Explicação dos conceitos/palavras da PKI

O ambiente da PKI dentro de uma organização é por vezes difícil de compreender devido às muitas abreviaturas, conceitos e palavras que são típicos da PKI.
Para isso, fizemos uma lista destes itens com uma explicação para te ajudar a compreender melhor o mundo da PKI.

Termo Descrição
Norma de encriptação avançada (AES) é uma especificação para a encriptação simétrica de dados electrónicos
Encriptação assimétrica A O ato de utilizar duas chaves diferentes, mas matematicamente relacionadas, para efeitos de encriptação. Uma chave pública (que pode ser partilhada com qualquer pessoa) para encriptar mensagens e uma chave privada (que deve ser conhecida apenas pelo destinatário) para desencriptar mensagens.
Acesso a Informações de Autoridade (AIA) Especifica num certificado onde encontrar certificados pai actualizados do certificado
Ambiente de gestão automática de certificados (ACME) é um protocolo de comunicações para automatizar as interações entre as autoridades de certificação e os servidores dos seus utilizadores, permitindo a implantação automática de infra-estruturas de chaves públicas a um custo muito baixo.
Solução de gestão de certificados e chaves (CKMS) Um conjunto de regras e processos, frequentemente combinados numa solução de software, que permite a criação e a gestão segura de certificados baseados em PKI e das correspondentes chaves privadas
Autoridade de Certificação (CA) Um recurso e um sistema para criar certificados digitais e possuir as políticas, práticas e procedimentos para verificar os destinatários e emitir os certificados. Cabe aos proprietários e operadores de uma AC determinar os métodos de verificação para os destinatários de certificados, os tipos de certificados que irão emitir, os parâmetros contidos em cada certificado e os procedimentos de segurança e operações.
Cadeia de certificados Uma cadeia de certificados que consiste no certificado do assinante, no certificado da AC emissora, no(s) certificado(s) da AC intermédia e no certificado da AC de raiz.
Gestão do ciclo de vida dos certificados (CLM) Um conjunto de regras e processos, muitas vezes combinados numa solução de software, que permite a gestão de certificados baseados em PKI
Protocolo de gestão de certificados (CMPv2) é um protocolo da Internet normalizado pela IETF utilizado para obter certificados digitais X.509 numa infraestrutura de chave pública (PKI). O CMP é um protocolo muito flexível e rico em caraterísticas, que suporta qualquer tipo de criptografia. As mensagens CMP são autónomas, o que, ao contrário do EST, torna o protocolo independente do mecanismo de transporte e proporciona segurança de ponta a ponta.
Caminho do certificado Uma cadeia de certificados que consiste no certificado do assinante, no certificado da AC emissora, no(s) certificado(s) da AC intermédia e no certificado da AC de raiz.
Política de certificados (PC) Uma forma especializada de política administrativa ajustada às transacções electrónicas realizadas durante a gestão de certificados. Uma política de certificados aborda todos os aspectos associados à geração, produção, distribuição, contabilidade, recuperação de compromissos e administração de certificados digitais. Indiretamente, uma política de certificados pode também reger as transacções realizadas através de um sistema de comunicações protegido por um sistema de segurança baseado em certificados. Ao controlar extensões críticas de certificados, essas políticas e a tecnologia de aplicação associada podem apoiar o fornecimento dos serviços de segurança exigidos por aplicações específicas.
Modelo de certificado Descrição pormenorizada da estrutura, dos componentes e da origem dos dados no certificado
Listas de revogação de certificados (LCR) Uma lista de certificados (ou, mais especificamente, uma lista de números de série para certificados) que foram revogados e, por conseguinte, as entidades que apresentam esses certificados (revogados) já não devem ser confiáveis
Pedido de assinatura de certificado (CSR) O CSR regista informações de identificação num formato único para uma pessoa ou dispositivo que possui uma chave privada, bem como informações sobre a chave pública correspondente.
Lista de Confiança de Certificados (CTL) A coleção de certificados de confiança utilizados pelas Partes Confiantes para autenticar outros certificados.
Declaração de Práticas de Certificação (DPC) Uma declaração das práticas que uma AC emprega na emissão, suspensão, revogação e renovação de certificados e no fornecimento de acesso aos mesmos, de acordo com requisitos específicos (i.e., requisitos especificados nesta Política de Certificados ou requisitos especificados num contrato de serviços).
Ponto de distribuição de LCR (CDP) O local onde podes transferir a última CRL.
Assinatura digital é uma forma de verificar a autenticidade através da utilização de um identificador digital único. As assinaturas digitais baseiam-se na encriptação assimétrica, uma vez que o proprietário de uma chave privada pode utilizar essa chave para assinar digitalmente uma mensagem. Terceiros podem então utilizar a chave pública correspondente para verificar a assinatura e confirmar que a mensagem não foi modificada em trânsito, o que faria com que a verificação falhasse. As assinaturas digitais também permitem o não-repúdio, uma vez que os signatários não podem negar a sua assinatura.
Criptografia de curva elíptica (ECC) É uma abordagem de encriptação à criptografia de chave pública baseada na estrutura algébrica das curvas elípticas sobre campos finitos. O ECC permite chaves mais pequenas em comparação com a criptografia não EC, como o RSA, para proporcionar uma segurança equivalente.
Certificado de encriptação Um certificado que contém uma chave pública e a correspondente Utilização de Chave que é utilizada para encriptar mensagens electrónicas, ficheiros, documentos ou transmissões de dados, ou para estabelecer ou trocar uma chave de sessão para estes mesmos fins.
Certificado de Entidade Final Um certificado que reside na parte inferior da hierarquia da AC e não pode ser utilizado para assinar quaisquer outros certificados. A maioria dos certificados de utilizador final, dispositivo e servidor são certificados de entidade final
Registo através de transporte seguro (EST) é um protocolo criptográfico que descreve um protocolo de gestão de certificados X.509 destinado a clientes de infra-estruturas de chave pública (PKI) que necessitam de adquirir certificados de cliente e certificados de autoridade de certificação (CA) associados. O EST é descrito no RFC 7030. O EST foi apresentado como um substituto do SCEP, sendo mais fácil de implementar em dispositivos que já possuem uma pilha HTTPS. O EST usa HTTPS como transporte e aproveita o TLS para muitos dos seus atributos de segurança.
Utilização de chave alargada (EKU) Define as propriedades avançadas para as quais um certificado será utilizado.
Módulo de segurança de hardware (HSM) Um módulo de segurança de hardware é um dispositivo informático físico que protege e gere chaves digitais para uma autenticação forte e fornece processamento de operações criptográficas.
Lavagem Uma impressão digital normalmente utilizada em assinaturas digitais, para garantir que os dados não foram adulterados. Especificamente, é um algoritmo unidirecional utilizado para converter um valor noutro para mascarar informações através de um resultado matemático.
Autoridade de Certificação Intermediária (Intermediária) Uma AC que está subordinada a outra AC e tem uma AC subordinada a si própria.
Autoridade de certificação emissora Uma AC subordinada que emite certificados para utilizadores finais e computadores (sujeitos de certificados).
Atestação de chaves é a capacidade técnica de provar a uma parte remota que uma chave privada de cifragem foi gerada no interior de um módulo criptográfico de hardware, como o módulo de plataforma fiável (TPM) ou o módulo de segurança de hardware (HSM), e que é gerida no seu interior e não é exportável a partir desse módulo
Utilização de chaves (KU) Define as propriedades básicas para as quais um certificado será utilizado.
Protocolo LDAP (Lightweight Diretory Access Protocol) é um protocolo de aplicação aberto, neutro em termos de fornecedores e padrão da indústria para aceder e manter serviços de informação de diretórios distribuídos através de uma rede IP (Internet Protocol). Os serviços de diretório desempenham um papel importante no desenvolvimento de aplicações de intranet e Internet, permitindo a partilha de informações sobre utilizadores, sistemas, redes, serviços e aplicações em toda a rede. Um LDAP é frequentemente utilizado para armazenar dados de certificados S/MIME de uma conta de utilizador
Multipurpose Internet Mail Extensions (MIME) é uma norma da Internet que alarga o formato das mensagens de correio eletrónico para suportar texto em conjuntos de caracteres diferentes de ASCII, bem como anexos de áudio, vídeo, imagens e programas de aplicação.
Identificador de objeto (OID) Um valor globalmente único associado a um objeto para o identificar sem ambiguidade, utilizado na Notação Sintáctica Abstrata (ASN.1)
Protocolo de estado do certificado em linha (OCSP) Um protocolo online utilizado para determinar o estado de um certificado de chave pública.
Normas de criptografia de chave pública (PKCS) Um conjunto de normas para descrever a utilização de técnicas de criptografia padrão em programas PKI. Estas normas são definidas e publicadas pela RSA Security LLC e incluem técnicas como PKCS 7, PKCS 10, PKCS 11 e PCKS 12, que abrangem aspectos como a sintaxe e a formatação de mensagens para certificados digitais e a forma como as chaves privadas são armazenadas.
Infraestrutura de chave pública (PKI) É um conjunto de funções, políticas, hardware, software e procedimentos necessários para criar, gerir, distribuir, utilizar, armazenar e revogar certificados digitais e gerir a encriptação de chaves públicas. O objetivo de uma PKI é facilitar a transferência eletrónica segura de informações para uma série de actividades em rede, como o comércio eletrónico, a banca via Internet e o correio eletrónico confidencial. É necessária para actividades em que as palavras-passe simples são um método de autenticação inadequado e é necessária uma prova mais rigorosa para confirmar a identidade das partes envolvidas na comunicação e para validar as informações transferidas.
Autoridade de registo (AR) Uma entidade de confiança que estabelece e atesta a identidade de um Assinante para uma AC. A RA pode ser parte integrante de uma AC ou pode ser independente de uma AC, mas tem uma relação com a AC.
Rechaveamento Altera o valor de uma chave criptográfica que está a ser utilizada numa aplicação de um sistema criptográfico; isto implica normalmente a emissão de um novo certificado com a nova chave pública.
Renovação O ato ou processo de prolongar a validade da ligação de dados afirmada por um certificado de chave pública através da emissão de um novo certificado.
Pedido de comentários (RFC) é uma publicação de uma série dos principais organismos de desenvolvimento técnico e de definição de normas para a Internet, sobretudo a Internet Engineering Task Force (IETF). Um RFC é da autoria de indivíduos ou grupos de engenheiros e cientistas informáticos, sob a forma de um memorando que descreve métodos, comportamentos, investigação ou inovações aplicáveis ao funcionamento da Internet e dos sistemas ligados à Internet. Os RFC relacionados com a PKI são o 8399 e o 5280
Revogação Termina prematuramente o período operacional de um certificado com efeito numa data e hora específicas.
Criptografia Rivest-Shamir-Adleman (RSA) É um sistema de criptografia de chave pública, um dos mais antigos, que é amplamente utilizado para a transmissão segura de dados. A segurança do RSA baseia-se na dificuldade prática de fatorizar o produto de dois números primos grandes
Autoridade de certificação raiz (Root) A AC no topo de uma hierarquia PKI em que todos os assinantes e partes confiantes confiam explicitamente e cuja chave pública serve como o dado mais fiável (ou seja, o início dos caminhos de confiança) para um domínio de segurança.
Secure Socket Layer (SSL) Um protocolo obsoleto anterior à norma TLS. Como os certificados de ponto final emitidos pela Autoridade de Certificação são necessários para tornar possível o SSL e o TLS, os certificados X.509 são frequentemente referidos como certificados SSL
Extensões de correio eletrónico seguro/de finalidade múltipla (S/MIME) é uma norma para encriptação de chave pública e assinatura de dados MIME. O S/MIME está numa pista de normas IETF e é definido numa série de documentos, sendo o mais importante o RFC 8551
Certificado auto-assinado Um certificado que 1: utiliza a sua chave pública para verificar a sua própria assinatura; 2: o nome do assunto é idêntico ao nome do emissor. Ao contrário do que se pensa, os certificados auto-assinados não estão reservados às ACs privadas, estão também presentes nas ACs públicas (ou seja, na sua raiz)
Certificado de assinatura Um certificado de chave pública que contém uma chave pública destinada a verificar assinaturas digitais em vez de encriptar dados ou executar quaisquer outras funções criptográficas.
Protocolo simples de registo de certificados (SCEP) é um protocolo para certificados digitais que suporta a distribuição de chaves públicas da autoridade de certificação (CA) e da autoridade de registo (RA), a inscrição de certificados, a revogação de certificados, as consultas de certificados e as consultas de listas de revogação de certificados (CRL).
Autoridade de certificação subordinada Uma AC cuja chave de assinatura de certificado é certificada por outra AC e cujas actividades são limitadas por essa outra AC.
Encriptação simétrica O ato de utilizar permutações matemáticas para encriptar uma mensagem de texto simples. A mesma chave é utilizada tanto para encriptar como para desencriptar estas mensagens.
Segurança da camada de transporte (TLS) é um protocolo criptográfico concebido para proporcionar segurança nas comunicações através de uma rede informática. O TLS substituiu o protocolo SSL
Trusted Platform Module (TPM ) é uma norma internacional para um criptoprocessador seguro, um microcontrolador dedicado concebido para proteger o hardware através de chaves criptográficas integradas. A versão 2.0 do TPM é a norma atual, tornando a versão 1.0 obsoleta
X.509 é uma norma que define o formato dos certificados de chave pública. Os certificados X.509 são utilizados em muitos protocolos da Internet, incluindo o TLS/SSL, que é a base do HTTPS, o protocolo seguro para navegar na Web. Também são utilizados em aplicações offline, como as assinaturas electrónicas.

Although we were one of the first customers to choose the combined S/MIME Management and Automation Service from GlobalSign & KeyTalk and we had to overcome some initial hurdles, we got fantastic support from the KeyTalk team and the service is working perfectly now. I would absolutely recommend their S/MIME Management and Automation Service to any company that needs easy-to-use end-to-end secure email communication. — Matteo Snidero, Head of IT @ Finance in Motion