PKI (Infraestrutura de chave pública) depende de chaves públicas e privadas para criptografar dados. Os Módulos de Segurança de Hardware (HSMs) protegem essas chaves em caixas à prova de violação. Os HSMs armazenam e gerenciam as chaves, evitando roubo ou uso indevido. Eles são vitais para PKI segurança, permitindo transações e comunicações on-line confiáveis. Este artigo explica por que os HSMs são tão importantes para PKI e segurança on-line.
O papel da infraestrutura de chave pública na criptografia, gerenciamento de certificados e comunicação segura
PKI cumpre várias funções importantes. Ele fornece uma base sólida para construir confiança, manter a confidencialidade e facilitar transações seguras. A seguir estão os usos em expansão de PKI na comunicação digital:
-
Criptografia: PKI facilita a criptografia e descriptografia, permitindo uma comunicação segura. Quando Alice deseja enviar uma mensagem criptografada para Bob, ela criptografa a mensagem com a chave pública de Bob. Somente Bob, que possui a chave privada correspondente, pode descriptografar e ler a mensagem. Isso garante que as notícias sejam mantidas em sigilo, mesmo que os inimigos as interceptem.
-
Gerenciamento de certificados: PKI envolve produção, administração, distribuição, uso, armazenamento e revogação de certificados digitais. Depois de autenticar a identidade de uma entidade, as Autoridades de Certificação emitem certificados. Esses certificados estabelecem identidades confiáveis, validam a integridade do conteúdo digital e permitem comunicação segura.
-
Assinaturas digitais: PKI permite a criação e validação de assinaturas digitais, que oferecem não repúdio e integridade ao conteúdo digital. Quando Alice assina digitalmente um documento usando sua chave privada, qualquer pessoa com sua chave pública pode confirmar que ela assinou o documento e que não foi adulterado desde que a assinatura foi aplicada. Para obter informações mais detalhadas sobre certificados de assinatura de registros e assinaturas digitais, você pode visitar nosso guia completo em .
-
Navegação segura na Internet: PKI é a base para uma navegação segura na web por meio de tecnologias como Transport Layer Security (TLS) e seu precursor, Secure Sockets Layer (SSL). Esses protocolos fornecem conexões seguras entre navegadores e servidores, garantindo que os dados confidenciais enviados pela Internet sejam criptografados e seguros.
-
E-mail seguro: Usando certificados digitais, PKI fornece transmissão segura de e-mail. PKI mantém a autenticidade e o sigilo do conteúdo do e-mail, assinando-o digitalmente e criptografando-o, evitando acesso não autorizado ou adulteração. Para obter informações mais detalhadas sobre como enviar um e-mail seguro usando S/MIME (Extensões de correio da Internet seguras/multifuncionais), você pode visitar nosso guia completo em .
-
Segurança IoT (Internet das Coisas): Com o desenvolvimento de dispositivos IoT, PKI desempenha um papel importante na segurança das conexões dos dispositivos e na manutenção da integridade dos dados enviados. Usando certificados digitais, PKI permite autenticação de dispositivos, atualizações seguras de firmware e criptografia de dados em ecossistemas IoT. Para obter informações mais detalhadas sobre como proteger a Internet das Coisas (IoT) com SSL/TLS (Secure Sockets Layer/Transport Layer Security), você pode visitar nosso guia completo em .
Compreensão PKIOs usos extensivos e a integração em inúmeras facetas da comunicação digital e da segurança cibernética são críticos para a compreensão da importância dos HSMs na melhoria PKI segurança.
O papel dos módulos de segurança de hardware na infraestrutura de chave pública
Módulos de Segurança de Hardware (HSMs) desempenham um papel importante no aumento da segurança da Infraestrutura de Chave Pública (PKI), fornecendo um ambiente seguro para manter e proteger chaves criptográficas. HSMs são dispositivos de hardware especializados que usam fortes técnicas de segurança física e lógica para manter chaves importantes protegidas contra acesso e alteração ilegais.
Melhorando a segurança das chaves
A principal função dos HSMs é proteger as chaves criptográficas usadas em PKI. Os sistemas de gerenciamento de chaves (HSMs) fornecem um ambiente seguro para produção, armazenamento e controle de acesso de chaves. Os HSMs melhoram a segurança das chaves das seguintes maneiras:
Geração de chaves seguras: Os HSMs criam chaves criptográficas em seu hardware seguro e fornecem uma fonte confiável de números aleatórios. Isso protege a integridade e a força das chaves, protegendo o processo de geração contra manipulação ou comprometimento externo.
Design à prova de adulteração e inviolável: Métodos de segurança física são integrados aos HSMs, tornando-os invioláveis e à prova de falsificação. Possuem carcaças reforçadas, sensores de detecção de violação e mecanismos de autodestruição que são ativados em caso de acesso indesejado ou modificação do dispositivo. Essas salvaguardas protegem contra ataques físicos, como adulteração ou extração de chaves importantes.
Segurança de armazenamento de chaves: Os HSMs armazenam com segurança chaves criptográficas em seu hardware, evitando acesso ilegal. As chaves são criptografadas e mantidas em uma memória segura que não pode ser adulterada ou extraída. As chaves permanecem seguras mesmo que um invasor obtenha acesso físico ao HSM.
Descarregamento de operações com uso intensivo de recursos
Operações criptográficas aprimoradas: HSMs são dispositivos desenvolvidos especificamente que se destacam na execução eficiente de operações criptográficas. As organizações podem aumentar drasticamente a velocidade e o desempenho das atividades criptográficas, como criação, assinatura e descriptografia de chaves, explorando o hardware especializado dentro do HSM.
Menor carga de processamento: A transferência de atividades criptográficas para HSMs libera poder de processamento em servidores ou outros dispositivos, permitindo que eles se concentrem em tarefas mais importantes. Esse aprimoramento melhora o desempenho e a escalabilidade geral do sistema, especialmente em contextos com alto volume de operações criptográficas.
Defesa contra ataques de canal lateral: Os ataques de canal lateral, que exploram informações derramadas durante operações criptográficas, são projetados em HSMs. O hardware dedicado dos HSMs ajuda a mitigar esses ataques, protegendo a confidencialidade de chaves importantes.
Autorização e Controle de Acesso
Os HSMs incluem fortes recursos de controle de acesso para garantir que apenas indivíduos ou processos autorizados possam acessar e usar chaves criptográficas. Entre as medidas de controle de acesso estão:
Autenticação: Para acessar as chaves armazenadas, os HSMs requerem técnicas de autenticação como senhas, chaves criptográficas ou elementos biométricos. Isso proíbe que usuários não autorizados acessem ou extraiam as chaves.
Políticas de Autorização: As organizações podem usar HSMs para definir políticas de autorização granulares que descrevem quais entidades ou processos podem acessar chaves específicas e executar ações criptográficas. Isso ajuda a implementar o conceito de privilégio mínimo, evitando o uso indevido ou não autorizado de chaves.
Auditoria e Documentação: Os HSMs mantêm registros de auditoria detalhados de atividades de gerenciamento de chaves, como uso de chaves, tentativas de acesso e modificações de configuração. As organizações podem usar esses logs para monitorar e revisar operações importantes, detectar anormalidades e garantir a conformidade com regulamentos de segurança.
O papel dos HSMs na PKI é crucial para a proteção de chaves criptográficas, descarregando processos que consomem muitos recursos e implementando mecanismos rígidos de controle de acesso. As organizações podem melhorar a sua PKI segurança, escalabilidade e desempenho das instalações empregando HSMs.
Cloud HSMs para assinatura de documentos e códigos
À medida que mais empresas adotam a computação em nuvem, há uma necessidade maior de soluções seguras de gerenciamento de chaves na nuvem. Módulos de segurança de hardware (HSMs) agora estão disponíveis como serviço (HSMaaS) de provedores de nuvem e fornecedores de HSM, permitindo configurações seguras para criação e armazenamento de chaves. Esta seção examinará os HSMs em nuvem com suporte para assinatura de documentos. Certificados de assinatura de código EV e OV, suas capacidades e os procedimentos importantes associados ao seu uso.
Visão geral dos Cloud HSMs suportados
SSL.com atualmente oferece suporte a vários serviços HSM em nuvem para emissão de certificados de assinatura de documentos e certificados de assinatura de código confiáveis da Adobe. Vejamos três ofertas populares de HSM em nuvem com mais detalhes:
AWS CloudHSM: é uma plataforma de computação em nuvem. CloudHSM é um serviço que fornece HSMs aprovados pelo FIPS 140-2 Nível 3 na nuvem. O AWS CloudHSM oferece instâncias HSM dedicadas situadas fisicamente em data centers da AWS. Ele suporta armazenamento seguro de chaves e operações criptográficas e inclui backup de chaves e alta disponibilidade.
HSM dedicado Azure: é o produto do módulo de segurança de hardware do Microsoft Azure. Ele valida HSMs para FIPS 140-2 Nível 3 para armazenamento seguro de chaves e operações criptográficas. O Azure Dedicated HSM oferece isolamento de chaves do cliente e inclui capacidades como backup e restauração de chaves, alta disponibilidade e escalabilidade.
HSM do Google Cloud: é o serviço do módulo de segurança de hardware fornecido pelo Google Cloud. Ele verifica HSMs para FIPS 140-2 Nível 3 para gerenciamento seguro de chaves. O Google Cloud HSM oferece um serviço especializado de gerenciamento de chaves que inclui recursos como backup e restauração de chaves, alta disponibilidade e gerenciamento centralizado de chaves.
De acordo com os requisitos da Adobe e da Microsoft, é necessário que as chaves criptográficas usadas para assinatura sejam armazenadas em um dispositivo compatível, não sejam exportáveis do dispositivo e não tenham sido importadas para o dispositivo. Esses requisitos fazem com que o uso de HSMs seja um HSM gerenciado pelo cliente, um serviço HSM em nuvem ou um serviço de assinatura em nuvem como um requerimento.
Para saber mais sobre como oferecemos suporte para Cloud HSMs, entre em contato conosco.visite nossa página dedicada.
Solicitando atestados e certificados
Como um HSM em nuvem não é operado e gerenciado pela Autoridade de Certificação, protocolos precisos devem ser seguidos para garantir a geração e o armazenamento seguros de chaves privadas. Embora algumas ofertas de HSM em nuvem possam fornecer um procedimento pronto para uso para produzir uma prova de atestado de chave para os pares de chaves de um pedido de certificado, há ofertas de HSM em nuvem que não fornecem esse recurso. No entanto, ainda é possível atestar a geração e o armazenamento adequados das chaves por meio de um procedimento manual de atestação e verificação. Vamos repassar as etapas essenciais:
Critérios de atestado: Para garantir a geração e armazenamento seguros de chaves privadas dentro do HSM, um profissional de segurança cibernética com qualificações adequadas deve atuar como auditor do processo de geração de chaves e atestar (daí o termo “atestado”) que um par de chaves foi gerado e está armazenado de maneira compatível em um dispositivo HSM compatível. No caso de SSL.com, serviços de atestado podem ser fornecidos para os serviços HSM em nuvem mencionados acima. O processo de atestado normalmente termina com a criação de uma Solicitação de Assinatura de Certificado (CSR) e enviá-lo para SSL.com para verificação, após o qual o CSR é usado para gerar o certificado solicitado.
Pedido de certificado: as organizações podem iniciar o procedimento de solicitação de certificado assim que a geração e o armazenamento da chave privada forem validados. O certificado CSR é submetido à autoridade de certificação, que emite o certificado de assinatura de documento, OV ou EV de assinatura de código.
Para obter mais informações sobre pedidos de certificados e opções de exploração, visite nossa página de pedidos de certificados no seguinte URL: .
Formulário de solicitação de serviço Cloud HSM
Se você quiser solicitar certificados digitais e visualizar os níveis de preços personalizados para instalação em uma oferta de HSM de nuvem compatível (AWS CloudHSM, Google Cloud Platform Cloud HSM ou Azure Dedicated HSM), preencha e envie o formulário abaixo. Após recebermos sua solicitação, um membro da equipe SSL.com entrará em contato com você com mais detalhes sobre o processo de pedido e certificação.