Criptografia é a única medida do Art. 46 LGPD (segurança técnica) que ANPD inspeciona objetivamente — existe ou não, com força x ou y. Este módulo é o playbook prático: TLS 1.3 nas pontas, mTLS interno quando faz sentido, AES-256-GCM em storage com envelope encryption, KMS gerenciando KEK, rotação configurada, e a fronteira BYOK/HYOK quando regulação exige. Sem mistificação.
Camadas — onde a criptografia mora
🗺️ Defense in depth: cada camada cobre o que a outra não vê
App ↔ Edge
▼
Edge ↔ Gateway
▼
Service ↔ Service
▼
Service ↔ DB
▼
Storage
▼
Backups
TLS 1.3 — o mínimo aceitável
Versão mínimaTLS 1.2 com cipher suites AEAD apenas (ECDHE + AES-GCM ou ChaCha20-Poly1305); TLS 1.3 preferido
Cipher suites TLS 1.3TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256
HSTSStrict-Transport-Security: max-age=63072000; includeSubDomains; preload
Certificate transparencyMandatory em browsers (Chrome desde 2018) — use Let’s Encrypt ou AWS ACM
OCSP staplingReduz latência e privacidade do user — revocation check no servidor
SNIEncrypted Client Hello (ECH, RFC 9180) onde suportado — Cloudflare/CDN
0-RTTAceito apenas em requests idempotentes; replay protection ativa
AuditoriaRodar testssl.sh, SSL Labs (qualys), Mozilla Observatory regularmente
nginx.conf
# TLS 1.3 only (em 2026 já dá pra exigir)
ssl_protocols TLSv1.3;
ssl_ciphers TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256;
ssl_prefer_server_ciphers off; # TLS 1.3 client preference
ssl_session_tickets off; # forward secrecy
ssl_stapling on;
ssl_stapling_verify on;
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
# Mozilla Modern: https://ssl-config.mozilla.org/Envelope encryption — o padrão de storage
🗺️ Fluxo de encrypt + decrypt com envelope
1. App chama KMS.GenerateDataKey(KeyId=KEK)
2. KMS retorna { plaintext_dek, ciphertext_dek }
3. App AES-GCM(plaintext_dek, dado) → ciphertext
4. App descarta plaintext_dek (zerar memória)
5. Persiste: ciphertext + ciphertext_dek + nonce + AAD
1. App lê ciphertext + ciphertext_dek
2. App chama KMS.Decrypt(ciphertext_dek)
3. KMS retorna plaintext_dek
4. App AES-GCM-Decrypt(plaintext_dek, ciphertext, nonce, AAD)
5. Plaintext disponível por μs; descartar
1. KMS rotaciona KEK (auto 1y ou manual)
2. Versões antigas mantidas para decrypt
3. Re-encrypt DEK opcional (KMS.ReEncrypt)
4. Não toca no ciphertext do dado
5. Auditoria via CloudTrail por GenerateDataKey/Decrypt
lib/envelope.ts
import { KMSClient, GenerateDataKeyCommand, DecryptCommand } from '@aws-sdk/client-kms';
import { createCipheriv, createDecipheriv, randomBytes } from 'crypto';
const kms = new KMSClient({ region: 'sa-east-1' });
const KEK_ARN = process.env.KMS_KEK_ARN!;
export interface EncryptedPayload {
ciphertext: Buffer;
ciphertextDek: Buffer;
nonce: Buffer;
tag: Buffer;
aad?: Buffer;
}
export async function encrypt(plaintext: Buffer, aad?: Buffer): Promise<EncryptedPayload> {
const { Plaintext, CiphertextBlob } = await kms.send(new GenerateDataKeyCommand({
KeyId: KEK_ARN, KeySpec: 'AES_256',
}));
const dek = Buffer.from(Plaintext!);
const nonce = randomBytes(12);
const cipher = createCipheriv('aes-256-gcm', dek, nonce);
if (aad) cipher.setAAD(aad);
const ciphertext = Buffer.concat([cipher.update(plaintext), cipher.final()]);
const tag = cipher.getAuthTag();
// CRITICAL: zerar DEK em memória
dek.fill(0);
return { ciphertext, ciphertextDek: Buffer.from(CiphertextBlob!), nonce, tag, aad };
}
export async function decrypt(p: EncryptedPayload): Promise<Buffer> {
const { Plaintext } = await kms.send(new DecryptCommand({ CiphertextBlob: p.ciphertextDek }));
const dek = Buffer.from(Plaintext!);
const decipher = createDecipheriv('aes-256-gcm', dek, p.nonce);
if (p.aad) decipher.setAAD(p.aad);
decipher.setAuthTag(p.tag);
const result = Buffer.concat([decipher.update(p.ciphertext), decipher.final()]);
dek.fill(0);
return result;
}⚠️
AAD (Additional Authenticated Data) não é criptografado, mas é autenticado. Use para amarrar ciphertext ao contexto: . Impede swap attack (mover ciphertext entre registros).
AES-GCM — anatomia e armadilhas
ƒ AES-256-GCM
C = AES_CTR(K, N, P) ; T = GHASH(H, A, C)
🚨
Nonce reuse com mesma chave em GCM é catastrófico: vaza XOR de keystreams e permite forjar mensagens autenticadas. NUNCA gere nonce com PRNG fraco. Use (CSPRNG) ou contador atômico monotônico por chave. Em alta volume, considere AES-256-GCM-SIV (RFC 8452) — resistente a nonce reuse.
Comparativo KMS — AWS, GCP, Azure, Vault
| Recurso | AWS KMS | GCP Cloud KMS | Azure Key Vault | HashiCorp Vault Transit |
|---|---|---|---|---|
| HSM nível | FIPS 140-2 L3 (CloudHSM L3) | FIPS 140-2 L3 opcional | Managed HSM FIPS L3 | FIPS 140-2 L3 com seal HSM |
| Auto-rotation | Sim, 1 ano | Configurável | Sim, configurável | Sim, configurável |
| BYOK | External Key Store (XKS) | External Key Manager (EKM) | BYOK suportado | Não aplicável (você opera) |
| Audit | CloudTrail | Cloud Audit Logs | Activity Log | Audit device |
| Custo (USD) | $1/key/mês + $0.03/10k | $0.06/key/mês + $0.03/10k | ~$1/key + ops | Self-host |
| Per-record encrypt | GenerateDataKey + DEK | GenerateRandomBytes + AEAD local | wrap/unwrap | Encrypt API |
| Multi-region | KMS multi-region keys | Replicated keysets | Geo-replicated | Replication enterprise |
RecursoHSM nível
AWS KMSFIPS 140-2 L3 (CloudHSM L3)
GCP Cloud KMSFIPS 140-2 L3 opcional
Azure Key VaultManaged HSM FIPS L3
HashiCorp Vault TransitFIPS 140-2 L3 com seal HSM
RecursoAuto-rotation
AWS KMSSim, 1 ano
GCP Cloud KMSConfigurável
Azure Key VaultSim, configurável
HashiCorp Vault TransitSim, configurável
RecursoBYOK
AWS KMSExternal Key Store (XKS)
GCP Cloud KMSExternal Key Manager (EKM)
Azure Key VaultBYOK suportado
HashiCorp Vault TransitNão aplicável (você opera)
RecursoAudit
AWS KMSCloudTrail
GCP Cloud KMSCloud Audit Logs
Azure Key VaultActivity Log
HashiCorp Vault TransitAudit device
RecursoCusto (USD)
AWS KMS$1/key/mês + $0.03/10k
GCP Cloud KMS$0.06/key/mês + $0.03/10k
Azure Key Vault~$1/key + ops
HashiCorp Vault TransitSelf-host
RecursoPer-record encrypt
AWS KMSGenerateDataKey + DEK
GCP Cloud KMSGenerateRandomBytes + AEAD local
Azure Key Vaultwrap/unwrap
HashiCorp Vault TransitEncrypt API
RecursoMulti-region
AWS KMSKMS multi-region keys
GCP Cloud KMSReplicated keysets
Azure Key VaultGeo-replicated
HashiCorp Vault TransitReplication enterprise
mTLS interno — service mesh ou manual?
📋 Cluster Kubernetes com 30 serviços, precisa autenticação service-to-service auditável
✓ Service Mesh (Istio ou Linkerd) com mTLS automático
Sidecar injeta TLS sem mudança de código, identidade via SPIFFE (spiffe://cluster/ns/sa), rotação automática de certs (1h–24h via cert-manager + Vault PKI), audit log com identidade real do caller. Manual exige boilerplate em cada serviço e divergência inevitável.
Alt: Manual TLS no app —
Alt: JWT entre serviços —
Alt: Apenas IAM/VPC —
Quando criptografia at-rest não basta
EBS-encrypted, RDS-encrypted, S3 SSE — todos protegem contra roubo de disco. Não protegem contra credencial vazada nem contra insider com acesso de leitura legítimo. Para PII sensível (CPF + biometria, saúde, dados financeiros), aplique application-layer encryption com chave por tenant ou por campo. Operações analíticas ficam mais complexas — use Searchable Encryption (CipherStash) ou Tokenization (Vault, AWS Payment Cryptography) se precisar buscar/joinar.
🗺️ Token vs Encrypt vs Hash — para CPF
TokenizeCPF → token estável (vault map). Busca por token, sem chave em prod app. Recomendado para CPF.
Encrypt (envelope)Cifra reversível. Use quando precisar do valor original na app. Não permite busca exata.
Hash (HMAC-SHA-256)Irreversível. Permite igualdade. Use quando precisa apenas comparar (lookup).
Erros frequentes em produção
KMS sem CloudTrail/auditSem log, ANPD não aceita controle. Habilite CloudTrail data events ou equivalente
DEK em cache eternoSome defeated. Limite TTL (segundos a minutos) e descarte na memória após uso
Reuso de IV/nonceCatastrófico em GCM/CTR. Sempre random ou contador único por chave
TLS internal opt-out"Está na VPC, não precisa" — falacioso. VPC peering, side-channel, sidecar comprometido
Chaves no env var sem KMSAparece em `ps`, em /proc, em core dump. Sempre referenciar via KMS/Secrets Manager
Backup sem encryptionO backup é cópia perfeita; viola Art. 46 se prod tem encryption e backup não
Mesma chave em prod e backupCompromisso de uma compromete outro. Separe explicitamente
Sem rotação ou rotação manualHabilite automatic rotation; documente cryptoperiods no DPIA
Checklist de auditoria pre-incidente
- TLS 1.3 (ou 1.2 com AEAD only) em todo endpoint público? Rode .
- HSTS preload, OCSP stapling, cert auto-renew (ACM/Let’s Encrypt)?
- mTLS entre serviços internos críticos? Service mesh com SPIFFE?
- RDS/Aurora + ?
- S3 buckets com SSE-KMS + Bucket Key + Block Public Access?
- EBS volumes encrypted by default no account?
- Envelope encryption em app-layer para PII sensível?
- KMS key rotation habilitada? CloudTrail data events ligados?
- Backups com encryption + chave separada da prod?
- Plano de rotação de emergência documentado (24h)?
- Algorithms aprovados (NIST SP 800-131A Rev 2)? Sem MD5/SHA-1/RC4/3DES?
- Tokenização para CPF/cartão onde plaintext na app é desnecessário?
Recursos canônicos
RFC 8446TLS 1.3
RFC 8452AES-GCM-SIV (nonce-misuse-resistant)
NIST SP 800-57Key Management — cryptoperiods
NIST SP 800-131A r2Algoritmos aprovados
NIST SP 800-38DGCM Mode
OWASP Cryptographic Storage Cheat Sheetcheatsheetseries.owasp.org
Mozilla SSL Configssl-config.mozilla.org
SPIFFE/SPIREspiffe.io — identidade para mTLS