Notícias

Início - Notícias - TLS 1.3 Avançado: Autenticação mútua com Smart Token

TLS 1.3 Avançado: Autenticação mútua com Smart Token

11/28/2025

O Transport Layer Security (TLS) é utilizado para proteger a privacidade e a integridade das comunicações de rede. Com a evolução dos ataques à rede, a Internet Engineering Task Force (IETF) lançou a norma TLS 1.3 (RFC 8446) em 2018, alcançando melhorias significativas em termos de segurança, desempenho e escalabilidade.



Principais vantagens do TLS 1.3

O TLS 1.3 oferece grandes melhorias em relação ao TLS 1.2, com três melhorias principais:

1
Segurança reforçada

- Mantém apenas os algoritmos de encriptação de alta resistência (como o AES-GCM) e elimina os algoritmos desactualizados com riscos potenciais.

- Obriga ao sigilo de encaminhamento, garantindo que as comunicações históricas permaneçam seguras mesmo em caso de fuga da chave privada.

2
Desempenho melhorado

- Reduz o processo de aperto de mão de várias viagens de ida e volta para uma, chegando mesmo a atingir zero viagens de ida e volta (0-RTT) em determinados cenários, permitindo um estabelecimento de ligação mais rápido.

3
Compatibilidade e extensibilidade

- Compatível com protocolos antigos, suporta campos de extensão personalizáveis e adapta-se a diversos cenários, incluindo IoT e pagamentos móveis.


Autenticação mútua
Verificação bidirecional entre cliente e servidor

O TLS 1.3 suporta a autenticação mútua para garantir a credibilidade de ambas as partes comunicantes (tomando o 1-RTT como exemplo, o processo de aperto de mão é o seguinte):

1
O cliente envia um ClientHello, incluindo os conjuntos de cifras e os algoritmos de assinatura suportados.
2
O servidor responde com um ServerHello, o seu certificado, e solicita o certificado do cliente.
3
O cliente envia o seu próprio certificado e assina as informações do aperto de mão com a sua chave privada depois de verificar o certificado do servidor.
4
O servidor verifica o certificado e a assinatura do cliente, confirma a identidade, conclui o acordo de chaves e estabelece um canal encriptado.
5
O cliente e o servidor transmitem dados encriptados através do canal.


Token inteligente
A "identidade segura" do cliente

O Smart Token da Watchdata é um dispositivo de hardware com um elemento de segurança incorporado. Pode armazenar chaves privadas do cliente e efetuar operações de assinatura. A sua principal função é isolar as chaves privadas do cliente em hardware para evitar fugas, servindo como uma garantia crítica para a segurança da identidade do cliente na autenticação mútua TLS. As suas principais caraterísticas incluem:

- A chave privada nunca sai do dispositivo:

As chaves privadas são geradas e armazenadas internamente no Smart Token e não podem ser exportadas.

- Execução de assinaturas no hardware:

As operações de assinatura são efectuadas dentro do Smart Token, garantindo que as chaves privadas nunca são expostas.

- PIN/Biométrico: Suporte de autenticação:

Requer verificação de identidade (por exemplo, introdução de PIN ou leitura biométrica) para utilização, impedindo o acesso não autorizado.

Na autenticação mútua TLS 1.3, o Smart Token é normalmente utilizado para a assinatura de chaves privadas:

- Fase de descarregamento do certificado:

Os utilizadores geram pares de chaves de cliente (chaves públicas e privadas) no Smart Token através do middleware de gestão de software correspondente. A chave pública é submetida a uma Autoridade de Certificação (CA) para aplicação do certificado, e o certificado emitido é escrito no Smart Token.

- Fase de aperto de mão:

Quando o cliente precisa de fornecer um certificado, lê o certificado do Smart Token. Durante a fase CertificateVerify, a aplicação cliente (browser/software cliente) envia o resumo da mensagem de handshake para o Token através das interfaces PKCS11 ou CSP. Depois de o utilizador autorizar o acesso introduzindo um PIN, o Token assina o resumo com a chave privada interna e devolve o resultado da assinatura ao cliente, que o reencaminha para o servidor.


Cenários de aplicação típicos

Com a sua elevada segurança e baixa latência, o TLS 1.3 é amplamente utilizado nos seguintes cenários:

图片

Transacções financeiras:

Cenários como a banca em linha e os pagamentos móveis requerem autenticação mútua para verificar a legitimidade da identidade do utilizador. O handshake de 1-RTT do TLS 1.3 reduz a latência de carregamento da página de pagamento e melhora a experiência do utilizador.

图片

Internet das Coisas (IoT):

Dispositivos como electrodomésticos inteligentes e sensores industriais têm recursos de computação limitados. Os algoritmos ECC e a retoma 0-RTT reduzem o consumo de energia do dispositivo, enquanto as extensões de encriptação impedem a fuga de informações de identidade do dispositivo.

图片

Transmissão de dados sensíveis:

Os cenários que requerem sigilo de encaminhamento (por exemplo, dados médicos e informações governamentais) beneficiam do ECDHE obrigatório do TLS 1.3, garantindo a segurança dos dados a longo prazo.





Conclusão





O TLS 1.3, com sua alta segurança e baixa latência, tornou-se o protocolo preferido para comunicações de rede modernas. Combinado com a proteção a nível de hardware do Smart Token da Watchdata, o mecanismo de autenticação mútua fornece garantias de segurança fiáveis para cenários de alta segurança, tais como finanças e assuntos governamentais, servindo como um componente chave na construção de um ambiente de rede de confiança.

Com mais de 30 anos de experiência em autenticação de identidade digital e segurança de dados, a Watchdata tem aproveitado a acumulação técnica a longo prazo e a prática da indústria para desenvolver produtos Smart Token com excelente segurança e estabilidade. Estes produtos têm apoiado clientes em vários sectores, incluindo finanças, governo e empresas. Estamos ansiosos por colaborar com mais parceiros para promover conjuntamente o desenvolvimento do ecossistema de segurança digital e fornecer garantias fiáveis para a segurança da identidade na Internet.