O que é gerenciamento de chaves?
O gerenciamento de chaves é o processo de controlar o acesso e verificar as chaves em um sistema criptográfico. Na criptografia, as informações são embaralhadas usando uma cifra. Esse código combina as informações de uma maneira muito específica, permitindo que qualquer pessoa com a chave apropriada decifre os dados e os retorne à sua forma original. O gerenciamento adequado de chaves é essencial para manter as chaves nos locais onde elas precisam estar e verificar se as chaves estão corretas antes de decodificar as informações.
As chaves são o elo mais fraco em um sistema criptográfico. É possível criar um código tão desonesto ou complexo que nunca possa ser quebrado, mas se ninguém conseguir decifrá-lo, qualquer informação codificada será perdida. Para que o código funcione corretamente, ele precisa de uma chave. Qualquer local que o código necessite de decodificação exige uma cópia dele, e cada um desses locais é um local em que a chave pode ser abusada.
Para impedir que as chaves sejam roubadas ou falsificadas, a criptografia usa dois métodos; programação e gerenciamento de chaves. Uma programação de chaves é o aspecto interno de uma chave no material codificado. Essas chaves geralmente interagem com as pessoas externas para verificar a autenticidade da chave e gerar subchaves para acessar dados codificados dentro dos dados codificados. Como os agendamentos de chaves geralmente exigem uma chave autêntica para funcionar, eles geralmente são vistos como chaves de baixo risco.
Em um nível básico, o gerenciamento de chaves está relacionado à segurança do acesso à chave quando ociosa e quando em uso. Em um sistema comum, as chaves são mantidas em um local offline e seguro. Antes dos computadores, essa era frequentemente uma área de acesso restrito - agora, normalmente, é um sistema de computador sem rede. Quando a chave é necessária, o servidor de chaves se conecta à rede, insere as informações apropriadas e desconecta. É somente durante o uso real da chave que os sistemas se conectam. Isso limita o tempo que um ladrão em potencial pode usar para acessar o sistema.
Um sistema de gerenciamento de chaves se estende além das informações. O gerenciamento adequado envolve restringir o acesso pessoal a locais de armazenamento de chaves, atualizações aleatórias de chaves e servidores de armazenamento de chaves codificados. Um verdadeiro sistema de gerenciamento envolve todos os aspectos do acesso à rede e do gerenciamento de pessoas. Como resultado, sistemas de gerenciamento de chaves em larga escala são difíceis de implementar e caros de supervisionar.
Esse problema geralmente é agravado por erro humano. Trabalhadores mal treinados subestimam a restrição do acesso às chaves e deixam caminhos abertos para o roubo. A supervisão do departamento geralmente apresenta conflitos, já que o gerenciamento de chaves se enquadra potencialmente nos departamentos de tecnologia da informação, contabilidade e segurança interna. Isso fará com que o sistema tenha muitos gerentes, criando conflitos de políticas ou muito poucos, pois cada departamento sente que o outro o tem sob controle.