varios algoritmos, tanto para claves simétricas como para criptografía de clave pública asimétrica, para resolver este problema.
En el caso de la autenticación de claves mediante la criptografía de clave simétrica tradicional , el problema consiste en garantizar que no haya ningún atacante intermediario que intente leer o falsificar la comunicación. En la actualidad, se utilizan varios algoritmos para evitar este tipo de ataques. Los más comunes son el intercambio de claves Diffie-Hellman , la autenticación mediante el centro de distribución de claves , Kerberos y el protocolo Needham-Schroeder . Otros métodos que se pueden utilizar incluyen protocolos de acuerdo de claves autenticadas mediante contraseña, etc. [1]
Los sistemas criptográficos que utilizan algoritmos de clave asimétrica tampoco evaden el problema. El hecho de que una clave pública pueda ser conocida por todos sin comprometer la seguridad de un algoritmo de cifrado (para algunos de estos algoritmos, aunque no para todos) es ciertamente útil, pero no evita algunos tipos de ataques. Por ejemplo, un ataque de suplantación en el que se afirma públicamente que la clave pública A es la del usuario Alice, pero en realidad es una clave pública que pertenece al atacante intermediario Mallet , es fácilmente posible. Ninguna clave pública está inherentemente vinculada a ningún usuario en particular, y cualquier usuario que dependa de una vinculación defectuosa (incluida la propia Alice cuando se envía mensajes protegidos) tendrá problemas.
La solución más común a este problema es el uso de certificados de clave pública y autoridades de certificación (CA) para ellos en un sistema de infraestructura de clave pública (PKI). La autoridad de certificación (CA) actúa como un "tercero de confianza" para los usuarios que se comunican y, utilizando métodos de enlace criptográfico (por ejemplo, firmas digitales ), representa a ambas partes involucradas que las claves públicas que cada una posee y que supuestamente pertenecen a la otra, en realidad lo hacen. Un servicio de notario digital , por así decirlo. Dichas CA pueden ser organizaciones privadas que brindan tales garantías, o agencias gubernamentales, o alguna combinación de las dos. Sin embargo, en un sentido significativo, esto simplemente retrocede el problema de la autenticación de claves un nivel, ya que cualquier CA puede realizar una certificación de buena fe de alguna clave pero, por error o malicia, estar equivocada. Cualquier confianza en un certificado de clave defectuoso que "autentique" una clave pública causará problemas. Como resultado, muchas personas encuentran todos los diseños de PKI inaceptablemente inseguros.
Por ello, se están investigando activamente métodos de autenticación clave.