A selecção de opções criptográficas para uma autoridade de certificação (AC) pode ter implicações significativas em termos de segurança, desempenho e compatibilidade para essa AC. Apesar de as opções criptográficas poderem ser adequadas para a maior parte das ACs, a capacidade de implementar opções personalizadas pode ser útil para administradores e programadores de aplicações com um conhecimento mais avançado de criptografia e uma necessidade para esta flexibilidade. As opções critptográficas podem ser implementadas utilizando os fornecedores de serviços criptográficos (CSPs) ou fornecedores de armazenamento de chaves.
Os CSPs são componentes de hardware e de software de sistemas operativos Windows que fornecem funções criptográficas genéricas. Os CSPs podem ser escritos para fornecer uma variedade de algoritmos de encriptação e de assinatura.
Os fornecedores de armazenamento de chaves podem fornecer uma protecção de chaves segura em computadores com o Windows Server 2008 R2, Windows Server 2008, o Windows 7 ou o Windows Vista.
Na página Configurar Criptografia do processo de configuração da AC, pode configurar as seguintes opções:
-
Seleccione um fornecedor de serviços de criptografia. O Windows Server 2008 R2 e o Windows Server 2008 incluem vários CSPs, podendo ser adicionados CSPs suplementares ou fornecedores de armazenamento de chaves. No Windows Server 2008 R2 e no Windows Server 2008, a lista de fornecedores inclui o nome do algoritmo. Todos os fornecedores com um sinal de número (#) no nome são fornecedores CNG (Cryptography Next Generation). Os fornecedores CNG podem suportar múltiplos algoritmos assimétricos. Os CSPs podem implementar apenas um algoritmo.
Nota Para mais informações, consulte os novos avanços sobre criptografia (
https://go.microsoft.com/fwlink/?LinkID=85480 ) (em inglês). -
Comprimento da chave em caracteres. Cada CSP suporta comprimentos de caracteres diferentes para chaves criptográficas. A configuração de um comprimento da chave em caracteres maior pode aumentar a segurança tornando mais difícil que um utilizador mal intencionado desencripte a chave, mas também pode tornar o desempenho das operações critptográficas mais lento.
-
Seleccione o algoritmo hash para assinar os certificados emitidos por esta AC. Os algoritmos hash são utilizados para assinar certificados AC e os certificados emitidos por uma AC, para garantir que não foram adulterados. Cada CSP pode suportar diferentes algoritmos hash.
Nota A lista de algoritmos hash disponíveis pode ser restringida ainda mais se a opção DiscreteAlgorithm tiver sido configurada num ficheiro CAPolicy.inf instalado no computador antes da configuração da AC começar.
-
Utilizar as funcionalidades fortes de protecção de chaves privadas fornecidas pelo CSP (poderá requerer a interacção do administrador sempre que a chave privada for acedida pela AC). Esta opção pode ser utilizada para ajudar a impedir a utilização não aprovada da AC e da respectiva chave privada ao pedir ao administrador que introduza uma palavra-passe antes de cada operação criptográfica.