DESBLOQUEANDO LA GESTIÓN DE CLAVES DE CIFRADO

encryption key

DESBLOQUEANDO LA GESTIÓN DE CLAVES DE CIFRADO

Cualquier comunicación cifrada es tan segura como las claves utilizadas por el sistema que las bloqueó. Si las claves se ven comprometidas por hackers, negligencia u otros medios, entonces cualquier comunicación que use esas claves puede descifrarse. Entonces, ¿cómo se pueden proteger estas claves?

Según un reciente estudio de la Tendencia de Cifrado Global de Ponemon en 2016 (Ponemon 2016 Global Encryption Trend Study), el 67% de los profesionales de TI calificaron a la administración de claves como una de las características más importantes de una solución de cifrado. A medida que más organizaciones utilizan soluciones de cifrado, también terminan con más claves y más variedades de claves. La gestión exitosa de estas claves de cifrado es fundamental para la seguridad de sus datos privados.

Cómo se administran las claves de cifrado hoy
La Infraestructura de Claves Públicas – PKI (Public Key Infrastructure) es un tipo de sistema de administración de claves que usa certificados digitales para proporcionar autenticación y claves públicas para habilitar el cifrado. Las PKI usan una clase específica de algoritmos de cifrado, llamada cifrado asimétrico. Esto implica dos claves, una que cifra los datos (la clave pública) y otra que descifra los datos (la clave privada).

La ventaja de usar algoritmos asimétricos es que la clave pública se puede distribuir a cualquier persona sin riesgo de descifrar ninguno de los datos. Solo la clave privada es capaz de descifrar los datos. Como solo se descifra la clave privada, no tiene que estar ampliamente disponible y puede guardarse en un lugar seguro. Las claves públicas a menudo se almacenan en directorios para que otros usuarios las recuperen, mientras que las claves privadas se guardan en almacenes de claves accesibles solo para el propietario de la llave.

Otro componente importante de una PKI es su capacidad de validar la autenticidad de la clave pública. Garantiza que cualquier comunicación cifrada con una clave pública solo se pueda descifrar con la clave privada correspondiente.

¿Cómo puede uno estar seguro de “quién” tiene la llave?
Tal vez un hacker ha modificado un directorio e inyectado su clave pública. Para evitar que esto ocurra, se incorpora una clave pública en un certificado. Piensa en ello como un proceso de investigación. Un certificado generalmente contiene información sobre para quién es la clave pública (una dirección de correo electrónico, el apodo del propietario o un nombre de dominio) y está firmada digitalmente por una autoridad certificadora (CA). Imagina un certificado en papel con la clave pública vinculada a él. Existe el nombre y la información sobre el propietario de la clave, además del nombre y la firma de la persona que lo emitió.
La CA es una parte mutuamente confiable. Cuando dos partes tienen las claves públicas de los demás, pueden confiar en la CA para garantizar que la comunicación encriptada solo pueda descifrarse entre ellas. Si Alice quiere enviar un mensaje a Bob y no confía directamente en él, utiliza una CA para confirmar que la clave pertenece a Bob.

Presentamos la recuperación/depósito de claves
Las claves privadas, utilizadas para descifrar mensajes de correo electrónico, deben almacenarse de forma segura. El método más simple es usar una contraseña para cifrar la clave privada. Si bien es sabido que las contraseñas débiles se pueden romper fácilmente, una contraseña fuerte y única es tan buena como casi cualquier otro tipo de cifrado.

Pero, ¿qué sucede cuando un usuario olvida su contraseña o pierde su clave debido a una falla de hardware?

Esto es cuando se usa recuperación de clave o depósito de claves. Una forma de lograr esto es usar un algoritmo secreto para compartir. El intercambio secreto es cuando una parte de los datos se divide en varias partes para que ninguna de ellas sea suficiente para determinar cuáles son los datos originales. En una PKI, la clave privada se puede dividir de esta manera. Cada parte clave se cifra para un individuo único, y la única forma de recuperar la clave privada es que todos o algunos de los titulares de la parte clave acuerden realizar la recuperación de la clave. Una vez que la clave ha sido recuperada, puede ser entregada de forma segura al usuario. Este método evita que cualquier persona obtenga acceso a la clave privada.

Las PKI han revolucionado el mundo al permitir una comunicación segura entre las partes, ya sea en la banca web, el comercio electrónico o el correo electrónico seguro. Desafortunadamente, es más fácil decirlo que hacerlo para la mayoría. El mismo estudio de Ponemon encontró que el 53% de los encuestados calificaron a la gestión de claves como un alto nivel de dolor.

Facilitar la gestión de claves
A medida que el uso del cifrado de correo electrónico continúa ampliándose y diversificándose en la forma en que se utiliza, los equipos de seguridad buscan eliminar las islas de cifrado creadas y adquiridas a lo largo de los años.

Este enfoque está ayudando a mitigar algunos de los desafíos históricos de la gestión de claves: la falta de propiedad en la función de gestión de claves, la escasez de personal capacitado, los sistemas aislados y fragmentados, y las herramientas de gestión inadecuadas.

Es un movimiento que será bienvenido en todas las industrias. La paradoja en el sector de seguridad actual es que cuanto más avanzado es el vector de amenaza, más simple es la solución que necesitamos como usuarios para gestionar el problema. Los empleados de las organizaciones siempre buscarán soluciones menos seguras, por lo que la creación de cifrados y sistemas de administración de claves más eficientes, fáciles de administrar y compatibles con la nube, ayudará a llevar la protección de nuestros datos privados al siguiente nivel y dejará a los piratas informáticos recolectar polvo.

Para obtener más información acerca de cómo los equipos de seguridad están modernizando las operaciones, reduciendo el costo de la entrega de servicios e impulsando la productividad del usuario al simplificar el cifrado de correo electrónico de su organización y los sistemas de administración de claves:

• Leer nuestro WHITE PAPER | Migrando PGP a la Nube
• Descarga nuestro TECH BRIEF | Métodos Cifrados de Envío Echoworx

Por John Fleming, Arquitecto Senior, Echoworx