Key Management System (KMS): definición
Un Key Management System (KMS), o sistema de gestión de claves, es un sistema de gestión de claves criptográficas utilizado para su generación, distribución, almacenamiento, rotación, archivado y retirada segura. En la práctica, se trata de controlar el ciclo de vida de las claves que se usan para el cifrado de datos, las firmas criptográficas y la autenticación de sistemas. La definición y los requisitos para la gestión de claves se describen, entre otros, en NIST SP 800-57 Part 1 Rev. 5, publicado por el National Institute of Standards and Technology en 2020, así como en ISO/IEC 11770, una serie de normas sobre gestión de claves.
En el contexto de la anonimización de fotos y vídeos, un KMS no realiza el difuminado de rostros ni de matrículas. Su función es indirecta, pero crítica. Este tipo de sistema protege el material de entrada, los archivos ya anonimizados, las copias de trabajo, los metadatos, las claves API, los certificados y los secretos utilizados por el software de procesamiento de imagen. Si una organización utiliza una solución on-premise, el sistema de gestión de claves ayuda a mantener el control sobre quién y cuándo puede descifrar los archivos fuente que contienen la imagen de personas o números de matrícula de vehículos.
En un entorno de procesamiento de foto y vídeo, el KMS suele formar parte de una arquitectura de seguridad más amplia. Se integra con repositorios de archivos, servidores de aplicaciones, bases de datos, módulos HSM y sistemas IAM. Para el Delegado de Protección de Datos, es relevante que un Key Management System correctamente implantado apoye el cumplimiento del principio de integridad y confidencialidad del art. 5.1.f del RGPD, así como de las medidas de seguridad del art. 32 del RGPD. No obstante, implantar un KMS no significa automáticamente cumplir el RGPD. Se trata de una medida técnica, no de un mecanismo completo de cumplimiento.
El papel del KMS en la anonimización de fotos y vídeos
En el proceso de anonimización de materiales visuales, los datos personales más importantes suelen encontrarse en la imagen original. Se trata, sobre todo, de rostros y matrículas. Por ello, la protección del archivo adquiere una importancia especial antes de iniciar la anonimización, durante el trabajo del operador y después de guardar el resultado.
El KMS se utiliza en escenarios como los siguientes:
- cifrado de archivos fuente antes de abrirlos en el sistema de procesamiento de fotos y vídeos,
- control de acceso a las claves de descifrado solo para roles autorizados,
- separación de las claves de cifrado respecto de los propios datos,
- rotación de claves tras un incidente, un cambio de personal o conforme a la política de seguridad,
- registro de las operaciones sobre claves en los logs de seguridad, sin conservar los propios datos personales contenidos en la imagen.
En la práctica, esto significa que el operador solo puede trabajar con el material cuando el sistema recibe autorización para usar la clave adecuada. Una vez finalizado el proceso, el acceso puede revocarse. Esto reduce el riesgo de lectura no autorizada de materiales que contienen la imagen de una persona o datos relacionados con la identificación de un vehículo.
Conviene diferenciar el KMS del mecanismo de anonimización. Gallio PRO difumina automáticamente únicamente rostros y matrículas. No sirve para detectar automáticamente logotipos, tatuajes, placas identificativas, documentos ni contenido mostrado en pantallas de monitor. Estos elementos pueden enmascararse manualmente en el editor. El Key Management System no influye en el alcance de la detección de objetos. Su función es la gestión segura de los secretos utilizados por la infraestructura.
Tecnologías y arquitectura de un KMS
Un KMS puede presentarse como servicio de software, appliance de hardware o capa intermedia integrada con un HSM. En entornos con requisitos de seguridad elevados, las claves maestras suelen almacenarse en HSM compatibles con FIPS 140-3 o con el anterior FIPS 140-2. El estándar FIPS 140-3 fue publicado por NIST en 2019 y define los requisitos de seguridad para módulos criptográficos.
Una arquitectura típica incluye los siguientes elementos:
- clave maestra, Key Encryption Key, utilizada para proteger otras claves,
- claves de trabajo, Data Encryption Keys, utilizadas para cifrar archivos,
- políticas de acceso basadas en roles o atributos,
- mecanismos de rotación y versionado de claves,
- registro del uso de claves y de los eventos administrativos.
En el procesamiento de materiales visuales se aplica con frecuencia el modelo de envelope encryption, es decir, cifrado por envoltura. Consiste en que el archivo de foto o vídeo se cifra con una clave de datos, y esa clave se cifra posteriormente con una clave maestra gestionada por el KMS. Este modelo limita las consecuencias de la compromisión de una única clave y facilita la rotación.
Parámetros y métricas clave de un KMS
La evaluación de un sistema de gestión de claves no debería limitarse a la mera existencia de cifrado. Son importantes parámetros operativos y de seguridad concretos. En entornos de anonimización de fotos y vídeos, estos influyen en la disponibilidad del proceso y en el riesgo de exposición de los materiales originales.
Parámetro | Qué significa | Importancia práctica
|
|---|---|---|
Latencia de la operación criptográfica | Tiempo necesario para obtener acceso a una clave o ejecutar una operación de cifrado | Influye en el tiempo de apertura y guardado de archivos de vídeo de gran tamaño |
Disponibilidad | Disponibilidad del servicio KMS, normalmente expresada en porcentaje | Una caída del KMS puede bloquear el acceso a materiales cifrados |
RTO y RPO | Tiempo de recuperación del servicio y pérdida de datos admisible tras una avería | Aspecto clave cuando se trabaja con materiales probatorios o de auditoría |
Intervalo de rotación de claves | Frecuencia con la que se rotan las claves | Reduce las consecuencias de una compromisión prolongada |
Capacidad de auditoría | Alcance y calidad de las trazas de auditoría | Facilita demostrar el control de acceso y analizar incidentes |
En la práctica, también deben revisarse la longitud de las claves y los algoritmos utilizados. NIST SP 800-57 Part 1 Rev. 5 ofrece recomendaciones sobre la solidez criptográfica y los periodos de uso de las claves. Para el cifrado de datos en reposo se utiliza habitualmente AES-256. Para el intercambio de claves y las firmas son frecuentes RSA 2048 o 3072, así como curvas elípticas con seguridad equivalente, en función de la política de la organización y de los requisitos de interoperabilidad.
Retos y limitaciones del KMS
Un KMS eleva de forma significativa el nivel de seguridad, pero no resuelve todos los problemas relacionados con la protección de la privacidad en la imagen. Si un usuario tiene acceso legítimo al material descifrado, el propio Key Management System no impedirá la publicación errónea de un archivo sin anonimizar. Por ello, debe funcionar junto con controles de permisos, procedimientos operativos y mecanismos de separación de entornos.
Las limitaciones más habituales incluyen:
- punto único de fallo: la indisponibilidad del KMS puede detener los procesos operativos,
- errores de configuración en las políticas de acceso: permisos demasiado amplios anulan las ventajas del cifrado,
- dependencia de una gestión correcta de las copias de seguridad de las claves,
- riesgo de pérdida de acceso a los datos por una rotación incorrecta o la eliminación de una clave.
En los sistemas de anonimización de imágenes también hay que tener en cuenta que el rendimiento del KMS puede convertirse en un cuello de botella en el procesamiento masivo de archivos de gran volumen. Esto es especialmente relevante en grabaciones de vídeo largas o en lotes que incluyen miles de fotografías.
Referencias normativas y cumplimiento
La evaluación de un KMS debe basarse en documentos fuente y estándares, no únicamente en las declaraciones del fabricante. Para las organizaciones que procesan fotos y vídeos con datos personales, son esenciales tanto las normas criptográficas como la normativa de protección de datos.
- RGPD: art. 5.1.f y art. 32, Reglamento (UE) 2016/679,
- NIST SP 800-57 Part 1 Rev. 5: Recommendation for Key Management: Part 1 - General, 2020,
- NIST SP 800-130: A Framework for Designing Cryptographic Key Management Systems, 2013,
- ISO/IEC 11770: Information security, cybersecurity and privacy protection - Key management, serie de normas ISO/IEC,
- FIPS 140-3: Security Requirements for Cryptographic Modules, NIST, 2019.
Desde el punto de vista de la auditoría, es importante que la organización pueda demostrar qué claves protegen los materiales fuente, quién tiene acceso a ellas, cómo se realiza la rotación y de qué forma se han protegido las copias de seguridad. Esto tiene relevancia práctica en el análisis de riesgos y en la evaluación de las medidas técnicas y organizativas.