¿Crear o contratar?

PKI y certificados digitales

Optar por desarrollar o contratar es probablemente la decisión más importante relativa a la implementación de PKI. Ningún camino es sencillo, y ambos suponen serios riesgos de seguridad si no se recorren con prudencia.

Durante los últimos tiempos, PKI (Public-Key Infrastructure) aparece junto a los cortafuegos y las VPN (redes privadas virtuales) como uno de los más importantes requisitos de seguridad para cada vez más redes de empresas. Tan importantes como complicados: los diseños de PKI siguen teniendo un cierto aire de magia negra, forzando a los profesionales de redes a vadear un sinfín de acrónimos y algoritmos. No es de extrañar que muchas empresas opten por externalizar el proceso en su totalidad. Otras, temerosas de delegar a terceros las cuestiones de seguridad, se adentran en la intrincada senda del desarrollo propio. Optar por desarrollar o contratar es probablemente la decisión más importante relativa a la implementación de PKI. Ningún camino es sencillo, y ambos suponen serios riesgos de seguridad si no se recorren con prudencia.
Antes de tomar una decisión, los responsables de redes han de comprender los distintos componentes de las PKI, sus elementos de diseño y los modos en que interactúan con las aplicaciones y las redes ya instaladas. Combinando los bloques básicos, los diseñadores de redes pueden crear una PKI para un departamento, una o varias empresas o múltiples individuos. Es en esta fase de diseño donde surgen las mayores complicaciones.

A vueltas con el diseño
En el caso más básico, todos los usuarios han de solicitar los certificados a una autoridad de certificación. Este diseño es simple, pero poco realista para la mayoría de las empresas puesto que carece de la escalabilidad necesaria para abarcar múltiples oficinas o un gran número de usuarios.
Un tipo más común de diseño de PKI es el que implica una jerarquía de autoridades de certificación con una autoridad “raíz” en la parte más alta del árbol. Este diseño jerárquico es relativamente simple, pero no proporciona conectividad directa entre las distintas autoridades. En este modelo, cualquier aplicación adaptada para operar con la PKI antes de utilizar un certificado debe verificar su autenticidad, y para ello la aplicación de certificados ha de recorrer el árbol de autoridades, estableciendo lo que se conoce como ruta o camino de certificación. En un diseño jerárquico de este tipo, todos los caminos de certificación deben comenzar en la autoridad “raíz”, que responde de las otras autoridades que se encuentran por debajo de ella, lo que implica una gran complejidad.
Un diseño alternativo podría basarse en una topología mallada, en la que todas o la mayor parte de las autoridades de certificación se conectan directamente entre sí. Aquí, como pueden comenzar en cualquier punto, las rutas de certificación son más variadas, sencillas y breves que en el modelo jerárquico, agilizando el proceso de autenticación y simplificando la gestión del tráfico.
Desafortunadamente, la mayor parte de los certificados no ofrecen “pistas” que permitan saber si forman parte de una topología jerárquica o en malla, o en qué punto de la ruta de certificación debería comenzar a hacer una consulta a la autoridad de certificación originaria. En cuanto a seguridad, lo más probable es que los usuarios finales no sepan exactamente quién esta certificando; y en cuanto a rendimiento, a mayores rutas, más se tarda en recorrerlas. Por ello, algunas implementaciones crean un “caché de certificados” en las aplicaciones, que actúa como un almacén de todas las rutas de certificados usadas previamente para acelerar las peticiones futuras.
Es importante resaltar que todas estas cuestiones de diseño no afectan a los productos. De hecho, cualquier producto de autoridad de certificación comercial funcionará con cualquier diseño.

En manos de terceros
El mercado PKI incluye firmas de equipamiento y software y firmas de servicios de externalización. Las primeras suministran herramientas tales como autoridades de certificados, tarjetas inteligentes y algoritmos de encriptación. Los principales fabricantes de este segmento son, entre otros, Baltimore Technologies, Entrust, RSA Security y VeriSign. En el otro lado del mercado, compañías como EDS e IBM, un buen número de ISP y grandes firmas consultoras proporcionan las mismas herramientas que los fabricantes de equipos junto con servicios de valor añadido, como los de integración, en un tipo de ofertas conocidas en Estados Unidos como “service bureaus”.
Estos servicios de outsourcing integrarán la PKI a cualquier nivel, ya se trate de una aplicación de empresa, un router, un conjunto de gateways VPN o una infraestructura inalámbrica. Además, se encarga de gestionar la autoridad de certificación y los propios certificados. El outsourcing asume, además, la responsabilidad de la autoridad de certificación y de mantener actualizadas las listas de revocación de certificados, liberando a la empresa de estas tareas.
Los outsourcers de PKI se encargan también de crear y gestionar autoridades de certificados públicos, fundamentales para las aplicaciones de comercio electrónico. Estas autoridades de certificados públicos aportan a los clientes una medio de autenticación mutua sin necesidad de exponer la red interna de la empresa.
Una última consideración en favor de los servicios de externalización es que evitan a las empresas vérselas con los todavía incipientes estándares PKI, nada sencillos. La indefinición en este punto es todavía enorme. Por ejemplo, en lo que respecta al “ciclo de vida de los certificados”, es decir, su inscripción o registro, revocación y expiración, Entrust y Baltimore Technologies respaldan una especificación de protocolo de gestión de certificados, mientras que VeriSign, Cisco y Microsoft soportan otra que utiliza sintaxis de mensajes criptográficos; los dos protocolos difieren en las extensiones y estándares de criptografía que utilizan. Parece evidente que las empresas que no tengan gran interés por estas cuestiones preferirán pagar a un tercero para que se ocupe de ellas.
Todo lo anterior no significa que el outsourcing de servicios PKI siempre sea la mejor opción. Para algunas empresas, las pequeñas dimensiones del proyecto en cuanto a número de usuarios y poca trascendencia de los procesos de seguridad implicados no justifican su contratación a terceros; para otras, con independencia del tamaño del proyecto, no hay nada peor que dejar en manos de terceros una parte esencial de la seguridad corporativa; y no faltan las que no acaban de ver las ventajas del outsourcing. Para estas últimas, la certificación mutua entre las múltiples autoridades de certificados de un amplio número de organizaciones que permiten los servicios de externalización de PKI, más que un beneficio supone una potencial fuga de seguridad.

Certifica, pero seguro
Con independencia de cuál sea la decisión que se tome, contratar o crear, siempre hay que tener en cuenta cuestiones como la seguridad de los certificados y autoridades de certificación, la autoridad de la autoridad de certificados (valga la redundancia), y la unicidad de los certificados, así como hasta qué punto la integración de otros sistema

Contenido Patrocinado

Fernando Rubio Román, CTO de Microsoft España. TECNOLOGÍA
Forma parte de nuestra comunidad

 

¿Te interesan nuestras conferencias?

 

 
Cobertura de nuestros encuentros
 
 
 
 
Lee aquí nuestra revista de canal

DealerWorld Digital