O que é Criptografia? Transformando Dados em Texto Cifrado
A criptografia transforma dados legíveis em texto cifrado usando uma chave, de modo que apenas quem possui a chave certa pode revertê-los ao original.
A criptografia é a base da proteção de dados. Ela embaralha informações com uma chave em texto cifrado que não tem significado sem essa chave. Tudo, desde seus segredos de CI até o tráfego entre um pipeline e uma API de nuvem, depende da criptografia. Entendê-la esclarece por que os segredos estão seguros em repouso e por que o HTTPS protege credenciais em trânsito.
Como a criptografia funciona
Um algoritmo combina seus dados (texto simples) com uma chave para produzir texto cifrado. Revertê-lo (descriptografia) requer a chave apropriada. A segurança repousa no sigilo da chave, não no sigilo do algoritmo, que é público e bem estudado.
Duas grandes famílias
- Simétrica: a mesma chave criptografa e descriptografa; rápida, usada para grandes volumes de dados.
- Assimétrica: um par de chaves pública e privada; usada para troca de chaves e assinaturas.
- Sistemas reais combinam ambas para obter velocidade e distribuição segura de chaves.
Em repouso e em trânsito
A criptografia em repouso protege dados armazenados, como segredos em um vault ou artifacts em um bucket. A criptografia em trânsito protege dados em movimento por uma rede, como um pipeline chamando uma API por HTTPS. Sistemas robustos aplicam ambas.
Criptografia em CI/CD
Os cofres de segredos de CI mantêm as credenciais criptografadas em repouso e as descriptografam apenas para injetá-las em um job. O tráfego do pipeline para hosts de código-fonte, registries e provedores de nuvem é criptografado em trânsito. A criptografia é o que impede que um segredo armazenado seja legível por qualquer um que alcance o disco.
As chaves são o ponto fraco
A criptografia é tão forte quanto o gerenciamento de chaves. Uma chave vazada desfaz toda a proteção. É por isso que as chaves são armazenadas em sistemas dedicados, rotacionadas e, às vezes, protegidas por hardware. Perder uma chave também pode significar perder os dados para sempre.
Criptografia e o runner
Um segredo é descriptografado no runner para ser usado, então o runner é um momento sensível em sua vida. Runners efêmeros e isolados (como os managed runners da Latchkey) destroem esse valor descriptografado junto com o ambiente quando o job termina.
Principais conclusões
- A criptografia transforma texto simples em texto cifrado que apenas a chave certa pode reverter.
- A criptografia simétrica e a assimétrica são combinadas em sistemas reais.
- A segurança depende do gerenciamento de chaves; uma chave vazada desfaz a proteção.