Compartir a través de

Criptografía y administración de certificados

Criptografía

La criptografía usa código para convertir datos de modo que solo un destinatario específico pueda leerlos mediante una clave. La criptografía exige privacidad para impedir que cualquier persona excepto el destinatario previsto lea datos, integridad para asegurarse de que los datos están libres de alteraciones y autenticación que comprueba la identidad para asegurarse de que la comunicación es segura. La pila de criptografía de Windows se extiende desde el chip hasta la nube, lo que permite que Windows, las aplicaciones y los servicios protejan los secretos del sistema y del usuario.

La criptografía en Windows está certificada por los Estándares Federales de Procesamiento de Información (FIPS) 140. La certificación FIPS 140 garantiza que se usan algoritmos aprobados por el gobierno de EE. UU. (RSA para la firma, ECDH con curvas NIST para el contrato de clave, AES para cifrado simétrico y SHA2 para hash), prueba la integridad del módulo para demostrar que no se ha producido ninguna alteración y demuestra la aleatoriedad de los orígenes de entropía.

Los módulos criptográficos de Windows proporcionan primitivos de bajo nivel, como:

  • Generadores de números aleatorios (RNG)
  • Cifrado simétrico y asimétrico (compatibilidad con AES 128/256 y RSA 512 a 16384, en incrementos de 64 bits y ECDSA sobre curvas prime estándar NIST P-256, P-384, P-521)
  • Hash (compatibilidad con SHA-256, SHA-384 y SHA-512)
  • Firma y comprobación (compatibilidad de relleno para OAEP, PSS, PKCS1)
  • Acuerdo clave y derivación de claves (compatibilidad con ECDH sobre curvas prime estándar NIST P-256, P-384, P-521 y HKDF)

Estos módulos se exponen de forma nativa en Windows a través de Crypto API (CAPI) y cryptography next generation API (CNG), que funciona con la biblioteca criptográfica de código abierto de Microsoft SymCrypt. Los desarrolladores de aplicaciones pueden usar estas API para realizar operaciones criptográficas de bajo nivel (BCrypt), operaciones de almacenamiento de claves (NCrypt), proteger datos estáticos (DPAPI) y compartir secretos de forma segura (DPAPI-NG).

Administración de certificados

Windows ofrece varias API para operar y administrar certificados. Los certificados son fundamentales para la infraestructura de clave pública (PKI), ya que proporcionan los medios para proteger y autenticar la información. Los certificados son documentos electrónicos que se usan para reclamar la propiedad de una clave pública. Las claves públicas se usan para probar la identidad del servidor y del cliente, validar la integridad del código y usarse en correos electrónicos seguros. Windows ofrece a los usuarios la capacidad de inscribir automáticamente y renovar certificados en Active Directory con la directiva de grupo para reducir el riesgo de posibles interrupciones debido a la expiración del certificado o a una configuración incorrecta. Windows valida los certificados a través de un mecanismo de actualización automática que descarga las listas de confianza de certificados (CTL) diariamente. Las aplicaciones usan certificados raíz de confianza como referencia para jerarquías PKI de confianza y certificados digitales. La lista de certificados de confianza y que no son de confianza se almacena en el CTL y los pueden actualizar los administradores. En el caso de revocación de certificados, se agrega un certificado como un certificado que no es de confianza en el CTL, lo que hace que se revoque globalmente en todos los dispositivos de usuario inmediatamente.

Windows también ofrece anclaje de certificados empresariales para ayudar a reducir los ataques man-in-the-middle al permitir que los usuarios protejan sus nombres de dominio internos del encadenamiento a certificados no deseados. Se comprueba la cadena de certificados de autenticación de servidor de una aplicación web para asegurarse de que coincide con un conjunto restringido de certificados. Cualquier aplicación web que desencadene una falta de coincidencia de nombres inicia el registro de eventos e impide el acceso del usuario desde Microsoft Edge.