KMIP | PROTOCOLO ABERTO DE GESTÃO CRIPTOGRÁFICA DA OASIS VIABILIZA NOVOS MODELOS DE NEGÓCIOS, COMO CERTIFICAÇÃO EM NUVEM, E SIMPLIFICA INTEGRAÇÕES.
Que a certificação digital e a criptografia trazem diversos benefícios a processos de negócios, ninguém tem a menor dúvida.
Os casos de sucesso da certificação digital com a economia no trâmite de documento, aceleração de workflows, dentro outros, são recorrentes e experimentados por empresas, governos e indivíduos.
Porém – e este é um grande porém – a interoperabilidade e a falta de padrões alinhados com os modelos de negócios em nuvem tem sido dois dos principais motivos que vinham refreando a adoção de tecnologias de criptográficas, incluindo a certificação digital.
De fato, na ICP-Brasil, por exemplo, umas principais preocupações desde o início foi no sentido de compatibilizar plataformas de hardware (em especial smartcards, leitoras, tokens e HSMs), certificados e mais tarde softwares e formatados de assinaturas de forma que os usuários tivessem opção de compras – algo essencial em um ICP pública com casos de usos obrigatórios.
Como explica o Dr. Roberto Gallo, diretor da geral da Kryptus e especialista em segurança, as padronizações foram feitas em torno de tecnologias com origens na década de 1990, onde as preocupações de eficiência e custo de hardware pressionavam para soluções técnicas extremas: “[…] no início as APIs e formas de comunicação com dispositivos eram desenhadas tendo dispositivos muito limitados como elementos centrais, algumas vezes micro controladores de 8 bits. Os projetistas deixaram para a camada de software externa toda a complexidade de interface com o sistemas hospedeiros. Exemplo clássico é a interface PKCS#11 que é escrita em C e cujos formatos são totalmente dependentes das plataformas hospedeiras.
O formato de dados é diferente dependo de sistema operacional, endianess, largura de barramento (32/64 bits), família de processador […]”.
Além disso, comenta Gallo, que os fabricantes historicamente implementavam subconjuntos incompatíveis dos padrões, buscando, de certa forma, proteção concorrencial.
“O padrão KMIP da OASIS – Key Managment Interoperability Protocol, no entanto, muda tudo pois é pensando desde o ponto de vista de uso, tendo interoperabilidade, rapidez de integração, facilidade de deployment e o modelo de nuvem como elementos fundamentais. Em nossa experiência um desenvolvedor consegue utilizar com sucesso um HSM com KMIP em apenas um ou dois dias, enquanto com uma interface PKCS#11 este é um processo de semanas. Isso se deve ao fato que o KMIP é orientado a mensagens e não à uma API programática, é independente de linguagem”.
Atualmente o padrão é suportado pelos principais nomes do mercado de criptografia e certificação digital que atuam no Brasil, incluindo IBM, Oracle, Gemalto e Kryptus.
A lista completa com interoperabilidade garantida pode ser consultada no site da OSAIS (https://wiki.oasis-open.org/kmip/KnownKMIPImplementations), onde é possível encontrar tanto produtos que usam o protocolo como clientes (por exemplo, para cifração de banco de dados ou montar um ICP) quanto servidores (por exemplo, HSMs, plataformas de IAM, etc.).
No Brasil, a Kryptus oferece a oportunidade de clientes interessados em testaram o KMIP por meio de seu produto kNET HSM de forma remota, pela nuvem (hsm.kryptus.com).
Consulta Pública do ITI para o uso de KMIP para Certificação em Nuvem
Esta semana o ITI abriu consulta pública para o uso de certificação digital em nuvem, tendo como elementos central o uso da tecnologia KMIP em HSMs.
A consulta pode ser vista no link (http://www.iti.gov.br/consulta-publica/consultas-atuais/96-consulta-publica/consultas-atuais/695-consulta-publica)
Participe da consulta pública “Certificado Digital em Nuvem”
O Instituto Nacional de Tecnologia da Informação – ITI disponibiliza para consulta pública o tema “Certificado Digital em Nuvem (HSM/PSC da ICP-Brasil)” por meio de duas minutas de Documentos Principais (DOC-ICP) e minuta de Resolução.
