Solução Infineon Security Platform |
A Infra-estrutura de Chave Pública (PKI) no PKCS #11
O padrão PKCS #11 define uma interface comum para a criação, uso e administração de certificados e chaves criptográficas. Cada implementação dessa interface fornece uma interface específica para a tecnologia fundamental, uma vez que o PKCS #11 não dá nenhuma instrução sobre o token criptográfico que realiza a funcionalidade central. Existem soluções no mercado baseadas tanto em software como em cartões inteligentes ou módulos especializados de hardware criptográfico. Cada biblioteca complacente com PKCS #11 implementa sua própria maneira de incluir esses dispositivos especiais e como utilizá-los para gerar e tratar os dados criptográficos relevantes.
Uma vez que o PKCS #11 define uma interface independente de plataforma, há diferentes soluções de uma grande variedade de fabricantes e o padrão é suportado em várias plataformas e sistemas operacionais.
Bibliotecas complacentes com PKCS #11 fornecem sua funcionalidade através de uma interface bem definida. Dependendo do alvo primário de uma implementação, um PKCS #11 pode suportar apenas um sub-sistema da interface definida.
Para uma PKI, os aplicativos que usam um módulo PKCS #11 exigem acesso a uma armazenagem persistente que fornece uma armazenagem confiável e persistente para certificados e chaves privadas de usuário. O PKCS #11 não dá nenhuma informação sobre esse mecanismo de armazenagem. Como um mecanismo comum usado, os serviços de diretório foram comprovados como uma maneira utilizável de fornecer a funcionalidade solicitada. O acesso a esses serviços de diretório é freqüentemente realizado usando o protocolo leve de acesso a diretório (LDAP).
O Windows 2000 / XP não contém uma biblioteca PKCS #11 nativa, portanto essa função deve ser adicionada por produtos de terceiros. O Software Solução Infineon Security Platform engloba uma biblioteca implementando a interface PKCS #11, que utiliza o Trusted Platform Module para realizar as operações criptográficas mais sensíveis, como a geração de chaves.
Diversas implementações independentes do padrão podem ser localizadas no mesmo sistema. Essa é uma função comum para a qual os aplicativos que usam essas bibliotecas devem ser configurados em uma etapa extra para acessar os respectivos módulos.
Aplicativos baseados em PKCS #11 precisam, todavia, implementar todo o trabalho administrativo necessário para fornecer os dados necessários para lidar com a funcionalidade PKCS #11.
Os desenvolvedores de aplicativos podem tirar proveito da funcionalidade completa dos mecanismos baseados em chave pública usando diferentes módulos de implementação de PKCS #11 sem precisar fazer quaisquer alterações na plataforma ou no sistema de software no qual operam. Além disso, as empresas também serão capazes de administrar seu ambiente e aplicativos com ferramentas e políticas que sejam consistentes em toda a organização.
Para habilitar outros usuários a ler mensagens criptografadas ou checar e-mails assinados, os certificados de usuário devem estar armazenados em um diretório público. Esse diretório é normalmente localizado em um servidor o qual é possível alcançar dentro da unidade relacionada da organização.
Os componentes básicos de uma infra-estrutura de chave pública incluem certificados digitais, listas de revogação de certificado e autoridades de certificação. Administradores de empresas devem garantir que uma infra-estrutura de chave pública esteja funcionando antes de começar a usar a criptografia de chave pública em suas redes.
A configuração de uma PKI dentro de uma organização envolve as seguintes etapas:
- Instalação de um servidor de certificado
- Definição de um terceiro provedor de serviзo de certificado
- Configuração do Mozilla Firefox para o uso da biblioteca PKCS #11 da Infineon Security Platform
- Obtenção de certificados de uma autoridade de certificação para autenticação de cliente
Este guia te dá uma visão geral de alguns dos itens listados acima e aponta links que fornecem maiores informações sobre esses tópicos.
Depois de uma atualização do Security Platform Solution Software, os aplicativos que usam a Security Platform Solution através da interface PKCS#11 podem não funcionar como esperado, porque o arquivo DDL da PKCS#11 DLL (ifxtpmck.dll) está agora localizado no diretório de instalação do Platform Solution Software. Em versões anteriores, ele estava localizado no diretório system32. Os aplicativos precisam ser reconfigurados para carregar o ifxtpmck.dll a partir do novo local. |
©Infineon Technologies AG