Infraestrutura de Chaves Públicas

De wiki.verde.rj.def.br
Ir para navegação Ir para pesquisar

Informação técnica extraída da Wikipédia

Uma Infraestrutura de Chaves Públicas, cuja sigla é PKI (do inglês Public Key Infrastructure; ou ICP, em português), é um conjunto de técnicas, regras, políticas, hardware, software e procedimentos necessários para emitir, gerenciar, usar, armazenar e revogar certificados digitais e gerenciar criptografias de chaves pública. O propósito do PKI é facilitar a segurança da informação das transferências por meio eletrônico, como transações por e-commerce, internet banking ou emails confidenciais. O PKI é necessário em atividades em que senhas são um método inadequado de autenticação e provas mais rigorosas são requisitadas para confirmar a identidade das partes envolvidas na comunicação e para validar a informação transferida.

Na criptografia, um PKI é um arranjo que vincula chaves públicas com suas respectivas entidades de identidade (como pessoas ou organizações). A vinculação é estabelecia através de um processo de registro e emissão de certificados com e por uma autoridade de certificação (CA, do inglês certificate authority). Dependendo do nível de garantia da vinculação, se pode fazer um processo automatizado ou sob supervisão humana. Quando emitido para a rede, é necessário usar um protocolo de gestão de certificados, como o CMP.

O papel do PKI que pode ser delegado pela CA para garantir a validade e a integridade do registro é nomeado de autoridade de registro (RA, do inglês registration authority). Basicamente, um RA é responsável por aceitar pedidos de certificados digitais e autenticar a entidade que fez o pedido. O RFC 3647 da Internet Engineering Task Force define um RA como "uma entidade que é responsável por uma ou mais das seguintes funções: a identificação e autenticação dos solicitantes de certificado, a aprovação ou rejeição do solicitantes de certificado, revogar ou suspender certificados em determinadas circunstâncias, processar pedidos dos inscritos para revogar ou suspender seus próprios certificados e/ou aprovar ou rejeitar pedidos de inscritos para renovar ou reemitir certificados. Os RA, entretanto, não assinam ou emitem certificados". Enquanto a Microsoft pode ter se referido uma CA subordinada como uma RA, isso é incorreto de acordo com os padrões X.509 PKI. RA não devem ter autoridade de um CA para assinar e devem, portanto, apenas gerenciar as revogações e autorizações de certificados. Então, no caso dos PKI da Microsoft, a funcionalidade de um RA é provida tanto pelo website da Microsoft Certificate Services, quanto através do Active Directory Certificate Services que assegura o CA da Microsoft Enterprise e políticas de certificado através de modelos de certificados e gerencia as inscrições (manuais ou automáticas) dos certificados. No caso da Microsoft Standalone CAs, a função dos RA não existem, uma vez que todos os procedimentos que controlam o CA são baseados na administração e acesso à procedimentos associados com o sistema hospedeiro do CA e o CA em si, no lugar do Active Directory. A maioria das soluções PKI comerciais que não são da Microsoft oferecem um componente RA independente.

Uma entidade deve ser identificada unicamente dentro de cada domínio CA na base da informação daquela entidade. Uma autoridade de validação (VA, do inglês validation authority) de terceiros pode prover a essa entidade informações em nome do CA.

O padrão X.509 define a maioria dos formatos de certificados de chave pública comumente utilizados.

Disponível em “https://wiki.verde.rj.def.br/w/index.php?title=Infraestrutura_de_Chaves_Públicas&oldid=724