Estoy buscando los pros y los contras de subcontratar la infraestructura de clave pública (PKI) de una organización. Entiendo que la respuesta a si subcontratar o no en realidad va a depender del entorno y de la organización. ¿Cuáles son los riesgos asociados con la PKI de subcontratación y hay algún problema técnico con respecto a la PKI subcontratada?
Uno de los riesgos clave a los que me he enfrentado al trabajar con bancos que subcontratan su PKI es la protección del certificado raíz. Si confía en su PKI para proteger algo que es crítico para el negocio, realmente desea que su proveedor de PKI le garantice la seguridad del certificado raíz.
Hay algunos proveedores que realmente trabajan arduamente en esto, usando muchos mecanismos para ayudar a persuadir a los clientes a que los usen. Desde la experiencia, incluyo en estas planchas de presión, escáneres de retina, llaves duales sincronizadas, trampas de personas, cobertura de video de acceso a la raíz, acceso parcial otorgado al proveedor y parte para usted, casi todo lo que usted esperaría de un genio malvado. Una película de James Bond.
Otro problema es alrededor de la conectividad: si usa la PKI para servicios en tiempo real, la pérdida de conectividad con el proveedor causará una denegación de servicio. Asegúrese de que tengan enlaces resilientes para usted y para sus clientes u otros usuarios.
El gran profesional de la externalización de la PKI es que no tiene que hacerlo usted mismo. Mantener una PKI es complejo, por lo tanto costoso; una entidad especializada puede mutualizar los costos sobre varias PKI alojadas.
Los grandes costos asociados con el mantenimiento de una PKI son:
Alojamiento físico: al menos la CA raíz debe estar en una habitación físicamente segura, y preferiblemente debe usar un Hardware Security Module , que no es la pieza de hardware más barata de la historia. El espacio de oficinas para la sala, las cámaras de video, los guardias, los perros de mal genio ... implican altos costos recurrentes. Recuerde que la clave raíz de una PKI concentra las necesidades de seguridad (así es como funciona la criptografía: la seguridad de la clave se extiende a la seguridad del conjunto), por lo que este es un objetivo de muy alto valor para los atacantes.
Procedimientos de administración: la PKI es, por naturaleza, un sistema para vincular claves públicas a identidades físicas. Esto implica, para cada inscripción de certificado, ejecutar un procedimiento mediante el cual el solicitante está físicamente identificado (con cualquier noción de identidad que sea relevante para su situación). Esto implica necesariamente algunos elementos no informáticos, por ejemplo, Interacciones entre los seres humanos. Los empleados son caros. Además, la mayoría de las operaciones que involucran una PKI deben organizarse de manera que garanticen la seguridad y la responsabilidad, por ejemplo. ceremonias clave . Simplemente definir estos procedimientos y escribirlos es un trabajo difícil.
Implementación legal: los certificados pueden tener un valor legal, y en muchos casos se están previendo precisamente por ese valor legal (por ejemplo, como una forma de reemplazar las firmas manuscritas con firmas digitales, para lograr un proceso sin papel). Saber qué hacer para obtener el valor legal es un tema altamente técnico, en el sentido de "trabajo de abogado". En algunas jurisdicciones, se necesitan evaluaciones de Criterios comunes .
Por lo tanto, mi consejo sería externalizar "por defecto". La complejidad inherente a una PKI segura ("segura" en sentido criptográfico y legal) casi siempre se subestima ampliamente.
La infraestructura PKI podría ayudarlo a salir.
No estoy exactamente seguro de cuáles son sus requisitos, pero podría insistir en generar un certificado raíz por unos 10 o 20 años, y publicar sus CRL para clientes, y luego generar "sub CAs" de firma de clave para delegar específicas Tareas de firma de claves con limitaciones específicas en la firma de claves, como la longitud de la clave, el tipo de claves a firmar, el período de tiempo máximo, etc. (consulte los detalles de x509).
De esa manera, a través de la delegación, el propietario está en usted para proteger la CA raíz, y si en cualquier momento desea revocar la delegación, puede publicar las CRL para las CA delegadas.
Ahora, usted tiene el control definitivo y podría configurar una CA raíz fuera de línea, y solo se necesitan las cadenas de certificados y CA públicas.
De esta manera, aún pueden realizar su trabajo subcontratado, pero usted conserva el control sobre las llaves del castillo para hablar.
Lea otras preguntas en las etiquetas public-key-infrastructure key-management cryptography outsourcing