[Entrevista al CTO] El movimiento empresarial hacia la PKI como servicio

Mantener una infraestructura de clave pública (PKI) segura, escalable y bien gestionada no es tarea fácil. Por eso, muchas empresas están empezando a replantearse su PKI heredada y a cambiar a una PKI empresarial como servicio.

Recientemente tuve la oportunidad de sentarme con el Dr. Ed Amoroso, analista principal y CEO de TAG Cyber, para hablar sobre el resurgimiento de la PKI en casos de uso empresariales y de IoT.

Vea mi video completo y lea partes de la transcripción a continuación.

Empezamos a ofrecer PKI como servicio hace unos ocho años, justo cuando lanzamos nuestra plataforma de Software. Tanto la oferta «como servicio» como la gestión de certificados surgieron de las necesidades insatisfechas que observamos en nuestra base de clientes.

Aunque se pueden adquirir certificados digitales x.509 de proveedores públicos, la mayoría de las organizaciones también necesitan una PKI de raíz privada para Wi-Fi, servicios web y dispositivos internos. Esto significa que las empresas no pueden mantener una PKI bien gestionada, bien diseñada y escalable simplemente «configurando y olvidándose» de su PKI empresarial.

A veces tienen que ser transparentes porque ha ocurrido algo terrible. Tenemos clientes que, antes de adoptar la PKI como servicio, habían configurado incorrectamente su PKI de forma inadvertida.

Por ejemplo, un cliente había configurado por su cuenta una PKI interna para cifrar ordenadores portátiles y de escritorio. Luego, terminaron externalizando toda su TI, y en esa transición, perdieron toda la experiencia sobre dónde se almacenaban todas las claves y cómo funcionaba el archivo. Esto llevó a que, literalmente, más de 70 000 ordenadores portátiles y de escritorio no pudieran ser descifrados.

Ya sea que esté gestionando su propia PKI o que nosotros lo hagamos por usted, es necesario tener un inventario completo de todas las claves.

Bueno, los certificados son muy similares a un carné de conducir o un pasaporte. En ambos casos, una de las similitudes es que existe una fecha de caducidad predefinida.

En el caso de un pasaporte o un carné de conducir, esto se debe a una variedad de razones. Quizás su dirección ha cambiado, o ha envejecido y ya no se parece a la foto de su carné de conducir. Esta fecha de renovación predefinida lleva a la necesidad de tener un plan sobre cómo se actualizan esas cosas.

Con los certificados digitales, realmente se desea abordarlo de forma integral desde el punto de vista de:

• ¿Cómo emito los certificados?
• ¿Cómo se distribuyen a sus destinos?
• ¿Cuándo pueden ser utilizados?
• ¿Quién está autorizado para obtenerlos?
• ¿Qué mecanismos de registro y políticas rigen este proceso?
• ¿Quién está autorizado para revocar ese certificado y hacer que deje de ser de confianza?

Y, por supuesto, cuando el certificado se acerca a su caducidad, es necesario saber quién será el responsable de su actualización. Evidentemente, existen productos como Keyfactor que pueden asistir en todas esas fases del ciclo de vida.

La automatización desempeña un papel crucial en ese ciclo de vida de renovación y puede ayudar a evitar tiempos de inactividad e interrupciones.

Así es.

La PKI existe desde hace mucho tiempo, pero lo que ha sucedido últimamente es esta explosión de casos de uso, tanto en el ámbito empresarial como, sin duda, en el IoT.

Lo que estamos viendo en el IoT es este concepto de elementos que nunca tuvieron pilas de red y que ahora pueden comunicarse. Tan pronto como se tiene la capacidad de comunicarse, es necesario poder realizar acciones como la autenticación.

¿Cómo sé que aquello con lo que me comunico es legítimo? ¿Cómo sé que la información que envío es segura? ¿Cómo sé que una actualización de firmware que estoy implementando es legítima? Si se está implementando una actualización de firmware en un marcapasos o una bomba de insulina, es imperativo asegurarse de que sean auténticas.

Sin embargo, la mayoría de las organizaciones que se adentran en la autenticación de IoT no consideran la capacidad de actualización en el ciclo de vida de sus dispositivos.

La razón por la que los certificados caducan no es para complicar la vida de las personas. Es porque la antigüedad de los algoritmos y de las claves hace que se vuelvan inseguros con el tiempo. Y esto también es cierto para los dispositivos IoT.

Puede que sea difícil actualizar una clave en un dispositivo IoT, pero esto no exime del hecho de que la criptografía que utiliza se volverá insegura en unos cinco a diez años. Podemos predecir este tipo de situaciones porque los algoritmos que utilizábamos hace cinco o diez años ya no son seguros actualmente.