VeriSign - Infra-estrutura de Chave Pública

Infra-estrutura de Chave Pública (PKI) –
O Diferencial da VeriSign

A operação de aplicativos seguros e vitais para os negócios da empresa, pela Internet, requer uma PKI empresarial avançada. A escolha do tipo correto de PKI empresarial pode acelerar, de forma extraordinária, o lucro líquido de sua empresa.

Introdução à PKI Empresarial

Empresas no mundo inteiro estão instalando uma nova geração de aplicativos distribuídos e vitais para os negócios da empresa em intranets (funcionários), extranets (parceiros comerciais) e Internet (clientes efetivos e clientes potenciais do mundo todo). Isto possibilita a entrega de novos produtos e serviços em escala jamais vista. Estes aplicativos devem ser controlados em ambiente de alta segurança e alta disponibilidade, para conquistar a confiança dos clientes e permitir que as empresas desfrutem as vantagens do mercado eletrônico: menor tempo de comercialização, custos menores de distribuição e maior acesso a clientes internacionais.

A PKI (Infra-estrutura de Chave Pública) surge como a base para aplicativos distribuídos seguros, inclusive gerenciamento da rede de fornecedores, envio de mensagens seguras, comércio eletrônico, redes privadas virtuais e aplicativos de intranet. A PKI da empresa é o coração da infra-estrutura de segurança da Internet, ou seja, a chave para garantir transações e comunicações autenticadas, particulares e não-repudiáveis. O sucesso da PKI causa um grande impacto nas principais operações comerciais da empresa.

A base para aplicativos distribuídos seguros é a Infra-estrutura de Chave Pública (PKI). A PKI da empresa é o coração da infra-estrutura de segurança da Internet, ou seja, a chave para garantir transações e comunicações autenticadas, particulares e não-repudiáveis. O sucesso da PKI causa um grande impacto nas principais operações comerciais da empresa.

Fatores vitais para uma administração de PKI Empresarial de sucesso
Fatores vitais para uma administração de PKI Empresarial de sucesso No mundo on-line, um dos maiores desafios para controlar uma PKI é satisfazer as expectativas do cliente, oferecendo um serviço de PKI altamente seguro e altamente acessível. Do ponto de vista do cliente, da empresa de parceria ou do cliente interno, o resultado final de uma PKI de sucesso é determinado pela faci-lidade em obter e utilizar certificados digitais - credenciais eletrônicas de con-fiança que permitem controlar o acesso de pessoas, enviar mensagens seguras e garantir segurança nas transações que envolvem aplicativos vitais para os negócios da empresa. Do ponto de vista da empresa, controlar o funcionamento da PKI significa administrar um serviço on-line de confiança para os usuários finais. Os gerentes podem comprometer seu emprego, além de sua reputação comercial, caso a solução de PKI seja ruim. Na hora de escolher uma solução de PKI Empresarial, existem cinco fatores que determinam o sucesso e o fracasso da operação de uma PKI de confiança. São eles: a expansão da tecnologia de PKI, a infra-estrutura utilizada e as práticas comerciais adotadas:

Tecnologia de PKI já testada: Uma PKI funcionalmente completa inclui suporte para a emissão de certificados, gerenciamento do ciclo de vida, processamento e protocolos para diversos tipos de certificados, amplas funções administrativas, manutenção de cadastros, integração de diretórios e gerenciamento de chaves. Como executar uma tecnologia de PKI de última geração e garantir, ao mesmo tempo, que ela não falhará sob condições reais de alta tensão? Que provas operacionais serviram de base para testar a PKI?

Arquitetura aberta com os melhores aplicativos do gênero: Sua PKI Empresarial precisa estar integrada a todos os aplicativos por ela aceitos. Como instalar uma PKI que seja compatível com seus aplicativos novos e antigos? Como fazer para que seus usuários finais não fiquem presos a um software patenteado de PKI, que eles têm que instalar, atualizar e monitorar? Como lidar com as políticas de informática dos departamentos de informática que estão fora de sua esfera de controle (ex.: empresas de parceria comercial) quando você estiver circulando fora dos limites da intranet?

Alta Disponibilidade e Redimensionabilidade: A sua PKI precisa estar constantemente disponível para sua comunidade de usuários. Como você pode garantir a disponibilidade do serviço 7 x 24 (24hs, 7 dias por semana) para parceiros comerciais, clientes internos e externos (incluindo sistemas, redes, suporte ao cliente e indenização por acidente) sem investir altas somas logo de início? Como lidar com as inesperadas cargas de pico solicitadas? Como começar com uma PKI pequena, mas ter certeza de que ela poderá ser redimensionada, de forma eficaz, para atender milhões de usuários, em última análise?

Infra-estrutura de operação segura: A administração de uma PKI apresenta uma série de desafios específicos relativos ao controle dos riscos envolvidos. Como garantir que você não colocará em risco sozinho a reputação da sua empresa e as responsabilidades legais e financeiras que ela tem ao utilizar uma PKI ligada à Internet? Como salvaguardar valiosas informações empresariais com uma proteção de segurança para PKI, totalmente à prova de "hackers"?

Facilidade para Extranet e Comércio Eletrônico: A sua PKI pode ter que dar suporte a diferentes grupos de usuários, tanto dentro como fora da empresa. Como programá-la para operar e poder ser ampliada com êxito através destes grupos (intranets, extranets, grupos de comércio e indústria, e comércio on-line em larga escala)? Será que as abordagens que levam em conta patentes prejudicarão este trabalho?

Caso estas perguntas se apliquem à decisão de sua empresa em fornecer serviços de PKI que possam comprometê-la, continue lendo este documento. Ele faz a comparação entre duas abordagens radicalmente diferentes quanto à instalação de PKI Empresarial, enfocando suas respectivas capacidades para satisfazer a estes cinco importantes desafios.

Dois modelos para montar uma PKI

Com base em recentes avanços na indústria de PKI, você agora dispõe de duas opções para montar uma PKI empresarial:

Compre um software para PKI autônoma e crie um serviço de PKI autônoma, no qual a empresa sozinha fica com 100% da responsabilidade pelo fornecimento de toda a tecnologia adjacente (inclusive pelos sistemas, telecomunicações e ban-cos de dados), além de fornecer segurança física para o site, configurações de rede para Internet segura, sistemas redundantes de alta disponibilidade, indenização por acidentes, especialistas em PKI, práticas legais de PKI viável, e proteção de responsabilidade da PKI financeiramente segura; ou

Instale uma plataforma de PKI integrada que combine (1) softwares e hardwares de PKI controlados e operados pela empresa, (2) compatibilidade com os aplicativos mais usados, (3) serviços de processamento de certificados e (4) infra-estrutura para um backbone de PKI altamente seguro e de alta disponibilidade com (5) processos comerciais auditorados de forma independente e (6) divisão de responsabilidade.

Os vendedores autônomos de software de PKI não gostam de falar sobre muitos dos elementos decisivos para executar uma PKI Empresarial. Por quê? Porque eles ganham muito dinheiro com a venda de softwares, e não garantindo que uma PKI esteja funcionando o tempo todo, seja em caso de emergências de segurança, interrupções para manutenção durante a noite, crises de clientes, ataques de "hackers" ou mudanças rápidas de tecnologia.

A grande desvantagem do software para PKI autônoma é que ele gera uma PKI Empresarial Autônoma, o que faz com que a empresa assuma 100% do investimento e também 100% do risco. Ao contrário, a empresa que possui uma plataforma de serviços de PKI integrada (com serviço 7x24, divisão de investimento e divisão de risco) tem muito mais chances de conseguir fornecer serviços de PKI confiáveis, a um custo menor, e com uma instalação mais rápida dos aplicativos que dependem destes serviços. A Tabela 1 a seguir resume as diferenças fundamentais entre o software de PKI integrada e a plataforma de serviços de PKI. O balanço final deste documento abordará os fatores subjacentes a estas questões decisivas
.

Fator de Sucesso Plataforma de PKI Integrada Software para PKI Autônoma

Tecnologia de PKI comprovada PKI com todos os recursos, testada nos maiores centros de serviços de PKI 7x24. Experiência alavancada de centenas de empresas. A empresa planeja, cria e instala a infra-estrutura de suporte, assumindo o risco total pela implantação.O vendedor do software não tem experiência em operar PKI.

Arquitetura aberta com os melhores aplicativos do gênero Integração contínua, com os melhores aplicativos padrão do gênero, incluindo navegadores padrão, clientes de mala direta e aplicativos de empresas.. Exige software de cliente patenteado para todos os usuários e aplicativos.

Alta disponibilidade e escalabilidade Os serviços de backbone da PKI e as indenizações por acidente são garantidos por contrato. Escalabilidade por demanda. Alavanca a infra-estrutura de alta capacidade e que tolera defeitos. A empresa fornece 100% da infra-estrutura de serviços e das indenizações por acidente, assim como assume 100% do risco operacionall.

Infra-estrutura de operação segura A segurança do backbone da PKI está garantida no contrato. Auditoria externa. Divisão de responsabilidade. A empresa fornece toda a infra-estrutura de segurança. Além disso, deve definir práticas e políticas operacionais próprias, assumindo 100% do risco.

Facilidade para Extranet e comércio eletrônico A empresa pode selecionar redes de confiança privadas e/ou públicas (as maiores no mundo). Só certificação cruzada privativa. A empresa elabora 100% da solução personalizada por vez. Os parceiros assumem risco total.

A Proposta de Valor da VeriSign

Na VeriSign, aprendemos com o sucesso e fracasso de modelos anteriores de instalação de PKI. Como conseqüência, nossa proposta é criar plataformas de serviços de PKI extremamente potentes, para empresas de todos os tamanhos, dando origem ao maior e mais confiável backbone de PKI do mundo.

Na qualidade de maior processadora de PKI do mundo, adquirimos uma experiência inigualável, que serve como base para o design e suporte imediato de nossa pla-taforma de serviços de PKI Empresarial (os centros da VeriSign dão suporte a uma crescente base de clientes, formada por milhões de consumido-res, 80.000 sites e centenas de empresas). Você pode utilizar nosso conhecimento técnico e enriquecer com a nossa infra-estrutura (um investimento de mais de $40 milhões para criar o maior backbone de PKI do mundo), evitando, assim, montar uma infra-estrutura própria.

Entre os clientes da PKI Empresarial da VeriSign estão algumas das maiores empresas do mundo:

Bancos – NationsBank, Bank of America, Federal Reserve of NY, Sumitomo Bank
Corretoras – Merrill Lynch, Morgan Stanley Dean Witter
Produtos Eletrônicos – Hewlett Packard, Texas Instruments
Telecomunicaçòes – AT&T, British Telecom, US West, Ameritech
Transportadoras – United Parcel Service (UPS)
Órgãos Governamentais – Receita Federal dos Estados Unidos, Defesa Civil

Por que fazer tudo sozinho, se você pode ter o suporte da líder em serviços de PKI vitais para a empresa?

Como proteger informações valiosas

O objetivo da PKI Empresarial é proteger informações através de:

Autenticação – validando a identidade das partes envolvidas em comunicações e transações;
Confidentialidade – egarantindo que as informações não sejam interceptadas durante a transmissão;
Não-Repúdio – garantindo que as transações, uma vez formalizadas, sejam legalmente válidas e irrevogáveis;
Disponibilidade – garantindo que as transações e comunicações possam ser realizadas de forma confiável, quando solicitadas.

Do ponto de vista técnico, a PKI se refere à tecnologia, infra-estrutura e práticas necessárias, para permitir o uso de criptografia de chave pública e assinaturas digitais em aplicativos distribuídos, em uma escala significativa. A principal função da PKI é distribuir chaves públicas de forma precisa e confiável àqueles que necessitam criptografar mensagens ou verificar assinaturas digitais (utilizadas para assinar transações ou autenticar pessoas antes de permitir acesso à área reservada).

Este processo emprega certificados digitais emitidos por uma empresa chamada Autoridade Certificadora (CA) para os usuários nela registrados. A emissão do certificado exige autenticação do usuário, normalmente pela Autori-dade de Registro (RA). Também fazem parte do escopo da PKI os serviços de renova-ção e revogação de certificado, verificação de status e confecção de cópia de segurança/recuperação da chave privativa do usuário.1 A PKI é a base para toda a segurança de aplicativos e redes, inclusive controle de acesso às reservas de informações a partir de navegadores, e-mail seguro, assinatura e fluxo de trabalho de formulários digitais, firewalls, roteadores que sejam compatíveis com redes privadas virtuais (VPNs), diretórios e aplicativos empresariais de assinatura única (incluindo aplicativos legados).

VeriSign Managed PKI- A mais potente PKI Empresarial

O VeriSign Managed PKI é uma avançada e inigualável plataforma de serviços de PKI para empresas. Ela integra:

Software para administração de PKI Empresarial — controlado e operado pela empresa, com assistentes práticos para fazer a instalação passo-a-passo, configuração, gerenciamento e geração de relatórios. Pode ser instalado em navegadores-padrão e plataformas de servidores padrão. Possui interfaces para sistemas comerciais de empresas, permitindo administração automatizada do usuário e integração ao diretório;
Serviços de processamento de "back-end" garantido — processamento de dados 7x24 garantido no contrato, suporte ao cliente e serviços de indenização por acidente, alavancando investimentos no único backbone de PKI global da indústria;
Infra-estrutura escalável e inquestionavelmente segura — sistemas de banco de dados e processamento modulares e de alta capacidade, com rede auditorada e de última geração, bem como segurança física e criptográfica;
Responsabilidade financeira/legal compartilhada — risco gerenciado, para que você não execute sozinho seu serviço de PKI;
Preços baseados no volume e pagos em parcelas — com custos para usuários adicionais (inclusive custos operacionais), incorridos somente nos usuários ativos. Evita grandes despesas iniciais com capital e cobra o menor custo de propriedade para qualquer instalação de PKI.

Segurança de PKI e a necessidade de funcionalidade distribuída

A implantação de uma PKI precisa ser altamente segura - seus requisitos de segurança geralmente excedem àqueles típicos para sistemas de processamento de transações seguras, uma vez que a emissão de apenas um certificado falho ou a invasão da segurança de uma CA pode resultar em um número ilimitado de más transações ou na emissão de um número ilimitado de certificados falhos.

Qualquer implantação de PKI deve ser planejada desde o início com alto grau de segurança. Mesmo que a instalação inicial da PKI não proteja bens vitais para a empresa, lembre que mais tarde as PKIs provavelmente serão alavancadas para proteger informações confidenciais valiosas, se estendendo até o precioso comércio on-line.

Um requisito fundamental para uma CA que dê suporte a aplicativos vitais para a empresa é que ela empregue módulos criptográficos de hardware para assinatura de certificados, já que as implantações de criptografia que se baseia em software estão propensas a ser violadas ou mal empregadas. As chaves-raiz fornecem a base para conectar várias CAs e geralmente têm maior duração. Estas chaves exigem precauções especiais: o armazenamento da chave privativa numa unidade de hardware segura off-line e a exigência de que vários portadores de chave compartilhada habilitem a chave para se inscrever em um processo auditorado e rigorosamente controlado.

Todos os controles de segurança fortes devem ser empregados, inclusive a segurança física das instalações (sala, prédio e equipamento) da CA, medidas de segurança quanto ao pessoal (inclusive rígida seleção e treinamento especializado de toda a equipe que tem acesso à CA), bem como o controle dos procedimentos para fazer cumprir políticas tais como o controle redobrado de todas as funções-chaves. As instalações seguras precisam estar em operação 7x24 e possuir uma cópia de segurança para ter direito à indenização por acidente.

Embora todas as CAs precisem de segurança forte, os custos de criação e operação de instalações seguras e os gastos financeiros iniciais desanimam muitas empresas. Terceirizar a função de CA também não resolve o problema, já que as empresas quase sempre querem ter o controle total sobre a política de suas PKIs, isto é, querem decidir quem receberá o certificado, qual será o conteúdo, como e quando o certificado será revogado, além de ter controle absoluto da operação diária de uma CA.

O VeriSign Managed PKI é a única PKI que permite lidar com estas exigências aparentemente inconciliáveis. Com ele, a empresa assume o controle da CA, podendo administrar e auditorar seu funcionamento de forma contínua. No entanto, as funções de "back-end" diário e processamento seguro de dados, tais como hardware criptográfico para assi-natura de certificados e retenção de cadastro ficam por conta da VeriSign e são operadas fora de uma central de dados seguros. A arquitetura de PKI distribuída da VeriSign - a WorldTrust -, cujos componentes são operados tanto pela VeriSign como pela empresa, permite que isso seja feito.

Todas as PKIs implantadas através do VeriSign Managed PKI empregam criptografia baseada em hardware, pessoal selecionado e treinado, instalações seguras no padrão das Forças Armadas e um sistema de controle de procedimentos rigidamente auditorados. Com o produto PKI "faça você mesmo", segurança passa a ser um problema da empresa.

Elementos da PKI Empresarial

O fornecimento de serviços de PKI Empresarial envolve muitas facetas, incluindo criação e manutenção de uma infra-estrutura segura, rígida seleção e treinamento de uma equipe de especialistas, operações 7x24, interface de aplicativos, etc. O método da VeriSign para PKI Empresarial se distingue do método "faça você mesmo" com a utilização de um software de PKI autônoma, permitindo, assim, que o cliente controle o programa e tome decisões diariamente, mas delegando as tarefas de processamento de "back-end" à VeriSign. Para explicar o diferencial da VeriSign, consideremos a solução completa de PKI em função dos cinco fatores vitais para o sucesso já identificados: a tecnologia, a arquitetura aberta, a disponibilidade e escalabilidade, a segurança e gestão de riscos e a facilidade para extranet e comércio eletrônico.

¹ Para uma descrição mais abrangente de PKI, consulte: Warwick Ford e Michael S. Baum, "Comércio eletrônico seguro: Como montar a infra-estrutura para assinaturas digitais e criptografia", Prentice-Hall, de 1997

Próxima Página