Infraestrutura de Chave Pública, comumente abreviada como PKI, tornou-se um componente essencial para proteger comunicações e transações on-line. Mas o que exatamente constitui essa estrutura de segurança crítica?
Em sua essência, uma Infraestrutura de Chave Pública se refere a políticas, procedimentos, tecnologias e componentes que facilitam a transferência eletrônica segura de informações, transações e comunicações entre entidades como indivíduos, dispositivos e sistemas. Ela visa atingir isso por meio de mecanismos criptográficos para garantir confidencialidade, integridade, autenticação e não repúdio.
A premissa central baseia-se em criptografia assimétrica, particularmente criptografia de chave pública, com base em um par de chaves criptográficas matematicamente vinculadas — uma chave privada e uma chave pública. Essas chaves criptografam e descriptografam dados de uma forma que somente a outra chave correspondente pode acessar o conteúdo. Mais sobre isso depois. Primeiro, vamos examinar os componentes principais que constituem um PKI sistema.
Os principais componentes de um PKI Ecossistema
Um funcional PKI possui uma combinação de elementos técnicos, organizacionais e processuais.
Autoridades Certificadoras (CAs)
As ACs constituem a base de PKI. Eles emitem, revogam e renovam certificados de identidade digital. Um certificado digital contém informações sobre uma entidade junto com sua chave pública. Essencialmente, o certificado digital vincula um par de chaves criptográficas usado para criptografar a comunicação a uma identidade validada à qual o par de chaves pertence. As CAs, como SSL.com, verificam extensivamente os detalhes antes de assinar digitalmente esses certificados para distribuição.
Um certificado e a CA que o emite são confiáveis pelos usuários e sistemas que dependem dos certificados para comunicação segura. Isso introduz confiança, pois os destinatários reconhecem que uma CA respeitável validou o detentor do certificado.
Confiança das Autoridades Certificadoras e Certificados
O conceito de “confiança” no contexto de Autoridades Certificadoras gira em torno da garantia de que um determinado certificado digital é legítimo e que a entidade que apresenta o certificado é quem ela afirma ser. Essa estrutura de confiança é crucial para comunicações seguras na internet, especialmente para atividades como serviços bancários on-line, compras e comunicações confidenciais, onde verificar a autenticidade de um site ou serviço é essencial.
Confiança publica
A confiança pública envolve certificados emitidos por CAs que são amplamente reconhecidas e automaticamente confiáveis por grandes empresas de navegadores, desenvolvedores de software e sistemas operacionais. Essa confiança é estabelecida porque a CA segue políticas e procedimentos rigorosos antes de emitir um certificado, garantindo que a entidade que solicita o certificado seja legítima e tenha o direito de usar o domínio em questão, aplicar uma assinatura digital com um nome específico ou, de outra forma, representar uma identidade anexada a uma função criptográfica.
A confiança pública decorre das diretrizes e requisitos definidos por um órgão de padronização chamado Certificate Authority Browser Forum ou Fórum da CA / Navegador. O CA/Browser Forum é um consórcio voluntário de autoridades de certificação, fornecedores de navegadores de internet e outras partes interessadas que desenvolvem diretrizes que regem a emissão e o gerenciamento desses certificados publicamente confiáveis. As principais empresas de navegadores e sistemas operacionais decidem em quais CAs confiam e as incluem em seus repositórios de certificados raiz confiáveis. Se uma CA não estiver nesse repositório confiável, os usuários podem receber avisos de que o certificado não é confiável.
Confiança Privada
A confiança privada envolve certificados emitidos dentro de um ecossistema fechado, como uma intranet corporativa ou um ambiente controlado onde as entidades envolvidas têm um relacionamento direto ou confiança umas com as outras. Nesses cenários, uma organização pode atuar como sua própria CA (CA privada) e emite certificados para seus usuários, dispositivos ou serviços. Esses certificados não são necessariamente reconhecidos pelo mundo externo, mas são totalmente válidos dentro do ecossistema da organização.
Delimitação entre confiança pública e privada
A principal delimitação entre confiança pública e privada está no escopo e reconhecimento dos certificados emitidos. CAs publicamente confiáveis têm seus certificados raiz incluídos nos armazenamentos confiáveis dos principais navegadores e sistemas operacionais, permitindo que seus certificados emitidos sejam automaticamente confiáveis por um amplo público sem nenhuma configuração adicional.
Em contraste, certificados emitidos por uma CA privada exigem configuração de confiança manual em quaisquer sistemas fora da rede privada que desejam confiar nesses certificados. Eles não são automaticamente confiáveis pela internet mais ampla e são usados principalmente para propósitos internos, onde a organização tem controle sobre as partes confiáveis.
Os modelos de confiança pública e privada desempenham papéis cruciais na segurança da Internet e na segurança interna das organizações, cada um atendendo a necessidades diferentes com base no escopo de confiança e reconhecimento necessários.
PKI Hierarquia
CAs vêm em duas categorias. CAs raiz formam o pico da hierarquia, enquanto CAs intermediárias distribuem certificados sob elas.
Autoridades de Registro (RAs)
Os RAs verificam a identidade e estabelecem o processo de inscrição antes de solicitar certificados assinados de CAs adequadamente. Os RAs garantem que apenas entidades legítimas recebam certificados por PKI diretrizes de política. As extensas verificações de identidade antes da geração do certificado aumentam a confiança entre as partes interessadas.
Chaves Criptográficas Públicas e Privadas
Este par matematicamente ligado permite o funcionamento criptográfico interno de PKI. Dados criptografados com a chave pública permanecem inacessíveis sem a chave privada correspondente para descriptografia. Isso mantém os dados confidenciais durante as transmissões. Assinaturas digitais assinadas com uma chave privada podem ser verificadas com a chave pública correspondente para autenticação de identidade.
Para entender os diferentes tipos de PKI implementações e que podem ser adequadas para sua organização, confira nosso guia sobre Privado x Público PKI Infraestrutura.
Certificados Digitais
O certificado digital contém detalhes de identificação como nome, organização, local e a chave pública associada. O certificado também traz a assinatura digital da CA emissora para garantias em torno da identidade vinculada. Os certificados estão em conformidade com os padrões internacionais X.509 para permitir a interoperabilidade entre sistemas.
Lista de revogação de certificado (CRL)
A CRL contém uma lista de números de série de certificados revogados por respectivas CAs, indicando identidades comprometidas. As entidades fazem uma verificação cruzada das CRLs para garantir que elas se comuniquem apenas com certificados ainda dentro da validade. Essa lista de referência centralizada facilita a distribuição eficiente de revogações.
Para obter mais informações sobre como funciona a revogação de certificados e como as organizações mantêm sua segurança, consulte nosso guia abrangente para Listas de revogação de certificado (CRL).
O que é o PKI Usado para?
PKI não é apenas uma estrutura teórica — ela permite diversas tecnologias comuns:
- Atividade Segura na Web: HTTPS, SSL/TLS protocolos que estabelecem conexões seguras entre navegadores e servidores utilizam PKI para a criptografia subjacente alimentada por certificados digitais e criptografia de chave pública.
- Criptografia e assinatura de e-mail: A troca de informações confidenciais por e-mail alavanca PKI padrões por meio de tipos de certificados como S/MIME (Secure/Multipurpose Internet Mail Extensions) para criptografar e assinar e-mails.
- Certificados de assinatura de código: Aplica uma assinatura criptográfica ao código do software que o protege contra alterações não autorizadas e identifica o editor.
- Autenticação e controle de acesso: Os mecanismos de autenticação baseados em certificados para acesso VPN empresarial e sistemas de entrada em edifícios fornecem segurança muito mais robusta em protocolos de ID-senha por meio de PKI metodologias.
- Transações Blockchain:Todas as transações em livros-razão de blockchain envolvem transferência de moeda digital por meio de assinatura por meio de chaves de criptografia assimétricas habilitadas por PKI princípios em torno da ligação matemática entre chaves.
À medida que a conectividade digital cresce globalmente em todos os setores, PKI continuará sendo um elemento fundamental que permite privacidade, confiança e segurança por meio de padrões existentes em torno de certificados, gerenciamento de identidade e criptografia.
Como funciona PKI Trabalhos?
Agora que entendemos os principais componentes de PKI, podemos discutir como todos esses componentes funcionam juntos.
- Geração de par de chaves:Cada entidade cria um par de chaves pública e privada.
- Emissão de certificado:Uma Autoridade Certificadora (CA) confiável verifica a identidade da entidade e emite um certificado digital contendo a chave pública.
- Distribuição: Chaves públicas e certificados são distribuídos, enquanto chaves privadas permanecem secretas e devem ser mantidas em segurança pelo detentor do certificado.
- Criptografia: Os remetentes usam a chave pública do destinatário para criptografar mensagens.
- Descriptografia: Os destinatários usam sua chave privada para descriptografar mensagens.
- Assinaturas digitais: Os remetentes assinam mensagens com sua chave privada, verificável por outros usando a chave pública do remetente.
- Validação de Certificado: As entidades verificam os certificados usando a chave pública da CA antes de confiar neles.
Este sistema permite comunicação segura, autenticação e não repúdio em ambientes digitais.
A importância de PKI
Na SSL.com, vimos em primeira mão o imenso valor PKI entrega na proteção da transmissão de dados confidenciais. Como uma autoridade de certificação líder e de confiança pública, continuamos comprometidos em avançar PKI padrões por meio de verificação de identidade robusta, emissão rápida de certificados e monitoramento proativo de infraestrutura.
Com PKI elementos profundamente integrados à segurança cibernética moderna e à identidade digital, vislumbramos seu papel central no futuro da privacidade e integridade na economia digital em expansão.