¿Cómo se calcula la confianza de las CA en PKI Trust Center?
Uno de los objetivos de PKI Trust Center es ayudar a los usuarios a decidir el grado de confianza que pueden depositar en una autoridad de certificación reconocida (CA). A la práctica, esta ayuda se ofrece a través de una valoración (rating) que indica el grado de confianza que se puede depositar en la CA, en base a las políticas que ésta sigue para emitir los certificados.
¿Por qué no todas las autoridades de certificación reconocidas que están catalogadas en PKI Trust Center tienen un rating de confianza del 100%? Porque para hacer la valoración, se usa un algoritmo que tiene en cuenta parámetros de las políticas de certificación que están objetivamente relacionados con el concepto de confianza, como por ejemplo el tamaño de la clave de los certificados, o si el proceso de registro requiere la presencia física del titular del certificado.
En concreto, PKI Trust Center utiliza técnicas de minería de datos que calculan un rating inicial automáticamente, y además tienen la capacidad de aprender a medida que los usuarios de la aplicación aportan sus propias valoraciones sobre las CA, siguiendo la filosofía de las aplicaciones de la Web 2.0.
El catálogo se beneficia de este aprendizaje progresivo, ya que la confianza que merecen determinadas prácticas de certificación actuales puede ir variando con el paso del tiempo debido, por ejemplo, a la evolución de los mecanismos de seguridad o la normativa legal.
El proceso de aprendizaje progresivo del algoritmo de minería de datos que infiere la valoración de confianza de las políticas de certificación se consigue simultáneamente de dos maneras:
- Por un lado, los usuarios de nivel experto pueden asignar un rating a una política, diferente del valor calculado automáticamente. Así, el sistema gana experiencia y aprende de la modificación adaptándose automáticamente para ofrecer un resultado más ajustado a partir de ese momento.
- Por otro lado, el número de parámetros de referencia para realizar el cálculo, así como el rango de valores que pueden tomar, puede ir aumentando. De este modo, la aplicación dispondrá progresivamente de más información, y el resultado del cálculo automático se ajustará mejor a la percepción real de confianza que tienen los usuarios sobre cada una de las políticas.
En la primera versión de PKI Trust Center, varias de las políticas de certificación de las CA tenían un rating de confianza asociado que aparentemente podría parecer bajo (alrededor de 30 sobre 100). Esto se debía a que, aunque los valores de los parámetros de las políticas de certificación fueran aceptables, no siempre correspondían a los de máxima seguridad, y el algoritmo aún no había aprendido de las aportaciones de los usuarios. Obviamente, que la valoración objetiva de Autoridades de Certificación reconocidas fuera tan baja, podía contrariar a los usuarios, por lo que ha sido necesario aplicar un factor de corrección a los ratings de confianza.
Por este motivo, en la versión 1.1 de PKI Trust Center, todas las políticas de CA reconocidas del catálogo se encuentran dentro del rango de confianza entre 50 y 100. Obviamente, con el paso del tiempo, las políticas actuales pueden ir quedando obsoletas y el algoritmo les irá asignando valoraciones más bajas.
Un caso de uso de las valoraciones de confianza de PKI Trust Center se encuentra en la funcionalidad “Import from X.509” de Interidy Identity Provider. Si se comprueba que el certificado está emitido siguiendo una política con un rating mayor de un determinado umbral (actualmente, 50 sobre 100), se infiere que la información procede de una fuente de confianza, y por lo tanto los datos se consideran verificados.
