Diseño e implementación de una infraestructura PKI con HSM y renovación automática de certificados para sistemas empotrados industriales

Abstract

Cada día hay más dispositivos con conexión a Internet en todo el mundo. Y esto no sólo es aplicable a dispositivos IoT, sino que la industria hace cada vez más uso de este tipo de dispositivos, conectándolos a la nube e integrándolos en sus procesos para realizar labores de monitorización, control e incluso como elementos de seguridad. Pero, ¿cómo se puede asegurar la veracidad de los datos que proporciona un dispositivo? o más importante, ¿se puede asegurar que quien responde sea realmente el dispositivo? Usando criptografía de clave pública (PKC) es posible que dos o más partes se comuniquen de forma segura si todas poseen la clave pública de las otras. Y gracias a las infraestructuras de clave pública (PKI) es posible establecer una comunicación con alguien con quien nunca se contactó antes, almacenar y revocar claves públicas y además, es posible llevarlo a una escala global con millones de dispositivos. Para lograr esto, una PKI se sirve de ciertos elementos y directrices claramente definidos, para generar certificados digitales que identifiquen a su propietario. Los certificados digitales permiten comprobar que la otra parte con la que se establece la conexión sea quien dice ser (proporcionan confianza). La robustez de los certificados radica en su proceso de generación, que hace uso de la criptografía de clave pública. Esto no sólo permite comprobar la identidad del dispositivo, sino que el dispositivo podría firmar (e incluso cifrar) sus datos antes de enviarlos, asegurando así la confidencialidad y la integridad de todo aquello que envía. La principal desventaja que presenta este método es la escalabilidad. A medida que aumenta el número de dispositivos, aumentan también los problemas de gestión del ciclo de vida de los certificados que usan. Por ello, se hace deseable que, en lugar de ser un operario quien instale los certificados en cada dispositivo o los renueve, sean ellos mismos quienes se encarguen de gestionar todo el ciclo de vida de sus certificados. En este documento, se describe el diseño y la implementación de una PKI especialmente orientada a la renovación desasistida o automática de los certificados de los dispositivos, sin dejar de dar soporte a las operaciones más básicas y comunes a todas las PKI. El protocolo seleccionado para la renovación desasistida es EST, una versión mejorada del protocolo SCEP que, hasta ahora, sigue siendo el estándar de facto. Las principales ventajas que presenta EST frente a SCEP es que soporta algoritmos de curvas elípticas (ECC) y también incorpora la posibilidad de generar claves en el lado del servidor. Siendo este último punto un caso de uso importante para los dispositivos que no tengan la potencia suficiente para calcular su propio par de claves, o que no dispongan de suficiente entropía en sus generadores de números aleatorios. Y para que la generación y el almacenamiento de las claves sean seguros (tanto para los dispositivos como para los elementos de la PKI) se integraron dos HSM en la infraestructura.