Como realizar o armazenamento de certificados digitais e chaves criptográficas, e ao mesmo tempo garantir a segurança da empresa? Sem dúvida o caminho passa sempre pela adoção de boas práticas.
Isto é, o armazenamento de certificados digitais e chaves criptográficas fornece uma camada de segurança crítica que protege todos os ativos virtuais de uma empresa.
As violações em virtude de ataques baseados em confiança são causadas justamente pelo armazenamento inadequado e a má gestão.
Quando tem sucesso, um ataque realizado contra um certificado digital pode ter efeitos desastrosos para qualquer organização. Além de aspectos ligados à segurança, os certificados expirados provocam grandes prejuízos em negócios perdidos.
Por isso, não basta implementar uma política de uso de certificados digitais e chaves criptográficas: é preciso também desenvolver de forma assertiva processos de armazenamento e gerenciamento.
Continue a leitura deste post para saber mais sobre armazenamento de certificados digitais.
O armazenamento de certificados digitais e os ataques baseados em confiança
Como você sabe, os certificados digitais e as chaves criptográficas são essenciais para os negócios. Afinal, eles protegem os dados, mantêm as comunicações privadas e estabelecem confiança entre as partes em comunicação.
Na prática, os certificados digitais são usados para diversas finalidades. Entre elas, estão a checagem de identidade, criptografia de arquivos, autenticação da web, segurança de e-mail e verificação de assinatura de software.
Apesar de sua importância, muitas empresas estão vulneráveis a violações, pois permitem que o gerenciamento de certificados e chaves criptográficas seja visto como um problema operacional, em vez de ser considerado como uma vulnerabilidade de segurança que precisa ser corrigida imediatamente.
De fato, existe muito mais uma falha nas políticas e nos processos de armazenamento de certificados digitais do que uma vulnerabilidade ocasionada pela ausência de updates de segurança ou bugs que possam comprometer qualquer tipo de estrutura tecnológica de uma organização.
Afinal, os hackers se concentram em chaves criptográficas e certificados como vetores de ataque. Com más intenções, eles as roubam para obter um status confiável e, em seguida, usam isso para evitar a detecção e ignorar os controles de segurança.
O ataque acontece justamente quando ocorre a quebra de confiança
Cibercriminosos usam ataques baseados em confiança para se infiltrar em empresas, roubar informações valiosas e manipular domínios. Ou seja, se chaves privadas usadas para assinar um certificado digital caírem em mãos erradas, o sistema pode ser violado e o site derrubado.
Quando essas chaves criptográficas são perdidas, tempo e energia significativos são desperdiçados para acessar sistemas ou renovar certificados.
Para você ter uma ideia, se os certificados de assinatura de código usados para assinar um aplicativo para iPhone ou Android, por exemplo, forem comprometidos, um desenvolvedor não autorizado poderá lançar um malware com a ajuda da identidade corporativa violada.
A fim de reduzir o risco de ataques baseados em confiança, os certificados digitais e as chaves criptográficas precisam ser protegidos e armazenados com segurança. Assim, evita-se que sejam perdidos ou caiam em mãos erradas.
As opções de armazenamento de certificados digitais e as práticas recomendadas
Toda vez que um certificado digital é emitido, um par de chaves — privada e pública — é gerado.
Sem dúvida, a melhor prática é manter a chave privada segura.
Afinal, caso alguém consiga usá-la, poderá criar sites de phishing com o certificado da sua organização na barra de endereços, fazer autenticação em redes corporativas se passando por você, assinar aplicativos ou documentos em seu nome e ler seus e-mails criptografados.
Em muitas empresas, os certificados digitais e as chaves criptográficas são as identidades de seus funcionários e, portanto, uma extensão da identificação de sua organização. A proteção delas equivale a proteger suas impressões digitais ao usar credenciais biométricas.
Certamente você não permitiria que um hacker pegasse sua impressão digital. Então, por que deixá-lo ter acesso ao seu certificado digital?
|
|
O armazenamento de certificados digitais
As modalidades mais utilizadas para armazenamento de certificados digitais no Brasil são duas: A3, em token ou cartão, e A1, em arquivo no computador ou outro dispositivo.
A3 armazenado em token
Trata-se de um tipo de certificado que fica armazenado em um token criptográfico, um dispositivo semelhante a um pendrive, que deve ser conectado diretamente a uma porta USB do computador do usuário ou servidor onde rodará o sistema. Além disso, não é possível fazer cópia, sob pena de bloqueio da mídia.
A3 armazenado em cartão
Este tipo de certificado fica armazenado em um cartão inteligente com chip, igual aos novos cartões bancários. Em suma, ele deve ser conectado a uma leitora que precisa ficar ligada em uma porta USB do computador do usuário ou servidor onde rodará o sistema. Igualmente, não é possível fazer cópia, sob pena de bloqueio da mídia criptográfica.
A1 armazenado em arquivo no computador ou outro dispositivo
É um arquivo eletrônico gravado no computador do usuário ou servidor onde rodará o sistema. Geralmente possui as extensões .PFX ou .P12 e não necessita de tokens ou cartões para ser transportado de um lado para outro.
A1 armazenamento em nuvem
Com ele é possível acessar o seu certificado e assinar documentos digitalmente por meio de qualquer dispositivo: desktops, smartphones e tablets. Por fim, também ganha-se em segurança e elimina-se a preocupação com danos físicos, roubos e perdas.
Não perca seus certificados digitais
Em síntese, o armazenamento de certificados digitais precisa ser eficiente e tratado como uma prioridade na organização.
A escolha da melhor forma de armazenar dependerá das políticas e dos processos de segurança implementados na empresa e, principalmente, de quem usa os certificados e para que eles são usados.
Dessa forma, quaisquer regulamentações que sua empresa precise cumprir, custos e recursos internos serão assegurados por meio do armazenamento dos certificados digitais.
Sobre a Eval
A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.
Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.
Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.
Eval, segurança é valor.
