Por Eder Souza
Em outros artigos já citei a importância de proteger as chaves criptográficas corporativas e também apresentei o interesse dos cibercriminosos em possuir tais chaves.
O interesse é tão grande que diversos malwares já possuem, como uma das suas funcionalidades, a capacidade de exportar as chaves existentes no ambiente infectado.
Dessa maneira, diversos malwares para serem executados com os privilégios necessários, são assinados digitalmente com chaves roubadas.
Essas chaves podem ser responsáveis por proteger bancos de dados corporativos importantes, como números de cartões de crédito, informações de clientes, dados clínicos, planos estratégicos, entre outros. Também podem ser chaves destinadas a assinar drivers e aplicativos, possuindo muito valor, pois com essas chaves os cibercriminosos podem distribuir aplicativos nocivos e até drivers maliciosos, que após assinados serão considerados confiáveis pelo sistema operacional do cliente.
Outro conjunto de chaves importantes são as utilizadas para assinatura digital de documentos eletrônicos, como as chaves utilizadas na ICP-Brasil. É frequente o compartilhamento destas chaves de forma inadequada, utilizando o formato em arquivo conhecimento como PKCS#12, que acaba resultando na exposição dos titulares dos certificados digitais a riscos normalmente desconhecidos pela própria empresa.
O problema com as chaves criptográficas, utilizadas na emissão dos certificados digitais ICP-Brasil, na maioria das vezes é consequência de um afastamento da área de Segurança da Informação deste processo, deixando a aquisição e gestão das chaves para as outras áreas da empresa.
Desta forma, é comum encontrar empresas que nem conseguem dizer com certeza quantas chaves criptográficas estão sendo utilizadas pelos seus departamentos e até se as chaves estão sendo utilizadas localmente ou foram repassadas a terceiros, o que potencializa e muito os riscos.
Consequentemente, a grande maioria das empresas estão expostas a riscos completamente desconhecidos dos profissionais contratados para protege-la e até da alta direção, que só toma conhecimento quando o pior acontece.
É importante frisar que existem maneiras de proteger essas chaves mesmo com a necessidade de fornecer acesso a diversos colaboradores da empresa.
Aplicações corporativas e usuários podem continuar usando as chaves sem o risco da exposição e até o vazamento e assim, processos de negócio podem continuar descentralizado, mas de forma segura e com rastreabilidade.
Nesse novo cenário, será possível até comprovar o controle no acesso a essas chaves e, de forma simples e objetiva, entregar requerimentos exigidos em diversas certificações como o PCI-DSS.
Para isso a empresa precisa investir na aquisição de um HSM (Hardware Security Module), um hardware criptográfico destinado a oferecer segurança, já que as chaves privadas podem ser geradas e são protegidas pelo módulo, e desempenho, pois o módulo possui uma arquitetura de hardware e processadores otimizados para as operações criptográfica, desonerando os servidores corporativos dessas tarefas.
É comum encontrar empresas que precisaram redimensionar seu parque de servidores devido ao incremento no tamanho das chaves criptográficas ou quando ocorre a necessidade de habilitar algum algoritmo criptográfico, tudo isso devido aos processadores genéricos não serem desenhados para obter desempenho na execução dos processos criptográficos.
Utilizar um HSM pode resultar em um aumento considerável na segurança corporativa, pois todas as chaves criptográficas estarão centralizadas e será possível aplicar regras corporativas para conceder acessos e garantir a auditabilidade sobre o uso.
Existem diversos tipos de HSMs sendo oferecidos e os mais comuns são os ofertados como appliance com interface ethernet ou no modelo placa PCI-Ex, que deverá ser instalada em um servidor. Também existem os modelos USB, que são destinados a apoiar no desenvolvimento e homologação de aplicações ou para os processos onde as operações criptográficas são poucas e assim suportadas por HSMs menores.
Os fabricantes fornecem junto com os HSMs um kit de bibliotecas destinadas a permitir a integração dos seus hardwares com a aplicação do cliente. As bibliotecas mais comuns fornecidas são as compatíveis com o Java Cryptography Extension (JCE), Microsoft CryptoAPI e OpenSSL, tornando os seus hardwares compatíveis com praticamente qualquer plataforma atualmente utilizada.
Os HSMs ainda permitem a geração e armazenamento de centenas ou até milhares de chaves, e cada uma contando com o seu controle de acesso individualizado, que pode utilizar desde passphrases até smartcards para autenticar os solicitantes. Deste modo, cada área ou aplicação poderá ter acesso às suas chaves sem a preocupação com o seu armazenamento e proteção, pois tudo estará centralizado no módulo.
O cliente ainda pode utilizar dois módulos com o objetivo de garantir a disponibilidade do serviço criptográfico e elevar consideravelmente a confiabilidade e disponibilidade das aplicações clientes.
Contando com o apoio consultivo correto a integração entre as aplicações clientes e os HSMs pode ser simples e rápida, e em pouco tempo o cliente já estará usufruindo da segurança proporcionada pelos módulos, garantindo acessos às chaves sem colocar em risco a sua operação.
É isso e até a próxima!
- Mestre em Engenharia de Software pelo IPT-SP, com MBA em Gestão Empresarial pela FGV e especialização em Segurança da Informação pelo IBTA e bacharel em Ciências da Computação pela FAC-FITO.
- Professor do curso de Segurança da Informação do Instituto Brasileiro de Tecnologia Avançada e responsável pelo tema Criptografia e Certificação Digital.
- Atua há quinze anos na área de Tecnologia e Segurança da Informação e atualmente é Diretor Técnico na e-Safer Consultoria.
- Vivência no desenvolvimento de produtos e implantação de soluções de Segurança e Certificação Digital em empresas de grande porte.
- Eder é colunista e membro do conselho editorial do CryptoID.
Leia outros artigos do Colunista Eder Souza. Aqui!
Fale com o Eder por meio dos cometários do site ou se preferir escreva diretamente para ele.
email esouza@e-safer.com.br