Há um aspecto da tecnologia de TI com a qual trabalhamos que sempre desperta curiosidade quando falo sobre ele com amigos e conhecidos do setor de TI. Ele costuma ser percebido como algo esotérico e misterioso. Em certa medida, essa percepção se aplica ao próprio campo. Até mesmo o seu acrônimo — PKI — tende a evocar imagens de sociedades secretas e rituais de iniciação. Curiosamente, essa analogia não é totalmente inadequada, pois na base de toda Public Key Infrastructure existe um processo altamente ritualizado e de importância crítica: a Key Ceremony.
O que é uma PKI?
Ao buscar a definição de Public Key Infrastructure, normalmente encontra-se algo como: “A Public Key Infrastructure (PKI) é um conjunto de papéis, políticas, hardware, software e procedimentos necessários para criar, armazenar, distribuir, usar e gerenciar pares de chaves criptográficas e os certificados digitais associados, com o objetivo de criptografar e assinar dados”.
Embora precisa, essa definição não captura totalmente o que torna uma PKI realmente distintiva. Uma PKI não é apenas uma infraestrutura de TI; é uma combinação de tecnologia, governança e processos de negócio que permite que terceiros confiáveis verifiquem de forma consistente e atestem identidades digitais.
Por que os processos importam mais do que os componentes
Na prática, os aspectos organizacionais e procedimentais de uma PKI são frequentemente subestimados. Isso geralmente ocorre nas fases iniciais de um projeto, quando os clientes comparam diferentes soluções e se concentram principalmente nas especificações dos componentes, métricas de desempenho e fichas técnicas.
No entanto, o primeiro item da lista de compras para um projeto PKI bem-sucedido não deveria ser hardware nem software, mas um processo — um tema raramente discutido fora dos círculos especializados: a Key Ceremony.
O que é uma Key Ceremony?
A Key Ceremony é o procedimento formal durante o qual um par único de chaves criptográficas, pública e privada, é gerado e associado à Autoridade Certificadora raiz (Root CA). Essas chaves são posteriormente utilizadas para assinar certificados de Autoridades Certificadoras subordinadas ou, em algumas arquiteturas, diretamente das entidades finais.
As chaves são geradas e protegidas dentro de um dispositivo especializado conhecido como Hardware Security Module (HSM), que representa a camada mais interna de segurança. Os HSMs são projetados especificamente para resistir à violação física: qualquer tentativa de abrir, danificar ou interferir no dispositivo resulta na destruição imediata do material criptográfico que ele contém.
Dependendo do nível de segurança exigido, o acesso ao HSM pode envolver várias camadas de proteção física, como instalações subterrâneas, controles biométricos e compartimentos de segurança segregados. Além disso, para garantir a continuidade dos negócios, as chaves criptográficas e seus backups geralmente são armazenados em instalações seguras geograficamente separadas, muitas vezes a centenas ou milhares de quilômetros de distância.
Backups criptografados dos pares de chaves são mantidos pela organização em cofres seguros em cada local. Esses backups podem ser usados para inicializar um novo HSM e restaurar as chaves raiz em caso de falha de hardware ou de um incidente catastrófico.
Semeando a Root of Trust
As Key Ceremonies não são eventos padronizados; elas devem ser adaptadas à organização e ao valor dos ativos protegidos pelas chaves de criptografia e assinatura. Em cenários que exigem o mais alto nível de garantia, as cerimônias são realizadas em salas seguras sob vigilância por vídeo contínua, com a presença de testemunhas e, em alguns casos, de tabeliães.
É importante observar que o termo Key Ceremony não se refere apenas à geração do par de chaves raiz. Ele também inclui a inicialização do HSM e a criação de credenciais de recuperação. Essas chaves de recuperação geralmente são divididas e distribuídas entre responsáveis de segurança designados e só podem ser utilizadas quando um quórum predefinido é atingido.
Isso deixa claro que a verdadeira Root of Trust de uma PKI é estabelecida antes mesmo da geração da primeira chave criptográfica. A confiança está enraizada no rigor, na transparência e na responsabilidade da própria Key Ceremony.
Uma operação cuidadosamente roteirizada
Uma Key Ceremony é uma operação complexa e meticulosamente planejada. Nada é deixado ao acaso; cada etapa é regida por um roteiro formalmente documentado. O objetivo não é apenas gerar chaves criptograficamente fortes, mas também garantir que não possam ser criadas cópias não autorizadas e que cada ação seja rastreável e auditável.
Uma Key Ceremony típica inclui os seguintes elementos:
- identificação clara e documentação de todas as pessoas responsáveis pelo gerenciamento de chaves e backups, incluindo seus papéis e responsabilidades
- verificação da autenticidade e da integridade de todo o hardware e software antes do uso
- aplicação de lacres invioláveis nos dispositivos e uso de contêineres invioláveis para materiais de backup sensíveis
- visibilidade total da cerimônia, com as telas dos sistemas seguros espelhadas em grandes monitores e gravadas para capturar cada interação
- arquivamento seguro das gravações de vídeo para fins de auditoria ou possíveis investigações
Do mistério à prática do mundo real
Depois que o conceito de Key Ceremony é compreendido, fica claro que ele está longe de ser um exercício teórico ou simbólico. Trata-se de um processo real e operacional que sustenta algumas das infraestruturas de confiança mais críticas da Internet.
Falando em chaves, você pode já ter se deparado na web com artigos com títulos como “As sete pessoas que detêm as chaves da Internet”, ou até “Os sete templários da web”, “Os sete guardiões da rede”.
Para aqueles que ficaram apenas nos títulos, sem ler o conteúdo, essas expressões evocam rituais e procedimentos mais ou menos secretos. Na realidade, o que esses artigos abordam não tem nada a ver com sigilo, mas diz respeito a todos nós, muito mais do que podemos imaginar.
As sete chaves da web realmente existem. Mas, se você está imaginando chaves douradas que abrem baús de tesouro ou passagens secretas, está completamente fora do caminho. Quando falamos das chaves da web, estamos nos referindo a chaves criptográficas, usadas para garantir o funcionamento seguro da Internet.
Para quem deseja se aprofundar no tema, há leituras adicionais disponíveis nas seguintes fontes autoritativas:
Da Key Ceremony à PKI as a Service
Essa mesma abordagem também está no centro da nossa oferta de PKI as a Service (PKIaaS). Cada iniciativa de PKIaaS não começa com a implantação de software ou infraestrutura, mas com o desenho e a execução de uma Key Ceremony devidamente governada.
Ao iniciar com uma Key Ceremony formal e auditável, na Namirial garantimos que a Root of Trust da PKI de cada cliente seja estabelecida de acordo com as melhores práticas e alinhada aos requisitos específicos de segurança, conformidade e negócio da organização. Isso inclui a definição de papéis e responsabilidades, a seleção dos controles de segurança adequados e a implementação de procedimentos de gerenciamento de chaves que permanecem aplicáveis durante todo o ciclo de vida do serviço.
Nesse modelo, a PKIaaS não é simplesmente uma plataforma técnica terceirizada, mas um serviço de confiança gerenciado. A robustez da criptografia, a segurança dos HSMs e a disponibilidade da infraestrutura dependem de um processo fundamental, cuidadosamente projetado, documentado e executado desde o primeiro dia: a Key Ceremony.
