PIV-I y CIV al borde del tragante
16 March, 2015
category: Emisión de tarjetas
Las especificaciones empresariales de identificación no han logrado tener agarre
Posiblemente las especificaciones de tarjeta inteligente PIV-I hayan pasado de considerarse como el “estándar de identidad del futuro”, a la situación desafortunada de aparecer en un pie de página como especificaciones ya pasadas. Hace apenas tres años los expertos predecían que se iban a implementar no solo para los contratistas del gobierno, sino también en todos los mercados empresariales.
Siete compañías tienen certificación cruzada con Federal Brigde para emitir credenciales PIV-I de alta seguridad a nombre de otras organizaciones, pero solamente algunas de ellas realmente lo hacen. “Costoso y complejo” es la respuesta universal cuando se le pregunta a los conocedores por qué PIV-I y su hermana menor menos protegida CIV no están siendo usadas en las implementaciones de tarjeta inteligente.
El otro tema es que pese a la promesa original, las credenciales PIV-I no están realmente autorizadas para su uso dentro del gobierno federal. Así, mientras que algunos contratistas gubernamentales pudieran estar utilizando la especificación, a los empleados que se contratan por diferentes agencias se les continúa emitiendo credenciales PIV para acceder a las facilidades y los sistemas. “No existe un mandato sobre PIV-I dentro del gobierno federal”, señala Steve Howard, vicepresidente de credenciales en CertiPath, un emisor de PIV-I y uno de los fundadores de la especificación de tarjeta inteligente.
La idea de PIV-I comenzó en 2006 cuando la Presidencia Federal de Política PKI, la Autoridad Federal de Gestión PKI y CertiPath consideraron la necesidad de una credencial que pudiera ser portada por los contratistas y utilizada en las agencias federales y dentro de los sistemas lógicos y físicos propios de ese contratista. La especificación fue concebida para contratistas gubernamentales que realicen un trabajo de seis meses o menos, ya que cualquier cosa que pase de seis meses requiere un chequeo de antecedentes y una tarjeta PIV.
Hace dos años un grupo de contratistas hicieron lobby para que la Oficina de Administración y Presupuesto de la Casa Blanca cambiara esta regla de manera que los contratistas con PIV-I pudieran usar esas credenciales, en lugar de tener que recibir PIV emitida a nivel federal. La respuesta fue que esas agencias no estaban afectadas, por tanto no había necesidad de cambiar la regla.
Como las agencias federales no están aceptando PIV-I, se ha producido poca emisión en ese espacio. Sin embargo, hubo un momento en que fue fuerte el rumor de que empresas no asociadas con el gobierno federal estaban emitiendo credenciales mediante la especificación.
Como PIV-I fue estandarizada, se asumió que los productos estarían disponibles enseguida, la seguridad sería alta y que cuando muchas organizaciones comenzaran a usarla, los costos disminuirían.
Esta creencia dio origen a otro acrónimo, CIV o Verificación de Identidad Comercial. CIV utiliza las especificaciones, tecnología y modelo de datos de PIV-I, pero no requiere certificación cruzada con Federal Bridge. Cualquier empresa puede crear, emitir y utilizar credenciales CIV según sus propios requerimientos. Es básicamente PIV-I sin la protección de identidad estipulada por el gobierno.
Pero esa implementación masiva de PIV-I and CIV no ha llegado a producirse. Algunas compañías de servicios financieros e instituciones de salud están considerando implantarla porque la seguridad PKI les resulta atractiva, dice Howard. Pero eso es todo.
Wells Fargo puede ser la mayor institución financiera en anunciar una implementación de PIV-I/CIV, pero no ha querido dar una actualización sobre la puesta en funcionamiento del proyecto. En la feria de 2013 “Tarjetas inteligentes en el gobierno” de Smart Card Alliance, Brian Keltner, ingeniero en seguridad de información para la gestión de acceso de tarjeta inteligente de Wells Fargo, dijo que FIPS 201 y CIV son atractivos porque se trata de una solución en base a estándares, interoperable, que federaliza e incrementa los niveles de seguridad para crear requisitos de política.
Según Keltner, el banco estaba emitiendo 5,000 credenciales cada mes en todo el país. Las identificaciones utilizaron validación PKI tanto para el control de acceso físico como lógico. Los Certificados de Autenticación CIV fueron utilizados para la autenticación a puntos extremos y aplicaciones de red, y para la autenticación ante lectores de puertas. La CIV resultó atractiva porque estaba basada en estándares PIV y PIV-I, pero también permitió adicionar políticas locales.
A menos que la organización sea de grandes dimensiones, que requiere los más altos niveles de seguridad, no ha habido mucha demanda de las especificaciones. “Ir por la ruta de PIV-I exige un compromiso significativo”, señala Randy Vanderhoof, director ejecutivo de Smart Card Alliance “El costo sigue siendo una gran barrera, como lo es la complejidad. Las empresas tienen que tomar difíciles decisiones de negocios en lo tocante a cuánto invertir y analizar las alternativas que existen”.
Aparte de contratistas gubernamentales selectos, Gemalto no ve que haya mucha demanda de PIV-I o CIV, dice Neville Pattinson, vicepresidente de asuntos gubernamentales y desarrollo de negocios de Gemalto Norteamérica.
“Gemalto está implementando las tarjetas inteligentes para la empresa corporativa, pero se trata de tarjetas .Net que son más fáciles de integrar”, explica Pattinson. “Las corporaciones que aspiran a seguridad de primera línea, quieren tarjetas inteligentes y ampliarse después mediante dispositivos móviles”.
El costo puede ser la principal barrera. “Si están buscando cubrir las necesidades básicas de una compañía en términos de acceso lógico, en el mercado hay soluciones más sencillas y baratas”, plantea Stefan Barbu, jefe de ventas de identidad segura y marketing para las Américas en NXP Semiconductors.
Las credenciales PIV-I pueden costar tanto como $50 al año debido a la gestión de certificado y otros temas, dice Terry Gold, fundador de IDAnalyst. El costo es alto a causa de un montón de componentes en un sistema, porque todos tienen que probarse y certificarse. Solamente la Autoridad Certificada puede implicar $250,000 al año, y eso no incluye los costos de arranque.
“Ahora hay formas de reducir el costo, pero estos no se ajustan a las organizaciones pequeñas, no escalan para las mayores y no están en pleno funcionamiento”, añade Gold.
Parte de la complejidad de las soluciones PIV-I y CIV radican en armar un sistema completo, explica Gold. “Por último, lo más trabajoso de esto es que realmente no existen soluciones que tengan un buen soporte para vincularlas a todo el flujo de trabajo – solicitud, verificación, comprobación, búsqueda de registros, emisión y ciclo de vida”, señala. “Los servicios están desarticulados.”
Por ejemplo, una compañía puede que tenga un excelente sistema de gestión de tarjetas, pero ¿podrá integrarse con los que ejecutan la verificación y comprobación? “Es muy probable que esto sería un flujo manual de trabajo”, señala Gold. “Ese servicio hay que contratarlo”.
Por otra parte, la empresa corporativa no tiene las políticas y procesos organizados para cada cosa que haya que hacer con una especificación como PIV-I. “PIV está bien pensada en el papel, pero no en la práctica”, plantea Gold. “Esto es algo que solo el gobierno puede hacer, porque nunca tienen que rendir cuentas por métricas sobre ineficiencia o fallos”.
El mundo corporativo no tiene este tipo de flexibilidad. Las corporaciones tampoco tienen el tiempo o el dinero para cambiar sus procesos con el fin de acomodar una credencial. Para un contratista gubernamental que percibe muchos ingresos, tiene sentido hacer el cambio, pero para otros simplemente no vale la pena, señala Gold. “Los contratistas lo consideran como una parte de lo que implica hacer negocios, retener los clientes, más que verdaderamente como un proyecto de seguridad”, añade.
Gold ha trabajado con clientes que han considerado la opción PIV-I y la han desestimado porque lo que querían era hacer ligeros cambios que los mantuvieran en un nivel de cumplimiento que no sea total. “Cuando usted les explica que no existe tal cosa como por ejemplo, cumplir a un 98%, ellos desisten”, señala.
Lógicamente, esto debía conducirlos a la CIV, pero esta también tiene sus retos. “No está bien pensada porque se basa en la ineficiencia y no considera los requerimientos fuera del gobierno federal”, dice Gold. “CIV nunca fue comprobada. En última instancia, se trata de productos y modelo de datos que han sido ajustados para la ineficiencia”.
Jason Hart, director general de Identiv CEO, es muy rotundo cuando se trata de CIV. “No cumple ningún requisito de negocios”, dice. “CIV en esencia es ineficiente para funcionar en el espacio comercial, es demasiado cara para que una compañía pueda sostenerla por sí sola”.
Las tarjetas inteligentes puede que están decreciendo como factor de forma, dice Hart. Muchas corporaciones siempre han de necesitar algún tipo de identificación visual – una credencial – para los empleados, pero hay otros factores de forma que funcionan tan bien, si no mejor, que las tarjetas inteligentes.
“Yo tengo una tarjeta de identificación porque mi compañía no se ha apartado de la identificación visual, pero utilizo mi teléfono para puntear sobre un lector sin contacto y quizás una autenticación OAuth o un código de seguridad de un solo uso”, explica. El futuro de PIV-I y CIV parece sombrío.
Es poco probable que haya aceptación en ese espacio a menos que cambien las reglas para permitir – o incluso requerir – que los contratistas usen las credenciales dentro de la empresa federal. Y a menos que se haga algo para resolver el problema de los costos y la complejidad de esos sistemas para la empresa corporativa, su adopción será lenta o nula.
Parece que las alternativas más baratas y fáciles de usar – aunque no estén basadas en estándares gubernamentales – son más capaces de servir a las necesidades empresariales. De modo que la sentencia de muerte de esas especificaciones de tarjeta inteligente puede estar mucho más cerca de lo esperado.
Instituto Nacional del Cáncer usa una “pizca” de CIV
Cuando el Instituto Nacional del Cáncer estaba construyendo su nueva dependencia en Shady Grove, Maryland, la intención era que su sistema de control de acceso físico cumpliera con PIV. Esto incluía asegurarse de que todas las credenciales, tanto de empleado como de visitante, cumplieran con PIV, dice Shane Hebert, gerente de programas de seguridad física de las instalaciones en el Instituto Nacional del Cáncer.
El instituto montó lectores pivCLASS de HID Global para la seguridad física, y necesitaba una tarjeta que pudiera emitirse con esa tecnología. Y como la instalación requería que los empleados y visitantes se identifiquen con una credencial a la entrada y la salida, hacía falta una credencial de visitante que también funcionara con el sistema compatible con PIV, señala Hebert.
Northrup Grumman era el contratista principal del proyecto y CertiPath fue uno de los miembros del team. Hebert sabía que CertiPath tenía un producto “CIV in a Box” que habilitaría la seguridad para emitir esas tarjetas para los visitantes o los trabajadores temporales. El instituto preparó 200 tarjetas CIV pre-impresas que podrían emitirse para los visitantes para uso temporal.
Al propio tiempo, el Departamento de Salud y Servicios Humanos de EEUU decidió comenzar a emitir otro tipo de credencial llamada credencial de Acceso Local Restringido. La credencial sirve al mismo propósito que la PIV, proporcionando acceso tanto físico como lógico para el personal contratado para un corto plazo, menos de seis meses.
“Es una alternativa PIV para cuando no tienes un adecuado chequeo de antecedentes sobre alguien o está esperando que se emita otra credencial”, señala Hebert.
Las credenciales CIV se siguen emitiendo aún para visitantes y para empleados mientras esperan por una credencial de Acceso Local Restringido, dice Hebert. “Es una solución puntual cuando necesitamos controlar a la gente que entra y sale del edificio”, añade.