GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Tamanho: px
Começar a partir da página:

Download "GESTÃO DE SEGURANÇA DA INFORMAÇÃO"

Transcrição

1 GESTÃO DE SEGURANÇA DA INFORMAÇÃO INTRODUÇÃO A SEGURANÇA DAS INFORMAÇÕES Pós Graduação Lato Sensu Comentários sobre o artigo: Ten Risks of PKI: What You're not Being Told about Public Key Infrastructure Patrick Tracanelli Prof. Cláudio Pessoa Universidade FUMEC 2009 Pós Graduação Lato Sensu Gestão de Segurança da Informação Universidade FUMEC Introdução à S.I. pg 1/32

2 1. Conclusões (Introdutórias) Partindo do princípio que em toda literatura técnica a conclusão diz muito respeito sobre como um artigo foi conduzido, começando com uma conclusão ao invés de um mero resumo introdutório o leitor poderá identificar a condução do mesmo de forma a decidir sobre sua leitura, se superficial ou atenta. Comecemos com algo relevante que não deve passar despercebido: apesar da clara especialidade dos autores em criptografia, os méritos criptográficos das soluções baseadas em Infra estrutura de Chave Primária não são discutidos ou colocados em dúvida. Os riscos levantados seguem outras linhas de raciocínio. O artigo assinado por Bruce Schneier e Carl Ellison levanta 10 riscos eminentes na utilização de uma infra estrutura de chave primária como solução altamente confiável de reconhecimento de identidade (autenticação), seja de pessoas ou web sites. Inicialmente os argumentos apontam um direcionamento dos fabricantes de soluções PKI motivado por fatores comerciais intrínsecos a facilidade de criação de certificados à baixo custos e ampla venda dos mesmos. Aponta de forma direta o trabalho pesado de lobistas junto à governos afim de aumentar juridicamente a validade dos certificados digitais providos por uma infra estrutura de chaves primárias como comprovação de identidade. Tal ação fora reconhecidamente forte no passado, no Brasil, e envolveu diretamente fabricantes da industria de tecnologia, comunidades open source, empresas de cerificação e o Instituto Nacional de Tecnologia da Informação (ITI) em um lobby bem arquitetado que levou, em 2001, à assinatura pelo então presidente Fernando Henrique Cardoso da medida provisória , que cria, formaliza e dá poder à ICP Brasil (Infra estrutura de Chaves Primária do Brasil). Mas terão sido todos os riscos da tecnologia devidamente avaliados à época? O brasil enquanto nação é um dos poucos estados que de forma plena (amplitude federal) aceita uma solução de PKI como documento formalmente válido de Pós Graduação Lato Sensu Gestão de Segurança da Informação Universidade FUMEC Introdução à S.I. pg 2/32

3 identificação civil de cidadãos (pessoa física) e empresas (pessoas jurídica), bem como órgãos do governo (interesse público). Nos EUA apenas estados como Washington e Utah reconhecem com tamanha autoridade tal tecnologia. O documento aqui comentado, Ten Risks of PKI: What You re Not Being Told about Public Key Infrastructure, Computer Security Journal, Vol. XVI, No. 1, 2000 como nota se pela data, é do ano 2000, portanto os aspectos de segurança já haviam sido levantados quando no Brasil o ICP foi criado. Antes disso tivemos ainda, a dissertação de PhD assinada por S. Brands, intitulada Rethinking Public Key Infrastructures and Digital Certificates Building in Privacy, da Universidade de Utrecht, datado de Outubro de 1999que levanta problemas similares, além de outras questões com a solução baseada no modelo de ICP como utilizado até hoje. Temos ainda de 2001, The Fundamental Inadequacies of Conventional Public Key Infrastructure, Proceedings, ECIS 2001, Bled, Slovenia, assinado por R. Clarke, entre outros documentos que discutem e colocam em duvida diversos aspectos da segurança prometida por uma PKI (Primary Key Infrastructure). Nos atendo aos riscos apontados por Schneier e Ellison, a clássica defesa de que uma corrente de gtão forte quanto o elo mais fraco da corrente, aponta, de forma previsível, riscos de incidentes de segurança associados a comportamentos e ações inadequadas do usuário o humano, o risco mais claro, clássico e presente, aquele responsável por mais de uma centena de metodologia de análises de riscos humano, desde a Hazop à metodologias por métricas estatísticas e cognitivas até outras menos relevantes. Por outro lado, levanta problemas tecnológicos, alguns com soluções claras, outras não tão claras. Alguns problemas levantados tem soluções possíveis e viáveis, mas não implantadas hoje ainda, seja por demandarem alguma modificação na estrutura de PKI (ainda que pequena) ou por aumentar o trabalho do usuário que por mais contraditório que seja, sempre quer segurança sem esforço ou ainda, por aumentar o custo geral da solução: sempre soluções nada amigáveis comercialmente. Alguns problemas porém, são sérios e devem ser adequadamente considerados Pós Graduação Lato Sensu Gestão de Segurança da Informação Universidade FUMEC Introdução à S.I. pg 3/32

4 pois coloca em risco tanto o cidadão comum quanto o experiente especialista em tecnologia.os riscos apontados por Schneier são discutidos ao longo desse artigo e rebatidos/comentados quando adequado. Discutiremos ainda aspectos dos problemas apontados e possíveis soluções. 2. Qual a necessidade da certificação digital por chave primária? Na introdução de seu paper, Schneier e Ellison afirmam que o e commerce não precisa desesperadamente da certificação digital para prosperar. Apontam que os sites de e commerce estão lá, e aceitam a compra e pagamento de qualquer cliente, tenha ele um certificado digital ou não. Todavia, não mencionam o caminho oposto: a necessidade de um certificado para a loja, avaliado pelo consumidor, que é onde a necessidade do certificado existe no modelo atual de e commerce. Com base nisso porém, podemos pensar um pouco sobre como o consumidor encherga um site com ou sem Certificado SSL: Ele considera aquele site seguro, por ter um cadeadinho ao lado do navegador que indica que é seguro? Ou ele entende que apenas o canal de comunicação é seguro? E se o canal de comunicação é seguro, é seguro em que sentido? Se for apenas no sentido criptográfico, não há de fato diferença entre um SSL devidamente certificado ou um auto assinado. O consumidor entende essas diferenças? Elas são relevantes para o consumidor? Ele dá a mínima, ou apenas assume que é seguro porque o cadeadinho está fechado, por quê o Firefox não apresentou uma mensagem horripilante ao acessar o site? Os autores apontam que o interesse no certificado, é um apelo comercial. Muito bem elaborado, mas apenas comercial. Afinal que é a Autoridade Certificadora para Certificar alguma coisa afinal? Esses itens são levantados em cada um dos dez riscos que analisaremos a seguir, mas a própria motivação por trás da ICP precisa antes ser discutida. Um certificado SSL essencialmente associa o Common Name à aquele certificado, e este Common Name (CN) por sua vez, é o nome DNS em formato FQDN (completamente qualificado, ou seja o nome completo do site como ele é conhecido na Pós Graduação Lato Sensu Gestão de Segurança da Informação Universidade FUMEC Introdução à S.I. pg 4/32

5 Internet), e é apenas isso que a cadeia da certificação digital comprova: que alguém, uma certa Autoridade de Certificação valida que aquele site é mesmo o site que ele se diz ser. Há fraquezas nessa chain? Certamente, mas ainda fraca, é melhor tê la implantada do que assumir que um site com certificado auto assinado provê a mesma segurança do que um certificado por terceiros. Criptograficamente são equivalentes, mas se passarmos a confiar nos auto assinados apenas com base em sua criptografia ficamos vulnerável aos mais comuns dos riscos: os ataques do tipo MITM (Man In The Middle), a forja de respostas de informações de nome (DNS spoofing) e (a última moda) envenenamento de cache DNS. Ou seja, se de alguma forma eu conseguir que você acesse o meu servidor, quando você tentar acessar o site do seu banco ou da sua loja online favorita, seja por resposta forjada de nome DNS, por envenenamento, ou por sequestro da sua sessão TCP/IP, a única diferença é alguém (terceiros) certificando ou não que você está no lugar certo. E essa certificação por sua vez indica apenas uma coisa, deve ficar claro: que eu não tenho o certificado (a chave privada) associado à aquele nome DNS FQDN. Nessa sequência de raciocínio já moram vários problemas que ficarão mais claros ao longo desse artigo, mas o problema seria ainda maior se assumiremos a convenção de todos usarem certificados auto assinados: como o usuário saberia se o certificado auto assinado do site é autêntico ou se é um outro que eu assinei, associado ao mesmo nome FQDN do site autêntico, e coloquei em meu (não autêntico) servidor? Portanto ainda que assumamos ter a mesma segurança criptográfica (o que não é de todo verdade), é um pensamento simplista e inadequado assumir que ter certificados auto assinados é suficiente para garantir que temos pelo menos, um canal seguro de comunicação. Desse ponto de vista a idéia plantada introdutoriamente por Schneier e Ellison é, ao meu ponto de vista, inadequada. Sobre as motivações comerciais, se alguém (terceiros) vai certificar alguma coisa, é natural que haja algum tipo de compensação financeira para isso, afinal existem custos para a manutenção dessa infra estrutura de certificação, há custos legais também, e existem os custos para criar, manter e auditar uma política de CPS (Certificate Practice Statement). Se o custo é justo ou elevado demais, e motivado por startups que desejam desesperadamente captar investidores, como sugerem Schneier e Ellison, é uma outra Pós Graduação Lato Sensu Gestão de Segurança da Informação Universidade FUMEC Introdução à S.I. pg 5/32

6 questão. 3. Risco #1: Em quem confiamos? E pra quê? Uma pergunta clássica: quem certifica o certificador? Essa é a linha de raciocínio iniciada por Schneier e Ellison ao afirmar que uma autoridade de certificação só é considerada confiável (trusted) pois o melhor que ela faz é cuidar bem de suas próprias chaves privadas. Mas quem é uma CA (Certification Authority) para validar aquela transação de compra de um McDonald's ou de compra de um apartamento na planta? Quem deu esse poder a essa autoridade certificadora e a torno confiável? Essa dúvida pode existir em muitas situações, como um certificado SSL reconhecido pela GeoTrust, ou pela VeriSign, afinal que propriedade essas empresas privadas tem para certificar qualquer coisa que você faça? E aquele certificado profissional que declara que você é especialista em Microsoft Paint Brush? Quem certifica seu certificado? Quem certifica a VeriSign? Quem deu poder de autoridade de fato a esses certificadores? Essa questão faz uma transferência de responsabilidade para o outro lado: o usuário que vai conferir a validade daquela transação, daqueles dados ou seja lá o que for que foi certificado. A responsabilidade fica com quem recebeu a informação assinada digitalmente, pois é quem está validado que vai ter que decidir se confia ou não em quem está certificando, ou seja se confia ou não naquela Autoridade Certificadora (CA) na Autoridade Certificador Raiz (CA Root) e, se existir, na Autoridade de Registro (RA). Se confiar, é essa a ponta que assumiu o risco. Tais presunções são verdadeiras de forma geral na maioria do mundo, mas não no Brasil. Por quê? Pois aqui, se a autoridade certificadora for alguma das CA autorizadas pela CA Raiz do ICP Brasil, ou seja alguma das listadas em: leta.pdf Isso significa que quem deu a autoridade, o poder, e o título de confiáveis em Pós Graduação Lato Sensu Gestão de Segurança da Informação Universidade FUMEC Introdução à S.I. pg 6/32

7 nosso país foi o próprio estado, por meio da MP /2001 assinada por Fernando Henrique Cardoso. Ou seja no Brasil e em alguns outros países ou estados, algumas CA tem poder jurídico instituído legalmente. Ou seja quem deu no Brasil autoridade e tudo o mais discutido por Schneier et al, foi o estado. Nesse momento vale a pena pensarmos se o Brasil deu um passo à frente com esse ato de instituir formalmente uma autoridade federal de certificação digital, ou um tiro no pé. Ao meu ver tal ação pode ser considerada pioneira. Em breve serão 10 anos de ICP Brasil formalmente instituído. Sua popularização ainda é limitada: poucos cidadãos tem certificados digitais, e CPF, poucas empresas tem e CNPJ e etc, seus custos variam bastante e podem ser bastante altos dependendo da solução de segurança escolhida, e talvez o custo e pouca instrução tecnológica dos cidadãos sejam, ainda, o impecílho principal. Talvez mais o segundo fato. Mas seja como for, fomos pioneiros e ousados, e enquanto for apenas uma MP, evitamos o risco de termos saido na frente cedo demais se tornar um tiro no pé. Não existem hoje vírus ou outras ameaças que coloquem em teste de fato, a segurança da ICP Brasil. Mas isso não significa que seja seguro. E se uma solução baseada em PKI se mostrar não suficientemente segura, podemos revogar a MP como uma CA revoga uma chave comprometida. Mas se invalidarmos um dia a MP /2001 como ficam os documentos já assinados digitalmente? A MP em questão menciona: Art. 10. Consideram se documentos públicos ou particulares, para todos os fins legais, os documentos eletrônicos de que trata esta Medida Provisória. 1o As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela ICP Brasil presumem se verdadeiros em relação aos signatários, na forma do art. 131 da Lei no 3.071, de 1o de janeiro de 1916 Código Civil. E por sua vez, o artigo 131 da Lei de Janeiro de 1916 legisla: Art.131. As declarações constantes de documentos assinados presumem se verdadeiras em relação aos signatários. Pós Graduação Lato Sensu Gestão de Segurança da Informação Universidade FUMEC Introdução à S.I. pg 7/32

8 Parágrafo único. Não tendo relação direta, porém, com as disposições principais, ou com a legitimidade das partes, as declarações enunciativas não eximem os interessados em sua veracidade do ônus de prová las. (Redação dada pelo Decreto do Poder Legislativo nº 3.725, de ) Ou seja a validade legal de algo digitalmente assinado por uma CA autorizada pela CA Root do ICP Brasil é plena e equivalente à assinatura realizada em pessoa e com testemunhas, e uma vez de interesse de alguém assumir o assinado como verdadeiro, é responsabilidade deste provar que foi assinado realmente por aquela pessoa ou trazendo de 1916 para os dias atuais, provar que o certificado usado foi realmente um certificado emitido por uma CA parte da cadeia de confiança do ICP Brasil. Mas afinal, se o ICP Brasil certificou, e isso tem validade jurídica legal, então é verdade presumida que quem assinou realmente foi a pessoa que acreditamos que assinou, correto? Essa é a lógica primitiva básica, que segundo Schneier e Ellison, sugere que tudo que você precisa é de um certificado associado ao nome da pessoa, e por sua vez você entende que aquele nome representa a pessoa que você conhece, e você valida que é aquela pessoa que você queria que fosse. A lógica é: Esse certificado (a): mqgibdq5dpmrbadhk1x4ke999xx9vhaitwlgfx7wsdsxizxq95ffytt1vicjwwwx rzhea/pfp0hj/1cxm0twbrjfkbai0ujh2qkj5kxtgddqtuthivs7ht8eejlvubcw efn0tzvc04tlifgj1b9mjxpwxkyewlp+xo5jkdir8cddxavwpcslap4ioqcg/y4n gtv1cqzfbkqx0edqiyl8bimd/2nln7tfpv2hfxjoi77g/avyrcjmytdckmbjaei4 qkqfw+eixzynid+adv9hskkihx33uwsr9laxs4qmeo+pgvehjwcimesafzu40u41 LDjfmFIQrlMWdLCnDXklAbpiM/Fa1XLcoCoHbHyFsmMlI9sJjTNxAVurEqBnZVar QjxvA/wPOD2OAEGqJb+nWU+sEx5wdfP1iakACirtTkWQ5bEng3lNF2ajD3tykI9T wsv3pnmxzrzsl8i1vhzluvqeviqpba2iyq4tydb0zawpjhrmjz+0sgeuohyto4rk kjuxoqqv4lpcr3l2nsbxl0juibjexarzt2kuogzjpa6aaezqdlqyq2xhdwrpbybs b2jlcnrvie1hz2fsagflcybqzxnzb2egpgnwzxnzb2fachnplmnvbt6jafgeebec ABgFAjq5DpMICwMJCAcCAQoCGQEFGwMAAAAACgkQus9g59jVdtFJKQCfXt3meTrw jpy19qvpmaw1z5iirmmaopvfp+n6iyfvwkjtbm9qtcigihdbuqinbdq5dpmqcad2 Qle3CH8IF3KiutapQvMF6PlTETlPtvFuuUs4INoBp1ajFOmPQFXz0AfGy0OplK33 TGSGSfgMg71l6RfUodNQ+PVZX9x2Uk89PY3bzpnhV5JZzf24rnRPxfx2vIPFRzBh znzjzv8v+bv9kv7haartw56nokvyotqa8l9gafgr5fsi/vhosdvnilsd5jehnmsz bdgnrr0pfiizhhxbly7288kjwepwpvsyjy67vyy4xtjtnp18f1ddox0ybn4zisy1 Kv884bEpQBgRjXyEpwpy1obEAxnIByl6ypUM2Zafq9AKUJsCRtMIPWakXUGfnHy9 iusigsa6q6jew1xpmgs7aaicb/9lljmwutxfqsuqid3dxs3mw2t6636rpm6bmtna MefZj84eP1t714lY3PIrbXb0QOSmMJe3fnPNtzYBkiNIMkZyYWoGL9gSHMMG72gm 31rELs4NNDmFx/C0xpT0N/zyPIOZYugmldKLarWxfCOv6+2lX7GqvOIjKWW2CC8p Pós Graduação Lato Sensu Gestão de Segurança da Informação Universidade FUMEC Introdução à S.I. pg 8/32

9 SLr9l1xsZE4VU1oowKxujfopnh2f0wTCo+EgCQBIaiUGVlFInf75b7le5nyg+S/r mrsubxltm1km8srh8uh9upzkadajjp0q5retrkb/7bfjrtp5ms7lqnzmq/p003bs enrkm53d8u/pbv3umcqp2n2qqu3jtn1nncsartdcvyxt+uwxiewegbecaawfajq5 DpMFGwwAAAAACgkQus9g59jVdtEttACfQ2f8XlzPDkn2siXkUDiEqDnXlG8AnjPS 1BrNavrhPD6+B9QIJySaV2nW =KtaF Certificadamente representa (b): Cláudio Pessoa E você sabe que Cláudio Pessoa é (c): E isso é suficiente, certo? Ainda que você (d) não ache isso suficiente, vamos assumir alguns fatos. A representação da seqüência da chave (a) pertence a alguém chamado Cláudio Pessoa. Se você recebeu um documento assinado vindo do e mail de alguém chamado Cláudio Pessoa você tem a comprovação legal que quem assinou foi o Cláudio Pessoa.. Qual? Se você conhece você assume que é o Claudio Pessoa (c). Você conhece o Cláudio Pessoa e não é esse? Problema seu! Ou você é o Cláudio Pessoa detentor dessa chave/certificado? Problema seu também, pois criptograficamente o ICP Brasil garante que o documento assinado é verdadeiro e tem validade jurídica. De fato o documento foi assinado pelo detentor da chave pública/certificado representado acima. Se você procurar no Google Images por Cláudio Pessoa, olha a surpresa, Cláudio Pessoa realmente é a pessoa da foto. Se você não conhece a pessoa, pessoalmente, essas podem ser evidências razoáveis. Se a pessoa (c) realmente é (b) e (b) juridicamente é o detentor de (a) então é óbvio que (c) é (a). Queira você ou não. Seja você ou não. Pós Graduação Lato Sensu Gestão de Segurança da Informação Universidade FUMEC Introdução à S.I. pg 9/32

10 Vamos melhorar (ou piorar) um pouco. O certificado acima pertence a Cláudio Pessoa, professor da Universidade FUMEC. Essa informação se for suficiente, vai te fazer presumir que essa pessoa realmente é quem você pensa, o professor desse curso de pósgraduação que pediu esse trabalho. Certo? Errado. Essa é só uma confusão gerada pela facilidade com que certificados digitais podem ter pra explorar um outro ponto fraco do elo mais fraco da corrente: o risco humano ou seja um pouco de engenharia social. Vamos resolver. A chave acima é de Cláudio Pessoa, professor de Redes na Universidade FUMEC, certificado CCNA e professor responsável pelo curso de extensão em Cisco da Academia Cisco na Universidade FUMEC. Essa informação é verdadeira. A fotografia pertence a Cláudio Pessoa, essa informação também é verdadeira. Mas o Cláudio Pessoa da fotografia não tem nada a ver com o proprietário da chave em questão, e nenhum dos dois tem nada a ver com o professor de Introdução à Segurança da Informação da pós graduação em Gestão de Segurança da Informação da Universidade FUMEC. Coincidência que ambos sejam professores na mesma universidade? E ambos da área de tecnologia? Pode ser, mas pode ser um processo de engenharia social para gerar a confusão e a falsa associação do nome, da chave certificadora, à pessoa. E quanto ao fato de que (a) representa (b) certificado juridicamente pelo ICP Brasil? Qual sua conclusão? (a) tem um relacionamento 1:1 com (b); e isso tem validade legal no Brasil. Mas (b) tem um relacionamento M:N com (c), afinal quantos Cláudio Pessoa existem? (c) pode ter um relacionamento 1:1 com (d), se você só conhece uma pessoa com esse nome, mas pode ter uma relação 1:N se você conhece mais que uma pessoa com esse nome. A MP em questão garante juridicamente que (a) representa (b). Se isso for suficiente para você eliminamos os problemas indicados como risco número Risco #2: quem está usando minha chave? (Ou: minha chave assinou esse documento, mas eu não.) Pós Graduação Lato Sensu Gestão de Segurança da Informação Universidade FUMEC Introdução à S.I. pg 10/32

11 Minha chave assinou esse documento, mas eu não! Como essa frase lhe soa? Estranha? Cômica? Não podemos ficar surpresos se cedo ou tarde esse tipo de alegação acontecer. Acontece pois, na prática, em posse de certificação digital, não é uma pessoa propriamente dita que assina alguma coisa. É seu certificado. Seja esse um certificado gravado no computador (chamado de certificado tipo A1) ou um certificado em token, em smartcard ou cartão inteligente, existe a chance dele ser utilizado sem o consentimento do titular, ou até mesmo sem que o titular perceba. Esse é o problema sugerido por Schneier e Ellison. Se temos um certificado do tipo A1, instalado em um Windows XP, quem garante que ele não será copiado? Quem garante que um vírus, um worm ou trojan não transmitirá esse certificado pela rede? Ou que o Outlook comprometido não copiará o certificado quando assim que ele for utilizado para assinar o primeiro e mail? Sem dúvida certificados no próprio computador tem uma vulnerabilidade intrínseca muito grande, afinal o próprio ambiente onde o certificado se encontra é essencialmente inseguro. Isso não é um problema da PKI, é um problema desse tipo de certificado. E para esse problema, a solução são certificados não disponíveis no computador. Mas um certificado em um token ou smartcard está seguro? Só se este for inquebrável e não penetrável. Quantos realmente são? Vamos assumir que o nosso seja, então encontramos o maior dos problemas. Vamos supor que você tenha um certificado to tipo A3 em token USB ou PCMCIA, e este é protegido por um passphrase (senha). Temos 2 componentes de segurança: quem assina tem que ter algo (o token) e saber algo (o passhprase). Ou seja se alguém roubar o token não saberá o passphrase se este não for muito óbvio e o usuário tiver cuidados mínimos que uma senha importante requer. Ótimo, seguro suficiente, certo? Errado. Ao utilizar o certificado, quem garante o que estará sendo assinado? Por exemplo você está em seu Windows XP Service Pack 2 devidamente atualizado, vai declarar seu importo de renda, e espeta seu token no computador. Ao mandar assinar o software pedirá o passphrase. Você digita, e pronto, assinou. Você tem algo (o certificado) e sabe algo (o passhprase). Mas e esse passphrase que você digitou no seu Windows, qual certeza você tem que ele não foi copiado? Que não tem um software Pós Graduação Lato Sensu Gestão de Segurança da Informação Universidade FUMEC Introdução à S.I. pg 11/32

12 atuando como uma espécie de keylogger? Quem garante que não uma camada no framework de autenticação que copiou o passhprase? Sim, se copiou o passphrase não é suficiente, você imagina, pois o token continua em sua posse, correto? Qual garantia temos que, durante o minuto seguinte que o token continuou espetado no computador, um vírus em posse daquele passphrase não assinou mais 4 ou 5 documentos? Seu token tem estatística de uso? Ele pede confirmação de uso? Pense nisso. Vamos supor que a resposta seja sim para essas perguntas. A minha resposta por exemplo, é sim para essas perguntas. Eu consigo identificar através de um sinal sonoro quando meu token é utilizado. E mais que isso, quando o meu precisa ser acessado para leitura, existe a necessidade do passhprase como de costume, e complementarmente tenho que digitar um PIN no próprio token a cada uso (acesso de leitura) do certificado. Ou seja se o meu certificado for utilizado mais de uma vez, ainda que algum vírus tenha roubado meu passphrase, existe a necessidade de eu digitar um PIN, fisicamente no proprio token. Algo que um vírus nunca vai saber como interceptar nem saber que está acontecendo. O meu é um PIN Pad Token série RB da CriptoCARD Corporation (http://www.cryptocard.com/) programável. Mas estou eu seguro? Completamente? Não completamente. Esse tipo de solução (de alto custo, diga se de passagem) resolve a maioria dos problemas possíveis, mas não resolve um. Suponhamos que eu queira assinar um documento, um arquivo PDF por exemplo ou ODT, e eu coloque meu token no leitor do laptop, o sistema vai me pedir o passphrase, eu digito. O token vai pedir o PIN, eu digito no próprio Token. Eu ouço o beep, e pronto, o documento está assinado. Qual documento está assinado? Aquele que eu queria, ou algum outro que eu não sei sequer, onde está? Se eu não checar duas vezes se aquele documento realmente foi assinado por mim, posso acabar enviando ele pra onde eu ia enviar, sem assinatura. Mas onde foi parar o que eu assinei? Em algum arquivo obscuro no meu Pós Graduação Lato Sensu Gestão de Segurança da Informação Universidade FUMEC Introdução à S.I. pg 12/32

13 /tmp/.algumacoisaobscura/? Se eu for um usuário Windows, talvez em algum lugar temporário oculto desses que ninguém nem imagina? Ou não está em lugar algum porque o documento que eu não sei qual era foi assinado e já foi transmitido pelo mesmo vírus por e mail para alguém? Ou seja o elo mais fraco da corrente (o usuário) precisa estar atento. É fundamental que ele perceba se o arquivo dele foi realmente assinado, ou se a assinatura não foi para outro arquivo, por engano (risco de processo humano, Hazop e HF PFMEA pra que te quero) ou por intervenção de um vírus. Assim que o usuário perceber algo incomum como isso acontecendo, ele tem sim recursos para corrigir o problema: revogar seu certificado que assinou aquele documento. Quando o usuário aprende a criar/comprar, ele aprende ao mesmo tempo a revogar. Existem dispositivos que permitem isso na mesma CA ou RA onde ele adquiriu o certificado. É notório. Apesar da medida profisória que institui o ICP Brasil não prever e reconhecer o fato, existe a boa prática comum entre usuários de certificados digitais e entre CAs e RAs em seus termos de melhores práticas que um documento digitalmente assinado por um certificado revogado até (algumas práticas estendem esse período) sete (7) dias depois de assinado deve ser reconhecido como um incidente autêntico de segurança, em teoria sendo suficiente pra invalidar aquele arquivo, ou documento, ou e mail mas um pouco mais difícil em caso de efetivações de compras online que podem já ter sido entregues, ou compra online de produtos fornecidos na hora como acesso a conteúdo, acesso a mp3, etc. Mas esse risco é do comerciante digital mais que do próprio usuário, presume se. É como sustar um cheque. Presume se, afinal são boas práticas, não é lei no Brasil essa prática. Mas, como evitar tecnicamente esse tipo de problema sem precisar de um usuário esperto e atencioso que perceba o problema e revogue imediatamente seu próprio certificado? Primeiro, quem tem um certificado digital está ciente que revogar é preciso? Que revogar é parte da corrente de segurança? Ou ele vai ficar reticente em revogar com medo de novos custos, medo de ter trabalho, preencher novos formulários, novas burocracias? Revogar é preciso! Isso deve ficar claro pro usuário de certificação digital. Voltando a pergunta: como evitar esse tipo de problema sem precisar que o elo fraco seja forte? Pós Graduação Lato Sensu Gestão de Segurança da Informação Universidade FUMEC Introdução à S.I. pg 13/32

14 Não é possível. Podemos assumir isso como sendo verdade hoje. Existem saídas, mas não são utilizadas. Por exemplo a VeriSign desenvolveu uma aplicação para alguns celulares que, ao assinar um arquivo usando o celular como token, dependendo da forma de uso (aqueles que precisam dependem de acesso físico do celular ao computador ou que o próprio celular assine e transmita), grave também um checksum do arquivo assinado. Não estamos falando da solução de OTP (One Time Password ou On Time Password) da VeriSign para iphone. Estamos falando da solução de token A3 da VeriSign para iphone, para Windows Mobile e para Blackberry que transforma esses dispositivos em tokens. A própria CriptoCARD Corporation tem uma solução similar para Blackberry. Mas o que o usuário faz com esse checksum? Teoricamente ele deveria comparar o checksum, seja em formato MD5, ou SHA, com o arquivo assinado. Teoricamente deveria ser comparado automaticamente! Mas não é. Se o usuário não fizer manualmente, na hora, pra que serve o histórico de checksum assinados depois? Tiro po né! Pra provar que ele realmente assinou aquele arquivo! Qual? Aquele que o usuário não sabe qual. Voltemos a parte legal. No Brasil o documento assinado tem equivalência legal,conforme mencionamos, a qualquer documento assinado na forma da lei, como descrito no Artigo 131da Lei de 1 de Janeiro de E como tal, se a pessoa que assinou o documento repudiar a assinatura, caímos em um problema jurídico que é o ônus da prova para o interessado (o que recebeu a assinatura). Mas já temos uma série de jugados criando jurisprudência e condutas comuns dos juízes no que tange a seus convencimentos pessoais quando o artigo 131 da é evocado. Mas em alguns lugares, como no estado de Washingtown e Utah, as leis não são tão amigáveis com a falha no processo de PKI. O EAA (Electronic Authentication Act) do estado de Washingtown (http://apps.leg.wa.gov/rcw/default.aspx?cite=19.34) não permite repudiação sem seguir um processo burocrático que inclui a revogação em tempo hábil e no RCW (Recommended Reliance Limit Liability Damages) notamos que só é possível repudiar o documento assinado digitalmente se o comprometimento da CA ou da RA ou falha destes em seguir os procedimentos recomendados for comprovada. Já a EAA do estado de Minnessota é de 2007 Pós Graduação Lato Sensu Gestão de Segurança da Informação Universidade FUMEC Introdução à S.I. pg 14/32

15 (https://www.revisor.leg.state.mn.us/statutes/?id=325k&year=2007) e este prevê dispositivos de suspensão de certificado por prazo temporário ou permanente, inclusive com janelas de legalidade jurídica, se o pedido de suspensão de efeitos jurídicos for feito pelo dono da chave, por juiz, ou até mesmo por terceiros que comprovem que aquele certificado não pertence à quem a autoridade certificadora afirma que pertence. 5. Risco #3: quão seguro é o computador de quem está validando a assinatura? Esse risco pode ser entendido de forma simplificada assim: um certificado é associado ai Common Name, e sua validade é comprovada pelo CA, pelo CA Root, e pelos RA. Enfim por toda a cadeia de autenticação da ICP. Mas o que acontece se você recebe um e mail assinado digitalmente pelo presidente da república? Você tem um certificado, e os dados desse certificado podem ter o mesmo Common Name do presidente da república. O CN pode estar estendido e conter o CPF do presidente da república. Os outros dados como CN, OU, O, C, exatamente iguais ao do presidente da república, e o seu software comprova: esse certificado é válido! O arquivo/e mail que você recebeu é mesmo assinado por aquele Common Name que se encontra naquele Organization Unit, naquela Organization e naquele Country e eventualmente possa vir a ter um DN ou qualquer outro campo padrão X.500 completamente similar ao do presidente da república. Se está validado pelo CA, então é mesmo do presidente, certo? Lógico que sim! Isso é o que você deveria concluir. Você está suspeitando de quê? Suspeita que tenha algo errado porque veio do Presidente? Se viesse do CN=Cláudio Pessoa, C=BR, O=FUMEC, OU=FACE você acreditaria e do Lula/FHC/ZedaSilva não? O que te faz gerar a dúvida? Pense nisso. O fato é, saber que aquele certificado que você recebeu do presidente, tem os dados do presidente, e está com a certificação por toda a corrente de certificação é suficiente para ter certeza que foi o presidente que assinou. Sim, é suficiente: com tanto que o CA Root seja o do ITI (ICP Brasil) e o CA seja um dos autorizados pelo ICP Brasil, e Pós Graduação Lato Sensu Gestão de Segurança da Informação Universidade FUMEC Introdução à S.I. pg 15/32

16 o RA seja um RA certificado por aquele CA que por sua vez é certificado pelo CA Root do ICP Brasil. Percebe a diferença? Qual é o CA! Isso é o que interessa. Para o Brasil, só existe a validade jurídica o que vier do ICP Brasil e de seus autorizados. Portanto no Brasil o risco #3 não se aplica! Mas se você não conferir de onde veio a árvore de certificação, corre o risco de acreditar que realmente se trata do presidente. Se não do presidente, que trata se de Cláudio Pessoa. Isso porquê pode ser um certificado com os mesmos dados, e validado por um outro CA Root. Como por exemplo o CACert. Qual a diferença entre ICP Brasil e CACert? Nenhum dos dois está por padrão em nossos navegadores, clientes de e mail, etc. Ou seja teríamos que instalar. Ambos podem estar certificando as mesmas informações, mas de certificados distintos. Como saber qual vale? Só vale o do ICP Brasil porque nós conhecemos a lei! Mas e se não conferirmos? Vamos acreditar? comprove: Pense em seu website favorito, imagine que você tenha um certificado válido que CN=www2.bancobrasil.com.br O=Banco do Brasil S.A. OU=DITEC E esse certificado é válido! E você realmente está acessando esse nome DNS FQDN (www2.bancobrasil.com.br). Pense nesse fato: CN=www2.bancobrasil.com.br não é um certificado expedido por um CA da ICP Brasil. Se você não sabe é a CA que assina o original do BB, não sabe de cabeça o fingerprint (e óbvio que não sabe, ninguém sabe essas coisas de cabeça, a não ser que tenha problemas sérios de distúrbios sociais e obsessivo compulsivo). Da mesma forma como o certificado raiz do ICP Brasil, do CACert precisa ser instalado manualmente, seu computador pode também aceitar o CA raiz do ICP Patrick, do PKI ITI (belo nome), do ICP BR (uau, otimo nome) da VeriSigm (hmm??), da GeoTrusty (ahmm?) e estes por sua vez comprovar como válido qualquer coisa. Pós Graduação Lato Sensu Gestão de Segurança da Informação Universidade FUMEC Introdução à S.I. pg 16/32

17 Vê o problema? Mas não importa, se não for do ICP Brasil eu não confiarei. NÃO CONFIAREI!!! Quem foi mesmo que instalou o CA Root do ICP Brasil pra você? 6. Risco #4: qual Luiz Inácio da Silva? No risco número quatro, Schneier e Ellison revisitam de forma mais simples o problema que discutimos no risco #1: o da associação do certificado com apenas um nome, sem considerar que esse nome pode ser milhares de pessoas, e não aquela pessoa que você acredita que é. Os autores remetem ao fato que, associar um nome a uma memória visual de uma pessoa, funciona quando temos 5 anos de idade. Mas quando ficamos mais adultos já sabemos que associar o nome à pessoa não funciona, pois existem mais pessoas com aquele nome. Temos que conhecer a origem, temos que conhecer a filiação, temos que saber algo mais pra saber qual Cláudio Pessoa ou qual Luiz Inácio da Silva (ou seria Luis Inácio da Silva?) é o presidente ou o professor. Esse problema é sério pois os certificados são associados apenas ao CN (Common Name). E esse CN pode ser Luiz Inácio da Silva ou www2.bancobrasil.com.br. Como saber? Os autores mencionam que a forma como o ICP funciona, não requer por exemplo que associemos um certificado a uma pessoa com uma validação pessoal, por exemplo, como acontece com uma chave PGP. Mas, por quê não podemos? Da forma como posso colar minha chave PGP aqui: BEGIN PGP PUBLIC KEY BLOCK Version: GnuPG v1.4.7 (FreeBSD) mqgibeb0p4srbacoijr/ja6mzoqqjoatsc2lw4nzeje0jzmjm/wioyo/tbpunceu /HD92EFJJ4TM6xuw47P+M4z3OWDysXMyCrTw5RqSVgLdOaDc4CtFgG+lF+fNcPZ+ 4IUtu6z0baXZvRmufcohNBjgUVAZRjO1fAZb8q2VzADwO400kiYvJjLzxwCg4XLn Pós Graduação Lato Sensu Gestão de Segurança da Informação Universidade FUMEC Introdução à S.I. pg 17/32

18 TFQQr9LyBpgMkgFX/7Yn7UcD/A6imwNHZstNw46b9JE8V/yqJG1jUHQzlSnM5P1e +SccGWY77quBoxjdZnIgYXP9chdhbRctshp/j/2UAT0EKk9w6LeBLMdazygdI8lj gxibx/ks6bzefgtxq8s0rlwticf+tn514yy7qwf4dgy0ffsbhzb4zguoo9tbgr3b msxla/wot+vppwuy2veav+g1jd6ydepa6xscinyu1ud+v+sce60n8hohgw0rtinp s4murmitnsihzw9epazafixquyglhjsqw3ep9rglcwtchdxisufu/wvm8rlcsd2x epn9jjif3+kxo+h7n9ea4jvrjxs0dzuadfznudjkoaq29ccwhbrgugf0cmljaybu cmfjyw5lbgxpichgcmvlqlneiejyyxnpbcbmverbksa8zwtzzmzhqgzyzwvic2ri cmfzawwuy29tlmjypohgbbmragagbqjg9d+lahsdbgsjcacdagqvaggdbbycawec HgECF4AACgkQU6n+iBwc7yIrmgCeIBkj/Dvqogwv3S3POcxcrmGk/CkAn1GXKlJZ bnqim3ryoyn924wge4uduqinbeb0p4sqcacul7du9wmta6eyvomlc3iywionnyhd DAm5rOxFDsRyWBl50n/vGi7XxAKEatqbj5igEBaxKOQYoGuB6TO7yfnHQl2Bcl1g iphiimmk/598q4/snf/7myowrz8evegwusoldeu5arnbxnv5gfcmgyv1wccedrd0 94b/ZDXQhSYjSZWheOX5WAdc/MNH3bQ5GyKMQ+MEs3XXUdxLS/nyz3Onh3n/ESz0 QX06RGQen4GHdjHbgKtZy5MizAyKWMj+iZSwkt+w67PHU7304oAiQDSrVvoufFIN XW9Hien6Jj4wMVb+i6mAf5suQjtAoLqFNB9trmsaHJ0je1fKDFLPtX1DAAMGB/0f QJViB/9qDno8GYb+L2QcXQ78qvf8zFaM0PfQOyGSblNa0N6/0L5KvQtaFos/6UTb yyxicaz1/nm0ypwlfds0ygtr6dorswinyca1fghu2hwtoac2agttxrykxctukvv8 VCnzSSJTe8Rkt9TPK5VCrwYX2RKPVOHjhkdi2ZWwd1BGv4qHrX9mbziP+puqdhyD rzfkqqymaxxnaoo3kurrm75zjowzp3oqf4sbmh8r2hpxgncvz42+uu7uxekims5i I5Ko5CdtUzLXUqe2a3+jVRv06p6IeXyso8sT4pHH/KrVX6nquaZmVSPkOwmBKyWW SOG/baqXlpj+HTb6zWO9iEkEGBECAAkFAkb0P4sCGwwACgkQU6n+iBwc7yJZzgCf R09rtXSGSIz9iKcE388VU0UyezsAniqFn6HkPUMDPErqEwLTGEj86Ht3 =Jg+O END PGP PUBLIC KEY BLOCK E assinar ao lado dela, e quem tem esse documento, se tiver recebido de mim, em mãos, tem uma prova, uma validade de que aquela chave realmente pertence a aquele Patrick Tracanelli que a pessoa conhece, e não ao Patrick Tracanelli e não a outro? Pois é, eu sou uma exceção. Não existe nenhum Patrick Tracanelli vivo que não seja eu, ou seja a identificação por nome, para mim, funciona. O único que existia era um tri atleta francês que a mãe era italiana, de Trieste, Itália, mesma região de onde é meu avô. Mas esse Patrick Tracanelli faleceu 5 anos depois que eu nasci. Sou o único, mas poderia não ser, afinal para o Luiz Inácio da Silva, identificação por nome não serve pra sabermos quem é o presidente. Mas por quê eu não poderia assinar minha chave de certificado público, como acontecem nos Key Signing Party PGP? Mais do que isso. Quando um certificado é validado por uma cadeia PKI, é gerado um Master ID único, que comprova a validade daquele certificado público perante a cadeia de certificados privados (certificate chain) que o certifica. Pós Graduação Lato Sensu Gestão de Segurança da Informação Universidade FUMEC Introdução à S.I. pg 18/32

19 Então por que não realizar esse processo de associação de ID resultante da cadeia de certificação pessoalmente? No artigo 7 da MP que institui o ICP Brasil, é claro: Art. 7o Às AR, entidades operacionalmente vinculadas a determinada AC, compete identificar e cadastrar usuários na presença destes, encaminhar solicitações de certificados às AC e manter registros de suas operações. Ou seja, o usuário cadastrado na hora de criar a chave, deve estar presente! Porquê não criamos um processo onde todo cidadão, ao completar 18 anos, ganhe seu certificado digital do governo e ele assine o ID e a própria chave pública, e esse documento fique arquivado em fórum, e que o fórum e cidade sejam parte das informações do certificado? Pode ser um rito de passagem: a identificação digital do cidadão, quando ele se torna capaz (18 anos) perante o Código Civil. Ah sim, um certificado é válido no máximo por 3 anos e pode ser revogado. Então que tal associarmos um outro certificado ou ID, vitalício, mas que não pode ser utilizado para assinar nada, apenas para criar novos certificados diretamente junto a algum CA? Certo, esse é um modelo que não é interessante comercialmente, afinal, se fosse assim poderíamos simplesmente a cada 3 anos pedir para o cidadão se deslocar para o escritório de alguma RA para renovar seu certificado digital. De graça? Ai o negócio de ICP/PKI pode não ser mais atrativo, e tudo se torna responsabilidade do estado. Nesse quesito, identificação de quem é aquele nome, temos outras soluções técnicas mais simples, como associar o certificado ao DN ao invés do CN. E dada a estrutura de árvore do padrão X.500, um Distinguished Name pode por exemplo conter a estrutura genealógica da família e origem daquele cidadão Luiz Inácio da Silva. Mas isso requer redefinições na PKI como conhecemos hoje, é fato. Mas fato também é que o problema de associar nome a pessoa, não é um problema novo. E nem é um problema introduzido pela ICP. No Brasil em especial é uma bagunça. O RG pode ser expedido por diversos órgãos (como um certificado pode ser expedido por diversos RA) mas não existe um controle centralizado (Como a CA Root), ou seja temos cidadãos com 2, 3 documentos diferentes, expedidos em estados, cidades, e ocasiões diferentes. Com CPF é menos freqüente, mas não mais seguro, e pode também ter Pós Graduação Lato Sensu Gestão de Segurança da Informação Universidade FUMEC Introdução à S.I. pg 19/32

20 relações de 1:N ou até mesmo de M:N. E se a intenção do Certificado Digital não é substituir o documento de identidade do cidadão, apenas garantir uma validade digital deste, que tal associarmos então o certificado ao CPF? Podendo o CN ser o número CPF (solução porca) ou estendendo o schema X.500 e adicionando um novo componente que identifique o CPF, e associar o certificado a este ao invés do Common Name (CN). Seja como, for nesse risco, o PKI está mais para uma possibilidade de solução definitiva do que um problema, já que os problemas reais com nossos identificadores de identidade (RG, CPF) são muito mais caóticos. Para transformar PKI em uma solução definitiva basta boa vontade, acima são apenas algumas idéias, que certamente podem ser expandidas ou melhoradas. 7. Risco #5: A autoridade certificadora é mesmo uma autoridade? Ao levantar esse novo risco, Schneier e Ellison voltam a questão da associação do certificado a um CN, anteriormente discutida, mas dessa vez discutindo se a autoridade da CA é válida. Como já observamos, no Brasil ao menos a autoridade da CA ICP Brasil tem sim, validade jurídica instituída pelo estado. Mas é colocado novamente em dúvida se o processo de certificação é necessário do ponto de vista da segurança, ou se podemos ter a mesma segurança sem depender de certificação de terceiros. Na prática os autores usam o exemplo de websites sobre SSL e fazem uma afirmativa perigosa: Quem delegou o controle da permissão de usar SSL à CA? Isso tem um propósito econômico, mas serve a algum propósito de segurança? Que mal faz se um servidor não certificado estiver usando criptografia? Nenhum. Porquê é perigosa essa linha de raciocínio? Porque, enquanto é razoavelmente verdadeiro e eu pessoalmente concordo discuto isso em treinamentos que ministro que um certificado auto assinado tem a mesma segurança criptográfica que um reconhecido por terceiros, não é verdade que a segurança é a mesma, simplesmente porquê a certificação digital no padrão PKI não trata apenas de criptografia, e sim de uma cadeia de confiança. Se assumirmos sempre certificados auto assinados ficamos Pós Graduação Lato Sensu Gestão de Segurança da Informação Universidade FUMEC Introdução à S.I. pg 20/32

Entendendo a Certificação Digital

Entendendo a Certificação Digital Entendendo a Certificação Digital Novembro 2010 1 Sumário 1. Introdução... 3 2. O que é certificação digital?... 3 3. Como funciona a certificação digital?... 3 6. Obtendo certificados digitais... 6 8.

Leia mais

I T I. AC Raiz. Instituto Nacional de Tecnologia da Informação, órgão do Governo Federal. Receita Federal SERASA SERPRO CAIXA CERT PRIVADA

I T I. AC Raiz. Instituto Nacional de Tecnologia da Informação, órgão do Governo Federal. Receita Federal SERASA SERPRO CAIXA CERT PRIVADA I T I AC Raiz Instituto Nacional de Tecnologia da Informação, órgão do Governo Federal Receita Federal SERASA SERPRO CAIXA CERT AC PRIVADA AR Autoridade Registradora AR Autoridade Registradora Certificado

Leia mais

Certificado Digital Modelo NF-e. Manual do Usuário

Certificado Digital Modelo NF-e. Manual do Usuário Certificado Digital Modelo NF-e Manual do Usuário Parabéns! Você acaba de adquirir o seu Certificado Digital Serasa Experian. Este manual é composto por informações importantes para que você possa usar

Leia mais

Editoria e Diagramação Núcleo de Imagem Ascom TJPE. Ilustração Gerência de Atendimento Técnico

Editoria e Diagramação Núcleo de Imagem Ascom TJPE. Ilustração Gerência de Atendimento Técnico Conceitos de Segurança da Informação, Certificação Digital e suas Aplicações no TJPE 3ª Edição - Maio/2013 Elaboração Núcleo de Segurança da Informação SETIC Editoria e Diagramação Núcleo de Imagem Ascom

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação ICP e Certificados Digitais Prof. João Henrique Kleinschmidt Santo André, junho de 2013 Criptografia de chave pública Oferece criptografia e também uma maneira de identificar

Leia mais

O QUE O CIRURGIÃO DENTISTA PRECISA SABER SOBRE CERTIFICADO DIGITAL

O QUE O CIRURGIÃO DENTISTA PRECISA SABER SOBRE CERTIFICADO DIGITAL O QUE O CIRURGIÃO DENTISTA PRECISA SABER SOBRE CERTIFICADO DIGITAL Resumo A necessidade de comprovar a autenticidade de documentos e atribuir lhes um valor legal, seja através de uma assinatura de próprio

Leia mais

INFORMÁTICA PROF. RAFAEL ARAÚJO

INFORMÁTICA PROF. RAFAEL ARAÚJO INFORMÁTICA PROF. RAFAEL ARAÚJO CERTIFICADO DIGITAL O certificado digital é um arquivo eletrônico que contém dados de uma pessoa ou instituição, utilizados para comprovar sua identidade. Este arquivo pode

Leia mais

PRESIDÊNCIA 29/07/2013 RESOLUÇÃO Nº 103/2013

PRESIDÊNCIA 29/07/2013 RESOLUÇÃO Nº 103/2013 SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DO DESENVOLVIMENTO, INDÚSTRIA E COMÉRCIO EXTERIOR INSTITUTO NACIONAL DA PROPRIEDADE INDUSTRIAL PRESIDÊNCIA PRESIDÊNCIA 29/07/2013 RESOLUÇÃO Nº 103/2013 Assunto: Estabelece

Leia mais

PROJETO DE REDES www.projetoderedes.com.br

PROJETO DE REDES www.projetoderedes.com.br PROJETO DE REDES www.projetoderedes.com.br Curso de Tecnologia em Redes de Computadores Disciplina: Tópicos Avançados II 5º período Professor: José Maurício S. Pinheiro Aula 1 Introdução à Certificação

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação (Extraído da apostila de Segurança da Informação do Professor Carlos C. Mello) 1. Conceito A Segurança da Informação busca reduzir os riscos de vazamentos, fraudes, erros, uso indevido,

Leia mais

Certificado Digital e-cpf

Certificado Digital e-cpf Certificado Digital e-cpf Parabéns! Ao ter em mãos esse manual, significa que você adquiriu um certificado digital AC Link. Manual do Usuário 1 Índice Apresentação... 03 O que é um Certificado Digital?...

Leia mais

Certificado Digital A1. Instalação

Certificado Digital A1. Instalação Instalação Todos os direitos reservados. Imprensa Oficial do Estado S.A. 2010 Pré Requisitos para a instalação Dispositivos de Certificação Digital Para que o processo de instalação tenha sucesso, é necessário

Leia mais

CERTIFICAÇÃO DIGITAL

CERTIFICAÇÃO DIGITAL CERTIFICAÇÃO DIGITAL 1. INTRODUÇÃO 2. OBJETIVOS 3.CNES - LEGISLAÇÃO EM VIGOR PARA UTILIZAÇÃO DA CERTIFICAÇÃO DIGITAL 4.CERTIFICAÇÃO DIGITAL - COMO OBTER E INICIAR UMA SOLICITAÇÃO 5.CNES - COMO INICIAR

Leia mais

Manual do usuário Certificado Digital e-cpf. Parabéns! Ao ter em mãos este manual, significa que você adquiriu um Certificado Digital DOCCLOUD

Manual do usuário Certificado Digital e-cpf. Parabéns! Ao ter em mãos este manual, significa que você adquiriu um Certificado Digital DOCCLOUD Manual do usuário Certificado Digital e-cpf Parabéns! Ao ter em mãos este manual, significa que você adquiriu um Certificado Digital DOCCLOUD Índice Apresentação 03 O que é um Certificado Digital? 04 Instalando

Leia mais

Certificado Digital A1

Certificado Digital A1 Certificado Digital A1 Geração Todos os direitos reservados. Imprensa Oficial do Estado S.A. - 2012 Página 1 de 41 Pré-requisitos para a geração Dispositivos de Certificação Digital Para que o processo

Leia mais

Certificado Digital e-cpf

Certificado Digital e-cpf Página1 Certificado Digital e-cpf Manual do Usuário Página2 Índice Apresentação... 03 O que é um Certificado Digital?... 03 Instalando o Certificado... 04 Conteúdo do Certificado... 07 Utilização, guarda

Leia mais

TREINAMENTO. Novo processo de emissão de certificados via applet.

TREINAMENTO. Novo processo de emissão de certificados via applet. TREINAMENTO Novo processo de emissão de certificados via applet. Introdução SUMÁRIO Objetivo A quem se destina Autoridades Certificadoras Impactadas Produtos Impactados Pré-requisitos para utilização da

Leia mais

Renovação Online de Certificados Digitais A3 (Com Boleto Bancário)

Renovação Online de Certificados Digitais A3 (Com Boleto Bancário) Renovação Online de Certificados Digitais A3 (Com Boleto Bancário) Guia de Orientação Todos os direitos reservados. Imprensa Oficial do Estado S.A. 2013 Página 1 de 47 Índice PRÉ-REQUISITOS PARA INSTALAÇÃO...

Leia mais

M3D4 - Certificados Digitais Aula 4 Certificado Digital e suas aplicações

M3D4 - Certificados Digitais Aula 4 Certificado Digital e suas aplicações M3D4 - Certificados Digitais Aula 4 Certificado Digital e suas aplicações Prof. Fernando Augusto Teixeira 1 Agenda da Disciplina Certificado Digital e suas aplicações Segurança Criptografia Simétrica Criptografia

Leia mais

Certificado Digital A1

Certificado Digital A1 Abril/ Certificado Digital A1 Geração Página 1 de 32 Abril/ Pré requisitos para a geração Dispositivos de Certificação Digital Para que o processo de instalação tenha sucesso, é necessário obedecer aos

Leia mais

O Certificado Digital é um documento eletrônico que permite a identificação segura do autor de uma transação feita na Internet.

O Certificado Digital é um documento eletrônico que permite a identificação segura do autor de uma transação feita na Internet. Prezado(a) cliente, Você acaba de adquirir um Certificado Digital ICP BRASIL. O Certificado Digital é um documento eletrônico que permite a identificação segura do autor de uma transação feita na Internet.

Leia mais

CERTIFICADO DIGITAL ARMAZENADO NO COMPUTADOR (A1) Manual do Usuário

CERTIFICADO DIGITAL ARMAZENADO NO COMPUTADOR (A1) Manual do Usuário Certificação Digital CERTIFICADO DIGITAL ARMAZENADO NO COMPUTADOR (A1) Manual do Usuário Guia CD-17 Público Índice 1. Pré-requisitos para a geração do certificado digital A1... 3 2. Glossário... 4 3. Configurando

Leia mais

SISTEMA HOMOLOGNET E CERTIFICAÇÃO DIGITAL CAMBORIÚ/SC - 2013

SISTEMA HOMOLOGNET E CERTIFICAÇÃO DIGITAL CAMBORIÚ/SC - 2013 SISTEMA HOMOLOGNET E CERTIFICAÇÃO DIGITAL CAMBORIÚ/SC - 2013 NOVOS CONTORNOS DA ATUAÇÃO SINDICAL NA ASSISTÊNCIA À Rescisão Do CONTRATO DE TRABALHO Zilmara Alencar Consultoria FUNDAMENTO LEGAL PARA ATUAÇÃO

Leia mais

Serviços Ibama Certificação Digital

Serviços Ibama Certificação Digital Guia da nos 1. Informações Gerais Objetivando garantir mais segurança ao acesso dos usuários dos Serviços do Ibama, foi estabelecido desde o dia 1º de janeiro de 2014, o acesso por meio de certificação

Leia mais

MANUAL DE UTILIZAÇÃO DO GCD GERENCIADOR DE CERTIFICADOS DIGITAIS

MANUAL DE UTILIZAÇÃO DO GCD GERENCIADOR DE CERTIFICADOS DIGITAIS MANUAL DE UTILIZAÇÃO DO GCD GERENCIADOR DE Versão 2 Atualizado em 03/05/2012 Página 1 de 77 ÍNDICE 1 - O QUE É O GCD... 3 2 - COMO EXECUTAR O GCD GERENCIADOR DE... 4 2.3 - COMO CONFIGURAR O PROXY DO GCD...

Leia mais

INFORMÁTICA PROF. RAFAEL ARAÚJO

INFORMÁTICA PROF. RAFAEL ARAÚJO INFORMÁTICA PROF. RAFAEL ARAÚJO CERTIFICADO DIGITAL O certificado digital é um arquivo eletrônico que contém dados de uma pessoa ou instituição, utilizados para comprovar sua identidade. Este arquivo pode

Leia mais

Renovação Online de Certificados Digitais A1 (Com cartão de Crédito)

Renovação Online de Certificados Digitais A1 (Com cartão de Crédito) Renovação Online de Certificados Digitais A1 (Com cartão de Crédito) Guia de Orientação Todos os direitos reservados. Imprensa Oficial do Estado S.A. 2013 Página 1 de 40 Índice PRÉ-REQUISITOS PARA INSTALAÇÃO...

Leia mais

Autoridade Certificadora CAIXA Pessoa Física CONTRATO DE ASSINANTE A1

Autoridade Certificadora CAIXA Pessoa Física CONTRATO DE ASSINANTE A1 TERMO DE CONTRATO DE PRESTAÇÃO DE SERVIÇOS DE CERTIFICAÇÃO DIGITAL que entre si fazem, de um lado, como contratada a CAIXA ECONÔMICA FEDERAL, Empresa Pública de Direito Privado, inscrita no CNPJ/MF sob

Leia mais

Criptografia de Informação. Guia corporativo

Criptografia de Informação. Guia corporativo Criptografia de Informação Guia corporativo A criptografia de dados em empresas 1. Introdução 3 Guia corporativo de criptografia de dados 1. Introdução A informação é um dos ativos mais importantes de

Leia mais

www.e-law.net.com.br certificação digital 1 de 5 Introdução

www.e-law.net.com.br certificação digital 1 de 5 Introdução www.e-law.net.com.br certificação digital 1 de 5 Introdução Cada pessoa cria sua assinatura de forma totalmente livre e a utiliza com significado de expressa concordância com os conteúdos dos documentos

Leia mais

RESOLUÇÃO Nº 529, DE 23 DE MAIO DE 2016 Documento nº 00000.029651/2016-57

RESOLUÇÃO Nº 529, DE 23 DE MAIO DE 2016 Documento nº 00000.029651/2016-57 RESOLUÇÃO Nº 529, DE 23 DE MAIO DE 2016 Documento nº 00000.029651/2016-57 Dispõe sobre o uso de Certificado Digital no âmbito da Agência Nacional de Águas ANA. O DIRETOR-PRESIDENTE DA AGÊNCIA DE ÁGUAS-ANA,

Leia mais

Certificado Digital A1. Solicitação

Certificado Digital A1. Solicitação A1 Todos os direitos reservados. Imprensa Oficial do Estado S.A. 2012 Pré-Requisitos para a instalação Dispositivos de Certificação Digital Para que o processo de instalação tenha sucesso, é necessário

Leia mais

TERMO DE REFERÊNCIA. ANEXO l

TERMO DE REFERÊNCIA. ANEXO l TERMO DE REFERÊNCIA ANEXO l 1. OBJETO Aquisição de certificados digitais para pessoa física e jurídica, para servidores WEB, incluindo opcionalmente serviços de validação on site, leitoras, cartões inteligentes

Leia mais

Manual do Usuário Certificado Digital AC PRODERJ

Manual do Usuário Certificado Digital AC PRODERJ Manual do Usuário Certificado Digital AC PRODERJ Guia CD-18 Público Índice 1. Emissão dos Certificados Digitais PRODERJ... 3 2. Documentos Necessários para Emissão dos Certificados... 3 3. Responsabilidades...

Leia mais

SOLO NETWORK. Criptografia de Informação. Guia corporativo

SOLO NETWORK. Criptografia de Informação. Guia corporativo (11) 4062-6971 (21) 4062-6971 (31) 4062-6971 (41) 4062-6971 (48) 4062-6971 (51) 4062-6971 (61) 4062-6971 (71) 4062-7479 Criptografia de Informação Guia corporativo (11) 4062-6971 (21) 4062-6971 (31) 4062-6971

Leia mais

Software ConnectKey Share to Cloud Versão 1.0 Abril de 2013. Xerox ConnectKey Share to Cloud Guia do Usuário / Administrador

Software ConnectKey Share to Cloud Versão 1.0 Abril de 2013. Xerox ConnectKey Share to Cloud Guia do Usuário / Administrador Software ConnectKey Share to Cloud Versão 1.0 Abril de 2013 Xerox ConnectKey Share to Cloud Guia do Usuário / Administrador 2013 Xerox Corporation. Todos os direitos reservados. Xerox, Xerox and Design

Leia mais

67 das 88 vagas no AFRF no PR/SC 150 das 190 vagas no TRF no PR/SC 150 das 190 vagas no TRF Conquiste sua vitória ao nosso lado

67 das 88 vagas no AFRF no PR/SC 150 das 190 vagas no TRF no PR/SC 150 das 190 vagas no TRF Conquiste sua vitória ao nosso lado Carreira Policial Mais de 360 aprovados na Receita Federal em 2006 67 das 88 vagas no AFRF no PR/SC 150 das 190 vagas no TRF no PR/SC 150 das 190 vagas no TRF Conquiste sua vitória ao nosso lado Apostila

Leia mais

UM ESTUDO SOBRE CERTIFICADOS DIGITAIS COMO SOLUÇÃO DE SEGURANÇA DA INFORMAÇÃO

UM ESTUDO SOBRE CERTIFICADOS DIGITAIS COMO SOLUÇÃO DE SEGURANÇA DA INFORMAÇÃO UM ESTUDO SOBRE CERTIFICADOS DIGITAIS COMO SOLUÇÃO DE SEGURANÇA DA INFORMAÇÃO Emerson Henrique Soares Silva Prof. Ms. Rodrigo Almeida dos Santos Associação Paraibana de Ensino Renovado - ASPER Coordenação

Leia mais

Autoridades de Certificação: importância e necessidade para uma infra-estrutura de chave pública (PKI) *

Autoridades de Certificação: importância e necessidade para uma infra-estrutura de chave pública (PKI) * Autoridades de Certificação: importância e necessidade para uma infra-estrutura de chave pública (PKI) * Francisco de Assis Noberto Galdino de Araújo 1 Suzilaine Sbroglio 2 José Manuel Magalhães Cruz (Orientador)

Leia mais

TERMO DE REFERÊNCIA. ANEXO l

TERMO DE REFERÊNCIA. ANEXO l TERMO DE REFERÊNCIA ANEXO l 1. OBJETO Aquisição de certificados digitais para pessoa física e jurídica, para servidores WEB, incluindo opcionalmente serviços de validação on site, leitoras, cartões inteligentes

Leia mais

Certificação Digital - Previsão Legal

Certificação Digital - Previsão Legal Certificação Digital - Previsão Legal De acordo com o Art. 18 da Portaria GM/MS nº 53, de 16/01/13, o SIOPS passou a adotara Certificação Digital no processo de interface dos usuários. Art. 18. Seráadotada

Leia mais

Autoridade Certificadora CAIXA Pessoa Jurídica CONTRATO DE ASSINANTE A1

Autoridade Certificadora CAIXA Pessoa Jurídica CONTRATO DE ASSINANTE A1 TERMO DE CONTRATO DE PRESTAÇÃO DE SERVIÇOS DE CERTIFICAÇÃO DIGITAL que entre si fazem, de um lado, como contratada a CAIXA ECONÔMICA FEDERAL, Empresa Pública de Direito Privado, inscrita no CNPJ/MF sob

Leia mais

Certificação Digital para condomínios

Certificação Digital para condomínios Certificação Digital para condomínios Saiba porque é importante tirá-la a tempo Desde o começo do ano, a Caixa Econômica Federal avisa: é necessário que os condomínios, entre outros, providenciem certificados

Leia mais

Segurança de transações contra dois tipos de ataque

Segurança de transações contra dois tipos de ataque Segurança de transações contra dois tipos de ataque Danton Nunes, InterNexo Ltda. danton.nunes@inexo.com.br GTS 14 Motivação Recente discussão na lista GTS L sobre a questão de segurança de transações

Leia mais

Certificado Digital. Manual do Usuário

Certificado Digital. Manual do Usuário Certificado Digital Manual do Usuário Índice Importante... 03 O que é um Certificado Digital?... 04 Instalação do Certificado... 05 Revogação do Certificado... 07 Senhas do Certificado... 08 Renovação

Leia mais

CERTIFICAÇÃO DIGITAL

CERTIFICAÇÃO DIGITAL Autenticidade Digital CERTIFICAÇÃO DIGITAL Certificação Digital 1 Políticas de Segurança Regras que baseiam toda a confiança em um determinado sistema; Dizem o que precisamos e o que não precisamos proteger;

Leia mais

http://www.certificado.caixa.gov.br

http://www.certificado.caixa.gov.br Exmo. Sr. Magistrado e, Sr. Servidor, Para obter a Identidade Digital através da Autoridade Certificadora CAIXA é necessário: Entrar no Site: http://www.certificado.caixa.gov.br e em Serviços on-line para

Leia mais

EMISSÃO DE CERTIFICADO DIGITAL AC-JUS A1

EMISSÃO DE CERTIFICADO DIGITAL AC-JUS A1 EMISSÃO DE CERTIFICADO DIGITAL AC-JUS A1 Para organizações que procuram a garantia da ICP-Brasil na conexão dos usuários ao seu site, a Certisign oferece o Certificado para Servidor WEB Certisign ICP-Brasil.

Leia mais

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI)

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) André Gustavo Assessor Técnico de Informática MARÇO/2012 Sumário Contextualização Definições Princípios Básicos de Segurança da Informação Ameaças

Leia mais

Certificado Digital Modelo e-cnpj. Manual do Usuário

Certificado Digital Modelo e-cnpj. Manual do Usuário Certificado Digital Modelo e-cnpj Manual do Usuário Parabéns! Você acaba de adquirir o seu Certificado Digital Serasa Experian. Este manual é composto por informações importantes para que você possa usar

Leia mais

Tudo que você precisa saber sobre Criptografia

Tudo que você precisa saber sobre Criptografia Tudo que você precisa saber sobre Criptografia...e tinha medo de perguntar Criptografia vem do grego e significa escrita escondida. Bem, ainda não temos a tecnologia dos filmes de fantasia onde um pergaminho

Leia mais

CERTIDÕES UNIFICADAS

CERTIDÕES UNIFICADAS CERTIDÕES UNIFICADAS Manual de Instalação e Configuração Projeto CERTUNI com Certificado Digital Versão 2.0 Fevereiro de 2013 Departamento de Inovação Tecnológica Sumário 1. Instalação do Leitor de Cartão

Leia mais

Política de uso de dados

Política de uso de dados Política de uso de dados A política de dados ajudará você a entender como funciona as informações completadas na sua área Minhas Festas. I. Informações que recebemos e como são usadas Suas informações

Leia mais

Implementando Logon por Smart Card Usando Certificados da ICP-Brasil

Implementando Logon por Smart Card Usando Certificados da ICP-Brasil Implementando Logon por Smart Card Usando Certificados da ICP-Brasil Fernando Cima Security Center of Excellence Microsoft Corporation fcima@microsoft.com Resumo O uso do sistema operacional Windows com

Leia mais

ROI COMO SABER DEFINITIVAMENTE O RESULTADO DAS AÇÕES DE MARKETING DO SEU E- COMMERCE. Por: Alexandre Maldonado

ROI COMO SABER DEFINITIVAMENTE O RESULTADO DAS AÇÕES DE MARKETING DO SEU E- COMMERCE. Por: Alexandre Maldonado ROI COMO SABER DEFINITIVAMENTE O RESULTADO DAS AÇÕES DE MARKETING DO SEU E- COMMERCE Por: Alexandre Maldonado Autor do site Marketing para E- commerce www.marketingparaecommerce.com.br TERMOS DE RESPONSABILIDADE

Leia mais

Serasa Experian Orientações SIOPS 04/02/2013 SERASA EXPERIAN

Serasa Experian Orientações SIOPS 04/02/2013 SERASA EXPERIAN SERASA EXPERIAN Orientações para Emissão de Certificado Digital tipo A3, Pessoa Física, com Financiamento pelo Ministério da Saúde para Operadores da Funcionalidade Restrita do Sistema de Informações sobre

Leia mais

Manual do Usuário Cyber Square

Manual do Usuário Cyber Square Manual do Usuário Cyber Square Criado dia 27 de março de 2015 as 12:14 Página 1 de 48 Bem-vindo ao Cyber Square Parabéns! Você está utilizando o Cyber Square, o mais avançado sistema para gerenciamento

Leia mais

Renovação Online de Certificados Digitais A3

Renovação Online de Certificados Digitais A3 Renovação Online de Certificados Digitais A3 Guia de Orientação Todos os direitos reservados. Imprensa Oficial do Estado S.A. 2014 Página 1 de 45 Índice PRÉ-REQUISITOS PARA INSTALAÇÃO... 3 VERIFICANDO

Leia mais

Renovação Online de certificados digitais A1 (Voucher)

Renovação Online de certificados digitais A1 (Voucher) Renovação Online de certificados digitais A1 (Voucher) Todos os direitos reservados. Imprensa Oficial do Estado S.A. 2012 página 1 de 18 Renovação Online Renovação Online de certificados digitais A1 (Voucher)

Leia mais

Excel 2003. Excel 2003. Guia para assinatura de documentos no Microsoft Excel 2003 Guia para assinatura de documentos no Microsoft Excel 2003

Excel 2003. Excel 2003. Guia para assinatura de documentos no Microsoft Excel 2003 Guia para assinatura de documentos no Microsoft Excel 2003 Excel 2003 Todos os direitos reservados. Imprensa Oficial do Estado S.A. 2010 Pré-Requisitos para a utilização Para que o processo de utilização tenha sucesso, é necessário obedecer aos seguintes critérios:

Leia mais

Renovação Online de certificados digitais A3 (Voucher)

Renovação Online de certificados digitais A3 (Voucher) Renovação Online de certificados digitais A3 (Voucher) Todos os direitos reservados. Imprensa Oficial do Estado S.A. 2012 página 1 de 19 Requisitos para a Renovação Certificados A3 Em Cartão/Token (Navegador

Leia mais

SOLICITAÇÃO DO CERTIFICADO DIGITAL

SOLICITAÇÃO DO CERTIFICADO DIGITAL SOLICITAÇÃO DO CERTIFICADO DIGITAL 1. Como é feita a entrega do Certificado Digital? Resposta: O certificado digital é entregue ao cliente após o procedimento de Validação Presencial, o qual consiste na

Leia mais

Guia de Instalação e Configuração do Plugin de Sincronização versão 1.3

Guia de Instalação e Configuração do Plugin de Sincronização versão 1.3 Brasília, 23 de abril de 2013 Guia de Instalação e Configuração do Plugin de Sincronização versão 1.3 Responsáveis: Salvador Melo/ Márcio Batista/ Lino Muniz/ Ricardo Zago/ Andreza Hermes Sumário Sumário...

Leia mais

Ativação do SAT. Atualizado em: 27/11/2014. Sistema Autenticador e Transmissor de Cupons Fiscais Eletrônicos. P á g i n a 1

Ativação do SAT. Atualizado em: 27/11/2014. Sistema Autenticador e Transmissor de Cupons Fiscais Eletrônicos. P á g i n a 1 P á g i n a 1 Bem vindo ao Passo a Passo do Sistema de Gestão e Retaguarda do SAT-CF-e de SP para Ativação do SAT Atualizado em: 27/11/2014 Sistema Autenticador e Transmissor de Cupons Fiscais Eletrônicos

Leia mais

Algumas Leis da Segurança

Algumas Leis da Segurança Algumas Leis da Segurança Marcos Aurelio Pchek Laureano laureano@ppgia.pucpr.br Roteiro Leis Fundamentais Leis Imutáveis Seus significados Sua Importância 2 Algumas Leis da Segurança As leis Fundamentais

Leia mais

Renovação Online de Certificados Digitais A1

Renovação Online de Certificados Digitais A1 Renovação Online de Certificados Digitais A1 Guia de Orientação Todos os direitos reservados. Imprensa Oficial do Estado S.A. 2014 Página 1 de 33 Índice PRÉ-REQUISITOS PARA INSTALAÇÃO... 3 INICIANDO A

Leia mais

MAIO / 2007. Banco Safra S.A Tradição Secular de Segurança

MAIO / 2007. Banco Safra S.A Tradição Secular de Segurança Siissttema de Assssiinattura Diigiittall MAIO / 2007 Banco Safra S.A Tradição Secular de Segurança A internet facilitando nossa vida As exigências e as pressões crescentes da vida moderna, o caos urbano,

Leia mais

Aplicativo adicional para cartões

Aplicativo adicional para cartões SAFESIGN para MAC OS Aplicativo adicional para cartões Todos os direitos reservados. Imprensa Oficial do Estado S.A. 2011 página 1 de 15 Pré Requisitos para a instalação Dispositivos de Certificação Digital

Leia mais

PROJETO DE REDES www.projetoderedes.com.br

PROJETO DE REDES www.projetoderedes.com.br PROJETO DE REDES www.projetoderedes.com.br Curso de Tecnologia em Redes de Computadores Disciplina: Tópicos Avançados II 5º período Professor: José Maurício S. Pinheiro AULA 2: Padrão X.509 O padrão X.509

Leia mais

Assinatura Digital: problema

Assinatura Digital: problema Assinatura Digital Assinatura Digital Assinatura Digital: problema A autenticidade de muitos documentos, é determinada pela presença de uma assinatura autorizada. Para que os sistemas de mensagens computacionais

Leia mais

WatchKey. WatchKey USB PKI Token. Versão Windows. Manual de Instalação e Operação

WatchKey. WatchKey USB PKI Token. Versão Windows. Manual de Instalação e Operação WatchKey WatchKey USB PKI Token Manual de Instalação e Operação Versão Windows Copyright 2011 Watchdata Technologies. Todos os direitos reservados. É expressamente proibido copiar e distribuir o conteúdo

Leia mais

PROJETO DE REDES www.projetoderedes.com.br

PROJETO DE REDES www.projetoderedes.com.br PROJETO DE REDES www.projetoderedes.com.br Curso de Tecnologia em Redes de Computadores Disciplina: Tópicos Avançados II 5º período Professor: José Maurício S. Pinheiro AULA 3: Políticas e Declaração de

Leia mais

Manual de. instalação. Certificado Digital A3 ou S3

Manual de. instalação. Certificado Digital A3 ou S3 Manual de instalação Certificado Digital A3 ou S3 Sumário O que é? 3 Aplicação 3 Preparando sua máquina 4 1ª configuração: Sistemas Homologados 4 2ª configuração: Perfil de usuário 4 3ª Execute o CD de

Leia mais

Certificado Digital Modelo e-cpf. Manual do Usuário

Certificado Digital Modelo e-cpf. Manual do Usuário Certificado Digital Modelo e-cpf Manual do Usuário Parabéns! Você acaba de adquirir o seu Certificado Digital Serasa Experian. Este manual é composto por informações importantes para que você possa usar

Leia mais

Manual de Apoio à Assinatura Eletrônica DISO

Manual de Apoio à Assinatura Eletrônica DISO Manual de Apoio à Assinatura Eletrônica DISO Índice Hyperlinks Descanse o mouse na frase, aperte sem largar o botão Ctrl do seu teclado e click com o botão esquerdo do mouse para confirmar. Introdução

Leia mais

Instalação das Cadeias de Certificação

Instalação das Cadeias de Certificação Instalação das Cadeias de Certificação Certificado Digital A1/S1 e A3/S3 Todos os direitos reservados. Imprensa Oficial do Estado S.A. 2011 página 1 de 11 Pré-Requisitos para a instalação Dispositivos

Leia mais

Aprenda a Gerar Renda Utilizando Seus Conhecimentos em Promob e Projetos 3D.ACDEMY.COM.BR COMO GERAR RENDA COM PROJETO VERSÃO 1.0

Aprenda a Gerar Renda Utilizando Seus Conhecimentos em Promob e Projetos 3D.ACDEMY.COM.BR COMO GERAR RENDA COM PROJETO VERSÃO 1.0 Aprenda a Gerar Renda Utilizando Seus Conhecimentos em Promob e Projetos CAIO HENRIQUE TEODORO DOS SANTOS Página 1 Versão 1.0 2013 Esforcei-me ao máximo para transmitir em poucas páginas algumas dicas

Leia mais

Manual de. instalação. Certificado Digital A3 ou S3

Manual de. instalação. Certificado Digital A3 ou S3 Manual de instalação Certificado Digital A3 ou S3 Sumário O que é? 3 Aplicação 3 Preparando sua máquina 4 1ª configuração: Sistemas Homologados 4 2ª configuração: Perfil de usuário 4 3ª configuração: Hierarquias

Leia mais

O QUE É CERTIFICAÇÃO DIGITAL?

O QUE É CERTIFICAÇÃO DIGITAL? O QUE É CERTIFICAÇÃO DIGITAL? Os computadores e a Internet são largamente utilizados para o processamento de dados e para a troca de mensagens e documentos entre cidadãos, governo e empresas. No entanto,

Leia mais

Manual de instalação, configuração e utilização do Assinador Betha

Manual de instalação, configuração e utilização do Assinador Betha Manual de instalação, configuração e utilização do Assinador Betha Versão 1.5 Histórico de revisões Revisão Data Descrição da alteração 1.0 18/09/2015 Criação deste manual 1.1 22/09/2015 Incluído novas

Leia mais

Guia De Criptografia

Guia De Criptografia Guia De Criptografia Perguntas e repostas sobre a criptografia da informação pessoal Guia para aprender a criptografar sua informação. 2 O que estamos protegendo? Através da criptografia protegemos fotos,

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro Revisando As transações eletrônicas demandam mecanismos de segurança que garantam: Autenticidade Confidencialidade Integridade

Leia mais

PROCEDIMENTOS PARA OBTENÇÃO DO CERTIFICADO DIGITAL E INSTALAÇÃO DO TOKEN

PROCEDIMENTOS PARA OBTENÇÃO DO CERTIFICADO DIGITAL E INSTALAÇÃO DO TOKEN PROCEDIMENTOS PARA OBTENÇÃO DO CERTIFICADO DIGITAL E INSTALAÇÃO DO TOKEN Página 1 de 46 1. Emissão dos Certificados... 3 2. Documentos Necessários para Emissão dos Certificados... 3 3. Responsabilidades...

Leia mais

Superior Tribunal de Justiça

Superior Tribunal de Justiça RESOLUÇÃO N. 20 DE 9 DE AGOSTO DE 2012. Dispõe sobre a certificação digital no Superior Tribunal de Justiça e dá outras providências. O PRESIDENTE DO SUPERIOR TRIBUNAL DE JUSTIÇA, usando da atribuição

Leia mais

Guia de utilização do gerenciador de Token e Smart Card

Guia de utilização do gerenciador de Token e Smart Card Guia de utilização do gerenciador de Token e Smart Card Todos os direitos reservados. Imprensa Oficial do Estado S.A. 2011 página 1 de 13 Pré-requisitos para a instalação Software de Certificação Digital

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Autenticação Prof. João Henrique Kleinschmidt Santo André, junho de 2013 Resumos de mensagem (hash) Algoritmo Hash são usados quando a autenticação é necessária, mas o sigilo,

Leia mais

Sumário. Parte I Introdução... 19. Capítulo 1 Fundamentos da infra-estrutura de chave pública... 21. Capítulo 2 Conceitos necessários...

Sumário. Parte I Introdução... 19. Capítulo 1 Fundamentos da infra-estrutura de chave pública... 21. Capítulo 2 Conceitos necessários... Agradecimentos... 7 O autor... 8 Prefácio... 15 Objetivos do livro... 17 Parte I Introdução... 19 Capítulo 1 Fundamentos da infra-estrutura de chave pública... 21 Introdução à ICP... 21 Serviços oferecidos

Leia mais

compras online com Segurança

compras online com Segurança 12 Dicas para realizar compras online com Segurança As compras online chegaram no mercado há muito tempo e, pelo visto, para ficar. Com elas também despertaram os desejos dos cibercriminosos de se apropriarem

Leia mais

Usando o Outlook MP Geral

Usando o Outlook MP Geral Usando o Outlook MP Geral Este guia descreve o uso do Outlook MP. Este guia é baseado no uso do Outlook MP em um PC executando o Windows 7. O Outlook MP pode ser usado em qualquer tipo de computador e

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

CERTIFICAÇÃO NO ÂMBITO DA RECEITA FEDERAL

CERTIFICAÇÃO NO ÂMBITO DA RECEITA FEDERAL Novo Hamburgo RS, Maio de 2007. Circular 06/2007 Prezado cliente; Apresentamos através desta circular, esclarecimentos adicionais sobre o assunto que está gerando bastante dúvidas, para as empresas tributadas

Leia mais

Assinatura Digital de Contratos de Câmbio Banrisul Utilização dos certificados digitais para a Assinatura de Contratos de Câmbio Banrisul.

Assinatura Digital de Contratos de Câmbio Banrisul Utilização dos certificados digitais para a Assinatura de Contratos de Câmbio Banrisul. Assinatura Digital de Contratos de Câmbio Banrisul Utilização dos certificados digitais para a Assinatura de Contratos de Câmbio Banrisul. Manual Descritivo Índice 1. Introdução 1.1. Objetivo. 1.2. Escopo.

Leia mais

Processo de solicitação do Certificado Digital. Comodo Brasil Tecnologia - www.comodobr.com. Página 1 de 5

Processo de solicitação do Certificado Digital. Comodo Brasil Tecnologia - www.comodobr.com. Página 1 de 5 Processo de solicitação do Certificado Digital Página 1 de 5 Existem cinco passos na emissão de um certificado digital para habilitar SSL no seu servidor. Gerando o seu CSR (Certificate Signing Request)

Leia mais

Tutorial para acesso ao Peticionamento Eletrônico e Visualização de Processos Eletrônicos

Tutorial para acesso ao Peticionamento Eletrônico e Visualização de Processos Eletrônicos Tutorial para acesso ao Peticionamento Eletrônico e Visualização de Processos Eletrônicos Este tutorial visa preparar o computador com os softwares necessários para a utilização dos sistemas de visualização

Leia mais

BlackBerry Internet Service. Versão: 4.5.1. Guia do usuário

BlackBerry Internet Service. Versão: 4.5.1. Guia do usuário BlackBerry Internet Service Versão: 4.5.1 Guia do usuário Publicado: 09/01/2014 SWD-20140109134951622 Conteúdo 1 Primeiros passos... 7 Sobre os planos de serviço de mensagens oferecidos para o BlackBerry

Leia mais

Nunca foi tão fácil utilizar

Nunca foi tão fácil utilizar Nunca foi tão fácil utilizar o Conectividade Social da CAIXA O que antes era feito com a autenticação de disquetes e precisava do antigo programa CNS para o relacionamento com a CAIXA e prestação de informações

Leia mais

Perspectivas do E-Commerce Brasileiro

Perspectivas do E-Commerce Brasileiro Perspectivas do E-Commerce Brasileiro Perspectivas do E-Commerce Brasileiro 78 Milhões de usuários de internet no Brasil Tíquete médio de compras pela web em 2011 foi de R$ 350,00 São mais de 3.000 de

Leia mais