A chave privada é um arquivo de texto criado durante a Solicitação de Assinatura de Certificado (CSR) usando um número aleatório exclusivo. Você deve sempre mantê-lo em um local seguro e nunca compartilhá-lo com ninguém. Mesmo que seja apenas um arquivo de texto, ele é essencial para a integridade dos dados. Você pode prejudicar sua reputação de forma irreparável se sua chave privada for comprometida. Sem mencionar as perdas financeiras em que você pode incorrer. Neste artigo, mostraremos as práticas recomendadas de armazenamento de chaves privadas.
Índice
- Onde armazenar a chave privada?
- Como proteger a chave privada?
- O que acontece quando uma chave privada é comprometida?
- O que fazer se você perdeu sua chave privada?
A espinha dorsal da criptografia da Web é a infraestrutura de chave pública (PKI), um sistema que fornece comunicação segura em uma rede usando uma combinação de chaves criptográficas públicas e privadas. Essas chaves são geradas juntas como um par e funcionam em conjunto durante o processo de handshake do TLS. A chave pública é usada para criptografar, e a chave privada criptografada é usada para descriptografar os dados.
Enquanto as chaves públicas estão disponíveis para qualquer pessoa como parte de seu certificado SSL, a chave privada é armazenada no servidor e mantida em segredo. Quando você preenche um formulário com informações pessoais e o envia ao servidor, a chave pública criptografa as informações e as protege contra ataques cibernéticos. Quando chega ao servidor, a chave privada descriptografa essas informações. O par de chaves garante que ninguém mais possa decodificar seus dados confidenciais. Nos próximos parágrafos, mostraremos como armazenar chaves privadas de forma segura.
Onde armazenar a chave privada?
Em geral, a melhor maneira de armazenar chaves privadas é gerá-las junto com o CSR no servidor em que você pretende instalar o certificado SSL. Dessa forma, você elimina o risco de vulnerabilidade durante a transferência de uma máquina para outra. No entanto, às vezes você pode precisar criar a chave privada por meio de uma ferramenta externa de geração de CSR. Por esse motivo, existem arquivos especiais chamados de armazenamentos de chaves que podem armazenar com segurança seu par de chaves públicas e privadas.
Localmente com Keystores (arquivos PFX e KS)
PKCS#12 (.pfx ou .p12) e .jks* (criados pela ferramenta de chaves Java) são arquivos especiais que contêm seu par de chaves públicas/privadas. Você pode armazenar esses arquivos em qualquer lugar, inclusive em servidores remotos. Seu principal recurso de segurança é uma senha que protege o conteúdo. Sempre que quiser usar sua chave privada, você deverá digitar uma senha forte. Certifique-se de criar uma senha sofisticada e aleatória se usar esse método.
Outra vantagem desses arquivos é que você pode distribuir cópias facilmente se várias pessoas precisarem usar o certificado. Apenas certifique-se de que confia totalmente neles e em suas intenções ao compartilhar a senha da chave privada.
Módulo de segurança de hardware
Se estiver procurando uma maneira à prova de balas para armazenar suas chaves privadas, você deve optar por dispositivos físicos, como tokens USB, cartões inteligentes ou módulo de segurança de hardware (HSM). Com os dispositivos de armazenamento de hardware, os invasores precisam primeiro obter acesso a eles, o que é significativamente mais improvável no mundo físico real. O truque aqui é não deixar dispositivos portáteis, como tokens USB e cartões inteligentes, conectados. Quanto ao HSM, esse dispositivo de armazenamento de hardware criptográfico, tanto na teoria quanto na prática, deveria oferecer a melhor proteção, mas é caro e impraticável para a maioria dos usuários.
Como proteger a chave privada?
O armazenamento seguro de chaves privadas é essencial para proteger informações confidenciais e garantir a confidencialidade, a integridade e a autenticidade dos dados. As práticas recomendadas de armazenamento de chaves privadas não se limitam a locais físicos ou virtuais. Medidas de segurança adicionais e ferramentas de gerenciamento de chaves podem adicionar outra camada à proteção de chaves privadas. Siga as etapas essenciais abaixo e você nunca mais precisará se preocupar com a segurança de suas chaves privadas.
1. Use um sistema de gerenciamento de chaves (KMS) confiável
Um KMS é um sistema centralizado que oferece armazenamento, gerenciamento e proteção seguros de chaves criptográficas. Ele permite criar, girar e revogar chaves e oferece controles de acesso para garantir que somente usuários autorizados possam acessar as chaves.
2. Criptografar a chave privada
É possível criptografar chaves privadas usando um algoritmo de criptografia robusto, como o AES (Advanced Encryption Standard), e armazenar a chave criptografada em um local seguro. O governo dos EUA usa o AES para proteger informações confidenciais.
Adicione uma frase secreta forte para criptografar a chave e mantenha a frase secreta separada da chave criptografada. Dessa forma, mesmo que os hackers obtenham acesso às suas chaves privadas, eles terão que adivinhar a senha e descriptografar as chaves privadas, dando ao proprietário tempo suficiente para identificar e eliminar a violação.
3. Faça backup de suas chaves privadas
Mantenha backups da chave privada para o caso de a chave original ser perdida ou comprometida. No entanto, certifique-se de armazenar os backups das chaves privadas de forma segura, como em um local seguro e fora do local. Trate seus backups como se fossem a chave original.
4. Limitar o acesso
Conceda acesso à chave privada somente a usuários autorizados que precisem dela para realizar suas tarefas e deveres. Use controles de acesso e mecanismos de registro para rastrear o acesso à chave. Certifique-se de que sua empresa tenha uma política clara de gerenciamento de chaves e que os funcionários estejam cientes das ameaças à segurança cibernética.
5. Monitoramento de verificação
Monitorar e verificar o processo de controle de acesso das chaves privadas é essencial para proteger suas chaves. Verifique regularmente quem tem acesso às chaves privadas para detectar quaisquer alterações inesperadas ou tentativas de acesso não autorizado. Use software para automatizar esse processo sempre que possível ou contrate um terceiro independente para realizar uma auditoria. O monitoramento eficaz da verificação mantém suas chaves privadas seguras e evita qualquer acesso não autorizado.
O que acontece quando uma chave privada é comprometida?
Às vezes, apesar de seus melhores esforços, suas chaves privadas podem ficar comprometidas. Se você suspeitar ou detectar uma violação de segurança, deverá enviar uma solicitação de revogação de certificado à sua Autoridade de Certificação. Dependendo de sua situação específica, a CA pode ter até 5 dias para revogar o certificado. Se encontrar evidências claras de que a solicitação de certificado não foi autorizada, o certificado deverá ser revogado em 24 horas.
O que fazer se você perdeu sua chave privada?
Você não precisa enviar uma solicitação de revogação se tiver excluído acidentalmente o arquivo e não houver backup. Nesse caso, basta entrar em contato com a CA e solicitar a reemissão do certificado. No entanto, se suas chaves privadas puderem cair nas mãos de outra pessoa como resultado de um disco rígido perdido ou roubado, é mais seguro solicitar a revogação do certificado.
Conclusão
A chave privada é um componente essencial do seu certificado SSL e da proteção de dados. Embora ninguém esteja imune a violações de dados, tomar as medidas preventivas necessárias reduz o risco associado a uma chave privada comprometida. Siga as práticas recomendadas de armazenamento de chaves privadas para evitar incidentes de segurança de alto impacto que possam ter um efeito duradouro em suas operações comerciais.
Economize 10% em certificados SSL ao fazer seu pedido hoje!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10
