Envelope Encryption: definición
El Envelope Encryption, en español cifrado envolvente, es un patrón criptográfico en el que los datos operativos se cifran con una clave de datos de un solo uso o rotada periódicamente, y esa propia clave de datos se cifra después con una clave maestra independiente. En la práctica, esto significa separar la protección del contenido de la protección de la clave que ha cifrado dicho contenido. Este modelo se utiliza en sistemas que procesan archivos de gran tamaño, incluidas fotos y vídeos que contienen rostros y matrículas.
En la literatura técnica, esto corresponde a la combinación del cifrado simétrico de datos con un mecanismo de key wrapping o con el uso de criptografía asimétrica para proteger la clave de datos. NIST describe el key wrapping en la publicación SP 800-38F de 2012, y la gestión del ciclo de vida de las claves en SP 800-57 Part 1 Rev. 5 de 2020. En entornos de producción, lo más habitual es cifrar los datos con el algoritmo AES, mientras que la clave de datos se protege mediante una clave almacenada en un KMS o un HSM, o bien mediante criptografía asimétrica.
En el contexto de la anonimización de fotos y vídeos, el cifrado envolvente no sustituye al difuminado de rostros ni al desenfoque de matrículas. Cumple una función distinta. Protege el material original, los archivos intermedios, las exportaciones y las claves utilizadas durante el procesamiento. Es especialmente relevante cuando una organización debe limitar el riesgo de acceso no autorizado a las grabaciones antes de la anonimización, durante el tratamiento y después de su finalización.
Cómo funciona el cifrado envolvente en el procesamiento de fotos y vídeo
El mecanismo es conceptualmente sencillo, pero los detalles operativos son importantes. Para cada archivo o lote de archivos, el sistema genera una clave de datos. Con esa clave cifra la imagen, la grabación o el archivo de salida. A continuación, la clave de datos se cifra con una clave maestra. En el archivo o en el registro de metadatos se almacenan la clave de datos cifrada, el identificador de la clave maestra utilizada y los parámetros necesarios para el descifrado, por ejemplo, un nonce o IV.
En un sistema de anonimización de material visual, este flujo suele tener el siguiente aspecto:
- el archivo de entrada se guarda en un almacenamiento cifrado,
- durante el procesamiento se habilita un acceso controlado a los datos descifrados,
- el modelo de IA realiza la detección de rostros y matrículas,
- el resultado de la anonimización se guarda como un archivo nuevo, también cifrado,
- las claves de datos para la versión de entrada y la de salida pueden ser distintas,
- la rotación de la clave maestra no requiere volver a cifrar los archivos completos, sino únicamente volver a proteger las claves de datos.
Esta última es la principal ventaja de la arquitectura de cifrado envolvente cuando se trabaja con grandes volúmenes de datos de vídeo. Volver a cifrar terabytes de material sería costoso tanto desde el punto de vista computacional como operativo. Volver a proteger únicamente las claves de datos es mucho más rápido.
El papel del cifrado envolvente en la anonimización de fotos y grabaciones
En un proceso de anonimización visual existen al menos dos tipos de riesgo. El primero se refiere a una detección incorrecta o incompleta de rostros y matrículas. El segundo afecta a la divulgación del material antes de la anonimización o al acceso a la versión original después de la exportación. El cifrado envolvente aborda este segundo ámbito.
En la práctica, esto significa que, incluso si un archivo se copia desde un repositorio o desde un medio de respaldo, seguirá siendo ilegible sin acceso a la clave maestra correcta y a los metadatos criptográficos. Para el Delegado de Protección de Datos, es importante que esta medida respalde el principio de confidencialidad e integridad del artículo 5, apartado 1, letra f del RGPD, así como la seguridad del tratamiento del artículo 32 del RGPD. No obstante, el cifrado por sí solo no convierte los datos en anónimos. Conforme al enfoque del CEPD y de las autoridades de control, se trata de una medida de seguridad, no de una técnica de anonimización.
Elementos técnicos clave y parámetros
La evaluación de la calidad de una implantación no debería limitarse a afirmar que los datos están cifrados. Importan los algoritmos, las longitudes de clave, la forma de generar aleatoriedad y el modelo de gestión de claves.
Elemento | Solución habitual | Importancia práctica
|
|---|---|---|
Algoritmo de cifrado de datos | AES-256-GCM | Confidencialidad e integridad en un único modo AEAD. NIST SP 800-38D, 2007. |
Clave de datos | DEK - Data Encryption Key | Cifra un archivo, segmento o lote de datos concreto. |
Clave maestra | KEK o CMK | Se utiliza para proteger la DEK. Debe estar protegida en un KMS o HSM. |
Envoltura de clave | AES Key Wrap | Mecanismo estandarizado de protección de claves. NIST SP 800-38F, 2012. |
Aleatoriedad | CSPRNG | Crítica para la seguridad del nonce, el IV y las claves. |
Rotación de claves | Periódica o basada en eventos | Limita el impacto de una posible exposición de la clave y favorece la gestión del ciclo de vida de las claves. |
Ejemplos de métricas y atributos que conviene evaluar en un sistema de procesamiento de fotos y vídeo:
- tiempo de descifrado y puesta a disposición del archivo para su procesamiento, normalmente medido en ms o s por archivo,
- sobrecarga de almacenamiento: metadatos, etiqueta de autenticación, DEK cifrada,
- tiempo de rotación de la clave maestra, que depende del número de operaciones de reprotección de claves,
- RPO y RTO para la recuperación de claves tras un fallo,
- número de personas y roles con acceso al descifrado del material original,
- nivel de aislamiento entre el entorno de producción, el de pruebas y las copias de seguridad.
Si el sistema utiliza AES-GCM, es necesario garantizar la unicidad del nonce para cada clave. El incumplimiento de esta regla puede provocar la pérdida de seguridad. Es un requisito técnico, no una opción de configuración.
Aplicación práctica en un entorno
En los entornos on-premise, frecuentes cuando se trabaja con material sensible, el cifrado envolvente facilita la separación de funciones. El servidor de aplicaciones puede procesar los archivos, pero la clave maestra permanece fuera de él, por ejemplo, en un HSM o en un KMS dedicado. De este modo, la exposición de un componente no tiene por qué implicar un acceso inmediato al contenido completo de las grabaciones.
En el caso de Gallio PRO, esto es importante para organizar un flujo seguro de archivos. El software difumina automáticamente rostros y matrículas, pero no anonimiza otras categorías de datos visibles en el material. Por eso, la protección de los archivos originales y de las copias de trabajo es especialmente importante. El cifrado envolvente puede proteger el material antes del procesamiento, después del procesamiento y en el archivo. Esto no modifica el alcance de las funciones de detección del sistema: logotipos, tatuajes, placas identificativas, documentos o imágenes visibles en pantallas de monitor no se detectan automáticamente y requieren acciones manuales en el editor.
Limitaciones y errores más frecuentes
El cifrado envolvente es un patrón maduro, pero a veces se implanta de forma incorrecta. En ese caso, los beneficios formales no se traducen en una seguridad real.
- almacenar la clave maestra en el mismo servidor que los archivos cifrados,
- ausencia de rotación de claves y de procedimientos de retirada de claves tras un incidente,
- uso de modos obsoletos sin autenticación, por ejemplo, CBC por sí solo sin protección adicional de integridad,
- gestión inadecuada del nonce o del IV,
- tratar el cifrado como sustituto de la anonimización,
- dejar archivos temporales y caché sin cifrar durante el procesamiento de vídeo.
También hay que distinguir la seguridad criptográfica de la eficacia de la anonimización. Incluso el material mejor cifrado, una vez descifrado, puede seguir conteniendo datos personales visibles si la detección de rostros o matrículas ha sido incompleta.
Referencias normativas y fuentes
Los siguientes documentos son los más citados al diseñar y auditar este tipo de solución. Son fuentes técnicas y regulatorias, no comentarios de marketing.
- NIST SP 800-38D, Recommendation for Block Cipher Modes of Operation: Galois/Counter Mode (GCM) and GMAC, 2007.
- NIST SP 800-38F, Recommendation for Block Cipher Modes of Operation: Methods for Key Wrapping, 2012.
- NIST SP 800-57 Part 1 Rev. 5, Recommendation for Key Management, 2020.
- FIPS 197, Advanced Encryption Standard (AES), actualización editorial de 2023, publicación original de 2001.
- RGPD - Reglamento (UE) 2016/679, artículo 5 y artículo 32.
- ENISA, materiales sobre seudonimización y medidas criptográficas en protección de datos, utilizados como apoyo en la evaluación de medidas técnicas.
En la parte terminológica pueden encontrarse dos prácticas. Una diferencia DEK y KEK como funciones de clave independientes. La otra utiliza denominaciones que dependen del proveedor, por ejemplo data key y customer managed key. La diferencia es principalmente de nomenclatura, siempre que la arquitectura mantenga la misma separación de funciones.