Certificados Digitais. Prof Sandro Wambier

Transcrição

1 Certificados Digitais Prof Sandro Wambier

2 2 Certificação Digital Justificativa É necessário que o usuário tenha certeza de que a chave pública que está utilizando é autêntica. Pequeno grupo poderia trocar as chaves públicas e guardálas de forma segura. Grande grupo troca manual de chave é impraticável. Solução: Certificados de Chave Pública

3 3 Certificação Digital Para que serve um Certificado Digital? Correio Eletrônico seguro Transações Bancárias sem repúdio Compras pela Internet sem repúdio Consultas confidenciais a cadastros Arquivo de documentos legais digitalizados Transmissão de documentos Contratos digitais Certificação de Equipamentos Certificação de Programas de Computador Certificação de vídeo, som e comandos digitais

4 4 Certificação Digital Tipos de certificados Certificados de CA: utilizados para validar outros certificados; auto-assinados ou assinados por outra CA. Certificados de servidor: utilizados para identificar um servidor seguro; contém o nome da organização e o nome DNS do servidor. ex.: SSL Certs. Certificados pessoais: contém nome do portador e, eventualmente, informações como endereço eletrônico, endereço postal, etc. ex.: E-CPF Certificados de desenvolvedores de software: utilizados para validar assinaturas associadas a programas. (PlayStore)

5 5 Certificação Digital Certificado Digital - arquivo digital que contém as informações necessárias à identificação de um indivíduo ou programa, equipamento, servidor, etc, incluindo sua chave pública; Principal função de um certificado vincular uma chave pública ao nome de um protagonista (indivíduo, empresa, etc.). Os certificados X.509 em si não são secretos ou protegidos. Usualmente estão disponíveis em uma base de acesso livre na Internet (diretório X.500). X.509 é um padrão para infraestruturas de chaves públicas (ICP) Faz parte das séries X.500 de recomendações para uma estrutura de diretório global, baseada em nomes distintos para localização. Na ICP-Brasil utilizam-se certificados no padrão X.509 V3.

6 6 Certificação Digital Funcionamento Autoridade Certificadora (AC) CA (Certification Authority) - cartório eletrônico. Entidade que emite certificados para possuidores de chaves públicas e privadas (pessoa, dispositivo, servidor).

7 Certificação Digital 7

8 8 Certificação Digital Atribuições de uma CA: Gerar, entregar e armazenar a chave privada de forma segura; Distribuir a chave pública; Atualizar o par de chaves; Assinar a chave pública para gerar o certificado. Assinar certificados digitais garantindo sua validade Manter e divulgar uma lista com os certificados revogados (Certificate Revocation List - CRL); CAs podem estar encadeadas em hierarquias de certificação, em que a CA de um nível inferior valida sua assinatura com a assinatura de uma CA mais alta na hierarquia. Exemplos de CAs: VeriSign, Cybertrust e Nortel.

9 Certificados Digitais - Certisign

10

11 Os Certificados SSL servem para autenticar sites, mas nem todos os Certificados SSL proporcionam o mesmo nível de autenticação. Alguns autenticam rigidamente um site e outros simplesmente confirmam se a organização que solicita o certificado tem o direito de usar o endereço do domínio da Internet que afirmam ter. Os Certificados Extended Validation SSL 2048 bits RSA representam o padrão mais elevado de autenticação, exigindo que todos os sites protegidos pelo EV SSL passem por um processo padronizado de verificação rigorosa da legitimidade da organização responsável por esses sites.

12 EV SSL

13 Certificados SSL para servidores

14 Benefícios do Certificado Site Seguro Garante a identidade de seu site; Garante um canal criptográfico seguro com seus clientes (utiliza os protocolos seguros SSL/TLS); Permite criptografia de até 256 bits, a mais forte em uso comercial; Utilização do Selo de Site Seguro; Valida a sua organização e a propriedade do domínio; Compatibilidade com os principais navegadores de internet; Compatibilidade com servidores web que suportam o protocolo SSL/TLS;

15

16 Tipos de validação Auto-assinados (self-signed) - Certificados gerados pela própria empresa. São de uso interno e não possui interoperabilidade com os navegadores de internet; Validação de Domínio (domain validated) - A CA apenas valida se a empresa solicitante do certificado SSL é proprietária do domínio configurado na solicitação do certificado. A validação é feita com base nos dados cadastrados na entidade responsáveis pelo registro de domínio; Validação de Organização (fully authenticated) - A CA valida se a empresa solicitante do certificado SSL é proprietária do domínio configurado na solicitação do certificado, se a entidade é legalmente constituída, se a pessoa que solicitou certificado tem poder para efetuar o pedido.

17 17 Certificação Digital Período de validade e revogação Os certificados definem períodos de validade para as chaves públicas. Certificados podem ser revogados antes de sua expiração: Suspeita de corrupção da chave pública Término de contrato Mudança de nome

18 18 Certificação Digital Componentes básicos de um certificado digital: A chave pública; Nome e endereço de ; Data da validade da chave pública; Nome da autoridade certificadora (CA); Número de série do Certificado Digital; Assinatura Digital da Autoridade Certificadora.

19 19 Certificação Digital Exemplo Pela assinatura da chave pública e das informações sobre Miro, a CA garante que a informação sobre Miro está correta e que a chave pública em questão realmente pertence a Miro. Ines confere a assinatura da CA e então utiliza a chave pública em pauta, segura de que esta pertence a Ines e a ninguém mais.

20 Todas as Versões Versão 1 Versão 2 Versão 3 Certificado X Versão Número de Série Identificador do Alg. Ass. Algoritmos Parâmetros Emissor Período de Validade Não antes de Não depois de Chave Pública do Usuário Usuário Algoritmos Parâmetros Chave Identificador Único do Emissor Identificador Único do Usuário Extensões Assinatura Algoritmos Parâmetros Resumo Cifrado

21 Infraestrutura de Chaves Públicas (ICP) ou PKI Infra-estrutura para o gerenciamento de chaves públicas - padrão Public Key Infrastructure (PKI), determina: Onde os certificados digitais serão armazenados e recuperados, De que forma estão armazenados, Como um certificado é revogado, etc.

22 22 Certificação Digital Função da PKI Fornecer um modo para estruturar os componentes (usuários, CAs, certificados, etc.). Definir padrões para os vários documentos e protocolos. Garantir a autenticação, confidencialidade, integridade e a não recusa das informações.

23 AC-Raiz brasileira: ICP-Brasil

24

25 Atividade: Gerar um certificado auto-assinado no Linux utilizando o OpenSSL+Apache2 Distribuições Linux Debian-based, segue a recomendação abaixo: 1) Instalação do Servidor Web Apache: *Utilizando o sudo ou logado como usuário root. $ apt-get update $ apt-get install apache2 * Verifique se o apache está operacional acessando: * Para iniciar, parar, reiniciar ou ver o status do serviço no terminal, use: $ /etc/init.d/apache2 {start,stop,restart,status}

26 Criação do certificado auto-assinado 2) Instalação do módulo ssl-cert $ apt-get install ssl-cert 3) Crie um certificado digital auto-assinado com o seguinte comando: $ openssl req -new -x509 -nodes -days 365 -out /etc/apache2/certificado.crt -keyout /etc/apache2/certificado.crt * É importante que o campo Common Name seja preenchido com o endereço correto do servidor, FQDN (nome e domínio). 4) Habilite o módulo SSL para o nosso servidor web através do comando: $ a2enmod ssl

27 Configurações no Apache2 5) Crie uma cópia e um atalho do arquivo que vai receber a referência para o site SSL. $ cp /etc/apache2/sites-available/default /etc/apache2/sites-available/ssl Ou $ cp /etc/apache2/sites-available/000-default.conf /etc/apache2/sites-available/ssl.conf (Apache 2.4.x) $ ln -s /etc/apache2/sites-available/ssl /etc/apache2/sites-enabled/ssl Ou ln -s /etc/apache2/sites-available/ssl.conf /etc/apache2/sites-enabled/ssl.conf 6) Edite o arquivo /etc/apache2/sites-available/ssl e adicione as modificações: <VirtualHost *:443 > SSLEngine on ServerSignature On SSLCertificateFile /etc/apache2/certificado.crt

28 Considerações finais 7) Habilite o site SSL com o seguinte comando: $ a2ensite ssl 8) Modifique o arquivo /var/www/index.html com o conteúdo de sua preferência: $ sudo gedit /var/www/index.html 9) Reinicie o Apache. 10) Abra seu navegador o site agora com o certificado instalado. * Perceba que como nosso certificado não foi homologado por uma CA válida, teremos que adicionar uma exceção de segurança para poder utilizar este certificado na conexão, mas isso não quer dizer que sua conexão não será criptografada a partir de agora.

29 Considerações finais 11) Acesse seu certificado clicando na área correspondente no seu navegador e tire um print da tela comprovando seu nome no certificado e envia para contato@wambier.net