O que é PKI?

O que é PKI?

A infraestrutura de chaves públicas (PKI) é um sistema de processos, tecnologias e políticas para você criptografar e assinar dados. É possível emitir certificados digitais que autentiquem a identidade de usuários, dispositivos ou serviços. Esses certificados criam uma conexão segura para páginas da Web públicas e sistemas privados — como sua rede privada virtual (VPN), o Wi-Fi interno, as páginas wiki e outros serviços que oferecem suporte a MFA. Tem dúvidas?

Perguntas frequentes

O que é PKI?

A infraestrutura de chaves públicas (PKI) é um sistema de processos, tecnologias e políticas que permite criptografar e/ou assinar dados. Com a PKI, você pode emitir certificados digitais que autenticam a identidade de usuários, dispositivos ou serviços. Esses certificados funcionam tanto para páginas da web públicas quanto para serviços internos privados (por exemplo, para autenticar os dispositivos que se conectam à sua VPN, Wiki, Wi-Fi etc.)

Por que minha organização deve usar PKI?

Com a infraestrutura de chaves públicas (PKI), você aumenta significativamente o nível de segurança da sua rede. Três benefícios principais permitem isso:

• Autenticação: valide as identidades para garantir que só usuários e dispositivos autorizados tenham acesso a um servidor.
• Criptografia: use um certificado para criar uma sessão criptografada e transmitir as informações de forma privada.
• Integridade dos dados: certifique-se de que nenhuma mensagem ou dado transferido entre dispositivos e servidores sejam alterados.

Como a PKI é usada?

Os casos de uso comuns de PKI incluem, mas não são limitados a:

• Proteção de páginas da Web
• Criptografia de arquivos
• Autenticação e criptografia de mensagens de e-mail usando S/MIME
• Autenticação de nós que se conectam a uma rede sem fio
• Autenticação de conexões na VPN
• Autenticação de conexões em sites e serviços com dados corporativos usando autenticação mútua TLS

O que é criptografia de ponta a ponta?

Na criptografia de ponta a ponta, uma mensagem é criptografada no seu dispositivo, e a descriptografia é feita no dispositivo do destinatário. Isso significa que nenhum terceiro poderá interceptar seus dados confidenciais.

O que é CA?

Uma autoridade de certificação (CA) é um terceiro confiável que verifica a identidade de uma organização que solicita um certificado digital. Depois de verificar a identidade da organização, a CA emite um certificado e vincula essa identidade a uma chave pública. Um certificado digital pode ser confiável porque está vinculado ao certificado raiz da CA.

O que é certificado digital?

Um certificado digital atesta a identidade do titular. Assim como a carteira de motorista, o certificado foi emitido por um terceiro confiável, não pode ser falsificado e contém informações de identificação.

O que são chaves públicas e privadas e como elas estão relacionadas?

As chaves públicas e privadas são usadas para criptografar e descriptografar informações. Só a chave privada pode descriptografar as informações criptografadas pela chave pública. Esse par de chaves é conhecido como criptografia assimétrica (porque a criptografia é feita usando chaves não idênticas). As duas chaves estão matematicamente relacionadas, mas é impossível determinar uma chave usando a outra.

O que são raízes públicas e privadas?

Um certificado raiz fornece a assinatura ao vincular uma identidade à chave pública. É assim que você identifica se um certificado é válido e se pode confiar nele.

A DigiCert oferece soluções para PKI pública e privada?

A resposta curta é sim. A DigiCert oferece soluções para PKI pública e privada, junto com uma plataforma e a API RESTful, que permitem automatizar o gerenciamento de certificados e personalizar os fluxos de trabalho de PKI. É possível que você tenha trabalhado apenas com uma CA comercial para adquirir certificados SSL públicos. Por ele ser seu único ponto de referência, você pode presumir que os certificados privados têm custos semelhantes aos dos certificados públicos – o que não é o caso. A emissão de um certificado digital privado pela DigiCert é uma fração do custo de um certificado público.

Os engenheiros e administradores de segurança às vezes pensam erroneamente que uma PKI privada hospedada os limitará a determinados perfis de certificado. Eles acham que só terão acesso aos perfis de certificado aprovados pelo CA/Browser Forum. No entanto, a DigiCert pode fornecer qualquer perfil de certificado necessário. Esses perfis de certificado não precisam ser perfis de certificado SSL/TLS – eles nem mesmo precisam ser X.509.

O que é MPKI?

A PKI gerenciada (MPKI) é uma solução fornecida por uma CA para você começar a automatizar os processos de certificação e personalizar os fluxos de trabalho de PKI. Quando sua organização chegar ao ponto de exigir um alto volume de certificados, você se beneficiará de uma solução MPKI que simplifica o gerenciamento de certificados.

Devemos configurar uma CA interna (criar) ou usar uma CA hospedada (comprar)?

Você pode proteger os serviços internos (por exemplo, VPN, Wi-Fi, Wiki etc.) usando uma CA interna. As organizações geralmente fazem isso usando o Microsoft CA. No entanto, pode ser caro e demorado criar e manter uma CA interna. Considere cuidadosamente os custos de cada opção antes de decidir. Várias CAs fornecem soluções hospedadas que podem economizar alguns custos de hardware, software e pessoal envolvidos na criação de uma PKI interna.

O que é uma política de certificado?

Uma política de certificado (CP) é um documento criado para identificar os vários envolvidos em uma PKI e os respectivos deveres e funções. A CP especifica práticas; por exemplo, como os certificados podem ser usados, como os nomes dos certificados devem ser escolhidos, como as chaves devem ser geradas e muito mais. A CP associada é normalmente especificada em um campo do certificado X.509. Para obter informações detalhadas sobre CP, consulte o documento de referência mais atualizado (RFC 3647): https://tools.ietf.org/html/rfc3647

O que é armazenamento de chaves e como devemos usá-lo?

O armazenamento de chaves, muitas vezes chamado de arquivamento de chaves, armazena a chave privada com segurança caso ela seja perdida. Para atender à conformidade FIPS e garantir o mais alto nível de segurança, sugerimos armazenar suas chaves usando um módulo de segurança do hardware (HSM).

O que é HSM?

O HSM é uma opção criptográfica baseada em hardware para armazenamento seguro de chaves. Normalmente, ele está fisicamente no local e requer recursos internos para manutenção. Isso pode ser caro, mas existem opções mais econômicas. Por exemplo, o Microsoft Azure Key Vault fornece armazenamento seguro de chaves no HSM em nuvem da Microsoft. Se sua organização for menor ou não tiver os recursos para comprar e manter o próprio HSM, o Microsoft Azure Key Vault é uma solução viável. Algumas CAs públicas, inclusive a DigiCert, oferecem integrações com o Microsoft Azure.

Como posso começar a desenvolver uma PKI?

Para começar, você precisa avaliar seu ambiente, considerando suas necessidades e a tecnologia com a qual trabalha. Sugerimos estas cinco etapas para começar:

• Identifique seus riscos à segurança da rede não negociáveis
• Identifique os riscos à segurança da rede que a PKI pode reduzir
• Desenvolva a combinação certa de PKI pública e privada
• Decida se deseja desenvolver (CA interna) ou comprar (CA hospedada)
• Determine como automatizar a entrega de certificados aos dispositivos

Se precisar de ajuda, entre em contato com um de nossos arquitetos de PKI enviando um e-mail para enterprise@digicert.com.