Public Key Infrastructure (PKI)
PKI é um framework para emitir, gerenciar e validar certificados digitais e chaves para estabelecer confiança em comunicações e transações online.
Uma [Public Key Infrastructure](/pt/terms/public-key-infrastructure) (PKI) é um sistema abrangente que permite comunicação eletrônica segura, aplicando criptografia de chave pública para vincular identidades a chaves criptográficas e certificados. Uma PKI fornece os processos, pessoas e tecnologia necessários para emitir, gerenciar e desativar certificados digitais, e para validar cadeias de confiança através de fronteiras organizacionais e técnicas.
Componentes chave incluem:
- Certificate Authority (CA): Uma autoridade que emite e mantém certificados digitais afirmando vínculos entre sujeitos e suas chaves públicas.
- Registration Authority (RA): Verifica a identidade do solicitante antes que um certificado seja emitido.
- Public and private keys: Pares de chaves assimétricas usados para criptografia, assinatura e verificação de identidade.
- Certificate repository and Directory Services: Armazenamento e consulta de certificados e status de certificados.
- Validation protocols: Mecanismos para verificar cadeias de certificados (path validation).
- Certificate policies and CPS: Regras que governam a emissão, uso e ciclo de vida de certificados.
- Trust anchors: Root CAs que formam a base de confiança em uma hierarquia PKI.
Lifecycle and operations:
- Enrollment and issuance: Verificação de identidade, geração de chaves, criação de certificados e entrega do certificado ao sujeito.
- Renewal and rekey: Renovação periódica e rotação de chaves para mitigar o risco de comprometimento de chaves.
- Revocation: Detecção e publicação de um certificado que não deve mais ser confiável (via CRLs ou OCSP).
- Validation: Clientes validam cadeias de certificados contra roots confiáveis e restrições de política.
- Archival and recovery: Arquivamento de chaves para recuperação (onde a política permite) e planejamento de recuperação de desastres.
Common deployment models and edge cases:
- Hierarchical PKI: Root e CAs intermediárias fornecendo um modelo de confiança escalável; cross-certification permite interoperabilidade entre PKIs.
- Offline root CA com intermediárias online para reduzir o risco de exposição.
- PKIs de identidade IoT e de dispositivos exigindo perfis leves e enrollment escalável.
- Cross-certification e bridge CAs para suportar ambientes multi-PKI.
Important security controls:
- Private key protection: Uso de HSMs ou dispositivos de chave seguros para proteger chaves privadas; controles de acesso fortes; armazenamento com suporte de hardware.
- Key management: Rotação, backup e destruição segura no fim da vida útil.
- Revocation and status checking: CRLs e OCSP/OCSP stapling para revogar certificados comprometidos e fornecer status em tempo hábil.
- Certificate pinning and DANE: Técnicas para reduzir a dependência de confiança de terceiros em contextos específicos.
- Audit and governance: Políticas CPS/CP, auditorias regulares e planejamento de resposta a incidentes.
Limitations and challenges:
- PKI complexity: Overhead operacional, alinhamento de políticas e gerenciamento de confiança entre domínios.
- Revocation latency: Atrasos na propagação de revogação e respondedores OCSP podem afetar decisões em tempo real.
- Scalability: CRLs grandes e altas taxas de emissão de certificados exigem infraestrutura robusta.
Resulting capabilities:
- Authentication: Provar identidade verificando o certificado e a assinatura de um sujeito.
- Confidentiality and integrity: Criptografar dados com a chave pública do destinatário ou assinar dados com a chave privada do remetente.
- Non-repudiation: Assinaturas digitais fornecem evidência de origem e integridade.
Em resumo, PKI é a espinha dorsal das interações digitais confiáveis em web, e-mail, code signing e identidade de dispositivos, fornecendo uma abordagem estruturada para emitir, gerenciar e validar certificados dentro de um framework legalmente governado.
graph LR
Center["Public Key Infrastructure (PKI)"]:::main
Rel_digital_certificate_management["digital-certificate-management"]:::related -.-> Center
click Rel_digital_certificate_management "/terms/digital-certificate-management"
Rel_public_key_infrastructure["public-key-infrastructure"]:::related -.-> Center
click Rel_public_key_infrastructure "/terms/public-key-infrastructure"
classDef main fill:#7c3aed,stroke:#8b5cf6,stroke-width:2px,color:white,font-weight:bold,rx:5,ry:5;
classDef pre fill:#0f172a,stroke:#3b82f6,color:#94a3b8,rx:5,ry:5;
classDef child fill:#0f172a,stroke:#10b981,color:#94a3b8,rx:5,ry:5;
classDef related fill:#0f172a,stroke:#8b5cf6,stroke-dasharray: 5 5,color:#94a3b8,rx:5,ry:5;
linkStyle default stroke:#4b5563,stroke-width:2px;
🧠 Teste de conhecimento
🧒 Explique como se eu tivesse 5 anos
PKI is like a global passport office for the internet. If you want to prove you are a specific website, you get a passport (digital certificate) from the office (Certificate Authority). Everyone else knows to trust you because they trust the passport office.
🤓 Expert Deep Dive
PKI involves a hierarchy of CAs, starting from a 'Root CA' pre-installed in your browser. It manages Certificate Revocation Lists (CRLs) and the Online Certificate Status Protocol (OCSP) to handle keys that are no longer safe (e.g., stolen keys).