Segurança em aplicações de PKI

Por -

Abrimos o jornal... e eis que temos mais uma nova tecnologia. Essa cena virou rotina no ambiente corporativo. Public Key Infrastruture é um bom exemplo dessas tecnologias recém-nascidas. PKI ou Infra-estrutura de Chaves Públicas, consiste de serviços, protocolos e aplicações utilizados para o gerenciamento de chaves públicas e certificados. O que fazem? Provêem serviços de criptografia de chave pública e assinatura digital, permitindo a interação segura entre usuários e aplicações.

Os serviços oferecidos por uma solução PKI variam: registro de chaves com a emissão de um novo certificado para uma chave pública; revogação ou cancelamento de certificados; obtenção de chaves públicas de uma autoridade certificadora; e validação de confiança, determinando se o certificado é válido e a quais operações ele está autorizado.


Formada basicamente por software, essas soluções podem ser instaladas na maioria dos servidores existentes no mercado: Windows NT, Novell Netware, Solaris, HP-UX, AIX, Macintosh OS, etc. Contudo, ainda existem iniciativas com soluções que suportam hardwares próprios de criptografia para a geração das chaves e emissão dos certificados.

Componentes de uma solução PKI
* Autoridade Certificadora (CA)
* Autoridade Registradora (RA), opcional
* Diretório

Certification Authority (CA) ou Autoridade Certificadora é uma entidade representada por pessoas, processos e ferramentas, usada na emissão de certificados digitais que, de uma forma segura, associa o nome da entidade (usuário, máquina etc) ao seu par de chaves. Ela funciona como um agente da segurança. Desta forma, se os usuários confiam em uma CA e em sua política de emissão e gerenciamento de certificados, confiam nos certificados emitidos pela CA. Isso é o que chamamos de third-party trust ou confiança em uma terceira parte ou entidade.

O Diretório, por sua vez, pode ser entendido como um local de armazenamento (repositório) dos certificados e das listas de revogação emitidos por uma CA.

Benefícios de uma solução PKI
* Autenticação: identificar os usuários e máquinas
* Controle de Acesso: controlar quem acessa as informações e realiza as transações
* Confidencialidade e Privacidade: ter certeza de que a comunicação é privada mesmo via Internet
* Integridade: garantir que a informação não será alterada
* Não-repúdio: prover um método digital de assinatura das informações e transações

O conceito é inovador e vem para expandir a esfera da segurança até às aplicações. Contudo é preciso definir as necessidades com clareza, para só então especificar uma solução PKI.

Em tempo... cabe um agradecimento aos especialistas em segurança da informação Marlon Dias e Marcelo Duarte, que subsidiaram este artigo com informações técnicas mais aprofundadas sobre esta promissora tecnologia.

Marcos Sêmola é MBA em Tecnologia Aplicada e Consultor de Segurança da Módulo Security Solutions S.A.

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Redação Ti Nota 10 - Klauss

Por -
Imagem
Neste post trago pra vocês a prova discursiva do Klauss Henry, que fechou a prova discursiva da área meio. Espero que ajude a nortear os estudos de vocês nessa parte discursiva. Pelo que vemos o importante é que apareça as palavras mágicas (Ishikawa, Pareto, análise de requisitos, metas gerais e específicas CMMI, PMO, BSC, missão institucional, Plano Diretor de TI, Alinhar TI e Negócios, Dominios COBIT - Aquisição e Implementação, Entrega e Suporte, Mon. e Avaliação e Planej e Organização, ISO 17799, CMMI, ITIL, ServiceDesk, as gerências do ITIL, PSI, GED), numa sequencia lógica coerente, detalhando apenas as partes mais relevantes, haja vista que o espeço é reduzido(20 linhas e 50 linhas). Abaixo a questão 3 e a redação da prova de TI área meio. Parabéns Klauss mais uma vez pela aprovação nas duas áreas!!!!! O cara é um monstrinho!!!! Abraços
Leia mais

Prova Discursiva nota 10 - Banca Cespe

Por -
Imagem
Procurando um pouco na internet chegamos até o site http://www.blogconcurseiradedicada.com/ que conseguiu resumir muito bem a prova discursiva nota 10 para a banca cespe. Vamos ao texto. Atendendo aos pedidos, a Concurseira Dedicada conseguiu uma Prova Discursiva nota 10 da banca Cespe, prova AJAJ TRT 10/2012. O espelho da discursiva e nota foi enviado pelo próprio candidato. Vamos à prova?? Um juiz do trabalho determinou, em ata de audiência, que o reclamado providenciasse o depósito de honorários prévios, como antecipação do numerário destinado ao perito e do numerário necessário ao pagamento das despesas com a perícia, que foi requerida pelo reclamante, não beneficiário de justiça gratuita, com o propósito de demonstrar seu direito à percepção, em sua remuneração, de adicional de periculosidade, dos reflexos dele decorrentes e de outros direitos. O advogado do reclamado registrou, em ata, o inconformismo de seu cliente em face do requerimento descrito, defe
Leia mais

Portugues - Orações

Por -
Diferença entre oração subordinada adverbial causal e coordenada (sindética explicativa ) Diferença entre oração subordinada adverbial causal e coordenada sindética explicativa É difícil, às vezes, distinguir uma oração subordinada adverbial causal de uma oração coordenada sindética explicativa. Eis alguns artifícios que podem auxiliar na distinção desses dois tipos de oração: a) Geralmente, a oração que antecede a oração coordenada explicativa tem o verbo no modo imperativo. "Fiquem quietos, que o professor já vem." Verbo no imperativo: fiquem. Oração coordenada sindética explicativa: que o professor já vem. b) A oração subordinada adverbial causal pode ser colocada no início do período, introduzida pela conjunção como, o que não ocorre com a coordenada sindética explicativa: "Não vim à aula PORQUE ESTAVA DOENTE." "COMO ESTAVA DOENTE, não vim à aula." Diferenças entre a concessiva e adversativa (Sintaxe ) A oração adv
Leia mais