Descrever PKI como um aspecto de “segurança cibernética” é um pouco equivocado.
A falta de visibilidade e centralização, o uso de certificados autoassinados, serviços e aparelhos não inventariados e outros exemplos de má higiene de PKI – Public Key Infrastructure em português, Infraestrutura de Chaves Públicas – criam pilhas de tecnologia complicadas e frágeis e incorrem em custos desnecessários (incluindo perda de receita em serviços desativados).
Nesse aspecto, a estabilidade cibernética ou a resiliência cibernética podem ser mais precisas na descrição da importância de uma PKI moderna e que funcione bem.
No entanto, uma PKI mal gerenciada se presta a ataques cibernéticos reais. As más práticas tornam mais fácil para os agentes mal-intencionados apreenderem as chaves dos sistemas e ativos, enquanto os pontos cegos que essas práticas criam lhes dão espaço para se mover e habitar dentro dos sistemas organizacionais.
Roubo de chave privada
As chaves privadas são usadas para descriptografar informações, e cada usuário e máquina as utiliza. As chaves públicas, por outro lado, verificam se o remetente de uma comunicação criptografada é quem eles dizem ser. Se essas chaves forem comprometidas, os invasores podem realizar ataques man-in-the-middle nos quais interceptam e descriptografam as comunicações durante o transporte. Como alternativa, dependendo do tipo de certificado, um agente mal-intencionado também pode assinar software mal-intencionado ou emitir certificados fraudulentos que permitem outras formas de ataque.
Uma vez possuindo as chaves certas, um atacante pode abrir uma infinidade de portas. Os ataques contra PKI incluem engenharia social, vulnerabilidades de softwares, ataques à cadeia de suprimentos e ataques de canal lateral (entre outros).
Para protegê-los, as chaves privadas devem ser armazenadas em módulos de segurança de hardware (HSMs) e giradas regularmente.
É claro que eles devem ser restritos apenas aos usuários e serviços que precisam de acesso de acordo com o princípio do menor privilégio. Depois que essas etapas forem executadas, você poderá monitorar e registrar as tentativas de acesso para detectar comportamentos suspeitos enquanto monitora e inventaria continuamente sua PKI.
Centralizar a PKI e o gerenciamento de certificados, permitir a descoberta proativa e definir políticas que impeçam a PKI de sombra permitirão que as organizações enfrentem melhor os ataques em evolução contra a PKI.
Protocolos desatualizados e teclas fracas
Algoritmos criptográficos, ferramentas, práticas recomendadas e até mesmo fornecedores caem em desuso quando não estão mais seguros contra novas ameaças. Afinal, os atacantes estão sempre atualizando suas próprias capacidades e ferramentas, assim como nós. Se uma PKI utilizar chaves fracas ou protocolos preteridos, torna-se mais fácil para os invasores explorarem.
Uma palavra sobre chaves
- As chaves são como senhas, e medimos o comprimento de uma chave em “bits”. Mais bits são mais seguros. Imagine uma trava combinada com apenas um 1 e um 0, mas com 2.048 mostradores.
- Diferentes tipos de chaves têm diferentes comprimentos de bits recomendados para segurança. Estes estão em constante mudança.
- A desvantagem de chaves mais longas é que elas exigem mais poder computacional, o que pode afetar o custo e a velocidade de seus processos de PKI.
- Algoritmos mais recentes visam combinar eficiência com tamanho, considerando a computação pós-quântica.
Os invasores podem usar chaves fracas de força bruta com mais facilidade, determinar colisões para o hash criptográfico da chave ou fazer engenharia reversa da chave original. Eles podem explorar vulnerabilidades conhecidas em protocolos e algoritmos obsoletos e fazê-lo em vários níveis e pontos de intrusão.
Audite sua PKI em busca de protocolos desatualizados e chaves fracas e atualize o que for necessário.
Você deve estar usando TLS 1.2 ou mais recente e não deve estar usando WEP, DES, RC4 ou MD5. Em seguida, coloque controles para girar teclas com frequência e limitar o número de tentativas permitidas para entradas de chave incorretas.
Autoridade de certificação comprometida
Os certificados digitais são emitidos por fontes confiáveis chamadas Autoridades de Certificação (CAs). As ACs existem em uma hierarquia de confiança. Na parte superior está a AC Raiz, também conhecida como âncora de confiança. As CAs intermediárias compreendem a próxima camada, e as CAs emissoras ficam na parte inferior. As organizações usam uma combinação de CAs públicas e privadas. De acordo com a pesquisa da Keyfactor, a organização média usa nove.
Assim como os certificados digitais, as autoridades de certificação têm suas próprias chaves privadas. Os invasores podem roubar essas chaves privadas e usá-las para emitir certificados fraudulentos. Isso permite que eles realizem ataques man-in-the-middle. Como alternativa, eles podem usar malware ou outras técnicas de infiltração para obter um certificado fraudulento assinado por uma autoridade de certificação sem precisar de sua chave privada.
A AC raiz deve ser protegida a todo custo. Se alguém conseguir comprometê-la, toda a PKI deve ser reconstruída do zero. A melhor maneira de protegê-lo é armazenando-o offline em um HSM.
Além disso, as organizações fariam bem em criar agilidade de criptografia e habilitar processos para revogar certificados, CAs e chaves comprometidos em massa.
Chaves de assinatura de código roubadas
As chaves de assinatura de código e os certificados validam que o código e o software não foram adulterados ou corrompidos. Essas chaves e certificados são usados com mais frequência por desenvolvedores e equipes de DevOps. Ao roubar chaves de assinatura de código, os invasores podem assinar malware e drivers falsos que lhes concedem acesso a ativos confidenciais.
Em organizações sem processos ou supervisão de PKI padronizados, as equipes de desenvolvimento geralmente adquirem seus próprios recursos de PKI e assinam seus próprios certificados. Este é um exemplo perfeito de como as tensões entre segurança, ambiguidade política e produtividade criam riscos desnecessários para empresas de todos os tipos.
Não só as práticas de certificados autoassinados são menos seguras, mas também são frequentemente exacerbadas pela má higiene da PKI, como o armazenamento de chaves frouxo. Como tal, tornam-se frutos baixos para os atacantes.
Recentemente, a CABForum e a Microsoft têm trabalhado para aprimorar os requisitos de linha de base do certificado de assinatura de código para incluir requisitos de verificação da organização e verificação do HSM. Estamos entusiasmados em trabalhar com esses grupos para garantir que os produtos da Keyfactor atendam a esses requisitos em evolução e permitam que os clientes cresçam, gerenciem e dimensionem suas PKI.
CRL manipulation
A Certificate Revocation List (CRL) é um inventário de certificados retirados ou invalidados. Pense na CRL como uma lista proibida para certificados; Os certificados entram nesta lista quando expiram, são revogados ou substituídos devido a comprometimento.
A CRL é mantida pela CA. Os navegadores e aplicativos verificam a CRL para garantir que os certificados que estão encontrando não tenham sido invalidados. Os hackers podem manipular a CRL para camuflar o status revogado de um certificado.
Para acessar a CRL, os invasores podem roubar a chave privada de assinatura da CRL por meio de phishing ou explorando vulnerabilidades de software. Isso permite que o ataque crie uma CRL falsa e assinada reativando um certificado potencialmente comprometido. Outro método envolve falsificação de DNS para fornecer uma CRL desatualizada.
Muitas organizações estão migrando para o protocolo OSCP, que verifica o status de revogação de cada certificado individual em vez de baixar a CRL completa. Fazer essa mudança pode ser uma boa jogada para sua organização.
Em qualquer caso, você pode proteger a CRL armazenando chaves com segurança, mantendo privilégios rígidos de controle de acesso e realizando auditorias de segurança regulares.
Higiene, PKI governança e ferramentas
PKI não é difícil de defender contra atacantes. Grandes ganhos em segurança acontecerão como um subproduto da modernização de sua PKI para funcionar de forma mais suave e eficiente.
Cuide das suas chaves. Armazene-os em um HSM ou cofre de software — ou pelo menos em um sistema de arquivos local que possa gerar e armazenar a chave privada sem envolver um servidor. Torne suas teclas fortes e gire-as regularmente. Restrinja o acesso e atualize regularmente as listas de controle de acesso.
Crie políticas de PKI. Quando há regras, o comportamento aberrante de um invasor é mais fácil de detectar. Habilite a descoberta proativa de todos os certificados e criptoativos para que você saiba o que precisa proteger. Consolide-os em uma plataforma de gerenciamento universal. A partir dessa centralização, conduza políticas e procedimentos seguros.
Realizar limpeza de rotina. Verificação de configurações incorretas e vulnerabilidades, atualização de permissões de acesso, verificação de comportamento suspeito e redução da expansão de PKI — é assim que as organizações realmente criam uma PKI segura e flexível. É uma prática constante, não um grande impulso uma vez por ano.
Segurança, infraestrutura e outras equipes que gerenciam PKI têm muito em seu prato. No entanto, reagir a um comprometimento da PKI é muito mais caro e intensivo do que preveni-lo em primeiro lugar.
Fonte: Blog da Keyfactor
Sobre Keyfactor
A Keyfactor traz confiança digital ao mundo hiperconectado com segurança que prioriza a identidade para cada máquina e ser humano. Ao simplificar a PKI, automatizar o gerenciamento do ciclo de vida dos certificados e proteger todos os dispositivos, cargas de trabalho e itens, a Keyfactor ajuda as organizações a agirem rapidamente para estabelecer confiança digital em escala — e depois mantê-la. Num mundo de confiança zero, cada máquina precisa de uma identidade e cada identidade deve ser gerida. Para mais informações, visite keyfactor.com
Por que você deve usar a PKI em sua organização
Aet Europe anuncia o Release of BlueX 8.1.0
Somos o maior portal brasileiro sobre Criptografia e Identificação Digital
O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!
Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.
