NL +31 (0)20 4232420 / Spain +34 607 676 354 info@fortytwo.nl
PCI DSS ha incorporado nuevos requisitos en la última versión 3.2.1. Dentro de los nuevos requisitos para los proveedores de servicios, existe uno de los requisitos (3.5.1) que requiere mantener la arquitectura criptográfica documentada donde se deben detallar los algoritmos, protocolos y claves, incluida la fortaleza de la clave y la fecha de vencimiento de esta. Para estos dos últimos conceptos, es importante incluir la definición del período de cifrado.

 

¿Cómo definir el criptoperíodo?

 

El período de cifrado (criptoperíodo) es un valor que determina durante cuánto tiempo se consideran seguras las claves de cifrado. Este valor depende de la robustez de la tecnología, y el uso y la gestión de claves.

Para su definición no debe elegirse un valor al azar o tomar como referencia las políticas de contraseña típicas que solicitan un cambio trimestral o anual. Si toma esto como punto de partida, podría dar lugar a una decisión desacertada, porque no siempre es un valor correcto. Además, puede dificultar innecesariamente las tareas de mantenimiento del sistema. Por lo tanto, una definición correcta debe basarse en la tecnología y el proceso de gestión de claves implementado y considerando el riesgo asociado con los recursos a proteger.

Tomando como referencia las recomendaciones hechas por el NIST (National Institute of Standards and Technology) sobre cuándo y cómo se usan las claves para proteger los datos podremos determinar y aplicar los períodos criptográficos apropiados.

 

¿Cuáles son los tipos de claves?

 

Las claves criptográficas generalmente se dividen en dos grandes grupos, claves simétricas y asimétricas. Las claves asimétricas están formadas por un par relacionado matemáticamente que consiste en una clave pública y una privada. Únicamente la clave privada debe mantenerse en secreto. Por otro lado, las claves simétricas dependen fundamentalmente de claves privadas, que siempre deben mantenerse en secreto. El NIST recomienda ampliar esta definición para especificar las claves de acuerdo con su tipo y uso, generando así un inventario de claves que también es requerido por PCI DSS.

Cada clave debe usarse para un único propósito, ya sea para cifrado, proceso de autenticación o para firmas digitales. El uso de una clave para dos procesos criptográficos distintos podría debilitar la seguridad requerida para cada proceso. Al restringir el uso de una sola clave para su único propósito, se puede acotar el daño si la clave se ve comprometida.

 

¿Cómo se debería limitar un período criptográfico?

 

El periodo criptográfico es el tiempo durante el cual se autoriza el uso de una clave específica. Un tiempo de cifrado bien definido debería limitarse a:

  • Limitar la cantidad de información protegida por una clave determinada que está disponible para el criptoanálisis
  • Limitar la cantidad de exposición si se compromete una sola clave
  • Limitar el uso de un algoritmo particular (por ejemplo, a su vida útil efectiva estimada)
  • Limitar el tiempo disponible para los intentos de intrusión en los mecanismos de acceso físicos y lógicos que protegen una clave de la divulgación no autorizada
  • Limitar el período dentro del cual la información puede verse comprometida por la divulgación involuntaria de material de claves a entidades no autorizadas
  • Limitar el tiempo disponible para ataques criptoanalíticos intensivos computacionalmente (en aplicaciones donde no se requiere protección de clave a largo plazo)

A veces, los criptoperíodos se definen por un período de tiempo arbitrario o una cantidad máxima de datos protegidos por la clave. Sin embargo, las compensaciones asociadas con la determinación de los criptoperíodos implican un riesgo y unas consecuencias de la exposición, que deben considerarse cuidadosamente al seleccionar el criptoperíodo.

 

¿Qué factores afectan el criptoperíodo?

Entre los factores que afectan la duración de un criptopperiodo están:

  • La robustez de los mecanismos criptográficos
  • La implementación de los mecanismos
  • El entorno operativo
  • El volumen de flujo de información o el número de transacciones
  • El ciclo de vida de la seguridad de los datos
  • Las funciones de seguridad
  • El método de reintroducción (Ej., Entrada del teclado, reintroducción mediante un dispositivo de carga de claves en el que los humanos no tienen acceso directo a la información clave o reintroducción remota a través de una PKI)
  • El proceso de actualización o derivación de claves
  • El número de nodos en una red que comparten una clave común
  • El número de copias de una clave y la distribución de esas copias
  • Rotación de personal
  • La amenaza a la información de los adversarios (por ejemplo, de quién está protegida la información y cuáles son sus capacidades técnicas y recursos financieros percibidos para montar un ataque)
  • La amenaza a la información de tecnologías nuevas y disruptivas (por ejemplo, computadoras cuánticas)

Tomando la recomendación del NIST de usar modificaciones criptográficas cortas puede mitigar el riesgo de que los algoritmos criptográficos sean menos susceptibles al criptoanálisis.

En general, cuanto más se usa una clave, mayor es la probabilidad de que los datos sean atacados y el riesgo involucrado sí se revelan. Por ello, es importante que las claves se reemplacen periódicamente o en cuanto se sepa o se sospeche de que están en riesgo.

En general, NIST recomienda una vida útil de aproximadamente uno o dos años para la mayoría de los periodos criptográficos. Esto depende del tipo de clave, el entorno en el que se usa y las características de los datos a proteger. En algunos casos, un período de cifrado recomendado podría ser más largo, entre uno y tres años con claves de firma privadas, o podría limitarse a una sola comunicación como podría ser el caso con una clave de cifrado de datos simétrica.

Mas sobre Requerimiento 3 y el criptoperíodo

Fuente:

NIST SP800-57 Part 1 Revision 4: A Recommendation for Key Management (2016) by Elaine Barker