Tecnología

Arkano se apoya en tres tecnologías diferenciales:

Servidor Arkano

El servidor Arkano cubre los siguientes puntos funcionales imprescindibles para el adecuado servicio de la solución:

Para poder completar estas funciones permitiendo a la vez su despliegue rápido y sencillo, el servidor Arkano, se integra en un único equipo “appliance” enrracable que incluye un módulo HSM (Realsec Cryptosec 2048) certificado FIPS 140-2 Level 3. El servidor está diseñado para soportar Alta Disponibilidad, incluso geográfica.

Arkano Appliance

El appliance tiene las siguientes características :

Cifrado Basado en la Identidad

Origen

El concepto de cifrado basado en la identidad (Identity Based Encription, IBE) fue originalmente propuesto por A.Shamir en 1984 y consiste esencialmente en un sistema de clave pública en el cual, en lugar de que cada usuario genere un par de claves (pública y privada), es posible generar la clave privada a partir de una clave pública dada. En este sistema una autoridad de confianza posee un secreto o clave maestra, habitualmente almacenado en un módulo de seguridad hardware (HSM), que le permite generar claves privadas a partir de las públicas. Esta autoridad publica además un algoritmo adecuado para generar una clave pública a partir de cierta información ligada a la identidad de los usuarios, por ejemplo una dirección de correo electrónico, o un teléfono, una IP, etc. Valdría cualquier dato a condición de que identificara a la persona de una manera que no fuera posible más tarde negar. Una persona autorizada podría acudir a esta autoridad, probar de alguna manera su identidad y sería esta autoridad la que le proporcionaría su clave privada.

Este esquema de cosas se diferencia fundamentalmente en dos aspectos de las PKIs tradicionales: por un lado se hace posible cifrar información para cualquier destinatario antes de que este se registre en el sistema. Para cifrar sólo es necesario conocer la identidad del mismo. Por ejemplo, digamos que esta identidad sea su dirección de correo. Con un algoritmo público se deriva de esta dirección la clave pública, y esta se utiliza para cifrar. Este esquema no requiere por tanto que el destinatario haya obtenido previamente un certificado, sino únicamente que, al recibir la información, solicite de la autoridad su clave privada y se registre en el sistema a posteriori. La otra diferencia fundamental radica en que, al contrario que en los esquemas tradicionales, la clave privada no permanece siempre bajo la custodia única de cada usuario (al menos conceptualmente, dado que en muchas organizaciones se obliga a proporcionar esta clave a un custodio) sino que la autoridad puede generar la clave privada de cualquier persona (esto es lo que se conoce como problema de la custodia o key escrow).

Ventajas

Desde un punto de vista práctico lo más relevante de la eliminación de los certificados es sin duda la simplificación de la gestión asociada, con sus inmediatas consecuencias en coste y escalabilidad. Por otro lado el problema de la custodia hace estos esquemas inadecuados en algunos casos. Por ejemplo para una PKI del ciudadano gestionada por la administración la capacidad de la administración de hacerse pasar por cualquier ciudadano (“impersonar”) sería inadmisible. Por el contrario para una organización puede suponer una ventaja adicional dada la simplificación de los procesos de gestión.

Además de la eliminación de la necesidad del registro previo que ya hemos comentado, quizá el mejor ejemplo de las ventajas de la tecnología IBE para una organización sea la facilidad de recuperación de datos ante desastres, deslealtades o circunstancias similares. El que una autoridad con los debidos controles pueda recuperar cualquier información cifrada sin necesidad de custodiar las claves de decenas de miles de usuarios que además van caducando y modificándose resulta en la práctica tremendamente conveniente. Existen otras ventajas asociadas a las funciones de auditoría o análisis forense, por poner un ejemplo.

Estandarización

Desde un punto de vista tecnológico, IBE es una tecnología basada en la Criptografía de Curva Elíptica o ECC. Hace ya algunos años, la criptografía basada en curvas elípticas fue adoptada formalmente por la Agencia de Seguridad Nacional Estadounidense como “el camino a seguir” en el futuro, principalmente por motivos ligados a la longitud de las claves. Sólo algunas de estas tecnologías has sido estandarizadas hasta la fecha, aunque sí hemos podido asistir a un gran esfuerzo de la comunidad de criptografía para entender las posibilidades que nos brinda esta nueva tecnología.

De todas las nuevas áreas de desarrollo tecnológico en ECC relevantes para la confidencialidad, posiblemente la más prometedora es la ligada al uso de operadores bilineales (bilineal pairings), nuevo artificio matemático (nuevo, esto es, de unos diez años de antigüedad) que permite como aplicación más conocida el Cifrado IBE. Es esta una tecnología aún no estándar, aunque el grupo de trabajo de criptografía de clave pública del IEEE lleva trabajando más de tres años en la estandarización en su estándar P163.3. Arkano utiliza tecnología libre de patente que ha sido propuesta para su inclusión en este estándar por su autor y aceptada por dicho grupo de trabajo.

La tecnología concreta utilizada en Arkano puede encontrarse en el paper “SK-KEM: An Identity-Based KEM” por M. Barbosa, L. Chen, Z. Cheng, M. Chimley, A. Dent, P. Farshim, K. Harrison, J. Malone-Lee, N. P. Smart, F Vercauteren. El paper se encuentra disponible en el siguiente enlace: http://grouper.ieee.org/groups/1363/IBC/submissions

Nota: De acuerdo con el capítulo 5 del mencionado paper, el esquema propuesto no tiene restricciones de patente (aparte de las usuales relacionadas con trucos específicos de implementación), dado que las instituciones que contribuyeron a crear el esquema (Identum, Hewlett-Packard, Katholieke Universiteit Leuven, Royal Holloway, Universidade do Minho, University of Bristol, y University of Middlesex) lo diseñaron con el propósito concreto de crear un esquema libre de patentes. Si tiene alguna duda al respecto por favor contáctenos enviando un correo electrónico a la dirección arkano.sac@gmv.com.