Agora que o número de dispositivos conectados está aumentando constantemente e a tecnologia está evoluindo para um futuro cheio de computadores quânticos, as empresas que desejam garantir sua segurança, hoje e amanhã, devem não apenas proteger seus dispositivos e aplicativos, mas também adquirir “agilidade criptográfica”.
Todas as empresas aspiram melhorar a agilidade dos negócios, mas apenas aquelas que são capazes de se adaptar rapidamente às mudanças do mercado terão uma vantagem competitiva e poderão evitar perdas desnecessárias. Os dados são vitais para uma empresa; portanto, o departamento de segurança da informação é responsável por estabelecer e manter conexões seguras entre os sistemas de TI e todos os dispositivos externos. O ideal é usar métodos de criptografia entre diferentes sistemas que precisam se interconectar. A empresa sempre deve exigir links criptografados para proteger os dados transmitidos, independentemente de serem destinados a sistemas internos ou externos. Agora que o número de dispositivos conectados está aumentando, a “agilidade criptográfica” é um componente essencial para obter agilidade nos negócios.
A baixa visibilidade limita a agilidade
Um problema comum para a maioria dos especialistas em segurança é que eles não são claros em que criptografia é usada na infraestrutura de TI. Esses profissionais já sabem como manter um inventário de software, agora precisam aprender a fazer o mesmo com todos os dispositivos conectados.
Uma das tecnologias criptográficas mais comuns atualmente são os certificados TLS / SSL, que garantem a segurança das conexões entre navegadores, servidores e um número crescente de dispositivos e aplicativos.
A tecnologia TLS usa criptografia simétrica e assimétrica usando uma infraestrutura de chave pública (PKI), que é o conjunto de hardware, software, pessoas, políticas e processos necessários para criar, gerenciar, distribuir, usar, armazenar e revogar certificados digitais. A PKI também é o que vincula as chaves às identidades do usuário por meio de uma autoridade de certificação (CA). A PKI combina as vantagens dos dois tipos de criptografia. Por exemplo, nas comunicações TLS, o certificado TLS do servidor contém um par assimétrico que combina uma chave pública com uma privada. Em vez disso, a chave da sessão que o servidor e o navegador criam durante a saudação TLS inicial é simétrica.
Agilidade criptográfica: o que é?
Para ser ágil do ponto de vista da criptografia, você precisa saber como e onde os sistemas criptográficos são usados na empresa (protocolos, bibliotecas, algoritmos, certificados, etc.) e ter a capacidade de detectar e resolva problemas rapidamente. Se a empresa for realmente ágil, poderá substituir a criptografia obsoleta de maneira automatizada, quando necessário, sem deixar pontas soltas.
A agilidade criptográfica não consiste apenas em usar algoritmos diferentes para funções críticas (hashes, assinaturas, sistemas de criptografia, etc.) ou em escolher qual algoritmo (por exemplo, SHA-1 ou SHA-256) usar para um função concreta.
O SHA-2, sucessor do SHA-1, tem o mesmo ponto fraco (somente que, graças ao seu comprimento superior, oferece melhor proteção). Portanto, é recomendável usar o SHA-3 em vez do SHA-1 e SHA-2, mas o problema é que no momento quase não existem produtos de hardware ou software compatíveis com a nova tecnologia.
Simplesmente garantir que haja algoritmos suportados em todos os lugares necessários é uma tarefa muito ambiciosa, tornando ainda mais difícil a agilidade da criptografia. A maioria das transições criptográficas afeta toda a arena da Internet, e a colaboração de todos os provedores é essencial para a transição de um algoritmo para outro.
Entre as práticas recomendadas para obter agilidade criptográfica, destacamos o seguinte:
- Estabelecer e comunicar políticas claras
- Faça um inventário de todos os ativos de criptografia
- Detectar fraquezas criptográficas (dentro da empresa e com fornecedores)
- Ter a capacidade de testar novos algoritmos criptográficos
- Ter a capacidade de substituir rapidamente chaves e certificados vulneráveis
- Manter informações da propriedade
- Automatize o gerenciamento
- Automatizar substituição
O primeiro passo para alcançar a agilidade de criptografia na empresa é criar e comunicar políticas claras para garantir que as melhores práticas de TLS sejam seguidas. Depois que as políticas estiverem em vigor, será necessário fazer um inventário de todos os ativos de criptografia, usando uma moderna plataforma de gerenciamento de certificados com um recurso abrangente de descoberta. Quando o inventário estiver completo e todos os ativos de criptografia da empresa estiverem sob controle, você terá a flexibilidade de começar a testar novos algoritmos à medida que estiverem disponíveis ou substituir chaves que se revelem vulneráveis,
Em seguida, quando você tiver visibilidade e controle, precisará mudar de algoritmo toda vez que decidir, o próximo passo é se concentrar na preservação da agilidade criptográfica. Você precisará garantir que cada pessoa ou departamento relevante esteja sempre no controle de seus respectivos ativos de criptografia e que sistemas de ativos automatizados, como certificados TLS, sejam usados sempre que possível. Dessa forma, pode garantir que o trabalho de acompanhamento e substituição seja realizado sem a necessidade de intervenção humana.
A agilidade criptográfica também exige que todos os fornecedores de hardware atualizem seus dispositivos a tempo. Quanto mais provedores cuidarem da segurança, mais fácil será para a empresa manter a agilidade de criptografia. É arriscado confiar em um provedor que sempre demorou a implementar atualizações de segurança. Em vez disso, se seus fornecedores fornecerem atualizações regularmente, eles revelam que tipo de criptografia eles usam e oferecem soluções que suportam os algoritmos mais recentes, você minimizará o risco e melhorará seu nível de agilidade de criptografia. Dessa forma, sua empresa poderá reagir mais rapidamente em caso de uma grande ameaça criptográfica, mitigando os danos que ela pode sofrer.
Seus fornecedores (sejam eles software ou hardware de TI), parceiros de negócios e provedores de serviços externos precisam ser capazes de informar como eles colaborarão com seu plano. Adote a política de escolher provedores que usem a melhor criptografia disponível e garanta a compatibilidade com os padrões mais recentes e os algoritmos mais avançados em um período de tempo razoável. O software e o firmware precisam ser atualizados sem gastar muito tempo e esforço. Essa é a única maneira de substituir rapidamente qualquer item de uma era criptográfica passada que deixa a empresa exposta a vulnerabilidades. A mesma política deve ser seguida com atualizações remotas de software, mas se você tomou as medidas apropriadas para garantir visibilidade e controle,
Finalmente, você precisa pelo menos começar a pensar sobre a transformação que a computação quântica trará à sua infraestrutura de TI em um futuro não muito distante, quando computadores e dispositivos de IoT puderem fazer cálculos muito mais rapidamente do que hoje. A computação quântica promete revolucionar uma infinidade de aspectos da vida, desde a pesquisa para curar o câncer até a busca de soluções para reduzir o tráfego nos centros urbanos, mas, para realizar essas possibilidades, precisamos superar os desafios que isso representará. Segurança da Internet das coisas.
Hoje, os dispositivos conectados deixam a confidencialidade, a integridade e a autenticidade das comunicações eletrônicas nas mãos da criptografia RSA ou ECC. Além disso, os navegadores da Web usam a verificação de assinatura RSA e ECC para estabelecer uma conexão segura com a Internet ou validar assinaturas digitais. No entanto, de acordo com o NIST e outros vigilantes do setor de segurança, a criptografia de chave pública RSA sucumbirá à computação quântica em menos de dez anos.
As vantagens e riscos associados à computação quântica afetam praticamente todos os setores, como finanças, saúde, energia e manufatura. Os sistemas de TI baseados na computação quântica ainda podem estar daqui a cinco ou dez anos, mas é algo para se pensar agora, se queremos melhorar nossos níveis de agilidade criptográfica para o futuro.
Resumimos abaixo várias conclusões que devem ser levadas em consideração:
- A criptografia capaz de proteger as atualizações remotas de software (assinaturas baseadas em hash) já existe e deve ser implementada.
- Dessa maneira, o software pode ser atualizado com algoritmos pós-quânticos aprovados pelo NIST à medida que se tornam disponíveis.
- As tecnologias disponíveis hoje não apenas permitirão que os algoritmos pós-quantum sejam adotados posteriormente, mas também ajudarão as empresas a lidar melhor com os futuros desafios de criptografia.