Inicio Artículos ¿Qué es una raíz de confianza y por qué es necesaria?

¿Qué es una raíz de confianza y por qué es necesaria?

diagrama rot
Figura 1: Servicios seguros del RoT

Autor: Hector Tejero, Solutions Architect, Arrow Electronics

Introducción

Los dispositivos no seguros pueden afectar profundamente a la transformación digital, dado que provocan brechas de seguridad y ataques de malware, poniendo en peligro la información empresarial sensible, la propiedad intelectual y la continuidad del negocio. Estos ciberataques originan pérdidas de ingresos y de reputación. Por consiguiente, para las organizaciones que avanzan hacia modelos de negocio basados en servicios digitales es fundamental utilizar dispositivos y sistemas seguros.

Sin embargo, la seguridad no es algo que pueda añadirse a los dispositivos retrospectivamente. Debe implantarse en una fase temprana del ciclo de desarrollo y de abajo hacia arriba, de lo contrario no será eficaz. Aquí es donde entra en juego la Raíz de Confianza.

RoT

Una Raíz de Confianza (RoT), por sus siglas en Ingles «Root of Trust», es un componente o conjunto de componentes de confianza que proporciona una base segura a los mecanismos de seguridad de un sistema. Es fundamental para establecer la confianza en un sistema y garantizar que funcione de forma segura y fiable. Una RoT proporciona un conjunto mínimo de servicios criptográficos/de confianza y de operaciones criptográficas que se implementan como los bloques modulares de un dispositivo de confianza. La confianza en una RoT es siempre implícita.

Las propiedades deseables de una RoT pueden resumirse en unas pocas frases. Una RoT debe proporcionar una identidad robusta, única e inmutable. Para interactuar con un dispositivo concreto, debe asignársele una identidad única y esta identidad debe ser atestable de manera criptográfica. Esta identidad facilita la interacción de confianza con el dispositivo; por ejemplo, el intercambio de datos y la administración del dispositivo. Una RoT debe ser a prueba de manipulaciones. Las claves y credenciales se almacenan en un elemento a prueba de manipulaciones que resiste ataques lógicos y de canal lateral. Una RoT debe proporcionar aislamiento a nivel hardware. El objetivo del aislamiento es evitar que un servicio ponga en peligro otros servicios. Esto se consigue aislando los servicios de confianza entre sí, de los servicios menos fiables y de los servicios no fiables. Una RoT debe incluir un generador de números aleatorios reales (TRNG, por sus siglas en ingles True Random Number Generator). Los TRNG son fundamentales en criptografía para generar claves y números aleatorios utilizados sólo una vez (nonce). Estos se utilizan para cifrar datos, crear firmas digitales y autenticar comunicaciones. Cuanto más predecibles sean estos números, más fácil será para un atacante romper el esquema criptográfico. El entorno de procesamiento seguro de la RoT debe poder actualizarse si se detectan debilidades de seguridad.

Una RoT habilita servicios como por ejemplo:

  • Servicio criptográfico seguro: Debe existir un conjunto mínimo de servicios criptográficos de confianza que respalden la gestión segura de secretos y claves. El caso de uso del dispositivo suele influir en el esquema criptográfico utilizado.
  • Almacenamiento seguro: Para evitar que los datos privados sean clonados o revelados fuera del servicio o dispositivo de confianza, deben estar vinculados a ellos de forma única. Normalmente, la confidencialidad y la integridad de los datos privados se consiguen utilizando claves, que a su vez deben estar vinculadas al dispositivo y al servicio.
  • Gestión de dispositivos con atestación: La atestación es la prueba de las propiedades del dispositivo, incluida la identidad y el estado de seguridad del ciclo de vida del dispositivo. Los datos de identificación y de atestación del dispositivo deben formar parte de un proceso de verificación del dispositivo utilizando un tercero de confianza (por ejemplo, la plataforma de gestión de dispositivos).
  • Ciclo de vida de la seguridad: El estado de seguridad de un dispositivo depende de las propiedades del software, las propiedades en tiempo de ejecución, la versión del hardware y el ciclo de vida del producto.
  • Inicio seguro: Para garantizar que solo pueda ejecutarse el firmware autorizado en un dispositivo, se requieren procesos de inicio seguro y carga seguros. El firmware no autorizado suele permitir que el dispositivo funcione de un modo no previsto por el fabricante de este. Hay que detectar e impedir firmware de arranque no autorizados.
  • Anti-reversión: Impedir la reversión del firmware a versiones anteriores del mismo es fundamental para garantizar que las versiones anteriores del código no se puedan restablecer y ejecutar. Versiones anteriores del firmware suelen tener vulnerabilidades de seguridad. La reversión del firmware solo debe ser posible con fines de recuperación y cuando esté autorizada.

Conclusión

En resumen, los servicios RoT respaldan funciones críticas de los dispositivos como el ciclo de vida de la seguridad, el aislamiento de procesos, el almacenamiento seguro, la atestación, el inicio seguro, la carga segura y la vinculación de datos. Dotar a los productos con una identidad de dispositivo única, protegida criptográficamente y utilizando una Raíz de Confianza (RoT), es una forma efectiva de abordar los desafíos a los que se enfrentan las empresas en la economía digital.

Este es el primero de una serie de artículos de Arrow Electronics que exploran las características deseables para sistemas conectados de forma segura.

Contenido Relacionado: