O que é Infraestrutura de chave pública?
A infraestrutura de chave pública (PKI) é um conjunto abrangente de papéis, políticas, hardware, software e procedimentos usados para criar, gerenciar, distribuir, armazenar e revogar certificados digitais e os pares de chaves pública-privada associados.
Também conhecido como: PKI, public key infrastructure
A PKI é a espinha dorsal de confiança da internet. Sempre que seu navegador exibe o ícone de cadeado em uma conexão HTTPS, a PKI está em funcionamento. O sistema se baseia em autoridades de certificação (CAs) que emitem certificados digitais vinculando uma chave pública a uma identidade, seja um nome de domínio, uma organização ou uma pessoa. Esses certificados permitem aos clientes verificar que estão se comunicando com o servidor legítimo, e não com um impostor.
O modelo de confiança da PKI é hierárquico. As CAs raiz ficam no topo, com seus certificados pré-instalados nos sistemas operacionais e navegadores. As CAs raiz assinam certificados de CAs intermediárias, que por sua vez assinam os certificados de entidade final de servidores e serviços individuais. Essa cadeia de confiança permite a qualquer cliente verificar um certificado rastreando as assinaturas até uma raiz confiável. Se algum elo da cadeia for comprometido ou revogado, os certificados que ele assinou deixam de ser confiáveis.
A PKI vai além do TLS web. Ela sustenta a assinatura de código (verificação da autenticidade do software), a criptografia de e-mail (S/MIME), a autenticação de VPN, o TLS mútuo entre microsserviços e a autenticação com cartões inteligentes. Gerenciar a PKI em escala envolve controlar a expiração dos certificados, automatizar a renovação, lidar com listas de revogação (CRLs) ou respondedores OCSP, e proteger as chaves privadas das CAs: o comprometimento da chave privada de uma CA raiz minaria a confiança em toda a hierarquia.
Como o Vaulted usa Infraestrutura de chave pública
O Vaulted depende da PKI de forma indireta por meio do HTTPS. O certificado TLS de vaulted.fyi, emitido por uma autoridade de certificação confiável, garante que seu navegador está se comunicando com o servidor real do Vaulted, e não com um intermediário. Isso protege o texto cifrado e os metadados em trânsito. No entanto, o Vaulted não depende da PKI para seu modelo de criptografia principal: os segredos são criptografados no lado do cliente com chaves simétricas AES-256-GCM que nunca trafegam pela rede, então nem mesmo uma falha da PKI exporia os segredos em texto simples.