¿Por qué hablamos de seguridad?
La "garantía" en el ámbito de la PKI suele ser uno de esos temas que casi con toda seguridad llevan a una reunión de diseño de PKI a una madriguera de conejos. Y, por desgracia, muchos clientes prefieren la píldora azul, en lugar de comprometerse con un esfuerzo acorde con un examen riguroso del riesgo, el impacto y la garantía en el espacio de los certificados.
Francamente, no les culpo. La realidad es que la mayoría de la gente simplemente necesita que los certificados "funcionen". Es decir, la gente necesita marcar la casilla que confirma que en su entorno se utiliza actualmente algún vestigio de autenticación basada en certificados. Normalmente, esto se hace en respuesta a una auditoría de cumplimiento, lo cual es comprensible.
Pero, ¿de qué sirve un certificado sin ninguna garantía? Si un certificado es incapaz de articular el grado de confianza que se le debe otorgar, o cómo se debe utilizar, o(lo que quizá sea más importante) cómo no se debe utilizar, entonces ¿exactamente qué utilidad tiene ese certificado?
Los certificados no tienen sentido sin una política
A menudo les digo a los clientes que los certificados que no transmiten una política no ofrecen a los propietarios de las aplicaciones ni a las partes usuarias la oportunidad de discernir qué debe ser capaz de autenticar un determinado certificado o cómo debe utilizarse. Por ejemplo, ¿debería utilizarse cualquier certificado de usuario con fines de no repudio? La mayoría diría que no, pero para determinar qué certificados deben utilizarse con fines de no repudio habría que hablar de política de certificados. Y ahí es donde las cosas empiezan a complicarse.
Considero que cualquier certificado que carezca de política es un certificado incapaz de transmitir un nivel específico de garantía. Pero designar un nivel de garantía es algo más que un apelativo arbitrario. Especificar niveles de garantía es más parecido a contar una historia. Contar esa historia de fiabilidad y garantía es una tarea que corresponde al arquitecto de la PKI. Es una historia que se articula en el lenguaje de las Políticas de Certificación, las Declaraciones de Prácticas de Certificación y los procesos operativos conformes. Como arquitecto de PKI, considero que la política es un tema central fundamental en mi enfoque filosófico del diseño y la arquitectura de PKI.
Qué significa seguridad
La garantía se define comúnmente como la confianza que una parte que confía puede tener en que el sujeto que figura en un certificado es de hecho el que presenta un certificado determinado. Aunque la mayoría de los clientes pueden identificarse fácilmente con esta afirmación, esto significa que las definiciones corporativas de garantía deben hacerse tangibles. La garantía debe describirse de forma que todos puedan entenderla y aceptarla fácilmente.
PKI acaba de hacerse realidad.
Entonces, ¿por dónde empezamos en esa descripción de la garantía? En mi opinión, un buen punto de partida para una conversación basada en la garantía es elaborar una lista de los posibles riesgos asociados al uso indebido de los certificados. En otras palabras, ¿cuáles son las cosas malas que podrían ocurrir en caso de que se emitiera y utilizara un certificado malicioso o mal configurado desde una PKI interna? La lista podría ser la siguiente:
- Daños a la reputación
- Pérdidas financieras
- Daño al producto o a la empresa
- Divulgación de información sensible
- Seguridad personal
- Infracciones civiles y penales
El refinamiento de esta lista de impacto en niveles de impacto Alto/Medio/Bajo permite a los clientes asignar fácilmente cualquier caso de uso de certificado a un conjunto de niveles de impacto definidos. Por ejemplo...
- Nivel 1 - Poca confianza en la identidad declarada
- Nivel 2 - Confianza media en la identidad afirmada
- Nivel 3 - Confianza alta en la identidad afirmada
El desarrollo de una matriz exhaustiva de riesgo/impacto que detalle el daño potencial frente a los niveles de impacto permite a los equipos de riesgos corporativos asignar requisitos de garantía no arbitrarios a cualquier caso de uso de certificado, política de certificados y requisitos de diseño de PKI.
Nota: Este proceso se describe bastante bien en la Oficina de Gestión y Presupuesto del Gobierno Federal de EE.UU.: https://georgewbush-whitehouse.archives.gov/omb/memoranda/fy04/m04-04.pdf.
Asignar valores no arbitrarios a los niveles de garantía es clave para estandarizar las conversaciones basadas en riesgos y garantías dentro de una empresa. Esto permite a los propietarios de las aplicaciones y de las políticas de certificación asignar con precisión el riesgo a niveles de garantía bien comprendidos. El desarrollo de un entendimiento común de la garantía permite a todas las partes seleccionar correctamente las CA adecuadas y los procesos de ciclo de vida de certificados apropiados para satisfacer sus necesidades de certificados.
Como se puede imaginar, desarrollar esta comprensión común del riesgo, el impacto y la garantía no es una tarea trivial. Requiere conocimientos en múltiples disciplinas diferentes, como PKI, riesgo y cumplimiento. A menudo, lograrlo con éxito requiere un esfuerzo de equipo. Y, por desgracia, este nivel de esfuerzo es poco frecuente.
La mayoría de las veces, los administradores sólo quieren certificados.
Qué significa la falta de garantías
Yo diría que en muchos casos (más de los que me gustaría admitir) la política y la garantía son consideraciones secundarias cuando un cliente pregunta por un diseño de PKI. En la gran mayoría de los diseños de ICP, me preguntan por la firma, el intercambio de claves u otros algoritmos criptográficos. Pero la política rara vez está en el primer plano de estas discusiones.
Sin una política de certificados afirmada no puede haber una reivindicación legítima de ningún nivel específico de garantía. Es esta falta de orientación la que permite que el uso de cualquier certificado, emitido en cualquier circunstancia, se considere útil para cualquier aplicación.
No es lo ideal, por no decir otra cosa.
Este tipo de anarquía criptográfica permitiría utilizar los certificados menos seguros para proteger los activos corporativos más valiosos. ¿Por qué no? ¿Quién puede decir lo contrario? Piénselo así, ¿alguien confiaría en un certificado de usuario inscrito automáticamente para proteger la fórmula secreta utilizada por la empresa?
La falta de una política de certificados significa que no hay seguridad, y la falta de seguridad a menudo conlleva riesgos. No sólo porque los certificados pueden usarse en situaciones en las que claramente no deberían usarse, sino porque el mero uso de certificados imparte lo que a menudo es una falsa sensación de seguridad. De hecho, los certificados digitales implementados para mejorar la postura de seguridad de una empresa podrían empeorar las cosas dependiendo de cómo se diseñe y opere la PKI.
Por estas razones, considero que la creación de una Política de Certificación significativa y adecuadamente detallada es un tema central a la hora de diseñar una PKI corporativa. La capacidad de prescribir operaciones de certificación frente a las capacidades técnicas de garantía de certificados es clave para evaluar con precisión el riesgo relacionado con la PKI y verificar su cumplimiento.