PKI: Public Key Infrastructure

Infraestrutura de apoio ao uso de pares de chaves e certificados

Criação segura de pares de chaves assimétricas

• Políticas de subscrição

• Políticas de geração de pares de chaves

Criação e distribuição de certificados de chaves públicas

• Políticas de subscrição

• Definição de atributos do certificado

Definição e uso de cadeias de certificação

• Inserção numa hierarquia de certificação

• Certificação de outras CAs

Atualização, publicação e consulta de listas de certificados revogados

• Políticas para revogar certificados

• Distribuição permanente de CRLs

• Serviço OCSP

Uso de estruturas de dados e protocolos que permitem a interoperação entre componentes

Relações de Confiança

Um PKI estabelece relações de confiança de duas formas

• Emitindo certificados de chaves públicas de outras CAs

• Requerendo a certificação da sua chave pública a outras CAs

Relações de confiança características

• Hierárquicas

• Cruzadas (A certifica B e vice versa)

• Ad hoc (meshed)

Fixação dos Certificados (Pinning)

Se um atacante possui acesso a uma raiz de confiança, ele pode emitir qualquer certificado para qualquer entidade

• Manipular a CA para que ela emita um certificado (difícil)

• Injetar raízes adicionais nos sistemas da vítima (mais fácil)

Certificate Pinning: Adicionar uma impressão digital da chave pública ao código

Processo de validação normal + verificação de impressão digital

• Certificado tem de ser assinado por uma raiz de confiança

• Certificado tem de ter uma chave pública com a impressão digital especificada