Conoce Atico34 - Solicita presupuesto
Ciberseguridad

¿Qué es la gestión de claves de cifrado?

Cuantos más datos protejas, más dependiente serás de las claves de cifrado. Dado que los profesionales de seguridad tienen suficientes dificultades para rastrear los archivos normales, ¿cómo vas a rastrear tus metarchivos asociados sin políticas o procedimientos formales? En este post vamos a explicar en qué consiste la gestión de claves de cifrado, para qué sirve y cómo implantar un adecuado sistema de gestión de claves en la empresa.

¿Qué es la gestión de claves de cifrado?

La gestión de claves de cifrado es administrar el ciclo de vida completo de las claves criptográficas. Esto incluye: generar, usar, almacenar, archivar y eliminar claves. La protección de las claves de cifrado incluye limitar el acceso a las claves física, lógica y mediante el acceso de usuario / rol.

La gestión de claves criptográficas es esencial para el uso efectivo de la criptografía por seguridad. Las claves son análogas a la combinación de una caja fuerte. Si un adversario conoce una combinación segura, la caja fuerte más fuerte no proporciona seguridad contra la penetración. Del mismo modo, una mala gestión de claves puede comprometer fácilmente algoritmos fuertes.

Hay un sistema criptográfico digital y físico completo que debe tenerse en cuenta, así como el ciclo de vida completo de cada clave. Por lo tanto, un sistema robusto de administración de claves de cifrado y políticas incluye:

  • Ciclo de vida de la clave: generación de claves, preactivación, activación, caducidad, posactivación, custodia y destrucción
  • Acceso físico y lógico a los servidores clave
  • Acceso de usuario a las claves de cifrado

Tipos de claves de cifrado

Existen dos tipos de claves de cifrado:

  • Claves simétricas: datos en reposo. En la criptografía de clave simétrica, se utiliza la misma clave de cifrado para cifrar y descifrar los datos. Este medio de cifrado se utiliza principalmente para proteger los datos en reposo. Un ejemplo sería cifrar datos confidenciales en texto cifrado mientras están almacenados en una base de datos y descifrarlos en texto sin formato cuando un usuario autorizado accede a ellos, y viceversa.
  • Claves asimétricas: datos en movimiento. Las claves asimétricas, por otro lado, son un par de claves para el cifrado y descifrado de los datos. Ambas claves están relacionadas entre sí y se crean al mismo tiempo. Se les conoce como clave pública y privada:
    • Clave pública: esta clave se usa principalmente para cifrar los datos y se puede dar libremente, ya que se usará para cifrar datos, no para descifrarlos.
    • Clave privada: esta clave se utiliza para descifrar los datos que su contraparte, la clave pública, ha cifrado. Esta clave debe protegerse ya que es la única clave que puede descifrar los datos cifrados.

Las claves asimétricas se utilizan principalmente para proteger los datos en movimiento. Un ejemplo podría ser una conexión de red privada virtual (VPN). Con una VPN:

  • Se utiliza una clave de sesión simétrica AES para cifrar los datos
  • se usa una clave pública para cifrar la clave de sesión
  • Una vez que se reciben los datos cifrados, la clave privada se utiliza para descifrar la clave de sesión para que se pueda usar para descifrar los datos.

Cómo funcionan los sistemas de claves de cifrado

Para comprender el funcionamiento de los sistemas de claves de cifrado, debemos distinguir entre sistemas de llaves simétricas y sistemas de llaves asimétricas.

Sistemas de llaves simétricas

Primero, establezcamos algunas definiciones:

  • Clave de cifrado de datos (DEK): es una clave de cifrado cuya función es cifrar y descifrar los datos.
  • Clave de cifrado de clave (KEK): es una clave de cifrado cuya función es cifrar y descifrar el DEK.
  • Interfaz de programa de aplicación de administración de claves (KM API): es una interfaz de aplicación que está diseñada para recuperar y pasar de manera segura las claves de cifrado de un servidor de administración de claves al cliente que solicita las claves.
  • Autoridad de certificación (CA): es una entidad que crea claves públicas y privadas, crea certificados, verifica certificados y realiza otras funciones PKI.
  • Seguridad de la capa de transporte (TLS): es un protocolo criptográfico que proporciona seguridad, mediante autenticación mutua, para datos en movimiento a través de una red informática.
  • Sistema de gestión de claves (KMS): es el sistema que aloja el software de gestión de claves.

Ahora que tenemos las definiciones en su lugar, a través de un ejemplo vemos paso a paso cómo un usuario autorizado accede a los datos cifrados:

  • Un usuario solicita acceder a datos cifrados.
  • La base de datos, la aplicación, el sistema de archivos o el almacenamiento envían una solicitud de recuperación DEK al cliente (KM API).
  • Luego, el cliente (KM API) y KM verifican los certificados de cada uno:
    • El cliente (KM API) envía un certificado al KM para su verificación.
    • El KM verifica el certificado contra la CA para la autenticación.
    • Una vez que el certificado del cliente (KM API) ha sido verificado, el KM envía su certificado a la API de KM para su autenticación y aceptación.
  • Una vez que los certificados han sido aceptados, se establece una conexión TLS segura entre el cliente (KM API) y el KM.
  • El KM luego descifra el DEK solicitado con el KEK
  • KM envía el DEK al cliente (KM API) a través de la sesión TLS cifrada.
  • El KM API envía el DEK a la base de datos, aplicación, sistema de archivos o almacenamiento.
  • La base de datos (puede) almacenar en caché el DEK en una memoria segura temporal.
  • La base de datos, la aplicación, el sistema de archivos o el almacenamiento envían la información de texto sin formato al usuario.

Sistema de llaves asimétricas

  • El remitente y el destinatario verifican los certificados del otro:
    • El remitente envía un certificado al destinatario para su verificación.
    • El destinatario luego verifica el certificado con su Autoridad de certificación (CA) o una Autoridad de validación externa (VA) para la autenticación.
    • Una vez que el certificado del remitente ha sido verificado, el destinatario envía su certificado al remitente para su autenticación y aceptación.
  • Una vez que el remitente y el destinatario tienen aceptación mutua:
    • El remitente solicita la clave pública del destinatario.
    • El destinatario envía su clave pública al remitente.
  • El remitente crea una clave simétrica efímera y cifra el archivo que se enviará. (una clave simétrica efímera es una clave de cifrado simétrica utilizada solo para una sesión)
  • El remitente cifra la clave simétrica con la clave pública y envía los datos cifrados con la clave simétrica cifrada.
  • El destinatario recibe el paquete y descifra la clave simétrica con la clave privada. Luego, descifra los datos con la clave simétrica.

Enfoques para la gestión de claves

Hay muchos protocolos de administración clave para elegir, y se dividen en tres categorías:

  • Descentralizado: los usuarios finales son 100% responsables de su propia gestión de claves. La organización que requiere el uso de encriptación no proporciona soporte para manejar el gobierno clave.
  • Distribuido: cada departamento de la organización establece su propio protocolo de gestión de claves. Puede haber o no coordinación entre los departamentos.
  • Centralizado: hay un enfoque para la gestión de claves en toda la organización. Todos los usuarios siguen el mismo protocolo de administración de claves.

La administración de claves distribuidas es un paso en la dirección correcta: los departamentos asumen la responsabilidad de las claves de cifrado, aliviando a los usuarios de la carga. Pero la gestión centralizada de claves debe ser tu objetivo.

Las organizaciones se transforman constantemente a través de adquisiciones, desinversiones y fusiones, formando y disolviendo asociaciones con terceros. Sin una administración centralizada de claves, las personas enfrentan obstáculos para descifrar los datos confidenciales que necesitan para hacer su trabajo a medida que la organización cambia. O peor, las personas descifran fácilmente los datos confidenciales que no tienen nada que ver con ellos porque su acceso no fue revocado.

Implementación de gestión centralizada de claves

Entonces, ahora que comprendes qué es la administración centralizada de claves y por qué la necesitas, ¿cómo la implementas?

Hay varios aspectos a considerar, que incluyen:

  • Equipo: una red de servidores seguros que crean, almacenan, recuperan y administran claves de cifrado.
  • Políticas: Criterios definidos para el manejo de claves de cifrado.
  • Procesos: entradas, actividades y salidas para implementar la gestión centralizada de claves.

Necesitas los tres para implementar la administración centralizada de claves. No es suficiente solo comprar el equipo. También necesitas políticas y procesos que definan cómo usar el servidor de claves correctamente en su entorno específico.

El equipo generalmente consiste en un grupo de servidores clave. Estas son computadoras especialmente diseñadas con características únicas, como hardware a prueba de manipulaciones.

Los servidores de claves deben cumplir con los requisitos de seguridad que exigen la destrucción de todas las claves almacenadas al detectar la entrada forzada.

Si bien los servidores de claves pueden administrar claves y ayudar a aplicar políticas, no pueden crear las políticas. Eso es algo que los profesionales de la seguridad informática deben hacer. Puedes, por ejemplo, establecer una política que indique que los empleados de un grupo no pueden acceder a las claves que pertenecen a otro grupo, o establecer una política que otorgue acceso a las claves solo cuando el usuario esté en la LAN corporativa.

Los procesos ayudan a las personas a usar políticas para administrar claves. Los procesos pueden ser automatizados o implementados manualmente. Tener un proceso que impulsa una política aplicada por los servidores de claves es un gran paso adelante, en lugar de que los usuarios administren las claves por su cuenta.

Roles en la gestión de claves

En la gestión de claves de cifrado podemos distinguir los siguientes roles:

Separación de tareas

La separación de funciones es un principio de seguridad que divide las funciones críticas entre los diferentes miembros del personal en un intento por garantizar que ninguna persona tenga suficiente información o privilegio de acceso para cometer fraudes perjudiciales.

La práctica de la separación de funciones reduce el potencial de fraude o malversación al dividir las responsabilidades relacionadas para tareas críticas entre diferentes personas en una organización. Es común en los procedimientos financieros y contables de la mayoría de las organizaciones.

Por ejemplo, la persona que imprime los cheques en una compañía no sería la persona que firma los cheques. Del mismo modo, la persona que firma cheques no conciliaría los extractos bancarios. Una compañía se aseguraría de que las tareas críticas del negocio se clasifiquen en cuatro tipos de funciones: autorización, custodia, mantenimiento de registros y reconciliación. En un sistema perfecto, ninguna persona debe manejar más de un tipo de función.

Con respecto a las prácticas de seguridad de la información, la implementación de la separación de funciones es crítica en el área de la gestión de claves de cifrado.

Para evitar el acceso no deseado a los datos protegidos, es importante que la persona que administra las claves de cifrado no tenga la capacidad de acceder a los datos protegidos, y viceversa. Esto no es más difícil de lograr en un contexto de tecnología de la información que en un contexto financiero, pero a menudo se pasa por alto o se malinterpreta en sistemas informáticos complejos.

Control dual

El Control dual es un proceso que utiliza dos o más entidades separadas (generalmente personas) que operan en conjunto para proteger funciones o información delicadas. Ninguna entidad individual puede acceder o utilizar los materiales, por ejemplo, claves criptográficas.

Si bien la separación de funciones implica la distribución de diferentes partes de un proceso a diferentes personas, el control dual requiere que al menos dos o más personas controlen un solo proceso.

En la práctica de seguridad de datos, es común encontrar requisitos para el control dual de las funciones de administración de claves de cifrado. Debido a que un sistema de administración de claves puede almacenar claves de cifrado para múltiples aplicaciones y entidades comerciales, la protección de las claves de cifrado es de vital importancia.

Split Knowledge (Conocimiento dividido)

El concepto de conocimiento dividido se aplica a cualquier acceso o manejo de material criptográfico sin protección, como gestión de claves de cifrado o frases de contraseña utilizadas para crear claves de cifrado, y requiere que nadie sepa el valor completo de una clave de cifrado.

Si se usan frases de contraseña para crear claves de cifrado, ninguna persona debe conocer la frase de contraseña completa. Por el contrario, dos o más personas deberían conocer solo una parte de la frase de contraseña, y todas tendrían que estar presentes para crear o recrear una clave de cifrado.

Dominios para proteger las claves de cifrado

En este caso, debemos distinguir los siguientes:

Seguridad física

Muchos, cuando se habla de asegurar un administrador de claves, naturalmente recurrirán a la seguridad del administrador de claves en sí con un módulo de seguridad de hardware. Si bien ese es un tema necesario, primero deberíamos hablar sobre la seguridad del entorno físico en el que se encuentra su administrador clave.

Los “controles de seguridad física y ambiental” deben implementarse para proteger los recursos del sistema de vivienda de la instalación, los recursos del sistema en sí mismos y las instalaciones utilizadas para apoyar su operación.

El plan de seguridad física de una organización debe incluir cosas como:

  • Controles de acceso físico: limitar el acceso a los sistemas críticos, incluidas las ubicaciones de cableado que se conectan al sistema, a la menor cantidad de personas posible.
  • Puertos: en el caso de enviar claves de cifrado de texto sin formato, los puertos físicos deben dedicarse solo para ese propósito.
  • Seguridad contra incendios: asegúrate de que todos los entornos físicos que albergan el sistema tengan sistemas adecuados y actuales de extinción de incendios.
  • Integridad estructural: todos los entornos físicos que albergan el sistema deben cumplir con los actuales requisitos de protección frente a terremoto, inundación y carga de nieve para los requisitos reglamentarios de techado.
  • Fallo de los servicios públicos: los sistemas como la electricidad, el aire acondicionado y la calefacción pueden funcionar mal. Asegúrate de que cada uno funcione correctamente con copias de seguridad en su lugar, cuando sea necesario.
  • Intercepción de datos: toda la transmisión de datos confidenciales debe estar encriptada correctamente con claves públicas / privadas.
  • Administración de dispositivos móviles: todos los dispositivos que pueden acceder de forma remota al sistema deben catalogarse y administrarse en una base de datos de permisos.

Seguridad de acceso lógico

El siguiente escenario en el que puedes proteger tus claves de cifrado es separando lógicamente los diferentes componentes criptográficos que alojan las claves del resto de la red más grande. Hay tres elementos principales a considerar:

  • Interfaces
  • DEK a partir de datos cifrados
  • KEK de DEK: dentro del administrador de claves de cifrado, los KEK deben estar separados lógicamente de los DEK. Esto garantiza que, aunque los DEK de la base de datos se vean comprometidos, quedarán inutilizables porque el KEK está en una ubicación lógicamente separada de los DEK.

Acceso de usuario / rol

Una vez que se abordan la seguridad física y la seguridad lógica, el componente final son los roles y privilegios del usuario. El concepto central es el concepto de privilegio mínimo: donde restringe los privilegios de acceso del personal autorizado al mínimo necesario para realizar sus trabajos.

Documenta e implementa qué roles dentro de la organización estarán autorizados para acceder al KMS y en qué nivel.
En qué funciones se podrá ejecutar el rol. Qué medios de autenticación se utilizarán (es decir, contraseñas, números de identificación personal, datos biométricos y sus fechas de vencimiento).

Alta disponibilidad y continuidad comercial

Una vez que tengas la seguridad física, la seguridad lógica y los roles de usuario establecidos, también debes considerar la continuidad del negocio. Si un intruso accede a tus datos o tu servidor de producción se desconectan por una variedad de razones, debes poder recuperarte en un tiempo relativamente corto con pasos preescritos:

  • Continuidad del negocio: es la capacidad de la organización para continuar la entrega de productos o servicios a niveles aceptables después de un “incidente disruptivo”.
  • Conmutación por error en caliente: En un entorno de red, una conmutación por error en caliente se está cambiando a un servidor de respaldo que se actualiza regularmente desde el servidor de producción y está listo, en cualquier momento, en caso de que el servidor de producción ya no pueda funcionar normalmente durante un período de tiempo prolongado.

En el caso de la administración de claves, cada servidor de administración de claves de producción debe reflejarse con un servidor de alta disponibilidad en una ubicación geográficamente separada en caso de que el servidor de producción se vea comprometido y desconectado por cualquier período de tiempo.

Aquí tienes algunas características que debes buscar en las soluciones de administración clave o lo que querrás abordar si creas la tuya propia:

  • Hardware: unidades de disco RAID intercambiables en caliente, fuentes de alimentación redundantes dobles e interfaces de red independientes
  • Servidor de claves seguro activo-activo reflejado
  • Duplicación de servidor de clave segura segura pasiva
  • Duplicación de políticas de acceso en tiempo real
  • Comprobación de integridad del administrador de claves al inicio
  • Comprobación de integridad de recuperación de clave

Plataformas para alojar al gestor de claves

Las plataformas más importantes donde alojar gestores de claves son las siguientes:

HSM

Para resumir, un HSM es típicamente un servidor con diferentes niveles de protección de seguridad o “endurecimiento” que evita la manipulación o la pérdida.

Estos se pueden resumir como:

  • A prueba de manipulaciones: agregar revestimientos o sellos a prueba de manipulaciones en los tornillos o cerraduras en todas las cubiertas o puertas extraíbles
  • Resistente a la manipulación: agregando “circuitos de detección / respuesta de manipulación” que borra todos los datos confidenciales como DEK y KEK
  • Prueba de manipulación: endurecimiento completo del módulo con tornillos y cerraduras a prueba de manipulación / resistencia.

HSM alojado

Con muchas organizaciones trasladando algunas o todas sus operaciones a la nube, también ha surgido la necesidad de trasladar su seguridad. La buena noticia es que muchos proveedores de administración clave se han asociado con proveedores de alojamiento en la nube para acumular HSM tradicionales en entornos de nube.

Se seguirían aplicando los mismos niveles de “endurecimiento”, ya que es un HSM tradicional en un entorno externo.

Virtual

Las instancias virtuales de un administrador de claves de cifrado ofrecen mucha más flexibilidad que sus contrapartes HSM. En muchos casos, un administrador de claves virtual puede descargarse de un proveedor en cuestión de minutos y desplegarse en un entorno virtual.

Un HSM, por otro lado, puede demorar días o semanas en enviarse al sitio y luego requiere una instalación física. Además, las instancias virtuales se pueden instalar en cualquier lugar que admita la plataforma virtual en la que se ejecuta el administrador de claves, VMware, como ejemplo.

AWS, Microsoft Azure y otras: dedicado o “como un servicio”

Los proveedores de la nube, como Amazon Web Services (AWS), Microsoft Azure (Azure) y más, tienen ofertas de mercado para la gestión de claves de cifrado, así como su propia gestión de claves como servicio (KMaaS).

AWS y KMaaS de Azure suelen ser de múltiples inquilinos, lo que significa que hay más de una clave de usuario en la misma instancia de administración de claves. Esto puede generar preocupaciones para las organizaciones que necesitan servicios dedicados para mitigar las preocupaciones de seguridad de otros usuarios que acceden a los mismos almacenes de datos clave.

Para combatir este problema, la mayoría de los proveedores de la nube también ofrecerán servicios dedicados. En sus mercados, también hay proveedores independientes que brindan servicios dedicados que generalmente vienen en dos formas: pago por uso y “traiga su propia licencia”.

Townsend Security proporciona ambas plataformas y ambos modelos de licencia. Tanto las instancias de AWS como las de Azure son administradores de claves dedicados en una instancia virtual de IaaS y también disfrutan de la flexibilidad de ser el mismo administrador de claves que se implementa como HSM , HSM en la nube y VMwareinstancia para que su entorno pueda escalar más allá de AWS y Azure, si es necesario.

Esto es útil para organizaciones con centros de datos físicos existentes (o futuros), porque tener la misma tecnología para proteger sus datos en todas partes reduce la complejidad para su personal de TI a medida que los usan y mantienen.