8.6. Infra-estrutura de Chave Pública (PKI)

Infra-estrutura de Chave Pública (PKI - Public Key Infrastructure) é uma arquitetura de segurança introduzida para fornecer um nível adicional de confiança para trocas de informação em redes inseguras. Utiliza os conceitos de chaves de criptografia pública e privada para verificar a identidade de um remetente (assinatura) e para assegurar a privacidade (criptografia).

Quando considerar uma PKI, você encontrará uma variedade de situações:

uma Autoridade Certificadora (CA - Certificate Authority) que pode distribuir e verificar certificados, e que pode trabalhar sobre uma dada hierarquia.
um Diretório para manter certificados públicos de usuário
um Banco de Dados (?) para manter Listas de Revogação de Certificados (CRL - Certificate Revocation Lists)
dispositivos que interagem com a CA a fim de imprimir em smart cards/ tokens USB ou qualquer outra forma para armazenar seguramente os certificados.
aplicações aptas a utilizarem certificados que podem usar certificados fornecidos por uma CA para realizar uma comunicação criptografada e verificar certificados dados contra CRL (para soluções de autenticação e assinatura de uma única vez completa)
uma autoridade de marcação de tempo para assinar documentos digitalmente
um console de gerenciamento a partir do qual tudo isso pode ser corretamente usado (geração de certificados, controle de lista de revogações, etc...)

Debian GNU/Linux tem pacotes de software para ajudar você com alguns desses pontos da PKI. Eles incluem OpenSSL (para geração de certificados), OpenLDAP (como um diretório para manter os certificados), gnupg e openswan (com suporte para o padrão X.509). Entretanto, como na versão Woody (Debian 3.0), Debian não tem nenhuma das autoridades certificadoras disponíveis gratuitamente como pyCA, http://www.openca.org ou os exemplos de CA do OpenSSL. Para mais informações, leia o http://ospkibook.sourceforge.net/.