¿Qué es la gestión de claves?
La gestión de claves es el proceso de controlar el acceso y verificar claves en un sistema criptográfico. En criptografía, la información se codifica utilizando un cifrador. Este cifrado mezcla la información de una manera muy específica que permite a cualquier persona con la clave adecuada descifrar los datos y devolverlos a su forma original. La gestión adecuada de las claves es esencial para mantener las claves en lugares donde deben estar y verificar que las claves sean correctas antes de decodificar la información.
Las claves son el eslabón más débil en un sistema criptográfico. Es posible crear un código que sea tan tortuoso o complejo que nunca se rompa, pero si nadie puede descifrarlo, se pierde toda la información codificada. Para que el código funcione correctamente, necesita una clave. Cualquier lugar donde el código necesite decodificación requiere una copia del mismo, y cada una de esas ubicaciones es un lugar donde se puede abusar de la clave.
Para evitar el robo o la falsificación de claves, la criptografía utiliza dos métodos; programación de claves y gestión de claves. Un programa clave es el aspecto interno de una clave en el material codificado. Estas claves a menudo interactúan con las de afuera para verificar la autenticidad de las claves y generar subclaves para acceder a los datos codificados dentro de los datos codificados. Dado que los horarios clave generalmente requieren una clave auténtica para funcionar, a menudo se consideran claves de bajo riesgo.
En un nivel básico, la administración de claves se relaciona con asegurar el acceso a la clave cuando está inactiva y cuando está en uso. En un sistema común, las claves se guardan en una ubicación segura y fuera de línea. Antes de las computadoras, esto era a menudo un área de acceso restringido; ahora, normalmente es un sistema informático no conectado en red. Cuando se necesita la clave, el servidor de claves se vinculará a la red, ingresará la información adecuada y se desconectará. Es solo durante el uso real de la clave que los sistemas se conectarán. Esto limita el tiempo que un ladrón potencial puede usar para acceder al sistema.
Un sistema de gestión de claves se extiende más allá de la información. La gestión adecuada implica restringir el acceso personal a ubicaciones de almacenamiento de claves, actualizaciones de claves aleatorias y servidores de almacenamiento de claves codificadas. Un verdadero sistema de gestión involucra todos los aspectos del acceso a la red y la gestión del personal. Como resultado, los sistemas de gestión de claves a gran escala son difíciles de implementar y caros de supervisar.
Este problema a menudo se agrava por un error humano. Los trabajadores mal entrenados subestimarán la restricción del acceso clave y dejarán avenidas abiertas para el robo. La supervisión del departamento a menudo tendrá conflictos, ya que la gestión de claves potencialmente cae dentro del ámbito de los departamentos de tecnología de la información, contabilidad y seguridad interna. Esto hará que el sistema tenga demasiados gerentes, creando conflictos de políticas o muy pocos, ya que cada departamento siente que el otro lo tiene bajo control.