Este é um exemplo das informações de um certificado digital, que no caso é o meu: Informações do Certificado Digital

Transcrição

1 O Que é Certificado Digital: Um Certificado Digital é um arquivo no computador que identifica você, funcionando como o RG. Comprova a identidade da pessoa que está usando nos meios eletrônicos, é uma identificação segura, promovendo a segurança em transações eletrônicas (bancos, empresas, comércio eletrônico,...) ou quando você envia um importante, seu aplicativo de pode utilizar seu Certificado Digital para assinar "digitalmente" a mensagem. Uma assinatura digital faz duas coisas: informa ao destinatário que o é seu e indica que o não foi adulterado entre o envio e o recebimento deste. É esta segurança que está cada vez mais atraindo empresas, governos e cidadãos comuns a obterem um certificado digital, ao ponto de alguns países já adotarem o Certificado Digital para todos os seus cidadãos, como na Bélgica. Alguns aplicativos de software utilizam esse arquivo para comprovar sua identidade para outra pessoa ou outro computador. Exemplos típicos são: Informações que o Certificado Digital Possuí: Nome da empresa (a Autoridade Certificadora - CA) que emitiu seu Certificado Digital; Período de validade do certificado; Chave pública; Seu nome e endereço de ; O número de série do Certificado Digital; A assinatura digital da CA. Este é um exemplo das informações de um certificado digital, que no caso é o meu: Informações do Certificado Digital Organization = CertiSign Certificadora Digital SA Organizational Unit = Classe 1 Organizational Unit = Terms of use at (c)00 Organizational Unit = Authenticated by Certisign Certificadora Digital Ltda. Organizational Unit = Member, VeriSign Trust Network Organizational Unit = Persona Not Validated Organizational Unit = Digital ID Class 1 Common Name = sergio alabi - Certificado de Teste Address = concurso@alabi.net Número de série = 054a24d979b7b851564ed775b39ced78 1

2 Como Funciona o Certificado Digital: Existem dois tipos de criptografia: Criptografia Simétrica (Privada): o sistema de Criptografia Simétrica utiliza a mesma chave de criptografia (algoritmo) para cifrar e decifrar as informações. Este método não é confiável para transações eletrônicas na internet, sendo seu uso mais empregado para comunicação entre duas pessoas na internet, onde ambas possuem a mesma chave privada para codificar e decodificar as informações. Criptografia Assimétrica (Pública): o Certificado Digital funciona com criptografia assimétrica, ou seja, este modelo utiliza um par de chaves, uma chave pública e uma chave privada, onde a chave pública pode ser distribuída livremente e a privada deve ser bem protegida por senha de acesso. A chave pública é usada para cifrar ás informações a serem enviadas e a chave privada é usada para decifrar estas informações. Este cenário é muito conhecido e usado por instituições bancárias (bank on-line) e por empresas de comércio eletrônico (e-commerce). A criptografia mais utilizada em é RSA, em que o seu conceito baseia-se em números primos. 2

3 Usuário 1º MOMENTO Banco Internet O exemplo empregado será a conexão com um banco on-line, em primeira instância o banco possuiu o par de chaves: pública e privada. A pública é distribuída livremente para codificar as informações e a privada está guardada de posse do banco bem protegida e será usada para decodificar as informações. Usuário 2º MOMENTO Banco No segundo momento ao digitar o número da agência e o número da conta, a conexão com o banco de dados se tornará uma conexão segura, pois estará utilizando o protocolo SSL (um cadeado irá aparecer na barra de status do navegador de internet), ou seja, um túnel é criado entre você e o seu banco, as informações estão criptografadas através da chave de criptografia RSA e neste momento você recebe a chave pública para codificar as informações a serem enviadas ao banco (sua senha e dados confidenciais). Se um cracker roubar esta informação na rede da Internet, ele passará séculos tentando decifrar a informação, pois a comunicação está protegida por criptografia. Usuário 3º MOMENTO Banco 3

4 No terceiro momento ao enviar informações sigilosas, o banco irá utilizar a chave privada para decodificação das informações recebidas, pois somente a instituição (no caso o banco) possuí o segredo para decifrar estas informações (senha da sua conta). Assinatura Digital: Assinatura Digital é muito utilizada para assinar documentos (textos, planilhas,...), desta forma atesta que o documento não foi alterado por um terceiro e que o mesmo é de sua autoria. Imagine o seguinte exemplo: você está fechando um pedido de compra entre a empresa em trabalha e o meu seu principal fornecedor de matéria prima. A compra é da ordem de 1 milhão de reais e será concretizada através do envio do documento por validando a operação. Quem garante que quando o seu fornecedor receber o documento, este não foi alterado e que realmente foi você que enviou? A resposta para este tipo de problema é: Assinatura Digital. Ao assinar um documento, este tem validade jurídica e atesta que o documento é original (não alterado) e também de sua autoria. Processo quando eu envio o para o meu fornecedor: função hash documento original chave privada algoritmo criptografado assinatura digital Processo quando o meu fornecedor recebe o meu assinado digitalmente: documento orignal assinatura digital função hash algoritmo criptografado minha chave pública

5 Hash do documento Hash do documento Comparação Conferência da Assinatura Digital Ao assinar digitalmente um documento, é criado um resumo deste documento chamado Digest, que nada mais é que um hash. O hash é um resultado seqüencial numérico (ex: ) quando aplicado um algoritmo (MD5. SHA-1, SHA-2, 3 ou SHA-4) ao documento original. Importante: não existe a possibilidade de através do hash obter o documento original. Ao assinar digitalmente um , é gerado um resumo do corpo do e- mail (hash) e este será cifrado com a sua chave privada, quando o seu fornecedor receber o e- mail, ele recebe sua chave pública. Ele utilizará a sua chave pública para decifrar o e comparar o hash decifrado com o hash gerado do corpo do , se os valores forem iguais, significa que o não foi alterado, e o mesmo é valido para documentos (word, excel,...). Modalidades do Certificado Digital: Atualmente o Brasil dispõe dos modelos: A1, A2, A3 e A4. Os modelos A2 e A4 não são inda comercializados. O modelo A1 tem validade de 1 ano e o par de chaves são gerados no computador no momento da solicitação de emissão do certificado. A chave pública será enviada para a Autoridade Certificadora (AC) com a solicitação de emissão do certificado, enquanto a chave privada ficará armazenada em seu computador, devendo, obrigatoriamente, ser protegida por senha de acesso. através do navegador. O modelo A3 tem validade de 3 anos e é mais seguro e portável, pois as chaves são geradas em um cartão SmartCard ou Token. SmartCard: cartão similar ao cartão de crédito e uma vez gerada essas chaves, elas estarão totalmente protegidas, não sendo possível exportá-las para uma outra mídia nem retirá-las do SmartCard. Mesmo que o computador seja atacado por um vírus ou, até mesmo, um cracker essas chaves estarão seguras e protegidas, não sendo expostas a risco de roubo ou violação. Leitora e cartão SmartCard (e-cfp e e-cnfp) da Receita Federal Token: é um hardware capaz de gerar e armazenar as chaves criptográficas que irão compor os certificados digitais. Uma vez geradas estas chaves estarão totalmente protegidas, pois não 5

6 será possível exportá-las ou retirá-las do token (seu hardware criptográfico), além de protegê-las de riscos como roubo ou violação. Sua instalação e utilização é simples: conecte-o a qualquer computador através de uma porta USB depois de instalar seu driver e um gerenciador criptográfico (software). Dessa forma logo que o token seja conectado será reconhecido pelo sistema operacional. Token Como Obter um Certificado Digital: Para obter um Certificado Digital é necessário procurar os órgãos homologados pela ICP- Brasil preenchendo uma ficha de solicitação, onde este deve ser levado pessoalmente ao órgão escolhido (autoridade de registro) com documento de identidade, CPF, comprovante de residência e uma foto 3x4 e o pagamento do certificado na modalidade escolhida (A1 ou A3). Após o termo de titularidade assinado na presença da autoridade registradora, basta baixar pela web o certificado digital (modelo A1) ou pegar o SmartCard ou Token (modelo A3) na própria autoridade de registro. A empresa certificadora, CertiSign ( oferece assinatura digital válida por um período de 60 dias gratuitamente. Como Associar um Certificado Digital a sua conta de Microsoft Outlook Express: Selecione Contas, no menu Ferramentas e, em seguida, a guia Correio. Selecione a sua conta de Correio, clique no botão Propriedades e selecione a guia Segurança. Marque a caixa "Utilizar certificado digital ao enviar mensagens seguras". Em seguida, clique no botão Certificados Digitais. Escolha o certificado que você deseja utilizar para assinar digitalmente os seus s. Autoridade Certificadora (CA): Entre os campos obrigatórios em um certificado digital encontra-se a identificação e a assinatura da entidade que o emitiu, a Autoridade Certificadora (CA), os quais permitem verificar a autenticidade e a integridade do certificado digital. A AC é o principal componente de uma Infra-Estrutura de Chaves Públicas e é responsável pela emissão dos certificados digitais. 6

7 Estrutura organizacional das emissoras de certificado digital. ICP-Brasil é a autoridade certificadora raiz. Empresas de Autoridade de Registro (RA): Através dos site: há uma lista de empresas autorizadas a registrar os certificados digitais (Serpro, Caixa, Serasa, Receita Federal, CertSign,...). 7

8 Apêndice: Cracker: invade sistemas, rouba dados, arquivos, números de cartão de crédito, faz espionagem industrial e quase sempre provoca algum tipo de destruição, principalmente de dados. SSL (Security Socket Layer): Um protocolo de segurança que fornece privacidade de comunicação. O SSL permite que aplicativos do cliente e servidor comuniquem-se de uma forma que é projetada para evitar intrusões, violação e falsificação de mensagens. A tecnologia usada é a tecnologia RSA, de chave dupla, pública e privada. Quando o SSL é aplicado, o cliente usa o protocolo HTTPS (e especifica uma URL Criptografia: tem origem grega e significa a arte de escrever em códigos de forma a esconder a informação na forma de um texto incompreensível. A informação codificada é chamada de texto cifrado. O processo de codificação ou ocultação é chamado de cifragem (criptografar), e o processo inverso, ou seja, obter a informação original a partir do texto cifrado chama-se decifragem (decriptografar). Hash: é usado para gerar um valor do hash de alguns dados, como um , uma senha ou uma chave. A função do hash verifica qualquer modificação em um dado. O hash é um método para transformar dados de tal forma que o resultado seja exclusivo e não possa ser retornado ao formato original. Sua característica principal é a não-duplicidade de dados. Os mais usados algoritmos de hash são: MD2, MD4, MD5, SHA-1, SHA-2, SHA-3 e SHA-4. RSA (Rivest, Shamir e Adleman algorithm): a mais bem sucedida implementação de sistemas de chaves assimétricas (públicas) baseadas na fatoração de números primos. São geradas duas chaves, de tal forma que uma mensagem encriptada com a primeira chave possa ser apenas decriptada com a segunda chave. A primeira chave é divulgada a alguém que pretenda enviar uma mensagem encriptada ao detentor da segunda chave, já que apenas essa pessoa pode decriptar a mensagem. O primeiro par é designado como chave pública, e o segundo como chave secreta. ICP-Brasil (Infra-Estrutura de Chaves Públicas Brasileira): é a Autoriadade Certificadora (CA) raiz no Brasil, responsável por emissão de Certificados Digitais. 8