Hasta ahora el control de acceso físico en las organizaciones (la apertura de puertas) se basa en el uso de una tarjeta de proximidad que utiliza la tecnología RFID (contactless card). Los lectores se encargan de leer en la mayoría de los casos el número de serie único que el fabricante graba en cada tarjeta, o bien alguna información grabada en la memoria del chip, para posteriormente verificar dichos datos contra una base de datos para obtener los permisos de acceso (día y horario, autorización, etc.) y proceder o no a la apertura de la puerta.
Este esquema de cerraduras electrónicas, que lleva años reemplazando a las cerraduras mecánicas, permite una mayor seguridad con un mayor control dejando registro de quien accede y limitando el acceso a determinados horarios o fechas (p.e. días laborables) y permitiendo la revocación de las tarjetas (o llaves electrónicas) a través de la base de datos. Es frecuente ver este funcionamiento en multitud de hoteles que utilizan tarjetas de banda magnética o chip de radiofrecuencia RFID para habilitar el acceso a las habitaciones y que se desactivan cuando finaliza el periodo contratado.
Una posible evolución de este funcionamiento es lo que se ha dado en llamar "PKI at the door" y que emplea un par de claves de cifrado asimétrico (contenidas en una tarjeta criptográfica en forma de certificado digital) y que hasta ahora se utilizaban para el control de acceso a equipos o aplicaciones, también para el control de acceso físico.
¿Pero que aporta esta nueva tecnología? ¿Por qué es necesaria esta evolución?. Pues bien, hasta ahora la emisión de llaves electrónicas estaba limitada a la propia organización mediante la edición de la base de datos de acceso (o el acceso a los equipos controladores de acceso) y la seguridad no incluía la validación de la autenticidad de la tarjeta. Es decir, que hoy es posible con un equipo sencillo, duplicar una tarjeta de acceso físico. La tecnologia PKI proporciona un nivel superior de seguridad, al permitir la emisión por terceros de confianza (Autoridades de Certificación) de elementos únicos sin posibilidad de duplicación, permitiendo la externalización de la emisión de llaves manteniendo el control de acceso a nuestras instalaciones.
Además, la tecnología PKI at the door, permite el uso del protocolo OCSP para realizar una validación del estado de revocación del certificado contenido en la tarjeta mediante una pequeña transaccion de red (< 1K) para comprobar la vigencia de dicha llave.
No obstante la adopción de esta nueva tecnología no está exenta de obstaculos, principalmente la necesidad de contar con una buena infraestrura de red, los costes de cambiar los lectores y tarjetas y la mayor complejidad de administración. Entre las ventajas, podemos destacar la unificación de las credenciales para el acceso físico y logico a los sistemas de información, obteniendo los beneficios de una seguridad unificada y convergente.
En los próximo años podremos ver si esta tecnología es aceptada y adoptada por las organizaciones, y si los beneficios que proporciona convencen para afrontar los posibles obtaculos para su adopción. De momento, parece que la especificación de seguridad FIPS 201, relacionada con tarjetas de identificación para los empleados del gobierno de Estados Unidos, incluirá PKI on the door.
Os dejo un video (en inglés) donde algunos importantes fabricantes del sector dan su visión acerca de esta tecnología.
http://www.secureidnews.com/2010/10/18/industry-discusses-pki-at-the-door?issue=secureidnews_20101019
También la revista re:ID publicó en su número de primavera un especial sobre PKI on the door
http://www.regardingid.com/images/reid_spring10_web.pdf
Un saludo
Rames
No hay comentarios:
Publicar un comentario