Asociaciones

La PKI se utiliza para identificar a los dispositivos que entran en una red y proporcionar un medio seguro de comunicación entre ellos. Los dispositivos reciben una credencial criptográfica (un certificado digital) que identifica al aparato y a su fabricante.

Los nombres de usuario y las contraseñas se diseñaron para los usuarios humanos, pero entrañan numerosos problemas de seguridad, especialmente cuando entra en juego la gestión de la seguridad a media y gran escala. Introducir un nombre de usuario y una contraseña para 10 dispositivos es una labor asumible, pero hacerlo para 10 000 no lo es. Además, las contraseñas pueden correr más peligro que los certificados digitales.

Los certificados de pruebas solo se pueden utilizar dentro de un entorno de pruebas. Estos certificados se generan usando el mismo formato y algoritmos que la PKI de producción, pero carecen de la documentación y la seguridad rigurosa necesarias para una PKI de producción. El propósito de estos certificados es someter a pruebas a las funciones antes de que los dispositivos pasen a producción. En el caso de las empresas, es recomendable usar una PKI para realizar pruebas antes de pasar a producción.

La autoridad de políticas (Policy Authority, PA) suele ser el propietario de la implementación de PKI y su cometido es definir las políticas y los requisitos para las entidades y los dispositivos que formarán parte del ecosistema. La PA puede ser un grupo de normas o un gran fabricante.

La autoridad de registro (Registration Authority, RA) actúa en nombre de la PA para implementar y aplicar las políticas y los requisitos de la PKI en el ecosistema en cuestión. La RA verificará la información de la empresa y la identidad de los usuarios que se registran en el ecosistema. Además, comprobará el estado del certificado (si procede) de las empresas y los productos que se conectarán al ecosistema. La RA es la gestión administrativa de la PKI del ecosistema.

Una autoridad de certificación (Certificate Authority, CA) actúa en coordinación con la RA para implementar la PKI y la infraestructura de seguridad a fin de crear los certificados digitales que los miembros del ecosistema usarán para tener acceso a él. La CA es la función de operaciones e ingeniería de la PKI del ecosistema.

Podría hacerlo usted, pero los certificados SSL/TLS se han diseñado para el caso de uso concreto de la autenticación navegador-servidor para el comercio web, no para la seguridad de los dispositivos del IoT. Estos certificados tienen una duración breve (de uno a dos años) y suelen usar el cifrado RSA, que emplea longitudes de clave de 2048 o 4096 bits. Los dispositivos de IoT por lo general no tienen la capacidad de almacenamiento ni la potencia informática para estos tipos de certificados y suelen usar criptografía de curva elíptica (Elliptic Curve Cryptography, ECC), que produce longitudes de clave mucho más cortas. ECC con una longitud de clave de 256 bits equivale, a grandes rasgos, a RSA con claves de 3072 bits.

La PKI se diseñó teniendo en cuenta la escalabilidad. Por ejemplo, el sector de la televisión por cable ha utilizado la PKI desde hace casi 20 años en cientos de millones de dispositivos. Estos certificados de PKI se usan para verificarlo todo de manera criptográfica: desde el cumplimiento de estándares DOCSIS a la elegibilidad de los usuarios para disfrutar de ciertos servicios. A diferencia de las claves simétricas que se utilizan en el sector móvil, la PKI requiere una estructura de gestión de claves bastante simple, incluso para grandes ecosistemas multiproveedor que contienen millones de dispositivos.

Los certificados de raíz públicos se usan para certificados SSL/TLS en los que se tiene un ecosistema público/abierto como el World Wide Web para navegadores web y hosts de web. Los certificados de raíz privados se crean por grupos de estándares o empresas privadas en las que el acceso al ecosistema está cerrado o restringido en función de si se cumplen unos requisitos determinados. Dependiendo del ecosistema, las pruebas de certificación de cumplimiento se pueden exigir antes de recibir certificados que permitan el acceso a los ecosistemas de PKI privados.

La respuesta a esta pregunta depende de sus recursos internos y los requisitos de política de seguridad de la PA. En la mayoría de los casos, es mucho más económico y seguro externalizar las operaciones de PKI a una empresa especializada en esta función. Implementar y operar una PKI correctamente exige una cantidad considerable de documentación y gestión de procesos para garantizar un acceso debidamente controlado a las claves de firma y los sistemas de generación de certificados. En algunos ecosistemas, el envío a auditores externos es obligatorio a fin de proporcionar pruebas de cumplimiento con la política de seguridad. Para la mayoría de las empresas, esta función supondría unos gastos considerables y prolongados en el tiempo, por eso tantas externalizan la PKI.

Las conexiones de red entre dos entidades rara vez son directas. Casi siempre, las conexiones se efectúan en varios «saltos» entre servidores y van cambiando entre las dos partes. Muchas veces, la conexión entre «saltos» está cifrada y protegida, pero en cada «salto» los datos se descifran, se vuelven a cifrar y se envían al siguiente «salto». La seguridad y el cifrado integral implica un capa por encima de la capa de red/TLS, donde se produce la autenticación adicional. Así, la capa de cifrado se establece entre los dos puntos de conexión. Mientras están en tránsito, los datos se cifran por partida doble de forma que incluso cuando se descifran en cada «salto», sigue habiendo otra capa de cifrado.

Los términos «cifrado» y «seguridad» a menudo se usan indistintamente, pero son bastante diferentes. El cifrado tiene una función criptográfica muy concreta, que es impedir la interceptación en transmisiones entre partes. Lo que no hace bien el cifrado es identificar con quién se está comunicando alguien. La autenticación realiza una función criptográfica independiente, que es verificar la identidad. Usando una PKI (arriba), se puede establecer una cadena de confianza de firmas digitales para que, cuando un dispositivo presente su certificado, usted pueda tener la seguridad criptográfica de saber con quién se comunica el dispositivo.

Una de las ventajas principales de una PKI gestionada es que cada certificado es identificable de manera única, y el control de acceso se puede administrar de manera descendente hasta llegar al dispositivo concreto. La revocación y la gestión individual de los dispositivos representan una de las principales ventajas de usar una PKI gestionada.

Una política de certificación (CP) es un documento que describe los requisitos de seguridad y proceso en torno a la gestión de la PKI de un ecosistema. La CP lo especifica todo, desde el formato de los certificados (perfil de certificado) a la seguridad física que interviene en la protección de la raíz y las claves privadas por debajo de la CA. Además, la CP define el proceso y los requisitos en torno a la revocación de los certificados, así como la validez y la duración del certificado. El propósito de una CP es garantizar que un conjunto coherente de políticas y procedimientos se pueda aplicar entre todos los miembros de un ecosistema; y que esa conformidad con los procesos se pueda auditar y verificar de manera independiente.

La criptoagilidad es la capacidad de aplicar buenas prácticas de seguridad en una amplia variedad de aplicaciones y sectores. Cada caso y cada sector vertical tiene sus propios requisitos de fabricación, cadena de suministros y necesidades del mercado.

Como si se tratase de un pasaporte o del carné de conducir, un certificado digital proporciona una prueba de identidad y una forma de control de acceso. De forma similar, estas credenciales tienen una validez limitada, por lo que caducarán tras un periodo de tiempo determinado y exigirán que el portador vuelva a confirmar su identidad y certifique su conformidad con las especificaciones antes de que se emitan unas nuevas credenciales; parecido al modo en que la DGT le exige renovar el carné de conducir. La gestión de la emisión y la renovación de los certificados digitales es fundamental para el mantenimiento de la integridad del ecosistema.

La PKI es una forma de exigir el cumplimiento de los requisitos del ecosistema. En muchos ecosistemas, no es posible acceder a la PKI de producción y recibir certificados hasta que su empresa y el producto hayan pasado las pruebas para recibir la certificación. De este modo, el certificado digital no solo sirve como prueba de identidad para un dispositivo; también sirve como prueba de conformidad con la especificación. Además, es muy probable que un solo dispositivo lleve varios certificados que se utilizan para verificar la identidad o la elegibilidad para diferentes servicios.

Kyrio y Sectigo colaboran de manera estratégica para combinar las fortalezas de la experiencia de Kyrio en la gestión de los ecosistemas y la fabricación de hardware, con la gran infraestructura de seguridad y certificados de Sectigo.

La alianza entre Kyrio y Sectigo permite a los fabricantes de dispositivos implementar en su ecosistema de redes una buena seguridad que esté en consonancia con los flujos de fabricación existentes. El uso de la PKI existente de Kyrio permite a los fabricantes implementar certificados en sus dispositivos para disfrutar de una sólida seguridad basada en autenticación, pero sin tener que asumir el coste de crear y albergar su propia PKI para ello.

Sí, Kyrio será su punto de contacto principal.

Sí, Kyrio será su punto de contacto principal.

Kyrio será el punto de contacto principal, diríjase a la dirección pkiops@kyrio.com. Sin embargo, para recibir asistencia técnica para el portal de producción, Sectigo está disponible fuera del horario de atención para garantizar la continuidad de la generación de certificados para producción.