La criptografía es la base de la ciberseguridad, y puede proteger eficazmente de los atacantes tanto la privacidad de los consumidores como los datos sensibles. Cuando se roban datos cifrados, lo que podría haber sido una violación grave no es más que un mero incidente: algo contra lo que seguir protegiéndose, pero que tiene un impacto mínimo y puede que ni siquiera requiera divulgación pública.
OpenText™ Voltage™ SecureData utiliza algoritmos y claves criptográficas, y la gestión adecuada de las claves criptográficas es esencial para un uso eficaz del cifrado: una mala gestión de las claves puede hacer inútiles los algoritmos potentes. El Instituto Nacional de Estándares y Tecnología (NIST) publica "Recomendaciones para la gestión de claves" en la Publicación Especial 80057 (Parte 1, Revisión 5).
Voltage ofrece protección de la privacidad de los datos, neutraliza la violación de datos e impulsa el valor empresarial mediante el uso seguro de los datos.
Más informaciónEl cifrado moderno y potente nunca se descifra, pero a menudo se elude. No importa el grado de cifrado: si las claves no están bien protegidas, a un pirata informático le basta muy poco para hacerse con las joyas de la corona, con importantes repercusiones para la empresa y su reputación. La gestión de claves es tan importante como la implementación de una criptografía fuerte, y es con demasiada frecuencia el talón de Aquiles de los programas de seguridad y privacidad de los datos empresariales.
Hay dos formas de crear una clave criptográfica: generar una clave aleatoria o calcularla. Es fácil entender por qué las claves aleatorias son buenas. No hay ningún truco computacional que ayude a un atacante a adivinar un valor aleatorio que sea mejor que simplemente adivinar todos los valores posibles hasta dar con el correcto. Pero también es posible generar claves dinámicamente, de una manera tan segura como el enfoque tradicional: utilizando material semilla aleatorio generado una vez, y luego derivando claves bajo demanda basadas en la combinación de un "nombre" o un "identificador" de clave con ese material semilla.
La forma más segura de calcular una clave es utilizar una función de derivación de clave segura (KDF), cuyo resultado es una clave derivada. Las claves derivadas son tan seguras como las aleatorias, pero tienen algunas ventajas prácticas importantes. En particular, hacen que sea mucho más barato comprar, utilizar y mantener los sistemas que las emplean.
La gestión tradicional de claves conlleva una compleja secuencia: generar claves, marcarlas como "aún no utilizadas", hacer copias de seguridad de ellas, ponerlas a disposición de los usuarios, asignarles nombres, marcarlas como "en uso", desactivarlas para que dejen de estar disponibles, y mucho más, incluida la replicación, la sincronización, el archivado y la gestión de permisos. Esto es tedioso, y las instalaciones que utilizan muchas claves de cifrado descubren rápidamente que la gestión de las claves supone tanto o más trabajo que el propio cifrado.
El inconveniente del método de generación aleatoria de claves es que debes hacer una copia de seguridad de cada nueva clave antes de utilizarla para cifrar datos. Si no lo haces, los datos protegidos no podrán descifrarse si falla el almacén de claves.
Comparativamente, las claves derivadas ofrecen algunas ventajas prácticas significativas. Dado que el secreto sólo cambia raramente, las copias de seguridad son necesarias con poca frecuencia y se elimina la necesidad de toda la secuencia crear-activar-nombrar-desactivar (aparte de la autorización). Se pueden crear múltiples servidores de claves a partir de una única copia de seguridad y se garantiza que obtienen las mismas claves a partir de las mismas entradas, ya que se reutiliza el material semilla original, sin necesidad de replicación o sincronización en tiempo real. Tampoco hay riesgo de pérdida de claves: si una aplicación pierde una clave derivada, se puede volver a derivar tan fácilmente como generarla en primer lugar.
Independientemente de la solución de gestión de claves, un reto importante es garantizar que los usuarios no las manipulen indebidamente. Es fundamental desconectar a los usuarios y desarrolladores de la gestión de claves. Los equipos de aplicaciones no deben participar en el almacenamiento, la protección o la rotación de las claves de cifrado, y tampoco se les debe permitir que las posean realmente. En su lugar, se les deben proporcionar identificadores de claves y una interfaz a una capa de abstracción que automatice la generación, recuperación, almacenamiento en caché, protección y actualización de claves.
Voltage SecureData de OpenText™ implementa la gestión de claves sin estado, ofreciendo a las empresas una escala sin precedentes y una gestión de claves simplificada. Con Voltage SecureData, la gestión de claves también se abstrae, lo que significa que los desarrolladores nunca tienen claves y, por tanto, no necesitan almacenarlas. En su lugar, almacenan identidades -nombres de claves- que pueden ser cadenas significativas, como PAN, SSN, SensitiveData, etc. Los desarrolladores pueden almacenar estas identidades en archivos de propiedades sin ninguna protección, ya que no son sensibles. El software cliente SecureData se encarga de los procesos de gestión de claves: recuperación de claves, seguridad, caché, etc. Con un funcionamiento remoto basado en REST, las claves nunca se exponen fuera del servidor SecureData. SecureData permite la derivación de claves en el servidor SecureData o dentro de un HSM.
El cifrado puede ser difícil, y la gestión de claves lo es aún más; pero hay formas de facilitar la gestión de claves cumpliendo plenamente las normas más rigurosas. Voltage SecureData facilita la gestión de claves ayudando a blindar este aspecto crítico de un programa de seguridad de datos.
Proteja los datos de gran valor y manténgalos utilizables para la TI híbrida
Proteja los datos, reduzca los riesgos, mejore la conformidad y controle el acceso