Parcerias

A PKI é usada para identificar os dispositivos em uma rede e fornecer meios de comunicação seguros entre eles. Os dispositivos recebem uma credencial criptografada (um certificado digital) que identifica os dispositivos e seus fabricantes.

Nomes de usuário e senhas são usados por usuários humanos e estão sujeitos a diversos problemas de segurança, principalmente quando estão relacionados com o gerenciamento da segurança em média e grande escala. É viável inserir um nome de usuário e senha para 10 dispositivos, mas não para 10.000. Além disso, as senhas podem ser comprometidas com mais facilidade do que os certificados digitais.

Um certificado de teste pode ser usado somente no âmbito de um ambiente de testes. Os certificados de teste são gerados usando o mesmo formato e algoritmos da PKI de produção, mas não têm o rigor de segurança e documentação exigidos por uma PKI de produção. A finalidade dos certificados de teste é testar a funcionalidade antes de os dispositivos entrarem em produção. É uma prática recomendada para qualquer empresa que usa PKI testar antes de colocar em produção.

A PA geralmente é responsável pela implementação da PKI e define as políticas e requisitos para as entidades e seus dispositivos que se tornarão membros do ecossistema. A PA pode ser um grupo normativo ou um grande fabricante.

A RA atua em nome da PA para implementar e aplicar as políticas e requisitos da PKI para o ecossistema. A RA verificará as informações da empresa e a identidade dos usuários inscritos no ecossistema e também verificará o status de certificação (se necessário) das empresas e produtos que se conectarão ao ecossistema. A RA faz a gestão administrativa da PKI do ecossistema.

A CA atua em conjunto com a RA para implementar a PKI e infraestrutura de segurança a fim de criar os certificados digitais que os membros usarão para obter acesso ao ecossistema. A CA é responsável pela engenharia e pela operação da PKI no ecossistema.

Você poderia usá-los, mas os certificados SSL/TLS são projetados para casos de uso específicos, como a autenticação entre navegador e servidor para serviços de comércio eletrônico, e não para a segurança de dispositivos de IoT. Esses certificados têm vida útil curta (1 a 2 anos) e geralmente aplicam criptografia RSA, que emprega comprimentos de chave de 2.048 ou 4.096 bits. Os dispositivos de IoT, em geral, não têm capacidade de armazenamento ou computação para esses tipos de certificado e usam Criptografia de curva elíptica (ECC), que produz comprimentos de chave muito menores. Um ECC com um comprimento de chave de 256 bits é praticamente o mesmo que o RSA com chaves de 3.072 bits.

A PKI foi projetada com capacidade de expansão em mente. Por exemplo, o setor de TV a cabo usou a PKI por quase 20 anos em centenas de milhões de dispositivos. Esses certificados de PKI são usados para verificar criptograficamente todos os aspectos que variam desde a conformidade com os padrões DOCSIS até a qualificação do usuário para os serviços. Ao contrário das chaves simétricas usadas no setor de comunicações móveis, a PKI exige uma estrutura de gerenciamento de chaves bastante simples, até mesmo para grandes ecossistemas de vários fornecedores com milhões de dispositivos.

Raízes públicas são usadas para certificados SSL/TLS quando você tem um ecossistema público/aberto, como a World Wide Web, para navegadores e hosts da Web. Raízes privadas são criadas por grupos normativos ou empresas privadas em que o acesso ao ecossistema é fechado ou limitado com base no cumprimento de requisitos específicos. Dependendo do ecossistema, testes de certificação podem ser necessários, antes do recebimento dos certificados, para permitir o acesso aos ecossistemas de PKI privados.

A resposta a esta pergunta depende dos recursos internos e dos requisitos da política de segurança da PA. Na maioria dos casos, é muito mais econômico e seguro terceirizar sua operação de PKI com uma empresa especializada. A devida implantação e operação de uma PKI exige uma quantidade significativa de gerenciamento de documentos e processos para garantir que os sistemas de geração de chaves de assinatura e certificados sejam rigorosamente controlados. Em alguns ecossistemas, é exigido o envio para auditorias de terceiros a fim de demonstrar a conformidade com a política de segurança. Para a maioria das empresas, seria necessário um orçamento substancial para manter essa função durante um longo período de tempo, e é por isso que muitas optam por terceirizar a PKI.

As conexões de rede entre duas entidades raramente são diretas. Na maioria das vezes, as conexões são feitas em vários “saltos” entre os servidores e os switches entre as duas partes. Muitas vezes, a conexão entre os “saltos” é criptografada e protegida, mas, a cada “salto”, os dados são descriptografados, recriptografados e enviados para o próximo “salto”. A criptografia e a segurança de ponta a ponta envolve uma camada acima da camada de rede/TLS onde ocorre autenticação adicional. Desse modo, a camada de criptografia é estabelecida entre os dois endpoints. Em trânsito, os dados são criptografados duas vezes, de modo que, quando forem descriptografados em cada “salto”, ainda haja uma camada de criptografia.

Os termos “criptografia” e “segurança” geralmente são usados de maneira intercambiável, mas são bastante diferentes. A criptografia tem uma função bastante específica, que é impedir a interceptação de transmissões entre as partes. O que a criptografia não é capaz de fazer bem é identificar com quem você está se comunicando. A autenticação desempenha outra função criptográfica, que é verificar a identidade. Com o uso de PKI (acima), uma cadeia confiável de assinaturas digitais pode ser estabelecida, de modo que, quando um dispositivo apresenta seu certificado, você possa saber com segurança com quem seu dispositivo está se comunicando.

Uma das principais vantagens de uma PKI gerenciada é que cada certificado pode ser identificado de modo exclusivo e o controle de acesso pode ser gerenciado em nível de dispositivo. A revogação e o gerenciamento de dispositivos individuais são algumas das principais vantagens de usar uma PKI gerenciada.

A CP é um documento que descreve os requisitos de segurança e o processo em relação ao gerenciamento da PKI de um ecossistema. A CP especifica tudo, desde o formato dos certificados (o perfil do certificado) até a segurança física relacionada com a proteção da raiz e das chaves privadas da CA. Além disso, a CP define o processo e os requisitos para a revogação de certificados, bem como a vida útil e o ciclo de vida dos certificados. A finalidade de uma CP é garantir que um conjunto consistente de políticas e procedimentos seja aplicado a todos os membros de um ecossistema e que a conformidade com esses processos possa ser auditada e verificada de maneira independente.

A agilidade criptográfica é a capacidade de aplicar boas práticas de segurança em uma grande variedade de aplicações e setores. Cada caso de uso e setor vertical tem seus próprios requisitos de fabricação, cadeia de fornecimento e necessidades de mercado.

Como um passaporte ou carteira de motorista, um certificado digital fornece uma prova de identidade e um meio de controle de acesso. Da mesma forma, todas essas credenciais têm vida útil limitada; portanto, caducarão após um período de tempo e exigirão que o portador reconfirme sua identidade e conformidade com as especificações antes de receber uma nova credencial (da mesma forma que o departamento de trânsito exige a obtenção de uma nova carteira de motorista). O gerenciamento da emissão e da renovação de certificados digitais é fundamental para a manutenção da integridade do ecossistema.

Uma PKI é um meio de aplicar a conformidade com os requisitos de um ecossistema. Em muitos ecossistemas, não é possível acessar a PKI de produção e receber certificados até que a empresa e o produto tenham obtido a certificação. Como resultado disso, o certificado digital não apenas serve como prova de identidade para um dispositivo, também pode servir como prova de conformidade com as especificações. Além disso, é bastante provável que um dispositivo inclua vários certificados usados para verificar sua identidade ou sua qualificação para diferentes serviços.

A Kyrio e a Sectigo formaram uma aliança estratégica para combinar a experiência da Kyrio no gerenciamento de ecossistemas e na fabricação de hardware com a grande infraestrutura de segurança e certificação da Sectigo.

A aliança da Kyrio e da Sectigo permite aos fabricantes de dispositivos implementar uma segurança forte em seus ecossistemas de rede de um modo que se alinhe a seus fluxos de produção existentes. A PKI existente da Kyrio permite aos fabricantes implantar certificados em seus dispositivos para uma forte segurança baseada em autenticação, mas sem a necessidade de arcar com os custos de criar e hospedar suas próprias PKIs.

Sim, a Kyrio é o ponto de contato principal.

Sim, a Kyrio é o ponto de contato principal.

A Kyrio é o ponto de contato principal e atende pelo e-mail pkiops@kyrio.com. No entanto, o suporte técnico para o portal de produção é oferecido pela Sectigo e está disponível fora do horário comercia para garantir a continuidade da geração de certificados de produção.