9.1.3.5. Autenticación

Algunos servicios usan para la autenticación de los clientes técnicas de clave pública como alternativa a la típìca autenticación con contraseña. El mecanismo de autenticación, a grandes rasgos, se basa en lo siguiente:

0. De algún modo, el servidor tiene plena confianza en que la clave pública del cliente realmente pertenece al cliente.

1. Después de haberse establecido la conexión segura (con la clave de sesión ya en ambos extremos), el cliente pide su autenticación indicando la clave pública con la que desea identificarse.

2. El servidor genera un número aleatorio, lo cifra con tal clave pública y lo remite al cliente.

3. El cliente obtiene el número descifrándolo con la clave privada y lo devuelve al servidor[1] para confirmarle que es el propietario de esa clave.

4. El servidor, seguro ya de que el cliente ha sido capaz de leer el número, lo reconoce como legítimo y le da acceso.

A lo largo del manual, hay ejemplos de cómo se configura este tipo de autenticación en diversos servicios:

• Autenticación en SSH con clave pública.

• Identificación del cliente con certificado en OpenVPN.

• Configuración de wireguard, que sólo admite la autenticación del cliente mediante clave pública.

La autenticación con clave pública presenta algunos beneficios respecto a la autenticación con contraseña:

• Inutiliza los ataques de fuerza bruta, ya que dejará de haber contraseñas que adivinar.

• Puede usarse una misma clave pública para la identificación en distintos servidores. De este modo la contraseña de acceso será la misma en todos: la clave simétrica con la que se haya cifrado la clave privada.

Notas al pie

[1]

En realidad, la devolución del número puede ser más sofisticada. Por ejemplo, el cliente SSH descifra el número, lo combina con la clave de sesión, genera un resumen con md5; y este resumen es lo que remite al servidor. Para una explicación detallada del proceso lea el artículo Understanding the SSH Encryption and Connection Process