PKI Abre las puertas
Aunque se asocia tradicionalmente con acceso lógico y firma digital de documentos, PKI también se utiliza actualmente para controlar accesos físicos.
Public Key Infrastructure (PKI) se está convirtiendo rápidamente en una de las herramientas principales de control de accesos físicos, gracias en gran medida a FIPS 201, las prescripciones de control de acceso físico dictadas por el gobierno estadounidense, en las que se recomienda el uso de PKI para las puertas. Y si desde 2005 eran simplemente recomendaciones, se espera que a finales de este año su uso pase a ser obligatorio con la aprobación de FIPS 201-2.
FIPS ofrece estándares no sólo para la información que se debe almacenar en una tarjeta de identificación, sino que también propone mejores prácticas para verificar si la credencial es auténtica y si está en manos de la persona adecuada, explica Kevin Graebel, manager de producto de credenciales HID en HID Global – líderes en la fabricación de soluciones de control de acceso lógico y físico -. “Se instala en la tarjeta un certificado digital con los niveles de acceso/información clave del usuario. Entonces el proceso de PKI envía dicha información por medio de un puente electrónico a una autoridad federal certificada, asegurándose de que el acceso no ha sido rechazado ni ha habido manipulación alguna de la información.”
Acceso a PKI
En esencia, PKI parte del uso de un par de claves matemáticas enlazadas entre sí, una de ellas privada y la otra pública. Al enlazarlas, nos aseguramos de que la información procesada con una clave sólo se puede descodificar o validar usando la otra clave.
“El beneficio principal de un sistema de acceso basado en PKI es que no depende de una clave secreta compartida, sino que utiliza un par de claves asimétricas”, dice Graebel. “En sistemas de acceso tradicionales, el lector y la tarjeta comparten una clave simétrica que utilizan para autenticarse entre sí. Esto requiere un alto grado de coordinación entre las tarjetas y los lectores, sobre todo en el caso de que las tarjetas se utilicen en más de un lugar. Usando PKI, basta con compartir la clave pública de la tarjeta, y en caso de infracción se puede rechazar o cambiar con facilidad. La clave privada queda almacenada de forma segura en el interior de la tarjeta.”
Los muchos avances realizados en el uso de PKIs han conducido a una eficiencia e interoperabilidad que hacen de ella la opción natural no sólo para el control de accesos físico, sino también para el lógico. “Un organismo puede utilizar una única tarjeta inteligente PKI, como la tarjeta PIV (Personal Identity Verification), para el acceso físico a un edificio y a determinadas habitaciones, y para el acceso lógico a terminales, servidores, VPNs (redes privadas virtuales), etc.”, apunta Dave Coombs, director de Estándares y Política relativos a PKI de Carillon Information Security, una firma canadiense de asesoría para la gestión de identidad aeroespacial y transporte aéreo. “Ello reduce la complejidad de la gestión del control de accesos: la provisión manual o la retirada de acceso a un individuo en un montón de sistemas distintos queda sustituida por la emisión o revocación de una única credencial.”
Lo que es más, los últimos avances en interoperabilidad permiten a un organismo que utiliza tarjetas PIV conocer la identidad de un visitante a partir de una tarjeta PIV de una organización completamente distinta.
Pero a pesar de lo prometedor de PKI, puede haber desventajas, entre ellas los costes y la velocidad. “Como mínimo, los organismos deberán crear o contar con un acceso a una Autoridad Certificadora que gestione la emisión y validación de certificados”, dice Graebel. “Dependiendo de cómo se implemente esto, puede ser necesario volver a cablear y actualizar todos los lectores, con el consiguiente coste.”
Tiempo perdido
La velocidad también supone un “cuello de botella” para el control de accesos físicos. Por motivos relacionados con la durabilidad y el vandalismo, es más práctico usar comunicación sin contacto que con él entre la tarjeta y el lector; de ese modo, la comunicación puede tardar a lo sumo 1,5 ó 2 segundos. Lo cual puede parecer muy poco tiempo, pero cuando el usuario está acostumbrado a una fracción de segundo – que es el tiempo de lectura que ofrecen tecnologías como Prox o iCLASS -, pueden surgir problemas.
“Una desventaja que se suele mencionar es la supuesta lentitud de PKI en la puerta”, comenta Coombs. “Esto se puede mitigar almacenando de manera temporal información referente a revocación o respuestas de OCSP (Online Certificate Status Protocol), o incluso pre-validando cada mañana todas las credenciales que se usaron en un lugar determinado el día anterior.” Coombs predice que en los próximos años “cada vez habrá más organismos públicos y privados que sigan este camino, sobre todo teniendo en cuenta el trabajo que se está realizando ahora mismo en Estados Unidos.”
Por supuesto, muchos países han estado desarrollando paralelamente sus propias metodologías de PKI.
Así, el gobierno francés emite credenciales PKI a sus ciudadanos todos los años para archivar sus declaraciones fiscales, y su RGS (Référentiel Général de Sécurité) incluye recomendaciones sobre cómo asegurar sistemas informáticos de gran escala utilizando PKI. “Los belgas han hecho algo similar con su tarjeta eID”, dice Coombs. “Es una tarjeta inteligente compatible con PKI que se emite para que los ciudadanos belgas puedan autenticar su acceso a sistemas del gobierno y programas online.”
Por su parte, el gobierno alemán está liderando el camino de la implementación de una directiva de la Unión Europea que propone certificados de “firma cualificada”, que sería el único tipo de firma digital con validez legal en Europa.
Es preciso añadir que estas iniciativas europeas sólo atañen al control de accesos lógico y a los sistemas informáticos, y que PKI aún está en su infancia como posible sistema de control de accesos físicos. En estos momentos, muy pocos organismos públicos se decantan por PKI para su control de accesos físicos, debido a su novedad y a su relativa complejidad, afirma Graebel. “Sospecho que se irá haciendo más común a medida que se vaya implementando FIPS 201-2 y surja en el mercado una mayor variedad de productos compatibles con PKI.”
Por Derek Scheip
www.assaabloyfuturelab.com