Skip to content
Latchkey

O que é Criptografia Assimétrica? Pares de Chaves Pública e Privada

A criptografia assimétrica usa um par de chaves matematicamente ligadas: uma chave pública que qualquer um pode usar para criptografar e uma chave privada que apenas o proprietário usa para descriptografar.

A criptografia assimétrica, também chamada de criptografia de chave pública, resolve o problema que a criptografia simétrica não consegue: trocar chaves com segurança entre desconhecidos. Cada parte tem uma chave pública para compartilhar e uma chave privada para manter em sigilo. Ela sustenta o HTTPS, a assinatura de código e as assinaturas digitais que verificam que os artifacts do pipeline não foram adulterados.

Como o par de chaves funciona

Dados criptografados com a chave pública só podem ser descriptografados com a chave privada correspondente, e vice-versa. Você pode publicar sua chave pública livremente; enquanto sua chave privada permanecer em sigilo, o sistema se mantém. Essa assimetria é todo o truque.

Dois usos principais

  • Confidencialidade: criptografe para uma chave pública para que apenas o detentor da chave privada possa ler.
  • Autenticidade: assine com uma chave privada para que qualquer um possa verificar com a chave pública.
  • Troca de chaves: acorde uma chave simétrica sem enviá-la em texto claro.

Mais lenta, porém poderosa

As operações assimétricas são muito mais lentas do que as simétricas, então elas são usadas com parcimônia: para trocar uma chave de sessão simétrica ou para assinar dados. Uma vez acordada uma chave de sessão, a rápida criptografia simétrica assume o grosso do tráfego.

Criptografia assimétrica em CI/CD

O TLS que protege o tráfego do pipeline depende da criptografia assimétrica para estabelecer confiança. As chaves de assinatura que assinam artifacts, imagens de contêiner e commits são assimétricas: a chave privada assina, e qualquer um pode verificar com a chave pública, comprovando a proveniência.

Protegendo a chave privada

A chave privada é a joia da coroa. Se ela vazar, um atacante pode se passar por você ou forjar assinaturas. As chaves privadas de assinatura são frequentemente mantidas em um módulo de segurança de hardware ou em um serviço gerenciado de chaves e rotacionadas em um cronograma.

Assinatura e runners efêmeros

Quando um pipeline assina um artifact, a operação de assinatura acontece no runner. Manter a chave privada em um serviço gerenciado e usar runners isolados e efêmeros (como os managed runners da Latchkey) limita a exposição do material de assinatura.

Principais conclusões

  • A criptografia assimétrica usa um par de chaves pública/privada para criptografia e assinaturas.
  • Ela permite troca segura de chaves e proveniência por meio de assinaturas digitais.
  • A chave privada é o segredo crítico e é frequentemente protegida em hardware.

Guias relacionados