Con brechas de seguridad apareciendo de forma diaria, existe por parte de las empresas y usuarios una mayor necesidad de mantener blindadas las transacciones y comunicaciones a través de Internet. El cifrado es una forma de conseguirlo.
Una infraestructura de clave pública (PKI) consigue justo esto, combinando para ellos diversas tecnologías para proporcionar seguridad a la vez que confianza a aplicaciones de comercio electrónico y similares. Los dos productos que revisaremos en este artículo son UniCERT de Baltimore y Keon de RSA Security.
El UniCERT está dispuesto alrededor de tres capas principales, a las que la compañía se refiere como «tecnología de núcleo», «avanzada» y «extendida». El núcleo está a su vez dividido en varios módulos que se encargan de la infraestructura inicial necesaria para mantener una PKI. El más importante de éstos es el Certificate Autority (CA) donde se centra toda la confianza de una transacción utilizando la PKI.
Ésta recibe las peticiones de certificados de las «entidades registradoras» (registration authorities) y las acepta o rechaza. Si éstas son aceptadas, se almacenan en el Archive Server. De igual forma se encarga de la generación de claves.
Junto a la CA encontramos al controlador de la CA (Certificate Authority Officer, o CAO) quien vigila y maneja los privilegios solicitados desde otros módulos de UniCERT. Todos los mensajes enviados por el CAO se firman digitalmente para asegurar su autenticidad.
A continuación se encuentra el método para emitir y aprobar los certificados digitales, trabajo de las autoridades de registro (Registration Authorities o RA) y los operadores de éstas (RAO). Finalmente encontramos la Gateway o pasarela, última responsable de recibir las solicitudes de certificados así como información cifrada para reenviarla por correo, Internet o un túnel VPN (red privada virtual).
Alrededor del núcleo del sistema de UniCERT se encuentra lo que Baltimore se refiere como «tecnología avanzada» o segunda capa. Ésta consiste en el archivo de claves (Key Archive Server o KAS), el módulo avanzado de registro (Advanced Registration Module o ARM), el módulo avanzado de publicación (Advanced Publishing Module o APM), el WebRAO y el sistema de despliegue de certificados.
Con ellos se le proporciona a los operadores la capacidad de aprobar o rechazar certificados, almacenar y mantener la claves, y en general configurar el alcance de la PKI. Todo ello utilizando un browser web o una simple interfaz. Como suplemento, también podemos utilizar el soporte completo de Directorio Activo de Microsoft del que UniCERT goza.
La interfaz utilizada por UniCERT es excelente y probablemente nos dará menos quebraderos de cabeza que su alternativa Keon. Con ella, los operadores pueden dibujar (literalmente) la estructura de la PKI en pantalla al completo, con los enlaces entre la CA, CAO, RA y RAO. También disponemos de una ventana de diálogo que permite definir los certificados utilizando el editor de políticas.
Finalmente, la «tecnología extendida» (tercera capa) incluye algunas funciones que en principio podíamos haber olvidado. Disponemos del Timestamp Server que está ahí para validar que un certificado en particular existía en un determinado momento en el tiempo (una característica especialmente útil para auditar políticas).
El Attribute Certificate Server permite al operador asignar privilegios y roles más específicos a cualquier certificado normal. Aunque esta función puede que no se utilice en una empresa de forma habitual, incrementa de forma asombrosa la flexibilidad de los certificados digitales.
Hasta hace poco la solución de RSA, Keon, se centraba entorno a dos componentes principales el Keon Certificate Server y Keon Advanced PKI. Para ser sinceros, si tuviéramos que implantar un sistema PKI ideal valdría la pena considerar la combinación de la oferta de Baltimore con el Advanced PKI de RSA. De todas formas, desde la adquisición de Xcert Internacional en febrero de este año, RSA ha añadido más funcionalidad a su ya sustancial oferta. Obviamente, la compañía se dio cuenta de la debilidad de su CA -comparada con la fiera rival Baltimore- y tomó las medidas oportunas.
Como resultado, el Xcert Sentry se ha introducido directamente en la familia Keon y ahora se conoce como la RSA Keon Certificate Authority que, similar a la UniCERT CA, es la responsable de gestionar y validar certificados digitales. Incluye un servidor Simple Certificate Enrolment Protocol (SCEPT) que proporciona acceso a los certificados a dispositivos compatibles con el protocolo, generalmente de VPN.
También puede publicar en cualquier directorio LDAP (protocolo de acceso ligero) y similar al Timestamp Server de Baltimore, y se incluye el Online Certificate Status Protocol (OCSP) que confirma la validez de un certificado específico.
Mientras el Security Server proporciona una gestión centralizada de los credenciales de los usuarios, Keon Desktop es la aplicación cliente que se comunica con el Security Server. Soporta diversos métodos de cifrado que quedan completamente integrados dentro del sistema operativo a través de Windows Explorer. Carpetas protegidas por el software permiten que el usuario cifre de forma transparente ficheros simplemente moviéndolos a dicha carpeta. Ficheros auto-extraíbles pueden enviarse a otros usuarios que no utilicen la aplicación y descifrados utilizando una clave compartida.
A través del servicio Local Security Service, el Desktop muestra una nueva ventana en lugar del convencional login de Windows para introducir el nombre de usuario y password o código SecureID.
Cuando esta información es verificada por el Security Server, el Desktop abre la Smartcard o Virtual Card y comienza a comunicarse con otros componentes del sistema, permitiendo que los servicios de Keon estén disponibles para el usuario.
El Desktop puede configurarse para un login integrado, donde la misma ventana de entrada permite al usuario acceder a la cuenta del sistema operativo y los servicios de Keon. Para el resto de credenciales la propia aplicación se encarga de pedir la Smartcard o Virtual Card según sean necesarias.
Tan pronto como se introduce el nombre de usuario, el Desktop se comunica con el Security Server para comprobar si éste dispone de la versión más reciente de la Virtual Card de ese usuario. Si no es así, ésta se descarga automáticamente. La tecnología también es útil para trabajadores remotos que necesitan PKI en sus portátiles pero no están siempre disponibles ante el Security Server.
En el corazón de esta tecnología se encuentra el Common Credential Store, que es un almacén seguro que mantiene los certificados X.509, las llaves privadas asociadas, una clave para cifrado simétrico de ficheros e información para la autenticación del sistema operativo.
Todo en uno, es un método ideal para asegurar datos confidenciales cuando estamos fuera, en la carretera, en casa o cuando un cracker hubiera conseguido entrar en nuestro ordenador.
La última vez que revisamos estos productos llegamos a la conclusión de que lo mejor era combinar las dos ofertas y compartir el UniCERT de Baltimore con el Keon Security Server y Desktop. Sin embargo, desde la inversión de RSA en Xcert International, esto ya no es tan imprescindible.
Ambos productos muestran un gran potencial y ayudarán a mejorar la seguridad de nuestra empresa, así como la confianza de nuestros colaboradores a la hora de hacer negocios. Como todos ya sabemos, la seguridad es algo que no puede ser tomado a la ligera.
