PKI desempeña un papel fundamental en nuestra vida cotidiana, por lo que no es de extrañar que haya sido un tema recurrente en los PrimeKey Tech Days desde 2015.
Tomas Gustavsson, Chief PKI Officer en PrimeKey Keyfactor, ha dirigido este tema anualmente, seleccionando personalmente los temas de PKI más candentes para presentarlos en cada debate. Y la edición de 2021 no decepcionó. He aquí lo más destacado de su charla de 2021 sobre PKI hardcore.
Certificados Covid
Los certificados Covid y el concepto de modificar los estándares también estaban en la agenda de PKI en 2020. Pero al igual que con lo que ha estado sucediendo en el mundo, muchas cosas han sucedido en el último año que hizo que valga la pena volver a examinar este tema.
Para empezar, es importante tener en cuenta que no se trata de certificados certificados x509 como los que se suelen discutir en el mundo de la PKI, sino normalmente un certificado ISO9000 o ISO27001 ISO9000 o ISO27001. De hecho, en este ámbito están surgiendo varias normas diferentes de la UE, la OMS y la OACI, entre otras.
Los equipos que están detrás de estos certificados digitales Covid han avanzado rápidamente en el desarrollo y la implantación mundial, y han podido hacerlo en gran parte por dos razones. En primer lugar, porque se han basado en normas y modelos ya existentes que son sólidos y están bien probados, y en segundo lugar, porque muchos también utilizan código deopen-source accesible a través de Github.
Veamos dos ejemplos.
Sellos visuales digitales (VDS) de la OACI
ICAO VDS se basa en ICAO 9303 Parte 12 para su infraestructura PKI, que es una CA firmada por el país que se ha utilizado anteriormente para expedir documentos como pasaportes e identificaciones electrónicas. Recientemente, ha añadido capacidades para la firma de códigos de barras. La OACI trabaja actualmente en la personalización y construcción de códigos de barras 2D con sello digital, pero el hecho de haber empezado con esta infraestructura bien establecida y de confianza representa un enorme paso adelante en el proceso de desarrollo.
Certificado Digital Covid de la UE (DCC de la UE)
El DCC de la UE adopta un enfoque muy similar al del VDS de la OACI desde el punto de vista de la PKI, reutilizando los mismos conceptos sólidos y bien conocidos del 9303 de la OACI, lo que ha facilitado relativamente su implantación en muchos países. Sin embargo, el DCC de la UE adopta un enfoque ligeramente diferente para construir los códigos de barras 2D insertando una firma en medio de ellos. Han desarrollado el código open-source , disponible en Github, para el proceso de creación de datos y verificación de las firmas, lo que también les ha ayudado a agilizar la implantación.
(I)IoT Normas
A continuación, las normas IoT -o normas IIoT (Industrial IoT), según el caso- también retoman algunos temas de 2020, pero la gestión de estas normas sigue siendo un reto, ya que los sectores verticales que dependen de ellas siguen creciendo rápidamente.
En concreto, el espacio industrial se toma la seguridad muy en serio y el mercado de infraestructuras críticas está muy regulado, lo que ha ejercido mucha presión en el desarrollo de estas normas. Desde el punto de vista de la PKI, esto ha dado lugar a una explosión de RFP y RFI para elaborar nuevas normas, pero la mayoría de las organizaciones aún no tienen una idea clara de lo que es más relevante en estas normas.
Por ejemplo, veamos un intercambio de datos de medición de electricidad que utiliza la norma IEC 62056 IEC 62056. Si la norma consta de 24 partes y no se sabe qué parte es relevante para la PKI, habrá que revisar las 24 partes para documentar la conformidad.
En última instancia, esto conduce a más protocolos y más modos de protocolo, nuevos tipos de CA y perfiles más complejos con "más opciones", lo que crea aún más opciones y más que gestionar a la hora de desarrollar y cumplir estas normas.
Integración de ecosistemas complejos
Cuando se quiere integrar plenamente en un ecosistema, puede acabar resultando bastante complejo en ciertos casos, y eso le ha valido un puesto en la lista de PKI duras de este año.
Una cosa que siempre surge cuando se desarrolla un nuevo sistema complejo o se empieza a integrar en un ecosistema es que se pueden desarrollar los conceptos y la funcionalidad iniciales con bastante rapidez, pero una vez que se pasa a producción, cada grupo de usuarios quiere hacer las cosas de forma diferente y de repente hay que tener en cuenta numerosos detalles y casos de uso nuevos.
Este tipo de integración es algo en lo que nuestro equipo ha estado trabajando mucho en el último año para poder dar soporte completo y fusionarse en un ecosistema Microsoft (aunque es útil que Microsoft tenga una implementación de referencia que se pueda imitar, aunque sea bastante detallada).
En lo que respecta a la integración del ecosistema Microsoft, nuestro equipo se ha centrado en dos áreas principales durante el último año: Native inscripción automática de Microsoft y Azure Intune de Azure Intune.
He aquí un resumen de lo que se ha hecho:
- Afiliación automática de Microsoft: Nuestro equipo ha estado trabajando para añadir la inscripción automática de Microsoft mediante la API de servicios web. Esto incluye alias de EJBCA que permiten múltiples configuraciones para soportar múltiples dominios y, por lo tanto, ejecutar múltiples CAs en la misma instancia.
- Inscripción en Azure Intune: También hemos añadido parámetros de Azure AD para admitir solicitudes de inscripción en Azure Intune, ya sea directamente o a través de un proxy.
- Elementos adicionales: Una vez que empezamos a pasar a producción, los usuarios empezaron a solicitar funcionalidades más allá de las áreas en las que empezamos. Esto ha dado lugar a algunos elementos adicionales en los que trabajaremos:
- Recuperación/extracción de claves para certificados de cifrado S/MIME con Intune
- Certificación de claves con módulos TPM
- Métodos de autenticación de inscripción adicionales aparte de Kerberos, como certificados de cliente o nombre de usuario/contraseña.
- Introducción de DCOM para determinados casos de uso que requieren la API antigua (frente a la API de servicios web, que cubre aproximadamente el 90% de los casos de uso).
Hardware Módulos de seguridad
Eso nos lleva a nuestro último tema hardcore de PKI: Hardware security modules (HSMs), que fueron parte de la discusión hardcore de PKI en 2018 y 2019 también.
Los HSM reaparecieron este año porque descubrimos que el fiable PKCS11 de Java que hemos utilizado durante décadas ya no es lo suficientemente ágil como para soportar la seguridad de los HSM modernos. En concreto, no proporciona suficiente control.
En respuesta, nuestro equipo ha estado trabajando en cómo aumentar el control y soportar un gran número de claves de firma dentro del HSM. Lo hemos estado haciendo a través de una interfaz directa Java P11 que también nos permite soportar EdDSA, que es una característica PKCS#11v3. Es importante destacar que la compatibilidad con EdDSA puede variar en función del HSM que se utilice, ya que muchos proveedores empezaron a admitirla antes de que se especificara oficialmente el estándar PKCS#11v3.
Al mismo tiempo, también estamos viendo cómo los HSM en la nube se están haciendo muy populares, a pesar de que mucha gente se mostró escéptica cuando estos HSM alojados externamente empezaron a surgir. Ahora, sin embargo, las organizaciones están empezando a sentirse mucho más cómodas con el alojamiento en la nube y han encontrado varias ventajas en la facilidad de uso de un HSM en la nube.
Bonus: ¿Qué no pasó el corte de "Hardcore PKI"?
Por último, pero no por ello menos importante, hay algunos temas que no pasaron el corte de la ICP hardcore, no porque no sean interesantes, sino simplemente porque no son lo suficientemente "hardcore". Echemos un vistazo a estos finalistas:
- Canalización de productos: Estamos trabajando en un ejemplo que utiliza contenedores como bloques de construcción para entregar el código fuente en un producto de usuario completo.
- Ataques a la cadena de suministro: Los ciclos de desarrollo seguros de software han sido un tema muy candente en el último año.
- Soberanía digital: Esto significa diferentes cosas para diferentes personas, pero a menudo se asocia con el uso de marcos open-source
¿Quiere saber más?
PKI es un concepto complejo y cambiante, por lo que seguiremos encontrando nuevos retos y nuevas formas de hacer las cosas a medida que evolucione la tecnología.
¿Desea obtener más información sobre los temas seleccionados este año? Haga clic aquí para ver la sesión completa sobre Hardcore PKI con Tomas Gustavsson de PrimeKey Tech Days 2021..