Requerimiento de Aclaratoria sobre la Validez del uso de Módulos de

Seguridad Hardware (HSM) en la nube y “as-a-service” en la

Infraestructura Nacional de Certificación Electrónica por parte de
SUSCERTE como Ente Rector

Presentado Por

Dany Romero Sanzonetty, CISA, CISM, SUSCERTE, ISO 9001-2015

Auditor Acreditado SUSCERTE No. 011

Caracas, 18 de febrero de 2021

 ipsc 2

TABLA DE CONTENIDO

Requerimiento de Aclaratoria sobre la Validez del uso de Módulos de Seguridad

Hardware (HSM) en la nube y “as-a-service” en la Infraestructura Nacional de
Certificación Electrónica por parte de SUSCERTE como Ente Rector ________________ 3

Información del Solicitante de la Aclaratoria _____________________________________ 3

Gestión del Ciclo de Vida de las Llaves de Encriptación ___________________________ 4

Evaluación de la Plataforma Tecnológica ________________________________________ 4

Módulos de Seguridad de Hardware (HSM) ______________________________________ 5

Validación de los niveles de seguridad de los dispositivos HSM ________________________________________________ 6
Tipos de Módulos de Seguridad Hardware HSM _____________________________________________________________ 7
Servicios de HSM en la nube y HSM “as-a-Service” ___________________________________________________________ 7

Aspectos normativos sobre el uso de HSM en la nube y “as-a-service” en la

Infraestructura Nacional de Certificación Electrónica _____________________________ 8

Consideraciones Finales ________________________________________________________ 10

. Dany Romero Sanzonetty 0414-9057428

 ipsc 3

Requerimiento de Aclaratoria sobre la Validez del uso de Módulos de Seguridad Hardware (HSM) en
la nube y “as-a-service” en la Infraestructura Nacional de Certificación Electrónica por parte de
SUSCERTE como Ente Rector

Diferentes solicitudes de opinión efectuadas al autor de este requerimiento, de interesados tanto del sector
público como del privado, llevaron a la ejecución de una investigación documental relacionada con la
viabilidad de la implementación de Proveedores de Servicios de Certificación cuya infraestructura cuente
con módulos de seguridad de hardware, o HSM, hospedados en la nube o gestionados a distancia en modo
“as a service”, como se les conoce internacionalmente.

Esta modalidad para gestionar el ciclo de vida de las claves criptográficas han surgido en los últimos años
como alternativa al uso de dispositivos físicos administrados en las instalaciones de la Autoridad de
Certificación del PSC.

La cualidad de Rector que recae sobre la Superintendencia de Servicios de Certificación Electrónica, en todo
lo atinente a la Infraestructura Nacional de Certificación, motiva la elevación de este requerimiento, pues
más que la opinión de SUSCERTE, se requiere una aclaración formal con la cual poder asesorar, y
eventualmente evaluar, a los PSC que puedan estar estimando una migración a estas plataformas o a los
particulares que puedan querer incorporarse al sistema y estimen viable, por costos y administración, este
nuevo escenario, con mucho auge en otros países.

Información del Solicitante de la Aclaratoria

Dany Lorenzo Romero Sanzonetty, cuenta con veintitrés (25) años de experiencia laboral en el sector público,
específicamente en el sector judicial, de los cuales doce (15) fueron dedicados a la Auditoría de Sistemas de
Gestión de Seguridad de la Información en la Unidad de Auditoría Interna del Tribunal Supremo de Justicia.
Durante ese período se afilió a la Asociación de Auditoría y Control de Sistemas de Información (ISACA)
donde se certificó como Auditor de Sistemas de Información (CISA) y como Gerente en Seguridad de la
Información (CISM). Es actualmente Auditor Acreditado y Registrado por la Superintendencia de Servicios de
Certificación Electrónica (SUCERTE), Nro 011, del Ministerio del Poder Popular para Educación Universitaria,
Ciencia y Tecnología para la evaluación técnica de los procesos de operación de los Proveedores de Servicios
de Certificación Electrónica a nivel nacional. (http://www.suscerte.gob.ve/registro/)

. Dany Romero Sanzonetty 0414-9057428

 ipsc 4

Gestión del Ciclo de Vida de las Llaves de Encriptación

Debido a que la seguridad del sistema criptográfico debe recaer en la seguridad de la clave, esta clave debe
ser gestionada de la forma más segura posible, ya que se supone que el potencial atacante puede conocer o
tener acceso al resto de parámetros del sistema criptográfico (algoritmo usado, texto encriptado, texto en
claro).

Según los procedimientos de evaluación técnica de la Norma 40 de SUSCERTE, el objetivo del plan de
administración de claves criptográficas es “…Comprobar que la organización implementa un plan de
administración del ciclo de vida de sus claves criptográficas coherente con su política de seguridad, que
permita mostrar un nivel de confianza consistente con los objetivos del negocio…”

Se indica entonces que debe ser verificada la “… administración del ciclo de vida del hardware criptográfico
utilizado por la AC…” así como los “…Servicios de administración de las claves de los signatarios suministradas
por la AC (generación de clave y renovación después de vencimiento)…”

Específicamente, se requiere que el auditor:

 Verifique que los requerimientos de Generación de Claves de la AC, del estándar ETSI TS 102 042
están considerados
 Verifique que el dispositivo seguro de los signatarios cumple como mínimo con los requerimientos del
estándar FIPS 140-2 nivel 3 (o Common Criteria EAL 3) en sus elementos de seguridad e
implementación de los algoritmos criptográficos estándares

Evaluación de la Plataforma Tecnológica

En el proceso de revisión de la plataforma, es necesario evaluar la seguridad de los elementos que

constituyen la plataforma tecnológica del PSC o CE. Se debe considerar componentes hardware y
software que conforman la infraestructura PKI del PSC o CE, así como, todos los elementos de apoyo a
su operación e interrelación, como protocolos y servicios. Específicamente se efectúa la inspección de los
módulos criptográfico, de la Autoridad de Certificación, de la Autoridad de Registro, de Almacenamiento y
publicación de Certificados. Además deben revisarse los Protocolos de comunicación entre AC y AR así como
los Elementos de administración de logs y Auditoría.

. Dany Romero Sanzonetty 0414-9057428

 ipsc 5

Módulos de Seguridad de Hardware (HSM)

Las alternativas más recomendables para realizar la gestión de las claves criptográficas es mediante el uso
de un módulo de seguridad de hardware (Hardware Security Module – HSM). Un HSM es un
criptoprocesador seguro y resistente a la manipulación diseñado específicamente para proteger el ciclo de
vida de las claves criptográficas y ejecutar rutinas de encriptación y desencriptación, proporcionando un alto
nivel de seguridad en términos de confidencialidad, integridad y disponibilidad de claves criptográficas y de
cualquier dato sensible procesado.

Figura 1. Diagrama esquemático de un módulo de seguridad de hardware (HSM). Fuente: University of Patras.

Los HSMs pueden encontrarse en tarjetas inteligentes (smart cards), dispositivos portables, tarjetas dedicadas
(tarjetas criptográficas), dispositivos autocontenidos (appliances) u ofrecidos como un servicio en la nube
(HSM-as-a-Service).

Figura 2. Diferentes tipos de HSM: Tarjeta criptográfica, appliance, HSM USB (nano) y tarjeta inteligente (smart card)

. Dany Romero Sanzonetty 0414-9057428

 ipsc 6

Validación de los niveles de seguridad de los dispositivos HSM

Con el fin de validar los niveles de seguridad de este tipo de dispositivos se han definido una serie de
estándares internacionales, aplicables por normativa en Venezuela, dentro de los cuales se encuentran:

FIPS (Federal Information Processing Standard) 140-2 (Security Requirements for Cryptographic
Modules): Es un estándar orientado a la validación de la efectividad del hardware criptográfico. A pesar de
ser un estándar federal de EEUU y Canadá, es reconocido a nivel mundial tanto en el sector gubernamental
como en el privado. Esta certificación define cuatro niveles de seguridad, del más bajo (Nivel 1) al más
restrictivo (Nivel 4):

Nivel 1: Incluye requerimientos básicos de seguridad (al menos un algoritmo o una función aprobada
deben ser usados), permitiendo que los componentes de software y firmware del módulo criptográfico
sean ejecutados en un sistema de propósito general usando un sistema operativo no evaluado. No se
incluyen mecanismos de seguridad física. Ejemplo: tarjeta de encriptación de un ordenador personal.
Nivel 2: Este nivel mejora la seguridad del nivel 1 exigiendo el uso de mecanismos para la detección de
manipulación no autorizada (tamper-evidence) y autenticación basada en roles. Las implementaciones
de software deben ejecutarse en un sistema operativo aprobado como EAL2 de Common Criteria.
Nivel 3: Este nivel exige requerimientos adicionales para resistir ante manipulaciones no autorizadas
(tamper-resistance), respuesta ante tales manipulaciones (borrado de parámetros de seguridad) y
autenticación basada en identidades. Igualmente, se requiere una separación lógica entre interfaces
mediante las cuales los parámetros críticos de seguridad ingresan y egresan del sistema. Las claves
privadas solamente pueden importarse o exportarse de forma encriptada.
Nivel 4: Este último nivel incluye protección avanzada contra intrusiones (tamper-active) y está diseñado
para productos que operan en entornos desprotegidos físicamente.

Common Criteria (ISO/IEC 15408): Common Criteria for Information Technology Security Evaluation es un
estándar de certificación reconocido internacionalmente para la seguridad de productos de TI y sistemas. Fue
desarrollado por Canadá, Francia, Alemania, Países Bajos, Reino Unido y EEUU en los años noventa. Los
productos evaluados bajo Common Criteria se catalogan en niveles (Evaluation Assurance Level – EAL),
siendo EAL1 el más bajo y EAL 7 el más estricto.

. Dany Romero Sanzonetty 0414-9057428

 ipsc 7

Tipos de Módulos de Seguridad Hardware HSM

HSM de propósito general:

Dispositivos HSM que incluyen una gran variedad de algoritmos de encriptación estándar (simétricos,
asimétricos y funciones de hash) con soporte para interconectividad. Estos dispositivos suelen ser usados en
entornos de PKI, canales de HTTPS, DNSSEC, protección de datos sensibles genéricos y billeteras de
criptomonedas, entre otros.

HSM transaccional y para pagos

(Transaction and Payment HSM): Dispositivos HSM específicos para la protección de transacciones de pago
que incluyen el uso de PIN (generación, gestión, validación y translación del bloque de PIN (PIN Block) en
transacciones realizadas en TPVs y cajeros automáticos), la protección de transferencias electrónicas de
fondos (EFT), la generación de datos para bandas magnéticas y chips EMV en procesos de producción y
personalización de tarjetas, el procesamiento de transacciones de pago con tarjetas débito y crédito y la
validación de tarjetas, usuarios y criptogramas. Estos dispositivos normalmente proveen soporte criptográfico
para las aplicaciones de pago de la mayoría de marcas de tarjetas y sus interfaces de interconexión suelen ser
más limitadas que los HSM de uso genérico.

Servicios de HSM en la nube y HSM “as-a-Service”

De forma adicional al modelo de HSM desplegados localmente en la organización (en el sitio), muchos
proveedores de servicios en la nube y fabricantes de dispositivos HSM están ofreciendo servicios de Hardware
Security Module «as a Service» o gestionados. Este nuevo modelo ofrece muchas ventajas frente al modelo
tradicional, incluyendo alta escalabilidad, disponibilidad y opciones adicionales de integración. Algunos
ejemplos de estos servicios son:

 Microsoft Azure: Azure Dedicated HSM y Azure Key Vault

 Google Cloud Platform: Cloud HSM y Cloud Key Management Service
 Amazon Web Services: AWS Key Management Service (KMS) y AWS CloudHSM
 IBM Cloud Hardware Security Module

. Dany Romero Sanzonetty 0414-9057428

 ipsc 8

 Utimaco HSM-as-a-Service
 nCipher nShield-as-a-Service
 Thales CipherTrust Cloud Key Manager

Sin embargo, es importante tener en cuenta que el uso de estos servicios gestionados o en cloud ofrecen
dispositivos HSM de propósito general que pueden ser útiles para su integración con entornos PCI DSS pero
no para el uso en entornos PCI PIN, PCI P2PE o PCI 3DS, ya que estos estándares requieren HSMs
transaccionales con soporte criptográfico especial y controles adicionales de seguridad física y del ciclo de vida
del dispositivo que ninguno de estos proveedores ofrece al día de hoy.

Aspectos normativos sobre el uso de HSM en la nube y “as-a-service” en la Infraestructura Nacional

de Certificación Electrónica

Lo novedoso de los modelos HSM en la nube y “as a service” impulsa el cuestionamiento de su validez en la
infraestructura nacional de certificación, en virtud de que los PSC actuales soportan sus operaciones sobre
infraestructuras basadas en HSM de tipo hardware desplegado en la organización.

Del análisis de la normativa legal y sub legal que soporta la plataforma nacional de certificación no se
observan indicaciones precisas que limiten la implementación de la Autoridad de Certificación de un
Proveedor de Servicios de Certificación a la utilización exclusiva del HSM de propósito general o
transaccional.

Existe, eso sí, la mención en la norma SUSCERTE N° 040-01/12, GUÍA DE ESTÁNDARES TECNOLÓGICOS Y
LINEAMIENTOS DE SEGURIDAD PARA LA ACREDITACIÓN Y RENOVACIÓN COMO PROVEEDOR DE
SERVICIOS DE CERTIFICACIÓN o CASOS ESPECIALES, punto 5.3.12.2, a la evaluación de la seguridad de los
componentes hardware y software que conforman la infraestructura PKI del PSC o CE. Los elementos a
considerar incluyen los módulos: criptográfico, AC, AR, del almacenamiento y publicación de certificados.

Sin embargo, no se especifica en el apartado antes mencionado, ni en el detalle de la evaluación descrito en

el punto 5.5.12.5, que estos módulos deban existir exclusivamente como hardware desplegado en la
organización. Tampoco se prohíbe de forma expresa la utilización de versiones software, bien sean en la
nube o “as a service”, en gran medida motivado a que cuando se dictaron estas normativas estaban en
diseño estas tecnologías y lo común era la utilización de los HSM como lo indica su nombre, en hardware.

. Dany Romero Sanzonetty 0414-9057428

 ipsc 9

Ahora bien, atendiendo a los criterios generales de la acreditación, contenidos en la norma in comento en el
punto 5.1.2, existe previsión para la inclusión de los avances tecnológicos en la infraestructura nacional de
certificación:

“…5.2.2.3 Los requerimientos del proceso de acreditación deben garantizar la compatibilidad de la Infraestructura
Nacional de Certificación Electrónica con los estándares internacionales, permitiendo así la interoperabilidad entre
los sistemas… 5.2.2.4 Los niveles de exigencia del proceso de acreditación deben ajustarse a las mejores prácticas y los
estándares internacionales… 5.2.2.5 Se considera fundamental promover el desarrollo tecnológico de los
servicios de certificación electrónica, sin preferencia hacia una tecnología en particular. Además los
PSC o CE podrán introducir cambios tecnológicos siempre que estos cumplan con la normativa
establecida, se notifique a SUSCERTE y sean aprobados por ella…”

Esta visión prospectiva de los servicios de certificación electrónica en el país se ve respaldada por la LEY
ANTIBLOQUEO PARA EL DESARROLLO NACIONAL Y LA GARANTÍA DE LOS DERECHOS HUMANOS,
publicada en Gaceta Oficial Extraordinaria Nro. 6583, de fecha 12/12/2020, que apoya la cooperación con el
sector privado para el desarrollo de la economía nacional al establecer en su artículo 29 que:

“… El Ejecutivo Nacional podrá autorizar e implementar medidas que estimulen y favorezcan la participación,
gestión y operación parcial o integral del sector privado nacional e internacional en el desarrollo de la economía
nacional. Tales medidas tomarán en cuenta las particularidades y necesidades específicas para el apoyo de
la pequeña y mediana empresa…”

Tomando en consideración los controles que impone el ordenamiento jurídico venezolano asociado a la
infraestructura nacional de certificación, es posible la implementación de estas nuevas tecnologías siempre
que se garantice el cumplimiento regulatorio existente para el trato con terceros por parte de los PSC. Por
ejemplo, el artículo 37 del Reglamento de la Ley de Firmas y Certificados Digitales, que establece:

“… Infraestructura Prestada por un Tercero… Cuando el Proveedor de Servicios de Certificación requiera o utilice
infraestructura o servicios tecnológicos prestados por un tercero, los contratos deberán prever que a la
terminación de los mismos, se establezca un tiempo suficiente para que el Proveedor de Servicios de
Certificación tome las medidas necesarias para garantizar la continuidad de la prestación de sus
servicios sin perjuicio alguno para los signatarios… La contratación de esta infraestructura o servicios no exime
al Proveedor de Servicios de Certificación, de la presentación de los informes de auditoría previstos en este
Reglamento, los cuales deben incluir los sistemas informáticos y de seguridad del tercero contratado…”

. Dany Romero Sanzonetty 0414-9057428

 ipsc 10

Los HSM “as a service” como Thales CipherTrust Cloud Key Manager y nCipher nShield-as-a-Service permiten
la generación, acceso y protección de material de llaves criptográficas de forma separada a los datos
sensibles. Estas soluciones cumplen con los niveles de seguridad FIPS 140-2 nivel 3 que pueden no estar
disponibles en algunas soluciones de protección de claves en la nube, por lo que resultan interesantes como
complemento de los últimos en la validación de su uso en la infraestructura nacional de certificación
electrónica.

Consideraciones Finales

Con la finalidad de prestar un servicio preciso, tanto de auditoria como de consultoría, y en estricta atención
a la cualidad de Rector del Sistema que ostenta la Superintendencia de Servicios de Certificación Electrónica,
se estima conclusivo que sea éste órgano el que ACLARE la viabilidad del uso de los Módulos de Seguridad
de hardware, o HSM, en su tipo gestionados a distancia – en la nube o “as a service” - .

Es importante especificar si la validez, o invalidez, afecta a los entornos que son expresamente en la nube
como Microsoft Azure, Google Cloud Platform, Amazon Web Services e IBM Cloud Hardware Security
Module; a los entornos más directamente gestionados como Utimaco HSM-as-a-Service, nCipher nShield-as-
a-Service y Thales CipherTrust Cloud Key Manager; o definitivamente a los dos tipos por igual.
Firmado digitalmente por Dany

Dany Romero Sanzonetty

Nombre de reconocimiento (DN):
c=VE, st=DISTRITO CAPITAL, l=AV

Romero
ATLÁNTICO EDIF BLOQUE 1 PISO 8 APT
98 URB ATLÁNTICO NORTE CARACAS,
ou=0011, ou=AUDITOR SUSCERTE,
ou=7929359, cn=Dany Romero

Sanzonetty Sanzonetty,
email=danyqromero@gmail.com
Fecha: 2021.02.17 14:41:50 -04'00'

. Dany Romero Sanzonetty 0414-9057428