0
0
Foi relatado que a chave privada usada para assinar certificados digitais de Covid da UE (também conhecidos como “passaportes de vacina”) vazou e circulou em aplicativos de mensagens e mercados de violação de dados on-line. A chave foi mal utilizada para gerar certificados para Adolf Hitler, Mickey Mouse e Bob Esponja que foram, por um curto período de tempo, reconhecidos como válidos por aplicativos oficiais do governo.
Felizmente, descobriu-se que as chaves criptográficas usadas para assinar certificados não haviam sido comprometidas – a Comissão Europeia afirmou que sua investigação mostrou que esses certificados falsificados foram gerados “por pessoas com credenciais válidas para acessar os sistemas nacionais de TI, ou uma pessoa que usa indevidamente essas credenciais válidas”.
Mas o incidente ressalta uma questão crescente para 2022 e além: a demanda cada vez maior por identidades digitais (e, portanto, infraestrutura de chave pública) dos governos e órgãos emissores. Infelizmente, tempo, recursos e pessoas qualificadas para atender a esses requisitos são limitados.
Quando ocorre um compromisso fundamental que pode ter impacto em milhares ou até milhões de usuários, nós – como provedores de identidade – reiteramos a necessidade vital de agilidade adequada das chaves e rotação de chaves, o que forma a base de qualquer prática saudável de gerenciamento de chaves.
Não é mais suficiente apenas gerenciar chaves. Você precisa estar à frente do jogo e estar preparado para qualquer desastre em potencial. Como? Sendo ágil e responsivo.
Agilidade criptográfica
A agilidade criptográfica atua como uma medida de segurança ou um mecanismo de resposta a incidentes quando uma primitiva criptográfica de um sistema é descoberta vulnerável.
Chaves rotativas, por outro lado, ajudam a atender aos padrões do setor e às melhores práticas criptográficas.
PKI é um conjunto de funções, procedimentos, políticas e tecnologias necessárias para criar, gerenciar, distribuir, usar, armazenar e revogar certificados digitais, que são usados para proteger a comunicação, verificar identidades e criptografar ou assinar dados.
Juntando todas essas peças, governos e empresas podem fornecer “serviços de confiança” aos seus cidadãos ou funcionários. O resultado é que os usuários – assim como servidores, dispositivos e software – podem ser autenticados de maneira perfeita.
Este é um método bem conhecido que existe há muitos anos e é visto como um método confiável e confiável para verificar identidades e se comunicar com segurança.
No entanto, essa construção forte, mas frágil, é tão forte quanto seu elo mais fraco, portanto, mesmo com as melhores intenções, as maiores precauções e a tecnologia mais cara, você ainda pode ser vítima de um hack. Um passo em falso pode fazer aquele castelo de cartas desmoronar.
E com o crescente número de certificados PKI em uso e regulamentação em constante mudança, mais e mais empresas e governos lutam para acertar isso, e podem ser pegos em um escândalo de compromisso fundamental, mais cedo ou mais tarde, devido à supervisão, imprudência ou falta de conhecimento.
Mas vamos ser pragmáticos. O importante não é a queda, porque a queda é inevitável hoje em dia. O crítico é saber como se levantar e restaurar seu ecossistema/estrutura rapidamente.
Se você conseguir restaurar toda a sua infraestrutura em questão de dias (em vez de semanas ou meses), sem dúvida definirá como seu caso está sendo relatado por jornais e revistas. Isso poderia literalmente transformar você e sua organização em um herói em vez de um zero.
“Eles conseguiram recuperar seus sistemas em pouco tempo”, faz uma leitura muito melhor do que “Seus sistemas ainda não estão recuperados após três semanas”.
Isso não tira o fato de que um erro foi cometido, mas mostra sua capacidade de resolver um problema crítico e limitar o impacto em seus negócios. E esse é o elemento crucial – como você reage.
Além disso, também permitirá que você economize uma quantia decente de dinheiro por causa da interrupção dos negócios e danos à marca. Ou seja, tenho certeza de que você concordará, um detalhe não desprezível.
Acho que você entendeu a mensagem: Espero pelo melhor, mas prepare-se para o pior.
Se isso acontecer, você sabe o que fazer e tem um plano em vigor. E se você realmente não quer correr nenhum risco, terceirize sua PKI para aqueles que constroem sua experiência em torno dela.
FONTE: HELPNET SECURITY