Segurança em aplicações de PKI


Abrimos o jornal... e eis que temos mais uma nova tecnologia. Essa cena virou rotina no ambiente corporativo. Public Key Infrastruture é um bom exemplo dessas tecnologias recém-nascidas. PKI ou Infra-estrutura de Chaves Públicas, consiste de serviços, protocolos e aplicações utilizados para o gerenciamento de chaves públicas e certificados. O que fazem? Provêem serviços de criptografia de chave pública e assinatura digital, permitindo a interação segura entre usuários e aplicações.

Os serviços oferecidos por uma solução PKI variam: registro de chaves com a emissão de um novo certificado para uma chave pública; revogação ou cancelamento de certificados; obtenção de chaves públicas de uma autoridade certificadora; e validação de confiança, determinando se o certificado é válido e a quais operações ele está autorizado.


Formada basicamente por software, essas soluções podem ser instaladas na maioria dos servidores existentes no mercado: Windows NT, Novell Netware, Solaris, HP-UX, AIX, Macintosh OS, etc. Contudo, ainda existem iniciativas com soluções que suportam hardwares próprios de criptografia para a geração das chaves e emissão dos certificados.

Componentes de uma solução PKI
* Autoridade Certificadora (CA)
* Autoridade Registradora (RA), opcional
* Diretório

Certification Authority (CA) ou Autoridade Certificadora é uma entidade representada por pessoas, processos e ferramentas, usada na emissão de certificados digitais que, de uma forma segura, associa o nome da entidade (usuário, máquina etc) ao seu par de chaves. Ela funciona como um agente da segurança. Desta forma, se os usuários confiam em uma CA e em sua política de emissão e gerenciamento de certificados, confiam nos certificados emitidos pela CA. Isso é o que chamamos de third-party trust ou confiança em uma terceira parte ou entidade.

O Diretório, por sua vez, pode ser entendido como um local de armazenamento (repositório) dos certificados e das listas de revogação emitidos por uma CA.

Benefícios de uma solução PKI
* Autenticação: identificar os usuários e máquinas
* Controle de Acesso: controlar quem acessa as informações e realiza as transações
* Confidencialidade e Privacidade: ter certeza de que a comunicação é privada mesmo via Internet
* Integridade: garantir que a informação não será alterada
* Não-repúdio: prover um método digital de assinatura das informações e transações

O conceito é inovador e vem para expandir a esfera da segurança até às aplicações. Contudo é preciso definir as necessidades com clareza, para só então especificar uma solução PKI.

Em tempo... cabe um agradecimento aos especialistas em segurança da informação Marlon Dias e Marcelo Duarte, que subsidiaram este artigo com informações técnicas mais aprofundadas sobre esta promissora tecnologia.

Marcos Sêmola é MBA em Tecnologia Aplicada e Consultor de Segurança da Módulo Security Solutions S.A.
Postar um comentário

Postagens mais visitadas deste blog

MANUAL DE REDAÇÃO DA PRESIDÊNCIA DA REPÚBLICA

Plural de substantivos compostos