[Entrevista con el director de tecnología] El movimiento empresarial hacia la PKI como servicio

Mantener una infraestructura de clave pública (PKI) segura, escalable y bien gestionada no es tarea fácil. Por eso, muchas empresas están empezando a replantearse su PKI heredada y cambiar a una PKI empresarial como servicio.

Recientemente tuve la oportunidad de sentarme con el Dr. Ed Amoroso, Analista Principal y CEO de TAG Cyber, para hablar sobre el resurgimiento de PKI en casos de uso empresarial y IoT .

Vea mi vídeo completo y lea partes de la transcripción a continuación.

Empezamos a ofrecer PKI como servicio hace unos ocho años, justo cuando lanzamos nuestra plataforma software . Tanto la oferta "as-a-Service" como la gestión de certificados surgieron de las necesidades no cubiertas que vimos en nuestra base de clientes.

Aunque se pueden comprar certificados digitales x.509 a los proveedores públicos, la mayoría de las organizaciones también necesitan una PKI privada para Wi-Fi, servicios web y dispositivos internos. Esto significa que las empresas no pueden mantener una PKI bien gestionada, bien diseñada y escalable "configurando y olvidándose" de su PKI empresarial.

A veces tienen que ser transparentes porque ha ocurrido algo terrible. Tenemos clientes que, antes de adoptar PKI as-a-Service, habían configurado mal su PKI sin darse cuenta.

Por ejemplo, un cliente había creado por su cuenta una PKI interna para cifrar ordenadores portátiles y de sobremesa. Luego acabaron subcontratando toda su TI y, en esa transición, perdieron toda la experiencia sobre dónde se almacenaban todas las claves y cómo funcionaba el archivado. Esto les llevó a tener más de 70.000 ordenadores portátiles y de sobremesa que no podían descifrar.

Tanto si gestiona su propia PKI como si nosotros lo hacemos por usted, es necesario disponer de un inventario completo de todas las claves.

Pues los certificados son muy parecidos a un carné de conducir o un pasaporte. En ambos casos, una de las similitudes es que existe una fecha de obsolescencia predefinida.

En el caso del pasaporte o el carné de conducir, es por varias razones. Puede que haya cambiado de dirección o que haya envejecido y ya no se parezca a la foto del carné de conducir. Esta fecha de renovación predefinida obliga a tener un plan para actualizar estos documentos.

En el caso de los certificados digitales, hay que tener una visión holística:

• ¿Cómo se expiden los certificados?
• ¿Cómo llevarlos adonde tienen que ir?
• ¿Cuándo pueden utilizarse?
• ¿Quién puede conseguirlos?
• ¿Qué registros y políticas tengo al respecto?
• ¿Quién puede revocar ese certificado y que deje de ser de confianza?

Y luego, por supuesto, cuando el certificado comienza a acercarse a la exploración, usted necesita saber quién va a ser responsable de la actualización de ese certificado. Y está claro que hay productos como Keyfactor, que pueden ayudar con todas esas partes del ciclo de vida.

La automatización desempeña un papel crucial en ese ciclo de renovación y puede ayudar a evitar tiempos de inactividad y cortes de suministro.

Lo es.

PKI existe desde hace mucho tiempo, pero lo que ha ocurrido últimamente es una explosión de casos de uso, tanto en la empresa como en IoT.

Lo que estamos viendo en IoT, es este concepto de cosas que nunca han tenido pilas de red ahora son capaces de comunicarse. Tan pronto como tienes la capacidad de comunicarte, necesitas poder hacer cosas como autenticarte.

¿Cómo sé que mi interlocutor es legítimo? ¿Cómo sé que la información que envío es segura? ¿Cómo sé que una actualización de firmware que estoy enviando es legítima? Si envías una actualización de firmware a un marcapasos o a una bomba de insulina, es mejor que te asegures de que son auténticos.

Sin embargo, la mayoría de las organizaciones que se sumergen en la autenticación de IoT no tienen en cuenta la capacidad de actualización en el ciclo de vida de sus dispositivos.

La razón por la que los certificados caducan no es para amargarle la vida a la gente. Es porque la edad del algoritmo, la edad de la clave, se vuelven inseguros con el tiempo. Y eso también es cierto para los dispositivos IoT .

Puede que sea difícil actualizar una clave en un dispositivo IoT , pero eso no le exime del hecho de que la criptografía que utiliza se volverá insegura en unos cinco o diez años. Podemos predecir ese tipo de cosas porque los algoritmos que utilizábamos hace cinco o diez años no son seguros ahora.