Pular para o conteúdo principal
padrão hexadecimal roxo

Sob a superfície digital, uma estrutura de segurança abrangente sustenta muitas das funções essenciais que consideramos garantidas. De e-mail a serviços bancários on-line e muito mais, a infraestrutura de chave pública (PKI) opera nos bastidores para garantir confiança e integridade em quase todas as facetas da vida digital.

Neste guia, exploraremos como a PKI cria um ambiente seguro para interações on-line, fornecendo proteções robustas em várias plataformas para indivíduos e organizações.

O que é PKI?

A infraestrutura de chaves públicas inclui as políticas, funções, hardware, software e procedimentos necessários para criar, gerenciar, distribuir, usar, armazenar e revogar certificados digitais. Um certificado digital funciona como um passaporte ou carteira de motorista, comprovando sua identidade e fornecendo certos benefícios.

O objetivo de uma PKI é facilitar a transferência eletrônica segura de informações para uma variedade de atividades de rede, como comércio eletrônico, serviços bancários pela Internet e e-mail confidencial. É um sistema que permite que usuários e máquinas troquem dados com segurança pela internet e verifiquem a identidade da outra parte.

Por exemplo, quando você faz login na sua conta bancária on-line, a PKI criptografa a conexão e garante que suas informações confidenciais permaneçam privadas e seguras. Dessa forma, você pode inserir suas credenciais com segurança e acessar sua conta com a certeza de que não está interagindo com um site ilegítimo.

Componentes da PKI

A infraestrutura de chave pública não é uma tecnologia única, mas uma combinação de várias partes essenciais. Juntos, eles fornecem as tecnologias e os processos para gerenciar criptografia, proteger dados e proteger a comunicação em escala.

Em um nível alto, a PKI inclui:

  • Chaves PKI: Um par de chaves que permite a criptografia - um processo de ocultação de dados para impedir que qualquer pessoa, exceto o destinatário pretendido, os leia. Na criptografia, cada chave pública é pareada com uma chave privada. A chave pública é distribuída livre e abertamente, enquanto a chave privada é secreta para o proprietário.
  • Certificados digitais: Credenciais eletrônicas que vinculam a identidade do titular do certificado a um par de chaves que pode ser usado para criptografar e assinar informações. 
  • Certificate Authority (CA): A CA é a entidade que emite certificados digitais. 
  • Autoridade de registro (AR): Responsável por aceitar solicitações de certificados e autenticar o indivíduo ou organização por trás delas.
  • Repositório de certificados: Locais seguros onde os certificados são armazenados e podem ser recuperados para validação.
  • Software de gerenciamento centralizado: Um painel onde as organizações podem gerenciar suas chaves criptográficas e certificados digitais.
  • Módulo de Segurança de Hardware (HSM): Dispositivos físicos que fornecem um ambiente seguro para executar operações criptográficas e armazenar/gerenciar chaves digitais.

Muitos desses componentes estão disponíveis por meio de provedores de PKI abrangentes. Por exemplo, a PKI da Entrust é uma solução líder do setor que as organizações usam para manter pessoas, sistemas e recursos conectados com segurança. Como uma oferta flexível, está disponível no local, na nuvem e como um serviço PKI gerenciado.

Como a PKI funciona?

Saber como a PKI funciona pode ajudar você a entender por que ela é essencial e como sua organização pode maximizar suas capacidades. Veja a seguir mais detalhes de cada parte:

Criptografia e encriptação

Embora relacionados, esses termos não são intercambiáveis. Criptografia é a ciência de proteger comunicações por meio de código, enquanto a criptografia é um subconjunto da criptografia que faz isso usando algoritmos matemáticos. Ambos ofuscam informações confidenciais, tornando-as ilegíveis para entidades não autorizadas.

Os algoritmos de criptografia se dividem em duas categorias:

  • Criptografia simétrica: Este método usa a mesma chave criptográfica para criptografar (proteger) e descriptografar (desbloquear) dados. Apesar da simplicidade, é como colocar todos os ovos na mesma cesta: qualquer um que comprometa a chave pode acessar o que ela está protegendo.
  • Criptografia assimétrica: Em contraste, a criptografia assimétrica é usada em toda a PKI, por isso também é chamada de “criptografia de chave pública”. Este método usa um par de chaves matematicamente vinculadas para manipular criptografia e descriptografia separadamente. Como a chave privada permite o acesso, ela é conhecida apenas pela entidade que recebe a mensagem protegida.

Digamos que você queira enviar uma mensagem confidencial para John. Você criptografa a mensagem usando a chave pública de John, que está disponível para qualquer pessoa. Isso garante que somente a chave privada de John, que ele mantém segura, possa descriptografar a mensagem. Essa configuração impede que qualquer outra pessoa, incluindo possíveis invasores, leia o conteúdo.

Mas como você sabe que a chave pública que você recebeu pertence a quem você acha que pertence? Sem autenticação, você corre o risco de ser vítima de um ataque do tipo man-in-the-middle (MITM). É quando um impostor usa uma chave pública para interceptar e alterar comunicações para fins nefastos, como coleta de dados.

Felizmente, é nesse ponto que os certificados digitais entram em ação.

Certificados digitais

Um certificado digital, às vezes chamado de “certificado de chave pública”, é um documento eletrônico usado para identificar o proprietário de uma chave pública. Isso permite que o destinatário confirme que a chave veio de uma fonte legítima, reduzindo o risco de um ataque MITM. 

Os certificados normalmente incluem:

  • Informações identificáveis, como o nome do titular do certificado, o número de série do certificado e sua data de validade
  • Uma cópia da chave pública
  • A assinatura digital da CA emissora para comprovação de autenticidade

Autoridades Certificadoras

Uma certification authority, ou autoridade de certificação, é uma organização terceirizada confiável que cria e emite certificados digitais. No caso de uma CA pública, eles também são responsáveis por verificar e validar as identidades dos detentores de certificados, tornando-os parte integrante da infraestrutura de chave pública.

Todas as CAs devem manter uma “lista de revogação de certificados”. Resumindo, ele documenta todos os certificados revogados por uma CA confiável antes da data de expiração programada, identificando aqueles que não são mais confiáveis.

Em termos gerais, existem dois tipos de CAs:

  • CA raiz: O tipo de CA mais confiável na hierarquia de PKI. O certificado de uma CA raiz é autoassinado, o que significa que é autenticado por sua própria assinatura digital. Essas CAs formam a base da confiança, pois seus certificados são usados para criar, assinar e emitir certificados para CAs subordinadas ou diretamente para entidades finais.
  • CA subordinado: Uma organização certificada por uma CA raiz ou uma subordinada mais acima na cadeia. Os certificados emitidos por uma CA subordinada carregam a assinatura da CA raiz, herdando assim a confiança. Cada certificado na cadeia é responsável por certificar a autenticidade do próximo, criando um caminho de confiança contínuo e confiável de cima para baixo.

Como as CAs criam certificados digitais? O processo básico funciona assim:

  1. Geração de chave: Um usuário gera um par de chaves.
  2. Solicitação de certificado: O usuário envia uma solicitação de assinatura de certificado (CSR) para uma CA, incluindo sua chave pública e informações de identificação.
  3. Verificação: A CA valida a identidade do usuário, geralmente com a ajuda de um RA. 
  4. Emissão de certificados: Uma vez verificado, a CA emite um certificado digital contendo a chave pública do usuário e outros detalhes de identificação. Este certificado também é assinado pela chave privada da CA, criando uma assinatura digital.
  5. Uso de certificado: Ao se envolver em comunicações seguras, o remetente pode criptografar a mensagem usando a chave pública do destinatário. Ao recebê-la, o destinatário pode descriptografar a mensagem usando sua chave privada.

Sistemas de gerenciamento de certificados

Os sistemas de gerenciamento de certificados são soluções de software que facilitam todos os aspectos do ciclo de vida do certificado. Do registro e emissão de certificados à distribuição, revogação e renovação, eles usam a automação para otimizar processos e garantir que os ativos criptográficos sejam gerenciados adequadamente.

Por exemplo, algumas soluções mantêm registros detalhados de todas as atividades relacionadas, auxiliando na conformidade com requisitos regulatórios e auditorias internas. Ao centralizar o gerenciamento por meio de uma única fonte de verdade, as organizações reduzem o risco de certificados mal gerenciados e melhoram a proteção de dados.

Módulos de segurança de hardware (HSMs)

Finalmente, os HSMs desempenham um papel fundamental na arquitetura de segurança da PKI. Em termos básicos, eles são dispositivos físicos projetados para proteger processos criptográficos gerando, armazenando e manipulando chaves em um ambiente reforçado e resistente a violações.

Tomemos como exemplo a geração de chaves. Um módulo de segurança de hardware pode criar um par de chaves usando geradores de números aleatórios de alta qualidade, cruciais para manter a força e a integridade dos sistemas criptográficos. Como as chaves nunca saem do dispositivo em formato de texto simples, sua exposição a potenciais vulnerabilidades é minimizada.

Da mesma forma, uma das principais funções de um HSM é o armazenamento de chaves privadas. Mantê-los em um ambiente de hardware os protege de serem extraídos ou comprometidos por entidades não autorizadas.

Saiba mais sobre as soluções de PKI da Entrust e baixe nosso guia do cliente de PKI hoje mesmo.

Por que a PKI é importante?

Talvez a melhor maneira de entender por que a PKI é importante é colocar seus casos de uso em perspectiva. Aqui estão algumas das maneiras mais significativas pelas quais as organizações aproveitam a PKI em seu benefício:

1. Comunicações seguras

A PKI é fundamental para proteger diversas formas de comunicação digital, incluindo e-mail, serviços de mensagens e muito mais. Isso não apenas protege esses canais, mas também os torna mais confiáveis para todas as partes envolvidas — consumidores, parceiros, funcionários, cidadãos, etc.

2. Controle de autorização e acesso

A PKI fornece mecanismos de autenticação fortes para usuários que acessam sistemas, redes ou serviços on-line. Os certificados podem servir como uma forma de identificação digital segura, garantindo que o acesso seja concedido apenas a usuários verificados.

Esses recursos tornam a PKI especialmente útil para organizações que implementam um modelo de segurança de Confiança zero. A Confiança zero opera com base no princípio de "nunca confie, sempre verifique", o que exige autenticação contínua para confirmar cada usuário e dispositivo que acessa recursos, independentemente da localização.

Além disso, essa abordagem compensa. De acordo com a pesquisa da Forrester, a segurança de Confiança zero pode ampliar os resultados comerciais e, ao mesmo tempo, melhorar a experiência do usuário.

3. Navegação segura na Internet

Muitos aspectos da PKI são altamente relevantes para a navegação na Internet e as transações on-line. Com os protocolos Secure Sockets Layer (SSL) e Transport Layer Security (TLS), os navegadores aproveitam certificados digitais para autenticar sites e estabelecer conexões criptografadas. De forma mais simples, eles informam aos usuários finais que estão acessando um domínio confiável.

Os certificados TLS/SSL garantem que todas as informações transferidas entre o servidor web e o navegador permaneçam privadas. Sites e servidores que não possuem certificados são suscetíveis a ataques e correm o risco de permitir que dados confidenciais caiam em mãos erradas.

4. Assinatura de documentos e registro de data e hora

Assinaturas digitais fornecidas pela PKI verificam a autenticidade e a integridade de documentos eletrônicos. Isso é essencial para documentos legais, contratos e outros registros em que seja necessária prova de originalidade e consentimento.

Mais importante ainda, os certificados de assinatura de documentos atendem a três propósitos principais: 

  • Autenticidade: O certificado confirma que o documento foi assinado pelo indivíduo ou entidade que detém a chave privada correspondente à chave pública no certificado.
  • Integridade: Qualquer alteração no documento após sua assinatura invalida a assinatura digital. Isso garante que o documento recebido seja exatamente o que o signatário pretendia enviar, sem nenhuma modificação.
  • Non-Repudiation: O signatário não pode negar a autenticidade de sua assinatura em um documento, pois a assinatura digital e o certificado associado fornecem fortes evidências da identidade do signatário e de sua concordância com o conteúdo do documento no momento da assinatura.

5. Code signing

Os desenvolvedores de software usam certificados de code signing para autenticar seus scripts. Dessa forma, os usuários finais podem verificar se o software que baixaram não foi alterado. Isso ajuda a proteger contra malware, manter a integridade do software e aumentar a confiança do consumidor.

6. Internet das coisas (IoT)

Com a proliferação de dispositivos conectados, as máquinas tendem a superar em número os usuários humanos. Esses dispositivos — como sensores que coletam, armazenam e transmitem dados para outras máquinas — são potencialmente vulneráveis a ameaças cibernéticas. Mas, com tantos problemas para gerenciar, a segurança da IoT tem se tornado cada vez mais difícil.

Ao fornecer a cada dispositivo um certificado digital exclusivo, a PKI garante uma autenticação robusta, verificando se os dispositivos que se comunicam são realmente legítimos. Isso é crucial para evitar acesso não autorizado e violações de dados.

Além disso, a PKI facilita as comunicações criptografadas entre dispositivos, protegendo a transmissão de dados confidenciais contra espionagem e adulteração. Essa abordagem de segurança abrangente é essencial para manter a integridade e a confidencialidade dos dados em ecossistemas de IoT cada vez mais complexos.

Práticas recomendadas de PKI

Aqui estão algumas práticas recomendadas para aproveitar ao máximo sua implementação de PKI:

  • Use o armazenamento privado de chaves: Implemente mecanismos fortes para proteger chaves privadas, como o uso de HSMs que fornecem proteção física e lógica contra adulteração e acesso não autorizado.
  • Pratique a rotação e renovação regular de chaves: Chaves e certificados não devem ser usados indefinidamente. Estabeleça uma rotina para rotação regular de chaves e renovação de certificados para mitigar os riscos associados à exposição de chaves e aumentar a segurança. Além disso, revogue ativos criptográficos quando necessário, como se um funcionário deixasse a empresa ou uma chave privada fosse comprometida.
  • Implementar esquemas de autenticação fortes: Integre a autenticação multifator (MFA) para aumentar a segurança, especialmente para acessar sistemas PKI e executar operações confidenciais, como emissão ou revogação de certificados.
  • Centralizar o gerenciamento de certificados e chaves: Implemente ferramentas e processos para gerenciar todo o ciclo de vida dos certificados, desde a emissão até a revogação ou expiração. Garanta que essas ferramentas facilitem a conformidade com as políticas de PKI e os padrões de segurança.
  • Criar políticas de backup e recuperação de chaves: Estabeleça e teste regularmente procedimentos de backup e recuperação para confirmar que componentes críticos de PKI podem ser recuperados de forma rápida e segura após uma interrupção ou desastre.
  • Mantenha as políticas e procedimentos atualizados: Políticas de certificação (CP) e declarações de práticas de certificação (CPS) são essenciais para PKI. O CP é um documento abrangente que descreve as diferentes classes de certificados emitidos por uma Certificate Authority e suas políticas aplicáveis. O CPS detalha como a CA implementa essas políticas em uma capacidade técnica. Manter esses documentos atualizados é fundamental para manter a segurança, a confiança e a conformidade legal. Eles devem ser revisados e revisados regularmente para se alinharem ao cenário dinâmico de segurança cibernética, tecnologia e mudanças regulatórias.

Equilibre a segurança e a experiência do usuário com a PKI da Entrust

Somente uma solução abrangente de PKI pode atingir a meta de estabelecer e manter um ambiente de rede confiável e, ao mesmo tempo, fornecer um sistema automático, transparente e fácil de usar. Felizmente, com a Entrust, você obtém tudo o que precisa para ter sucesso.

Nossos serviços de PKI gerenciada estabelecem identidades baseadas em certificados para proteger usuários, aplicativos e dispositivos em sua empresa em evolução. Além disso, nossos especialistas cuidarão da instalação inicial, configuração, manutenção contínua e auditorias em seu nome. Por quê? Para garantir que sua implementação de PKI seja a melhor possível.

Saiba mais sobre as soluções de PKI da Entrust e baixe nosso guia do cliente de PKI hoje mesmo.