Guía del administrador de negocio de Sun Identity Manager 8.1

Uso y administración del cifrado

El cifrado sirve para garantizar la confidencialidad y la integridad de los datos del servidor en la memoria y en el depósito, así como todos los datos transmitidos entre el servidor y la puerta de enlace de Identity Manager.

Los próximos apartados contienen más información sobre el uso y la administración del cifrado en el servidor y la puerta de enlace de Identity Manager, con respuestas a preguntas sobre las claves de cifrado de ambos.

Datos protegidos mediante cifrado

En la tabla siguiente se enumeran los tipos de datos protegidos mediante cifrado en el producto Identity Manager, incluidos los tipos de cifrado con que se protegen.

Tabla 12–1 Tipos de datos protegidos mediante cifrado


Tipo de datos	RSAMD5	Clave NIST Triple DES de 168 Bits (DESede/ECB/NoPadding)	Clave de cifrado de 56 bits basada en contraseña PKCS#5 (PBEwithMD5andDES)
Claves de cifrado de servidor		predeterminado	opción de configuración
Claves de cifrado de puerta de enlace		predeterminado	opción de configuración 1
Palabras del diccionario de directivas	sí
Contraseñas de usuario		sí
Historial de contraseñas de usuario		sí
Respuestas de usuario		sí
Contraseñas de recurso		sí
Historial de contraseñas de recurso	sí
Toda la carga útil entre el servidor y las puertas de enlace		sí

Preguntas frecuentes sobre claves de cifrado de servidor

A continuación encontrará respuestas a preguntas frecuentes sobre el origen de las claves de cifrado de servidor, su ubicación, mantenimiento y uso.

Pregunta:

¿De dónde proceden las claves de cifrado de servidor?

Respuesta:

Las claves de cifrado de servidor son claves Triple-DES simétricas de 168 bits.

El servidor admite dos tipos de claves:

Clave predeterminada. La clave se compila en el código del servidor.
Clave generada aleatoriamente. Esta clave puede generarse la primera vez que se inicia el servidor o siempre que se cuestiona la clave actual.

Pregunta:

¿Dónde se mantienen las claves de cifrado de servidor?

Respuesta:

Las claves de cifrado de servidor son objetos que se mantienen en el depósito. Cualquier depósito puede contener muchas claves de cifrado.

Pregunta:

¿Cómo sabe el servidor qué clave utilizar para descifrar y volver a cifrar datos cifrados?

Respuesta:

Cada dato cifrado que se almacena en el depósito va precedido por el ID de la clave de cifrado del servidor utilizada para cifrarlo. Cuando un objeto que contiene datos cifrados se lee en la memoria, Identity Manager utiliza la clave de cifrado de servidor asociada al ID que precede a los datos cifrados para descifrarlos y después vuelve a cifrarlos con la misma clave si los datos han cambiado.

Pregunta:

¿Cómo se actualizan las claves de cifrado de servidor?

Respuesta:

Identity Manager ofrece una tarea llamada Administrar el cifrado del servidor.

Esta tarea permite que un administrador de seguridad autorizado realice diversas tareas de administración de claves, incluidas:

Generar una nueva clave de servidor "actual".
Volver a cifrar por tipo objetos existentes que contienen datos cifrados con la clave de servidor "actual".

Encontrará más información sobre el uso de esta tarea dentro de la sección Administración de cifrado del servidor en este mismo capítulo.

Pregunta:

¿Qué sucede con los datos cifrados existentes si cambia la clave de servidor "actual"?

Respuesta:

Nada. Los datos cifrados se descifran o vuelven a cifrar igualmente con la clave referenciada por el ID que les precede. Si se genera una nueva clave de cifrado de servidor y se define como clave "actual", todos los nuevos datos que se cifren utilizarán la nueva clave de servidor.

A fin de evitar problemas por exceso de claves y de mantener un mayor grado de integridad de los datos, utilice la tarea Administrar el cifrado del servidor para volver a cifrar todos los datos cifrados existentes con la clave de cifrado de servidor "actual".

Pregunta:

¿Qué sucede cuando se importan datos cifrados para los que no hay disponible una clave de cifrado?

Respuesta:

Si importa un objeto que contiene datos cifrados con una clave que no se encuentra en el depósito al que se importa, los datos se importarán, pero no se descifrarán.

Pregunta:

¿Cómo se protegen las claves de servidor?

Respuesta:

Si el servidor no está configurado para utilizar el cifrado PKCS#5 basado en contraseña (PBE), que se define en el objeto de configuración del sistema mediante el atributo pbeEncrypt o la tarea Administrar el cifrado del servidor, las claves de servidor se cifran utilizando la clave predeterminada. La clave predeterminada es la misma para todas las instalaciones de Identity Manager.

Si el servidor está configurado para utilizar cifrado PBE, se genera una clave PBE cada vea que se inicia el servidor. La clave PBE se genera suministrando al algoritmo de cifrado PBEwithMD5andDES una contraseña, generada a partir de un secreto específico del servidor. La clave PBE se mantiene sólo en la memoria y nunca persiste. Además, la clave PBE es igual para todos los servidores que comparten un depósito común.

Para habilitar el cifrado PBE de las claves de servidor, debe estar disponible el algoritmo de cifrado PBEwithMD5andDES. Identity Manager no ofrece este algoritmo de manera predeterminada, pero es un estándar PKCS#5 presente en las implementaciones de muchos proveedores de JCE, como los que suministran Sun e IBM.

Pregunta:

¿Puedo exportar las claves de servidor para proteger el almacenamiento externo?

Respuesta:

Sí. Si las claves de servidor se cifran mediante PBE, antes de exportarlas se descifrarán y volverán a cifrar con la clave predeterminada. Ello permite importarlas más adelante al mismo servidor o a otro distinto, con independencia de la clave PBE del servidor local. Si las claves de servidor se cifran con la clave predeterminada, no se preprocesan antes de exportarlas.

Cuando se importan a un servidor, si éste se ha configurado para claves PBE, las claves se descifran y se vuelven a cifrar con la clave PBE del servidor local, en caso de que dicho servidor esté configurado para cifrado de claves PBE.

Pregunta:

¿Qué datos se cifran entre el servidor y la puerta de enlace?

Respuesta:

Todos los datos (carga útil) transmitidos entre el servidor y la puerta de enlace se cifran en Triple-DES con una clave de 168 bits simétrica generada aleatoriamente por sesión servidor-puerta de enlace.

Preguntas frecuentes sobre claves de puerta de enlace

A continuación encontrará respuestas a preguntas frecuentes sobre el origen de las claves de puerta de enlace, su almacenamiento, distribución y protección.

Pregunta:

¿De dónde proceden las claves de puerta de enlace para cifrar o descifrar los datos?

Respuesta:

Cada vez que un servidor de Identity Manager se conecta a una puerta de enlace, el protocolo de enlace inicial genera aleatoriamente una nueva clave de sesión Triple-DES de 168 bits. Esta clave sirve para cifrar o descifrar todos los datos que se transmitan después entre ese servidor y esa puerta de enlace. Por cada par servidor/puerta de enlace se genera una única clave de sesión.

Pregunta:

¿Cómo se distribuyen las claves de puerta de enlace a las puertas de enlace?

Respuesta:

El servidor genera aleatoriamente las claves de sesión, que después se intercambian de manera segura entre el servidor y la puerta de enlace cifrándolas con la clave maestra secreta compartida dentro del protocolo de enlace inicial servidor-a-puerta de enlace.

Cuando se ejecuta el protocolo de enlace inicial, el servidor consulta la puerta de enlace para determinar qué modo admite. La puerta de enlace puede operar en dos modos.

Modo predeterminado. El protocolo de enlace inicial nombre de servidor-a-puerta de enlace se cifra con la clave predeterminada Triple-DES de 168 bits, que se compila en el código del servidor.
Modo seguro. Dentro del protocolo de enlace inicial, el servidor genera y comunica a la puerta de enlace una clave de puerta de enlace Triple-DES aleatoria de 168 bits por depósito compartido. Esta clave de puerta de enlace se almacena en el depósito del servidor igual que otras claves de cifrado, y también la almacena la puerta de enlace en su registro local.

Cuando un servidor entra en contacto con una puerta de enlace en el modo seguro, el servidor cifra datos de prueba con la clave de la puerta de enlace y los envía a la puerta de enlace. A continuación, la puerta de enlace intenta descifrar los datos de prueba, agrega algunos datos exclusivos de la puerta de enlace a los datos de prueba, vuelve a cifrar ambos y los devuelve al servidor. Si el servidor descifra satisfactoriamente los datos de prueba y los exclusivos de la puerta de enlace, genera la clave de sesión única servidor-puerta de enlace, la cifra con la clave de la puerta de enlace y la envía a la puerta de enlace. Cuando la recibe, la puerta de enlace descifra la clave de sesión y la conserva para utilizarla mientras dure la sesión servidor-a-puerta de enlace. Si el servidor no puede descifrar satisfactoriamente los datos de prueba y los exclusivos de la puerta de enlace, cifra la clave de la puerta de enlace utilizando la clave predeterminada y la envía a la puerta de enlace. La puerta de enlace descifra la clave de la puerta de enlace aplicando su clave predeterminada y la almacena en su registro. A continuación, el servidor cifra la clave de sesión única servidor-puerta de enlace y la envía a la puerta de enlace para utilizarla mientras dure la sesión servidor-a-puerta de enlace.

A partir de entonces, la puerta de enlace sólo aceptará solicitudes de los servidores que hayan cifrado la clave de sesión con su clave de puerta de enlace. Al iniciar, la puerta de enlace verifica si el registro contiene una clave. Si hay una clave, la puerta de enlace la utiliza. Si no hay ninguna clave, la puerta de enlace utiliza la clave predeterminada. Una vez que la puerta de enlace tiene definida una clave en el registro, deja de permitir que se establezcan sesiones utilizando la clave predeterminada, lo que impide que alguien configure un servidor malintencionado y establezca una conexión con una puerta de enlace.

Pregunta:

¿Puedo actualizar las claves de puerta de enlace utilizadas para cifrar o descifrar la carga útil servidor-a-puerta de enlace?

Respuesta:

Identity Manager ofrece una tarea llamada Administrar el cifrado del servidor, que permite a un administrador de seguridad autorizado efectuar diversas tareas de administración de claves, incluida la generación de una nueva clave de puerta de enlace "actual" y la actualización de todas las puertas de enlace con dicha clave. Dicha clave se utiliza para cifrar la clave por sesión que sirve para proteger toda la carga útil transmitida entre el servidor y la puerta de enlace. La clave de puerta de enlace recién generada se cifra con la clave predeterminada o la clave PBE, según el valor que tenga el atributo pbeEncrypt en la configuración del sistema (Edición de objetos de configuración de Identity Manager).

Pregunta:

¿Dónde se almacenan las claves de puerta de enlace en el servidor y en la puerta de enlace?

Respuesta:

En el servidor, la clave de puerta de enlace se almacena en el depósito, igual que las claves de servidor. En el la puerta de enlace, la clave de puerta de enlace se almacena en una clave de registro local.

Pregunta:

¿Cómo se protegen las claves de puerta de enlace?

Respuesta:

Las claves de puerta de enlace se protegen del mismo modo que las de servidor. Si el servidor está configurado para usar cifrado PBE, la clave de la puerta de enlace se cifrará con una clave generada mediante PBE. Si la opción está definida en false, se cifrará con la clave predeterminada. Encontrará más información dentro de Preguntas frecuentes sobre claves de cifrado de servidor.

Pregunta:

¿Puedo exportar la clave puerta de enlace para proteger el almacenamiento externo?

Respuesta:

La clave de puerta de enlace se puede exportar con la tarea Administrar el cifrado del servidor, igual que las claves de servidor. Encontrará más información dentro de Preguntas frecuentes sobre claves de cifrado de servidor.

Pregunta:

¿Cómo se destruyen las claves de servidor y de puerta de enlace?

Respuesta:

Las claves de servidor y de puerta de enlace se destruyen eliminándolas del depósito del servidor. Recuerde que no se debe eliminar una clave mientras aún haya datos del servidor cifrados con dicha clave o alguna puerta de enlace que dependa de ella. Utilice la tarea Administrar el cifrado del servidor para volver a cifrar todos los datos del servidor con la clave de servidor actual y para sincronizar la clave de puerta de enlace actual con todas las puertas de enlace a fin de asegurarse de que no se siguen utilizando claves obsoletas antes de borrarlas.